Поділитися через

Збирання журналів аудиту за допомогою дії HTTP

  • Стаття

Потоки синхронізації журналу аудиту підключаються до Office 365 API керування для збирання телеметричних даних, таких як унікальні користувачі та запуски, для програм. Потоки використовують дію HTTP для доступу до API. У наведених нижче інструкціях ви налаштуєте реєстрацію застосунку для дії HTTP і змінних середовища, необхідних для запуску ланцюжків.

Стартовий набір Center of Excellence (CoE) працює без цих потоків, але інформація про використання, як-от запуски програм та унікальних користувачів, на інформаційній Power BI панелі буде порожньою.

Важливо

Виконайте інструкції в розділі Перед налаштуванням стартового набору CoE та Налаштуйте компоненти інвентарю, перш ніж продовжити налаштування, наведену в цій статті. У цій статті припускається, що у вас налаштоване середовище і ви ввійшли в систему з правильним посвідченням.

Налаштовуйте потоки журналу аудиту, лише якщо ви вибрали хмарні потоки як механізм інвентаризації та телеметрії.

Перед настроюванням потоків журналу аудиту

  1. Щоб з’єднувач контрольного журналу працював, потрібно ввімкнути пошук у контрольному журналі Microsoft 365. Докладніші відомості наведено в розділі: Увімкнення та вимкнення пошуку в журналі відстеження
  2. Ваш клієнт повинен мати передплату, яка підтримує уніфіковане журналювання відстеження. Додаткові відомості: Доступність Центру безпеки та відповідності для корпоративних планів
  3. Щоб налаштувати Microsoft Entra реєстрацію програми, потрібен глобальний адміністратор.

API Office 365 керування використовують Microsoft Entra ідентифікатор для надання служб автентифікації, які можна використовувати для надання прав на доступ до них програмі.

Як створити Microsoft Entra додаток для Office 365 API керування

Виконавши ці кроки, ви можете налаштувати Microsoft Entra реєстрацію програми для виклику HTTP у Power Automate ланцюжку для підключення до журналу аудиту. Додаткові відомості: Початок роботи з API керування Office 365

  1. Увійдіть на портал portal.azure.com.

  2. Перейдіть до Microsoft Entra розділу Реєстрація> додатків ID. Скріншот, що Microsoft Entra показує реєстрацію в додатку.

  3. Виберіть + Створити реєстрацію.

  4. Введіть ім’я, наприклад Microsoft 365 Керування, не змінюйте інші параметри, а потім натисніть кнопку Зареєструватися.

  5. Виберіть Дозволи API>+ Додати дозвіл.

    Додавання дозволів API

  6. Виберіть Office 365 Management API і налаштуйте дозволи, як описано нижче.

    1. Виберіть Дозволи програм, а потім виберіть ActivityFeed.Read.

      Дозволи програми

    2. Виберіть Додати дозволи.

  7. Виберіть Надати дозвіл адміністратора для (ваша організація). Передумови: Надайте програмі згоду адміністратора на рівні осередку

    Дозволи API тепер відображають делеговані дозволи ActivityFeed.Read зі станом Надано для (ваша організація).

  8. Виберіть Сертифікати і секретні ключі.

  9. Виберіть + Створити секретний ключ клієнта (client).

    Новий секретний ключ клієнта (client)

  10. Додайте опис і термін дії відповідно до політик вашої організації, а потім натисніть кнопку Додати.

  11. Поки що скопіюйте та вставте ідентифікатор програми (клієнта) у текстовий документ у Блокноті.

  12. Виберіть пункт Огляд і скопіюйте та вставте значення ідентифікатора програми (клієнта) та ідентифікатора каталогу (клієнта) в один текстовий документ. Обов’язково зазначте, який ідентифікатор GUID призначений для якого значення. Ці значення знадобляться під час налаштування настроюваного з’єднувача.

Оновлення змінних середовища

Змінні середовища використовуються для зберігання ідентифікатора клієнта та секрету для реєстрації програми, а також кінцевих точок аудиторії та авторитетної служби залежно від вашої хмари (комерційна, GCC, GCC High DoD) для дії HTTP. Оновіть змінні середовища перед увімкненням потоків.

Зберігати секрет клієнта можна як у вигляді простого тексту, так і в змінній середовища Audit Logs - Client Secret , що не рекомендується. Натомість рекомендовано створити та зберегти секрет клієнта в Azure Key Vault і посилатися на нього у змінній середовища Audit Logs – Client Azure Secret .

Нотатка

Потік, що використовує цю змінну середовища, налаштовується з умовою, що очікує змінну середовища Audit Logs - Client Secret або Audit Logs - Client Azure Secret . Для роботи з Azure Key Vault не потрібно редагувати ланцюжок.

Ім'я Опис Значення
Журнали аудиту - Аудиторія Параметр аудиторії для викликів HTTP. Комерційний (за замовчуванням): https://manage.office.com

GCC: https://manage-gcc.office.com

GCC High: https://керувати.office365.us>

DoD: https://manage.protection.apps.mil
Журнали аудиту - Повноваження Поле повноважень у викликах HTTP. Комерційний (за замовчуванням): https://login.windows.net

GCC: https://login.windows.net

GCC High: https://login.microsoftonline.us

DoD: https://login.microsoftonline.us
Журнали аудиту - ClientID Реєстрація додатка Ідентифікатор клієнта. Ідентифікатор клієнта програми з розділу Створити реєстрацію додатка для кроку Microsoft Entra Керуючий Office 365 API .
Журнали аудиту - секрет клієнта Секрет клієнта реєстрації програми у вигляді простого тексту. Секрет клієнта програми від Створіть Microsoft Entra реєстрацію програми для кроку Office 365 Management API . Залиште пустим, якщо ви зберігаєте ідентифікатор клієнта й секретний ключ у сховищі ключів Azure.
Журнали аудиту - Client Azure Secret Довідка Azure Key Vault про секрет клієнта реєстрації програми. Довідка Azure Key Vault для секрету клієнта програми з кроку Створення Microsoft Entra реєстрації програми для кроку Office 365 API керування. Залиште порожнім, якщо ви зберігаєте ідентифікатор клієнта у вигляді звичайного тексту в змінній середовища Журнали аудиту - Секрет клієнта . Ця змінна очікує посилання на сховище ключів Azure, а не секрет. Додаткові відомості: Використання секретних ключів сховища ключів Azure в змінних середовища

Відкрийте передплату на вміст журналу відстеження

  1. Перейдіть на веб-сайт make.powerapps.com.
  2. Виберіть Рішення.
  3. Відкрийте рішення Center of Excellence – Core Components .
  4. Поворот адміністратора | Журнали аудиту | Office 365 Підписка на API управління увімкніть і запустіть її, введіть start як операцію для виконання. Почати підписку
  5. Відкрийте ланцюжок і переконайтеся, що дія для запуску підписки пройшла. Почати пройдену підписку

Важливо

Якщо ви раніше активували передплату, ви побачите повідомлення (400) Передплату вже активовано. Це означає, що передплату було успішно активовано в минулому. Ви можете проігнорувати цю помилку та продовжити налаштування.

Якщо ви не бачите наведене вище повідомлення або відповідь (200), можливо, запит не було виконано. Можлива помилка в налаштуваннях, через яку цикл не працює. Поширені проблеми, які потрібно перевірити:

  • Чи ввімкнуто журнали відстеження та чи є у вас дозвіл на перегляд журналів відстеження? Перевірте, чи можна виконати пошук у диспетчері відповідності Microsoft.
  • Чи ввімкнуто журнал відстеження зовсім недавно? Якщо ситуація є саме такою, дайте журналу відстеження час на активацію та повторіть спробу через кілька хвилин.
  • Переконайтеся, що ви правильно виконали кроки під час Microsoft Entra реєстрації програми.
  • Переконайтеся, що ви правильно оновили змінні середовища для цих ланцюжків.

Увімкнення циклів

  1. Перейдіть на веб-сайт make.powerapps.com.
  2. Виберіть Рішення.
  3. Відкрийте рішення Center of Excellence – Core Components .
  4. Поворот адміністратора | Журнали аудиту | Синхронізацію журналів аудиту (V2) увімкнено. Цей потік виконуватиметься за погодинним графіком і збиратиме події журналу аудиту в таблицю журналу аудиту.

Отримання старих даних

Це рішення збирає дані про запуски програми з моменту їх налаштування. Воно не налаштоване для збору історії запусків програм. Залежно від вашої ліцензії Microsoft 365 історичні дані будуть доступні протягом року за допомогою контрольного журналу в Microsoft Purview.

Ви можете завантажити історичні дані в таблиці стартового набору CoE вручну, використовуючи один із потоків, наданих у рішенні, як описано тут.

Нотатка

Користувач, який отримує журнали аудиту, повинен мати дозвіл на доступ до журналів аудиту. Додаткові відомості: Перед пошуком у журналах аудиту

  1. Перейдіть до пошуку в журналі аудиту.
  2. Знайдіть історію запущених додатків у доступному діапазоні дат. Отримання старих журналів аудиту
  3. Після завершення пошуку виберіть Експортувати , щоб завантажити результати. Завантаження старих журналів аудиту
  4. Перейдіть до наступного процесу в основному рішенні: Admin | Журнали аудиту | Завантаження подій з експортованого файлу CSV журналу аудиту
  5. Увімкніть ланцюжок і запустіть його, вибравши завантажений файл для параметра Audit Log CSV. Завантажуйте старі журнали аудиту через потік

    Нотатка

    Якщо після натискання кнопки Імпортувати файл не завантажується, можливо, він перевищує допустимий розмір вмісту для цього активатора. Спробуйте розбити файл на менші файли (50 000 рядків на файл) і запустити ланцюжок один раз на файл. Ланцюжок можна запускати одночасно для кількох файлів.

  6. Після завершення ці журнали будуть включені до вашої телеметрії. Останній список запущених програм буде оновлено, якщо буде знайдено новіші запуски.

Схоже, я знайшов помилку зі стартовим набором CoE. Куди звертатися?

Щоб повідомити про помилку проти рішення, перейдіть за посиланням aka.ms/coe-starter-kit-issues.