什么是 Microsoft Entra 监视和运行状况？

Microsoft Entra 监视和运行状况的功能提供了环境中标识相关活动的全面视图。 此数据有助于：

• 确定用户如何利用应用和服务。
• 检测影响环境运行状况的潜在风险。
• 排查妨碍用户完成其工作的问题。
• 通过查看对 Microsoft Entra 目录的更改的审核事件来获取见解。

登录和审核日志构成了许多 Microsoft Entra 报告背后的活动日志，可用于分析、监视租户中的活动并对其进行故障排除。 将活动日志路由到分析和监视解决方案可以更深入地了解租户的运行状况和安全性。

本文介绍了 Microsoft Entra ID 中可用的活动日志类型、使用日志的报告以及可用于帮助分析数据的监视服务。

标识活动日志

活动日志有助于了解用户在组织中的行为。 Microsoft Entra ID 中有三种类型的活动日志：

• 审核日志包括在租户中执行的每项任务的历史记录。

• 登录日志捕获用户和客户端应用程序的登录尝试。

• 预配日志提供有关通过第三方服务在租户中预配的用户的信息。

可以在 Azure 门户中或使用 Microsoft Graph API 查看活动日志。 还可以将活动日志路由到各种终结点进行存储或分析。 要了解用于查看活动日志的所有选项，请参阅如何访问活动日志。

审核日志

审核日志提供系统活动的记录以实现合规性。 可通过此数据处理常见应用场景，例如：

• 我的租户中有人获得了访问管理员组的权限。 谁给予他们访问权限？
• 我想要了解登录到特定应用的用户的列表，因为我最近将该应用上架了，想要了解其是否正常运行。
• 我想要知道在我的租户中进行了多少次密码重置。

登录日志

可以通过登录日志找到如下所示问题的答案：

• 什么是用户的登录模式？
• 多少用户超过一周都有登录行为？
• 这些登录的状态怎样？

预配日志

你可以使用预配日志找到以下问题的答案：

• 在 ServiceNow 中成功创建了哪些组？
• 从 Adobe 中成功删除了哪些用户？
• 在 Active Directory 中成功创建了哪些 Workday 用户？

标识报告

查看 Microsoft Entra 活动日志中的数据可以为 IT 管理员提供有用的信息。 为了简化查看关键应用场景数据的过程，我们创建了有关使用活动日志的常见应用场景的多份报告。

• 标识保护使用登录数据创建有关风险用户和登录活动的报告。
• 与应用程序相关的活动（例如，服务主体和应用凭证活动）用于在使用情况和见解中创建报告。
• Microsoft Entra 工作簿提供了一种可自定义的方式来查看和分析活动日志。
• 使用 Microsoft Entra 建议可监视和提高租户的安全性。
• Microsoft Entra Health 捕获多个关键应用场景的全局服务级别协议达成情况和运行状况信号。

标识监视和租户运行状况

查看 Microsoft Entra 活动日志是维护和改进租户的运行状况和安全性的第一步。 需要分析数据、监视有风险的应用场景，并确定可以改进的领域。 Microsoft Entra 监视提供必要的工具来帮助做出明智的决策。

监视 Microsoft Entra 活动日志需要将日志数据路由到监视和分析解决方案。 终结点包括 Azure Monitor 日志、Microsoft Sentinel 或第三方解决方案第三方安全信息和事件管理 (SIEM) 工具。

• 将日志流式传输到事件中心以与第三方 SIEM 工具集成。
• 将日志与 Azure Monitor 日志集成。
• 使用 Azure Monitor 日志和 Log Analytics 分析日志。

用例

使用日志、报表和监视服务的方式取决于组织的需求。 为了更好地确定用例和解决方案的优先顺序，了解这些解决方案之间的关系、区别以及一起使用的方法可能会有所帮助。

注意事项

• 保留 – 日志保留：存储 Microsoft Entra 的审核日志和登录日志 30 天以上
• 分析 – 日志可通过分析工具搜索
• 操作和安全见解 – 提供对应用程序使用情况、登录错误、自助服务使用情况、趋势等的访问权限。
• SIEM 集成 – 将 Microsoft Entra 登录日志和审核日志集成并流式传输到 SIEM 系统

借助 Microsoft Entra 监视，可以路由 Microsoft Entra 活动日志并将其保留，以便进行长期报告和分析，从而获取环境见解，并将其与 SIEM 工具集成。 使用以下决策流程图来帮助选择体系结构。

有关如何访问、存储和分析活动日志的概述，请参阅如何访问活动日志。