如何访问全局安全访问(预览版)审核日志
Microsoft Entra 审核日志是调查或排查 Microsoft Entra 环境更改问题时的重要信息来源。 与全局安全访问相关的更改按多个类别被捕获到审核日志中,例如流量转发配置文件、远程网络管理等。 本文介绍如何使用审核日志跟踪对全局安全访问环境的更改。
先决条件
若要访问租户的审核日志,必须具有以下角色之一:
- 报告读取者
- 安全读取者
- 安全管理员
审核日志在所有版本的 Microsoft Entra 中都可用。 存储以及与分析和监视工具的集成可能需要额外的许可证和角色。
访问审核日志
可通过多种方式查看审核日志。 有关选项及何时使用每个选项的相关建议的详细信息,请参阅如何访问活动日志。
通过 Microsoft Entra 管理中心访问审核日志
可通过“全局安全访问”和“Microsoft Entra ID 监视和运行状况”访问审核日志。
通过全局安全访问:
- 使用要求的角色之一登录到 Microsoft Entra 管理中心。
- 浏览到“全局安全访问(预览版)”>“审核日志”。 筛选器预先填充了与全局安全访问相关的类别和活动。
来自 Microsoft Entra 监视和运行状况:
- 使用要求的角色之一登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“监视和运行状况”>“审核日志”。
- 选择要查询的日期范围。
- 打开“服务”筛选器,选择“全局安全访问”,然后选择“应用”按钮。
- 打开“类别”筛选器,选择至少一个可用选项,然后选择“应用”按钮。
保存审核日志
审核日志数据默认只会保留 30 天,此期限对于每家组织而言可能不够长。 如果需要在 30 天后查看或查询日志,可能会需要将日志与其他服务集成,以增强监视和分析。
- 将活动日志流式传输到事件中心,以便与其他工具(如 Azure Monitor 或 Splunk)集成。
- 导出存储的活动日志。
- 使用 Microsoft Sentinel 实时监视活动。
使用条款
使用 Microsoft Entra Private Access 和 Microsoft Entra Internet Access 预览版体验和功能时,需受到所享受的服务相应的预览版联机服务条款和条件协议的约束。 预览版可能减少或遵循不同的安全性、合规性和隐私承诺,详见联机服务的通用许可条款和 Microsoft 产品和服务数据保护附录(“DPA”),以及随预览版一起提供的任何其他通知。
后续步骤
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈