什么是 Microsoft Entra 登录日志?
Microsoft Entra 将所有登录记录到 Microsoft Entra 租户中,其中包括内部应用程序和资源。 IT 管理员需要了解登录日志中的值的含义,以便可以正确解释日志值。
查看登录错误和模式可以获得有关用户如何访问应用程序和服务的有用见解。 Microsoft Entra ID 提供的登录日志是信息量十足的一种活动日志,可对其进行分析。 本文介绍登录日志的几个关键方面。
还可以使用另外两种活动日志来帮助监视租户的运行状况:
许可证和角色要求
所需的角色和许可因报表而异。 需要单独的权限才能访问 Microsoft Graph 中的监视和运行状况数据。 我们建议使用具有最低访问权限的角色,以符合零信任指导。 有关角色的完整列表,请参阅按任务列出的最低特权角色。
| 日志/报表 | 角色 | 许可证 |
|---|---|---|
| 审核日志 | 报告读取者 安全信息读取者 安全管理员 |
所有版本的 Microsoft Entra ID |
| 登录日志 | 报告读取者 安全信息读取者 安全管理员 |
所有版本的 Microsoft Entra ID |
| 预配日志 | 报告读取者 安全信息读取者 应用程序管理员 云应用管理员 |
Microsoft Entra ID P1 或 P2 |
| 自定义安全属性审核日志* | 属性日志管理员 属性日志读取器 |
所有版本的 Microsoft Entra ID |
| 运行状况 | 报告读取者 安全信息读取者 帮助台管理员 |
Microsoft Entra ID P1 或 P2 |
| Microsoft Entra ID 保护** | 安全管理员 安全操作员 安全信息读取者 全局读取者 |
Microsoft Entra ID 免费版 Microsoft 365 应用 Microsoft Entra ID P1 或 P2 |
| Microsoft Graph 活动日志 | 安全管理员 访问相应日志目标中数据的权限 |
Microsoft Entra ID P1 或 P2 |
| 使用情况和见解 | 报告读取者 安全信息读取者 安全管理员 |
Microsoft Entra ID P1 或 P2 |
*查看审核日志中的自定义安全属性或为自定义安全属性创建诊断设置需要“属性日志”角色之一。 你还需要适当的角色才能查看标准审核日志。
**Microsoft Entra ID 保护的访问级别和功能因角色和许可证而异。 有关详细信息,请参阅 ID 保护许可证要求。
登录日志有哪些作用?
可以使用登录日志回答如下问题:
- 本周有多少用户登录特定应用程序?
- 过去 24 小时内发生了多少次失败的登录尝试?
- 用户是否从特定浏览器或操作系统登录?
- 托管标识和服务主体访问了我的哪些 Azure 资源?
还可以通过标识以下详细信息来描述与登录请求关联的活动:
- 用户 - 执行登录的身份(用户)。
- 方式 – 用于登录的客户端(应用程序)。
- 对象 – 身份访问的目标(资源)。
如何访问登录日志?
有多种方法可以访问日志,具体采取何种方法取决于你的需求。 有关详细信息,请参阅如何访问活动日志。
在 Microsoft Entra 管理中心中,查看登录日志。
- 至少以报告读取者身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“监视和运行状况”>“登录日志”。
如果要更有效地使用 Microsoft Entra 管理中心中的登录日志,请调整筛选器以只查看一组特定的日志。 了解更多信息,请参阅筛选器登录日志。
登录日志的类型有哪些?
登录日志预览中有四种类型的日志:
经典登录日志只包含交互式用户登录。
注意
登录日志中的条目是系统生成的,无法更改或删除。
其他服务使用的登录数据
Azure 和 Microsoft Entra 中的多个服务使用登录数据来监视风险登录、提供应用程序使用情况的见解等等。
Microsoft Entra ID 保护
Microsoft Entra ID 保护概述中提供了与风险登录相关的登录日志数据可视化效果,其中使用了以下数据:
- 有风险用户
- 风险用户登录
- 风险工作负载标识
有关 Microsoft Entra ID 保护工具的详细信息,请参阅 Microsoft Entra ID 保护概述。
Microsoft Entra 使用情况和见解
如果要查看特定于应用程序的登录数据,请浏览到“Microsoft Entra ID”>“监视和运行状况”>“使用情况和见解”。 这些报告更详细地展示了 Microsoft Entra 应用程序活动和 AD FS 应用程序活动的登录信息。 有关详细信息,请参阅 Microsoft Entra 使用情况和见解。
“使用情况和见解”中有多个报表。 其中一些报表处于预览状态。
- Microsoft Entra 应用程序活动(预览版)
- AD FS 应用程序活动
- 身份验证方法活动
- 服务主体登录活动
- 应用程序凭据活动
Microsoft 365 活动日志
可以从 Microsoft 365 管理中心查看 Microsoft 365 活动日志。 Microsoft 365 活动和 Microsoft Entra 活动日志共享大量的目录资源。 只有 Microsoft 365 管理中心提供 Microsoft 365 活动日志的完整视图。
你可以使用 Office 365 管理 API 以编程方式访问 Microsoft 365 活动日志。