使用自定义连接器收集审核日志(已弃用)
重要提示
使用专用的卓越中心 - 审核日志解决方案和 Office 365 管理自定义连接器来收集审核日志事件这一功能已被弃用。 该解决方案和自定义连接器将于 2023 年 8 月从 CoE 初学者工具包中删除。 我们有一个收集审核日志事件的新流程,它是卓越中心 - 核心组件解决方案的一部分。 此新流使用 HTTP 连接器。 了解详细信息:使用 HTTP 操作收集审核日志
审核日志同步流会连接到 Microsoft 365 审核日志以收集应用的遥测数据(唯一用户、启动)。 此流使用自定义连接器连接到审核日志。 在下面的说明中,您将设置自定义连接器并配置流。
卓越中心(CoE)初学者工具包在没有此流程的情况下工作,但控制面板中的 Power BI 使用信息(应用程序启动、唯一用户)随后为空。
先决条件
在继续本文中的设置之前,请先完成设置 CoE 初学者工具包 之前和 设置库存组件 文章。
使用 正确的身份登录。
(可选)仅当您选择 云端流 作为清单和遥测机制时,才设置审核日志解决方案。
使用审核日志连接器之前
要使审核日志连接器正常工作,必须打开 Microsoft 365 审核日志搜索。 有关详细信息,请参阅 打开或关闭审核
运行流的用户标识必须对审核日志具有权限。 最低权限在搜索审核日志 之前中介绍。
您的租户必须具有支持统一审核日志记录的订阅。 有关更多信息,请参阅 Microsoft 365 安全与合规指南。
Microsoft Entra 可能需要权限才能配置 Microsoft Entra 应用程序注册。 根据您的 Entra 配置,这可能是应用程序开发人员或更高级别的角色。 查看 ID Microsoft Entra 中 按任务划分的最低特权角色,了解更多指南。
Office 365 管理 API 使用 Microsoft Entra ID 提供身份验证服务,您可以使用这些服务为应用程序授予访问权限。
为 Office 365 管理 API 创建 Microsoft Entra 应用注册
使用这些步骤,您将设置 Microsoft Entra 应用注册,以在自定义连接器和 Power Automate 流中用于连接到审核日志。 详细信息:Office 365 管理 API 入门
登录到 Azure 门户。
转至 Microsoft Entra ID>应用注册。
选择 + 新建注册。
输入名称(例如,Microsoft 365 管理),不要更改任何其他设置,然后选择注册。
选择 API 权限>+ 添加权限。
选择 Office 365 管理 API,按如下方式配置权限:
选择为(您的组织)授予管理员同意书。 先决条件:向应用程序授予租户范围的管理员同意
API 权限现在反映了状态为已为(您的组织)授予的已委派 ActivityFeed.Read。
选择证书和密码。
选择 + 新客户端密码。
添加说明和有效期(根据您组织的政策),然后选择添加。
暂时将密码复制并粘贴到记事本内的文本文档中。
选择概述,然后将应用程序(客户端)ID 和目录(租户)ID 值复制并粘贴到同一文本文档;请务必记录哪个 GUID 对应哪个值。 在配置自定义连接器的后续步骤中,您将需要这些值。
使 Azure 门户保持打开状态,因为在设置自定义连接器后,您需要进行一些配置更新。
设置自定义连接器
现在,您将配置并设置使用 Office 365 管理 API 的自定义连接器。
转到 Power Apps>Dataverse>自定义连接器。 Office 365 此处列出了 Management API 自定义连接器。 连接器随 Core Components 解决方案一起导入。
选择编辑。
如果您的租户是商业租户,将常规页面保持原样。
重要提示
- 如果您的租户是 GCC 租户,请将 host 更改为
manage-gcc.office.com
。 - 如果您的租户是 GCC High 租户,请将主机
manage.office365.us
更改为。 - 如果您的租户是 DoD 租户,请将主机
manage.protection.apps.mil
更改为。
有关更多信息,请参阅 活动 API 操作。
- 如果您的租户是 GCC 租户,请将 host 更改为
选择安全性。
选择 2.0 区域底部的 OAuth Edit 以编辑身份验证参数。
将标识提供者更改为 Microsoft Entra ID。
将从应用注册复制的应用程序(客户端)ID 粘贴到客户端 ID 中。
将从应用注册复制的客户端密码粘贴到客户端密码中。
不要更改租户 ID。
对于商业和 GCC 租户,将登录 URL 保持 原样,但对于 a 或 DoD 租户,请将 URL GCC High
https://login.microsoftonline.us/
更改为。设置 Resource URL:
租户类型 URL 商业 https://manage.office.com
GCC https://manage-gcc.office.com
GCC High https://manage.office365.us
DoD https://manage.protection.apps.mil
选择更新连接器。
将 Redirect URL 复制到文本文档中,例如记事本。
备注
如果您为 CoE 初学者工具包环境配置了数据丢失防护(DLP)策略 ,请将此连接器添加到此策略的仅限业务数据组中。
使用重定向 URL 更新 Microsoft Entra 应用注册
转到 Azure 门户 和您的应用程序注册。
在概览下,选择添加重定向 URI。
选择 + 添加平台>Web。
输入从自定义连接器的重定向 URL 部分中复制的 URL。
选择配置。
开始订阅并审核日志内容
返回到自定义连接器,以设置与自定义连接器的连接,并开始订阅审核日志内容,如以下步骤中所述。
重要提示
您必须完成这些步骤才能使后续步骤起作用。 如果您不在此处创建新连接并测试连接器,则在后续步骤中设置流和子流将失败。
在自定义连接器页上,选择测试。
选择 + 新建连接,然后使用您的帐户登录。
在操作下,选择 StartSubscription。
将目录(租户)ID(之前从 Microsoft Entra ID 中的应用注册概览页面复制)粘贴到租户字段中。
将目录(租户)ID 粘贴到 PublisherIdentifier 中。
选择测试操作。
您应该会看到返回了一个 (200) 状态,这意味着查询成功。
重要提示
如果您之前启用了订阅,则会看到一条消息 (400) The subscription is already enabled
。 这意味着订阅已成功启用。 忽略此错误并继续设置。
如果您没有看到上述消息或 (200) 响应,则请求可能已失败。 您的设置可能存在错误,导致流无法正常工作。 要检查的常见问题包括:
- Security( 安全 )选项卡上的身份提供者应设置为 Microsoft Entra ID。
- 应启用审核日志,并且您有权查看它们。 通过搜索 Microsoft Compliance Manager 来检查您的访问权限。
- 如果您没有权限,请参阅 搜索审核日志之前。
- 如果您最近启用了审核日志,请在几分钟内再次尝试搜索,以便有时间激活审核日志。
- 应用程序注册中的 Microsoft Entra 租户 ID 应正确。
- 您的资源 URL 末尾不应添加空格或字符。
- 查看应用程序注册 Microsoft Entra 中的 步骤以确保正确性。
- 自定义连接器的安全设置(如自定义连接器设置 的步骤 6 中所述)应正确更新。
如果您仍然看到失败,则您的连接可能处于错误状态。 有关更多信息,请参阅 修复 Audit Log 连接的分步说明。
设置 Power Automate 流
Power Automate 流使用自定义连接器,每天查询审核日志,并将 Power Apps 启动事件写入 Microsoft Dataverse 表。 然后在 Power BI 仪表板中使用此表来报告应用的会话和唯一用户。
在设置核心组件 中下载解决方案。
使用
CenterofExcellenceAuditLogs_*x_x_x_xxx*_managed.zip
该文件导入 Center of Excellence 审核日志解决方案。建立连接,然后激活您的解决方案。 如果创建新连接,必须选择刷新。 您不会丢失导入进度。
打开卓越中心 – 审核日志解决方案。
从 [子] Admin 中删除非托管层 |同步日志。
选择下级管理员 | 同步日志。
编辑仅运行用户设置。
对于 Office 365 管理 API 自定义连接器,将值更改为使用此连接 (userPrincipalName@company.com)。 如果没有任何连接器的连接,请转到 Dataverse>连接,然后为连接器创建连接。
对于 Microsoft Dataverse 连接器,将仅运行权限值留空,并确认已正确配置 CoE 审核日志 - Dataverse 连接的连接引用。 如果连接显示错误,更新CoE 审核日志 - Dataverse 连接引用的连接引用。
选择保存,然后关闭流详细信息选项卡。
(可选)
TimeInterval-Unit
编辑 andTimeInterval-Interval
环境变量以收集缩小的时间块。 默认值是将 day 分块1
为1
小时分段。 如果审核日志未能按照您配置的时间间隔收集所有数据,您将收到来自此解决方案的警报。客户 描述 StartTime-Interval 必须是一个整数来表示确定返回多久提取的开始时间。 默认值: 1
(1 天前)StartTime-Unit 确定返回多久提取数据的时间单位。 必须是从作为输入参数接受到添加到时间的值。 合法值示例: Minute
,Hour
,Day
。 默认值为Day
。TimeInterval-Unit 确定为开始以来的时间进行细分的单位。 必须是从作为输入参数接受到添加到时间的值。 合法值示例: Minute
,Hour
,Day
。 默认值为Hour
。TimeInterval-Interval 必须是一个整数来表示 unit 类型的块数。 默认值为 1
(for 1-hour chunks)。TimeSegment-CountLimit 必须是一个整数来表示可以创建的区块数量的限制。 默认值为 60
。[!ITIP] 这些默认值适用于中型租户。 您可能需要多次调整值才能适合您的租户大小。
有关更新环境变量的更多信息,请参阅 更新环境变量。
- 返回解决方案,同时启用“下级管理员 | 同步日志”流和“管理员 | 同步审核日志”流。
环境变量的示例配置
下面是这些值的配置示例:
StartTime-Interval | StartTime-Unit | TimeInterval-Interval | TimeInterval-Unit | TimeSegment-CountLimit | 预期 |
---|---|---|---|---|---|
1 | 日 | 1 | 小时 | 60 | 创建 24 个子流,这在 60 个的限制范围内。 每个子流从过去 24 小时内拉回 1 小时的日志。 |
2 | 日 | 1 | 小时 | 60 | 创建 48 个子流,这在 60 个的限制范围内。 每个子流从过去 48 小时内拉回 1 小时的日志。 |
1 | 日 | 5 | 分钟 | 300 | 创建 288 个子流,这在 300 的限制范围内。 每个子流从过去 24 小时内拉回 5 分钟的日志。 |
1 | 日 | 15 | 分钟 | 100 | 创建 96 个子流,这在 100 个的限制范围内。 每个子流从过去 24 小时内拉回 15 分钟的日志。 |
如何获取旧数据
配置后,此解决方案会收集应用程序启动,但未设置为收集历史应用程序启动。 Microsoft 365 根据您的许可证,使用 Microsoft Purview 中的审核日志可提供长达一年的历史数据。
您可以手动将历史数据加载到 CoE 初学者工具包表中。 有关更多信息,请参阅 如何导入旧的审计日志。
我发现 CoE Starter Kit 存在一个错误。 我应该去哪里解决?
若要针对解决方案报告错误,请转到 aka.ms/coe-starter-kit-issues。