通过

审核日志、诊断和活动历史记录

  • 项目

本教程列出了通过 Azure 事件中心 在 Microsoft Purview 治理门户中为应用程序启用和捕获审核和诊断日志所需的分步配置。

Microsoft Purview 管理员或 Microsoft Purview 数据源管理员需要能够监视从 Microsoft Purview 治理门户中的应用程序捕获的审核和诊断日志。 审核和诊断信息包括每个用户对 Microsoft Purview 帐户执行的操作和更改的时间戳历史记录。 捕获的活动历史记录包括 Microsoft Purview 治理门户中 和门户外部的操作。 门户外部的操作包括调用 Microsoft Purview REST API 以执行写入操作。

本教程将指导你完成启用审核日志记录的步骤。 它还介绍如何通过Azure 诊断事件中心从 Microsoft Purview 治理门户配置和捕获流式处理审核事件。

审核事件类别

表中列出了当前可用于捕获和分析的 Microsoft Purview 治理门户审核事件的一些重要类别。

将添加更多类型和类别的活动审核事件。

类别 活动 操作
管理 集合 创建
管理 集合 更新
管理 集合 删除
管理 角色分配 创建
管理 角色分配 更新
管理 角色分配 删除
管理 扫描规则集 创建
管理 扫描规则集 更新
管理 扫描规则集 删除
管理 分类规则 创建
管理 分类规则 更新
管理 分类规则 删除
管理 扫描 创建
管理 扫描 更新
管理 扫描 删除
管理 扫描 运行
管理 扫描 取消
管理 扫描 创建
管理 扫描 计划
管理 数据源 注册
管理 数据源 更新
管理 数据源 删除

启用审核和诊断

以下部分将指导你完成启用审核和诊断的过程。

配置事件中心

使用 Azure 资源管理器 (ARM) 模板 (GitHub) 创建Azure 事件中心命名空间。 此自动 Azure ARM 模板将使用所需的配置部署并完成事件中心实例的创建。

有关分步说明和手动设置:

将 Microsoft Purview 帐户连接到诊断事件中心

部署并创建事件中心后,请将 Microsoft Purview 帐户诊断审核日志记录连接到事件中心。

  1. 转到 Microsoft Purview 帐户主页。 此页面是概述信息显示在Azure 门户的位置。 它不是 Microsoft Purview 治理门户主页。

  2. 在左侧菜单上,选择“ 监视>诊断设置”。

    显示选择“诊断设置”的屏幕截图。

  3. 选择“添加诊断设置”或“编辑设置”。 不建议在 Microsoft Purview 的上下文中添加多个诊断设置行。 换句话说,如果已有诊断设置行,请不要选择 “添加诊断”。 改为选择 “编辑 ”。

    显示“添加或编辑诊断设置”屏幕的屏幕截图。

  4. 选中“ 审核 ”和“ allLogs ”复选框以启用审核日志的收集。 (可选)如果还想要捕获帐户的数据映射容量单位和数据映射大小指标,请选择 “AllMetrics ”。

    显示如何配置 Microsoft Purview 诊断设置并选择诊断类型的屏幕截图。

Microsoft Purview 帐户上的诊断配置已完成。

完成诊断审核日志记录配置后,请为事件中心配置数据捕获和数据保留设置。

  1. 转到Azure 门户主页,并搜索前面创建的事件中心命名空间的名称。

  2. 转到事件中心命名空间。 选择“ 事件中心>捕获数据”。

  3. 提供事件中心命名空间的名称,以及要在其中捕获和流式传输审核和诊断的事件中心的名称。 修改流式处理事件的保留期的 “时间窗口 ”和“ 大小窗口 ”值。 选择“保存”。

    显示事件中心命名空间和事件中心的捕获设置的屏幕截图。

  4. (可选)在左侧菜单中,转到 “属性” ,并将 “消息保留期 ”更改为 1 到 7 天之间的任意值。 保留期值取决于计划作业的频率或已创建的脚本,以便持续侦听和捕获流式处理事件。 如果每周计划一次捕获,请将滑块移动到七天。

    显示事件中心属性消息保留期的屏幕截图。

  5. 在此阶段,事件中心配置已完成。 Microsoft Purview 治理门户将开始将其所有审核历史记录和诊断数据流式传输到此事件中心。 现在可以继续读取、提取并进一步对捕获的诊断和审核事件执行分析和操作。

读取捕获的审核事件

分析捕获的审核并诊断日志数据:

  1. 转到“事件中心”页上的“处理数据”,查看捕获的审核日志和诊断的预览。

    显示配置事件中心进程数据的屏幕截图。

    显示导航事件中心的屏幕截图。

  2. 在 JSON 输出的 视图和 原始 视图之间切换。

    显示浏览事件中心上的 Microsoft Purview 审核事件的屏幕截图。

  3. 选择“ 下载示例数据 ”并仔细分析结果。

    显示事件中心上的查询和处理Microsoft Purview 审核数据的屏幕截图。

了解如何收集此信息后,可以使用自动计划脚本对事件中心审核和诊断数据进行提取、读取和执行进一步分析。 你甚至可以生成自己的实用工具和自定义代码,以从捕获的审核事件中提取业务价值。

这些审核日志还可以转换为 Excel、任何数据库、Dataverse 或 Synapse Analytics 数据库,以便使用 Power BI 进行分析和报告。

虽然你可以自由使用所选的任何编程或脚本语言来读取事件中心,但下面是一个现成 的基于 Python 的脚本。 请参阅此 Python 教程,了解如何 在 Azure 存储中捕获事件中心数据并使用 Python (azure-eventhub) 读取数据

后续步骤

启用诊断审核日志记录并启动 Microsoft Purview 之旅。

Microsoft Purview:自动设置新帐户