分享方式:


您可以串流至端點的身分識別記錄為何?

您可以使用 Microsoft Entra 診斷設定,將活動記錄路由到多個端點,以取得較長的保留期限和資料深入解析。 您可以選取要路由的記錄,然後選取端點。

本文說明您可以使用 Microsoft Entra 診斷設定路由至端點的記錄。

記錄串流需求和選項

設定端點,例如事件中樞或儲存體帳戶,可能需要不同的角色和授權。 若要建立或編輯新的診斷設定,您需要 Microsoft Entra 租用戶安全性系統管理員的使用者。

若要協助您決定最適合的記錄路由選項,請參閱如何存取活動記錄。 下列文章涵蓋每個端點類型的整體程式和需求:

活動記錄選項

下列記錄可以路由傳送至端點以進行儲存體、分析或監視。

稽核記錄

AuditLogs 報告會擷取 Microsoft Entra 租用戶記錄中的應用程式、群組、使用者和授權的變更全都會。 路由傳送稽核記錄之後,您可以依日期/時間、記錄事件的服務以及進行變更的人員進行篩選或分析。 如需詳細資訊,請參閱稽核記錄

登入記錄

SignInLogs 傳送互動式登入記錄,這是使用者登入所產生的記錄。 當使用者在 Microsoft Entra 登入畫面或通過 MFA 挑戰時,就會產生登入記錄。 如需詳細資訊,請參閱互動式使用者登入

非互動式登入記錄

NonInteractiveUserSIgnInLogs 是代表使用者完成的登入,例如用戶端應用程式。 裝置或用戶端會使用權杖或程式碼來代表使用者驗證或存取資源。 如需詳細資訊,請參閱非互動式使用者登入

服務主體登入記錄

如果您需要檢閱應用程式或服務主體的登入活動,ServicePrincipalSignInLogs 可能是個好選項。 在這些案例中,憑證或用戶端祕密驗證。 如需詳細資訊,請參閱服務主體登入

受控識別登入記錄

ManagedIdentitySignInLogs 提供與服務主體登入記錄類似的深入解析,但針對受控識別,其中 Azure 會管理祕密。 如需詳細資訊,請參閱受控識別登入

佈建記錄

如果您的組織透過 Workday 或 ServiceNow 等非Microsoft應用程式佈建使用者,您可能會想要匯出 ProvisioningLogs 報表。 如需詳細資訊,請參閱佈建記錄

AD FS 登入記錄

此使用量和深入解析報告中會擷取Active Directory 同盟服務 (AD FS) 應用程式的登入活動。 您可以匯出 ADFSSignInLogs 報告,以監視 AD FS 應用程式的登入活動。 如需詳細資訊,請參閱 AD FS 登入記錄

具風險使用者

RiskyUsers 記錄會根據登入活動來識別有風險的使用者。 此報告是 Microsoft Entra ID Protection 的一部分,並使用來自 Microsoft Entra ID 的登入資料。 如需詳細資訊,請參閱 什麼是 Microsoft Entra ID Protection?

使用者風險事件

UserRiskEvents 記錄是 Microsoft Entra ID Protection 的一部分。 這些記錄會擷取風險性登入事件的詳細資料。 如需詳細資訊,請參閱如何調查風險

網路存取流量記錄

NetworkAccessTrafficLogs 與 Microsoft Entra Internet Access 和 Microsoft Entra Private Access 相關聯。 記錄會顯示在 Microsoft Entra ID 中,但選取此選項並不會將新的記錄新增至您的工作區,除非您的組織使用 Microsoft Entra Internet Access 並 Microsoft Entra Private Access 來保護公司資源的存取。 如需詳細資訊,請參閱什麼是全域安全存取?

風險性服務主體

RiskyServicePrincipals 記錄會提供服務主體的相關資訊,偵測到 Microsoft Entra ID Protection 有風險。 服務主體風險代表身分識別或帳戶遭到入侵的機率。 這些風險是使用來自 Microsoft 內部和外部威脅情報來源的資料和模式,以異步方式計算。 這些來源可能包括 Microsoft 的安全性研究人員、執法專業人員和安全性小組。 如需詳細資訊,請參閱保護工作負載身分識別

服務主體風險事件

ServicePrincipalRiskEvents 提供服務主體風險性登入事件的詳細資料。 這些記錄可能包含與服務主體帳戶相關的任何已識別可疑事件。 如需詳細資訊,請參閱保護工作負載身分識別

擴充的 Microsoft 365 稽核記錄

EnrichedOffice365AuditLogs 會與您可以針對 Microsoft Entra Internet Access 啟用的擴充記錄相關聯。 除非您的組織使用 Microsoft Entra Internet 來保護存取您 Microsoft 365 流量,您啟用擴充的記錄,否則選取此選項不會將新的記錄新增至您的工作區。 如需詳細資訊,請參閱如何使用全球安全存取擴充的 Microsoft 365 記錄

Microsoft Graph 活動記錄

MicrosoftGraphActivityLogs 可讓系統管理員完整查看透過 Microsoft Graph API 存取租用戶資源的所有 HTTP 要求。 您可以使用這些記錄來識別租用戶中遭入侵使用者帳戶的活動,或調查用戶端應用程式有問題或非預期的行為,例如極端呼叫量。 將這些記錄路由傳送至與 SignInLogs 相同的 Log Analytics 工作區,以交叉參考登入記錄的權杖要求詳細資料。 如需詳細資訊,請參閱存取 Microsoft Graph 活動記錄 (預覽)

遠端網路健康情況記錄

RemoteNetworkHealthLogs 可讓您深入了解透過全域安全存取設定的遠端網路健康情況。 選取此選項並不會將新的記錄新增至您的工作區,除非您的組織使用 Microsoft Entra Internet Access 並 Microsoft Entra Private Access 來保護公司資源的存取。 如需詳細資訊,請參閱遠端網路健康情況記錄

自訂安全性屬性稽核記錄

CustomSecurityAttributeAuditLogs 是在診斷設定自定義安全性屬性區段中設定的。 這些記錄會擷取您 Microsoft Entra 租用戶中自定義安全性屬性的變更。 若要在 Microsoft Entra 稽核記錄中檢視這些記錄,您需要屬性記錄讀取器角色。 若要將這些記錄路由傳送至端點,您需要屬性記錄管理員角色和安全性系統管理員