您可以串流至端點的身分識別記錄為何？

您可以使用 Microsoft Entra 診斷設定，將活動記錄路由到多個端點，以取得較長的保留期限和資料深入解析。 您可以選取要路由的記錄，然後選取端點。

本文說明您可以使用 Microsoft Entra 診斷設定路由至端點的記錄。

記錄串流需求和選項

設定端點，例如事件中樞或儲存體帳戶，可能需要不同的角色和授權。 若要建立或編輯新的診斷設定，您需要 Microsoft Entra 租用戶安全性系統管理員的使用者。

若要協助您決定最適合的記錄路由選項，請參閱＜如何存取活動記錄＞。 下列文章涵蓋每個端點類型的整體流程和需求：

• 將記錄傳送至與 Azure 監視器記錄整合的 Log Analytics 工作區
• 將記錄封存至儲存體帳戶
• 將記錄串流至事件中樞
• 傳送至合作夥伴解決方案

活動記錄選項

下列記錄可以路由傳送至端點以進行儲存、分析或監視。

稽核記錄

AuditLogs 報告會擷取 Microsoft Entra 租用戶中的應用程式、群組、使用者和授權的變更。 路由傳送稽核記錄之後，您可以依日期/時間、記錄事件的服務以及進行變更的人員進行篩選或分析。 如需詳細資訊，請參閱＜稽核記錄＞。

登入記錄

SignInLogs 傳送互動式登入記錄，這是使用者登入所產生的記錄。 當使用者在 Microsoft Entra 登入畫面或通過 MFA 挑戰時，就會產生登入記錄。 如需詳細資訊，請參閱＜互動式使用者登入＞。

非互動式登入記錄

NonInteractiveUserSIgnInLogs 是代表使用者完成的登入，例如用戶端應用程式。 裝置或用戶端會使用權杖或程式碼來代表使用者驗證或存取資源。 如需詳細資訊，請參閱＜非互動式使用者登入＞(英文)。

服務主體登入記錄

如果您需要檢閱應用程式或服務主體的登入活動，ServicePrincipalSignInLogs 可能是個好選項。 在這些案例中，會將憑證或用戶端祕密用於驗證。 如需詳細資訊，請參閱＜服務主體登入＞(英文)。

受控識別登入記錄

ManagedIdentitySignInLogs 提供與服務主體登入記錄類似的深入解析，但針對受控識別，其中 Azure 會管理祕密。 如需詳細資訊，請參閱＜受控識別登入＞(英文)。

佈建記錄

如果組織透過 Workday 或 ServiceNow 等非 Microsoft 應用程式佈建使用者，您可能會想要匯出 ProvisioningLogs 報表。 如需詳細資訊，請參閱＜佈建記錄＞。

AD FS 登入記錄

此使用量和深入解析報告中會擷取 Active Directory 同盟服務 (AD FS) 應用程式的登入活動。 您可以匯出 ADFSSignInLogs 報告，以監視 AD FS 應用程式的登入活動。 如需詳細資訊，請參閱＜AD FS 登入記錄＞。

風險性使用者

RiskyUsers 記錄會根據登入活動來識別有風險的使用者。 此報告是 Microsoft Entra ID Protection 的一部分，並使用來自 Microsoft Entra ID 的登入資料。 如需詳細資訊，請參閱＜什麼是 Microsoft Entra ID Protection?＞。

使用者風險事件

UserRiskEvents 記錄是 Microsoft Entra ID Protection 的一部分。 這些記錄會擷取風險性登入事件的詳細資料。 如需詳細資訊，請參閱＜如何調查風險＞(機器翻譯)。

網路存取流量記錄

NetworkAccessTrafficLogs 與 Microsoft Entra Internet Access 和 Microsoft Entra Private Access 相關聯。 記錄會顯示在 Microsoft Entra ID 中，但選取此選項並不會將新的記錄新增至工作區，除非組織使用 Microsoft Entra Internet Access 與 Microsoft Entra Private Access 來保護公司資源的存取。 如需詳細資訊，請參閱＜什麼是全球安全存取？＞(機器翻譯)。

風險性服務主體

RiskyServicePrincipals 記錄會提供服務主體的相關資訊，偵測到 Microsoft Entra ID Protection 有風險。 服務主體風險代表身分識別或帳戶遭到入侵的機率。 這些風險是使用來自 Microsoft 內部和外部威脅情報來源的資料和模式，以非同步的方式計算。 這些來源可能包括 Microsoft 的安全性研究人員、執法專業人員和安全性小組。 如需詳細資訊，請參閱＜保護工作負載身分識別＞(機器翻譯)。

服務主體風險事件

ServicePrincipalRiskEvents 提供服務主體風險性登入事件的詳細資料。 這些記錄可能包含與服務主體帳戶相關的任何已識別可疑事件。 如需詳細資訊，請參閱＜保護工作負載身分識別＞(機器翻譯)。

擴充的 Microsoft 365 稽核記錄

EnrichedOffice365AuditLogs 會與您可以針對 Microsoft Entra Internet Access 啟用的擴充記錄相關聯。 除非組織使用 Microsoft Entra Internet 來保護存取 Microsoft 365 流量，且您啟用擴充的記錄，否則選取此選項不會將新的記錄新增至工作區。 如需詳細資訊，請參閱＜如何使用全球安全存取擴充的 Microsoft 365 記錄＞(機器翻譯)。

Microsoft Graph 活動記錄

MicrosoftGraphActivityLogs 可讓系統管理員完整查看透過 Microsoft Graph API 存取租用戶資源的所有 HTTP 要求。 您可以使用這些記錄來識別租用戶中遭入侵使用者帳戶的活動，或調查用戶端應用程式有問題或非預期的行為，例如極端呼叫量。 將這些記錄路由傳送至與 SignInLogs 相同的 Log Analytics 工作區，以交叉參照登入記錄的權杖要求詳細資料。 如需詳細資訊，請參閱＜存取 Microsoft Graph 活動記錄＞(英文)。

遠端網路健康情況記錄

RemoteNetworkHealthLogs 可讓您深入了解透過全球安全存取設定的遠端網路健康情況。 選取此選項並不會將新的記錄新增至工作區，除非組織使用 Microsoft Entra Internet Access 與 Microsoft Entra Private Access 來保護公司資源的存取。 如需詳細資訊，請參閱＜遠端網路健康情況記錄＞(機器翻譯)。

自訂安全性屬性稽核記錄

CustomSecurityAttributeAuditLogs 是在診斷設定自訂安全性屬性區段中設定的。 這些記錄會擷取 Microsoft Entra 租用戶中自訂安全性屬性的變更。 若要在 Microsoft Entra 稽核記錄中檢視這些記錄，您需要屬性記錄讀取器角色。 若要將這些記錄路由傳送至端點，您需要屬性記錄管理員角色和安全性系統管理員。