Compartir a través de

什么是 Microsoft Entra 活动日志集成选项?

使用 Microsoft Entra ID 中的诊断设置,可将活动日志路由到多个终结点以便长期数据保留以及获取见解。 你可以存档日志进行存储,路由到安全信息和事件管理 (SIEM) 工具,并将日志与 Azure Monitor 日志集成。

集成后,可以享受到丰富的可视化效果,并能监视和警报连接数据。 本文介绍每种集成类型或访问机制的建议用法。 本文还介绍了将 Microsoft Entra 活动日志发送到各种终结点的成本注意事项。

支持的报表

以下日志可以与多个终结点之一集成:

集成选项

为了帮助选择集成 Microsoft Entra 活动日志进行存储或分析的正确方法,请考虑要尝试完成的总体任务。 选项分为三个主要类别:

  • 故障排除
  • 长期存储
  • 分析和监视

基本故障排除

如果你正在执行故障排除任务,但不需要将日志保留超过 30 天,我们建议使用 Microsoft Entra 管理中心或 Microsoft Graph API 来访问活动日志。 可以针对场景筛选日志,并根据需要导出或下载日志。

如果要执行故障排除任务,并且需要将日志保留 30 天以上,请查看长期存储选项。

长期存储

如果要执行故障排除任务,并且需要将日志保留 30 天以上,应将日志导出到 Azure 存储帐户。 如果你不打算经常查询该数据,或者你需要出于符合性目的存储日志,则此选项是理想选择。

如果需要查询保留超过 30 天的数据,请查看分析和监视选项。

分析和监视

如果场景要求将数据保留 30 天以上,并且计划定期查询该数据,则可以选择将数据与 SIEM 工具集成以进行分析和监视。

如果你使用非 Microsoft SIEM 工具,我们建议你设置一个事件中心命名空间和事件中心,你可在其中流式传输数据。 使用事件中心,可以将日志流式传输到受支持的 SIEM 工具之一。

如果不打算使用第三方 SIEM 工具,我们建议将 Microsoft Entra 活动日志发送到 Azure Monitor 日志。 通过此集成,可在 Log Analytics 工作区中查询活动日志。 将日志与 Azure Monitor 日志集成后,可使用 Log Analytics 进行查询,并设置工作簿进行进一步分析和警报。 建议设置一个工作区以存储日志,以及一个不同的工作区以与 Log Analytics 和工作簿集成。

除了 Azure Monitor 日志,Microsoft Sentinel 还提供准实时的安全检测和威胁搜寻。 如果决定稍后与 SIEM 工具集成,可以通过事件中心流式传输 Microsoft Entra 活动日志以及其他 Azure 数据。

成本注意事项

将数据发送到 Log Analytics 工作区、在存储帐户中存档数据或将日志流式传输到事件中心需要付费。 数据量和产生的成本可能会因租户大小、使用的策略数甚至一天中的时间而异。 更改现有诊断设置可能会产生新的费用。

由于难以预测将日志发送到终结点的大小和成本,因此确定预期成本的最准确方法是将日志路由到终结点一天或两天。 使用此快照,可以准确预测预期成本。 还可以通过下载日志示例并相应地相乘来估算一天的成本,从而估算成本。

以下 Azure Monitor 成本详细信息文章介绍了将 Microsoft Entra 日志发送到 Azure Monitor 日志的其他注意事项:

Azure Monitor 提供了一个选项,用于在从 Microsoft Entra ID 引入日志时排除整个事件、字段或部分字段。 有关此成本节省功能的详细信息,请参阅 Azure Monitor 中的数据收集转换

估算成本

若要估算组织的成本,可以估算每日日志大小或将日志与终结点集成的每日成本。

以下因素可能会影响组织的成本:

  • 审核日志事件使用大约 2 KB 的数据存储
  • 登录日志事件使用平均 11.5 KB 的数据存储
  • 约 100,000 名用户的租户每天可能会产生大约 150 万个事件
  • 事件按大约 5 分钟的时间间隔进行批处理,并以单条消息的形式发送,每条包含该时间范围内的所有事件

每日日志大小

若要估算每日日志大小,请收集日志示例,调整示例以反映租户大小和设置,然后将该示例应用于 Azure 定价计算器

如果之前未从 Microsoft Entra 管理中心下载日志,请查看如何在 Microsoft Entra ID 中下载日志一文。 根据组织的规模,可能需要选择不同的示例大小来开始估算。 以下示例大小是一个很好的起点:

  • 1,000 条记录
  • 对于大型租户,登录时间为 15 分钟
  • 对于中小型租户,登录时间为 1 小时

捕获数据示例时,还应考虑用户的地理分布和峰值时段。 如果你的组织位于一个区域,则登录可能在同一时间达到峰值。 相应地调整示例大小以及何时捕获示例。

通过捕获的数据示例,进行相应的相乘,以计算出一天内文件的大小。

估算每日成本

若要了解日志集成可能花费多少组织成本,可以启用集成一天或两天。 如果预算允许临时增加,请使用此选项。

若要启用日志集成,请按照将活动日志与 Azure Monitor 日志集成一文中的步骤操作。 如果可能,请为要试用的日志和终结点创建新的资源组。使用专用资源组可以轻松查看成本分析,并在完成后将其删除。

启用集成后,导航到“Azure 门户>“成本管理”>“成本分析”。 可以通过多种方式来分析成本。 本成本管理快速入门可以帮助你开始使用。 以下屏幕截图中的数字用于举例,不用于反映实际数目。

以饼图形式显示成本分析明细的屏幕截图。

请确保使用新资源组作为范围。 浏览每日成本和预测,了解日志集成的成本。

计算预估成本

Azure 定价计算器登陆页中,可以估算各种产品的成本。

估算出将发送到终结点的 GB/天后,请在 Azure 定价计算器中输入该值。 以下屏幕截图中的数字用于举例,不用于反映实际价格。

Azure 定价计算器的屏幕截图,以 8 GB/天为例。