Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
使用 Microsoft Entra 诊断设置,您可以将活动日志路由到多个终结点,以实现长期保留和数据洞察。 选择要路由的日志,然后选择终结点。
本文描述能够通过 Microsoft Entra 诊断设置路由到终结点的日志。 日志根据其在安全调查中的重要性分为不同等级。
日志流式处理要求和选项
设置端点(如事件中心或存储帐户)可能需要不同的角色和许可证。 若要创建或编辑新的诊断设置,您需要一个 Microsoft Entra 租户的安全管理员用户。
若要帮助确定最适合的日志路由选项,请参阅 “如何访问活动日志”。 以下文章介绍了每种终结点类型的整个过程和要求:
活动日志选项
以下日志可以路由到终结点来进行存储、分析或监视。
审核日志
AuditLogs 报表用于记录和捕捉您Microsoft Entra租户中应用程序、组、用户和许可证的更改。 路由审核日志后,可以按日期/时间、记录事件的服务以及更改者进行筛选或分析。 有关详细信息,请参阅 审核日志。
登录日志
SignInLogs 将发送交互式登录日志,即根据用户登录情况生成的日志。 当用户在 Microsoft Entra 登录屏幕上输入用户名和密码或通过 MFA 验证时,将生成登录日志。 有关详细信息,请参阅 交互式用户登录。
非交互式登录日志
NonInteractiveUserSIgnInLogs 是代表用户(例如客户端应用)完成的登录。 设备或客户端将使用令牌或代码代表用户对资源进行身份验证或访问。 有关详细信息,请参阅 非交互式用户登录。
服务主体登录日志
如果需要查看应用或服务主体的登录活动,ServicePrincipalSignInLogs 可能是一个不错的选择。 在这些方案中,证书或客户端机密用于进行身份验证。 有关详细信息,请参阅 服务主体登录。
托管标识登录日志
ManagedIdentitySignInLogs提供类似于服务主用户登录日志的见解,但针对的是托管标识,由 Azure 负责管理相关机密。 有关详细信息,请参阅托管标识登录。
AD FS 登录日志
此使用情况和见解报告中捕获了 Active Directory Federated Services (AD FS) 应用程序的登录活动。 你可以导出 ADFSSignInLogs 报告以监视 AD FS 应用程序的登录活动。 有关详细信息,请参阅 AD FS 登录日志。
Microsoft Graph活动日志
MicrosoftGraphActivityLogs使管理员能够完全了解通过Microsoft Graph API访问租户资源的所有 HTTP 请求。 可以使用这些日志来识别被入侵的用户帐户在租户中执行的活动,或调查客户端应用程序有问题或意外的行为,例如极端调用量。 将这些日志使用 SignInLogs 路由到相同的 Log Analytics 工作区,以便交叉引用登录日志中的令牌请求详细信息。 有关详细信息,请参阅 Access Microsoft Graph活动日志。
Microsoft 服务主体登录日志(预览版)
MicrosoftServicePrincipalSignInLogs提供对场景的可见性,其中Microsoft拥有的(第一方)服务在租户内对其他Microsoft服务进行身份验证,例如,当用户在Microsoft Teams中打开Word文档时。 这些日志已发布,以提供更透明的服务到服务身份验证,但对于大多数客户来说,这些日志并不是必需的,因为它们很复杂,并且会生成大量数据。 这些应用程序由Microsoft安全性进行监视,以确保应用程序的安全性,并遵循最低特权原则。 我们希望强调,此数据对于安全调查来说并不重要,我们强烈建议不要采取诸如基于此数据禁用应用程序之类的作,因为这样做可能会导致配置错误和潜在的负面影响,如租户锁定。此数据仅以选择加入诊断设置的形式提供,目前为预览版。 有关详细信息和常见问题,请访问我们的 常见问题解答页。
自定义安全属性审核日志
CustomSecurityAttributeAuditLogs 是在诊断设置的自定义安全属性部分中配置的。 这些日志捕获Microsoft Entra租户中自定义安全属性的更改。 若要在Microsoft Entra审核日志中查看这些日志,需要 Attribute 日志读取者角色。 若要将这些日志路由到终结点,需要 属性日志管理员 角色和安全 管理员。