Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
在 Microsoft Entra ID 中使用 诊断设置,可以将活动日志路由到多个端点,以便于长期数据保留和深入分析。 可以存档存储日志、路由到安全信息和事件管理(SIEM)工具,并将日志与Azure Monitor日志集成。
集成后,可以享受到丰富的可视化效果,并能监视和警报连接数据。 本文介绍每种集成类型或访问机制的建议用法。 还介绍了将Microsoft Entra活动日志发送到各种终结点的成本注意事项。
支持的报表
以下日志可以与多个终结点之一集成:
集成选项
若要帮助选择用于集成存储或分析Microsoft Entra活动日志的正确方法,请考虑要尝试完成的总体任务。 选项分为三个主要类别:
- 故障排除
- 长期存储
- 分析和监视
基本故障排除
如果要执行基本的故障排除任务,但无需将日志保留 30 天以上,建议使用Microsoft Entra管理中心或Microsoft Graph API 访问活动日志。 可以针对场景筛选日志,并根据需要导出或下载日志。
如果要执行故障排除任务,并且需要将日志保留 30 天以上,请查看长期存储选项。
长期存储
如果您在执行故障排除任务并且需要保留日志超过 30 天,则应将日志导出到 Azure 存储帐户。 如果你不打算经常查询该数据,或者你需要出于符合性目的存储日志,则此选项是理想选择。
如果需要查询保留超过 30 天的数据,请查看分析和监视选项。
分析和监视
如果场景要求将数据保留 30 天以上,并且计划定期查询该数据,则可以选择将数据与 SIEM 工具集成以进行分析和监视。
如果你使用非 Microsoft SIEM 工具,我们建议你设置一个事件中心命名空间和事件中心,你可在其中流式传输数据。 使用事件中心,可以将日志流式传输到受支持的 SIEM 工具之一。
如果不打算使用第三方 SIEM 工具,建议将Microsoft Entra活动日志发送到 Azure Monitor 日志。 通过此集成,可以在 Log Analytics 工作区中查询活动日志。 将日志与Azure Monitor日志集成后,可以查询Log Analytics并设置工作簿,以便进一步分析和发出警报。 建议设置用于存储日志的工作区和不同的工作区,以便与Log Analytics和工作簿集成。
除了Azure Monitor日志之外,Microsoft Sentinel还提供近乎实时的安全检测和威胁搜寻。 如果以后决定与 SIEM 工具集成,可以通过事件中心将Microsoft Entra活动日志与其他Azure数据一起流式传输。
成本注意事项
将数据发送到 Log Analytics 工作区、将数据归档到存储帐户或将日志流式传输到事件中心是有成本的。 数据量和产生的成本可能会因租户大小、使用的策略数甚至一天中的时间而异。 更改现有诊断设置可能会产生新的费用。
由于难以预测将日志发送到终结点的大小和成本,因此确定预期成本的最准确方法是将日志路由到终结点一天或两天。 使用此快照,可以准确预测预期成本。 您还可以通过下载日志样本,然后相应地进行乘法运算,以估算一天的成本。
以下Azure Monitor成本详细信息文章介绍了将Microsoft Entra日志发送到Azure Monitor日志的其他注意事项:
- Azure Monitor日志成本计算和选项
- Azure Monitor成本和使用情况
- 优化 Azure Monitor 中的成本
Azure Monitor提供从Microsoft Entra ID引入日志时排除整个事件、字段或部分字段的选项。 在 Azure Monitor 的数据收集转换功能 中详细了解更多关于此成本节省功能的信息。
估算成本
若要估算组织的成本,可以估算每日日志大小或将日志与终结点集成的每日成本。
以下因素可能会影响组织的成本:
- 审核日志事件使用大约 2 KB 的数据存储
- 登录日志事件使用平均 11.5 KB 的数据存储
- 约 100,000 名用户的租户每天可能会产生大约 150 万个事件
- 事件按大约 5 分钟的时间间隔进行批处理,并以单条消息的形式发送,每条包含该时间范围内的所有事件
每日日志大小
若要估计每日日志大小,请收集日志示例,调整示例以反映租户大小和设置,然后将该示例应用于 Azure 定价计算器。
如果以前尚未从 Microsoft Entra 管理中心下载日志,请查看 如何下载 Microsoft Entra ID 中的日志。 根据组织的规模,可能需要选择不同的示例大小来开始估算。 以下样本量是一个不错的起点:
- 1,000 条记录
- 对于大型租户,登录时间为 15 分钟
- 对于中小型租户,登录时间为 1 小时
捕获数据示例时,还应考虑用户的地理分布和峰值时段。 如果你的组织位于一个区域,则登录可能在同一时间达到峰值。 相应地调整示例大小以及何时捕获示例。
通过捕获的数据示例,进行相应的相乘,以计算出一天内文件的大小。
估算每日成本
若要了解日志集成可能花费多少组织成本,可以启用集成一天或两天。 如果预算允许临时增加,请使用此选项。
若要启用日志集成,请按照将活动日志与 Azure Monitor 日志 一文中的步骤进行操作。 如果可能,请为要试用的日志和终结点创建新的资源组。使用专用资源组可以轻松查看成本分析,并在完成后将其删除。
启用集成后,导航到 Azure portal>Cost Management>Cost analysis。 可以通过多种方式来分析成本。 本成本管理快速入门可以帮助你开始使用。 以下屏幕截图中的数字用于举例,不用于反映实际数目。
请确保您将新的资源组用作范围。 浏览每日成本和预测,了解日志集成的成本。
计算预估成本
从 Azure 定价计算器登陆页,可以估算各种产品的成本。
一旦您有了发送到终结点的 GB/天的估计值,请在 Azure 定价计算器中输入该值。 以下屏幕截图中的数字用于举例,不用于反映实际价格。
Azure定价计算器的