什么是 Microsoft Entra 活动日志集成选项？

使用 Microsoft Entra ID 中的诊断设置，可将活动日志路由到多个终结点以便长期数据保留以及获取见解。 你可以存档日志进行存储，路由到安全信息和事件管理 (SIEM) 工具，并将日志与 Azure Monitor 日志集成。

集成后，可以享受到丰富的可视化效果，并能监视和警报连接数据。 本文介绍每种集成类型或访问机制的建议用法。 本文还介绍了将 Microsoft Entra 活动日志发送到各种终结点的成本注意事项。

支持的报表

以下日志可以与多个终结点之一集成：

• 可通过审核日志活动报表访问在租户中执行的每个任务的历史记录。
• 使用登录活动报表，可以查看用户尝试登录应用程序或排查登录错误的时间。

集成选项

为了帮助选择集成 Microsoft Entra 活动日志进行存储或分析的正确方法，请考虑要尝试完成的总体任务。 我们已将选项分为三个主要类别：

• 故障排除
• 长期存储
• 分析和监视

故障排除

如果你正在执行故障排除任务，但不需要将日志保留超过 30 天，我们建议使用 Azure 门户或 Microsoft Graph 访问活动日志。 可以针对场景筛选日志，并根据需要导出或下载日志。

如果要执行故障排除任务，并且需要将日志保留 30 天以上，请查看长期存储选项。

长期存储

如果要执行故障排除任务，并且需要将日志保留 30 天以上，可以将日志导出到 Azure 存储帐户。 如果你不打算经常查询该数据，此选项非常适合。

如果需要查询保留超过 30 天的数据，请查看分析和监视选项。

分析和监视

如果场景要求将数据保留 30 天以上，并且计划定期查询该数据，则可以选择将数据与 SIEM 工具集成以进行分析和监视。

如果你有第三方 SIEM 工具，我们建议设置一个事件中心命名空间以及可以通过其流式传输数据的事件中心。 使用事件中心，可以将日志流式传输到受支持的 SIEM 工具之一。

如果不打算使用第三方 SIEM 工具，我们建议将 Microsoft Entra 活动日志发送到 Azure Monitor 日志。 通过此集成，可以使用 Log Analytics 查询活动日志。 除了 Azure Monitor 日志，Microsoft Sentinel 还提供准实时的安全检测和威胁搜寻。 如果决定稍后与 SIEM 工具集成，可以通过事件中心流式传输 Microsoft Entra 活动日志以及其他 Azure 数据。

成本注意事项

将数据发送到 Log Analytics 工作区、在存储帐户中存档数据或将日志流式传输到事件中心需要付费。 数据量和产生的成本可能会因租户大小、使用的策略数甚至一天中的时间而异。 更改现有诊断设置可能会产生新的费用。

由于难以预测将日志发送到终结点的大小和成本，因此确定预期成本的最准确方法是将日志路由到终结点一天或两天。 使用此快照，可以准确预测预期成本。 还可以通过下载日志示例并相应地相乘来估算一天的成本，从而估算成本。

以下 Azure Monitor 成本详细信息文章介绍了将 Microsoft Entra 日志发送到 Azure Monitor 日志的其他注意事项：

• Azure Monitor 日志成本计算和选项
• Azure Monitor 成本和使用情况
• 优化 Azure Monitor 中的开销

Azure Monitor 提供了一个选项，用于在从 Microsoft Entra ID 引入日志时排除整个事件、字段或部分字段。 有关此成本节省功能的详细信息，请参阅 Azure Monitor 中的数据收集转换。

估算成本

若要估算组织的成本，可以估算每日日志大小或将日志与终结点集成的每日成本。

以下因素可能会影响组织的成本：

• 审核日志事件使用大约 2 KB 的数据存储
• 登录日志事件使用平均 11.5 KB 的数据存储
• 约 100，000 名用户的租户每天可能会产生大约 150 万个事件
• 事件按大约 5 分钟的时间间隔进行批处理，并以单条消息的形式发送，每条包含该时间范围内的所有事件

每日日志大小

若要估算每日日志大小，请收集日志示例，调整示例以反映租户大小和设置，然后将该示例应用于 Azure 定价计算器。

如果之前未从 Microsoft Entra 管理中心下载日志，请查看如何在 Microsoft Entra ID 中下载日志一文。 根据组织的规模，可能需要选择不同的示例大小来开始估算。 以下示例大小是一个很好的起点：

• 1000 个记录
• 对于大型租户，登录时间为 15 分钟
• 对于中小型租户，登录时间为 1 小时

捕获数据示例时，还应考虑用户的地理分布和峰值时段。 如果你的组织位于一个区域，则登录可能在同一时间达到峰值。 相应地调整示例大小以及何时捕获示例。

通过捕获的数据示例，进行相应的相乘，以计算出一天内文件的大小。

估算每日成本

若要了解日志集成可能花费多少组织成本，可以启用集成一天或两天。 如果预算允许临时增加，请使用此选项。

若要启用日志集成，请按照将活动日志与 Azure Monitor 日志集成一文中的步骤操作。 如果可能，请为要试用的日志和终结点创建新的资源组。使用专用资源组可以轻松查看成本分析，并在完成后将其删除。

启用集成后，导航到“Azure 门户>“成本管理”>“成本分析”。 可以通过多种方式来分析成本。 本成本管理快速入门可以帮助你开始使用。 以下屏幕截图中的数字用于举例，不用于反映实际数目。

请确保使用新资源组作为范围。 浏览每日成本和预测，了解日志集成的成本。

计算预估成本

在 Azure 定价计算器登陆页中，可以估算各种产品的成本。

• Azure Monitor
• Azure 存储
• Azure 事件中心
• Microsoft Sentinel

估算出将发送到终结点的 GB/天后，请在 Azure 定价计算器中输入该值。 以下屏幕截图中的数字用于举例，不用于反映实际价格。