什么是可以流式处理到终结点的标识日志?

使用 Microsoft Entra 诊断设置,可将活动日志路由到多个终结点以便长期保留并获取数据见解。 选择要路由的日志,然后选择终结点。

本文介绍了可以使用 Microsoft Entra 诊断设置路由到终结点的日志。

日志流式处理要求和选项

设置端点(如事件中心或存储帐户)可能需要不同的角色和许可证。 要创建或编辑新的诊断设置,你需要一位具有 Microsoft Entra 租户安全管理员身份的用户。

若要帮助确定最适合的日志路由选项,请参阅如何访问活动日志。 以下文章介绍了每种终结点类型的整个过程和要求:

活动日志选项

以下日志可以路由到终结点来进行存储、分析或监视。

审核日志

AuditLogs 报告会捕获对 Microsoft Entra 租户中应用程序、组、用户和许可证的更改。 路由审核日志后,可以按日期/时间、记录事件的服务以及更改者进行筛选或分析。 有关详细信息,请参阅审核日志

登录日志

SignInLogs 将发送交互式登录日志,即根据用户登录情况生成的日志。 用户在 Microsoft Entra 登录屏幕上提供其用户名和密码或通过 MFA 质询时,会生成登录日志。 有关详细信息,请参阅交互式用户登录

非交互式登录日志

NonInteractiveUserSIgnInLogs 是代表用户(例如客户端应用)完成的登录。 设备或客户端将使用令牌或代码代表用户对资源进行身份验证或访问。 有关详细信息,请参阅非交互式用户登录

服务主体登录日志

如果需要查看应用或服务主体的登录活动,ServicePrincipalSignInLogs 可能是一个不错的选择。 在这些方案中,证书或客户端机密用于进行身份验证。 有关详细信息,请参阅服务主体登录

托管标识登录日志

ManagedIdentitySignInLogs 提供的见解与服务主体登录日志类似,但对于托管标识,由 Azure 管理机密。 有关详细信息,请参阅托管标识登录

AD FS 登录日志

此使用情况和见解报告将捕获 Active Directory 联合服务 (AD FS) 应用程序的登录活动。 你可以导出 ADFSSignInLogs 报告以监视 AD FS 应用程序的登录活动。 有关详细信息,请参阅 AD FS 登录日志

Microsoft Graph 活动日志

使MicrosoftGraphActivityLogs管理员能够完全了解通过 Microsoft 图形 API访问租户资源的所有 HTTP 请求。 可以使用这些日志来识别被入侵的用户帐户在租户中执行的活动,或调查客户端应用程序有问题或意外的行为,例如极端调用量。 将这些日志路由到同一 Log Analytics 工作区,以便 SignInLogs 交叉引用登录日志的令牌请求的详细信息。 有关详细信息,请参阅访问 Microsoft Graph 活动日志

远程网络运行状况日志

RemoteNetworkHealthLogs 提供通过全局安全访问配置的远程网络的运行状况的见解。 选择此选项不会将新日志添加到工作区,除非你的组织使用 Microsoft Entra Internet 访问和Microsoft Entra 专用访问来保护对公司资源的访问。

自定义安全属性审核日志

CustomSecurityAttributeAuditLogs 是在诊断设置的自定义安全属性部分中配置的。 捕获日志会对 Microsoft Entra 租户中自定义安全属性的更改。 若要在 Microsoft Entra 审核日志中查看这些日志,需要具有属性日志读取者角色。 若要将这些日志路由到终结点,需要具有属性日志管理员角色和安全管理员