为活动日志配置 Microsoft Entra 诊断设置
使用 Microsoft Entra ID 中的诊断设置,可以将日志与 Azure Monitor 集成、将日志流式传输到事件中心,或将日志存档到存储帐户。 可以创建多个诊断设置,以将活动日志发送到不同的目标。
本文介绍为活动日志配置 Microsoft Entra 诊断设置的步骤。
先决条件
配置诊断设置需要:
- Azure 订阅。 如果没有 Azure 订阅,可以注册试用版。
- 安全管理员访问权限,用于为 Microsoft Entra 租户创建常规诊断设置。
- 属性日志管理员访问权限,用于为自定义安全属性日志创建诊断设置。
- 已设置的目标。 例如,如果要将日志流式传输到事件中心,则需要先创建事件中心,然后才能配置诊断设置。
如何访问诊断设置
本文介绍访问 Microsoft Entra 日志的诊断设置的步骤。 如果需要在 Microsoft Entra ID 之外配置 Azure Monitor 或 Azure 资源的诊断设置,请参阅 Azure Monitor 中的诊断设置。
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“监视和运行状况”>“诊断设置”。 “常规”设置默认显示。
所有现有诊断设置都显示在表中。 请选择“编辑设置”以更改现有设置,或选择“添加诊断设置”以创建新设置。
自定义安全属性
自定义安全属性日志是标准审核日志的一部分。 必须激活“属性日志管理员”角色才能配置自定义安全属性的诊断设置。 有关详细信息,请参阅自定义安全属性概述。
若要为自定义安全属性审核日志配置诊断设置,请选择“自定义安全属性”。 配置诊断设置的过程对于这两类日志都是相同的。
提示
Microsoft 建议将自定义安全属性审核日志与目录审核日志分开保存,以免无意中显示属性分配。
选择日志和目标
创建或编辑诊断设置时,可以选择要包括的日志以及将其发送到何处。
日志类别
可以选择一个、部分或所有可用日志。 某些日志可能是预览功能的一部分。 即使选择了日志类别,在该功能正式发布之前也可能看不到任何数据。 有关可用日志的说明,请参阅用于流式传输到终结点的日志选项。
目标详细信息
可以将日志发送到 Log Analytics 工作区、将日志流式传输到事件中心,或将日志存档到存储帐户。
若要将日志发送到其中一个目标,必须已配置该目标。
选择目标后,会出现更多字段。 从显示的字段中选择适当的订阅和目标。
有关为特定目标配置诊断设置的详细信息,请参阅以下文章:
基本流程
配置诊断设置的基本步骤如下:
若要创建新的诊断设置,请选择“添加诊断设置”。
提供一个名称。
选择要包括的日志。
选择要将日志发送到的目标。
从显示的下拉菜单中选择订阅和目标。
选择保存按钮。
注意
最长可能需要三天时间,日志才会开始显示在目标中。