为活动日志配置 Microsoft Entra 诊断设置

使用 Microsoft Entra ID 中的诊断设置,可以将日志与 Azure Monitor 集成、将日志流式传输到事件中心,或将日志存档到存储帐户。 可以创建多个诊断设置,以将活动日志发送到不同的目标。

本文介绍为活动日志配置 Microsoft Entra 诊断设置的步骤。

先决条件

配置诊断设置需要:

  • Azure 订阅。 如果没有 Azure 订阅,可以注册试用版
  • 安全管理员访问权限,用于为 Microsoft Entra 租户创建常规诊断设置。
  • 属性日志管理员访问权限,用于为自定义安全属性日志创建诊断设置。
  • 已设置的目标。 例如,如果要将日志流式传输到事件中心,则需要先创建事件中心,然后才能配置诊断设置。

如何访问诊断设置

本文介绍访问 Microsoft Entra 日志的诊断设置的步骤。 如果需要在 Microsoft Entra ID 之外配置 Azure Monitor 或 Azure 资源的诊断设置,请参阅 Azure Monitor 中的诊断设置

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“监视和运行状况”>“诊断设置”。常规”设置默认显示。

  3. 所有现有诊断设置都显示在表中。 请选择“编辑设置”以更改现有设置,或选择“添加诊断设置”以创建新设置

    屏幕截图显示了 Microsoft Entra 诊断设置页。

自定义安全属性

自定义安全属性日志是标准审核日志的一部分。 必须激活“属性日志管理员”角色才能配置自定义安全属性的诊断设置。 有关详细信息,请参阅自定义安全属性概述

若要为自定义安全属性审核日志配置诊断设置,请选择“自定义安全属性”。 配置诊断设置的过程对于这两类日志都是相同的。

屏幕截图显示了诊断设置的自定义安全属性页。

提示

Microsoft 建议将自定义安全属性审核日志与目录审核日志分开保存,以免无意中显示属性分配。

选择日志和目标

创建或编辑诊断设置时,可以选择要包括的日志以及将其发送到何处。

日志类别

可以选择一个、部分或所有可用日志。 某些日志可能是预览功能的一部分。 即使选择了日志类别,在该功能正式发布之前也可能看不到任何数据。 有关可用日志的说明,请参阅用于流式传输到终结点的日志选项

屏幕截图显示了诊断设置中的日志类别。

目标详细信息

可以将日志发送到 Log Analytics 工作区、将日志流式传输到事件中心,或将日志存档到存储帐户。

若要将日志发送到其中一个目标,必须已配置该目标。

选择目标后,会出现更多字段。 从显示的字段中选择适当的订阅和目标。

屏幕截图显示了诊断设置中的目标选项。

有关为特定目标配置诊断设置的详细信息,请参阅以下文章:

基本流程

配置诊断设置的基本步骤如下:

  1. 若要创建新的诊断设置,请选择“添加诊断设置”。

  2. 提供一个名称。

  3. 选择要包括的日志。

  4. 选择要将日志发送到的目标。

  5. 从显示的下拉菜单中选择订阅和目标。

  6. 选择保存按钮。

    “创建诊断设置”页的屏幕截图,其中选择了多个日志以转到 Log Analytics 工作区。

注意

最长可能需要三天时间,日志才会开始显示在目标中。