为活动日志配置 Microsoft Entra 诊断设置

使用 Microsoft Entra ID 中的诊断设置，可以将日志与 Azure Monitor 集成、将日志流式传输到事件中心，或将日志存档到存储帐户。 可以创建多个诊断设置，以将活动日志发送到不同的目标。

本文介绍为活动日志配置 Microsoft Entra 诊断设置的步骤。

先决条件

配置诊断设置需要：

• Azure 订阅。 如果没有 Azure 订阅，可以注册试用版。
• 安全管理员访问权限，用于为 Microsoft Entra 租户创建常规诊断设置。
• 属性日志管理员访问权限，用于为自定义安全属性日志创建诊断设置。
• 已设置的目标。 例如，如果要将日志流式传输到事件中心，则需要先创建事件中心，然后才能配置诊断设置。

如何访问诊断设置

本文介绍访问 Microsoft Entra 日志的诊断设置的步骤。 如果需要在 Microsoft Entra ID 之外配置 Azure Monitor 或 Azure 资源的诊断设置，请参阅 Azure Monitor 中的诊断设置。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“监视和运行状况”>“诊断设置”。 “常规”设置默认显示。

3. 所有现有诊断设置都显示在表中。 请选择“编辑设置”以更改现有设置，或选择“添加诊断设置”以创建新设置。

   

自定义安全属性

自定义安全属性日志是标准审核日志的一部分。 必须激活“属性日志管理员”角色才能配置自定义安全属性的诊断设置。 有关详细信息，请参阅自定义安全属性概述。

若要为自定义安全属性审核日志配置诊断设置，请选择“自定义安全属性”。 配置诊断设置的过程对于这两类日志都是相同的。

选择日志和目标

创建或编辑诊断设置时，可以选择要包括的日志以及将其发送到何处。

日志类别

可以选择一个、部分或所有可用日志。 某些日志可能是预览功能的一部分。 即使选择了日志类别，在该功能正式发布之前也可能看不到任何数据。 有关可用日志的说明，请参阅用于流式传输到终结点的日志选项。

目标详细信息

可以将日志发送到 Log Analytics 工作区、将日志流式传输到事件中心，或将日志存档到存储帐户。

若要将日志发送到其中一个目标，必须已配置该目标。

• 配置 Log Analytics 工作区
• 创建事件中心
• 创建存储帐户

选择目标后，会出现更多字段。 从显示的字段中选择适当的订阅和目标。

有关为特定目标配置诊断设置的详细信息，请参阅以下文章：

• 将日志与 Azure Monitor 日志集成
• 将日志流式传输到事件中心
• 将日志存档到 Azure 存储帐户

基本流程

配置诊断设置的基本步骤如下：

1. 若要创建新的诊断设置，请选择“添加诊断设置”。

2. 提供一个名称。

3. 选择要包括的日志。

4. 选择要将日志发送到的目标。

5. 从显示的下拉菜单中选择订阅和目标。

6. 选择保存按钮。