如何自定义和筛选标识活动日志
登录日志是一种常用工具,用于排查用户访问问题并调查风险登录活动。 审核日志收集 Microsoft Entra ID 中记录的每个事件,并可用于调查对环境所做的更改。 有 30 多个列可供选择,用于自定义 Microsoft Entra 管理中心门户中登录日志的视图。 还可以根据需要自定义和筛选审核日志。
本文介绍了如何自定义列,然后筛选日志以更高效地查找所需信息。
先决条件
所需的角色和许可证因报告而异。 需要单独的权限才能访问 Microsoft Graph 中的监视和运行状况数据。 我们建议使用具有最低访问权限的角色,以符合零信任指导。 有关角色的完整列表,请参阅按任务列出的最低特权角色。
| 日志/报表 | 角色 | 许可证 |
|---|---|---|
| 审核日志 | 报告读取者 安全读取者 安全管理员 |
所有版本的 Microsoft Entra ID |
| 登录日志 | 报告读取者 安全读取者 安全管理员 |
在所有版本的 Microsoft Entra ID |
| 自定义安全属性审核日志* | 属性日志管理员 属性日志读取器 |
在所有版本的 Microsoft Entra ID |
| 运行状况 | 报告读取者 安全读取者 帮助台管理员 |
Microsoft Entra ID P1 或 P2 |
| Microsoft Graph 活动日志 | 安全管理员 访问相应日志目标中数据的权限 |
Microsoft Entra ID P1 或 P2 |
| 使用情况和见解 | 报告读取者 安全读取者 安全管理员 |
Microsoft Entra ID P1 或 P2 |
*查看审核日志中的自定义安全属性或为自定义安全属性创建诊断设置需要“属性日志”角色之一。 你还需要适当的角色才能查看标准审核日志。
如何在 Microsoft Entra 管理中心访问活动日志
始终可以在https://mysignins.windowsazure.cn上访问自己的登录历史记录。 还可以从 Microsoft Entra ID 的“用户”和“企业应用程序”中访问登录日志。
提示
本文中的步骤可能因开始使用的门户而略有不同。
- 至少以报告读取者身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“监视和运行状况”>“审核日志”/“登录日志”。
借助 Microsoft Entra 审核日志中的信息,可以出于合规性目的访问系统活动的所有记录。 可以从 Microsoft Entra ID 的“监视和运行状况”部分访问审核日志,可在其中对每个类别和活动进行排序和筛选。 还可以在管理中心区域中访问正在调查的服务的审核日志。
例如,假设希望更改 Microsoft Entra 组,可以从“Microsoft Entra ID”>“组”访问审核日志。 从服务访问审核日志时,会根据服务自动调整筛选器。
自定义审核日志的布局
你可以自定义审核日志中的列以仅查看所需信息。 服务、类别和活动列彼此相关,因此这些列应始终可见。
筛选审核日志
按服务筛选日志时,类别和活动详细信息会自动更改。 在某些情况下,可能只有一个类别或活动。 有关这些详细信息的所有潜在组合的详细表,请参阅审核活动。
服务:默认为所有可用服务,但可以通过从下拉列表中选择某一选项将列表筛选至一项或多项服务。
类别:默认为所有类别,但可以筛选以查看活动类别,例如更改策略或激活符合条件的 Microsoft Entra 角色。
活动:基于选择的类别和活动资源类型。 可以选择要查看的特定活动,也可以全选。
可以使用 Microsoft Graph API 获取所有审核活动的列表:
https://graph.chinacloudapi.cn/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta状态:允许根据活动是成功或失败来查看结果。
目标:允许搜索活动的目标或收件人。 按名称或用户主体名称 (UPN) 的前几个字母进行搜索。 目标名称和 UPN 区分大小写。
发起者:允许使用活动发起者姓名或 UPN 的前几个字母来按其进行搜索。 名称和 UPN 区分大小写。
日期范围:用于定义已返回数据的时间范围。 可以按过去 7 天、24 小时或自定义时间范围进行搜索。 选择自定义时间范围时,可以配置开始时间和结束时间。
