如何自定义和筛选标识活动日志

登录日志是一种常用工具,用于排查用户访问问题并调查风险登录活动。 审核日志收集 Microsoft Entra ID 中记录的每个事件,并可用于调查对环境所做的更改。 有 30 多个列可供选择,用于自定义 Microsoft Entra 管理中心门户中登录日志的视图。 还可以根据需要自定义和筛选审核日志。

本文介绍了如何自定义列,然后筛选日志以更高效地查找所需信息。

先决条件

如何在 Microsoft Entra 管理中心访问活动日志

始终可以在https://mysignins.windowsazure.cn上访问自己的登录历史记录。 还可以从 Microsoft Entra ID 的“用户”和“企业应用程序”中访问登录日志。

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“监视和运行状况”>“审核日志”/“登录日志”。

借助 Microsoft Entra 审核日志中的信息,可以出于合规性目的访问系统活动的所有记录。 可以从 Microsoft Entra ID 的“监视和运行状况”部分访问审核日志,可在其中对每个类别和活动进行排序和筛选。 还可以在管理中心区域中访问正在调查的服务的审核日志。

侧菜单上审核日志选项的屏幕截图。

例如,假设希望更改 Microsoft Entra 组,可以从“Microsoft Entra ID”>“”访问审核日志。 从服务访问审核日志时,会根据服务自动调整筛选器。

“组”菜单中审核日志选项的屏幕截图。

自定义审核日志的布局

你可以自定义审核日志中的列以只查看所需信息。 “服务”、“类别”和“活动”列彼此相关,因此这些列应始终可见。

屏幕截图显示审核日志中的“列”按钮。

筛选审核日志

服务筛选日志时,类别活动详细信息会自动更改。 在某些情况下,可能只有一个类别或活动。 有关这些详细信息的所有潜在组合的详细表,请参阅审核活动

将条件访问用作服务的审核日志筛选器的屏幕截图。

  • 服务:默认为所有可用服务,但可以通过从下拉列表中选择某一选项将列表筛选至一项或多项服务。

  • 类别:默认为所有类别,但可以筛选以查看活动类别,例如更改策略或激活符合条件的 Microsoft Entra 角色。

  • 活动:基于选择的类别和活动资源类型。 可以选择要查看的特定活动,也可以全选。

    可以使用 Microsoft Graph API 获取所有审核活动的列表:https://graph.chinacloudapi.cn/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

  • 状态:允许根据活动是成功或失败来查看结果。

  • 目标:允许搜索活动的目标或收件人。 按名称或用户主体名称 (UPN) 的前几个字母进行搜索。 目标名称和 UPN 区分大小写。

  • 发起者:允许使用活动发起者姓名或 UPN 的前几个字母来按其进行搜索。 名称和 UPN 区分大小写。

  • 日期范围:用于定义已返回数据的时间范围。 可以按过去 7 天、24 小时或自定义时间范围进行搜索。 选择自定义时间范围时,可以配置开始时间和结束时间。