如何下载 Microsoft Entra ID 中的日志

Microsoft Entra 管理中心可让用户访问三种活动日志:

  • 登录:有关登录以及用户如何使用资源的信息。
  • 审核:有关应用于租户的更改(如用户和组管理)或应用于租户资源的更新的信息。

Microsoft Entra ID 根据许可证将活动日志存储特定的一段时间。 有关详细信息,请参阅 Microsoft Entra 数据保留。 通过下载日志,可以控制日志的存储时间。 本文介绍如何下载 Microsoft Entra ID 中的活动日志。

先决条件

  • 一个工作 Microsoft Entra 租户,具有与之关联的相应 Microsoft Entra 许可证。
  • 所有版本的 Microsoft Entra ID 都提供下载日志的选项。
  • 使用 Microsoft Graph 以编程方式下载日志需要高级许可证
  • “报告读取者”是查看 Microsoft Entra 活动日志所需的最低特权角色

日志下载注意事项

在下载日志之前,请查看以下注意事项和提示:

  • Microsoft Entra ID 支持下载以下格式:
    • CSV
    • JSON
  • 下载的文件中的时间戳基于 UTC。
  • 每个文件最多可以下载 100,000 条登录或预配记录。
  • 每个文件最多可以下载 250,000 条审核记录。
  • 请在下载日志之前设置筛选器,以缩小数据集范围。

注意

如果尝试下载大型数据集,Microsoft Entra 管理中心下载服务将超时。 通常,浏览器下载功能适合小于 250,000 条用于审核日志的数据集,以及100,000 条用于登录日志的数据集。

如果在浏览器中完成大型下载时遇到问题,可以使用报告 API 下载数据,或通过诊断设置将日志发送到终结点

注意

已下载日志中的列不会更改。 输出包含审核日志或登录日志的所有详细信息,无论在 Microsoft Entra 管理中心自定义了哪些列。 然而,如果设置自定义筛选器,则已下载日志中的输出仅包含与筛选器匹配的结果。

如何下载活动日志

可以从 Microsoft Entra ID 的“监视和运行状况”部分或正在使用的 Microsoft Entra ID 的区域访问活动日志

例如,如果你在 Microsoft Entra ID 的“组”或“许可证”部分,则可以直接从该区域访问这些特定活动的审核日志。 以这种方式访问审核日志时,会自动设置筛选器类别。 如果你在“组”中,审核日志筛选器类别将设置为“GroupManagement”

Microsoft Entra ID 的许可证区域的屏幕截图,其中突出显示了“审核日志”选项。

审核日志

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“监视和运行状况”>“审核日志”。

  3. 选择下载

  4. 在打开的面板中,选择“格式”

  5. (可选)提供唯一的文件名。

  6. 选择“下载”按钮。 下载将处理文件并将其发送到默认下载位置。

    审核日志下载过程的屏幕截图。

登录日志

本部分中介绍的选项与登录日志的预览体验保持一致。

  1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“监视和运行状况”>“登录日志”

  3. 选择“下载”按钮,然后选择“JSON”或“CSV”

    登录日志下载按钮选项的屏幕截图。

  4. (可选)为需要下载的每个文件提供唯一的文件名。

  5. 为一个或多个日志选择“下载”按钮。 下载将处理文件并将其发送到默认下载位置。

    登录日志下载选项的屏幕截图。