如何下载 Microsoft Entra ID 中的日志
Microsoft Entra 管理中心可让用户访问三种活动日志:
Microsoft Entra ID 根据许可证将活动日志存储特定的一段时间。 有关详细信息,请参阅 Microsoft Entra 数据保留。 通过下载日志,可以控制日志的存储时间。 本文介绍如何下载 Microsoft Entra ID 中的活动日志。
先决条件
- 有关许可证和角色要求,请参阅 Microsoft Entra 监视和运行状况许可。
- 所有版本的 Microsoft Entra ID 都提供下载日志的选项。
- 使用 Microsoft Graph 以编程方式下载日志需要高级许可证。
- “报告读取者”是查看 Microsoft Entra 活动日志所需的最低特权角色。
日志下载注意事项
在下载日志之前,请查看以下注意事项和提示:
- Microsoft Entra ID 支持下载以下格式:
- CSV
- JSON
- 下载的文件中的时间戳基于 UTC。
- 每个文件最多可以下载 100,000 条登录或预配记录。
- 每个文件最多可以下载 250,000 条审核记录。
- 请在下载日志之前设置筛选器,以缩小数据集范围。
注意
如果尝试下载大型数据集,Microsoft Entra 管理中心下载服务将超时。 通常,浏览器下载功能适合小于 250,000 条用于审核日志的数据集,以及100,000 条用于登录日志的数据集。
如果在浏览器中完成大型下载时遇到问题,可以使用报告 API 下载数据,或通过诊断设置将日志发送到终结点。
注意
已下载日志中的列不会更改。 输出包含审核日志或登录日志的所有详细信息,无论在 Microsoft Entra 管理中心自定义了哪些列。 然而,如果设置自定义筛选器,则已下载日志中的输出仅包含与筛选器匹配的结果。
如何下载活动日志
可以从 Microsoft Entra ID 的“监视和运行状况”部分或正在使用的 Microsoft Entra ID 的区域访问活动日志。
例如,如果你在 Microsoft Entra ID 的“组”或“许可证”部分,则可以直接从该区域访问这些特定活动的审核日志。 以这种方式访问审核日志时,会自动设置筛选器类别。 如果你在“组”中,审核日志筛选器类别将设置为“GroupManagement”。
审核日志
提示
本文中的步骤可能因开始使用的门户而略有不同。
至少以报告读取者身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“监视和运行状况”>“审核日志”。
选择下载。
在打开的面板中,选择“格式”。
(可选)提供唯一的文件名。
选择“下载”按钮。 下载将处理文件并将其发送到默认下载位置。
登录日志
本部分中介绍的选项与登录日志的预览体验保持一致。
至少以报告读取者身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“监视和运行状况”>“登录日志”。
选择“下载”按钮,然后选择“JSON”或“CSV”。
(可选)为需要下载的每个文件提供唯一的文件名。
为一个或多个日志选择“下载”按钮。 下载将处理文件并将其发送到默认下载位置。