通过

Microsoft Entra ID 中的日志延迟

  • 项目

延迟是 Microsoft Entra ID 报告数据在监视和健康状况日志中显示所需的时间。 本文介绍了可能影响延迟的各种因素。

延迟与首次设置

从免费版本的 Microsoft Entra Premium P1 或 P2 升级后,预计会有约 24 小时的延迟,然后所有高级报表功能才能显示数据。 许多高级报表功能要在升级 24 小时之后才会开始保留数据。

设置新的存储帐户或安全信息和事件管理(SIEM)工具时,预计也需要 24 小时的延迟后才会在这些工具中显示报表数据。

将活动日志路由到 Log Analytics 工作区以使用 Azure Monitor 日志进行分析时,日志在工作区中显示之前预计会有最多三天的延迟。

报表延迟因素

许多因素都会影响报表数据的延迟。 生成报表工具所依据的数据类型、数据量和基础结构都可能会影响延迟。 如果底层基础结构存在延迟,Microsoft Entra 报表可能会遇到报表数据延迟的问题。

决定日志延迟的一个关键因素是数据从源事件传送到 Microsoft Entra 管理中心中的日志所经过的路径。 日志数据需要经过以下系统后才会在日志中显示。

  1. 客户登录到将 Microsoft Entra ID 用作身份验证和访问控制服务的服务。
  2. 日志处理程序读取事件元数据并将其发布到 Azure 存储队列。
  3. 完成事件元数据处理并进行了成功或失败检查。
  4. 将处理成功的事件发布到合作伙伴服务,例如 Azure Monitor 和 Microsoft Graph。
  5. IT 管理员在 Microsoft Entra 管理中心或其选择的 SIEM 工具中查看数据。

此过程中还有许多其他的步骤未在此处反映。 即使只从这些概括介绍的步骤,也很容易了解是如何在系统中引入延迟的。

上次登录时间

用户的上次登录时间是与日志延迟相关的最常见问题之一。 此信息是由 Microsoft Graph 中的 signInActivity 属性提供的。 signInActivity 属性为用户提供最后一次交互式和非交互式登录尝试。 更新此属性最多可能需要 24 小时。 有关详细信息,请参阅 signInActivity 资源类型

必须使用授予登录日志访问权限的 Microsoft Entra 角色才能查看此详细信息,该详细信息可在多个位置找到:

  • 用户配置文件中“我的源”部分的“登录”磁贴。

    用户详细信息页的屏幕截图,其中突出显示了“我的源”部分中的“登录”磁贴。

  • “用户”列表中的“上次交互式登录”和“上次非交互式登录”列。

    所有用户列表的屏幕截图,其中突出显示了最后一个交互式登录列。

  • 筛选出的特定用户的登录日志。

    筛选到特定用户的登录日志的屏幕截图。

在用户配置文件中“登录”磁贴以及“用户”列表中的“上次交互式登录”和“上次非交互式登录”列上显示的上次登录详细信息“不是”实时的。

如果需要查看用户的最近登录日期和时间,请转到登录日志并筛选该用户。