审核日志、诊断和活动历史记录

本教程列出了通过 Azure 事件中心启用和捕获 Microsoft Purview 数据映射的审核和诊断日志所需的分步配置。

Microsoft Purview 管理员或 Microsoft Purview 数据源管理员需要能够监视从 Microsoft Purview 数据映射捕获的审核和诊断日志。 审核和诊断信息包括每个用户对 Microsoft Purview 帐户所执行操作和所做更改的带时间戳的历史记录。 捕获的活动历史记录包括使用 Microsoft Purview 门户或使用 REST API 执行的操作。

本教程将指导你完成启用审核日志记录的步骤。 它还演示如何通过 Azure 诊断事件中心配置并捕获 Microsoft Purview 门户中的流式处理审核事件。

启用审核和诊断

以下各部分将引导你完成启用审核和诊断的过程。

配置事件中心

使用 Azure 资源管理器 (ARM) 模板 (GitHub) 创建 Azure 事件中心命名空间。 此自动化 Azure ARM 模板将部署并完成创建包含所需配置的事件中心实例。

有关分步说明和手动设置：

• 事件中心：使用 ARM 模板启用事件中心捕获
• 事件中心：使用 Azure 门户手动启用事件流式处理捕获

将 Microsoft Purview 帐户连接到诊断事件中心

现在已部署并创建事件中心，请将 Microsoft Purview 帐户诊断审核日志记录连接到事件中心。

1. 转到 Microsoft Purview 帐户主页。 此页显示 Azure 门户中的概述信息。 它不是 Microsoft Purview 治理门户主页。

2. 在左侧菜单中，选择“监视”>“诊断设置”。

   

3. 选择“添加诊断设置”或“编辑设置”。 不建议在 Microsoft Purview 上下文中添加多行诊断设置。 换句话说，如果已有诊断设置行，请不要选择“添加诊断”。 改为选择“编辑”。

   

4. 选中“audit”和“allLogs”复选框，启用审核日志收集。 还可以选择“AllMetrics”（如果还想捕获帐户的数据映射容量单位和数据映射大小指标）。

   

对 Microsoft Purview 帐户的诊断配置已完成。

现在诊断审核日志记录配置已完成，请为事件中心配置数据捕获和数据保留设置。

1. 转到 Azure 门户主页，搜索之前创建的事件中心命名空间的名称。

2. 转到事件中心命名空间。 选择“事件中心”>“捕获数据”。

3. 提供事件中心命名空间的名称，以及要在其中捕获和流式处理审核和诊断的事件中心。 修改流式处理事件的保持期的“时间范围”和“大小窗口”值。 选择“保存”。

   

4. （可选）在左侧菜单中，转到“属性”，并将“消息保留期”更改为 1 到 7 天之间的任意值。 保持期值取决于你创建的、用于持续侦听和捕获流式处理事件的已计划作业或脚本的频率。 如果计划每周捕获一次，请将滑块移到 7 天。

   

5. 在此阶段，事件中心配置即完成。 Microsoft Purview 治理门户会开始将其所有审核历史记录和诊断数据流式传输到此事件中心。 现在可以继续对捕获的诊断和审核事件读取、提取和执行进一步的分析和操作。

读取捕获的审核事件

分析捕获的审核和诊断日志数据：

1. 转到“事件中心”页上的“处理数据”，查看捕获的审核日志和诊断的预览。

   

   

2. 在 JSON 输出的“表”和“原始”视图之间切换。

   

3. 选择“下载示例数据”并仔细分析结果。

   

现在你已知道如何收集此信息，可以使用自动的计划脚本来提取、读取事件中心审核和诊断数据并对其执行进一步分析。 甚至可以构建自己的实用程序和自定义代码，以便从捕获的审核事件中提取业务价值。

这些审核日志还可以转换为 Excel、任何数据库、Dataverse 或 Synapse Analytics 数据库，以便使用 Power BI 进行分析和报告。

尽管你可以随意使用所选的任何编程或脚本语言来读取事件中心，但下面提供了一个基于 Python 的现成脚本。 请参阅有关如何使用 Python 在 Azure 存储中捕获事件中心数据并读取该数据 (azure-eventhub) 的 Python 教程。

审核事件类别

表中列出了当前可供捕获和分析的 Microsoft Purview 治理门户审核事件的部分重要类别。

将添加更多类型和类别的活动审核事件。