Microsoft Entra 活动日志架构

本文介绍 Microsoft Entra 活动日志中包含的信息,并说明了其他服务如何使用该架构。 本文介绍 Microsoft Entra 管理中心和 Microsoft Graph 中的架构。 提供了一些关键字段的说明。

先决条件

  • 有关许可证和角色要求,请参阅 Microsoft Entra 监视和运行状况许可
  • 所有版本的 Microsoft Entra ID 都提供下载日志的选项。
  • 使用 Microsoft Graph 以编程方式下载日志需要高级许可证
  • “报告读取者”是查看 Microsoft Entra 活动日志所需的最低特权角色。
  • 获得许可的功能可查看审核日志。
  • 如果没有所需的许可,则下载的日志结果可能会显示某些属性的 hidden

什么是日志架构?

Microsoft Entra 监视和运行状况提供日志、报告和监视工具,这些工具可与 Azure Monitor、Microsoft Sentinel 和其他服务集成。 这些服务需要将日志的属性映射到其服务的配置。 模式是属性、可能的值以及服务如何使用它们的映射。 了解日志架构有助于进行有效的故障排除和数据说明。

Microsoft Graph 是以编程方式访问 Microsoft Entra 日志的主要方法。 Microsoft Graph 调用的响应采用 JSON 格式,包括日志的属性和值。 Microsoft Graph 文档中定义了日志的架构。

Microsoft Graph API 有两个终结点。 V1.0 终结点最稳定,通常用于生产环境。 beta 版本通常包含更多属性,但它们可能会更改。 因此,不建议在生产环境中使用架构的 beta 版本。

Microsoft Entra 客户可以配置要发送到 Azure Monitor 存储帐户的活动日志流。 此集成支持安全信息和事件管理 (SIEM) 连接、长期存储以及通过 Log Analytics 改进的查询功能。 Azure Monitor 的日志架构可能与 Microsoft Graph 架构不同。

有关这些架构的完整详细信息,请参阅以下文章:

如何解释架构

查找值的定义时,请注意所使用的版本。 V1.0 和架构的 beta 版本之间可能存在差异。

在所有日志架构中找到的值

某些值在所有日志架构中都是通用的。

  • correlationId:此唯一 ID 有助于关联跨各种服务的活动,并用于进行故障排除。 此值出现在多个日志中并不表示能够跨服务联接日志。
  • statusresult:此重要值表示活动的结果。 可能的值包括:successfailuretimeoutunknownFutureValue
  • 日期和时间:活动发生的日期和时间,采用协调世界时 (UTC)。
  • 某些报告功能需要 Microsoft Entra ID P2 许可。 如果没有正确的许可,则返回值 hidden

审核日志

  • activityDisplayName:表示活动名称或操作名称(例如:“创建用户”和“将成员添加到组”)。 有关详细信息,请参阅审核日志活动
  • category:表示活动针对的资源类别。 例如:UserManagementGroupManagementApplicationManagementRoleManagement。 有关详细信息,请参阅审核日志活动
  • initiatedBy:表示有关发起活动的用户或应用的信息。
  • targetResources:提供有关哪些资源已更改的信息。 可能的值包括 UserDeviceDirectoryAppRoleGroupPolicyOther

登录日志

  • ID 值:用户、租户、应用程序和资源都有唯一标识符。 示例包括:
    • resourceId:用户登录的资源。
    • resourceTenantId:拥有所访问资源的租户。 可能与 homeTenantId 相同。
    • homeTenantId:拥有正在登录的用户帐户的租户。
  • 风险详细信息:提供风险用户、风险登录或风险检测特定状态背后的原因。
    • riskState:风险用户、风险登录或风险事件的报告状态。
    • riskDetail:提供风险用户、风险登录或风险检测特定状态背后的原因。 值 none 表示到目前为止尚未对用户或登录执行任何操作。
    • riskEventTypes_v2:与登录相关的风险检测类型。
    • riskLevelAggregated:聚合风险级别。 值 hidden 表示用户或登录未启用 Microsoft Entra ID 保护。
  • crossTenantAccessType:描述用于访问资源的跨租户访问的类型。 例如,此处捕获到 B2B、Microsoft 支持和直通登录。
  • status:登录状态,包括错误代码和错误描述(如果发生登录失败)。

应用的条件访问策略

appliedConditionalAccessPolicies 小节列出了与该登录事件相关的条件访问策略。 该部分称为应用的条件访问策略;但是,应用的策略也会出现在本节中。 为每个策略创建了单独的条目。 有关详细信息,请参阅 conditionalAccessPolicy 资源类型