如何访问 Microsoft Entra ID 中的活动日志
借助 Microsoft Entra 日志中收集的数据,可评估 Microsoft Entra 租户的许多方面。 为了涵盖各种方案,Microsoft Entra ID 提供几种选项来访问活动日志数据。 作为 IT 管理员,你需要了解这些选项的目标用例,以便为方案选择正确的访问方法。
可使用以下方法访问 Microsoft Entra 活动日志和报告:
- 将活动日志流式传输到事件中心,与其他工具集成
- 通过 Microsoft Graph API 访问活动日志
- 将活动日志与 Azure Monitor 日志集成
- 使用 Microsoft Sentinel 实时监视活动
- 在 Azure 门户中查看活动日志和报表
- 导出活动日志以备存储和查询之用
上述每种方法可能只适用于某些场景。 本文旨在介绍这些场景,包括与使用活动日志中的数据相关报表相关的建议和详细信息。 查看本文给出的选项,了解这些场景,以便可以选择正确的方法。
先决条件
所需的角色和许可证因报告而异。 需要单独的权限才能访问 Microsoft Graph 中的监视和运行状况数据。 我们建议使用具有最低访问权限的角色,以符合零信任指导。 有关角色的完整列表,请参阅按任务列出的最低特权角色。
日志/报表 | 角色 | 许可证 |
---|---|---|
审核日志 | 报告读取者 安全读取者 安全管理员 |
所有版本的 Microsoft Entra ID |
登录日志 | 报告读取者 安全读取者 安全管理员 |
在所有版本的 Microsoft Entra ID |
自定义安全属性审核日志* | 属性日志管理员 属性日志读取器 |
在所有版本的 Microsoft Entra ID |
运行状况 | 报告读取者 安全读取者 帮助台管理员 |
Microsoft Entra ID P1 或 P2 |
Microsoft Graph 活动日志 | 安全管理员 访问相应日志目标中数据的权限 |
Microsoft Entra ID P1 或 P2 |
使用情况和见解 | 报告读取者 安全读取者 安全管理员 |
Microsoft Entra ID P1 或 P2 |
*查看审核日志中的自定义安全属性或为自定义安全属性创建诊断设置需要“属性日志”角色之一。 你还需要适当的角色才能查看标准审核日志。
获得许可的功能可查看审核日志。 如果要使用 Microsoft Graph API 访问登录日志,租户必须具有与之关联的 Microsoft Entra ID P1 或 P2 许可证。
通过 Microsoft Entra 管理中心查看日志
对于范围有限的一次性调查,Microsoft Entra 管理中心往往是查找所需数据的最简单方法。 每个报表的用户界面提供筛选器选项,便于查找所需条目来解决方案的问题。
Microsoft Entra 活动日志中捕获的数据会在许多报告和服务中使用。 可以查看一次性方案的登录和审核日志,或使用报告查看模式和趋势。 Microsoft Entra 活动日志还会填充使用情况和见解报告,这些报告为租户的应用程序提供使用情况详细信息。
建议的用法
Azure 门户中提供的报表提供了各种功能来监视租户中的活动和使用情况。 以下用途和场景列表并不详尽,因此请浏览需要的报表。
- 研究用户的登录活动或跟踪应用程序的使用情况。
- 使用审核日志查看有关组名称更改、设备注册和密码重置的详细信息。
- 在 Microsoft Entra 应用程序活动(预览版)的使用情况和见解报告中查看登录成功率,以确保用户可访问你的租户中使用的应用程序。
- 将用户喜欢的不同身份验证方法与使用情况和见解中的身份验证方法报表进行比较。
快速步骤
按照下列基本步骤在 Microsoft Entra 管理中心访问报告。
- 浏览到“标识”>“监视和运行状况”>“审核日志”/“登录日志”。
- 根据自己的需求调整筛选器。
可以从你所使用的 Microsoft Entra 管理中心区域直接访问审核日志。 例如,如果你在 Microsoft Entra ID 的“组”或“许可证”部分,则可以直接从该区域访问这些特定活动的审核日志。 以这种方式访问审核日志时,会自动设置筛选器类别。 如果你在“组”中,审核日志筛选器类别将设置为“GroupManagement”。
将日志流式传输到事件中心,与 SIEM 工具集成
需要将活动日志流式传输到事件中心,才能将活动日志与安全信息和事件管理 (SIEM) 工具(如 Splunk 和 SumoLogic)集成。 需要先在 Azure 订阅中设置事件中心命名空间和事件中心,然后才能将日志流式传输到事件中心。
建议的用法
可以与事件中心集成的 SIEM 工具可以提供分析和监视功能。 如果你已经在使用此类工具从其他源引入数据,则可以流式处理标识数据进行更加全面的分析和监视。 对于以下场景类型,建议将活动日志流式传输到事件中心:
- 你需要大数据流式处理平台和事件引入服务,每秒能够接收和处理数百万个事件。
- 你希望使用实时分析提供程序或批处理/存储适配器来转换和存储数据。
快速步骤
- 至少以安全管理员身份登录到 Microsoft Entra 管理中心。
- 创建事件中心命名空间和事件中心。
- 浏览到“标识”>“监视和运行状况”>“诊断设置”。
- 选择要流式传输的日志,选择“流式传输到事件中心”选项,然后填写字段。
独立安全供应商应提供有关如何将数据从 Azure 事件中心引入其工具的说明。
将日志与 Azure Monitor 日志集成
集成 Azure Monitor 日志后,可以享受到丰富的可视化效果,并能监视和警报连接数据。 Log Analytics 为 Microsoft Entra 活动日志提供了增强的查询和分析功能。 若要将 Microsoft Entra 活动日志与 Azure Monitor 日志集成,需要使用 Log Analytics 工作区。 可以从该处通过 Log Analytics 运行查询。
建议的用法
通过将 Microsoft Entra 日志与 Azure Monitor 日志集成,提供了一个集中位置来查询日志。 对于以下类型的场景,我们建议将日志与 Azure Monitor 日志集成:
- 将 Microsoft Entra 登录日志与其他 Azure 服务发布的日志进行比较。
- 将登录日志与 Azure 应用程序见解相关联。
- 使用特定搜索参数查询日志。
快速步骤
- 至少以安全管理员身份登录到 Microsoft Entra 管理中心。
- 创建 Log Analytics 工作区。
- 浏览到“标识”>“监视和运行状况”>“诊断设置”。
- 选择要流式传输的日志,选择“发送到 Log Analytics工作区”选项,然后填写字段。
- 浏览到“标识”>“监视和运行状况”>“Log Analytics”,开始查询数据。
使用 Microsoft Sentinel 监视事件
将登录和审核日志发送到 Microsoft Sentinel 可提供安全操作中心,其中包括近乎实时的安全检测和威胁搜寻功能。 术语“威胁搜寻”是指一种主动提高环境安全态势的方法。 与经典防护相反,威胁搜寻会尝试主动识别可能损害系统的潜在威胁。 活动日志数据可能是威胁搜寻解决方案的一部分。
建议的用法
如果你的组织需要安全分析和威胁情报,我们建议使用 Microsoft Sentinel 的实时安全检测功能。 如果需要,请使用 Microsoft Sentinel 负责以下工作:
- 收集整个企业的安全数据。
- 使用大量威胁情报检测威胁。
- 在人工智能的引导之下调查严重事件。
- 快速响应和自动保护。
快速步骤
导出报告以备存储和查询之用
适合长期存储的解决方案取决于你的预算以及计划对数据执行的操作。 有三个选项:
- 将日志存档到 Azure 存储
- 下载日志,手动进行存储
- 将日志与 Azure Monitor 日志集成
如果不计划经常查询数据,则 Azure 存储是合适的解决方案。 有关详细信息,请参阅将目录日志存档到存储帐户。
如果计划经常查询日志以对存储的日志运行报告或执行分析,则应将数据与 Azure Monitor 日志集成。
如果预算紧张,且需要经济实惠的方法来创建长期的活动日志备份,则可以手动下载日志。 门户中活动日志的用户界面提供了将数据下载为 JSON 或 CSV 的选项。 但手动下载需要进行更多手动交互,这是需要权衡的问题。 如果希望寻找更专业的解决方案,请使用 Azure 存储或 Azure Monitor。
建议的用法
建议设置存储帐户,以存档需要长期存储的治理和合规性方案的活动日志。
如果要进行长期存储并且希望对数据运行查询,请参阅与将活动日志与 Azure Monitor 日志集成的相关部分。
如果存在预算限制,建议手动下载并存储活动日志。
快速步骤
使用以下基本步骤存档或下载活动日志。
- 至少以安全管理员身份登录到 Microsoft Entra 管理中心。
- 创建存储帐户。
- 浏览到“标识”>“监视和运行状况”>“诊断设置”。
- 选择要流式传输的日志,选择“存档到存储帐户”选项,然后填写字段。