Indsamle overvågningslogfiler ved hjælp af en brugerdefineret connector (udfaset)

  • Artikel

Vigtigt

Brug af den udfasede løsning Center of Excellence - Overvågningslog og den brugerdefinerede connector Office 365 Management til at indsamle overvågningsloghændelser er udfaset. Løsningen og den brugerdefinerede connector fjernes fra CoE Starter Kit i august 2023.

Vi har et nyt flow, der indsamler overvågningsloghændelser, som er en del af Center of Excellence – Kernekomponenter-løsningen. I dette nye flow bruges en HTTP-connector. Få mere at vide: Indsamle overvågningslogfiler ved hjælp af en HTTP-handling

Flowet Synkronisering af overvågningslog opretter forbindelse til Microsoft 365-overvågningsloggen for at indsamle telemetridata (entydige brugere, opstarter) for apps. Flowet anvender en brugerdefineret connector til at oprette forbindelse til overvågningsloggen. I følgende instruktioner skal du konfigurere den brugerdefinerede connector og konfigurere flowet.

COE-startpakken (Center of Excellence) vil fungere uden dette flow, men oplysningerne om brug (appstartprocesser, entydige brugere) i Power BI-dashboardet vil være tomme.

Vigtigt

Fuldfør instruktionerne i Inden du konfigurerer CoE Starter Kit, og Konfigurere lagerkomponenterne, før du fortsætter installationen i denne artikel. I denne artikel antages det, at du har konfigureret dit miljø og er signeret med den rigtige identitet.

Du skal kun konfigurere løsningen for overvågningsloggen, hvis du har valgt cloudflow som mekanismen til lager og telemetri.

Se en gennemgang af, hvordan du konfigurerer overvågningslog-connector.

Før du bruger overvågningsloggens connector

  1. Søgning i Microsoft 365-overvågningsloggen skal være slået til, for at connectoren til overvågningsloggen fungerer. Flere oplysninger: Slå søgning i overvågningslog til eller fra

  2. Den brugeridentitet, der kører flowet, skal have tilladelse til overvågningsloggene. Minimumtilladelser til dette beskrives her: Før du søger i overvågningsloggen

  3. Din lejer skal have et abonnement, der understøtter samlet overvågningslogning. Flere oplysninger: Security & Compliance Center-tilgængelighed i forretnings- og virksomhedsplaner

  4. Der kræves en global administrator for at konfigurere apptilmeldingen Microsoft Entra.

Office 365 Administration-API'erne bruger Microsoft Entra ID til at levere godkendelsestjenester, som du kan bruge til at tildele rettigheder til din applikation for at få adgang til dem.

Oprette en Microsoft Entra-appregistrering for Office 365 Administration-API'et

Med disse trin kan du konfigurere en Microsoft Entra-appregistrering, der skal bruges i en brugerdefineret connector og et Power Automate-flow til at oprette forbindelse til overvågningsloggen. Du kan finde flere oplysninger i: Introduktion til Office 365-administrations-API'er

  1. Log på portal.azure.com.

  2. Gå til Microsoft Entra ID>Appregistreringer.

    Registrering af Microsoft Entra-app.

  3. Vælg + Ny registrering.

  4. Skriv et navn (for eksempel Microsoft 365 Administration), skift ikke andre indstillinger, og vælg derefter Registrer.

  5. Vælg API-tilladelser>+ Tilføj en tilladelse.

    API-tilladelser – tilføj en tilladelse.

  6. Vælg Office 365-administrations-API , og Konfigurer tilladelser på følgende måde:

    1. Vælg Delegerede tilladelser, og vælg derefter ActivityFeed.Read.

      Delegerede tilladelser.

    2. Vælg Tilføj tilladelser.

  7. Vælg Tildel (din organisation) admin.-samtykke. Forudsætninger: Giv administratorens samtykke til et program i hele lejeren

    API-tilladelserne afspejler nu de uddelegerede ActivityFeed.Read med statussen Tildelt til (din organisation).

  8. Vælg Certifikater og hemmeligheder.

  9. Vælg + Ny klienthemmelighed.

    Ny klienthemmelighed.

  10. Tilføj en beskrivelse og et udløb (på linje med organisationens politikker), og vælg derefter Tilføj.

  11. Kopiér og indsæt Hemmeligheden i et tekstdokument i Notesblok for nu.

  12. Vælg Oversigt, og kopiér og indsæt applikations-id-værdierne (klient) id og værdierne for mappe-id (lejer) i det samme tekstdokument. Sørg for at notere, hvilken GUID der er knyttet til hver værdi. Du skal bruge disse værdier i det næste trin, når du konfigurerer den brugerdefinerede connector.

Lad Azure-portalen være åben, da du skal foretage nogle konfigurationsopdateringer, efter du har konfigureret den brugerdefinerede connector.

Konfigurer den brugerdefinerede connector

Nu skal du konfigurere en brugerdefineret connector, der anvender Office 365-administrations-API'er.

  1. Gå til Power Apps>Dataverse>Brugerdefinerede connectorer. Den brugerdefinerede connector til API'en til Office 365-administration vises her. Den er importeret med løsningen for kernekomponenter.

  2. Vælg Rediger.

  3. Hvis din lejer er en kommerciel lejer, skal du lade siden Generelt være, som den er.

    Vigtigt

    • Hvis lejeren er en GCC-lejer, skal du ændre værten til manage-gcc.office.com.
    • Hvis lejeren er en GCC High-lejer, skal du ændre værten til manage.office365.us.
    • Hvis lejeren er en DoD-lejer, skal du ændre værten til manage.protection.apps.mil.

    Flere oplysninger: API-aktivitetshandlinger

  4. Vælg Sikkerhed.

  5. Vælg Rediger nederst i området Oauth 2,0 for at redigere godkendelsesparametrene.

    Rediger OAuth-konfiguration.

  6. Skift Identitetsudbyder til Microsoft Entra ID.

    Skift identitetsudbyder til Microsoft Entra ID.

  7. Indsæt det applikations-id (klient), som du har kopieret fra app-registreringen, i Klient-id.

  8. Indsæt den klienthemmelighed, som du har kopieret fra app-registreringen, i Klienthemmelighed.

  9. Du må ikke ændre Lejer-id.

  10. Lad URL-adresse til logon være, som den er, for kommercielle lejere og GCC-lejere, og ret den til https://login.microsoftonline.us/ for en GCC High- eller DoD-lejer.

  11. Angiv Ressource-URL-adresse til https://manage.office.com for en kommerciel lejer, https://manage-gcc.office.com for en GCC-lejer, https://manage.office365.us for en GCC High-lejer og https://manage.protection.apps.mil for en DoD-lejer.

  12. Vælg Opdater connector.

  13. Kopiér URL-adressen til omdirigering over i tekstdokumentet i Notesblok.

Bemærk

Hvis du har konfigureret DLP-politikken (data loss prevention) til din CoE-startpakkes miljø, skal du kun føje denne connector til virksomhedsdata, som er den eneste gruppe for denne politik.

Opdater Microsoft Entra-app-registrering med URL-adressen til omdirigering

  1. Gå tilbage til Azure-portalen, og åbn dine app-registreringer.

  2. Under Oversigt skal du vælge Tilføj en URL-adresse til omdirigering.

  3. Vælg + Tilføj en ny platform>Web.

  4. Angiv den URL-adresse, du har kopieret fra sektionen URL-adresse til omdirigering for den brugerdefinerede connector.

  5. Vælg Konfigurer.

Starte et abonnement på overvågningsloggens indhold

Gå tilbage til den brugerdefinerede connector for at konfigurere en forbindelse til den brugerdefinerede connector, og start et abonnement på indholdet af overvågningsloggen som angivet i følgende trin.

Vigtigt

Du skal udføre følgende trin, før efterfølgende trin kan fungere. Hvis du ikke opretter en ny forbindelse og tester connectoren her, kan du ikke konfigurere flowet og det underordnede flow i de senere trin.

  1. På siden Brugerdefineret connector skal du vælge Test.

  2. Vælg + Ny forbindelse, og log derefter på med din konto.

  3. Under Handlinger skal du vælge StartSubscription.

    Start abonnement på brugerdefineret connector.

  4. Indsæt mappe-id (lejer) – som du kopierede tidligere fra oversigtssiden i Appregistrering i Microsoft Entra ID – til feltet Lejer.

  5. Indsæt mappe (klient)-id i PublisherIdentifier.

  6. Vælg Testhandling.

Du bør kunne se en (200) status blive returneret, hvilket betyder, at forespørgslen blev gennemført.

Statussen Gennemført blev returneret fra StartSubscription-aktiviteten.

Vigtigt

Hvis du tidligere har aktiveret abonnementet, kan du se en meddelelsen (400) abonnementet allerede er aktiveret. Det betyder, at abonnementet tidligere er blevet aktiveret. Du kan ignorere denne fejl og fortsætte opsætningen.

Hvis du ikke kan se ovenstående meddelelse eller et (200) svar, kan anmodningen være mislykket. Der kan være en fejl i konfigurationen, der holder flowet fra arbejde. Almindelige problemer, der skal kontrolleres, er:

  • Bekræft, at identitetsudbyderen på Sikkerhed-fanen er indstillet til Microsoft Entra ID.
  • Er overvågningsloggene aktiveret, og har du tilladelse til at få vist overvågningsloggene? Tjek ved at se, om du kan søge i Microsoft Overholdelsesstyring.
  • Hvis du ikke har tilladelser, skal du se Før du søger i overvågningsloggen.
  • Har du aktiveret overvågningsloggen for nylig? Hvis det er tilfældet, skal du prøve igen om et par minutter for at give overvågningsloggen tid til at blive aktiveret.
  • Har du indsat et korrekt lejer-id fra din Microsoft Entra-app-registrering?
  • Har du indsat den korrekte URL-adresse for ressourcen, uden at have tilføjet ekstra mellemrum eller tegn i slutningen?
  • Kontrollér, at du omhyggeligt har fulgt de trin, der er beskrevet i Microsoft Entra-appregistrering.
  • Kontrollér, at du har opdateret sikkerhedsindstillingerne for den brugerdefinerede connector korrekt, som beskrevet i trin 6 i konfigurationen af den brugerdefinerede connector tidligere i denne artikel.

Hvis du stadig kan se fejl, er forbindelsen muligvis i en forkert tilstand. Få mere at vide: Trinvise instruktioner i reparation af forbindelsen til overvågningsloggen

Konfigurer Power Automate-flowet

Et Power Automate-flow bruger en brugerdefineret connector, overvågningsloggen forespørges dagligt, og Power Apps-starthændelserne skrives til en Microsoft Dataverse-tabel. Denne tabel bruges derefter i Power BI-dashboardet til at rapportere om sessioner og entydige brugere af en app.

  1. Følg instruktionerne i Opsætning af kernekomponenter for at hente løsningen.

  2. Gå til make.powerapps.com.

  3. Importér løsningen til Center of Excellence-overvågningslogge (CenterofExcellenceAuditLogs_x_x_x_xxx_managed.zip).

  4. Opret forbindelser for at aktivere din løsning. Hvis du opretter en ny forbindelse, skal du vælge Opdater. Du mister ikke status for importen.

    Importere komponentløsningen til CoE-overvågningslog.

  5. Åbn Center of Excellence – overvågningslogløsning.

  6. Fjern det ikke-administrerede lag fra [Underordnet] Administration | Synkroniseringslogfiler.

  7. Vælg [Underordnet] Administration | Synkroniseringslogfiler.

  8. Rediger indstillingerne Kør kun brugere.

    Underordnet flow - kør kun brugere.

  9. I forbindelse med den brugerdefinerede Office 365 Management API-connector skal du ændre værdien til Brug denne forbindelse (userPrincipalName@company.com). Hvis der ikke er forbindelse til nogen af connectorerne, skal du gå til Dataverse>Forbindelser, og oprette en forbindelse for connectoren.

    Konfigurer kør kun-brugere.

  10. For Microsoft Dataverse-connectoren skal du lade værdien for kørselstilladelsen være tom og bekræfte, at forbindelsesreferencen til CoE-overvågningslogge – Dataverse-forbindelsen er konfigureret korrekt. Hvis der vises en fejl i forbindelsen, skal du opdatere forbindelsesreferencen for CoE-overvågningslogge – Dataverse-forbindelsesreferencen.

    Bekræft, at Dataverse-forbindelsesreferencen er angivet til din konto.

  11. Vælg Gem, og luk derefter fanen Flowdetaljer.

  12. (Valgfrit) Rediger variablerne i TimeInterval-Unit- og TimeInterval-Interval-miljøet for at indsamle mindre mængder tid. Standardværdien er at bruge 1 dag til 1 timesegmenter. Du modtager en advarsel fra denne løsning, hvis overvågningslogfilen ikke indsamler alle data med dit konfigurerede tidsinterval.

    Navn Beskrivelse
    StartTime-Interval Skal være et heltal for at repræsentere starttiderne for, hvor langt tilbage i tiden der skal hentes.
    Standardværdi: 1 (for en dag tilbage)
    StartTime-Unit Bestemmer enhederne for, hvor langt der skal gås tilbage i tiden for at hente data.
    Skal være en værdi fra accepteret som en inputparameter til Føj til tid.
    Eksempel på juridiske værdier: Minut, Time, Dag
    Standardværdi: dag
    TimeInterval-Enhed Bestemmer enheder, hvor tid siden start er startet.
    Skal være en værdi fra accepteret som en inputparameter til Føj til tid.
    Eksempel på juridiske værdier: Minut, Time, Dag
    Standardværdi: Time
    Tidsinterval-interval Skal være et helt tal for at repræsentere antallet af enhedstype (ovenfor).
    Standardværdi: 1 (for 1 time)
    TimeSegment-CountLimit Skal være et heltal for at repræsentere grænsen for antallet af segmenter, der kan oprettes.
    Standardværdi: 60

    Vigtigt

    De angivne standardværdier fungerer i en mellemstor lejer. Det kan være nødvendigt at justere værdierne flere gange, for at dette kan fungere for lejerens størrelse.

    Vigtigt

    Få mere at vide om opdatering af miljøvariabler: Opdatere miljøvariabler

  13. Tilbage i løsningen skal du aktivere både flowet [Underordnet] Administration | Synkroniseringslogge og Administration | Synkroniser overvågningslogfiler.

    Slå flow for overvågningslogfil til.

Eksempel på konfiguration af miljøvariabler

Her er eksempler på konfigurationer for disse værdier:

StartTime-Interval StartTime-Unit TimeInterval-Interval TimeInterval-Unit TimeSegment-CountLimit Forventning
1 dag 1 time 60 Opretter 24 underordnede flows, som er inden for grænsen på 60.
Hvert underordnet flow vil udføre arbejdet med at trække 1 time logge ud fra de seneste 24 timer
2 dag 1 time 60 Opretter 48 underordnede flows, som er inden for grænsen på 60.
Hvert underordnet flow vil udføre arbejdet med at trække 1 time logge ud fra de seneste 48 timer
0 dag 5 minutter 300 Opretter 288 underordnede flows, som er inden for grænsen på 300.
Hvert underordnet flow vil udføre arbejdet med at trække 5 minutter fra logfilerne fra de seneste 24 timer
0 dag 15 minutter 100 Opretter 96 underordnede flows, som er inden for grænsen på 100.
Hvert underordnet flow vil udføre arbejdet med at trække 15 minutter fra logfilerne fra de seneste 24 timer

Sådan får du ældre data

Denne løsning indsamler appstarterne fra det øjeblik, den er konfigureret. Den er ikke konfigureret til at indsamle historiske appstarter. Afhængigt af din Microsoft 365-licens vil historiske data være tilgængelige i op til et år ved hjælp af overvågningsloggen i Microsoft Purview.

Du kan indlæse historiske data i CoE Starter Kit-tabellerne manuelt. Få mere at vide: Sådan importeres gamle overvågningslogfiler

Det lader til, at jeg har fundet en fejl i CoE-startpakken. Hvor skal jeg gå hen?

Hvis du vil rapportere en fejl i løsningen, skal du gå til aka.ms/coe-starter-kit-issues.