Бөлісу құралы:

HTTP әрекетін пайдаланып аудит журналдарын жинау

  • Мақала

Аудит журналын синхрондау ағындары бағдарламалар үшін бірегей пайдаланушылар мен іске қосулар сияқты телеметрия деректерін жинау үшін Management API-ге Office 365 қосылады . Ағындар API-ге қатынасу үшін HTTP әрекетін пайдаланады. Келесі нұсқауларда HTTP әрекеті үшін бағдарламаны тіркеуді және ағындарды іске қосу үшін қажетті орта айнымалыларын орнатасыз.

Біліктілікті арттыру орталығы (CoE) Starter Kit бұл ағындарсыз жұмыс істейді, бірақ бағдарламаны іске қосу және бірегей пайдаланушылар сияқты пайдалану ақпараты бақылау тақтасында Power BI бос болады.

Маңызды

Нұсқауларды орындаңыз CoE Starter жиынтығын орнатпас бұрын және осы мақалада орнатуды жалғастырмас бұрын инвентаризация компоненттерін орнатыңыз. Бұл мақалада өз ортаңызды орнатып , дұрыс сәйкестік куәлігімен кіргеніңізді болжайды.

Бұлт ағындарын инвентаризация мен телеметрия механизмі ретінде таңдаған жағдайда ғана аудит журналы ағындарын орнатыңыз.

Аудит журналының ағындарын орнатпас бұрын

  1. Microsoft 365 тексеру журналының іздеуі тексеру журналының қосқышы жұмыс істеуі үшін қосулы болуы керек. Қосымша ақпарат: Тексеру журналынан іздеуді қосу немесе өшіру
  2. Қатысушыңызда бірыңғай тексеру журналын жүргізуді қолдайтын жазылым болуы керек. Қосымша ақпарат: Security > Комплаенс-орталықтың бизнес және кәсіпорын жоспарларына қолжетімділігі
  3. Бағдарламаны тіркеуді конфигурациялау Microsoft Entra үшін ғаламдық әкімші қажет.

Office 365 Басқарудың API қызметі сіздің өтінішіңізге қатынасу құқығын беру үшін пайдалануға болатын аутентификация қызметтерін көрсету үшін идентификаттауды пайдаланады Microsoft Entra .

Басқару API үшін Microsoft Entra бағдарламаны тіркеуді жасау Office 365

Осы қадамдарды пайдаланып, аудит журналына қосылу үшін ағында Microsoft Entra HTTP қоңырауына арналған бағдарламаны тіркеуді орнатуға Power Automate болады. Қосымша ақпарат: Office 365 басқару API интерфейстерімен жұмысқа кірісу

  1. portal.azure.com сайтына кіріңіз.

  2. ID Microsoft Entra бағдарламасын тіркеуге> өтіңіз. Бағдарламаны тіркеуді көрсететін Microsoft Entra скриншот.

  3. + Жаңа тіркеу опциясын таңдаңыз.

  4. Басқару Microsoft 365 сияқтыатауды енгізіңіз, басқа параметрді өзгертпеңіз, содан кейін Тіркелім тармағын таңдаңыз.

  5. API рұқсаттары>+ Рұқсат қосу тармақтарын таңдаңыз.

    API рұқсаттарын қосу

  6. Басқару API Office 365 параметрін таңдап , рұқсаттарды келесідей конфигурациялау:

    1. Бағдарлама рұқсаттарын таңдап , Әрекет арнасы тармағын таңдаңыз.Оқыңыз.

      Бағдарлама рұқсаттары

    2. Рұқсаттарды қосу опциясын таңдаңыз.

  7. (Ұйымыңыз) үшін әкімші келісімін беру параметрін таңдаңыз. Алғышарттар: Бағдарламаға клиент деңгейіндегі әкімші келісімін беріңіз

    API рұқсаттары енді Рұқсат берілген: (ұйымыңыз) күйімен өкілетті ActivityFeed.Read көрсетеді.

  8. Сертификаттар мен құпиялар тармағын таңдаңыз.

  9. + Жаңа тұтынушы құпиясы опциясын таңдаңыз.

    Жаңа тұтынушы құпиясы

  10. Ұйымыңыздың саясаттарымен сәйкес сипаттама мен жарамдылық мерзімін қосып, Қосу пәрменін таңдаңыз.

  11. Осы уақытқа дейін қолданбаның (клиенттің) идентификаторын Notepad бағдарламасында мәтіндік құжатқа көшіріп қойыңыз.

  12. Шолу және бағдарлама (клиент) идентификаторы мен каталог (қатысушы) идентификаторы мәндерін бір мәтіндік құжатқа көшіру және қою пәрменін таңдаңыз . GUID мәні қайсысы үшін екенін міндетті түрде белгілеңіз. Реттелетін қосқышты конфигурациялағанда осы мәндер қажет болады.

Орта айнымалыларын жаңарту

Орта айнымалылары клиент идентификаттарын және бағдарламаны тіркеу үшін құпияны сақтау үшін, ал аудитория мен өкілеттік қызметі HTTP әрекеті үшін бұлтқа (коммерциялық, GCC, GCC High DoD) байланысты соңғы нүктелерді сақтау үшін пайдаланылады. Ағындарды қосу алдында орта айнымалыларын жаңарту .

Клиент құпиясын жай мәтінде Аудит журналдары - Клиент құпия ортасының айнымалысында сақтауға болады, ол ұсынылмайды. Оның орнына клиент құпиясын Azure кілт күмбезінде жасауды және сақтауды ұсынамыз және оған Аудит журналдары - Client Azure Secret орта айнымалысына сілтеме жасаймыз.

Ескертпе

Осы орта айнымалысын пайдаланатын ағын аудит журналдары - Клиент құпиясы немесе Аудит журналдары - Client Azure Secret орта айнымалысын күту шартымен конфигурацияланған. Azure Key Vault-пен жұмыс істеу үшін ағынды өңдеудің қажеті жоқ.

Аты Сипаттама Мәндер
Аудит журналдары - аудитория HTTP қоңырауларына арналған аудитория параметрі. Коммерциялық (әдепкі): https://басқару.office.com

GCC: https://relane-gcc.office.com

GCC High: https://басқару.office365.us>

ҚІҚБ: https://басқару.protection.apps.mil
Аудит журналдары - уәкілетті орган HTTP қоңырауларындағы өкілеттік өрісі. Коммерциялық (әдепкі): https://login.windows.net

GCC: https://login.windows.net

GCC High: https://login.microsoftonline.us

DOD: https://login.microsoftonline.us
Аудит журналдары - ClientID Бағдарламаны тіркеу клиентінің идентификат. Басқару API қадамына арналған бағдарламаны тіркеуді жасау Microsoft Entra бағдарламасынан Office 365 бағдарлама клиентінің идентификат .
Аудит журналдары - Клиент құпиясы Кәдімгі мәтіндегі клиентті тіркеу клиентінің құпиясы. Бағдарлама клиентінің құпиясы Басқару API Microsoft Entra қадамы үшін Office 365 бағдарламаны тіркеуді жасау . Клиент идентификаторыңыз бен құпиясын сақтау үшін Azure Key Vault пайдаланып жатсаңыз, бос қалдырыңыз.
Аудит журналдары - Client Azure Secret Azure Key Vault сілтемесі App тіркеу клиентінің құпиясы. Azure Key Vault сілтемесі Api басқару қадамына арналған бағдарламаны тіркеуді жасаудан Microsoft Entra Office 365 құпия бағдарлама клиентіне арналған құпия. Клиент идентификаторын Аудит журналдары - Клиент құпия ортасының айнымалысындағы жай мәтінде сақтасаңыз, бос қалдырыңыз. Бұл айнымалы құпия емес, Azure Key Vault сілтемесі күтеді. Қосымша ақпарат: Ортаның айнымалы мәндерінде Azure Key Vault құпияларын пайдалану

Тексеру журналының мазмұнына жазылуды бастау

  1. make.powerapps.com сайтына өтіңіз.
  2. Шешімдер тармағын таңдаңыз.
  3. Біліктілікті арттыру орталығы – негізгі компоненттер шешімін ашыңыз .
  4. Әкімшіні айналдыру | Аудит журналдары | Office 365 Басқару API жазылым ағынын іске қосып, іске қосыңыз, іске қосылатын операция ретінде іске қосыңыз . Жазылымды бастау
  5. Ағынды ашыңыз және жазылымды бастау әрекетінің өткенін тексеріңіз. Жазылымның өтуін бастау

Маңызды

Жазылымды бұрын қосқан болсаңыз, (400) Жазылым қосулы хабарламасын көресіз. Бұл жазылым бұрын сәтті қосылғанын білдіреді. Бұл қатені елемей, орнатуды жалғастыра аласыз.

Жоғарыдағы хабарламаны немесе (200) жауапты көрмесеңіз, сұрау сәтсіз болуы мүмкін. Орнатуыңызда ағынның жұмыс істеуіне кедергі келтіретін қате болуы мүмкін. Тексеруге арналған жалпы мәселелер:

  • Тексеру журналдары қосылған ба және сізде тексеру журналын көруге рұқсат бар ма? Microsoft сәйкестік реттеушісінде іздеуге болатынын көру арқылы тексеріңіз.
  • Жақында тексеру журналын қостыңыз ба? Олай болса, тексеру журналын іске қосуға уақыт беру үшін әрекетті бірнеше минуттан кейін қайталаңыз.
  • Бағдарламаны тіркеудегі Microsoft Entra қадамдарды дұрыс орындағаныңызды тексеріңіз.
  • Осы ағындар үшін орта айнымалыларын дұрыс жаңартқаныңызды тексеріңіз.

Ағындарды қосу

  1. make.powerapps.com сайтына өтіңіз.
  2. Шешімдер тармағын таңдаңыз.
  3. Біліктілікті арттыру орталығы – негізгі компоненттер шешімін ашыңыз .
  4. Әкімшіні айналдыру | Аудит журналдары | Синхрондау аудит журналдары (V2) ағынды. Бұл ағым сағаттық кесте бойынша іске қосылады және аудит журналының оқиғаларын Аудит журналы кестесіне жинайды.

Ескі деректерді алу жолы

Бұл шешім конфигурацияланған сәттен бастап бағдарламаның іске қосылуларын жинайды және бағдарламаның тарихи іске қосылуларын жинауға орнатылмаған. Сіздің Microsoft 365 лицензияңызға байланысты тарихи деректер Microsoft Purview жүйесіндегі аудит журналы арқылы бір жылға дейін қолжетімді болады.

Мұнда сипатталғандай, шешімде берілген ағындардың бірін пайдаланып, тарихи деректерді CoE Starter Kit кестелеріне қолмен жүктеуге болады.

Ескертпе

Аудиторлық журналдарды шығарып алушы пайдаланушының аудит журналдарына рұқсаты болуы тиіс. Қосымша ақпарат: Аудит журналдарын іздеу алдында

  1. Аудит журналын іздеу бөліміне шолу.
  2. Сізге қолжетімді күн ауқымында Іске қосылған бағдарлама әрекетін іздеңіз. Ескі аудит журналдарын алу
  3. Іздеу аяқталғаннан кейін нәтижелерді жүктеу үшін Экспорттау пәрменін таңдаңыз . Ескі аудит журналдарын жүктеу
  4. Негізгі шешімдегі келесі ағымға шолу: Әкімші | Аудит журналдары | Экспортталған Audit Log CSV файлынан оқиғаларды жүктеу
  5. CSV аудит журналы параметрі үшін жүктелген файлды таңдап, ағынды қосып, іске қосыңыз. Ескі аудит журналдарын ағын арқылы жүктеу

    Ескертпе

    Импорттау пәрменін таңдағаннан кейін файлдың жүктелетінін көрмесеңіз, ол осы іске қосу үшін рұқсат етілген мазмұн өлшемінен асып кетуі мүмкін. Файлды кішірек файлдарға (бір файлға 50 000 жол) бөліп көріңіз және бір файлға бір рет ағынды іске қосыңыз. Ағынды бірнеше файлдар үшін бір мезгілде іске қосуға болады.

  6. Аяқтағаннан кейін бұл журналдар телеметрияға қосылады. Бағдарламалар үшін соңғы іске қосылған тізім соңғы іске қосулар табылған жағдайда жаңартылады.

CoE Starter Kit бар қатені тапқандай көрінеді. Қайда бару керек?

Шешімге қарсы қатені жіберу үшін өтіңіз aka.ms/coe-starter-kit-issues.