로그인 로그는 사용자 액세스 문제를 해결하고 위험한 로그인 활동을 조사하는 데 일반적으로 사용되는 도구입니다. 감사 로그는 Microsoft Entra ID에 기록된 모든 이벤트를 수집하며 환경 변경 내용을 조사하는 데 사용할 수 있습니다. Microsoft Entra 관리 센터의 로그인 로그 보기를 사용자 지정하기 위해 선택할 수 있는 30개 이상의 열이 있습니다. 감사 로그 및 프로비전 로그는 필요에 따라 사용자 지정 및 필터링할 수도 있습니다.
이 문서에서는 열을 사용자 지정한 다음, 로그를 필터링하여 필요한 정보를 보다 효율적으로 찾는 방법을 보여 줍니다.
필수 조건
필요한 역할 및 라이선스는 보고서에 따라 다릅니다. Microsoft Graph의 모니터링 및 상태 데이터에 액세스하려면 별도의 권한이 필요합니다. 최소 권한 액세스 권한이 있는 역할을 사용하여 제로 트러스트 지침에 부합하는 것이 좋습니다.
Microsoft Entra 감사 로그의 정보를 사용하면 규정 준수 목적으로 모든 시스템 작업 기록에 액세스할 수 있습니다. 감사 로그는 모든 범주와 작업을 정렬하고 필터링할 수 있는 Microsoft Entra ID의 모니터링 및 상태 섹션에서 액세스할 수 있습니다. 조사 중인 서비스에 대한 관리 센터 영역에서 감사 로그에 액세스할 수도 있습니다.
예를 들어, Microsoft Entra 그룹의 변경 내용을 조사하는 경우 Microsoft Entra ID>그룹에서 감사 로그에 액세스할 수 있습니다. 서비스에서 감사 로그에 액세스하면 필터가 서비스에 따라 자동으로 조정됩니다.
감사 로그의 레이아웃 사용자 지정
감사 로그의 열을 사용자 지정하여 필요한 정보만 볼 수 있습니다. 서비스, 범주, 활동 열은 서로 관련되어 있으므로 이런 열은 항상 표시되어야 합니다.
감사 로그 필터링
서비스별로 로그를 필터링하면 범주 및 활동 세부 정보가 자동으로 변경됩니다. 경우에 따라 범주 또는 활동이 하나만 있을 수 있습니다. 이런 세부 정보의 모든 잠재적 조합에 대한 자세한 표는 감사 활동을 참조하세요.
서비스: 기본값은 사용 가능한 모든 서비스이지만 드롭다운 목록에서 옵션을 선택하여 목록을 하나 이상으로 필터링할 수 있습니다.
범주: 기본값은 모든 범주이지만 필터링하여 정책 변경, 적합 Microsoft Entra 역할 활성화 등의 작업 범주를 볼 수 있습니다.
활동: 사용자가 선택한 범주와 활동 리소스 종류를 기준으로 합니다. 보려는 특정 활동을 선택하거나 모두 선택할 수 있습니다.
Microsoft Graph API를 사용하여 모든 감사 작업 목록을 가져올 수 있습니다. https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
상태: 작업이 성공 또는 실패인지에 따라 결과를 볼 수 있습니다.
대상: 활동의 대상 또는 받는 사람을 검색할 수 있습니다. 이름 또는 UPN(사용자 계정 이름)의 처음 몇 글자로 검색합니다. 대상 이름 및 UPN은 대/소문자를 구분합니다.
시작한 사람: 이름 또는 UPN의 처음 몇 글자를 사용하여 활동을 시작한 사용자를 검색할 수 있습니다. 이름 및 UPN은 대/소문자를 구분합니다.
날짜 범위: 반환되는 데이터의 시간 범위를 정의할 수 있습니다. 지난 7일, 24시간 또는 사용자 지정 범위를 검색할 수 있습니다. 사용자 지정 시간 범위를 선택하면 시작 시간과 종료 시간을 구성할 수 있습니다.
로그인 로그 페이지에서 네 가지 로그인 로그 유형 간에 전환할 수 있습니다. 네 가지 형식의 로그에 대한 자세한 내용은 Microsoft Entra 로그인 로그란?를 참조하세요.
대화형 사용자 로그인: 사용자가 암호, MFA 앱을 통한 응답, 생체 인식 요소 또는 QR 코드와 같은 인증 요소를 제공하는 로그인입니다.
비 대화형 사용자 로그인: 클라이언트가 사용자를 대신하여 수행하는 로그인입니다. 이러한 로그인에는 사용자의 상호 작용이나 인증 요소가 필요하지 않습니다. 예를 들어, 사용자가 자격 증명을 입력할 필요가 없는 새로 고침 및 액세스 토큰을 사용한 인증 및 권한 부여가 있습니다.
서비스 주체 로그인: 사용자와 관련이 없는 앱 및 서비스 주체에 의한 로그인입니다. 이러한 로그인에서 앱 또는 서비스는 리소스를 인증하거나 액세스할 수 있는 자격 증명을 자체적으로 제공합니다.
Azure 리소스에 대한 관리 ID 로그인: Azure에서 관리하는 비밀이 있는 Azure 리소스에 의한 로그인입니다. 자세한 내용은 Azure 리소스에 대한 관리 ID란?을 참조하세요.
로그인 로그의 레이아웃 사용자 지정
30개 이상의 열 옵션을 사용하여 대화형 사용자 로그인 로그의 열을 사용자 지정할 수 있습니다. 로그인 로그를 보다 효과적으로 보려면 필요에 맞게 보기를 사용자 지정하는 데 잠시 시간을 할애하세요.
로그 상단의 메뉴에서 열을 선택합니다.
보려는 열을 선택하고 창 하단에서 저장 단추를 선택합니다.
로그인 로그 필터링
로그인 로그를 필터링하면 특정 시나리오와 일치하는 로그를 빠르게 찾을 수 있습니다. 예를 들어, 특정 지리적 위치, 특정 운영 체제 또는 특정 유형의 자격 증명에서 발생한 로그인만 보도록 목록을 필터링할 수 있습니다.
일부 필터 옵션은 더 많은 옵션을 선택하라는 메시지를 표시합니다. 프롬프트에 따라 필터에 필요한 항목을 선택합니다. 여러 필터를 추가할 수 있습니다.
필터 추가 단추를 선택하고 필터 옵션을 선택한 다음 적용을 선택합니다.
요청 ID와 같은 특정 세부 정보를 입력하거나 다른 필터 옵션을 선택합니다.
몇 가지 세부 정보를 필터링할 수 있습니다. 다음 표에서는 일반적으로 사용되는 몇 가지 필터에 대해 설명합니다. 모든 필터 옵션이 설명된 것은 아닙니다.
Filter
설명
요청 ID
로그인 요청에 대한 고유 식별자
상관 관계 ID
단일 로그인 시도의 일부인 모든 로그인 요청에 대한 고유 식별자
사용자
사용자의 UPN(사용자 계정 이름)입니다.
애플리케이션
로그인 요청의 대상이 되는 애플리케이션
상태
옵션은 성공, 실패, 중단입니다.
리소스
로그인에 사용되는 서비스의 이름
IP 주소
로그인에 사용된 클라이언트의 IP 주소
조건부 액세스
옵션이 적용되지 않음, 성공, 실패입니다.
이제 로그인 로그 테이블의 형식이 적절하게 지정되었으므로 데이터를 보다 효과적으로 분석할 수 있습니다. 로그를 다른 도구로 내보내서 로그인 데이터의 추가 분석 및 보존을 수행할 수 있습니다.
열을 사용자 지정하고 필터를 조정하면 유사한 특성을 가진 로그를 볼 수 있습니다. 로그인의 세부 정보를 보려면 테이블에서 행을 선택하여 활동 세부 정보패널을 엽니다. 패널에는 탐색할 여러 탭이 있습니다. 자세한 내용은 로그인 로그 활동 세부 정보를 참조하세요.
클라이언트 앱 필터
로그인이 시작된 위치를 검토할 때 클라이언트 앱 필터를 사용해야 할 수 있습니다. 클라이언트 앱에는 최신 인증 클라이언트와 레거시 인증 클라이언트라는 두 가지 하위 범주가 있습니다. 최신 인증 클라이언트에는 브라우저 및 모바일 앱과 데스크톱 클라이언트라는 두 가지 하위 범주가 더 있습니다. 레거시 인증 클라이언트 세부 정보 테이블에 정의된 레거시 인증 클라이언트에 대한 몇 가지 하위 범주가 있습니다.
브라우저 로그인에는 웹 브라우저의 모든 로그인 시도가 포함됩니다. 브라우저에서 로그인의 세부 정보를 볼 때 기본 정보 탭에 클라이언트 앱: 브라우저가 표시됩니다.
디바이스 정보 탭에서 브라우저는 웹 브라우저의 세부 정보를 표시합니다. 브라우저 유형 및 버전이 나열되지만 경우에 따라 브라우저 및 버전의 이름을 사용할 수 없습니다. Rich Client 4.0.0.0과 같은 항목이 표시될 수 있습니다.
레거시 인증 클라이언트 세부 정보
다음 표에서는 각 레거시 인증 클라이언트 옵션에 대한 세부 정보를 제공합니다.
이름
설명
인증된 SMTP
POP 및 IMAP 클라이언트에서 메일 메시지를 보낼 때 사용합니다.
Autodiscover
Outlook 및 EAS 클라이언트에서 Exchange Online의 사서함을 찾아 연결할 때 사용합니다.
Exchange ActiveSync
이 필터는 EAS 프로토콜이 시도된 모든 로그인 시도를 보여 줍니다.
Exchange ActiveSync
Exchange ActiveSync를 사용하여 Exchange Online에 연결하는 클라이언트 앱이 있는 사용자의 모든 로그인 시도를 표시합니다.
Exchange Online PowerShell
원격 PowerShell을 사용하여 Exchange Online에 연결하는 데 사용됩니다. Exchange Online PowerShell에 대한 기본 인증을 차단하는 경우 Exchange Online PowerShell 모듈을 사용하여 연결해야 합니다. 자세한 내용은 다단계 인증을 사용하여 Exchange Online PowerShell에 연결을 참조하세요.
Exchange 웹 서비스
Outlook, Outlook for Mac 및 제3자 앱에서 사용하는 프로그래밍 인터페이스입니다.
IMAP4
메일을 검색하는 데 IMAP를 사용하는 레거시 메일 클라이언트입니다.
HTTP를 통한 MAPI
Outlook 2010 이상에서 사용됩니다.
오프라인 주소록
Outlook에서 다운로드하여 사용하는 주소 목록 컬렉션의 복사본입니다.
외부에서 Outlook 사용(RPC over HTTP)
Outlook 2016 이하에서 사용됩니다.
Outlook 서비스
Windows 10용 메일 및 일정 앱에서 사용합니다.
POP3
POP3를 사용하여 메일을 검색하는 레거시 메일 클라이언트입니다.
보고 웹 서비스
Exchange Online에서 보고서 데이터를 검색할 때 사용합니다.
기타 클라이언트
클라이언트 앱이 포함되어 있지 않거나 알 수 없는 사용자의 로그인 시도를 모두 표시합니다.
프로비전 로그를 보다 효과적으로 보려면 필요에 맞게 보기를 사용자 지정하는 데 잠시 시간을 할애하세요. 포함할 열을 지정하고 데이터를 필터링하여 범위를 좁힐 수 있습니다.
레이아웃 사용자 지정
프로비전 로그에는 기본 보기가 있지만 열을 사용자 지정할 수 있습니다.
로그 상단의 메뉴에서 열을 선택합니다.
보려는 열을 선택하고 창 하단에서 저장 단추를 선택합니다.
결과 필터링
프로비전 데이터를 필터링할 때 일부 필터 값은 테넌트를 기반으로 동적으로 채워집니다. 예를 들어, 테넌트에 "만들기" 이벤트가 없으면 = 만들기 필터 옵션을 사용할 수 없습니다.
ID 필터를 사용하면 관심 있는 이름 또는 ID를 지정할 수 있습니다. 이 ID는 사용자, 그룹, 역할 또는 다른 개체일 수 있습니다.
개체의 이름 또는 ID를 기준으로 검색할 수 있습니다. ID는 시나리오에 따라 달라집니다.
Microsoft Entra ID에서 Salesforce로 개체를 프로비전하는 경우 원본 ID는 Microsoft Entra ID에 있는 사용자의 개체 ID입니다. 대상 ID는 Salesforce의 사용자의 ID입니다.
Workday에서 Microsoft Entra ID로 프로비전하는 경우 원본 ID는 Workday 직원 ID입니다. 대상 ID는 Microsoft Entra ID에 포함된 사용자의 ID입니다.
테넌트 간 동기화를 위해 사용자를 프로비전하는 경우 원본 ID는 원본 테넌트의 사용자 ID입니다. 대상 ID는 대상 테넌트의 사용자 ID입니다.
참고 항목
사용자 이름이 ID 열에 항상 표시되지 않을 수 있습니다. 항상 하나의 ID가 있습니다.
날짜 필터를 사용하면 반환되는 데이터의 시간 범위를 정의할 수 있습니다. 가능한 값은 다음과 같습니다.
1달
7일
30일
24시간
사용자 지정 시간 간격(시작 날짜 및 종료 날짜 구성)
상태 필터를 사용하면 다음을 선택할 수 있습니다.
모두
Success
실패
건너뜀
작업 필터를 사용하면 다음 작업을 필터링할 수 있습니다.
생성
엽데이트
삭제
사용 안 함
기타
기본 보기의 필터 외에도 다음 필터를 설정할 수 있습니다.
작업 ID: 고유한 작업 ID는 프로비저닝을 사용하도록 설정한 각 애플리케이션과 연결됩니다.
주기 ID: 주기 ID는 프로비저닝 주기를 고유하게 식별합니다. 이 ID를 제품 지원과 공유하여 해당 이벤트가 발생한 주기를 조회할 수 있습니다.
변경 ID: 변경 ID는 프로비저닝 이벤트에 대한 고유 식별자입니다. 이 ID를 제품 지원과 공유하여 프로비저닝 이벤트를 조회할 수 있습니다.
원본 시스템: ID를 프로비저닝하는 위치를 지정할 수 있습니다. 예를 들어, Microsoft Entra ID에서 ServiceNow로 개체를 프로비전하는 경우 원본 시스템은 Microsoft Entra ID입니다.
대상 시스템: ID가 프로비저닝되는 위치를 지정할 수 있습니다. 예를 들어, Microsoft Entra ID에서 ServiceNow로 개체를 프로비전하는 경우 대상 시스템은 ServiceNow입니다.
애플리케이션: 특정 문자열이 포함된 표시 이름 또는 개체 ID가 있는 애플리케이션의 레코드만 표시할 수 있습니다. 테넌트 간 동기화의 경우 애플리케이션 ID가 아닌 구성의 개체 ID를 사용합니다.