Kongsi melalui

Mengumpul log audit menggunakan penyambung tersuai (ditamatkan)

  • Artikel

Penting

Menggunakan Pusat Kecemerlangan khusus - penyelesaian Log Audit dan Office 365 penyambung tersuai Pengurusan untuk mengumpul peristiwa log audit telah ditamatkan. Penyelesaian dan penyambung tersuai akan dikeluarkan dari CoE Starter Kit pada bulan Ogos 2023.

Kami mempunyai aliran baru yang mengumpul peristiwa log audit, yang merupakan sebahagian daripada penyelesaian Pusat Kecemerlangan - Komponen Teras. Aliran baharu ini menggunakan penyambung HTTP. Ketahui lebih lanjut: Kumpulkan log audit menggunakan tindakan HTTP

Aliran Penyegerakan Log Audit menghubungkan ke Log Audit untuk mengumpulkan data telemetri (pengguna unik, pelancaran) untuk aplikasi dalam Microsoft 365. Aliran menggunakan penyambung tersuai untuk bersambung dengan Log Audit. Dalam arahan berikut, anda menyediakan penyambung tersuai dan mengkonfigurasi aliran.

Kit Permulaan Pusat Kecemerlangan (CoE) berfungsi tanpa aliran ini, tetapi maklumat penggunaan (pelancaran aplikasi, pengguna unik) di Power BI papan pemuka akan kosong.

Penting

Lengkapkan arahan sebelum menubuhkan CoE Starter Kit dan Sediakan komponen inventori sebelum meneruskan persediaan dalam artikel ini. Artikel ini menganggap anda telah menyediakan persekitaran anda dan log masuk dengan identiti yang betul.

Hanya sediakan penyelesaian Log Audit jika anda telah memilih aliran awan sebagai mekanisme inventori dan telemetri.

Tonton penerangan tentang cara menyediakan penyambung log audit.

Sebelum anda menggunakan penyambung log audit

  1. Carian log audit Microsoft 365 mesti dihidupkan untuk penyambung log audit berfungsi. Maklumat lanjut: Hidupkan atau matikan carian log audit

  2. Identiti pengguna yang menjalankan aliran mesti mempunyai kebenaran untuk log audit. Keizinan minimum untuk ini diterangkan di sini: Sebelum anda mencari log audit

  3. Penyewa anda mesti mempunyai langganan yang menyokong penglogan Audit bersatu. Maklumat lanjut: Ketersediaan Pusat Pematuhan & Keselamatan untuk pelan perniagaan dan perusahaan

  4. Pentadbir Global diperlukan untuk mengkonfigurasi Microsoft Entra pendaftaran aplikasi.

Office 365 API Pengurusan menggunakan Microsoft Entra ID untuk menyediakan perkhidmatan pengesahan yang boleh anda gunakan untuk memberikan hak bagi aplikasi anda untuk mengaksesnya.

Microsoft Entra Buat pendaftaran aplikasi untuk Office 365 API Pengurusan

Dengan menggunakan langkah ini, anda menyediakan Microsoft Entra pendaftaran aplikasi yang digunakan dalam penyambung tersuai dan Power Automate mengalir untuk menyambung ke log audit. Maklumat lanjut: Mulakan dengan API Pengurusan Office 365

  1. Daftar masuk ke portal.azure.com.

  2. Pergi ke Microsoft Entra Pendaftaran> Apl ID.

    Microsoft Entra pendaftaran aplikasi.

  3. Pilih + Pendaftaran Baharu.

  4. Masukkan nama (contohnya, Pengurusan Microsoft 365), jangan ubah mana-mana tetapan lain dan kemudian pilih Daftar.

  5. Pilih keizinan API>+ Tambahkan keizinan.

    Kebenaran API - Tambah kebenaran.

  6. Pilih API Pengurusan Office 365 dan konfigurasikan keizinan seperti berikut:

    1. Pilih Keizinan wakil dan kemudian pilih ActivityFeed.Read.

      Kebenaran yang diwakilkan.

    2. Pilih Tambah keizinan.

  7. Pilih Beri Persetujuan Pentadbir untuk (organisasi anda). Prasyarat: Berikan keizinan pentadbir seluruh penyewa kepada aplikasi

    Keizinan API kini menunjukkan wakil ActivityFeed.Read dengan status dan Diberi untuk (organisasi anda).

  8. Pilih Sijil dan rahsia.

  9. Pilih + Rahsia klien baharu.

    Rahsia pelanggan baru.

  10. Tambah perihalan dan tamat tempoh (selaras dengan dasar organisasi anda) dan kemudian, pilih Tambah.

  11. Salin dan tampal Rahsia untuk dokumen teks dalam Notepad buat masa ini.

  12. Pilih Gambaran Keseluruhan dan salin serta tampal ID aplikasi (klien) ID dan nilai ID direktori (penyewa) ke dokumen teks yang sama; pastikan anda membuat nota nilai GUID. Anda memerlukan nilai ini pada langkah seterusnya semasa anda mengkonfigurasi penyambung tersuai.

Biarkan portal Azure terbuka kerana anda perlu membuat beberapa kemas kini konfigurasi setelah anda menyediakan penyambung tersuai.

Sediakan penyambung tersuai

Kini anda akan mengkonfigurasi dan menyediakan penyambung tersuai yang menggunakan API Pengurusan Office 365.

  1. Pergi ke Power Apps>Dataverse>Penyambung Tersuai. Penyambung Office 365 tersuai Management API disenaraikan di sini; ia telah diimport dengan penyelesaian komponen teras.

  2. Pilih Edit.

  3. Jika penyewa anda ialah penyewa komersial, tinggalkan halaman Umum seperti sedia ada.

    Penting

    • Jika penyewa anda ialah penyewa GCC, ubah hos kepada manage-gcc.office.com.
    • Jika penyewa anda ialah GCC High penyewa, tukar hos kepada manage.office365.us.
    • Jika penyewa anda ialah penyewa DoD, ubah hos kepada to manage.protection.apps.mil.

    Maklumat lanjut: Operasi API aktiviti

  4. Pilih Keselamatan.

  5. Pilih Edit di bahagian bawah kawasan OAuth 2.0 untuk mengedit parameter pengesahan.

    Edit konfigurasi OAuth.

  6. Tukar pembekal identiti kepada Microsoft Entra ID.

    Tukar pembekal identiti kepada Microsoft Entra ID.

  7. Tampal ID aplikasi (klien) yang anda salin dari pendaftaran aplikasi ke Id Klien.

  8. Tampalkan rahsia klien yang anda salin dari pendaftaran aplikasi ke Rahsia klien.

  9. Jangan ubah ID Penyewa.

  10. Tinggalkan URL Log Masuk seperti untuk penyewa komersial dan GCC, dan ubahnya untuk log masuk https://.microsoftonline.us/ untukpenyewa atau GCC High DoD.

  11. Setkan URL Sumber untuk mengurus https://.office.com untuk penyewa komersial, uruskan-gcc.office.com untuk penyewa GCC,manage https:// https://.office365.us untuk penyewa danurus GCC High .protection.apps.mil untuk https://penyewa DoD.

  12. Pilih Kemas Kini Penyambung.

  13. Salin Hala Semula URL ke dalam dokumen teks anda dalam Notepad.

Nota

Jika anda mempunyai dasar pencegahan kehilangan data (DLP) yang dikonfigurasikan untuk persekitaran Kit Permulaan CoE, anda perlu menambahkan penyambung ini pada kumpulan data perniagaan sahaja bagi dasar ini.

Kemas kini Microsoft Entra pendaftaran aplikasi dengan URL ubah hala

  1. Pergi ke portal Azure dan pendaftaran aplikasi anda.

  2. Di Bawah Gambaran Keseluruhan, pilih Tambah URI Hala Semula.

  3. Pilih + Tambah platform>Web.

  4. Masukkan URL yang anda salin dari bahagian URL Hala Semula penyambung tersuai.

  5. Pilih Konfigurasikan.

Mulakan langganan untuk kandungan log audit

Kembali ke penyambung tersuai untuk menyediakan sambungan ke penyambung tersuai dan mulakan langganan kepada kandungan log audit seperti yang diterangkan dalam langkah-langkah berikut.

Penting

Anda mesti melengkapkan langkah ini untuk langkah seterusnya berfungsi. Jika anda tidak mencipta sambungan baharu dan menguji penyambung di sini, penyediaan aliran dan aliran anak pada langkah kemudian akan gagal.

  1. Pada halaman Penyambung Tersuai, pilih Ujian.

  2. Pilih + Sambungan baharu dan kemudian log masuk dengan akaun anda.

  3. Di bawah Operasi, pilih StartSubscription.

    Langganan Mula Penyambung Tersuai.

  4. Tampal direktori ( penyewa) ID—disalin lebih awal daripada halaman gambaran keseluruhan Pendaftaran Aplikasi dalam ID—ke dalam Microsoft Entra medan Penyewa .

  5. Tampal ID direktori (penyewa) ke dalam PublisherIdentifier.

  6. Pilih Uji Operasi.

Anda akan melihat status (200) dikembalikan yang bermaksud pertanyaan berjaya.

Status berjaya dikembalikan daripada aktiviti StartSubscription.

Penting

Jika anda sebelum ini telah mendayakan langganan tersebut, anda akan nampak mesej (400) Langganan telah didayakan. Ini bermakna langganan telah berjaya didayakan pada masa lalu. Anda boleh mengabaikan ralat ini dan meneruskan persediaan.

Jika anda tidak melihat mesej di atas atau respons (200), permintaan mungkin gagal. Mungkin terdapat ralat dengan persediaan anda yang menyimpan aliran kerja. Isu umum yang perlu disemak adalah:

  • Sahkan bahawa pembekal identiti pada tab Keselamatan disetkan kepada Microsoft Entra ID.
  • Adakah log audit didayakan dan adakah anda mempunyai keizinan untuk melihat log audit? Semak dengan melihat sama ada anda boleh mencari dalam Pengurus Pematuhan Microsoft.
  • Jika anda tidak mempunyai keizinan, lihat Sebelum anda mencari log audit.
  • Adakah anda telah mendayakan log audit baru-baru ini? Jika begitu, cuba lagi dalam beberapa minit untuk memberi masa log audit untuk diaktifkan.
  • Pernahkah anda menampal ID penyewa yang betul daripada pendaftaran apl anda Microsoft Entra ?
  • Adakah anda telah menampal URL sumber yang betul tanpa ruang atau aksara tambahan pada akhirnya?
  • Sahkan bahawa anda betul-betul mengikuti langkah-langkah dalam Microsoft Entra pendaftaran apl.
  • Sahkan bahawa anda mengemas kini tetapan keselamatan penyambung tersuai dengan betul, seperti yang diterangkan sebelum ini dalam langkah 6 prosedur persediaan penyambung tersuai dalam artikel ini.

Jika anda masih melihat kegagalan, sambungan anda mungkin berada dalam keadaan buruk. Ketahui lebih lanjut: Arahan langkah demi langkah untuk membaiki sambungan Log Audit

Sediakan aliran Power Automate

Aliran Power Automate menggunakan penyambung tersuai, pertanyaan log audit setiap hari dan menulis peristiwa pelancaran Power Apps pada jadual Microsoft Dataverse. Jadual ini kemudian digunakan dalam papan pemuka Power BI untuk melaporkan tentang sesi dan pengguna unik aplikasi.

  1. Ikut arahan dalam Sediakan komponen teras untuk memuat turun penyelesaian.

  2. Pergi ke make.powerapps.com.

  3. Import penyelesaian log audit Pusat Kecemerlangan (CenterofExcellenceAuditLogs_x_x_x_xxx_managed.zip).

  4. Wujudkan sambungan untuk mengaktifkan penyelesaian anda. Jika anda mencipta sambungan baharu, anda mesti memilih Segar Semula. Anda tidak akan kehilangan kemajuan import anda.

    Import penyelesaian komponen log audit CoE.

  5. Buka Pusat Kecemerlangan – Penyelesaian Log Audit.

  6. Keluarkan lapisan yang tidak terurus daripada [Anak] Pentadbir | Log Penyegerakan.

  7. Pilih [Anak] Pentadbir | Log Penyegerakan.

  8. Edit tetapan Hanya jalankan pengguna.

    Aliran kanak-kanak - pengguna lari sahaja.

  9. Office 365 Untuk penyambung tersuai Management API, ubah nilai kepada Gunakan sambungan ini (userPrincipalName@company.com). Jika tiada sambungan untuk mana-mana penyambung, pergi ke Dataverse>Sambungan dan cipta satu untuk penyambung.

    Konfigurasikan pengguna run-only.

  10. Untuk penyambung Microsoft Dataverse , biarkan nilai keizinan run-only kosong dan sahkan bahawa rujukan sambungan untuk Log Audit CoE - Dataverse sambungan dikonfigurasikan dengan betul. Jika sambungan menunjukkan ralat, kemas kini rujukan sambungan untuk rujukan Log Audit CoE - Dataverse sambungan.

    Sahkan Dataverse rujukan sambungan disetkan kepada akaun anda.

  11. Pilih Simpan dan kemudian tutup tab Butiran aliran.

  12. (Pilihan) Edit pemboleh ubah persekitaran TimeInterval-Unit dan TimeInterval-Interval untuk mengumpul masa yang lebih kecil. Nilai lalai adalah dengan memotong 1 hari ke dalam segmen 1 jam. Anda menerima isyarat daripada penyelesaian ini jika Log Audit gagal mengumpul semua data dengan selang masa dikonfigurasi anda.

    Nama Penerangan
    StartTime-Interval Mesti nombor bulat untuk mewakili masa mula bagi tempoh yang lebih jauh untuk mendapatkan.
    Nilai lalai: 1 (untuk satu hari kembali)
    StartTime-Unit Menentukan unit untuk tempoh masa yang jauh untuk dibawa ke data yang akan datang.
    Mestilah nilai daripada yang diterima sebagai parameter input kepada Tambah kepada Masa.
    Contoh nilai sah: Minit, Jam, Hari
    Nilai lalai: Hari
    TimeInterval-Unit Menentukan unit untuk kelompok masa sejak mula.
    Mestilah nilai daripada yang diterima sebagai parameter input kepada Tambah kepada Masa.
    Contoh nilai sah: Minit, Jam, Hari
    Nilai lalai: Jam
    TimeInterval-Interval Mestilah nombor bulat untuk mewakili bilangan kelompok unit jenis (di atas).
    Nilai lalai: 1 (untuk kelompok 1 jam)
    TimeSegment-CountLimit Mesti nombor bulat untuk mewakili had pada bilangan potongan yang boleh dicipta.
    Nilai lalai: 60

    Penting

    Nilai lalai yang disediakan berfungsi dalam penyewa bersaiz sederhana. Anda mungkin perlu melaraskan nilai beberapa kali supaya berfungsi untuk saiz penyewa anda.

    Penting

    Ketahui cara mengemas kini pembolehubah persekitaran: Kemas kini Pembolehubah Persekitaran

  13. Kembali dalam penyelesaian, hidupkan [Anak] Pentadbir | Aliran Log Penyegerakan dan Pentadbir | Aliran Pengerakan Log Audit.

    Hidupkan aliran log audit.

Contoh konfigurasi untuk pemboleh ubah persekitaran

Berikut ialah konfigurasi contoh untuk nilai ini:

StartTime-Interval StartTime-Unit TimeInterval-Interval TimeInterval-Unit TimeSegment-CountLimit Jangkaan
1 hari 1 jam 60 Akan mewujudkan 24 aliran anak, yang berada dalam had 60.
Setiap aliran kanak-kanak melakukan kerja untuk menarik balik 1 jam balak dari 24 jam yang lalu
2 hari 1 jam 60 Akan mewujudkan 48 aliran anak, yang berada dalam had 60.
Setiap aliran kanak-kanak melakukan kerja untuk menarik balik 1 jam balak dari 48 jam yang lalu
1 hari 5 minit 300 Akan mewujudkan 288 aliran anak, yang berada dalam had 300.
Setiap aliran kanak-kanak melakukan kerja untuk menarik balik 5 minit balak dari 24 jam yang lalu
1 hari 15 minit 100 Akan mewujudkan 96 aliran anak, yang berada dalam had 100.
Setiap aliran kanak-kanak melakukan kerja untuk menarik balik 15 minit balak dari 24 jam yang lalu

Cara untuk mendapatkan data yang lebih lama

Penyelesaian ini mengumpulkan pelancaran aplikasi dari saat ia dikonfigurasikan dan tidak disediakan untuk mengumpulkan pelancaran aplikasi bersejarah. Bergantung pada lesen Microsoft 365 anda, data bersejarah akan tersedia selama setahun menggunakan log audit dalam Microsoft Purview.

Anda boleh memuat data bersejarah ke dalam jadual Kit Permulaan CoE secara manual. Ketahui lebih lanjut: Cara mengimport Log Audit lama

Saya menemui pepijat dengan CoE Starter Kit; ke mana saya perlu pergi?

Untuk memfailkan pepijat terhadap penyelesaian, pergi ke aka.ms/coe-starter-kit-issues.