Mengumpul log audit menggunakan penyambung tersuai (ditamatkan)
Penting
Menggunakan Pusat Kecemerlangan khusus - penyelesaian Log Audit dan Office 365 penyambung tersuai Pengurusan untuk mengumpul peristiwa log audit telah ditamatkan. Penyelesaian dan penyambung tersuai akan dikeluarkan dari CoE Starter Kit pada bulan Ogos 2023.
Kami mempunyai aliran baru yang mengumpul peristiwa log audit, yang merupakan sebahagian daripada penyelesaian Pusat Kecemerlangan - Komponen Teras. Aliran baharu ini menggunakan penyambung HTTP. Ketahui lebih lanjut: Kumpulkan log audit menggunakan tindakan HTTP
Aliran Penyegerakan Log Audit menghubungkan ke Log Audit untuk mengumpulkan data telemetri (pengguna unik, pelancaran) untuk aplikasi dalam Microsoft 365. Aliran menggunakan penyambung tersuai untuk bersambung dengan Log Audit. Dalam arahan berikut, anda menyediakan penyambung tersuai dan mengkonfigurasi aliran.
Kit Permulaan Pusat Kecemerlangan (CoE) berfungsi tanpa aliran ini, tetapi maklumat penggunaan (pelancaran aplikasi, pengguna unik) di Power BI papan pemuka akan kosong.
Penting
Lengkapkan arahan sebelum menubuhkan CoE Starter Kit dan Sediakan komponen inventori sebelum meneruskan persediaan dalam artikel ini. Artikel ini menganggap anda telah menyediakan persekitaran anda dan log masuk dengan identiti yang betul.
Hanya sediakan penyelesaian Log Audit jika anda telah memilih aliran awan sebagai mekanisme inventori dan telemetri.
Tonton penerangan tentang cara menyediakan penyambung log audit.
Sebelum anda menggunakan penyambung log audit
Carian log audit Microsoft 365 mesti dihidupkan untuk penyambung log audit berfungsi. Maklumat lanjut: Hidupkan atau matikan carian log audit
Identiti pengguna yang menjalankan aliran mesti mempunyai kebenaran untuk log audit. Keizinan minimum untuk ini diterangkan di sini: Sebelum anda mencari log audit
Penyewa anda mesti mempunyai langganan yang menyokong penglogan Audit bersatu. Maklumat lanjut: Ketersediaan Pusat Pematuhan & Keselamatan untuk pelan perniagaan dan perusahaan
Pentadbir Global diperlukan untuk mengkonfigurasi Microsoft Entra pendaftaran aplikasi.
Office 365 API Pengurusan menggunakan Microsoft Entra ID untuk menyediakan perkhidmatan pengesahan yang boleh anda gunakan untuk memberikan hak bagi aplikasi anda untuk mengaksesnya.
Microsoft Entra Buat pendaftaran aplikasi untuk Office 365 API Pengurusan
Dengan menggunakan langkah ini, anda menyediakan Microsoft Entra pendaftaran aplikasi yang digunakan dalam penyambung tersuai dan Power Automate mengalir untuk menyambung ke log audit. Maklumat lanjut: Mulakan dengan API Pengurusan Office 365
Daftar masuk ke portal.azure.com.
Pergi ke Microsoft Entra Pendaftaran> Apl ID.
Pilih + Pendaftaran Baharu.
Masukkan nama (contohnya, Pengurusan Microsoft 365), jangan ubah mana-mana tetapan lain dan kemudian pilih Daftar.
Pilih keizinan API>+ Tambahkan keizinan.
Pilih API Pengurusan Office 365 dan konfigurasikan keizinan seperti berikut:
Pilih Keizinan wakil dan kemudian pilih ActivityFeed.Read.
Pilih Tambah keizinan.
Pilih Beri Persetujuan Pentadbir untuk (organisasi anda). Prasyarat: Berikan keizinan pentadbir seluruh penyewa kepada aplikasi
Keizinan API kini menunjukkan wakil ActivityFeed.Read dengan status dan Diberi untuk (organisasi anda).
Pilih Sijil dan rahsia.
Pilih + Rahsia klien baharu.
Tambah perihalan dan tamat tempoh (selaras dengan dasar organisasi anda) dan kemudian, pilih Tambah.
Salin dan tampal Rahsia untuk dokumen teks dalam Notepad buat masa ini.
Pilih Gambaran Keseluruhan dan salin serta tampal ID aplikasi (klien) ID dan nilai ID direktori (penyewa) ke dokumen teks yang sama; pastikan anda membuat nota nilai GUID. Anda memerlukan nilai ini pada langkah seterusnya semasa anda mengkonfigurasi penyambung tersuai.
Biarkan portal Azure terbuka kerana anda perlu membuat beberapa kemas kini konfigurasi setelah anda menyediakan penyambung tersuai.
Sediakan penyambung tersuai
Kini anda akan mengkonfigurasi dan menyediakan penyambung tersuai yang menggunakan API Pengurusan Office 365.
Pergi ke Power Apps>Dataverse>Penyambung Tersuai. Penyambung Office 365 tersuai Management API disenaraikan di sini; ia telah diimport dengan penyelesaian komponen teras.
Pilih Edit.
Jika penyewa anda ialah penyewa komersial, tinggalkan halaman Umum seperti sedia ada.
Penting
- Jika penyewa anda ialah penyewa GCC, ubah hos kepada manage-gcc.office.com.
- Jika penyewa anda ialah GCC High penyewa, tukar hos kepada manage.office365.us.
- Jika penyewa anda ialah penyewa DoD, ubah hos kepada to manage.protection.apps.mil.
Maklumat lanjut: Operasi API aktiviti
Pilih Keselamatan.
Pilih Edit di bahagian bawah kawasan OAuth 2.0 untuk mengedit parameter pengesahan.
Tukar pembekal identiti kepada Microsoft Entra ID.
Tampal ID aplikasi (klien) yang anda salin dari pendaftaran aplikasi ke Id Klien.
Tampalkan rahsia klien yang anda salin dari pendaftaran aplikasi ke Rahsia klien.
Jangan ubah ID Penyewa.
Tinggalkan URL Log Masuk seperti untuk penyewa komersial dan GCC, dan ubahnya untuk log masuk https://.microsoftonline.us/ untukpenyewa atau GCC High DoD.
Setkan URL Sumber untuk mengurus https://.office.com untuk penyewa komersial, uruskan-gcc.office.com untuk penyewa GCC,manage https:// https://.office365.us untuk penyewa danurus GCC High .protection.apps.mil untuk https://penyewa DoD.
Pilih Kemas Kini Penyambung.
Salin Hala Semula URL ke dalam dokumen teks anda dalam Notepad.
Nota
Jika anda mempunyai dasar pencegahan kehilangan data (DLP) yang dikonfigurasikan untuk persekitaran Kit Permulaan CoE, anda perlu menambahkan penyambung ini pada kumpulan data perniagaan sahaja bagi dasar ini.
Kemas kini Microsoft Entra pendaftaran aplikasi dengan URL ubah hala
Pergi ke portal Azure dan pendaftaran aplikasi anda.
Di Bawah Gambaran Keseluruhan, pilih Tambah URI Hala Semula.
Pilih + Tambah platform>Web.
Masukkan URL yang anda salin dari bahagian URL Hala Semula penyambung tersuai.
Pilih Konfigurasikan.
Mulakan langganan untuk kandungan log audit
Kembali ke penyambung tersuai untuk menyediakan sambungan ke penyambung tersuai dan mulakan langganan kepada kandungan log audit seperti yang diterangkan dalam langkah-langkah berikut.
Penting
Anda mesti melengkapkan langkah ini untuk langkah seterusnya berfungsi. Jika anda tidak mencipta sambungan baharu dan menguji penyambung di sini, penyediaan aliran dan aliran anak pada langkah kemudian akan gagal.
Pada halaman Penyambung Tersuai, pilih Ujian.
Pilih + Sambungan baharu dan kemudian log masuk dengan akaun anda.
Di bawah Operasi, pilih StartSubscription.
Tampal direktori ( penyewa) ID—disalin lebih awal daripada halaman gambaran keseluruhan Pendaftaran Aplikasi dalam ID—ke dalam Microsoft Entra medan Penyewa .
Tampal ID direktori (penyewa) ke dalam PublisherIdentifier.
Pilih Uji Operasi.
Anda akan melihat status (200) dikembalikan yang bermaksud pertanyaan berjaya.
Penting
Jika anda sebelum ini telah mendayakan langganan tersebut, anda akan nampak mesej (400) Langganan telah didayakan. Ini bermakna langganan telah berjaya didayakan pada masa lalu. Anda boleh mengabaikan ralat ini dan meneruskan persediaan.
Jika anda tidak melihat mesej di atas atau respons (200), permintaan mungkin gagal. Mungkin terdapat ralat dengan persediaan anda yang menyimpan aliran kerja. Isu umum yang perlu disemak adalah:
- Sahkan bahawa pembekal identiti pada tab Keselamatan disetkan kepada Microsoft Entra ID.
- Adakah log audit didayakan dan adakah anda mempunyai keizinan untuk melihat log audit? Semak dengan melihat sama ada anda boleh mencari dalam Pengurus Pematuhan Microsoft.
- Jika anda tidak mempunyai keizinan, lihat Sebelum anda mencari log audit.
- Adakah anda telah mendayakan log audit baru-baru ini? Jika begitu, cuba lagi dalam beberapa minit untuk memberi masa log audit untuk diaktifkan.
- Pernahkah anda menampal ID penyewa yang betul daripada pendaftaran apl anda Microsoft Entra ?
- Adakah anda telah menampal URL sumber yang betul tanpa ruang atau aksara tambahan pada akhirnya?
- Sahkan bahawa anda betul-betul mengikuti langkah-langkah dalam Microsoft Entra pendaftaran apl.
- Sahkan bahawa anda mengemas kini tetapan keselamatan penyambung tersuai dengan betul, seperti yang diterangkan sebelum ini dalam langkah 6 prosedur persediaan penyambung tersuai dalam artikel ini.
Jika anda masih melihat kegagalan, sambungan anda mungkin berada dalam keadaan buruk. Ketahui lebih lanjut: Arahan langkah demi langkah untuk membaiki sambungan Log Audit
Sediakan aliran Power Automate
Aliran Power Automate menggunakan penyambung tersuai, pertanyaan log audit setiap hari dan menulis peristiwa pelancaran Power Apps pada jadual Microsoft Dataverse. Jadual ini kemudian digunakan dalam papan pemuka Power BI untuk melaporkan tentang sesi dan pengguna unik aplikasi.
Ikut arahan dalam Sediakan komponen teras untuk memuat turun penyelesaian.
Pergi ke make.powerapps.com.
Import penyelesaian log audit Pusat Kecemerlangan (CenterofExcellenceAuditLogs_x_x_x_xxx_managed.zip).
Wujudkan sambungan untuk mengaktifkan penyelesaian anda. Jika anda mencipta sambungan baharu, anda mesti memilih Segar Semula. Anda tidak akan kehilangan kemajuan import anda.
Buka Pusat Kecemerlangan – Penyelesaian Log Audit.
Keluarkan lapisan yang tidak terurus daripada [Anak] Pentadbir | Log Penyegerakan.
Pilih [Anak] Pentadbir | Log Penyegerakan.
Edit tetapan Hanya jalankan pengguna.
Office 365 Untuk penyambung tersuai Management API, ubah nilai kepada Gunakan sambungan ini (userPrincipalName@company.com). Jika tiada sambungan untuk mana-mana penyambung, pergi ke Dataverse>Sambungan dan cipta satu untuk penyambung.
Untuk penyambung Microsoft Dataverse , biarkan nilai keizinan run-only kosong dan sahkan bahawa rujukan sambungan untuk Log Audit CoE - Dataverse sambungan dikonfigurasikan dengan betul. Jika sambungan menunjukkan ralat, kemas kini rujukan sambungan untuk rujukan Log Audit CoE - Dataverse sambungan.
Pilih Simpan dan kemudian tutup tab Butiran aliran.
(Pilihan) Edit pemboleh ubah persekitaran TimeInterval-Unit dan TimeInterval-Interval untuk mengumpul masa yang lebih kecil. Nilai lalai adalah dengan memotong 1 hari ke dalam segmen 1 jam. Anda menerima isyarat daripada penyelesaian ini jika Log Audit gagal mengumpul semua data dengan selang masa dikonfigurasi anda.
Nama Penerangan StartTime-Interval Mesti nombor bulat untuk mewakili masa mula bagi tempoh yang lebih jauh untuk mendapatkan.
Nilai lalai: 1 (untuk satu hari kembali)StartTime-Unit Menentukan unit untuk tempoh masa yang jauh untuk dibawa ke data yang akan datang.
Mestilah nilai daripada yang diterima sebagai parameter input kepada Tambah kepada Masa.
Contoh nilai sah: Minit, Jam, Hari
Nilai lalai: HariTimeInterval-Unit Menentukan unit untuk kelompok masa sejak mula.
Mestilah nilai daripada yang diterima sebagai parameter input kepada Tambah kepada Masa.
Contoh nilai sah: Minit, Jam, Hari
Nilai lalai: JamTimeInterval-Interval Mestilah nombor bulat untuk mewakili bilangan kelompok unit jenis (di atas).
Nilai lalai: 1 (untuk kelompok 1 jam)TimeSegment-CountLimit Mesti nombor bulat untuk mewakili had pada bilangan potongan yang boleh dicipta.
Nilai lalai: 60Penting
Nilai lalai yang disediakan berfungsi dalam penyewa bersaiz sederhana. Anda mungkin perlu melaraskan nilai beberapa kali supaya berfungsi untuk saiz penyewa anda.
Penting
Ketahui cara mengemas kini pembolehubah persekitaran: Kemas kini Pembolehubah Persekitaran
Kembali dalam penyelesaian, hidupkan [Anak] Pentadbir | Aliran Log Penyegerakan dan Pentadbir | Aliran Pengerakan Log Audit.
Contoh konfigurasi untuk pemboleh ubah persekitaran
Berikut ialah konfigurasi contoh untuk nilai ini:
StartTime-Interval | StartTime-Unit | TimeInterval-Interval | TimeInterval-Unit | TimeSegment-CountLimit | Jangkaan |
---|---|---|---|---|---|
1 | hari | 1 | jam | 60 | Akan mewujudkan 24 aliran anak, yang berada dalam had 60. Setiap aliran kanak-kanak melakukan kerja untuk menarik balik 1 jam balak dari 24 jam yang lalu |
2 | hari | 1 | jam | 60 | Akan mewujudkan 48 aliran anak, yang berada dalam had 60. Setiap aliran kanak-kanak melakukan kerja untuk menarik balik 1 jam balak dari 48 jam yang lalu |
1 | hari | 5 | minit | 300 | Akan mewujudkan 288 aliran anak, yang berada dalam had 300. Setiap aliran kanak-kanak melakukan kerja untuk menarik balik 5 minit balak dari 24 jam yang lalu |
1 | hari | 15 | minit | 100 | Akan mewujudkan 96 aliran anak, yang berada dalam had 100. Setiap aliran kanak-kanak melakukan kerja untuk menarik balik 15 minit balak dari 24 jam yang lalu |
Cara untuk mendapatkan data yang lebih lama
Penyelesaian ini mengumpulkan pelancaran aplikasi dari saat ia dikonfigurasikan dan tidak disediakan untuk mengumpulkan pelancaran aplikasi bersejarah. Bergantung pada lesen Microsoft 365 anda, data bersejarah akan tersedia selama setahun menggunakan log audit dalam Microsoft Purview.
Anda boleh memuat data bersejarah ke dalam jadual Kit Permulaan CoE secara manual. Ketahui lebih lanjut: Cara mengimport Log Audit lama
Saya menemui pepijat dengan CoE Starter Kit; ke mana saya perlu pergi?
Untuk memfailkan pepijat terhadap penyelesaian, pergi ke aka.ms/coe-starter-kit-issues.