Kongsi melalui

Kumpulkan log audit menggunakan tindakan HTTP

  • Artikel

Penyegerakan log audit mengalir menyambung ke Office 365 API Pengurusan untuk mengumpulkan data telemetri, seperti pengguna unik dan pelancaran, untuk aplikasi. Aliran menggunakan tindakan HTTP untuk mencapai API. Dalam arahan berikut, anda akan menyediakan pendaftaran aplikasi untuk tindakan HTTP dan pembolehubah persekitaran yang diperlukan untuk menjalankan aliran.

Kit Permulaan Pusat Kecemerlangan (CoE) berfungsi tanpa aliran ini, tetapi maklumat penggunaan, seperti pelancaran aplikasi dan pengguna unik, di Power BI papan pemuka akan kosong.

Penting

Lengkapkan arahan sebelum menubuhkan CoE Starter Kit dan Sediakan komponen inventori sebelum meneruskan persediaan dalam artikel ini. Artikel ini menganggap anda telah menyediakan persekitaran anda dan log masuk dengan identiti yang betul.

Hanya sediakan aliran log audit jika anda telah memilih aliran awan sebagai mekanisme inventori dan telemetri.

Sebelum anda menyediakan aliran log audit

  1. Carian log audit Microsoft 365 mesti dihidupkan untuk penyambung log audit berfungsi. Maklumat lanjut: Hidupkan atau matikan carian log audit
  2. Penyewa anda mesti mempunyai langganan yang menyokong penglogan Audit bersatu. Maklumat lanjut: Ketersediaan Pusat Pematuhan & Keselamatan untuk pelan perniagaan dan perusahaan
  3. Pentadbir global diperlukan untuk mengkonfigurasi Microsoft Entra pendaftaran aplikasi.

Office 365 API Pengurusan menggunakan Microsoft Entra ID untuk menyediakan perkhidmatan pengesahan yang boleh anda gunakan untuk memberikan hak bagi aplikasi anda untuk mengaksesnya.

Microsoft Entra Buat pendaftaran aplikasi untuk Office 365 API Pengurusan

Menggunakan langkah ini, anda boleh menyediakan Microsoft Entra pendaftaran aplikasi untuk panggilan HTTP dalam Power Automate aliran untuk menyambung ke log audit. Maklumat lanjut: Mulakan dengan API Pengurusan Office 365

  1. Daftar masuk ke portal.azure.com.

  2. Pergi ke Microsoft Entra Pendaftaran> Apl ID. Petikan skrin menunjukkan Microsoft Entra pendaftaran aplikasi.

  3. Pilih + Pendaftaran Baharu.

  4. Masukkan nama, seperti Microsoft 365 Pengurusan, jangan ubah sebarang seting lain kemudian pilih Daftar.

  5. Pilih Keizinan API>+ Tambah keizinan.

    Tambah keizinan API

  6. Pilih Office 365 API Pengurusan dan konfigurasikan keizinan seperti berikut:

    1. Pilih Kebenaran aplikasi, kemudian pilih ActivityFeed.Read.

      Keizinan aplikasi

    2. Pilih Tambah keizinan.

  7. Pilih Beri Persetujuan Pentadbir untuk (organisasi anda). Prasyarat: Berikan keizinan pentadbir seluruh penyewa kepada aplikasi

    Keizinan API kini menunjukkan wakil ActivityFeed.Read dengan status dan Diberi untuk (organisasi anda).

  8. Pilih Sijil dan rahsia.

  9. Pilih + Rahsia klien baharu.

    Rahsia klien baharu

  10. Tambah perihalan dan tamat tempoh selaras dengan dasar organisasi anda, kemudian pilih Tambah.

  11. Salin dan tampal ID aplikasi (klien) ke dokumen teks dalam Notepad buat masa ini.

  12. Pilih Gambaran Keseluruhan dan salin dan tampal nilai ID aplikasi (klien) dan direktori (penyewa) ID kepada dokumen teks yang sama. Pastikan anda membuat nota tentang GUID yang mana nilainya. Anda memerlukan nilai ini apabila anda mengkonfigurasikan penyambung tersuai.

Kemas kini pemboleh ubah persekitaran

Pemboleh ubah persekitaran digunakan untuk menyimpan ID pelanggan dan rahsia untuk pendaftaran aplikasi, dan titik akhir perkhidmatan khalayak dan pihak berkuasa bergantung pada awan anda (komersial, GCC, GCC High DoD) untuk tindakan HTTP. Kemas kini pembolehubah persekitaran sebelum menghidupkan aliran.

Anda boleh menyimpan rahsia pelanggan sama ada dalam teks biasa dalam Log Audit - pembolehubah persekitaran Rahsia Pelanggan, yang tidak disyorkan. Sebaliknya, kami mengesyorkan agar anda membuat dan menyimpan rahsia pelanggan dalam Azure Key Vault dan merujuknya dalam Log Audit - pembolehubah persekitaran Azure Secret Pelanggan.

Nota

Aliran yang menggunakan pembolehubah persekitaran ini dikonfigurasikan dengan syarat untuk mengharapkan sama ada Log Audit - Rahsia Pelanggan atau Log Audit - Pembolehubah persekitaran Rahsia Azure Pelanggan. Ia tidak perlu mengedit aliran untuk bekerja dengan Azure Key Vault.

Nama Description Nilai
Log Audit - Penonton Parameter khalayak untuk panggilan HTTP. Komersial (Lalai): https://manage.office.com

GCC: https://manage-gcc.office.com

GCC High: https://manage.office365.us>

DoD: https://manage.protection.apps.mil
Log Audit - Pihak Berkuasa Medan autoriti dalam panggilan HTTP. Komersial (Lalai): https://login.windows.net

GCC: https://login.windows.net

GCC High: https://login.microsoftonline.us

DoD: https://login.microsoftonline.us
Log Audit - ClientID ID Pelanggan pendaftaran aplikasi. ID klien aplikasi daripada langkah Cipta Microsoft Entra pendaftaran aplikasi untuk Office 365 langkah API Pengurusan.
Log Audit - Rahsia Pelanggan Rahsia pelanggan pendaftaran aplikasi dalam teks biasa. Rahsia klien aplikasi daripada Cipta Microsoft Entra pendaftaran aplikasi untuk Office 365 langkah API Pengurusan. Biarkan kosong jika anda menggunakan Azure Key Vault untuk menyimpan ID dan rahsia klien anda.
Log Audit - Client Azure Secret Azure Key Vault rujukan rahsia klien pendaftaran Aplikasi. Rujukan Azure Key Vault untuk klien aplikasi rahsia daripada Cipta Microsoft Entra pendaftaran aplikasi untuk Office 365 langkah Pengurusan API . Biarkan kosong jika anda menyimpan ID pelanggan anda dalam teks biasa dalam Log Audit - pembolehubah persekitaran Rahsia Pelanggan. Pemboleh ubah ini mengharapkan rujukan Azure Key Vault, bukan rahsia. Ketahui lebih lanjut: Gunakan rahsia Azure Key Vault dalam pemboleh ubah persekitaran

Mulakan langganan untuk kandungan log audit

  1. Pergi ke make.powerapps.com.
  2. Pilih Penyelesaian.
  3. Buka Pusat Kecemerlangan - Penyelesaian Komponen Teras.
  4. Putar Pentadbir | Log Audit | Office 365 Pengurusan API Langganan mengalir dan menjalankannya, masukkan mula sebagai operasi untuk dijalankan. Memulakan langganan
  5. Buka aliran dan sahkan bahawa tindakan untuk memulakan langganan telah berlalu. Memulakan langganan yang diluluskan

Penting

Jika anda sebelum ini telah mendayakan langganan tersebut, anda akan nampak mesej (400) Langganan telah didayakan. Ini bermakna langganan telah berjaya didayakan pada masa lalu. Anda boleh mengabaikan ralat ini dan meneruskan persediaan.

Jika anda tidak melihat mesej di atas atau respons (200), permintaan mungkin gagal. Mungkin terdapat ralat dengan persediaan anda yang menyimpan aliran kerja. Isu umum yang perlu disemak adalah:

  • Adakah log audit didayakan dan adakah anda mempunyai keizinan untuk melihat log audit? Semak dengan melihat sama ada anda boleh mencari dalam Pengurus Pematuhan Microsoft.
  • Adakah anda telah mendayakan log audit baru-baru ini? Jika begitu, cuba lagi dalam beberapa minit untuk memberi masa log audit untuk diaktifkan.
  • Sahkan bahawa anda betul-betul mengikuti langkah-langkah dalam Microsoft Entra pendaftaran apl.
  • Sahkan bahawa anda mengemas kini pembolehubah persekitaran dengan betul untuk aliran ini.

Hidupkan aliran

  1. Pergi ke make.powerapps.com.
  2. Pilih Penyelesaian.
  3. Buka Pusat Kecemerlangan - Penyelesaian Komponen Teras.
  4. Putar Pentadbir | Log Audit | Segerakkan Log Audit (V2) aliran hidup. Aliran ini akan berjalan mengikut jadual setiap jam, dan mengumpul peristiwa log audit ke dalam jadual Log Audit.

Cara untuk mendapatkan data yang lebih lama

Penyelesaian ini mengumpulkan aplikasi yang dilancarkan dari saat dikonfigurasikan dan tidak ditetapkan untuk mengumpulkan pelancaran aplikasi bersejarah. Bergantung pada lesen Microsoft 365 anda, data bersejarah akan tersedia selama setahun menggunakan log audit dalam Microsoft Purview.

Anda boleh memuatkan data bersejarah ke dalam jadual CoE Starter Kit secara manual menggunakan salah satu aliran yang disediakan dalam penyelesaian, seperti yang diterangkan di sini.

Nota

Pengguna mendapatkan log audit mesti mempunyai kebenaran untuk log audit. Maklumat lanjut: Sebelum anda mencari log audit

  1. Semak lalu ke carian Log Audit.
  2. Cari aktiviti apl Lancar dalam julat tarikh yang tersedia untuk anda. Dapatkan log audit lama
  3. Setelah carian berjalan, pilih Eksport untuk memuat turun hasilnya. Muat turun log audit lama
  4. Semak lalu ke aliran berikut dalam penyelesaian teras: Pentadbir | Log Audit | Muatkan peristiwa daripada fail CSV Log Audit yang dieksport
  5. Hidupkan aliran dan jalankannya, pilih fail yang dimuat turun untuk parameter Audit Log CSV. Muatkan log audit lama melalui aliran

    Nota

    Jika anda tidak melihat pemuatan fail selepas memilih Import, ia mungkin melebihi saiz kandungan yang dibenarkan untuk pencetus ini. Cuba pecahkan fail ke dalam fail yang lebih kecil (50,000 baris setiap fail) dan jalankan aliran sekali setiap fail. Aliran boleh dijalankan serentak untuk berbilang fail.

  6. Apabila selesai, log ini akan dimasukkan ke dalam telemetri anda. Senarai pelancaran terakhir untuk aplikasi akan dikemas kini jika pelancaran yang lebih terkini ditemui.

Nampaknya saya menemui pepijat dengan CoE Starter Kit. Ke mana saya perlu pergi?

Untuk memfailkan pepijat terhadap penyelesaian, pergi ke aka.ms/coe-starter-kit-issues.