Como baixar logs no Microsoft Entra ID

  • Artigo

O centro de administração do Microsoft Entra fornece acesso a três tipos de logs de atividades:

  • Entradas: informações sobre entradas e como seus recursos são usados por seus usuários.
  • Auditoria: informações sobre as alterações aplicadas ao seu locatário, como usuários e gerenciamento de grupo ou atualizações aplicadas aos recursos do locatário.
  • Provisionamento: atividades executadas por um serviço de provisionamento, como a criação de um grupo no ServiceNow ou um usuário importado do Workday.

O Microsoft Entra ID armazena logs de atividades por um período específico, dependendo de sua licença. Para obter mais informações, consulte Retenção de dados do Microsoft Entra. Ao baixar os logs, você pode controlar por quanto tempo os logs são armazenados. Este artigo explica como fazer o download de logs de atividades no Microsoft Entra ID.

Pré-requisitos

  • Para obter requisitos de licença e função, consulte Monitoramento e licenciamento de integridade do Microsoft Entra.
  • A opção de baixar logs está disponível em todas as edições do Microsoft Entra ID.
  • Baixar logs de forma programática com o Microsoft Graph requer uma licença premium.
  • Leitor de Relatórios é a função com privilégios mínimos necessária para exibir os logs de atividades do Microsoft Entra.

Considerações sobre o download de log

Antes de baixar os logs, examine as seguintes considerações e dicas:

  • O Microsoft Entra ID dá suporte aos seguintes formatos para download:
    • CSV
    • JSON
  • Os carimbos de data/hora nos arquivos baixados são baseados em UTC.
  • Você pode baixar até 100.000 registros de entrada ou provisionamento por arquivo.
  • Você pode baixar até 250.000 registros de auditoria por arquivo.
  • Defina o filtro antes de baixar os logs para restringir o conjunto de dados.

Observação

O serviço de download do centro de administração do Microsoft Entra atingirá o tempo limite se você tentar baixar grandes conjuntos de dados. Em geral, conjuntos de dados menores que 250.000 para logs de auditoria e 100.000 para logs de entrada e provisionamento funcionam bem com o recurso de download do navegador.

Se você enfrentar problemas ao fazer grandes downloads no navegador, use a API de relatório para baixar os dados ou envie os logs para um ponto de extremidade por meio de configurações de diagnóstico.

Observação

As colunas nos logs baixados não são alteradas. A saída contém todos os detalhes do log de auditoria ou de entrada, independentemente das colunas personalizadas no centro de administração do Microsoft Entra. No entanto, se você definir um filtro personalizado, a saída nos logs baixados conterá apenas os resultados que correspondem ao filtro.

Como baixar logs de atividades

Você pode acessar os logs de atividades na seção Monitoramento e integridade do Microsoft Entra ID ou na área do Microsoft Entra ID em que você está trabalhando.

Por exemplo, se você estiver na seção Grupos ou Licenças do Microsoft Entra ID, poderá acessar os logs de auditoria dessas atividades específicas diretamente dessa área. Quando você acessa os logs de auditoria dessa forma, as categorias de filtro são definidas automaticamente. Se você estiver em Grupos, a categoria de filtro de log de auditoria será definida como GroupManagement.

Captura de tela da área de licenças do Microsoft Entra ID com a opção Logs de auditoria realçada.

Logs de auditoria

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.

  2. Navegue até Identidade>Monitoramento e integridade>Logs de auditoria.

  3. Selecione Baixar.

  4. No painel aberto, selecione o Formato.

  5. Opcionalmente, forneça um nome de arquivo exclusivo.

  6. Selecione o botão Baixar . O download processa e envia o arquivo para o local de download padrão.

    Captura de tela do processo de download do log de auditoria.

Logs de entrada

As opções abordadas nesta seção se alinham à experiência de versão prévia para logs de entrada.

  1. Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.

  2. Navegue até Identidade>Monitoramento e integridade>Logs de entrada.

  3. Selecione o botão Baixar e selecione JSON ou CSV.

    Captura de tela das opções do botão Baixar para logs de entrada.

  4. Opcionalmente, forneça um nome de arquivo exclusivo para cada arquivo que você precisa baixar.

  5. Selecione o botão Baixar para um ou mais logs. O download processa e envia o arquivo para o local de download padrão.

    Captura de tela das opções de download para os logs de entrada.

Logs de provisionamento

  1. Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.

  2. Navegue até Identidade>Monitoramento e integridade>Logs de provisionamento.

  3. Selecione o botão Baixar e selecione JSON ou CSV.

  4. Opcionalmente, forneça um nome de arquivo exclusivo para cada arquivo que você precisa baixar.

  5. Selecione o botão Baixar para um ou mais logs. O download processa e envia o arquivo para o local de download padrão.

    • Logs de provisionamento
    • Logs de provisionamento com as etapas de provisionamento
    • Logs de provisionamento com propriedades modificadas

    Captura de tela das opções de download para os logs de provisionamento.