Практическое руководство. Скачивание журналов действий в Azure Active Directory

Портал Azure Active Directory (Azure AD) предоставляет доступ к трем типам журналов действий:

  • Операции входа  — сведения об операциях входа и использовании ресурсов пользователями.
  • Аудит  — сведения об изменениях, примененных к вашему клиенту, например об операциях управления пользователями и группами или обновлении ресурсов клиента.
  • Подготовка  — действия, выполняемые службой подготовки к работе, например создание группы в ServiceNow или импорт пользователей из Workday.

Azure AD хранит данные в этих журналах в течение ограниченного времени. ИТ-администратор может скачать журналы действий, сохранить их долгосрочную резервную копию.

В этой статье объясняется, как скачать журналы действий в Azure AD.

Необходимая информация

  • На портале Azure AD можно найти несколько точек входа в журналы действий. Например, раздел Действие на странице Пользователи или Группы. Однако только одно расположение предоставляет первоначальное, нефильтрованное представление журналов — раздел Мониторинг на странице Azure AD.

  • Azure AD хранит журналы действий только в течение определенного периода. Дополнительные сведения см. в статье Как долго Azure AD хранит данные отчетов?

  • Скачивая журналы, можно контролировать срок их хранения.

  • Максимальное число записей, которое можно скачать, равно 250 000. Если вам нужно больше данных, используйте API отчетов.

  • Скачивать журналы можно на основе установленного фильтра.

  • Azure AD поддерживает следующие форматы для скачивания:

    • CSV

    • JSON

  • Метки времени в скачанных файлах всегда указываются в формате UTC.

Какие лицензии нужны?

Возможность скачивания данных журнала действий доступна во всех выпусках Azure AD.

Вы можете также скачать журналы действий с помощью Microsoft Graph. Однако формально для скачивания журналов требуется лицензия Premium.

Кто может это делать?

Хотя это может делать и глобальный администратор, для выполнения этой задачи следует использовать учетную запись с более низким уровнем привилегий. Для доступа к журналам аудита подходят следующие роли:

  • Читатель отчетов
  • Глобальный читатель
  • Администратор безопасности
  • Читатель сведений о безопасности

Способ выполнения

Чтобы скачать журнал действий, выполните следующие действия.

  1. Перейдите в нужное представление журнала действий:

  2. Добавьте необходимый фильтр.

    Добавление фильтра

  3. Скачайте данные.

    Скачивание журнала

Дальнейшие действия