Сбор журналов аудита с помощью действия HTTP

  • Статья

Потоки синхронизации журнала аудита подключаются к API управления Office 365 для сбора данных телеметрии, таких как уникальные пользователи и запуски, для приложений Потоки используют действие HTTP для доступа к API. В следующих инструкциях вы узнаете, как настроить регистрацию приложения для действия HTTP и переменные среды, необходимые для запуска потоков.

Начальный набор центра передовых технологий (CoE) будет работать без этих потоков, но информация об использовании (запуски приложений, уникальные пользователи) на панели мониторинга Power BI будет пустой.

Внимание

Выполните инструкции в разделах Перед настройкой начального набора CoE и Настройка компонентов запасов, прежде чем продолжить настройку в этой статье. В этой статье предполагается, что у вас есть настройка среды, и вошли в систему с правильным идентификатором.

Настройте потоки журнала аудита только в том случае, если вы выбрали облачные потоки как механизм инвентаризации и телеметрии.

Прежде чем настраивать потоки журнала аудита:

  1. Для работы соединителя журнала аудита должен быть включен поиск по журналу аудита Microsoft 365. Дополнительные сведения: Включение и отключение поиска журнала аудита
  2. У вашего клиента должна быть подписка, поддерживающая единый журнал аудита. Больше информации: Доступность Центра безопасности и соответствия требованиям для планов бизнеса и предприятия
  3. Глобальный администратор необходим для настройки регистрации приложения Microsoft Entra.

API управления Office 365 используют Microsoft Entra ID для предоставления служб аутентификации, которые вы можете использовать для предоставления прав своему приложению для доступа к нему.

Создание регистрации приложений Microsoft Entra для API управления Office 365

Используя эти шаги, вы можете настроить регистрацию приложения Microsoft Entra для вызова HTTP в потоке Power Automate для подключения к журналу аудита. Дополнительные сведения: Начало работы с API управления Office 365

  1. Войдите на portal.azure.com.

  2. Перейдите к Microsoft Entra ID>Регистрация приложений. Снимок экрана, показывающий регистрацию приложения Microsoft Entra

  3. Выберите + Создать регистрацию.

  4. Введите имя (например, Управление Microsoft 365), не меняйте никакие другие настройки, затем выберите Зарегистрировать.

  5. Выберите Разрешения API>+ Добавить разрешение.

    Добавление разрешений API-интерфейса

  6. Выберите API управления Office 365 и настройте разрешения следующим образом:

    1. Выберите Разрешения приложения, затем выберите ActivityFeed.Read.

      Разрешения приложения

    2. Выберите Добавить разрешения.

  7. Выберите Предоставить согласие администратора (вашей организации). Предварительные условия: Предоставьте приложению согласие администратора на уровне клиента

    Разрешения API теперь отражают делегированные разрешения ActivityFeed.Read с состоянием Предоставлено право для (ваша организация).

  8. Выберите Сертификаты и секреты.

  9. Выберите + Создать секрет клиента.

    Создать секрет клиента

  10. Добавьте описание и срок действия (в соответствии с политиками вашей организации), затем выберите Добавить.

  11. Скопируйте и вставьте идентификатор приложения (клиента) в текстовый документ в блокноте.

  12. Выберите Обзор и скопируйте и вставьте значения идентификатора приложения (клиента) и идентификатора каталога (клиента) в один и тот же текстовый документ. Обязательно запишите, какой GUID предназначен для какого значения. Эти значения понадобятся вам при настройке настраиваемого соединителя.

Обновление переменных среды

Переменные среды используются для хранения идентификатора и секрета клиента для регистрации приложения, а также конечных точек служб аудитории и полномочий в зависимости от вашего облака (коммерческое, GCC, GCC High, DoD) для действия HTTP. Обновите переменные среды перед включением потоков.

Вы можете также хранить секрет клиента в виде простого текста в переменной среды Журналы аудита — секрет клиента, что не рекомендуется. Вместо этого мы рекомендуем создать и сохранить секрет клиента в Azure Key Vault и указать его в переменной среды Журналы аудита — секрет клиента Azure.

Заметка

Поток, использующий эту переменную среды, настроен с условием, что ожидается переменная среды Журналы аудита — секрет клиента либо Журналы аудита — секрет клиента Azure. Не требуется редактировать поток для работы с Azure Key Vault.

Полное имя Описание: Values
Журналы аудита — аудитория Параметр аудитории для вызовов HTTP. Коммерческий (по умолчанию): https://manage.office.com

GCC: https://manage-gcc.office.com

GCC High: https://manage.office365.us>

DoD: https://manage.protection.apps.mil
Журналы аудита — центр Поле «Центр» в HTTP-вызовах. Коммерческий (по умолчанию): https://login.windows.net

GCC: https://login.windows.net

GCC High: https://login.microsoftonline.us

DoD: https://login.microsoftonline.us
Журналы аудита — ClientID ИД клиента регистрации приложения Идентификатор клиента приложения из шага Создание регистрации приложения Microsoft Entra для API-интерфейса управления Office 365.
Журналы аудита — секрет клиента Секрет клиента регистрации приложения в виде простого текста. Секрет клиента приложения из шага Создание регистрации приложения Microsoft Entra для API-интерфейса управления Office 365. Оставьте пустым, если вы используете Azure Key Vault для хранения своего идентификатора клиента и секрета.
Журналы аудита — секрет клиента Azure Ссылка на Azure Key Vault секрета клиента регистрации приложения. Ссылка Azure Key Vault для секрета клиента приложения из шага Создание регистрации приложения Microsoft Entra для API-интерфейса управления Office 365. Оставьте пустым, если вы сохраняете свой идентификатор клиента в виде простого текста в переменной среды Журналы аудита — секрет клиента. Эта переменная ожидает ссылку на Azure Key Vault, а не секрет. Подробнее: Использование секретов Azure Key Vault в переменных среды

Начало подписки на содержимое журнала аудита

  1. Перейдите на сайт make.powerapps.com.
  2. Выберите Решения.
  3. Откройте решение Центр передовых технологий — основные компоненты.
  4. Включите поток Администратор | Журналы аудита | Подписка на API управления Office 365 и запустите его. Введите start в качестве операции для запуска. Начало использования подписки
  5. Откройте поток и убедитесь, что действие по запуску подписки выполнено успешно. Запуск подписки успешно выполнен

Внимание

Если вы ранее активировали подписку, вы увидите сообщение (400) Подписка уже активна. Это означает, что подписка была успешно включена в прошлом. Вы можете проигнорировать эту ошибку и продолжить настройку.

Если вы не видите приведенное выше сообщение или ответ (200), возможно, запрос не был выполнен. Возможна ошибка в настройках, из-за которой поток не работает. Типичные проблемы проверки:

  • Включены ли журналы аудита, и есть ли у вас разрешение на просмотр журналов аудита? Проверьте, можете ли вы выполнить поиск в Microsoft Compliance Manager.
  • Вы включили журнал аудита совсем недавно? Если это так, попробуйте еще раз через несколько минут, чтобы дать журналу аудита время для активации.
  • Убедитесь, что вы правильно выполнили шаги в разделе Регистрация приложения Microsoft Entra.
  • Убедитесь, что вы правильно обновили переменные среды для этих потоков.

Включение потоков

  1. Перейдите на сайт make.powerapps.com.
  2. Выберите Решения.
  3. Откройте решение Центр передовых технологий — основные компоненты.
  4. Включите поток Администратор | Журналы аудита | Журналы аудита синхронизации (версия 2). Этот поток будет запускаться по почасовому расписанию и собирать события журнала аудита в таблицу журнала аудита.

Получение более давних данных

Это решение собирает данные о запусках приложений с момента его настройки и не настроено для сбора истории запусков приложений. В зависимости от вашей лицензии Microsoft 365 исторические данные будут доступны в течение года с помощью журнала аудита в Microsoft Purview.

Вы можете загрузить исторические данные в таблицы начального набора центра передовых технологий (CoE) вручную, используя один из потоков, представленных в решении, как описано здесь.

Заметка

Пользователь, получающий журналы аудита, должен иметь разрешение на доступ к журналам аудита. Больше информации: Прежде чем выполнять поиск в журналах аудита

  1. Перейдите к поиску по журналу аудита.
  2. Найдите активность запущенного приложения в доступном вам диапазоне дат. Восстановление старых журналов аудита
  3. После запуска поиска выберите Экспорт, чтобы загрузить результаты. Скачивание старых журналов аудита
  4. Перейдите к следующему потоку в основном решении: Администратор | Журналы аудита | Загрузить события из экспортированного CSV-файла журнала аудита
  5. Включите поток и запустите его, выбрав загруженный файл для параметра «CSV-файл журнала аудита». Загрузка старых журналов аудита через поток

    Заметка

    Если вы не видите загрузки файла после выбора Импорт, он может превышать допустимый размер содержимого для этого триггера. Попробуйте разбить файл на более мелкие файлы (50 000 строк в файле) и запустить поток один раз для каждого файла. Поток может быть запущен одновременно для нескольких файлов.

  6. По завершении эти журналы будут добавлены в вашу телеметрию. Список последних запущенных приложений будет обновлен, если будут найдены более свежие запуски.

Похоже, я нашел ошибку в начальном наборе CoE. Что мне делать?

Чтобы сообщить об ошибке решения, перейдите по ссылке aka.ms/coe-starter-kit-issues.