Microsoft Entra izleme ve sistem durumu hakkında sık sorulan sorular

Microsoft Entra sürümünüzü yükseltmek için bkz . Microsoft Entra ID lisansı .

Etkinlik günlüğü verileriniz zaten ücretsiz lisans olarak varsa, hemen görebilirsiniz. Herhangi bir veriniz yoksa, verilerin raporlarda gösterilmesi üç güne kadar sürer.

Yakın zamanda Premium sürüme (deneme sürümü dahil) geçtiyseniz başlangıçta yedi güne kadar olan verileri görebilirsiniz. Veriler biriktiğinde son 30 güne ilişkin verileri görebilirsiniz.

Denetim ve oturum açma günlüklerini görüntülemek için en düşük ayrıcalık rolü Rapor Okuyucusu'dur. Diğer roller arasında Güvenlik Okuyucusu ve Güvenlik Yönetici istrator yer alır.

Oturum açma ve denetim günlüklerinin her ikisi de Azure İzleyici aracılığıyla yönlendirme için kullanılabilir. B2C ile ilgili denetim olayları şu anda dahil değildir. Daha fazla bilgi için bkz . Microsoft Entra etkinlik günlüğü tümleştirmeleri ve Graph API etkinlik günlüğüne genel bakış.

Microsoft 365 ve Microsoft Entra etkinlik günlükleri birçok dizin kaynağını paylaşır. Microsoft 365 etkinlik günlüklerinin tam görünümünü istiyorsanız, Office 365 Etkinlik günlüğü bilgilerini almak için Microsoft 365 yönetim merkezi gitmeniz gerekir. Microsoft 365 API'leri, Microsoft 365 Yönetim API'leri makalesinde açıklanmıştır.

Microsoft Entra yönetim merkezinden indirebileceğiniz günlük sayısı, tarayıcı bellek boyutu, ağ hızları ve Microsoft Entra raporlama API'lerindeki geçerli yük gibi birkaç faktör tarafından belirlenir. Genel olarak, denetim günlükleri için 250.000'den küçük ve oturum açma ve sağlama günlükleri için 100.000'den küçük veri kümeleri tarayıcı indirme özelliğiyle iyi çalışır. Eklediğiniz alan sayısına bağlı olarak, bu sayı farklılık gösterebilir. Tarayıcıda büyük indirmeleri tamamlarken sorunlarla karşılaşıyorsanız verileri indirmek veya tanılama ayarları aracılığıyla günlükleri bir uç noktaya göndermek için raporlama API'sini kullanın.

İndirebileceğiniz belirli günlükler, indirmeye başladığınızda Microsoft Entra yönetim merkezinde etkin olan filtreler tarafından belirlenir. Örneğin, Microsoft Entra yönetim merkezinde belirli bir kullanıcıya filtre uygulamak, indirme işleminin ilgili kullanıcı için günlükleri çektiği anlamına gelir. İndirilen günlüklerdeki sütunlar değişmez . Çıktı, Microsoft Entra yönetim merkezinde özelleştirdiğiniz sütunlardan bağımsız olarak denetim veya oturum açma günlüğünün tüm ayrıntılarını içerir.

Lisansınıza bağlı olarak, Microsoft Entra Id etkinlik günlüklerini 7 ile 30 gün arasında depolar. Daha fazla bilgi için bkz . Microsoft Entra rapor saklama ilkeleri.

Tanılama ayarları depolama saklama özelliği kullanım dışı bırakılıyor. Bu değişiklikle ilgili ayrıntılar için bkz. Tanılama ayarları depolama saklamadan Azure Depolama yaşam döngüsü yönetimine geçirme.

Şu anda denetim günlüklerinde lisans satın alma veya etkinleştirme için belirli bir etkinlik yoktur. Ancak, "Kaynak Yönetimi" kategorisindeki "Kaynağı PIM'e ekleme" etkinliğini bir lisansın satın alınması veya etkinleştirilmesi ile ilişkilendirebilirsiniz. Bu etkinlik her zaman kullanılamayabilir veya tam ayrıntıları sağlamayabilir.

Bu değişiklikler MFA ve bazı GDPR olaylarının nasıl işlendiğiyle ilgilidir. Kullanıcı silme veya kullanıcı verilerini dışarı aktarma gibi olaylar denetim günlüklerinde yakalanır, ancak etkinlik açıklaması biraz şifreli olabilir. Bu etkinlik etiketlerini geliştirmek için çalışıyoruz. GDPR ile ilgili etkinliklerin tam listesi için bkz . Denetim etkinlikleri. Bu etkinlikler DirectoryManagement kategorisiyle ilişkilendirilir.

signInActivity kaynağı, bir süredir oturum açmamış etkin olmayan kullanıcıları bulmak için kullanılır. Neredeyse gerçek zamanlı olarak güncelleştirilmez. Kullanıcının son oturum açma etkinliğini daha hızlı bulmanız gerekiyorsa, tüm kullanıcılarınız için neredeyse gerçek zamanlı oturum açma etkinliğini görmek için Microsoft Entra oturum açma günlüklerini kullanabilirsiniz.

CSV, seçtiğiniz oturum açma işlemleri türü için oturum açma günlüklerini içerir. Oturum açma günlükleri için Microsoft Graph API'sinde iç içe dizi olarak temsil edilen veriler dahil değildir . Örneğin, Koşullu Erişim ilkeleri ve yalnızca rapor bilgileri dahil değildir. Oturum açma günlüklerinizde yer alan tüm bilgileri dışarı aktarmanız gerekiyorsa Verileri Dışarı Aktar Ayarlar özelliğini kullanın.

Microsoft Entra yönetim merkezindeki sütunları özelleştirmiş olsanız bile indirilen günlüklere dahil edilen sütunların değişmediğini de unutmayın.

Microsoft Entra Id, bir kullanıcı günlükleri görüntüleyen kiracıya ait olmayabilirken kullanıcı gizliliğini korumak için oturum açma günlüklerindeki bir IP adresinin bir bölümünü yeniden işleyebilirsiniz. Bu eylem iki durumda gerçekleşir:

• CsP teknisyeni CSP'nin yönettiği bir kiracıda oturum açtığında olduğu gibi, kiracılar arası oturum açma işlemleri sırasında.
• Hizmetimiz kullanıcının kimliğini yeterli güvenle belirleyemediğinde, kullanıcının günlükleri görüntüleyen kiracıya ait olduğundan emin olun.

Microsoft Entra ID, müşteri verilerini güvence altına almak için kiracınıza ait olmayan cihazlar tarafından oluşturulan Kişisel Bilgileri (PII) yeniden oluşturur. PII, kullanıcı ve veri sahibi onayı olmadan kiracı sınırlarının ötesine yayılmaz.

Oturum açma girdilerinin günlüklerinizde çoğaltılabilmesinin çeşitli nedenleri vardır.

• Oturum açmada bir risk tanımlanırsa, risk dahil edildikten hemen sonra neredeyse aynı başka bir olay yayımlanır.
• Oturum açma işlemiyle ilgili MFA olayları alınırsa, ilgili tüm olaylar özgün oturum açma işlemine toplanır.
• Kusto'da yayımlama gibi bir oturum açma olayı için iş ortağı yayımlama işlemi başarısız olursa, olayların tamamı yeniden denenir ve yayımlanır ve bu da yinelenenlere neden olabilir.
• Birden çok Koşullu Erişim ilkesi içeren oturum açma olayları birden çok olaya bölünebilir ve bu da oturum açma olayı başına en az iki olayla sonuçlanabilir.

Etkileşimli olmayan oturum açma işlemleri saatte bir çok olay tetikleyebilir, bu nedenle günlüklerde birlikte gruplandırılırlar.

Çoğu durumda etkileşimli olmayan oturum açma işlemleri, oturum açma tarihi ve saati dışında aynı özelliklere sahiptir. Zaman toplamı 24 saat olarak ayarlanırsa, günlükler oturum açmaları aynı anda gösteriyor gibi görünür. Bu gruplandırılmış satırların her biri, tam zaman damgasını görüntülemek için genişletilebilir.

Oturum açma girişlerinin kullanıcı adı alanında Kullanıcı Kimliklerini, Nesne Kimliklerini veya GUID'leri görüntülemesinin çeşitli nedenleri vardır.

• Parolasız kimlik doğrulaması ile Kullanıcı Kimlikleri kullanıcı adı olarak görünür. Bu senaryoyu onaylamak için söz konusu oturum açma olayının ayrıntılarına bakın. authenticationDetail alanında parolasız ifadesi yer alır.
• Kullanıcının kimliği doğrulandı ancak henüz oturum açmadı. Onaylamak için bir kesme ile bağıntılı bir hata kodu 50058 vardır.
• Kullanıcı adı alanında 000000-00000-0000-0000 veya benzeri bir şey görünüyorsa, kullanıcının seçili kiracıda oturum açmasını engelleyen kiracı kısıtlamaları söz konusu olabilir.
• Çok faktörlü kimlik doğrulaması oturum açma girişimleri birden çok veri girişiyle toplanır ve bu girişlerin düzgün görüntülenmesi daha uzun sürebilir. Verilerin tam olarak toplanması iki saate kadar sürebilir, ancak genellikle daha hızlıdır.

Hayır, genel olarak 90025 hataları, kullanıcı hatayı fark etmeden otomatik bir yeniden denemeyle çözülür. Bir iç Microsoft Entra alt hizmeti yeniden deneme iznine ulaştığında ve kiracınızın kısıtlandığını belirtmediğinde bu hata oluşabilir. Bu hatalar genellikle Microsoft Entra ID tarafından dahili olarak çözülür. Kullanıcı bu hata nedeniyle oturum açamıyorsa, el ile yeniden denemek sorunu çözecektir.

Hizmet Sorumlusu Kimliği "0000000-0000-0000-0000-0000000000000" değerine sahipse, bu kimlik doğrulaması örneğinde istemci uygulaması için Hizmet Sorumlusu yoktur. Microsoft Entra, birkaç Microsoft ve Microsoft dışı uygulama dışında artık istemci Hizmet Sorumlusu olmadan erişim belirteçleri vermemektedir.

Kaynak Hizmet Sorumlusu Kimliği "0000000-0000-0000-0000-00000000000000" değerine sahipse, bu kimlik doğrulaması örneğinde kaynak uygulaması için Hizmet Sorumlusu yoktur.

Bu davranışa şu anda yalnızca sınırlı sayıda kaynak uygulaması için izin verilir.

Kiracınızda bir istemci veya kaynak Hizmet Sorumlusu olmadan kimlik doğrulaması örneklerini sorgulayabilirsiniz.

• Kiracınızda bir istemci Hizmet Sorumlusunun eksik olduğu oturum açma günlüklerinin örneklerini bulmak için aşağıdaki sorguyu kullanın:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• Kiracınızda kaynak Hizmet Sorumlusunun eksik olduğu oturum açma günlüklerinin örneklerini bulmak için aşağıdaki sorguyu kullanın:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

Bu oturum açma günlüklerini Microsoft Entra yönetim merkezinde de bulabilirsiniz.

• Microsoft Entra yönetim merkezinde oturum açın.
• Kimlik>İzleme ve sistem durumu>Oturum açma günlüklerine göz atın.
• Hizmet Sorumlusu Oturum Açma işlemleri'ne tıklayın.
• Tarih alanında uygun bir zaman dilimi seçin (son 24 saat, 7 gün vb.).
• İstemci Hizmet Sorumlusu olmadan kimlik doğrulaması örneklerini almak için bir filtre ekleyin ve Hizmet Sorumlusu Kimliği'ni seçin ve '00000000-0000-0000-000000000000' değerini sağlayın.

Belirli istemci veya kaynak uygulamaları için kiracınızda kimlik doğrulamasının nasıl çalıştığını denetlemek istiyorsanız Microsoft Entra uygulamasını bir kullanıcı kümesiyle kısıtlama makalesindeki yönergeleri izleyin.

Bazı etkileşimli olmayan oturum açma işlemleri, etkileşimli olmayan oturum açma günlükleri genel önizlemede kullanıma sunulmadan önce kullanıma sunulmuştur. Etkileşimli olmayan bu oturum açma işlemleri etkileşimli oturum açma günlüklerine dahil edildi ve etkileşimli olmayan günlükler kullanıma sunulduktan sonra etkileşimli oturum açma günlüklerinde kaldı. FIDO2 anahtarlarını kullanan oturum açma işlemleri, etkileşimli oturum açma günlüklerinde görünen etkileşimli olmayan oturum açma işlemlerine örnektir. Şu anda, bu etkileşimli olmayan günlükler her zaman etkileşimli oturum açma günlüğüne eklenir.

Microsoft Graph aracılığıyla güvenlik algılamalarına erişmek için Kimlik Koruması risk algılamaları API'sini kullanabilirsiniz. Bu API, gelişmiş filtreleme ve alan seçimi içerir ve SIEM'lerle ve diğer veri toplama araçlarıyla daha kolay tümleştirme için risk algılamalarını tek bir türde standartlaştırır.

Tüm oturum açma günlükleri aracılığıyla Koşullu Erişim ilkelerinin sorunlarını giderebilirsiniz. Koşullu Erişim durumunu gözden geçirin ve oturum açma işlemine uygulanan ilkelerin ayrıntılarını ve her ilkenin sonucunu inceleyin.

Başlamak için:

• Microsoft Entra yönetim merkezinde oturum açın.
• Kimlik>İzleme ve sistem durumu>Oturum açma günlüklerine göz atın.
• Sorun gidermek istediğiniz oturum açmayı seçin.
• Oturum açmayı etkileyen tüm ilkeleri ve her ilkenin sonucunu görüntülemek için Koşullu Erişim sekmesini seçin.

Koşullu Erişim durumu aşağıdaki değerlere sahip olabilir:

• Uygulanmadı: Kullanıcı ve uygulama kapsamında koşullu erişim ilkesi yoktu.
• Başarılı: Kullanıcı ve uygulama kapsamında bir Koşullu Erişim ilkesi vardı ve Koşullu Erişim ilkeleri başarıyla karşılandı.
• Hata: Oturum açma işlemi, en az bir Koşullu Erişim ilkesinin kullanıcı ve uygulama koşuluyla karşılandı ve verme denetimleri karşılanmadı veya erişimi engelleyecek şekilde ayarlandı.

Koşullu Erişim ilkesi aşağıdaki sonuçlara sahip olabilir:

• Başarılı: İlke başarıyla karşılandı.
• Hata: İlke karşılanmadı.
• Uygulanmadı: İlke koşulları karşılanmamış olabilir.
• Etkin değil: İlke devre dışı bırakılmış durumda olabilir.

Oturum açma günlüğündeki ilke adı, oturum açma sırasında koşullu erişim ilke adını temel alır. Oturum açmadan sonra ilke adını güncelleştirdiyseniz, ad Koşullu Erişim'deki ilke adıyla tutarsız olabilir.

Şu anda Koşullu Erişim uygulandığında oturum açma günlüğü Exchange ActiveSync senaryoları için doğru sonuçlar göstermeyebilir. Raporda oturum açma sonucunda başarılı bir oturum açma gösterildiği ancak bir ilke nedeniyle oturum açma işleminin başarısız olduğu durumlar olabilir.

API'leri etkinlik günlüklerine erişmek için nasıl kullanabileceğinizi görmek için API başvurusunu arayın. Bu uç noktanın, eski API uç noktasında elde ettiğiniz tüm verileri sağlayan iki raporu (Denetim ve Oturum Açma) vardır. Bu yeni uç nokta ayrıca uygulama kullanımı, cihaz kullanımı ve kullanıcı oturum açma bilgilerini almak için kullanabileceğiniz Microsoft Entra ID P1 veya P2 lisansına sahip bir oturum açma raporuna sahiptir.

Microsoft Graph aracılığıyla güvenlik algılamalarına erişmek için Kimlik Koruması risk algılamaları API'sini kullanabilirsiniz. Bu yeni biçim, verileri sorgulama konusunda daha fazla esneklik sağlar. Biçimi gelişmiş filtreleme, alan seçimi sağlar ve SIEM'lerle ve diğer veri toplama araçlarıyla daha kolay tümleştirme için risk algılamalarını tek bir türde standartlaştırır. Veriler farklı bir biçimde olduğundan, eski sorgularınız için yeni bir sorguyu değiştiremezsiniz. Ancak yeni API, Microsoft 365 veya Microsoft Entra Id gibi API'ler için Microsoft standardı olan Microsoft Graph'ı kullanır. Bu nedenle, gerekli çalışmalar geçerli Microsoft Graph yatırımlarınızı genişletebilir veya bu yeni standart platforma geçişe başlamanıza yardımcı olabilir.

Microsoft Graph'ta Microsoft Entra yönetim merkezinden ayrı olarak oturum açmanız gerekebilir. Sağ üst köşedeki profil simgenizi seçin ve sağ dizinde oturum açın. İzinleriniz olmayan bir sorgu çalıştırmaya çalışıyor olabilirsiniz. İzinleri Değiştir'i ve onay düğmesini seçin. Oturum açma istemlerini izleyin.

Microsoft Graph uç noktasını çağırmak için her belirteç kullanıldığında, MicrosoftGraphActivityLogs bu çağrıyla güncelleştirilir. Bu çağrılardan bazıları, Hizmet Sorumlusu oturum açma günlüklerinde yayımlanmayan birinci taraf, yalnızca uygulama aramalarıdır. MicrosoftGraphActivityLogs oturum açma günlüklerinde bulamadığınız bir uniqueTokenIdentifier gösterildiğinde, belirteç tanımlayıcısı birinci taraf yalnızca uygulama belirtecini başvurur.

Hizmet, "tamamlandı" olarak işaretlenmiş bir şey için bu öneriyle ilgili etkinliği algılarsa otomatik olarak "etkin" olarak değişir.