Chia sẻ qua

Thu thập nhật ký kiểm tra bằng trình kết nối tùy chỉnh (không dùng nữa)

  • Bài viết

Quan trọng

Việc sử dụng giải pháp Trung tâm Xuất sắc - Nhật ký Kiểm tra chuyên dụng và trình kết nối tùy chỉnh Quản lý để thu thập các sự kiện nhật ký Office 365 kiểm tra sẽ không còn được dùng nữa. Giải pháp và đầu nối tùy chỉnh sẽ bị xóa khỏi CoE Starter Kit vào tháng 8/2023.

Chúng tôi có một quy trình mới thu thập các sự kiện nhật ký kiểm toán, là một phần của giải pháp Trung tâm Xuất sắc - Thành phần cốt lõi. Luồng mới này sử dụng trình kết nối HTTP. Tìm hiểu thêm: Thu thập nhật ký kiểm tra bằng hành động HTTP

Dòng Đồng bộ hóa nhật ký kiểm tra kết nối với nhật ký kiểm tra Microsoft 365 để thu thập dữ liệu đo từ xa (số người dùng duy nhất, lượt khởi động) của các ứng dụng. Luồng này sử dụng một trình kết nối tùy chỉnh để kết nối với Audit Log. Trong các hướng dẫn sau, bạn thiết lập trình kết nối tùy chỉnh và đặt cấu hình quy trình.

Bộ khởi động Center of Excellence (CoE) hoạt động mà không có quy trình này, nhưng thông tin sử dụng (khởi chạy ứng dụng, người dùng duy nhất) trong Power BI bảng điều khiển sẽ trống.

Quan trọng

Hoàn thành các hướng dẫn trong Trước khi thiết lập CoE Starter Kit Thiết lập các thành phần hàng lưu kho trước khi tiếp tục thiết lập trong bài viết này. Bài viết này giả định bạn đã thiết lập môi trường và đăng nhập bằng danh tính chính xác.

Chỉ thiết lập giải pháp Nhật ký kiểm tra nếu bạn đã chọn luồng đám mây làm cơ chế kiểm kê và đo từ xa.

Xem hướng dẫn về cách thiết lập trình kết nối nhật ký kiểm tra.

Trước khi sử dụng trình kết nối nhật ký kiểm tra

  1. Bạn phải bật tùy chọn tìm kiếm nhật ký kiểm tra Microsoft 365 để trình kết nối nhật ký kiểm tra hoạt động. Thông tin thêm: Bật hoặc tắt tính năng tìm kiếm nhật ký kiểm tra

  2. Danh tính người dùng chạy luồng phải có quyền đối với nhật ký kiểm tra. Quyền tối thiểu cho việc này được mô tả ở đây: Trước khi bạn tìm kiếm nhật ký kiểm tra

  3. Đối tượng thuê của bạn phải có gói đăng ký hỗ trợ việc ghi nhật ký kiểm tra hợp nhất. Thông tin thêm: Tính khả dụng của Trung tâm Bảo mật &Tuân thủ cho các gói dành cho doanh nghiệp và doanh nghiệp

  4. Cần có Quản trị viên toàn cầu để định cấu hình Microsoft Entra đăng ký ứng dụng.

API Office 365 quản lý sử dụng ID để cung cấp các dịch vụ xác thực mà bạn có thể sử dụng để cấp quyền cho ứng dụng Microsoft Entra của bạn truy cập chúng.

Tạo đăng Microsoft Entra ký ứng dụng cho Office 365 API quản lý

Sử dụng các bước này, bạn thiết lập Microsoft Entra đăng ký ứng dụng được sử dụng trong trình kết nối và Power Automate quy trình tùy chỉnh để kết nối với nhật ký kiểm tra. Thông tin thêm: Bắt đầu với API quản lý Office 365

  1. Đăng nhập vào portal.azure.com.

  2. Đi tới Microsoft Entra Đăng ký> ứng dụng ID.

    Microsoft Entra Đăng ký ứng dụng.

  3. Chọn + Đăng ký mới.

  4. Nhập tên (ví dụ: Microsoft 365 Management), không thay đổi bất kỳ cài đặt nào khác, rồi chọn Đăng ký.

  5. Chọn Quyền API>+ Thêm quyền.

    Quyền API - Thêm quyền.

  6. Chọn API quản lý Office 365 và định cấu hình các quyền như sau:

    1. Chọn Quyền được ủy quyền rồi chọn ActivityFeed.Read.

      Quyền ủy nhiệm.

    2. Chọn Thêm quyền.

  7. Chọn Cấp sự đồng ý của quản trị viên cho (tổ chức của bạn). Điều kiện tiên quyết: Cấp phép quản trị viên trên toàn đối tượng thuê đối với ứng dụng

    Quyền API giờ sẽ phản ánh ActivityFeed.Read được ủy nhiệm với trạng thái Được cấp cho (tổ chức của bạn).

  8. Chọn Chứng chỉ và mã bí mật.

  9. Lựa chọn + Mã bí mật máy khách mới.

    Bí mật khách hàng mới.

  10. Thêm mô tả và thời hạn (phù hợp với chính sách của tổ chức bạn), sau đó chọn Thêm.

  11. Tạm thời sao chép và dán Mã bí mật vào một tài liệu văn bản trong Notepad.

  12. Chọn phần Tổng quan, sau đó sao chép và dán các giá trị ID của ứng dụng (máy khách) và thư mục (đối tượng thuê) vào cùng một tài liệu văn bản; đừng quên ghi lại GUID của mỗi giá trị. Bạn sẽ cần những giá trị này trong bước tiếp theo khi đặt cấu hình trình kết nối tùy chỉnh.

Để cổng thông tin Azure ở trạng thái mở vì bạn sẽ cần thực hiện một số cập nhật cấu hình sau khi thiết lập trình kết nối tùy chỉnh.

Thiết lập trình kết nối tùy chỉnh

Bây giờ, bạn sẽ đặt cấu hình và thiết lập trình kết nối tùy chỉnh sử dụng API quản lý Office 365.

  1. Chuyển đến Power Apps>Dataverse>Trình kết nối tùy chỉnh. Trình Office 365 kết nối tùy chỉnh API quản lý được liệt kê ở đây; nó đã được nhập với giải pháp thành phần cốt lõi.

  2. Chọn Chỉnh sửa.

  3. Nếu đối tượng thuê của bạn là đối tượng thuê thương mại, hãy để nguyên trang Chung.

    Quan trọng

    • Nếu đối tượng thuê của bạn là đối tượng thuê GCC, hãy thay đổi máy chủ lưu trữ thành manage-gcc.office.com.
    • Nếu đối tượng thuê của bạn là GCC High đối tượng thuê, hãy thay đổi máy chủ lưu trữ thành manage.office365.us.
    • Nếu đối tượng thuê của bạn là đối tượng thuê DoD, hãy thay đổi máy chủ lưu trữ thành manage.protection.apps.mil.

    Thông tin thêm: Hoạt động của API hoạt động

  4. Chọn Bảo mật.

  5. Chọn Chỉnh sửa ở cuối khu vực OAuth 2.0 để chỉnh sửa các tham số xác thực.

    Chỉnh sửa cấu hình OAuth.

  6. Thay đổi nhà cung cấp danh tính thành Microsoft Entra ID.

    Thay đổi nhà cung cấp danh tính thành Microsoft Entra ID.

  7. Dán ID ứng dụng (máy khách) mà bạn đã sao chép từ phần đăng ký ứng dụng vào ID máy khách.

  8. Dán mã bí mật máy khách mà bạn đã sao chép từ phần đăng ký ứng dụng vào Mã bí mật máy khách.

  9. Không thay đổi ID đối tượng thuê.

  10. Giữ nguyên URL Đăng nhập cho đối tượng thuê thương mại và GCC và thay đổi URL đó thành https://đăng nhập.microsoftonline.us/ cho GCC High đối tượng thuê hoặc DoD.

  11. Đặt URL tài nguyên thành quản lý.office.com cho đối tượng thuê thương mại,manage-gcc.office.com cho đối tượng thuê GCC,manage https:// https://.office365.us cho đối tượng thuê và https://quản lý GCC High .protection.apps.mil cho https://đối tượng thuê DoD.

  12. Chọn Cập nhật trình kết nối.

  13. Sao chép URL chuyển hướng vào tài liệu văn bản trong Notepad.

Lưu ý

Nếu bạn có một chính sách ngăn mất dữ liệu (DLP) được định cấu hình cho môi trường Bộ khởi động CoE của bạn, bạn sẽ cần thêm trình kết nối này vào dữ liệu kinh doanh nhóm duy nhất của chính sách này.

Cập nhật Microsoft Entra đăng ký ứng dụng bằng URL chuyển hướng

  1. Truy cập cổng thông tin Azure và đăng ký ứng dụng của bạn.

  2. Trong phần Tổng quan, hãy chọn Thêm URI chuyển hướng.

  3. Chọn + Thêm nền tảng>Web.

  4. Nhập URL bạn đã sao chép từ phần URL chuyển hướng của trình kết nối tùy chỉnh.

  5. Chọn Thiết lập.

Bắt đầu đăng ký để kiểm tra nội dung nhật ký

Quay lại trình kết nối tùy chỉnh để thiết lập kết nối đến trình kết nối tùy chỉnh và bắt đầu đăng ký nội dung nhật ký kiểm tra, như mô tả trong các bước sau.

Quan trọng

Bạn phải hoàn thành các bước này để các bước tiếp theo hoạt động. Nếu bạn không tạo kết nối mới và kiểm tra trình kết nối tại đây, thì sẽ không thiết lập được dòng và dòng con trong các bước sau.

  1. Trên trang Trình kết nối tùy chỉnh, hãy chọn Kiểm tra.

  2. Chọn + Kết nối mới rồi đăng nhập bằng tài khoản của bạn.

  3. Trong phần Thao tác, hãy chọn Bắt đầu đăng ký.

    Trình kết nối tùy chỉnh Bắt đầu Đăng ký.

  4. Dán ID thư mục (đối tượng thuê)—được sao chép trước đó từ trang tổng quan vềĐăng ký ứng dụng trong ID Microsoft Entra —vào trường Đối tượng thuê .

  5. Dán ID thư mục (đối tượng thuê) vào PublisherIdentifier.

  6. Chọn Kiểm tra thao tác.

Bạn sẽ thấy trạng thái (200) được trả về, có nghĩa là truy vấn đã thành công.

Trạng thái thành công được trả về từ hoạt động StartSubscription.

Quan trọng

Nếu bạn đã bật đăng ký trước đó, bạn sẽ thấy thông báo (400) Đăng ký đã được bật. Điều này có nghĩa là đăng ký đã được kích hoạt thành công trước đây. Bạn có thể bỏ qua lỗi này và tiếp tục thiết lập.

Nếu bạn không thấy thông báo trên hoặc phản hồi (200), yêu cầu có thể đã không thành công. Có thể xảy ra lỗi với thiết lập của bạn khiến dòng không hoạt động. Các vấn đề phổ biến cần kiểm tra là:

  • Xác thực rằng nhà cung cấp danh tính trên tab Bảo mật được đặt thành Microsoft Entra ID.
  • Nhật ký kiểm tra đã được bật chưa và bạn có quyền xem nhật ký kiểm tra không? Kiểm tra bằng cách xem bạn có thể tìm kiếm trong Trình quản lý Tuân thủ Microsoft hay không.
  • Nếu bạn không có quyền, hãy xem Trước khi bạn tìm kiếm nhật ký kiểm tra.
  • Bạn đã bật nhật ký kiểm tra gần đây chưa? Nếu đã bật, hãy thử lại sau vài phút để nhật ký kiểm tra kích hoạt.
  • Bạn đã dán đúng ID đối tượng thuê từ đăng ký ứng dụng của mình Microsoft Entra chưa?
  • Bạn đã dán vào URL tài nguyên chính xác, không thêm khoảng trắng hoặc ký tự ở cuối chưa?
  • Xác thực rằng bạn đã làm đúng các bước trong Microsoft Entra đăng ký ứng dụng.
  • Xác thực rằng bạn đã cập nhật chính xác cài đặt bảo mật của trình kết nối tùy chỉnh, như được mô tả trong quy trình bước 6 của thiết lập trình kết nối tùy chỉnh ở phần trước của bài viết này.

Nếu bạn vẫn thấy lỗi, kết nối của bạn có thể ở trạng thái xấu. Tìm hiểu thêm: Hướng dẫn từng bước để sửa chữa kết nối Nhật ký kiểm tra

Thiết lập dòng Power Automate

Dòng Power Automate sử dụng trình kết nối tùy chỉnh, truy vấn nhật ký kiểm tra hàng ngày và ghi các sự kiện khởi chạy Power Apps vào bảng Microsoft Dataverse. Sau đó, bảng này được sử dụng trong bảng thông tin Power BI để báo cáo về các phiên và người dùng duy nhất của một ứng dụng.

  1. Làm theo hướng dẫn trong Thiết lập các thành phần cốt lõi để tải xuống giải pháp.

  2. Truy cập vào make.powerapps.com.

  3. Nhập giải pháp nhật ký kiểm tra của Trung tâm Xuất sắc (CenterofExcellenceAuditLogs_x_x_x_xxx_managed.zip).

  4. Thiết lập kết nối để kích hoạt giải pháp của bạn. Nếu bạn tạo một kết nối mới, bạn phải chọn Làm mới. Bạn sẽ không mất tiến trình nhập của mình.

    Nhập giải pháp thành phần nhật ký kiểm tra CoE.

  5. Mở Trung tâm ưu tú - Giải pháp Nhật ký Kiểm tra.

  6. Loại bỏ tầng không được quản lý từ [Mục con] Quản trị viên | Đồng bộ hóa nhật ký.

  7. Chọn [Mục con] Quản trị viên | Đồng bộ hóa nhật ký.

  8. Chỉnh sửa tùy chọn thiết đặt Người dùng chỉ chạy.

    Luồng con - người dùng chỉ chạy.

  9. Office 365 Đối với trình kết nối tùy chỉnh API quản lý, hãy thay đổi giá trị thành Sử dụng kết nối này (userPrincipalName@company.com). Nếu không có kết nối cho bất kỳ trình kết nối nào, hãy chuyển đến Dataverse>Kết nối và tạo một kết nối cho trình kết nối.

    Định cấu hình người dùng chỉ chạy.

  10. Đối với trình Microsoft Dataverse kết nối, hãy để trống giá trị quyền chỉ chạy và xác nhận rằng tham chiếu kết nối cho nhật ký kiểm tra CoE - Dataverse connection được cấu hình đúng. Nếu kết nối hiển thị lỗi, hãy cập nhật tham chiếu kết nối cho tham chiếu nhật ký kiểm tra CoE - Dataverse connection.

    Xác nhận Dataverse tham chiếu kết nối được đặt cho tài khoản của bạn.

  11. Chọn Lưu rồi đóng tab Chi tiết dòng.

  12. (Tùy chọn) Chỉnh sửa các biến môi trường TimeInterval-Unit và TimeInterval-Interval để thu thập các phần thời gian nhỏ hơn. Giá trị mặc định là chia nhỏ 1 ngày thành các phân đoạn 1 giờ. Bạn nhận được cảnh báo từ giải pháp này nếu Nhật ký kiểm tra không thể thu thập tất cả dữ liệu với khoảng thời gian đã cấu hình của bạn.

    Tên Mô tả
    StartTime-Interval Phải là một số nguyên để biểu thị thời gian bắt đầu cho khoảng thời gian quay lại tìm nạp.
    Giá trị mặc định: 1 (cho một ngày trở lại)
    StartTime-Unit Xác định đơn vị cho khoảng thời gian quay ngược phù hợp để tìm nạp dữ liệu.
    Phải là một giá trị từ được chấp nhận làm tham số đầu vào đến Thêm vào thời gian.
    Giá trị pháp lý mẫu: Phút, Giờ, Ngày
    Giá trị mặc định: Ngày
    TimeInterval-Unit Xác định các đơn vị để phân chia thời gian kể từ khi bắt đầu.
    Phải là một giá trị từ được chấp nhận làm tham số đầu vào đến Thêm vào thời gian.
    Giá trị pháp lý mẫu: Phút, Giờ, Ngày
    Giá trị mặc định: Giờ
    TimeInterval-Interval Phải là một số nguyên để biểu thị số lượng khối của đơn vị loại (ở trên).
    Giá trị mặc định: 1 (cho các đoạn 1 giờ)
    TimeSegment-CountLimit Phải là một số nguyên để thể hiện giới hạn về số lượng khúc có thể được tạo.
    Giá trị mặc định: 60

    Quan trọng

    Các giá trị mặc định được cung cấp hoạt động trong đối tượng thuê cỡ trung bình. Bạn có thể phải điều chỉnh các giá trị nhiều lần giá trị này hoạt động với quy mô đối tượng thuê của bạn.

    Quan trọng

    Tìm hiểu cách cập nhật biến môi trường: Cập nhật biến môi trường

  13. Quay lại giải pháp, bật cả [Mục con] Quản trị viên | Đồng bộ hóa dòng nhật ký và quản trị viên | Đồng bộ hóa dòng nhật ký kiểm tra.

    Bật dòng nhật ký kiểm tra.

Cấu hình ví dụ cho các biến môi trường

Dưới đây là các cấu hình ví dụ cho các giá trị này:

StartTime-Interval StartTime-Unit TimeInterval-Interval TimeInterval-Unit TimeSegment-CountLimit Dự kiến
1 ngày 1 giờ 60 Sẽ tạo 24 dòng phụ, nằm trong giới hạn 60.
Mỗi luồng trẻ em thực hiện công việc để kéo lại 1 giờ nhật ký từ 24 giờ qua
2 ngày 1 giờ 60 Sẽ tạo 48 dòng phụ, nằm trong giới hạn 60.
Mỗi luồng trẻ em thực hiện công việc để kéo lại 1 giờ nhật ký từ 48 giờ qua
1 ngày 5 phút 300 Sẽ tạo 288 dòng phụ, nằm trong giới hạn 300.
Mỗi luồng trẻ em thực hiện công việc để kéo lại 5 phút nhật ký từ 24 giờ qua
1 ngày 15 phút 100 Sẽ tạo 96 dòng phụ, nằm trong giới hạn 100.
Mỗi luồng trẻ em thực hiện công việc để kéo lại 15 phút nhật ký từ 24 giờ qua

Cách lấy dữ liệu cũ

Giải pháp này thu thập các lần khởi chạy ứng dụng từ thời điểm được định cấu hình và không được thiết lập để thu thập các lần khởi chạy ứng dụng lịch sử. Tùy thuộc vào giấy phép Microsoft 365 của bạn, dữ liệu trước đây sẽ có sẵn trong tối đa một năm bằng cách sử dụng nhật ký kiểm tra trong Microsoft Purview.

Bạn có thể tải dữ liệu trước đây vào bảng Bộ công cụ khởi đầu CoE theo cách thủ công. Tìm hiểu thêm: Cách nhập Nhật ký kiểm tra cũ

Tôi đã tìm thấy một lỗi với CoE Starter Kit; Tôi nên đi đâu?

Để gửi lỗi cho giải pháp, hãy truy cập aka.ms/coe-starter-kit-issues.