Thu thập nhật ký kiểm tra bằng trình kết nối tùy chỉnh (không dùng nữa)
Quan trọng
Việc sử dụng giải pháp Trung tâm Xuất sắc - Nhật ký Kiểm tra chuyên dụng và trình kết nối tùy chỉnh Quản lý để thu thập các sự kiện nhật ký Office 365 kiểm tra sẽ không còn được dùng nữa. Giải pháp và đầu nối tùy chỉnh sẽ bị xóa khỏi CoE Starter Kit vào tháng 8/2023.
Chúng tôi có một quy trình mới thu thập các sự kiện nhật ký kiểm toán, là một phần của giải pháp Trung tâm Xuất sắc - Thành phần cốt lõi. Luồng mới này sử dụng trình kết nối HTTP. Tìm hiểu thêm: Thu thập nhật ký kiểm tra bằng hành động HTTP
Dòng Đồng bộ hóa nhật ký kiểm tra kết nối với nhật ký kiểm tra Microsoft 365 để thu thập dữ liệu đo từ xa (số người dùng duy nhất, lượt khởi động) của các ứng dụng. Luồng này sử dụng một trình kết nối tùy chỉnh để kết nối với Audit Log. Trong các hướng dẫn sau, bạn thiết lập trình kết nối tùy chỉnh và đặt cấu hình quy trình.
Bộ khởi động Center of Excellence (CoE) hoạt động mà không có quy trình này, nhưng thông tin sử dụng (khởi chạy ứng dụng, người dùng duy nhất) trong Power BI bảng điều khiển sẽ trống.
Quan trọng
Hoàn thành các hướng dẫn trong Trước khi thiết lập CoE Starter Kit và Thiết lập các thành phần hàng lưu kho trước khi tiếp tục thiết lập trong bài viết này. Bài viết này giả định bạn đã thiết lập môi trường và đăng nhập bằng danh tính chính xác.
Chỉ thiết lập giải pháp Nhật ký kiểm tra nếu bạn đã chọn luồng đám mây làm cơ chế kiểm kê và đo từ xa.
Xem hướng dẫn về cách thiết lập trình kết nối nhật ký kiểm tra.
Trước khi sử dụng trình kết nối nhật ký kiểm tra
Bạn phải bật tùy chọn tìm kiếm nhật ký kiểm tra Microsoft 365 để trình kết nối nhật ký kiểm tra hoạt động. Thông tin thêm: Bật hoặc tắt tính năng tìm kiếm nhật ký kiểm tra
Danh tính người dùng chạy luồng phải có quyền đối với nhật ký kiểm tra. Quyền tối thiểu cho việc này được mô tả ở đây: Trước khi bạn tìm kiếm nhật ký kiểm tra
Đối tượng thuê của bạn phải có gói đăng ký hỗ trợ việc ghi nhật ký kiểm tra hợp nhất. Thông tin thêm: Tính khả dụng của Trung tâm Bảo mật &Tuân thủ cho các gói dành cho doanh nghiệp và doanh nghiệp
Cần có Quản trị viên toàn cầu để định cấu hình Microsoft Entra đăng ký ứng dụng.
API Office 365 quản lý sử dụng ID để cung cấp các dịch vụ xác thực mà bạn có thể sử dụng để cấp quyền cho ứng dụng Microsoft Entra của bạn truy cập chúng.
Tạo đăng Microsoft Entra ký ứng dụng cho Office 365 API quản lý
Sử dụng các bước này, bạn thiết lập Microsoft Entra đăng ký ứng dụng được sử dụng trong trình kết nối và Power Automate quy trình tùy chỉnh để kết nối với nhật ký kiểm tra. Thông tin thêm: Bắt đầu với API quản lý Office 365
Đăng nhập vào portal.azure.com.
Đi tới Microsoft Entra Đăng ký> ứng dụng ID.
Chọn + Đăng ký mới.
Nhập tên (ví dụ: Microsoft 365 Management), không thay đổi bất kỳ cài đặt nào khác, rồi chọn Đăng ký.
Chọn Quyền API>+ Thêm quyền.
Chọn API quản lý Office 365 và định cấu hình các quyền như sau:
Chọn Quyền được ủy quyền rồi chọn ActivityFeed.Read.
Chọn Thêm quyền.
Chọn Cấp sự đồng ý của quản trị viên cho (tổ chức của bạn). Điều kiện tiên quyết: Cấp phép quản trị viên trên toàn đối tượng thuê đối với ứng dụng
Quyền API giờ sẽ phản ánh ActivityFeed.Read được ủy nhiệm với trạng thái Được cấp cho (tổ chức của bạn).
Chọn Chứng chỉ và mã bí mật.
Lựa chọn + Mã bí mật máy khách mới.
Thêm mô tả và thời hạn (phù hợp với chính sách của tổ chức bạn), sau đó chọn Thêm.
Tạm thời sao chép và dán Mã bí mật vào một tài liệu văn bản trong Notepad.
Chọn phần Tổng quan, sau đó sao chép và dán các giá trị ID của ứng dụng (máy khách) và thư mục (đối tượng thuê) vào cùng một tài liệu văn bản; đừng quên ghi lại GUID của mỗi giá trị. Bạn sẽ cần những giá trị này trong bước tiếp theo khi đặt cấu hình trình kết nối tùy chỉnh.
Để cổng thông tin Azure ở trạng thái mở vì bạn sẽ cần thực hiện một số cập nhật cấu hình sau khi thiết lập trình kết nối tùy chỉnh.
Thiết lập trình kết nối tùy chỉnh
Bây giờ, bạn sẽ đặt cấu hình và thiết lập trình kết nối tùy chỉnh sử dụng API quản lý Office 365.
Chuyển đến Power Apps>Dataverse>Trình kết nối tùy chỉnh. Trình Office 365 kết nối tùy chỉnh API quản lý được liệt kê ở đây; nó đã được nhập với giải pháp thành phần cốt lõi.
Chọn Chỉnh sửa.
Nếu đối tượng thuê của bạn là đối tượng thuê thương mại, hãy để nguyên trang Chung.
Quan trọng
- Nếu đối tượng thuê của bạn là đối tượng thuê GCC, hãy thay đổi máy chủ lưu trữ thành manage-gcc.office.com.
- Nếu đối tượng thuê của bạn là GCC High đối tượng thuê, hãy thay đổi máy chủ lưu trữ thành manage.office365.us.
- Nếu đối tượng thuê của bạn là đối tượng thuê DoD, hãy thay đổi máy chủ lưu trữ thành manage.protection.apps.mil.
Thông tin thêm: Hoạt động của API hoạt động
Chọn Bảo mật.
Chọn Chỉnh sửa ở cuối khu vực OAuth 2.0 để chỉnh sửa các tham số xác thực.
Thay đổi nhà cung cấp danh tính thành Microsoft Entra ID.
Dán ID ứng dụng (máy khách) mà bạn đã sao chép từ phần đăng ký ứng dụng vào ID máy khách.
Dán mã bí mật máy khách mà bạn đã sao chép từ phần đăng ký ứng dụng vào Mã bí mật máy khách.
Không thay đổi ID đối tượng thuê.
Giữ nguyên URL Đăng nhập cho đối tượng thuê thương mại và GCC và thay đổi URL đó thành https://đăng nhập.microsoftonline.us/ cho GCC High đối tượng thuê hoặc DoD.
Đặt URL tài nguyên thành quản lý.office.com cho đối tượng thuê thương mại,manage-gcc.office.com cho đối tượng thuê GCC,manage https:// https://.office365.us cho đối tượng thuê và https://quản lý GCC High .protection.apps.mil cho https://đối tượng thuê DoD.
Chọn Cập nhật trình kết nối.
Sao chép URL chuyển hướng vào tài liệu văn bản trong Notepad.
Lưu ý
Nếu bạn có một chính sách ngăn mất dữ liệu (DLP) được định cấu hình cho môi trường Bộ khởi động CoE của bạn, bạn sẽ cần thêm trình kết nối này vào dữ liệu kinh doanh nhóm duy nhất của chính sách này.
Cập nhật Microsoft Entra đăng ký ứng dụng bằng URL chuyển hướng
Truy cập cổng thông tin Azure và đăng ký ứng dụng của bạn.
Trong phần Tổng quan, hãy chọn Thêm URI chuyển hướng.
Chọn + Thêm nền tảng>Web.
Nhập URL bạn đã sao chép từ phần URL chuyển hướng của trình kết nối tùy chỉnh.
Chọn Thiết lập.
Bắt đầu đăng ký để kiểm tra nội dung nhật ký
Quay lại trình kết nối tùy chỉnh để thiết lập kết nối đến trình kết nối tùy chỉnh và bắt đầu đăng ký nội dung nhật ký kiểm tra, như mô tả trong các bước sau.
Quan trọng
Bạn phải hoàn thành các bước này để các bước tiếp theo hoạt động. Nếu bạn không tạo kết nối mới và kiểm tra trình kết nối tại đây, thì sẽ không thiết lập được dòng và dòng con trong các bước sau.
Trên trang Trình kết nối tùy chỉnh, hãy chọn Kiểm tra.
Chọn + Kết nối mới rồi đăng nhập bằng tài khoản của bạn.
Trong phần Thao tác, hãy chọn Bắt đầu đăng ký.
Dán ID thư mục (đối tượng thuê)—được sao chép trước đó từ trang tổng quan vềĐăng ký ứng dụng trong ID Microsoft Entra —vào trường Đối tượng thuê .
Dán ID thư mục (đối tượng thuê) vào PublisherIdentifier.
Chọn Kiểm tra thao tác.
Bạn sẽ thấy trạng thái (200) được trả về, có nghĩa là truy vấn đã thành công.
Quan trọng
Nếu bạn đã bật đăng ký trước đó, bạn sẽ thấy thông báo (400) Đăng ký đã được bật. Điều này có nghĩa là đăng ký đã được kích hoạt thành công trước đây. Bạn có thể bỏ qua lỗi này và tiếp tục thiết lập.
Nếu bạn không thấy thông báo trên hoặc phản hồi (200), yêu cầu có thể đã không thành công. Có thể xảy ra lỗi với thiết lập của bạn khiến dòng không hoạt động. Các vấn đề phổ biến cần kiểm tra là:
- Xác thực rằng nhà cung cấp danh tính trên tab Bảo mật được đặt thành Microsoft Entra ID.
- Nhật ký kiểm tra đã được bật chưa và bạn có quyền xem nhật ký kiểm tra không? Kiểm tra bằng cách xem bạn có thể tìm kiếm trong Trình quản lý Tuân thủ Microsoft hay không.
- Nếu bạn không có quyền, hãy xem Trước khi bạn tìm kiếm nhật ký kiểm tra.
- Bạn đã bật nhật ký kiểm tra gần đây chưa? Nếu đã bật, hãy thử lại sau vài phút để nhật ký kiểm tra kích hoạt.
- Bạn đã dán đúng ID đối tượng thuê từ đăng ký ứng dụng của mình Microsoft Entra chưa?
- Bạn đã dán vào URL tài nguyên chính xác, không thêm khoảng trắng hoặc ký tự ở cuối chưa?
- Xác thực rằng bạn đã làm đúng các bước trong Microsoft Entra đăng ký ứng dụng.
- Xác thực rằng bạn đã cập nhật chính xác cài đặt bảo mật của trình kết nối tùy chỉnh, như được mô tả trong quy trình bước 6 của thiết lập trình kết nối tùy chỉnh ở phần trước của bài viết này.
Nếu bạn vẫn thấy lỗi, kết nối của bạn có thể ở trạng thái xấu. Tìm hiểu thêm: Hướng dẫn từng bước để sửa chữa kết nối Nhật ký kiểm tra
Thiết lập dòng Power Automate
Dòng Power Automate sử dụng trình kết nối tùy chỉnh, truy vấn nhật ký kiểm tra hàng ngày và ghi các sự kiện khởi chạy Power Apps vào bảng Microsoft Dataverse. Sau đó, bảng này được sử dụng trong bảng thông tin Power BI để báo cáo về các phiên và người dùng duy nhất của một ứng dụng.
Làm theo hướng dẫn trong Thiết lập các thành phần cốt lõi để tải xuống giải pháp.
Truy cập vào make.powerapps.com.
Nhập giải pháp nhật ký kiểm tra của Trung tâm Xuất sắc (CenterofExcellenceAuditLogs_x_x_x_xxx_managed.zip).
Thiết lập kết nối để kích hoạt giải pháp của bạn. Nếu bạn tạo một kết nối mới, bạn phải chọn Làm mới. Bạn sẽ không mất tiến trình nhập của mình.
Mở Trung tâm ưu tú - Giải pháp Nhật ký Kiểm tra.
Loại bỏ tầng không được quản lý từ [Mục con] Quản trị viên | Đồng bộ hóa nhật ký.
Chọn [Mục con] Quản trị viên | Đồng bộ hóa nhật ký.
Chỉnh sửa tùy chọn thiết đặt Người dùng chỉ chạy.
Office 365 Đối với trình kết nối tùy chỉnh API quản lý, hãy thay đổi giá trị thành Sử dụng kết nối này (userPrincipalName@company.com). Nếu không có kết nối cho bất kỳ trình kết nối nào, hãy chuyển đến Dataverse>Kết nối và tạo một kết nối cho trình kết nối.
Đối với trình Microsoft Dataverse kết nối, hãy để trống giá trị quyền chỉ chạy và xác nhận rằng tham chiếu kết nối cho nhật ký kiểm tra CoE - Dataverse connection được cấu hình đúng. Nếu kết nối hiển thị lỗi, hãy cập nhật tham chiếu kết nối cho tham chiếu nhật ký kiểm tra CoE - Dataverse connection.
Chọn Lưu rồi đóng tab Chi tiết dòng.
(Tùy chọn) Chỉnh sửa các biến môi trường TimeInterval-Unit và TimeInterval-Interval để thu thập các phần thời gian nhỏ hơn. Giá trị mặc định là chia nhỏ 1 ngày thành các phân đoạn 1 giờ. Bạn nhận được cảnh báo từ giải pháp này nếu Nhật ký kiểm tra không thể thu thập tất cả dữ liệu với khoảng thời gian đã cấu hình của bạn.
Tên Mô tả StartTime-Interval Phải là một số nguyên để biểu thị thời gian bắt đầu cho khoảng thời gian quay lại tìm nạp.
Giá trị mặc định: 1 (cho một ngày trở lại)StartTime-Unit Xác định đơn vị cho khoảng thời gian quay ngược phù hợp để tìm nạp dữ liệu.
Phải là một giá trị từ được chấp nhận làm tham số đầu vào đến Thêm vào thời gian.
Giá trị pháp lý mẫu: Phút, Giờ, Ngày
Giá trị mặc định: NgàyTimeInterval-Unit Xác định các đơn vị để phân chia thời gian kể từ khi bắt đầu.
Phải là một giá trị từ được chấp nhận làm tham số đầu vào đến Thêm vào thời gian.
Giá trị pháp lý mẫu: Phút, Giờ, Ngày
Giá trị mặc định: GiờTimeInterval-Interval Phải là một số nguyên để biểu thị số lượng khối của đơn vị loại (ở trên).
Giá trị mặc định: 1 (cho các đoạn 1 giờ)TimeSegment-CountLimit Phải là một số nguyên để thể hiện giới hạn về số lượng khúc có thể được tạo.
Giá trị mặc định: 60Quan trọng
Các giá trị mặc định được cung cấp hoạt động trong đối tượng thuê cỡ trung bình. Bạn có thể phải điều chỉnh các giá trị nhiều lần giá trị này hoạt động với quy mô đối tượng thuê của bạn.
Quan trọng
Tìm hiểu cách cập nhật biến môi trường: Cập nhật biến môi trường
Quay lại giải pháp, bật cả [Mục con] Quản trị viên | Đồng bộ hóa dòng nhật ký và quản trị viên | Đồng bộ hóa dòng nhật ký kiểm tra.
Cấu hình ví dụ cho các biến môi trường
Dưới đây là các cấu hình ví dụ cho các giá trị này:
StartTime-Interval | StartTime-Unit | TimeInterval-Interval | TimeInterval-Unit | TimeSegment-CountLimit | Dự kiến |
---|---|---|---|---|---|
1 | ngày | 1 | giờ | 60 | Sẽ tạo 24 dòng phụ, nằm trong giới hạn 60. Mỗi luồng trẻ em thực hiện công việc để kéo lại 1 giờ nhật ký từ 24 giờ qua |
2 | ngày | 1 | giờ | 60 | Sẽ tạo 48 dòng phụ, nằm trong giới hạn 60. Mỗi luồng trẻ em thực hiện công việc để kéo lại 1 giờ nhật ký từ 48 giờ qua |
1 | ngày | 5 | phút | 300 | Sẽ tạo 288 dòng phụ, nằm trong giới hạn 300. Mỗi luồng trẻ em thực hiện công việc để kéo lại 5 phút nhật ký từ 24 giờ qua |
1 | ngày | 15 | phút | 100 | Sẽ tạo 96 dòng phụ, nằm trong giới hạn 100. Mỗi luồng trẻ em thực hiện công việc để kéo lại 15 phút nhật ký từ 24 giờ qua |
Cách lấy dữ liệu cũ
Giải pháp này thu thập các lần khởi chạy ứng dụng từ thời điểm được định cấu hình và không được thiết lập để thu thập các lần khởi chạy ứng dụng lịch sử. Tùy thuộc vào giấy phép Microsoft 365 của bạn, dữ liệu trước đây sẽ có sẵn trong tối đa một năm bằng cách sử dụng nhật ký kiểm tra trong Microsoft Purview.
Bạn có thể tải dữ liệu trước đây vào bảng Bộ công cụ khởi đầu CoE theo cách thủ công. Tìm hiểu thêm: Cách nhập Nhật ký kiểm tra cũ
Tôi đã tìm thấy một lỗi với CoE Starter Kit; Tôi nên đi đâu?
Để gửi lỗi cho giải pháp, hãy truy cập aka.ms/coe-starter-kit-issues.