如何访问 Microsoft Entra ID 中的活动日志

借助 Microsoft Entra 日志中收集的数据，可评估 Microsoft Entra 租户的许多方面。 为了涵盖各种方案，Microsoft Entra ID 提供几种选项来访问活动日志数据。 作为 IT 管理员，你需要了解这些选项的目标用例，以便为方案选择正确的访问方法。

可使用以下方法访问 Microsoft Entra 活动日志和报告：

• 将活动日志流式传输到事件中心，与其他工具集成
• 通过 Microsoft Graph API 访问活动日志
• 将活动日志与 Azure Monitor 日志集成
• 使用 Microsoft Sentinel 实时监视活动
• 在 Azure 门户中查看活动日志和报表
• 导出活动日志以备存储和查询之用

上述每种方法可能只适用于某些场景。 本文旨在介绍这些场景，包括与使用活动日志中的数据相关报表相关的建议和详细信息。 查看本文给出的选项，了解这些场景，以便可以选择正确的方法。

先决条件

所需的角色和许可证因报告而异。 需要单独的权限才能访问 Microsoft Graph 中的监视和运行状况数据。 我们建议使用具有最低访问权限的角色，以符合零信任指南。

日志/报表	角色	许可证
审核	报告读取者 安全读取者 安全管理员 全局读取者	在所有版本的 Microsoft Entra ID
登录	报告读取者 安全读取者 安全管理员 全局读取者	在所有版本的 Microsoft Entra ID
预配	报告读取者 安全读取者 安全管理员 全局读取者 安全操作员 应用程序管理员 云应用管理员	Microsoft Entra ID P1 或 P2
自定义安全属性审核日志*	属性日志管理员 属性日志读取器	在所有版本的 Microsoft Entra ID
使用情况和见解	报告读取者 安全读取者 安全管理员	Microsoft Entra ID P1 或 P2
标识保护**	安全管理员 安全操作员 安全读取者 全局读取者	Microsoft Entra ID Free Microsoft 365 应用 Microsoft Entra ID P1 或 P2
Microsoft Graph 活动日志	安全管理员 访问相应日志目标中数据的权限	Microsoft Entra ID P1 或 P2

*查看审核日志中的自定义安全属性或为自定义安全属性创建诊断设置需要“属性日志”角色之一。 你还需要适当的角色才能查看标准审核日志。

**标识保护的访问级别和功能因角色和许可证而异。 有关详细信息，请参阅标识保护许可证要求。

获得许可的功能可查看审核日志。 若要使用 Microsoft Graph API 访问登录日志，租户必须具有与之关联的 Microsoft Entra ID P1 或 P2 许可证。

将日志流式传输到事件中心，与 SIEM 工具集成

需要将活动日志流式传输到事件中心，才能将活动日志与安全信息和事件管理 (SIEM) 工具（如 Splunk 和 SumoLogic）集成。 需要先在 Azure 订阅中设置事件中心命名空间和事件中心，然后才能将日志流式传输到事件中心。

建议的用法

可以与事件中心集成的 SIEM 工具可以提供分析和监视功能。 如果你已经在使用此类工具从其他源引入数据，则可以流式处理标识数据进行更加全面的分析和监视。 对于以下场景类型，建议将活动日志流式传输到事件中心：

• 如果需要大数据流式处理平台和事件引入服务，每秒能够接收和处理数百万个事件。
• 如果希望使用任何实时分析提供程序或批处理/存储适配器来转换和存储数据。

快速步骤

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。
2. 创建事件中心命名空间和事件中心。
3. 浏览到“标识”>“监视和运行状况”>“诊断设置”。
4. 选择要流式传输的日志，选择“流式传输到事件中心”选项，然后填写字段。
   • 设置事件中心命名空间和事件中心
   • 详细了解如何将活动日志流式传输到事件中心

独立安全供应商应提供有关如何将数据从 Azure 事件中心引入其工具的说明。

使用 Microsoft Graph API 访问日志

Microsoft Graph API 提供了统一的可编程性模型，可用于访问 Microsoft Entra ID P1 或 P2 租户的数据。 它无需管理员或开发人员设置额外的基础结构来支持脚本或应用。

提示

本文中的步骤可能因开始使用的门户而略有不同。

建议的用法

使用 Microsoft Graph 资源管理器，可以运行查询来帮助你处理以下类型的场景：

• 查看租户活动，例如更改组的人员以及更改时间。
• 将 Microsoft Entra 登录事件标记为“安全”或“已确认泄露”。
• 检索过去 30 天的应用程序登录列表。

注意

Microsoft Graph 允许访问来自多个服务的数据，这些服务施加了自己的限制。 有关活动日志限制的详细信息，请参阅 Microsoft Graph 特定于服务的限制。

快速步骤

1. 配置先决条件。
2. 登录到图形资源管理器。
3. 设置 HTTP 方法和 API 版本。
4. 添加查询，然后选择“运行查询”按钮。
   • 熟悉要进行目录审核的 Microsoft Graph 各属性
   • 完成 MS Graph 快速入门指南

将日志与 Azure Monitor 日志集成

集成 Azure Monitor 日志后，可以享受到丰富的可视化效果，并能监视和警报连接数据。 Log Analytics 为 Microsoft Entra 活动日志提供了增强的查询和分析功能。 若要将 Microsoft Entra 活动日志与 Azure Monitor 日志集成，需要使用 Log Analytics 工作区。 可以从该处通过 Log Analytics 运行查询。

建议的用法

通过将 Microsoft Entra 日志与 Azure Monitor 日志集成，提供了一个集中位置来查询日志。 对于以下类型的场景，我们建议将日志与 Azure Monitor 日志集成：

• 将 Microsoft Entra 登录日志与其他 Azure 服务发布的日志进行比较。
• 将登录日志与 Azure 应用程序见解相关联。
• 使用特定搜索参数查询日志。

快速步骤

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。
2. 创建 Log Analytics 工作区。
3. 浏览到“标识”>“监视和运行状况”>“诊断设置”。
4. 选择要流式传输的日志，选择“发送到 Log Analytics工作区”选项，然后填写字段。
5. 浏览到“标识”>“监视和运行状况”>“Log Analytics”，开始查询数据。
   • 将 Microsoft Entra 日志与 Azure Monitor 日志集成
   • 了解如何使用 Log Analytics 进行查询

使用 Microsoft Sentinel 监视事件

将登录和审核日志发送到 Microsoft Sentinel 可提供安全操作中心，其中包括近乎实时的安全检测和威胁搜寻功能。 术语“威胁搜寻”是指一种主动提高环境安全态势的方法。 与经典防护相反，威胁搜寻会尝试主动识别可能损害系统的潜在威胁。 活动日志数据可能是威胁搜寻解决方案的一部分。

建议的用法

如果你的组织需要安全分析和威胁情报，我们建议使用 Microsoft Sentinel 的实时安全检测功能。 如果需要，请使用 Microsoft Sentinel 负责以下工作：

• 收集整个企业的安全数据。
• 使用大量威胁情报检测威胁。
• 在人工智能的引导之下调查严重事件。
• 快速响应和自动保护。

快速步骤

1. 了解先决条件、角色和权限。
2. 估算潜在成本。
3. 加入 Microsoft Sentinel。
4. 收集 Microsoft Entra 数据。
5. 开始搜寻威胁。

通过 Microsoft Entra 管理中心查看日志

对于范围有限的一次性调查，Microsoft Entra 管理中心往往是查找所需数据的最简单方法。 每个报表的用户界面提供筛选器选项，便于查找所需条目来解决方案的问题。

Microsoft Entra 活动日志中捕获的数据会在许多报告和服务中使用。 可以查看一次性场景的登录、审核和预配日志，或使用报表查看模式和趋势。 活动日志中的数据可帮助填充标识保护报告，其中提供了与 Microsoft Entra ID 可检测和报告的风险检测相关的信息安全。 Microsoft Entra 活动日志还会填充使用情况和见解报告，这些报告为租户的应用程序提供使用情况详细信息。

建议的用法

Azure 门户中提供的报表提供了各种功能来监视租户中的活动和使用情况。 以下用途和场景列表并不详尽，因此请浏览需要的报表。

• 研究用户的登录活动或跟踪应用程序的使用情况。
• 使用审核日志查看有关组名称更改、设备注册和密码重置的详细信息。
• 使用标识保护报表监视有风险的用户、存在风险的工作负载标识，以及存在风险的登录。
• 你可以在 Microsoft Entra 应用程序活动（预览版）的使用情况和见解报告中查看登录成功率，以确保用户可访问你的租户中使用的应用程序。
• 将用户喜欢的不同身份验证方法与使用情况和见解中的身份验证方法报表进行比较。

快速步骤

按照下列基本步骤在 Microsoft Entra 管理中心访问报告。

Microsoft Entra 活动日志

1. 浏览到“标识”>“监视和运行状况”>“审核日志”/“登录日志”/“预配日志”。
2. 根据自己的需求调整筛选器。
   • 了解如何筛选活动日志
   • 探索 Microsoft Entra 审核日志类别和活动
   • 了解 Microsoft Entra 登录日志中的基本信息

可以从你所使用的 Microsoft Entra 管理中心区域直接访问审核日志。 例如，如果你在 Microsoft Entra ID 的“组”或“许可证”部分，则可以直接从该区域访问这些特定活动的审核日志。 以这种方式访问审核日志时，会自动设置筛选器类别。 如果你在“组”中，审核日志筛选器类别将设置为“GroupManagement”。

Microsoft Entra ID 保护报告

1. 浏览到“保护”>“标识保护”。
2. 浏览可用报表。
   • 详细了解标识保护
   • 了解如何调查风险

使用情况和见解报告

1. 浏览到“标识”>“监视和运行状况”>“使用情况和见解”。
2. 浏览可用报表。
   • 详细了解使用情况和见解报表

导出报告以备存储和查询之用

适合长期存储的解决方案取决于你的预算以及计划对数据执行的操作。 有三个选项：

• 将日志存档到 Azure 存储
• 下载日志，手动进行存储
• 将日志与 Azure Monitor 日志集成

如果不计划经常查询数据，则 Azure 存储是合适的解决方案。 有关详细信息，请参阅将目录日志存档到存储帐户。

如果计划经常查询日志以对存储的日志运行报告或执行分析，则应将数据与 Azure Monitor 日志集成。

如果预算紧张，且需要经济实惠的方法来创建长期的活动日志备份，则可以手动下载日志。 门户中活动日志的用户界面提供了将数据下载为 JSON 或 CSV 的选项。 但手动下载需要进行更多手动交互，这是需要权衡的问题。 如果希望寻找更专业的解决方案，请使用 Azure 存储或 Azure Monitor。

建议的用法

建议设置存储帐户，以存档需要长期存储的治理和合规性方案的活动日志。

如果要进行长期存储并且希望对数据运行查询，请参阅与将活动日志与 Azure Monitor 日志集成的相关部分。

如果存在预算限制，建议手动下载并存储活动日志。

快速步骤

使用以下基本步骤存档或下载活动日志。

将活动日志存档到存储帐户

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。
2. 创建存储帐户。
3. 浏览到“标识”>“监视和运行状况”>“诊断设置”。
4. 选择要流式传输的日志，选择“存档到存储帐户”选项，然后填写字段。
   • 查看数据保留策略

手动下载活动日志

1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心。
2. 从“监视”菜单浏览到“标识”>“监视和运行状况”>“审核日志”/“登录日志”/“预配日志”。
3. 选择“下载” 。
   • 详细了解如何下载日志。

后续步骤

• 将日志流式传输到事件中心
• 将日志存档到存储帐户
• 将日志与 Azure Monitor 日志集成