什么是可以流式处理到终结点的标识日志？

使用 Microsoft Entra 诊断设置，可将活动日志路由到多个终结点以便长期保留并获取数据见解。 选择要路由的日志，然后选择终结点。

本文介绍了可以使用 Microsoft Entra 诊断设置路由到终结点的日志。

日志流式处理要求和选项

设置端点（如事件中心或存储帐户）可能需要不同的角色和许可证。 要创建或编辑新的诊断设置，你需要一位具有 Microsoft Entra 租户安全管理员身份的用户。

若要帮助确定最适合的日志路由选项，请参阅如何访问活动日志。 以下文章介绍了每种终结点类型的整个过程和要求：

• 将日志发送到 Log Analytics 工作区以与 Azure Monitor 日志集成
• 将日志存档到存储帐户
• 将日志流式传输到事件中心
• 发送到合作伙伴解决方案

活动日志选项

以下日志可以路由到终结点来进行存储、分析或监视。

审核日志

AuditLogs 报告会捕获对 Microsoft Entra 租户中应用程序、组、用户和许可证的更改。 路由审核日志后，可以按日期/时间、记录事件的服务以及更改者进行筛选或分析。 有关详细信息，请参阅审核日志。

登录日志

SignInLogs 将发送交互式登录日志，即根据用户登录情况生成的日志。 用户在 Microsoft Entra 登录屏幕上提供其用户名和密码或通过 MFA 质询时，会生成登录日志。 有关详细信息，请参阅交互式用户登录。

非交互式登录日志

NonInteractiveUserSIgnInLogs 是代表用户（例如客户端应用）完成的登录。 设备或客户端将使用令牌或代码代表用户对资源进行身份验证或访问。 有关详细信息，请参阅非交互式用户登录。

服务主体登录日志

如果需要查看应用或服务主体的登录活动，ServicePrincipalSignInLogs 可能是一个不错的选择。 在这些方案中，证书或客户端机密用于进行身份验证。 有关详细信息，请参阅服务主体登录。

托管标识登录日志

ManagedIdentitySignInLogs 提供的见解与服务主体登录日志类似，但对于托管标识，由 Azure 管理机密。 有关详细信息，请参阅托管标识登录。

预配日志

如果组织通过非 Microsoft 应用程序（如 Workday 或 ServiceNow）预配用户，则可能需要导出 ProvisioningLogs 报告。 有关详细信息，请参阅预配日志。

AD FS 登录日志

此使用情况和见解报告将捕获 Active Directory 联合服务 (AD FS) 应用程序的登录活动。 你可以导出 ADFSSignInLogs 报告以监视 AD FS 应用程序的登录活动。 有关详细信息，请参阅 AD FS 登录日志。

有风险用户

RiskyUsers 日志将根据用户的登录活动识别面临风险的用户。 此报告是 Microsoft Entra ID 保护的一部分，且将使用 Microsoft Entra ID 中的登录数据。 有关详细信息，请参阅什么是 Microsoft Entra ID 保护？。

用户风险事件

UserRiskEvents 日志是 Microsoft Entra ID 保护的一部分。 这些日志将捕获有关风险登录事件的详细信息。 有关详细信息，请参阅如何调查风险。

网络访问流量日志

NetworkAccessTrafficLogs 与 Microsoft Entra Internet 访问和 Microsoft Entra 专用访问相关联。 这些日志在 Microsoft Entra ID 中可见，但选择此选项不会将新日志添加到工作区，除非你的组织使用 Microsoft Entra Internet 访问和 Microsoft Entra 专用访问来保护对公司资源的访问。 有关详细信息，请参阅什么是全局安全访问？。

风险服务主体

RiskyServicePrincipals 日志将提供有关被 Microsoft Entra ID 保护检测为有风险的服务主体的信息。 服务主体风险表示一个标识或帐户遭入侵的概率。 这些风险是使用来自 Microsoft 内部和外部威胁情报来源的数据和模式异步计算的。 这些来源可能包括安全研究人员、执法专业人员和 Microsoft 的安全团队。 有关详细信息，请参阅：保护工作负载标识。

服务主体风险事件

ServicePrincipalRiskEvents 将提供有关服务主体的风险登录事件的详细信息。 这些日志可能包括与服务主体帐户相关的任何已识别的可疑事件。 有关详细信息，请参阅：保护工作负载标识。

扩充 Microsoft 365 审核日志

EnrichedOffice365AuditLogs 与可为 Microsoft Entra Internet 访问启用的扩充日志相关联。 选择此选项不会将新日志添加到工作区，除非你的组织使用 Microsoft Entra Internet 来保护对 Microsoft 365 流量的访问，并且你启用了扩充日志。 有关详细信息，请参阅如何使用全局安全访问扩充的 Microsoft 365 日志。

Microsoft Graph 活动日志

使MicrosoftGraphActivityLogs管理员能够完全了解通过 Microsoft 图形 API访问租户资源的所有 HTTP 请求。 可以使用这些日志来识别被入侵的用户帐户在租户中执行的活动，或调查客户端应用程序有问题或意外的行为，例如极端调用量。 将这些日志路由到同一 Log Analytics 工作区，以便 SignInLogs 交叉引用登录日志的令牌请求的详细信息。 有关详细信息，请参阅访问 Microsoft Graph 活动日志（预览）。

远程网络运行状况日志

RemoteNetworkHealthLogs 提供通过全局安全访问配置的远程网络的运行状况的见解。 选择此选项不会将新日志添加到工作区，除非你的组织使用 Microsoft Entra Internet 访问和Microsoft Entra 专用访问来保护对公司资源的访问。 有关详细信息，请参阅“远程网络运行状况日志”。

自定义安全属性审核日志

CustomSecurityAttributeAuditLogs 是在诊断设置的自定义安全属性部分中配置的。 捕获日志会对 Microsoft Entra 租户中自定义安全属性的更改。 若要在 Microsoft Entra 审核日志中查看这些日志，需要具有属性日志读取者角色。 若要将这些日志路由到终结点，需要具有属性日志管理员角色和安全管理员。