为活动日志配置 Microsoft Entra 诊断设置

  • 项目

使用 Microsoft Entra ID 中的诊断设置,可以将日志与 Azure Monitor 集成、将日志流式传输到事件中心,或将日志存档到存储帐户。 可以创建多个诊断设置,以将活动日志发送到不同的目标。

本文介绍为活动日志配置 Microsoft Entra 诊断设置的步骤。

先决条件

配置诊断设置需要:

  • Azure 订阅。 如果没有 Azure 订阅,可以注册免费试用版
  • Microsoft Entra ID P1 或 P2 租户。
  • 安全管理员访问权限,用于为 Microsoft Entra 租户创建常规诊断设置。
  • 属性日志管理员访问权限,用于为自定义安全属性日志创建诊断设置。
  • 已设置的目标。 例如,如果要将日志流式传输到事件中心,则需要先创建事件中心,然后才能配置诊断设置。

如何访问诊断设置

本文介绍访问 Microsoft Entra 日志的诊断设置的步骤。 如果需要在 Microsoft Entra ID 之外配置 Azure Monitor 或 Azure 资源的诊断设置,请参阅 Azure Monitor 中的诊断设置

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“监视和运行状况”>“诊断设置”。常规”设置默认显示。

  3. 所有现有诊断设置都显示在表中。 请选择“编辑设置”以更改现有设置,或选择“添加诊断设置”以创建新设置

    Screenshot of the Microsoft Entra diagnostic settings page.

自定义安全属性

自定义安全属性日志是标准审核日志的一部分。 必须激活“属性日志管理员”角色才能配置自定义安全属性的诊断设置。 有关详细信息,请参阅自定义安全属性概述

若要为自定义安全属性审核日志配置诊断设置,请选择“自定义安全属性”。 配置诊断设置的过程对于这两类日志都是相同的。

Screenshot of the custom security attributes page for diagnostic settings.

提示

Microsoft 建议将自定义安全属性审核日志与目录审核日志分开保存,以免无意中显示属性分配。

选择日志和目标

创建或编辑诊断设置时,可以选择要包括的日志以及将其发送到何处。

日志类别

可以选择一个、部分或所有可用日志。 某些日志可能是预览功能的一部分。 即使选择了日志类别,在该功能正式发布之前也可能看不到任何数据。 有关可用日志的说明,请参阅用于流式传输到终结点的日志选项

Screenshot of the log categories in diagnostic settings.

目标详细信息

可以将日志发送到 Log Analytics 工作区、将日志流式传输到事件中心,或将日志存档到存储帐户。 目前,唯一受支持的合作伙伴解决方案是 Azure Native ISV 服务。 有关详细信息,请参阅 Azure Native ISV 服务概述

若要将日志发送到其中一个目标,必须已配置该目标。

选择目标后,会出现更多字段。 从显示的字段中选择适当的订阅和目标。

Screenshot of the destination options in diagnostic settings.

有关为特定目标配置诊断设置的详细信息,请参阅以下文章:

基本流程

配置诊断设置的基本步骤如下:

  1. 若要创建新的诊断设置,请选择“添加诊断设置”。

  2. 提供一个名称。

  3. 选择要包括的日志。

  4. 选择要将日志发送到的目标。

  5. 从显示的下拉菜单中选择订阅和目标。

  6. 选择保存按钮。

    Screenshot of the create diagnostic settings page, with several logs selected to go to a Log Analytics workspace.

注意

最长可能需要三天时间,日志才会开始显示在目标中。