設定活動記錄的 Microsoft Entra 診斷設定

  • 發行項

Microsoft Entra ID 中使用診斷設定 ,您可以將記錄與 Azure 監視器整合、將記錄串流至事件中樞,或將記錄封存至記憶體帳戶。 您可以建立多個診斷設定,將活動記錄傳送至不同的目的地。

本文提供為活動記錄設定 Microsoft Entra 診斷設定的步驟。

必要條件

若要設定診斷設定,您需要:

  • Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,則可以註冊申請一個免費的試用帳戶
  • Microsoft Entra ID P1 或 P2 租使用者。
  • 安全性 管理員 istrator 存取權,以建立 Microsoft Entra 租使用者的一般診斷設定。
  • 屬性記錄檔 管理員 istrator 存取權,以建立自定義安全性屬性記錄的診斷設定。
  • 已經設定的目的地。 例如,如果您想要將記錄串流至事件中樞,您必須先建立事件中樞,才能設定診斷設定。

如何存取診斷設定

本文提供存取 Microsoft Entra 記錄診斷設定的步驟。 如果您需要在 Microsoft Entra ID 之外設定 Azure 監視器或 Azure 資源的診斷設定,請參閱 Azure 監視器中的診斷設定。

  1. 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別監視與健康情況>診斷設定]。 [ 一般 ] 設定預設會出現。

  3. 任何現有的診斷設定都會出現在數據表中。 選取 [編輯設定 ] 以變更現有的設定,或選取 [ 新增診斷設定 ] 以建立新的設定。

    Screenshot of the Microsoft Entra diagnostic settings page.

自訂安全性屬性

自定義安全性屬性記錄是標準稽核記錄的子集。 您必須具有作用中的屬性記錄檔 管理員 istrator 角色,才能設定自定義安全性屬性的診斷設定。 如需詳細資訊,請參閱 自定義安全性屬性概觀

若要設定自定義安全性屬性稽核記錄的診斷設定,請選取 [自定義安全性屬性]。 針對這兩種記錄類別,設定診斷設定的程式都相同。

Screenshot of the custom security attributes page for diagnostic settings.

提示

Microsoft 建議您將自定義安全性屬性稽核記錄與目錄稽核記錄分開,以免不小心顯示屬性指派。

選取記錄和目的地

當您建立或編輯診斷設定時,您可以選擇要包含的記錄,以及傳送記錄的位置。

記錄類別

您可以選取一個、部分或所有可用的記錄。 某些記錄可能是預覽功能的一部分。 即使您選取記錄類別,在功能正式推出之前,您可能不會看到任何數據。 如需可用記錄的描述,請參閱 串流至端點的記錄選項。

Screenshot of the log categories in diagnostic settings.

目的地詳細資料

您可以將記錄傳送至 Log Analytics 工作區、將記錄串流至事件中樞,或將記錄封存至記憶體帳戶。 目前,唯一支援的合作夥伴解決方案是 Azure 原生 ISV 服務。 如需詳細資訊,請參閱 Azure 原生 ISV 服務概觀

若要將記錄傳送至其中一個目的地,您必須已設定該目的地。

當您選取目的地時,會出現更多欄位。 從出現的欄位選取適當的訂用帳戶和目的地。

Screenshot of the destination options in diagnostic settings.

如需設定特定目的地診斷設定的詳細資訊,請參閱下列文章:

基本流程圖

設定診斷設定的基本步驟如下:

  1. 若要建立新的診斷設定,請選取 [ 新增診斷設定]。

  2. 提供名稱。

  3. 選取您想要包含的記錄。

  4. 選取您要傳送記錄的目標。

  5. 從顯示的下拉功能表中選取訂用帳戶和目的地。

  6. 選取儲存按鈕。

    Screenshot of the create diagnostic settings page, with several logs selected to go to a Log Analytics workspace.

注意

最多可能需要三天的時間,記錄才會開始出現在目的地中。