設定活動記錄的 Microsoft Entra 診斷設定
在 Microsoft Entra ID 中使用診斷設定 ,您可以將記錄與 Azure 監視器整合、將記錄串流至事件中樞,或將記錄封存至記憶體帳戶。 您可以建立多個診斷設定,將活動記錄傳送至不同的目的地。
本文提供為活動記錄設定 Microsoft Entra 診斷設定的步驟。
必要條件
若要設定診斷設定,您需要:
- Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,則可以註冊申請一個免費的試用帳戶。
- Microsoft Entra ID P1 或 P2 租使用者。
- 安全性 管理員 istrator 存取權,以建立 Microsoft Entra 租使用者的一般診斷設定。
- 屬性記錄檔 管理員 istrator 存取權,以建立自定義安全性屬性記錄的診斷設定。
- 已經設定的目的地。 例如,如果您想要將記錄串流至事件中樞,您必須先建立事件中樞,才能設定診斷設定。
如何存取診斷設定
本文提供存取 Microsoft Entra 記錄診斷設定的步驟。 如果您需要在 Microsoft Entra ID 之外設定 Azure 監視器或 Azure 資源的診斷設定,請參閱 Azure 監視器中的診斷設定。
以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別監視與健康情況>診斷設定]。 [ 一般 ] 設定預設會出現。
任何現有的診斷設定都會出現在數據表中。 選取 [編輯設定 ] 以變更現有的設定,或選取 [ 新增診斷設定 ] 以建立新的設定。
自訂安全性屬性
自定義安全性屬性記錄是標準稽核記錄的子集。 您必須具有作用中的屬性記錄檔 管理員 istrator 角色,才能設定自定義安全性屬性的診斷設定。 如需詳細資訊,請參閱 自定義安全性屬性概觀。
若要設定自定義安全性屬性稽核記錄的診斷設定,請選取 [自定義安全性屬性]。 針對這兩種記錄類別,設定診斷設定的程式都相同。
提示
Microsoft 建議您將自定義安全性屬性稽核記錄與目錄稽核記錄分開,以免不小心顯示屬性指派。
選取記錄和目的地
當您建立或編輯診斷設定時,您可以選擇要包含的記錄,以及傳送記錄的位置。
記錄類別
您可以選取一個、部分或所有可用的記錄。 某些記錄可能是預覽功能的一部分。 即使您選取記錄類別,在功能正式推出之前,您可能不會看到任何數據。 如需可用記錄的描述,請參閱 串流至端點的記錄選項。
目的地詳細資料
您可以將記錄傳送至 Log Analytics 工作區、將記錄串流至事件中樞,或將記錄封存至記憶體帳戶。 目前,唯一支援的合作夥伴解決方案是 Azure 原生 ISV 服務。 如需詳細資訊,請參閱 Azure 原生 ISV 服務概觀。
若要將記錄傳送至其中一個目的地,您必須已設定該目的地。
當您選取目的地時,會出現更多欄位。 從出現的欄位選取適當的訂用帳戶和目的地。
如需設定特定目的地診斷設定的詳細資訊,請參閱下列文章:
基本流程圖
設定診斷設定的基本步驟如下:
若要建立新的診斷設定,請選取 [ 新增診斷設定]。
提供名稱。
選取您想要包含的記錄。
選取您要傳送記錄的目標。
從顯示的下拉功能表中選取訂用帳戶和目的地。
選取儲存按鈕。
注意
最多可能需要三天的時間,記錄才會開始出現在目的地中。