Come scaricare i log in Microsoft Entra ID

L'interfaccia di amministrazione di Microsoft Entra consente di accedere a tre tipi di log attività:

  • Informazioni di accesso: informazioni sugli accessi e sul modo in cui le risorse vengono usate dagli utenti.
  • Controllo: informazioni sulle modifiche applicate al tenant, ad esempio gli utenti e la gestione dei gruppi o gli aggiornamenti applicati alle risorse del tenant.
  • Provisioning: attività eseguite da un servizio di provisioning, ad esempio la creazione di un gruppo in ServiceNow o un utente importato da Workday.

Microsoft Entra ID archivia i log attività per un periodo specifico, a seconda della licenza. Per altre informazioni, vedere Conservazione dei dati di Microsoft Entra. Scaricando i log, è possibile controllare per quanto tempo vengono archiviati i log. Questo articolo illustra come scaricare i log attività in Microsoft Entra ID.

Prerequisiti

  • Per i requisiti di licenza e ruolo, vedere Monitoraggio e licenze per l'integrità di Microsoft Entra.
  • L'opzione per scaricare i log è disponibile in tutte le edizioni di Microsoft Entra ID.
  • Il download dei log a livello di codice con Microsoft Graph richiede una licenza Premium.
  • Lettore report è il ruolo con privilegi minimi necessari per visualizzare i log attività di Microsoft Entra.

Considerazioni sul download dei log

Prima di scaricare i log, esaminare le considerazioni e i suggerimenti seguenti:

  • Microsoft Entra ID supporta i formati seguenti per il download:
    • CSV
    • JSON
  • I timestamp nei file scaricati sono basati sull'ora UTC.
  • È possibile scaricare fino a 100.000 record di accesso o provisioning per ogni file.
  • È possibile scaricare fino a 250.000 record di controllo per ogni file.
  • Impostare il filtro prima di scaricare i log per restringere il set di dati.

Nota

Il servizio di download dell'interfaccia di amministrazione di Microsoft Entra si verifica il timeout se si tenta di scaricare set di dati di grandi dimensioni. In genere, i set di dati inferiori a 250.000 per i log di controllo e 100.000 per i log di accesso e provisioning funzionano bene con la funzionalità di download del browser.

Se si verificano problemi durante il completamento di download di grandi dimensioni nel browser, usare l'API di creazione report per scaricare i dati o inviare i log a un endpoint tramite le impostazioni di diagnostica.

Nota

Le colonne nei log scaricati non cambiano. L'output contiene tutti i dettagli del log di controllo o di accesso, indipendentemente dalle colonne personalizzate nell'interfaccia di amministrazione di Microsoft Entra. Se si imposta un filtro personalizzato, tuttavia, l'output nei log scaricati contiene solo i risultati corrispondenti al filtro.

Come scaricare i log attività

È possibile accedere ai log attività dalla sezione Monitoraggio e integrità di Microsoft Entra ID o dall'area di Microsoft Entra ID in cui si sta lavorando.

Ad esempio, se ci si trova nella sezione Gruppi o Licenze di Microsoft Entra ID, è possibile accedere ai log di controllo per tali attività specifiche direttamente da tale area. Quando si accede ai log di controllo in questo modo, le categorie di filtro vengono impostate automaticamente. Se ci si trova in Gruppi, la categoria di filtro del log di controllo è impostata su GroupManagement.

Screenshot dell'area licenze di Microsoft Entra ID con l'opzione Log di controllo evidenziata.

Log di audit

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.

  2. Passare a Identity Monitoring & health Audit logs (Log di controllo dell'integrità>e monitoraggio delle identità).>

  3. Selezionare Download.

  4. Nel pannello visualizzato selezionare il formato.

  5. Facoltativamente, specificare un nome di file univoco.

  6. Seleziona il pulsante Scarica. Il download elabora e invia il file al percorso di download predefinito.

    Screenshot del processo di download del log di controllo.

Log di accesso

Le opzioni illustrate in questa sezione sono allineate all'esperienza di anteprima per i log di accesso.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.

  2. Passare a Identity Monitoring & health Sign-in logs (Log di accesso per l'integrità>e monitoraggio delle identità).>

  3. Selezionare il pulsante Scarica e selezionare JSON o CSV.

    Screenshot delle opzioni del pulsante di download per i log di accesso.

  4. Facoltativamente, specificare un nome di file univoco per ogni file da scaricare.

  5. Selezionare il pulsante Scarica per uno o più log. Il download elabora e invia il file al percorso di download predefinito.

    • Accessi interattivi
    • Accessi interattivi con solo i dettagli di autenticazione inclusi
    • Accessi non interattivi
    • Accessi non interattivi con solo i dettagli di autenticazione inclusi
    • Accessi dell'applicazione
    • Identità gestita

    Screenshot delle opzioni di download per i log di accesso.

Log di provisioning

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.

  2. Passare a Identity Monitoring & health Provisioning logs (Log di provisioning dell'integrità>e monitoraggio delle identità).>

  3. Selezionare il pulsante Scarica e selezionare JSON o CSV.

  4. Facoltativamente, specificare un nome di file univoco per ogni file da scaricare.

  5. Selezionare il pulsante Scarica per uno o più log. Il download elabora e invia il file al percorso di download predefinito.

    • Log di provisioning
    • Provisioning dei log con i passaggi di provisioning
    • Log di provisioning con proprietà modificate

    Screenshot delle opzioni di download per i log di provisioning.