Jak pobrać dzienniki w identyfikatorze Entra firmy Microsoft

  • Artykuł

Centrum administracyjne firmy Microsoft Entra zapewnia dostęp do trzech typów dzienników aktywności:

  • Logowania: informacje o logowaniach i sposobie wykorzystywania zasobów przez użytkowników.
  • Inspekcja: informacje o zmianach zastosowanych do dzierżawy, takich jak zarządzanie użytkownikami i grupami lub aktualizacje zastosowane do zasobów dzierżawy.
  • Aprowizowanie: działania wykonywane przez usługę aprowizacji, takie jak tworzenie grupy w usłudze ServiceNow lub użytkownik zaimportowany z produktu Workday.

Microsoft Entra ID przechowuje dzienniki aktywności przez określony okres, w zależności od licencji. Aby uzyskać więcej informacji, zobacz Microsoft Entra data retention (Przechowywanie danych w usłudze Microsoft Entra). Pobierając dzienniki, możesz kontrolować, jak długo są przechowywane dzienniki. W tym artykule wyjaśniono, jak pobrać dzienniki aktywności w usłudze Microsoft Entra ID.

Wymagania wstępne

  • Aby uzyskać informacje o wymaganiach dotyczących licencji i ról, zobacz Microsoft Entra monitoring and health licensing (Licencjonowanie monitorowania i kondycji firmy Microsoft).
  • Opcja pobierania dzienników jest dostępna we wszystkich wersjach identyfikatora Entra firmy Microsoft.
  • Programowe pobieranie dzienników za pomocą programu Microsoft Graph wymaga licencji Premium.
  • Czytelnik raportów jest najmniej uprzywilejowaną rolą wymaganą do wyświetlania dzienników aktywności firmy Microsoft Entra.

Zagadnienia dotyczące pobierania dzienników

Przed pobraniem dzienników zapoznaj się z następującymi zagadnieniami i wskazówkami:

  • Identyfikator Entra firmy Microsoft obsługuje następujące formaty pobierania:
    • CSV
    • JSON
  • Znaczniki czasu w pobranych plikach są oparte na formacie UTC.
  • Możesz pobrać maksymalnie 100 000 rekordów logowania lub aprowizacji na plik.
  • Możesz pobrać maksymalnie 250 000 rekordów inspekcji na plik.
  • Ustaw filtr przed pobraniem dzienników, aby zawęzić zestaw danych.

Uwaga

W przypadku próby pobrania dużych zestawów danych usługa pobierania centrum administracyjnego firmy Microsoft Entra upłynął limit czasu. Ogólnie rzecz biorąc, zestawy danych mniejsze niż 250 000 dla dzienników inspekcji i 100 000 dzienników logowania i aprowizacji działają dobrze z funkcją pobierania przeglądarki.

Jeśli napotkasz problemy z kończeniem dużych pobrań w przeglądarce, użyj interfejsu API raportowania, aby pobrać dane lub wysłać dzienniki do punktu końcowego za pomocą ustawień diagnostycznych.

Uwaga

Kolumny w pobranych dziennikach nie ulegają zmianie. Dane wyjściowe zawierają wszystkie szczegóły dziennika inspekcji lub logowania, niezależnie od kolumn dostosowanych w centrum administracyjnym firmy Microsoft Entra. Jeśli jednak ustawisz filtr niestandardowy, dane wyjściowe w pobranych dziennikach zawierają tylko wyniki zgodne z filtrem.

Jak pobrać dzienniki aktywności

Dostęp do dzienników aktywności można uzyskać w sekcji Monitorowanie i kondycja identyfikatora Entra firmy Microsoft lub z obszaru identyfikatora Entra firmy Microsoft, w którym pracujesz.

Jeśli na przykład jesteś w sekcji Grupy lub licencje identyfikatora Entra firmy Microsoft, możesz uzyskać dostęp do dzienników inspekcji dla tych konkretnych działań bezpośrednio z tego obszaru. Gdy uzyskujesz dostęp do dzienników inspekcji w ten sposób, kategorie filtrów są ustawiane automatycznie. Jeśli jesteś w grupach, kategoria filtru dziennika inspekcji jest ustawiona na GroupManagement.

Zrzut ekranu przedstawiający obszar licencji identyfikatora Entra firmy Microsoft z wyróżnioną opcją Dzienniki inspekcji.

Dzienniki inspekcji

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.

  2. Przejdź do obszaru Monitorowanie tożsamości>i dzienniki inspekcji kondycji.>

  3. Wybierz Pobierz.

  4. W wyświetlonym panelu wybierz pozycję Format.

  5. Opcjonalnie podaj unikatową nazwę pliku.

  6. Wybierz przycisk Pobierz. Pobieranie przetwarza i wysyła plik do domyślnej lokalizacji pobierania.

    Zrzut ekranu przedstawiający proces pobierania dziennika inspekcji.

Dzienniki logowania

Opcje omówione w tej sekcji są zgodne ze środowiskiem podglądu dzienników logowania.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.

  2. Przejdź do dzienników logowania do monitorowania tożsamości>i kondycji.>

  3. Wybierz przycisk Pobierz i wybierz plik JSON lub CSV.

    Zrzut ekranu przedstawiający opcje przycisku pobierania dzienników logowania.

  4. Opcjonalnie podaj unikatową nazwę pliku dla każdego pliku, który należy pobrać.

  5. Wybierz przycisk Pobierz dla co najmniej jednego dziennika. Pobieranie przetwarza i wysyła plik do domyślnej lokalizacji pobierania.

    • Logowanie interakcyjne
    • Logowanie interakcyjne z dołączonymi tylko szczegółami uwierzytelniania
    • Logowania nieinterakcyjne
    • Logowania nieinterakcyjne z dołączonymi tylko szczegółami uwierzytelniania
    • Logowania aplikacji
    • Tożsamość zarządzana

    Zrzut ekranu przedstawiający opcje pobierania dzienników logowania.

Dzienniki aprowizowania

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.

  2. Przejdź do dzienników monitorowania tożsamości>i aprowizacji kondycji.>

  3. Wybierz przycisk Pobierz i wybierz plik JSON lub CSV.

  4. Opcjonalnie podaj unikatową nazwę pliku dla każdego pliku, który należy pobrać.

  5. Wybierz przycisk Pobierz dla co najmniej jednego dziennika. Pobieranie przetwarza i wysyła plik do domyślnej lokalizacji pobierania.

    • Dzienniki aprowizowania
    • Aprowizowanie dzienników przy użyciu kroków aprowizacji
    • Aprowizowanie dzienników z zmodyfikowanymi właściwościami

    Zrzut ekranu przedstawiający opcje pobierania dzienników aprowizacji.