Como baixar logs no Microsoft Entra ID

O centro de administração do Microsoft Entra fornece acesso a três tipos de logs de atividades:

  • Entradas: informações sobre entradas e como seus recursos são usados por seus usuários.
  • Auditoria: informações sobre as alterações aplicadas ao seu locatário, como usuários e gerenciamento de grupo ou atualizações aplicadas aos recursos do locatário.
  • Provisionamento: atividades executadas por um serviço de provisionamento, como a criação de um grupo no ServiceNow ou um usuário importado do Workday.

O Microsoft Entra ID armazena os dados nesses logs por um período limitado. Como administrador de TI, você pode fazer o download de seus logs de atividades e para ter um backup de longo prazo. Este artigo explica como fazer o download de logs de atividades no Microsoft Entra ID.

Pré-requisitos

A opção de fazer o download dos dados de um log de atividades está disponível em todas as edições do Microsoft Entra ID. Você também pode fazer o download de logs de atividades usando o Microsoft Graph. No entanto, baixar logs programaticamente requer uma licença Premium.

As funções e as licenças necessárias podem variar de acordo com o relatório. Permissões separadas são necessárias para acessar dados de monitoramento e integridade no Microsoft Graph. Recomendamos usar uma função com acesso de privilégio mínimo para se alinhar às diretrizes de Confiança Zero.

Log/Relatório Funções Licenças
Auditoria Leitor de relatórios
Leitor de segurança
Administrador de segurança
Leitor global
Todas as edições do Microsoft Entra ID
Entradas Leitor de relatórios
Leitor de segurança
Administrador de segurança
Leitor global
Todas as edições do Microsoft Entra ID
Provisionamento Leitor de relatórios
Leitor de segurança
Administrador de segurança
Leitor global
Operador de Segurança
Administrador de Aplicativos
Administrador de Aplicativos de Nuvem
Microsoft Entra ID P1 ou P2
Logs de auditoria de atributos de segurança personalizados* Administrador de Log de Atributos
Leitor de Log de Atributos
Todas as edições do Microsoft Entra ID
Uso e insights Leitor de relatórios
Leitor de segurança
Administrador de segurança
Microsoft Entra ID P1 ou P2
Identity Protection** Administrador de segurança
Operador de Segurança
Leitor de segurança
Leitor global
Microsoft Entra ID Gratuito
Microsoft 365 Apps
Microsoft Entra ID P1 ou P2
Logs de atividade do Microsoft Graph Administrador de segurança
Permissões para acessar dados no destino de log correspondente
Microsoft Entra ID P1 ou P2

*A exibição dos atributos de segurança personalizados nos logs de auditoria ou a criação de configurações de diagnóstico para atributos de segurança personalizados exige uma das funções do Log de Atributos. Você também precisa ter a função apropriada para visualizar os logs de auditoria padrão.

**O nível de acesso e as funcionalidades do Identity Protection variam de acordo com a função e a licença. Para obter mais informações, consulte os requisitos de licença do Identity Protection.

Detalhes do download de log

O Microsoft Entra ID armazena logs de atividades por um período específico. Para obter mais informações, confira Por quanto tempo Microsoft Entra ID armazena dados de relatório? Ao baixar os logs, você pode controlar por quanto tempo os logs são armazenados.

  • O Microsoft Entra ID suporta os seguintes formatos para download:

    • CSV
    • JSON
  • Os carimbos de data/hora nos arquivos baixados são baseados em UTC.

  • Para grandes conjuntos de dados (> 250.000 registros), será necessário usar a API de relatórios para baixar os dados.

    Observação

    Problemas ao baixar grandes conjuntos de dados
    A ferramenta de download do portal do Azure não funcionará se você tentar baixar grandes conjuntos de dados. Em geral, conjuntos de dados menores que 250.000 registros funcionam bem com o recurso de download do navegador. Se você enfrentar problemas ao fazer grandes downloads no navegador, deverá usar a API de relatório para baixar os dados.

Como baixar logs de atividades

Você pode acessar os logs de atividades na seção Monitoramento do Microsoft Entra ID ou na página Usuários do Microsoft Entra ID. Se você exibir os logs de auditoria na página Usuários, a categoria de filtro será definida como UserManagement. Da mesma forma, se você exibir os logs de auditoria na página Grupos, a categoria de filtro será definida como GroupManagement. Independentemente de como você acessa os logs de atividades, seu download é baseado no filtro que definiu.

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.
  2. Navegue até Identidade>Monitoramento e integridade>Logs de auditoria/Logs de entrada/Logs de provisionamento.
  3. Selecione Baixar.
    • Para logs de auditoria e entrada, é exibida uma janela onde você selecionará o formato de download (CSV ou JSON).
    • Para provisionar logs, você selecionará o formato de download (CSV de JSON) no botão Baixar.
    • Você pode alterar o Nome do Arquivo do download.
    • Selecione o botão Baixar .
  4. O download processa e envia o arquivo para o local de download padrão.

A captura de tela a seguir mostra a janela de download do processo de download de logs de auditoria e entrada. Screenshot of the audit log download process.

A captura de tela a seguir mostra as opções de menu para o processo de download do log de provisionamento. Screenshot of the provisioning log download button options.

Se o locatário habilitou a visualização de logs de início de sessão, mais opções estarão disponíveis depois de selecionar Download. A visualização de logs de entrada inclui credenciais de usuário interativas e não interativas, credenciais de entidade de serviço e credenciais de identidade gerenciada. Screenshot of the download options for the sign-in logs preview.

Próximas etapas