Скачивание журналов в идентификаторе Microsoft Entra

  • Статья

Центр администрирования Microsoft Entra предоставляет доступ к трем типам журналов действий:

  • Операции входа — сведения об операциях входа и использовании ресурсов пользователями.
  • Аудит. Сведения об изменениях, применяемых к клиенту, например пользователям и управлению группами или обновлениям, примененным к ресурсам клиента.
  • Подготовка: действия, выполняемые службой подготовки, например создание группы в ServiceNow или пользователь, импортированный из Workday.

Идентификатор Microsoft Entra хранит журналы действий в течение определенного периода в зависимости от лицензии. Дополнительные сведения см. в статье о хранении данных Microsoft Entra. Скачав журналы, вы можете управлять тем, как долго хранятся журналы. В этой статье объясняется, как скачать журналы действий в идентификаторе Microsoft Entra.

Необходимые компоненты

  • Требования к лицензированию и роли см. в разделе "Мониторинг и лицензирование работоспособности Microsoft Entra".
  • Возможность скачивания журналов доступна во всех выпусках идентификатора Microsoft Entra.
  • Для программного скачивания журналов с помощью Microsoft Graph требуется лицензия premium.
  • Средство чтения отчетов — это наименее привилегированная роль, необходимая для просмотра журналов действий Microsoft Entra.

Рекомендации по загрузке журналов

Перед скачиванием журналов ознакомьтесь со следующими рекомендациями и советами.

  • Идентификатор Microsoft Entra поддерживает следующие форматы скачивания:
    • CSV
    • JSON
  • Метки времени в скачанных файлах основаны на формате UTC.
  • Вы можете скачать до 100 000 записей входа или подготовки для каждого файла.
  • Вы можете скачать до 250 000 записей аудита на файл.
  • Задайте фильтр перед загрузкой журналов, чтобы сузить набор данных.

Примечание.

Если вы пытаетесь скачать большие наборы данных, служба загрузки Центра администрирования Microsoft Entra будет истекать. Как правило, наборы данных меньше 250 000 для журналов аудита и 100 000 журналов входа и подготовки, хорошо работают с функцией скачивания браузера.

При возникновении проблем с большими загрузками в браузере используйте API отчетов для скачивания данных или отправки журналов в конечную точку с помощью параметров диагностики.

Примечание.

Столбцы в скачанных журналах не изменяются. Выходные данные содержат все сведения о журнале аудита или входа независимо от столбцов, настроенных в Центре администрирования Microsoft Entra. Однако при настройке настраиваемого фильтра выходные данные в скачанных журналах содержат только результаты, соответствующие фильтру.

Скачивание журналов действий

Вы можете получить доступ к журналам действий из раздела "Мониторинг и работоспособность " идентификатора Microsoft Entra ID или из области идентификатора Microsoft Entra, в котором вы работаете.

Например, если вы находитесь в разделе "Группы или лицензии " идентификатора Microsoft Entra ID, вы можете получить доступ к журналам аудита для этих конкретных действий непосредственно из этой области. При доступе к журналам аудита таким образом категории фильтров автоматически задаются. Если вы находитесь в группах, для категории фильтра журнала аудита задано значение GroupManagement.

Снимок экрана: область лицензий идентификатора Microsoft Entra с выделенным параметром

Журналы аудита

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.

  2. Перейдите к журналам мониторинга удостоверений и аудита работоспособности>>.

  3. Щелкните Скачать.

  4. На открывающейся панели выберите формат.

  5. При необходимости укажите уникальное имя файла.

  6. Нажмите кнопку Загрузить. Скачивание обрабатывает и отправляет файл в расположение загрузки по умолчанию.

    Снимок экрана: процесс скачивания журнала аудита.

Журналы входа

Параметры, описанные в этом разделе, соответствуют предварительному просмотру журналов входа.

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.

  2. Перейдите к журналам мониторинга удостоверений и работоспособности>>входа.

  3. Нажмите кнопку "Скачать " и выберите JSON или CSV.

    Снимок экрана: параметры кнопки скачивания для журналов входа.

  4. При необходимости укажите уникальное имя файла для каждого файла, который необходимо скачать.

  5. Нажмите кнопку "Скачать" для одного или нескольких журналов. Скачивание обрабатывает и отправляет файл в расположение загрузки по умолчанию.

    • интерактивные операции входа;
    • Интерактивные входы с только сведениями о проверке подлинности, включенными
    • неинтерактивные операции входа;
    • Неинтерактивные входы с только сведениями о проверке подлинности, включенными
    • Входы в приложение
    • Управляемое удостоверение

    Снимок экрана: параметры скачивания для журналов входа.

Журналы подготовки

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.

  2. Перейдите к журналам мониторинга удостоверений и подготовки работоспособности>>.

  3. Нажмите кнопку "Скачать " и выберите JSON или CSV.

  4. При необходимости укажите уникальное имя файла для каждого файла, который необходимо скачать.

  5. Нажмите кнопку "Скачать" для одного или нескольких журналов. Скачивание обрабатывает и отправляет файл в расположение загрузки по умолчанию.

    • Журналы подготовки
    • Журналы подготовки с помощью шагов подготовки
    • Подготовка журналов с измененными свойствами

    Снимок экрана: параметры скачивания для журналов подготовки.