Så här laddar du ned loggar i Microsoft Entra-ID

  • Artikel

Administrationscentret för Microsoft Entra ger dig åtkomst till tre typer av aktivitetsloggar:

  • Inloggningar: Information om inloggningar och hur dina resurser används av användarna.
  • Granskning: Information om ändringar som tillämpas på din klientorganisation, till exempel användare och grupphantering eller uppdateringar som tillämpas på klientorganisationens resurser.
  • Etablering: Aktiviteter som utförs av en etableringstjänst, till exempel skapandet av en grupp i ServiceNow eller en användare som importerats från Workday.

Microsoft Entra ID lagrar aktivitetsloggar under en viss period, beroende på din licens. Mer information finns i Microsoft Entra-datakvarhållning. Genom att ladda ned loggarna kan du styra hur länge loggarna lagras. Den här artikeln beskriver hur du laddar ned aktivitetsloggar i Microsoft Entra-ID.

Förutsättningar

  • Licens- och rollkrav finns i Microsoft Entra-övervakning och hälsolicensiering.
  • Alternativet för att ladda ned loggar finns i alla utgåvor av Microsoft Entra ID.
  • För att ladda ned loggar programmatiskt med Microsoft Graph krävs en premiumlicens.
  • Rapportläsare är den minst privilegierade roll som krävs för att visa Microsoft Entra-aktivitetsloggar.

Överväganden vid loggnedladdning

Innan du laddar ned loggar bör du läsa följande överväganden och tips:

  • Microsoft Entra-ID har stöd för följande format för nedladdningen:
    • CSV
    • JSON
  • Tidsstämplar i de nedladdade filerna baseras på UTC.
  • Du kan ladda ned upp till 100 000 inloggnings- eller etableringsposter per fil.
  • Du kan ladda ned upp till 250 000 granskningsposter per fil.
  • Ange filtret innan du laddar ned loggarna för att begränsa datamängden.

Kommentar

Nedladdningstjänsten för Microsoft Entra-administrationscentret överskrider tidsgränsen om du försöker ladda ned stora datamängder. I allmänhet fungerar datauppsättningar som är mindre än 250 000 för granskningsloggar och 100 000 för inloggnings- och etableringsloggar bra med nedladdningsfunktionen i webbläsaren.

Om du har problem med att slutföra stora nedladdningar i webbläsaren använder du rapport-API:et för att ladda ned data eller skicka loggarna till en slutpunkt via diagnostikinställningar.

Kommentar

Kolumnerna i de nedladdade loggarna ändras inte. Utdata innehåller all information om gransknings- eller inloggningsloggen, oavsett vilka kolumner du har anpassat i administrationscentret för Microsoft Entra. Om du anger ett anpassat filter innehåller dock utdata i de nedladdade loggarna endast de resultat som matchar filtret.

Ladda ned aktivitetsloggar

Du kan komma åt aktivitetsloggarna från avsnittet Övervakning och hälsa i Microsoft Entra-ID eller från området för Microsoft Entra-ID där du arbetar.

Om du till exempel är i avsnittet Grupper eller licenser i Microsoft Entra-ID kan du komma åt granskningsloggarna för de specifika aktiviteterna direkt från det området. När du kommer åt granskningsloggarna på det här sättet anges filterkategorierna automatiskt. Om du är i Grupper är kategorin för granskningsloggfilter inställd på GroupManagement.

Skärmbild av licensområdet för Microsoft Entra-ID med alternativet Granskningsloggar markerat.

Granskningsloggar

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

  1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.

  2. Bläddra till Identitetsövervakning>och hälsogranskningsloggar.>

  3. Välj Hämta.

  4. I panelen som öppnas väljer du Format.

  5. Du kan också ange ett unikt filnamn.

  6. Välj knappen ladda ned. Nedladdningen bearbetar och skickar filen till din standardplats för nedladdning.

    Skärmbild av nedladdningsprocessen för granskningsloggen.

Inloggningsloggar

De alternativ som beskrivs i det här avsnittet överensstämmer med förhandsversionen för inloggningsloggar.

  1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.

  2. Bläddra till Loggar för identitetsövervakning>och hälsoinloggning.>

  3. Välj knappen Ladda ned och välj antingen JSON eller CSV.

    Skärmbild av alternativen för nedladdningsknappen för inloggningsloggar.

  4. Du kan också ange ett unikt filnamn för varje fil som du behöver ladda ned.

  5. Välj knappen Ladda ned för en eller flera av loggarna. Nedladdningen bearbetar och skickar filen till din standardplats för nedladdning.

    • Interaktiva inloggningar
    • Interaktiva inloggningar med endast autentiseringsinformationen inkluderad
    • Icke-interaktiva inloggningar
    • Icke-interaktiva inloggningar med endast autentiseringsinformationen inkluderad
    • Programinloggningar
    • Hanterad identitet

    Skärmbild av nedladdningsalternativen för inloggningsloggarna.

Etableringsloggar

  1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.

  2. Bläddra till Loggar för identitetsövervakning>och hälsoetablering.>

  3. Välj knappen Ladda ned och välj antingen JSON eller CSV.

  4. Du kan också ange ett unikt filnamn för varje fil som du behöver ladda ned.

  5. Välj knappen Ladda ned för en eller flera av loggarna. Nedladdningen bearbetar och skickar filen till din standardplats för nedladdning.

    • Etableringsloggar
    • Etableringsloggar med etableringsstegen
    • Etableringsloggar med ändrade egenskaper

    Skärmbild av nedladdningsalternativen för etableringsloggarna.