Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Журналы действий Microsoft Entra включают журналы аудита, которые являются исчерпывающим отчетом о каждом зарегистрированном событии в идентификаторе Microsoft Entra. Изменения приложений, групп, пользователей и лицензий фиксируются в журналах аудита Microsoft Entra.
Три других журнала действий также доступны для мониторинга работоспособности вашего клиента:
- Операции входа — сведения об операциях входа и использовании ресурсов пользователями.
- Регистрация (предварительная версия) — только для внешних клиентов сведения обо всех попытках самостоятельной регистрации, включая успешные регистрации и неудачные попытки.
- Подготовка — действия, выполняемые службой подготовки к работе, например создание группы в ServiceNow или импорт пользователей из Workday.
В этой статье представлен обзор журналов аудита, такую, как информация, которую они предоставляют, и на какие вопросы они могут ответить.
Что можно сделать с журналами аудита?
Журналы аудита в идентификаторе Microsoft Entra предоставляют доступ к записям системных действий, часто необходимым для соответствия требованиям. Вы можете получить ответы на вопросы, связанные с пользователями, группами и приложениями.
Пользователи.
- Какие типы изменений были недавно применены к пользователям?
- Сколько пользователей было изменено?
- Сколько паролей было изменено?
Группы.
- Какие группы были добавлены недавно?
- Изменены ли владельцы групп?
- Какие лицензии относятся к группе или пользователю?
Приложения.
- Какие приложения были обновлены или удалены?
- Изменилcя ли субъект-служба для приложения?
- Изменены ли имена приложений?
Настраиваемые атрибуты безопасности:
- Какие изменения были внесены в определения или назначения настраиваемых атрибутов безопасности?
- Какие обновления были сделаны для наборов атрибутов?
- Какие пользовательские значения атрибутов были назначены пользователю?
Агенты:
- Какие операции выполнялись определенным агентом?
- Какие изменения были внесены в учётную запись службы агента?
- Какие сведения об идентификаторе агента были изменены?
Примечание.
Записи в журналах аудита создаются системой и не могут быть изменены или удалены.
Что отображается в журналах?
Журналы аудита отображают важные сведения о действиях в тенанте. Ключевые сведения отображаются на первый взгляд в таблице, с дополнительными сведениями, доступными путем выбора определенной записи журнала. Центр администрирования Microsoft Entra по умолчанию использует вкладку каталога, в которой отображаются следующие сведения:
- дата и время события;
- служба, которая зарегистрировала событие;
- Категория и имя действия
- Статус деятельности
Выбрав определенную запись журнала, вы получите еще больше сведений, например:
- Идентификатор корреляции для устранения неполадок
- Сведения об субъекте или целевом ресурсе, связанном с действием
- Где применимо, старые и новые значения для измененных свойств
Примечание.
В сведениях журнала аудита IP-адрес отражает IP-адрес клиента OAuth. IP-адрес — это одноранговый TCP узел конечной точки службы.
Во второй вкладке Пользовательская безопасность отображаются журналы аудита пользовательских атрибутов безопасности. Чтобы просмотреть данные на этой вкладке, необходимо иметь роль администратора журнала атрибутов или средства чтения журналов атрибутов. В этом журнале аудита показаны все действия, связанные с пользовательскими атрибутами безопасности. Дополнительные сведения см. в разделе "Что такое настраиваемые атрибуты безопасности".
Полный список доступных действий аудита см. в справочнике по действиям аудита.
Журналы действий Microsoft 365
Журналы действий Microsoft 365 можно просматривать в центре администрирования Microsoft 365. Несмотря на то что журналы действий Microsoft 365 и журналы действий Microsoft Entra используют множество ресурсов каталога, только Центр администрирования Microsoft 365 предоставляет полное представление журналов действий Microsoft 365.
Вы также можете получить программный доступ к журналам действий Microsoft 365 с помощью API управления Office 365.
Большинство автономных или пакетных подписок Microsoft 365 имеют внутренние зависимости от некоторых подсистем в границах центра обработки данных Microsoft 365. Для этих зависимостей требуется обратная запись данных, чтобы обеспечить синхронизацию каталогов и, по сути, обеспечить беспроблемное подключение в подписке для Exchange Online. Для этих записей в журналах аудита отображаются действия, выполняемые Microsoft Substrate Management. Эти записи журнала аудита ссылаются на операции создания, обновления и удаления, выполняемые Exchange Online для Microsoft Entra ID. Записи являются информационными и не требуют никаких действий.
Связанное содержимое
- Справочник по аудиторской деятельности
- журналы действий Access
- Настройка и фильтрация журналов действий