Så här analyserar du aktivitetsloggar med Microsoft Graph

Microsoft Entra-rapporterings-API :er ger dig programmatisk åtkomst till data via en uppsättning REST-API:er. Du kan anropa dessa API:er från många programmeringsspråk och verktyg.

Den här artikeln beskriver hur du analyserar Microsoft Entra-aktivitetsloggar med Microsoft Graph Explorer och Microsoft Graph PowerShell.

Förutsättningar

• En fungerande Microsoft Entra-klientorganisation med en Microsoft Entra ID P1- eller P2-licens som är associerad med den.
• Om du vill godkänna de behörigheter som krävs behöver du den privilegierade rolladministratören.

Få åtkomst till rapporter med Microsoft Graph Explorer

Med alla förutsättningar konfigurerade kan du köra aktivitetsloggfrågor i Microsoft Graph. Microsoft Graph API är inte utformat för att hämta stora mängder aktivitetsdata. Att hämta stora mängder aktivitetsdata med hjälp av API:et kan leda till problem med sidnumrering och prestanda. Mer information om Microsoft Graph-frågor för aktivitetsloggar finns i Översikt över API för aktivitetsrapporter.

1. Starta Microsoft Graph Explorer-verktyget.

2. Välj din profil och välj sedan Ändra behörigheter.

3. Medgivande till följande behörigheter som krävs:

   • AuditLog.Read.All
   • Directory.Read.All

4. Använd någon av följande frågor för att börja använda Microsoft Graph för att komma åt aktivitetsloggar:

   • FÅ https://graph.microsoft.com/v1.0/auditLogs/directoryAudits
   • FÅ https://graph.microsoft.com/v1.0/auditLogs/signIns
   • FÅ https://graph.microsoft.com/v1.0/auditLogs/provisioning
   • FÅ https://graph.microsoft.com/beta/auditLogs/signUps

   

Finjustera dina frågor

Om du vill söka efter specifika aktivitetsloggposter använder du frågeparametrarna $filter och createdDateTime med någon av de tillgängliga egenskaperna. Några av följande frågor använder beta slutpunkten. Betaslutpunkten kan komma att ändras och rekommenderas inte för produktionsanvändning.

• Inloggningsloggegenskaper
• Egenskaper för registreringslogg (förhandsversion)
• Egenskaper för granskningslogg

Exempel på inloggningsfrågor

Prova att använda följande frågor för inloggningsaktivitet:

• För inloggningsförsök där villkorsstyrd åtkomst misslyckades:

  • FÅ https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=conditionalAccessStatus eq 'failure'
  • Överväg att använda ett datumfilter så att förfrågan inte löper ut.

• Så här hittar du inloggningar till ett visst program under en viss tidsperiod:

  • FÅ https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and appId eq 'APP ID'

• För icke-interaktiva inloggningar:

  • FÅ https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'nonInteractiveUser')

• För inloggningar med tjänstens huvudnamn:

  • FÅ https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'servicePrincipal')

• För inloggningar med hanterad identitet:

  • FÅ https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'managedIdentity')

• Så här hämtar du autentiseringsmetoden för en användare:

  • FÅ https://graph.microsoft.com/beta/users/{userObjectId}/authentication/methods
  • Kräver UserAuthenticationMethod.Read.All behörighet

• Så här visar du rapporten med användarregistreringsinformation:

  • FÅ https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails
  • Kräver UserAuthenticationMethod.Read.All behörighet

• För registreringsinformation för specifik användare:

  • FÅ https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails/{userId}
  • Kräver UserAuthenticationMethod.Read.All behörighet

Exempel på registreringsfrågor (förhandsversion)

Prova att använda följande frågekommandon för registreringsaktivitet i din externa klientorganisation:

• Så här hittar du registreringsförsök som misslyckades eller avbröts under ett specifikt steg, till exempel att skapa användarobjekt:

  • FÅ https://graph.microsoft.com/beta/auditLogs/signUps?$filter=status/errorCode ne 0 and signUpStage eq 'userCreation'

• Så här hittar du registreringsförsök som misslyckades under e-postverifieringen:

  • FÅ https://graph.microsoft.com/beta/auditLogs/signUps?$filter=status/errorCode eq 1002013 and signUpStage eq 'credentialValidation'

  Anmärkning

  Felkod 1002013 anger ett förväntat (och lyckat) avbrott i registreringsflödet. Läs mer

• För registreringar under ett datumintervall:

  • FÅ https://graph.microsoft.com/beta/auditLogs/signUps?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z)

• För registreringar för ett specifikt program:

  • FÅ https://graph.microsoft.com/beta/auditLogs/signUps?$filter=appId eq 'AppId'

• För registreringar av lokala konton:

  • FÅ https://graph.microsoft.com/beta/auditLogs/signUps?$filter=signUpIdentityProvider eq 'Email OTP' or signUpIdentityProvider eq 'Email Password'

• För registreringar av sociala konton (Google i det här exemplet):

  • FÅ https://graph.microsoft.com/beta/auditLogs/signUps?$filter=signUpIdentityProvider eq ‘Google'

• Om du vill se poster för en viss användare, till exempel user@contoso.com:

  • FÅ https://graph.microsoft.com/beta/auditLogs/signUps?$filter=signUpIdentity/signUpIdentifier eq 'user@contoso.com'

• Så här hittar du poster som matchar ett specifikt korrelations-ID:

  • FÅ https://graph.microsoft.com/beta/auditLogs/signUps?$filter=correlationId eq 'CorrelationId'

• Så här hittar du inloggningsloggposterna som motsvarar en specifik registrering med korrelations-ID:t:

  • FÅ https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=correlationId eq 'CorrelationId'

Relaterade API:er

När du är bekant med standardloggarna för inloggning och granskning kan du prova att utforska dessa andra API:er:

• API:er för identitetsskydd
• Loggar för tilldelning API

Få åtkomst till rapporter med Microsoft Graph PowerShell

Du kan använda PowerShell för att komma åt Microsoft Entra-rapporterings-API:et. Mer information finns i Översikt över Microsoft Graph PowerShell.

Microsoft Graph PowerShell-cmdlets:

• Granskningsloggar:Get-MgAuditLogDirectoryAudit
• Inloggningsloggar:Get-MgAuditLogSignIn
• Etableringsloggar:Get-MgAuditLogProvisioning
• Utforska den fullständiga listan över rapporteringsrelaterade Microsoft Graph PowerShell-cmdletar.

Vanliga fel

Fel: Varken klientorganisationen är B2C eller så har klientorganisationen ingen premiumlicens: För åtkomst till inloggningsrapporter krävs en Microsoft Entra ID P1- eller P2-licens. Om du ser det här felmeddelandet vid åtkomst till inloggningar kontrollerar du att din klientorganisation är licensierad med en Microsoft Entra ID P1-licens.

Fel: Användaren har inte de tillåtna rollerna: Om du ser det här felmeddelandet när du försöker komma åt granskningsloggar eller inloggningar med hjälp av API:et kontrollerar du att ditt konto ingår i rollen Säkerhetsläsare eller Rapportläsare i din Microsoft Entra-klientorganisation.

Fel: Programmet saknar Microsoft Entra-ID:t "Läs katalogdata" eller "Läs alla granskningsloggdata"-behörighet: Programmet måste ha antingen AuditLog.Read.All eller Directory.Read.All behörighet att komma åt aktivitetsloggarna med Microsoft Graph.

Relaterat innehåll

• Kom igång med Microsoft Entra ID Protection och Microsoft Graph
• Revisionsgranska API-referens
• API signIn-referens
• API-registreringsreferens