Os logs de entrada são uma ferramenta comumente utilizada para solucionar os problemas de acesso do usuário e investigar atividades de entrada suspeitas. Os logs de auditoria coletam todos os eventos registrados em log no Microsoft Entra ID e podem ser utilizados para investigar alterações no ambiente. Existem mais de 30 colunas que podem ser escolhidas para personalizar a exibição dos logs de entrada no centro de administração do Microsoft Entra. Os logs de auditoria e de provisionamento também podem ser personalizados e filtrados de acordo com suas necessidades.
Este artigo mostra como personalizar as colunas e, em seguida, filtrar os logs para encontrar as informações de que você precisa com mais eficiência.
As funções e as licenças necessárias podem variar de acordo com o relatório. Permissões separadas são necessárias para acessar dados de monitoramento e integridade no Microsoft Graph. Recomendamos usar uma função com acesso de privilégio mínimo para se alinhar às diretrizes de Confiança Zero. Para obter uma lista completa de funções, consulte Funções com privilégios mínimos por tarefa.
*A exibição dos atributos de segurança personalizados nos logs de auditoria ou a criação de configurações de diagnóstico para atributos de segurança personalizados exige uma das funções do Log de Atributos. Você também precisa ter a função apropriada para visualizar os logs de auditoria padrão.
**O nível de acesso e as funcionalidades do Microsoft Entra ID Protection variam conforme a função e a licença. Para obter mais informações, consulte os requisitos de licença do ID Protection.
Com as informações dos logs de auditoria do Microsoft Entra, é possível acessar todos os registros de atividades do sistema para fins de conformidade. Os logs de auditoria podem ser acessados na seção Monitoramento e integridade do Microsoft Entra ID, onde é possível classificar e filtrar cada categoria e atividade. Também é possível acessar os logs de auditoria na área do centro de administração referente ao serviço que estiver sendo investigado.
Por exemplo, se você estiver examinando as alterações em grupos do Microsoft Entra, poderá acessar os Logs de auditoria em Microsoft Entra ID>Grupos. Quando você acessa os logs de auditoria do serviço, o filtro é ajustado automaticamente, de acordo com o serviço.
Personalizar o layout dos logs de auditoria
Personalize as colunas nos logs de auditoria para exibir apenas as informações de log necessárias. As colunas Serviço, Categoria e Atividade estão relacionadas entre si, portanto, essas colunas devem estar sempre visíveis.
Filtrar os logs de auditoria
Quando você filtra os logs por Serviço, os detalhes de Categoria e Atividade são alterados automaticamente. Em alguns casos, pode haver apenas uma categoria ou atividade. Para obter uma tabela detalhada de todas as possíveis combinações desses detalhes, consulte Atividades de auditoria.
Serviço: por padrão, mostra todos os serviços disponíveis, mas você pode filtrar a lista para um ou mais serviços, selecionando uma opção na lista suspensa.
Categoria: por padrão, mostra todas as categorias, mas pode ser filtrada para exibir a categoria da atividade, como alteração de uma política ou ativação de uma função qualificada do Microsoft Entra.
Atividade: baseada na seleção do tipo de recurso de categoria e atividade que você faz. Selecione uma atividade específica que deseja exibir ou escolha todas.
Você pode obter a lista de todas as atividades de auditoria utilizando a API do Microsoft Graph: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
Status: permite que você examine o resultado com base no sucesso ou na falha da atividade.
Destino: permite que você pesquise o destino ou destinatário de uma atividade. Pesquise pelas primeiras letras de um nome ou UPN (nome principal do usuário). O nome de destino e o UPN diferenciam maiúsculas de minúsculas.
Iniciado por: permite pesquisar por quem iniciou a atividade usando as primeiras letras do nome ou UPN. O nome e o UPN diferenciam maiúsculas de minúsculas.
Intervalo de datas: permite definir um período para os dados retornados. Você pode pesquisar os últimos 7 dias, 24 horas ou um intervalo personalizado. Quando você selecionar um tempo personalizado, poderá configurar uma hora de início e uma hora de término.
Na página de logs de entrada, é possível alternar entre quatro tipos.
Personalizar o layout dos logs de entrada
Personalize as colunas para o log de entrada interativo do usuário utilizando mais de 30 opções de colunas. Para visualizar o log de entrada com mais eficiência, dedique alguns minutos à personalização da exibição, de acordo com suas necessidades.
- Selecione Colunas no menu na parte superior do log.
- Selecione as colunas que você quer exibir e selecione o botão Salvar na parte inferior da janela.
Filtrar os logs de entrada
Filtrar os logs de entrada é uma maneira útil de encontrar rapidamente os logs que correspondem a um cenário específico. Por exemplo, você pode filtrar a lista para exibir apenas as entradas que ocorreram em uma localização geográfica específica, de um sistema operacional específico ou de um tipo específico de credencial.
Algumas opções de filtro solicitam que você selecione mais opções. Siga os prompts a fim de selecionar o que for necessário para o filtro. Você pode adicionar vários filtros.
Selecione o botão Adicionar filtros, escolha uma opção de filtro e clique em Aplicar.
Insira um detalhe específico, como um ID de solicitação, ou selecione outra opção de filtro.
Você pode filtrar por vários detalhes. A tabela a seguir descreve alguns filtros comumente utilizados. Nem todas as opções de filtro estão descritas.
Filtro |
Descrição |
ID de solicitação |
Identificador exclusivo para uma solicitação de entrada |
ID de Correlação |
Identificador exclusivo para todas as solicitações de entrada que fizerem parte de uma única tentativa de entrada |
Usuário |
O UPN (nome principal do usuário) do usuário |
Aplicativo |
O aplicativo de destino da solicitação de entrada |
Status |
As opções são Bem-sucedida, Falha e Interrompida |
Recurso |
O nome do serviço utilizado para a entrada |
Endereço IP |
O endereço IP do cliente utilizado para a entrada |
Acesso Condicional |
As opções são Não aplicado, Bem-sucedido e Falha |
Agora que a tabela de registros em logs está formatada de acordo com suas necessidades, é possível analisar os dados com mais eficiência. Outras análises e retenção de dados de credenciais podem ser realizadas com a exportação dos logs para outras ferramentas.
Personalizar as colunas e ajustar o filtro ajuda a examinar os logs com características semelhantes. Para ver os detalhes de uma entrada, selecione uma linha na tabela para abrir o painel Detalhes da atividade. Existem várias guias no painel para explorar. Para obter mais informações, consulte Detalhes da atividade do log de entrada.
Filtro do aplicativo cliente
Ao examinar qual foi a origem de um início de sessão, pode ser necessário usar o filtro Aplicativo cliente. O aplicativo cliente tem duas subcategorias: Clientes de autenticação Moderna e Clientes de autenticação Herdada. Os clientes de autenticação moderna têm mais duas subcategorias: Navegador e Aplicativos móveis e clientes da área de trabalho. Há várias subcategorias para clientes de autenticação herdada, definidas na tabela Detalhes do cliente de autenticação herdada.
As entradas do Navegador incluem todas as tentativas de entrada por navegadores da Web. Ao exibir os detalhes de uma entrada em um navegador, a guia Informações básicas mostrará Aplicativo cliente: Navegador.
Na guia Informações do dispositivo, Navegador mostra os detalhes do navegador da Web. O tipo e a versão do navegador estão listados, mas, em alguns casos, o nome e a versão do navegador não estão disponíveis. Você pode ver algo como Rich Client 4.0.0.0.
Detalhes do cliente de autenticação herdada
A tabela a seguir fornece os detalhes de cada uma das opções do Cliente de autenticação herdada.
Nome |
Descrição |
SMTP autenticado |
Usado por clientes POP e IMAP para enviar mensagens de email. |
Descoberta automática |
Usada pelos clientes do Outlook e do EAS para localizar e se conectar às caixas de correio no Exchange Online. |
Exchange ActiveSync |
Esse filtro mostra todas as tentativas de entrada em que tentaram usar o protocolo EAS. |
Exchange ActiveSync |
Mostra todas as tentativas de entrada de usuários com aplicativos cliente usando o Exchange ActiveSync para se conectar ao Exchange Online |
Exchange Online PowerShell |
Usado para se conectar ao Exchange Online com o PowerShell remoto. Se você bloquear a autenticação básica para o Exchange Online PowerShell, será necessário usar o módulo do PowerShell do Exchange Online para se conectar. Para obter instruções, confira Conectar ao PowerShell do Exchange Online usando a autenticação multifator. |
Serviços Web do Exchange |
Uma interface de programação usada pelo Outlook, pelo Outlook para Mac e por aplicativos de terceiros. |
IMAP4 |
Um cliente de email herdado usando o IMAP para recuperar o email. |
MAPI via HTTP |
Usado pelo Outlook 2010 e versões posteriores. |
Catálogo de endereços offline |
Uma cópia das coleções de listas de endereços que são baixadas e usadas pelo Outlook. |
Outlook em Qualquer Lugar (RPC via HTTP) |
Usado pelo Outlook 2016 e versões anteriores. |
Serviço do Outlook |
Usado pelo aplicativo Email e Calendário para Windows 10. |
POP3 |
Um cliente de email herdado usando o POP3 para recuperar emails. |
Serviços Web para relatórios |
Usados para recuperar dados de relatórios no Exchange Online. |
Outros clientes |
Mostra todas as tentativas de entrada de usuários em que o aplicativo cliente não está incluído ou é desconhecido. |
Para exibir com mais eficiência o log de provisionamento, passe alguns instantes personalizando a exibição para atender às suas necessidades. Você pode especificar quais colunas incluir e filtrar os dados para restringi-los.
Personalizar o layout
O log de provisionamento tem uma exibição padrão, mas você pode personalizar as colunas.
- Selecione Colunas no menu na parte superior do log.
- Selecione as colunas que você quer exibir e selecione o botão Salvar na parte inferior da janela.
Filtrar os resultados
Quando você filtra os dados de provisionamento, alguns valores de filtro são preenchidos dinamicamente com base no seu locatário. Por exemplo, se você não tiver nenhum evento "criar" no seu locatário, a opção de filtro = Criar não estará disponível.
O filtro Identidade permite especificar o nome ou a identidade que você quiser. Essa identidade pode ser um usuário, grupo, função ou outro objeto.
Você pode Pesquisar pelo nome ou ID do objeto. A ID varia de acordo com o cenário.
- Se você estiver provisionando um objeto do Microsoft Entra ID para o Salesforce, a ID de origem será a ID do objeto do usuário no Microsoft Entra ID. A ID de destino é a ID do usuário no Salesforce.
- Se você estiver provisionando do Workday para o Microsoft Entra ID, a ID de origem será a ID do funcionário registrado no Workday. A ID de destino é a ID do usuário no Microsoft Entra ID.
- Se você estiver provisionando usuários para sincronização entre locatários, a ID de origem será a ID do usuário no locatário de origem. A ID de destino é a ID do usuário no locatário de destino.
Observação
O nome do usuário nem sempre está presente na coluna Identidade. Mas sempre haverá uma ID.
O filtro Data permite definir um período para os dados retornados. Os valores possíveis são:
- Um mês
- Sete dias
- 30 dias
- 24 horas
- Intervalo de tempo personalizado (configurar uma data de início e uma data de término)
O filtro Status permite que você selecione:
- Tudo
- Êxito
- Falha
- Ignorado
O filtro Ação permite filtrar estas ações:
- Criar
- Atualizar
- Excluir
- Desabilitar
- Outra
Além dos filtros da exibição padrão, você pode definir os filtros abaixo.
ID do trabalho: uma ID de trabalho exclusiva é associada a cada aplicativo para o qual você habilitou o provisionamento.
ID do ciclo: a ID do ciclo identifica o ciclo de provisionamento. Você pode compartilhar essa ID com o suporte ao produto para pesquisar o ciclo no qual esse evento ocorreu.
ID da alteração: a ID da alteração é um identificador exclusivo para o evento de provisionamento. Você pode compartilhar essa ID com o suporte do produto para pesquisar o evento de provisionamento.
Sistema de origem: você pode especificar a partir de onde a identidade está sendo provisionada. Por exemplo, quando você estiver provisionando um objeto do Microsoft Entra ID para o ServiceNow, o sistema de origem será o Microsoft Entra ID.
Sistema de destino: você pode especificar para onde a identidade está sendo provisionada. Por exemplo, quando estiver provisionando um objeto do Microsoft Entra ID para o ServiceNow, o sistema de destino será o ServiceNow.
Aplicativo: você pode mostrar somente os registros de aplicativos com um nome de exibição ou ID de objeto que contém uma cadeia de caracteres específica. Para a sincronização entre locatários, use a ID do objeto da configuração e não a ID do aplicativo.