為活動記錄設定 Microsoft Entra 診斷設定
您可以使用 Microsoft Entra ID 中的診斷設定,將記錄與 Azure 監視器整合、將記錄串流至事件中樞,或將記錄封存至儲存體帳戶。 您可以建立多個診斷設定,將活動記錄傳送至不同的目的地。
本文提供為活動記錄設定 Microsoft Entra 診斷設定的步驟。
必要條件
若要設定診斷設定,您需要:
- Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,則可以註冊申請一個免費的試用帳戶。
- 安全性系統管理員存取權,以建立 Microsoft Entra 租用戶的一般診斷設定。
- 屬性記錄管理員存取權,以建立自訂安全性屬性記錄的診斷設定。
- 已經設定的目的地。 例如,若您想要將記錄串流至事件中樞,您必須先建立事件中樞,才能設定診斷設定。
如何存取診斷設定
本文提供存取 Microsoft Entra 記錄診斷設定的步驟。 若要為 Microsoft Entra ID 以外的 Azure 監視器或 Azure 資源設定診斷設定,請參閱 Azure 監視器中的診斷設定。
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [監視和健康情況] > [診斷設定]。 系統會預設顯示 [一般] 設定。
任何現有的診斷設定都會出現在資料表中。 選取 [編輯設定] 來變更現有的設定,或選取 [新增診斷設定] 來建立新的設定。
自訂安全性屬性
自訂安全性屬性記錄是標準稽核記錄的子集。 您必須具有作用中的屬性記錄管理員角色,才能設定自訂安全性屬性的診斷設定。 如需詳細資訊,請參閱自訂安全性屬性概觀。
若要設定自訂安全性屬性稽核記錄的診斷設定,請選取 [自訂安全性屬性]。 這兩種記錄類別的設定診斷設定流程是一樣的。
提示
Microsoft 建議您將自訂安全性屬性稽核記錄與目錄稽核記錄分開,以免不小心洩漏屬性指派。
選取記錄和目的地
建立或編輯診斷設定時,您可以選擇要包含的記錄,以及記錄傳送目的地。
記錄類別
您可以選取一個、部分或所有可用的記錄。 某些記錄可能是預覽功能的一部分。 即使您選取記錄類別,在功能正式推出之前,您可能看不到任何資料。 如需可用記錄的描述,請參閱串流至端點的記錄選項。
目的地詳細資料
您可以將記錄傳送至 Log Analytics 工作區、將記錄串流至事件中樞,或將記錄封存至儲存體帳戶。 目前,唯一支援的合作夥伴解決方案是 Azure 原生 ISV 服務。 如需詳細資訊,請參閱 Azure 原生 ISV 服務概觀。
若要將記錄傳送至其中一個目的地,您必須已設定該目的地。
選取目的地時,畫面會出現更多欄位。 從出現的欄位選取適當的訂用帳戶和目的地。
如需設定特定目的地診斷設定的詳細資訊,請參閱下列文章:
基本流程圖
設定診斷設定的基本步驟如下:
若要建立新的診斷設定,請選取 [新增診斷設定]。
提供名稱。
選取您想要包含的記錄。
選取記錄的傳送目的地。
從顯示的下拉功能表中選取訂用帳戶和目的地。
選取儲存按鈕。
注意
最多可能需要三天的時間,記錄才會開始出現在目的地中。