[英]How to check user activity logs from Azure AD
有什么方法可以查看用户日志吗? 我知道,有两个选项从“用户”中给出“登录日志”和“审核日志”。 但是,我认为这还不够。
例如,一些用户抱怨,
- 他们可以访问 Azure 订阅,现在已删除。
- 他们有权访问 package,现在它已被删除等...
但是,当我尝试从“登录日志”或“审核日志”中查找这些信息时,我看不到任何此类详细信息。
我的问题是,有什么办法吗,我只提供用户的 email ID 并获取有关用户的所有详细信息(分配了什么订阅,何时分配?package 分配了什么访问权限,何时分配?用户何时登录以及执行了哪些活动?等等)来自 Azure 门户? 或者说,当某人获得某些资源的访问权限以及访问权限何时被删除?
他们可以访问 Azure 订阅,现在已删除。
这可能意味着他们的角色分配已删除,这将显示在订阅的活动日志中。 活动日志只会保留一段时间,因此如果您想保留更长时间并允许更好的搜索方式, 请将其发送到永久存储。
或者它们已从有权访问订阅的 AAD 组中删除,这将显示在 AAD 的审核日志中。
您可以将这些日志发送到同一个 Log Analytics 工作区并进行查询。 例如,要查看租户中用户主体名称为“user_test.com”的用户“user@test.com”的组成员身份更改,您可以使用
AuditLogs
| where Category == "GroupManagement"
| where TargetResources has "user_test.com"
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.