« Microsoft Exchange Server M365 Defender 集成 »
Elastic 文档 Elastic 集成 Microsoft

Microsoft Graph 活动日志

编辑

Microsoft Graph 活动日志

编辑

版本

1.20.1 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

Microsoft Graph 活动日志提供了 Microsoft Graph 服务为租户接收和处理的所有 HTTP 请求的审计跟踪。Microsoft Graph 活动日志提供了对您在租户中同意的所有应用程序和其他 API 客户端执行的所有交易的完全可见性。有关更多用例,请参阅 Microsoft Graph 活动的常见用例

租户管理员可以通过 Entra 门户中的诊断设置配置 Microsoft Graph 活动日志的收集和存储目标。此集成使用 Azure 事件中心目标将 Microsoft Graph 活动日志流式传输到 Elastic。

要求和设置

编辑
先决条件
编辑

收集 Microsoft Graph 活动日志需要以下权限

  • 您的租户中的 Microsoft Entra ID P1 或 P2 租户许可证。
  • 配置诊断设置的 安全管理员全局管理员 Microsoft Entra ID 角色。有关所需权限的更多信息,请参阅 Microsoft Graph 先决条件
设置
编辑

有关设置和使用此集成的更多信息,请参阅 Azure 日志页面。

限制
编辑
  • 不提供属于其他租户的多租户应用程序的活动。
  • 在少数情况下,事件可能需要长达 2 小时才能传递到事件中心。有关更多信息,请参阅 Microsoft Graph 活动限制

设置

编辑

eventhub : 字符串 这是一种完全托管的实时数据引入服务。Elastic 建议仅对事件中心名称使用字母、数字和连字符 (-) 字符,以最大限度地提高兼容性。您可以使用在事件中心名称中带有下划线 (_) 的现有事件中心;在这种情况下,当集成使用事件中心名称在后台创建依赖的 Azure 资源(例如,存储事件中心使用者偏移的存储帐户容器)时,集成会将下划线替换为连字符 (-)。Elastic 还建议为每个日志类型使用单独的事件中心,因为每个日志类型的字段映射不同。默认值 insights-operational-logs

consumer_group : 字符串 事件中心的发布/订阅机制通过使用者组启用。使用者组是整个事件中心的视图(状态、位置或偏移量)。使用者组允许多个使用应用程序各自拥有事件流的单独视图,并以自己的步调和偏移量独立读取流。默认值:$Default

connection_string : 字符串 与事件中心通信所需的连接字符串,步骤 此处

需要 Blob 存储帐户才能存储/检索/更新 eventhub 消息的偏移量或状态。这意味着在停止 filebeat azure 模块后,它可以从停止处理消息的位置重新启动。

storage_account : 字符串 将存储和更新状态/偏移量的存储帐户的名称。

storage_account_key : 字符串 存储帐户密钥,此密钥将用于授权访问您的存储帐户中的数据。

storage_account_container : 字符串 集成存储使用者组的检查点数据的存储帐户容器。这是一个高级选项,使用时必须格外小心。您必须为每个 Azure 日志类型(活动、登录、审核日志等)使用专用的存储帐户容器。请勿对多个 Azure 日志类型重复使用相同的容器名称。有关 Microsoft 命名规则的详细信息,请参阅 容器名称。如果未指定,集成将生成默认容器名称。

resource_manager_endpoint : 字符串 可选,默认情况下我们使用 Azure 公共环境,要覆盖此设置,用户可以提供特定的资源管理器终结点,以便使用不同的 Azure 环境。

资源管理器终结点

# Azure ChinaCloud
https://management.chinacloudapi.cn/

# Azure GermanCloud
https://management.microsoftazure.de/

# Azure PublicCloud
https://management.azure.com/

# Azure USGovernmentCloud
https://management.usgovcloudapi.net/

日志

编辑
graphactivitylogs
编辑

Azure 日志包的 graphactivitylogs 数据流将收集通过 Azure 事件中心流式传输的 Microsoft Graph 活动事件。

示例

graphactivitylogs 的示例事件如下所示

{
    "@timestamp": "2024-03-07T10:24:44.793Z",
    "azure": {
        "correlation_id": "f7839da0-e7d1-4e4f-985a-64937fbge347",
        "graphactivitylogs": {
            "category": "MicrosoftGraphActivityLogs",
            "operation_name": "Microsoft Graph Activity",
            "operation_version": "v1.0",
            "properties": {
                "api_version": "v1.0",
                "app_id": "a5a68e32-269a-3c91-a5e2-b9254e67hb29",
                "client_auth_method": 2,
                "client_request_id": "2fe58790-a848-4a93-9d2c-5645972aejk9",
                "identity_provider": "https://sts.windows.net/ab30785b-417f-42a4-b5dc-8f9051718acb/",
                "operation_id": "f7839da0-e7d1-4e4f-985a-64937fbge347",
                "roles": [
                    "Application.Read.All",
                    "Domain.Read.All",
                    "GroupMember.Read.All",
                    "LicenseAssignment.ReadWrite.All",
                    "Organization.Read.All",
                    "Policy.Read.ConditionalAccess",
                    "RoleManagement.Read.Directory",
                    "Team.ReadBasic.All",
                    "TeamsTab.Create",
                    "TeamsTab.Read.All",
                    "TeamsTab.ReadWrite.All",
                    "User.Read.All"
                ],
                "service_principal_id": "f2aq4c71-31e3-5065-91g3-4b2dfbsv50fg",
                "sign_in_activity_id": "sign-in_ActivityId",
                "time_generated": "2024-03-07T10:24:44.793Z",
                "token_issued_at": "2024-03-07T10:19:44.000Z",
                "wids": [
                    "a207b4d3-0g8d-90cb-bhj5-d80n3121e69"
                ]
            },
            "result_signature": "200"
        },
        "resource": {
            "id": "/TENANTS/AB30785B-417F-42A4-B5DC-8F9051718ACB/PROVIDERS/MICROSOFT.AADIAM",
            "provider": "MICROSOFT.AADIAM"
        },
        "tenant_id": "ab30785b-417f-42a4-b5dc-8f9051718acb"
    },
    "client": {
        "geo": {
            "city_name": "London",
            "continent_name": "Europe",
            "country_iso_code": "GB",
            "country_name": "United Kingdom",
            "location": {
                "lat": 51.5142,
                "lon": -0.0931
            },
            "region_iso_code": "GB-ENG",
            "region_name": "England"
        },
        "ip": "81.2.69.143"
    },
    "cloud": {
        "account": {
            "id": "ab30785b-417f-42a4-b5dc-8f9051718acb"
        },
        "provider": "azure",
        "region": "France Central",
        "service": {
            "name": "Microsoft Graph"
        }
    },
    "destination": {
        "geo": {
            "region_name": "France Central"
        }
    },
    "ecs": {
        "version": "8.11.0"
    },
    "event": {
        "action": "Microsoft Graph Activity",
        "duration": 1213372224,
        "kind": "event",
        "original": "{\"Level\":4,\"callerIpAddress\":\"81.2.69.143\",\"category\":\"MicrosoftGraphActivityLogs\",\"correlationId\":\"f7839da0-e7d1-4e4f-985a-64937fbge347\",\"durationMs\":1100725,\"location\":\"France Central\",\"operationName\":\"Microsoft Graph Activity\",\"operationVersion\":\"v1.0\",\"properties\":{\"apiVersion\":\"v1.0\",\"appId\":\"a5a68e32-269a-3c91-a5e2-b9254e67hb29\",\"atContent\":\"\",\"clientAuthMethod\":\"2\",\"clientRequestId\":\"2fe58790-a848-4a93-9d2c-5645972aejk9\",\"durationMs\":1100725,\"identityProvider\":\"https://sts.windows.net/ab30785b-417f-42a4-b5dc-8f9051718acb/\",\"ipAddress\":\"81.2.69.143\",\"location\":\"France Central\",\"operationId\":\"f7839da0-e7d1-4e4f-985a-64937fbge347\",\"requestId\":\"f7839da0-e7d1-4e4f-985a-64937fbge347\",\"requestMethod\":\"GET\",\"requestUri\":\"https://graph.microsoft.com/v1.0/directoryRoles\",\"responseSizeBytes\":4300,\"responseStatusCode\":200,\"roles\":\"Application.Read.All Domain.Read.All GroupMember.Read.All LicenseAssignment.ReadWrite.All Organization.Read.All Policy.Read.ConditionalAccess RoleManagement.Read.Directory Team.ReadBasic.All TeamsTab.Create TeamsTab.Read.All TeamsTab.ReadWrite.All User.Read.All\",\"scopes\":null,\"servicePrincipalId\":\"f2aq4c71-31e3-5065-91g3-4b2dfbsv50fg\",\"signInActivityId\":\"sign-in_ActivityId\",\"tenantId\":\"ab30785b-417f-42a4-b5dc-8f9051718acb\",\"timeGenerated\":\"2024-03-07T10:24:44.7939418Z\",\"tokenIssuedAt\":\"2024-03-07T10:19:44Z\",\"userAgent\":\"\",\"userId\":null,\"wids\":\"a207b4d3-0g8d-90cb-bhj5-d80n3121e69\"},\"resourceId\":\"/TENANTS/AB30785B-417F-42A4-B5DC-8F9051718ACB/PROVIDERS/MICROSOFT.AADIAM\",\"resultSignature\":\"200\",\"tenantId\":\"ab30785b-417f-42a4-b5dc-8f9051718acb\",\"time\":\"2024-03-07T10:24:44.7939418Z\"}",
        "type": [
            "access"
        ]
    },
    "http": {
        "request": {
            "id": "f7839da0-e7d1-4e4f-985a-64937fbge347",
            "method": "GET"
        },
        "response": {
            "bytes": 4300,
            "status_code": 200
        }
    },
    "log": {
        "level": "4"
    },
    "related": {
        "ip": [
            "81.2.69.143"
        ]
    },
    "source": {
        "geo": {
            "city_name": "London",
            "continent_name": "Europe",
            "country_iso_code": "GB",
            "country_name": "United Kingdom",
            "location": {
                "lat": 51.5142,
                "lon": -0.0931
            },
            "region_iso_code": "GB-ENG",
            "region_name": "England"
        },
        "ip": "81.2.69.143"
    },
    "tags": [
        "preserve_original_event"
    ],
    "url": {
        "domain": "graph.microsoft.com",
        "extension": "0/directoryRoles",
        "original": "https://graph.microsoft.com/v1.0/directoryRoles",
        "path": "/v1.0/directoryRoles",
        "scheme": "https"
    }
}

ECS 字段参考

有关 ECS 字段的详细信息,请参阅以下文档

导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

azure.correlation_id

相关 ID。

keyword

azure.graphactivitylogs.category

Azure 事件类别。例如,Graph 活动日志的值为 MicrosoftGraphActivityLogs

keyword

azure.graphactivitylogs.operation_name

操作名称。

keyword

azure.graphactivitylogs.operation_version

事件的 Graph API 版本。

keyword

azure.graphactivitylogs.properties.api_version

事件的 API 版本。

keyword

azure.graphactivitylogs.properties.app_id

应用程序的标识符。

keyword

azure.graphactivitylogs.properties.at_content

保留供将来使用。

keyword

azure.graphactivitylogs.properties.billed_size

记录大小(以字节为单位)。

双精度

azure.graphactivitylogs.properties.client_auth_method

指示客户端如何进行身份验证。对于公共客户端,该值为 0。如果使用客户端 ID 和客户端密钥,则该值为 1。如果使用客户端证书进行身份验证,则该值为 2。

整数

azure.graphactivitylogs.properties.client_request_id

发送时的客户端请求标识符。如果未发送客户端请求标识符,则该值将等于操作标识符。

keyword

azure.graphactivitylogs.properties.identity_provider

对令牌主体进行身份验证的标识提供者。

keyword

azure.graphactivitylogs.properties.is_billable

指定引入数据是否可计费。当 _IsBillable 为 false 时,引入不会计入您的 Azure 帐户。

布尔值

azure.graphactivitylogs.properties.operation_id

批次的标识符。对于非批量请求,这将对每个请求都是唯一的。对于批量请求,对于批次中的所有请求都相同。

keyword

azure.graphactivitylogs.properties.request_uri

请求的 URI。

keyword

azure.graphactivitylogs.properties.roles

令牌声明中的角色。

keyword

azure.graphactivitylogs.properties.scopes

令牌声明中的作用域。

keyword

azure.graphactivitylogs.properties.service_principal_id

发出请求的服务主体的标识符。

keyword

azure.graphactivitylogs.properties.sign_in_activity_id

表示登录活动的标识符。

keyword

azure.graphactivitylogs.properties.source_system

收集事件的代理类型。例如,用于 Windows 代理的 OpsManager(直接连接或 Operations Manager)、所有 Linux 代理的 Linux 或用于 Azure 诊断的 Azure。

keyword

azure.graphactivitylogs.properties.time_generated

收到请求的日期和时间。

日期

azure.graphactivitylogs.properties.token_issued_at

令牌发布时的时间戳。

日期

azure.graphactivitylogs.properties.type

表的名称。

keyword

azure.graphactivitylogs.properties.user_agent

与请求相关的用户代理信息。

keyword

azure.graphactivitylogs.properties.wids

表示分配给此用户的租户级角色。

keyword

azure.graphactivitylogs.result_signature

结果签名。

keyword

azure.resource.authorization_rule

授权规则。

keyword

azure.resource.group

资源组。

keyword

azure.resource.id

资源 ID。

keyword

azure.resource.name

名称。

keyword

azure.resource.namespace

资源类型/命名空间。

keyword

azure.resource.provider

资源类型/命名空间。

keyword

azure.subscription_id

Azure 订阅 ID。

keyword

azure.tenant_id

租户 ID。

keyword

client.geo.location

经度和纬度。

geo_point

cloud.image.id

云实例的映像 ID。

keyword

data_stream.dataset

数据流数据集名称。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

destination.geo.region_name

区域名称。

keyword

event.dataset

事件数据集

constant_keyword

event.module

事件模块

constant_keyword

host.containerized

如果主机是容器。

布尔值

host.os.build

操作系统版本信息。

keyword

host.os.codename

操作系统代号(如果有)。

keyword

source.geo.location

经度和纬度。

geo_point

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

1.20.1

Bug 修复 (查看拉取请求)
修复 Painless 脚本中的字符串文字。

8.13.0 或更高版本

1.20.0

增强 (查看拉取请求)
添加 Azure 日志集成 v2(预览版)

8.13.0 或更高版本

1.19.4

Bug 修复 (查看拉取请求)
修复 destination.geo.region_name 映射。

8.13.0 或更高版本

1.19.3

Bug 修复 (查看拉取请求)
为保持一致性,将 Identity 字段重命名为 identity

8.13.0 或更高版本

1.19.2

Bug 修复 (查看拉取请求)
properties 字段重命名为 properties.raw,以避免当 properties 字段包含字符串时出现解析错误。

8.13.0 或更高版本

1.19.1

Bug 修复 (查看拉取请求)
修复了一个错误并澄清了有关存储帐户容器的文档。

8.13.0 或更高版本

1.18.0

增强 (查看拉取请求)
将实体标识符添加到 related.entity

8.13.0 或更高版本

1.17.0

增强 (查看拉取请求)
添加 event.reason 日志字段,用于记录请求中与防火墙规则匹配的精确数据。

8.13.0 或更高版本

1.16.0

增强功能 (查看拉取请求)
允许 @custom 管道访问 event.original,而无需设置 preserve_original_event。

8.13.0 或更高版本

1.15.1

错误修复 (查看拉取请求)
修复 [client|source].geo.location ECS 字段映射

8.13.0 或更高版本

1.15.0

增强功能 (查看拉取请求)
添加关于 Azure Functions 托管计划的新章节。

8.13.0 或更高版本

1.14.0

增强功能 (查看拉取请求)
为仪表板添加全局数据集筛选器以提高性能。

8.13.0 或更高版本

1.13.1

增强功能 (查看拉取请求)
扩展文档,提供有关事件中心分区配置的更多详细信息。

8.13.0 或更高版本

1.13.0

增强功能 (查看拉取请求)
向 Azure 防火墙添加结构化日志类别。

8.13.0 或更高版本

1.12.0

增强功能 (查看拉取请求)
ECS 版本更新至 8.11.0。更新 kibana 约束至 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板中冗余的 ECS 字段。

重大变更 (查看拉取请求)
将“event.outcome”的值从“Succeeded”更新为“success”,从“Failed”更新为“failure”。

8.13.0 或更高版本

1.11.4

错误修复 (查看拉取请求)
将 Azure AD 替换为 Microsoft Entra ID。

8.12.0 或更高版本

1.11.3

错误修复 (查看拉取请求)
更新 Azure 审核日志管道,支持 initiated_by 用户字段。

8.12.0 或更高版本

1.11.2

错误修复 (查看拉取请求)
添加缺失的 ECS 字段定义。

8.12.0 或更高版本

1.11.1

增强功能 (查看拉取请求)
更新事件中心参数名称建议的描述。

8.12.0 或更高版本

1.11.0

增强功能 (查看拉取请求)
使用 eventhub 的 *event.dataset* 字段的 ecs 定义

8.12.0 或更高版本

1.10.0

增强功能 (查看拉取请求)
添加 Microsoft Graph 活动日志

8.12.0 或更高版本

1.9.2

增强功能 (查看拉取请求)
添加关于在防火墙后运行集成的文档。

8.12.0 或更高版本

1.9.1

错误修复 (查看拉取请求)
在密钥字段上将字段类型设置为密码。

8.12.0 或更高版本

1.9.0

增强功能 (查看拉取请求)
添加对集成密钥的支持

8.12.0 或更高版本

1.8.3

增强功能 (查看拉取请求)
在 Azure 登录日志的管道中添加 caller_ip_address 字段。

8.8.0 或更高版本

1.8.2

增强功能 (查看拉取请求)
更新 Azure 日志文档。

8.8.0 或更高版本

1.8.1

增强功能 (查看拉取请求)
更新 AD 日志文档。

8.8.0 或更高版本

1.8.0

增强功能 (查看拉取请求)
允许将 Azure 日志事件重新路由到不同的数据流。

8.8.0 或更高版本

1.7.0

增强功能 (查看拉取请求)
将 Azure Spring Cloud 日志重命名为 Azure Spring Apps

8.6.0 或更高版本

1.6.0

增强功能 (查看拉取请求)
将软件包 format_version 更新为 3.0.0。

8.6.0 或更高版本

1.5.33

错误修复 (查看拉取请求)
在应用程序网关日志中,将 json.properties.clientIp 处理为 json.properties.clientIP 的别名

8.6.0 或更高版本

1.5.32

错误修复 (查看拉取请求)
修复 azure.activitylogs.claims.* 的映射。

8.6.0 或更高版本

1.5.31

增强功能 (查看拉取请求)
将 Azure AD 身份保护仪表板迁移到 Lens。

8.6.0 或更高版本

1.5.30

增强功能 (查看拉取请求)
将 Azure AD 预配日志仪表板迁移到 Lens。

8.6.0 或更高版本

1.5.29

增强功能 (查看拉取请求)
修复 Azure 仪表板的描述和标题。

8.6.0 或更高版本

1.5.28

增强功能 (查看拉取请求)
将警报概览仪表板迁移到 Lens

8.6.0 或更高版本

1.5.27

错误修复 (查看拉取请求)
修复防火墙仪表板

8.6.0 或更高版本

1.5.26

错误修复 (查看拉取请求)
处理登录日志中的重复 user_agent.original 字段

8.6.0 或更高版本

1.5.25

错误修复 (查看拉取请求)
处理应用程序网关日志中的重复 url.path 字段

8.6.0 或更高版本

1.5.24

错误修复 (查看拉取请求)
处理具有属性的 DNAT 请求的防火墙事件

8.6.0 或更高版本

1.5.23

增强功能 (查看拉取请求)
更新 Azure 日志屏幕截图

8.6.0 或更高版本

1.5.22

增强功能 (查看拉取请求)
将 Azure 云概览仪表板迁移到 Lens 并进行样式更改

8.6.0 或更高版本

1.5.21

增强功能 (查看拉取请求)
将用户活动仪表板迁移到 Lens

8.6.0 或更高版本

1.5.20

增强功能 (查看拉取请求)
用于清理的集成设置 UI

8.6.0 或更高版本

1.5.17

增强功能 (查看拉取请求)
将 Spring Cloud 概览仪表板迁移到 Lens

8.6.0 或更高版本

1.5.16

增强功能 (查看拉取请求)
将 Azure Spring Cloud 日志应用程序云日志仪表板迁移到 Lens

8.6.0 或更高版本

1.5.15

增强功能 (查看拉取请求)
将 Spring Cloud 系统日志仪表板迁移到 Lens

8.6.0 或更高版本

1.5.14

增强功能 (查看拉取请求)
增强/提高仪表板的性能

8.6.0 或更高版本

1.5.13

增强功能 (查看拉取请求)
扩展存储帐户容器文档并添加指向要求和设置说明的链接

7.16.0 或更高版本
8.0.0 或更高版本

1.5.12

增强功能 (查看拉取请求)
添加类别和/或子类别。

7.16.0 或更高版本
8.0.0 或更高版本

1.5.11

增强功能 (查看拉取请求)
向 AzureFirewallNetworkRule 日志类别添加新的消息格式

7.16.0 或更高版本
8.0.0 或更高版本

1.5.10

错误修复 (查看拉取请求)
检查应用程序网关和事件中心引入管道中是否已存在 *event.original*

7.16.0 或更高版本
8.0.0 或更高版本

1.5.9

错误修复 (查看拉取请求)
检查防火墙日志引入管道中是否已存在 *event.original*

7.16.0 或更高版本
8.0.0 或更高版本

1.5.8

错误修复 (查看拉取请求)
向应用程序网关集成添加 storage_account_container 选项

7.16.0 或更高版本
8.0.0 或更高版本

1.5.7

错误修复 (查看拉取请求)
修复登录日志中 authentication_processing_details 字段的解析

7.16.0 或更高版本
8.0.0 或更高版本

1.5.6

错误修复 (查看拉取请求)
修复客户端端口为空时的解析错误,并调整时间戳

7.16.0 或更高版本
8.0.0 或更高版本

1.5.5

错误修复 (查看拉取请求)
当值是字符串时,将 identity 重命名为 identity_name

7.16.0 或更高版本
8.0.0 或更高版本

1.5.4

增强功能 (查看拉取请求)
默认启用事件中心集成并改进文档

7.16.0 或更高版本
8.0.0 或更高版本

1.5.3

增强功能 (查看拉取请求)
数据流在新安装时开始禁用

7.16.0 或更高版本
8.0.0 或更高版本

1.5.2

错误修复 (查看拉取请求)
修复变更日志中的 PR 链接

7.16.0 或更高版本
8.0.0 或更高版本

1.5.1

错误修复 (查看拉取请求)
修复文档格式(删除额外的 *Overview* 标题)

7.16.0 或更高版本
8.0.0 或更高版本

1.5.0

增强功能 (查看拉取请求)
添加 Azure 应用程序网关数据流

7.16.0 或更高版本
8.0.0 或更高版本

1.4.1

增强 (查看拉取请求)
更新 Azure 日志文档

7.16.0 或更高版本
8.0.0 或更高版本

1.4.0

增强 (查看拉取请求)
在 Azure AD 日志集成中添加两个新的数据流:Azure 身份保护日志和预配日志

7.16.0 或更高版本
8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
添加覆盖默认生成的存储帐户容器的可能性

7.16.0 或更高版本
8.0.0 或更高版本

1.2.3

增强 (查看拉取请求)
使用推荐的事件中心配置更新文档

7.16.0 或更高版本
8.0.0 或更高版本

1.2.2

增强 (查看拉取请求)
更新包名称和描述以与标准措辞保持一致

7.16.0 或更高版本
8.0.0 或更高版本

1.2.1

错误修复 (查看拉取请求)
修复 Azure 登录日志摄取管道中的错误

7.16.0 或更高版本
8.0.0 或更高版本

1.2.0

增强 (查看拉取请求)
支持 Azure 防火墙日志

1.1.11

错误修复 (查看拉取请求)
改进对来自上游转发器的 event.original 字段的支持。

1.1.10

增强 (查看拉取请求)
使用指向 Microsoft 文档的链接更新自述文件

7.16.0 或更高版本
8.0.0 或更高版本

1.1.9

错误修复 (查看拉取请求)
改进对 IPv6 IP 地址的处理。

1.1.8

增强 (查看拉取请求)
更新文档,其中包含有关事件中心名称建议的详细信息

7.16.0 或更高版本
8.0.0 或更高版本

1.1.7

错误修复 (查看拉取请求)
在 platformlogs 中添加 geo.name 和 result_description 字段

7.16.0 或更高版本
8.0.0 或更高版本

1.1.6

错误修复 (查看拉取请求)
使用具体值修复 azure.activitylogs.identity

错误修复 (查看拉取请求)
将 identity_name、tenant_id、level 和 operation_version 添加到活动日志中

7.16.0 或更高版本
8.0.0 或更高版本

1.1.5

增强 (查看拉取请求)
添加多字段的文档

1.1.4

错误修复 (查看拉取请求)
修复所有 Azure 数据流中 event.duration 字段映射冲突。

1.1.3

增强 (查看拉取请求)
默认情况下将 forwarded 标签添加到所有日志类型。

1.1.2

错误修复 (查看拉取请求)
添加 device_detail.is_compliant 和 device_detail.is_managed 字段

错误修复 (查看拉取请求)
将 authentication_requirement_policies 更改为扁平类型

7.16.0 或更高版本
8.0.0 或更高版本

1.1.1

错误修复 (查看拉取请求)
修复 auditlogs 数据流中 client.ip 的字段映射冲突。将 eventhub 数据流中的 azure-eventhub.offsetazure-eventhub.sequence_number 从关键字更改为长整型。

1.1.0

增强 (查看拉取请求)
支持新的 Azure 审核日志和登录日志

1.0.1

增强 (查看拉取请求)
从数据流中删除 Beta 版发布标签

7.16.0 或更高版本
8.0.0 或更高版本

1.0.0

增强 (查看拉取请求)
将 azure 包移至 GA

7.16.0 或更高版本
8.0.0 或更高版本

0.12.3

增强 (查看拉取请求)
更新至 ECS 8.0

0.12.2

错误修复 (查看拉取请求)
使用新的 GeoIP 数据库重新生成测试文件

0.12.1

错误修复 (查看拉取请求)
将测试公共 IP 更改为支持的子集

0.12.0

增强 (查看拉取请求)
发布 v8.0.0 的 azure 包

0.11.0

增强 (查看拉取请求)
添加 Azure 事件中心输入

0.10.1

增强 (查看拉取请求)
符合指南

0.10.0

增强 (查看拉取请求)
signinlogs - 添加对 ManagedIdentitySignInLogs、NonInteractiveUserSignInLogs 和 ServicePrincipalSignInLogs 的支持。

0.9.2

错误修复 (查看拉取请求)
防止管道脚本错误

0.9.1

错误修复 (查看拉取请求)
修复检查转发标记的逻辑

0.9.0

增强 (查看拉取请求)
更新至 ECS 1.12.0

0.8.6

错误修复 (查看拉取请求)
添加 ECS client.ip 映射

0.8.5

增强 (查看拉取请求)
更新文档和徽标

0.8.4

增强 (查看拉取请求)
转换为生成的 ECS 字段

0.8.3

增强 (查看拉取请求)
从 ECS 导入 geo_points

0.8.2

增强 (查看拉取请求)
更新错误消息

0.8.1

增强 (查看拉取请求)
在 platformlogs 管道中添加对 springcloud 日志的支持

0.8.0

增强 (查看拉取请求)
导入 ECS 字段定义

0.7.0

增强 (查看拉取请求)
添加 Spring Cloud 日志

0.6.2

增强 (查看拉取请求)
更新至 ECS 1.11.0

0.6.1

增强 (查看拉取请求)
转义文档中的特殊字符

0.6.0

增强 (查看拉取请求)
更新集成描述

0.5.1

增强 (查看拉取请求)
为无效 JSON 重新添加管道更改

0.5.0

增强 (查看拉取请求)
添加输入组

0.4.0

增强 (查看拉取请求)
设置“event.module”和“event.dataset”

0.3.1

增强 (查看拉取请求)
将包与模块更改同步

0.3.0

增强 (查看拉取请求)
更新至 ECS 1.10.0 并添加 event.original 选项

0.2.3

增强 (查看拉取请求)
更新至 ECS 1.9.0

0.2.2

错误修复 (查看拉取请求)
更正示例事件文件。

0.2.1

错误修复 (查看拉取请求)
添加对空配置选项的检查。

0.2.0

增强 (查看拉取请求)
添加使用 ECS 1.8 字段的更改。

0.0.1

增强 (查看拉取请求)
初始发布

« Microsoft Exchange Server M365 Defender 集成 »