审计日志中日期时间的图表“ beta”过滤不起作用(返回所有数据)

时间:2018-07-18 14:47:47

标签: microsoft-graph

使用图形浏览器,我试图限制(时间框)返回的条目数。这样一来,我可以从Azure中提取数据,然后上传到我们的SIEM门户中。我正在取回数据(成千上万个数据点中的十万个)-但是我需要对它们进行时间限制。

这可以作为查询(在图资源管理器中和从Powershell中)-但结果不在请求的时间范围内。我尝试了不同的时间格式(包括倒数第二种),但它们并不限制结果。

对于过滤器来说,似乎并没有深入到数据结构中。

关于过滤器的任何建议还是其他方法(不接受每个查询的所有数据并执行结果后过滤器)?

注意:我还尝试了带有value /和value \的activityDateTime前缀(从我发现的另一篇文章中读取)-因此value / activityDateTime和value \ activityDateTime-没有不同的结果(也没有错误)

这是从图形浏览器“获取”(已选择Beta) https://graph.microsoft.com/beta/auditLogs/directoryAudits?=activityDateTime GE 2018-07-16T15:48:00和activityDateTime LT 2018-07-16T15:58:00

返回了此结果(仅部分结果,删除了guid / hex字符串)-您会注意到下面返回的activityDateTime不是> =和<查询中传递的日期/时间

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#auditLogs/directoryAudits",
    "@odata.nextLink": "https://graph.microsoft.com/beta/auditLogs/directoryAudits?=value%2factivityDateTime+ge+2018-07-16T15%3a48%3a00+and+value%2factivityDateTime+lt+2018-07-16T15%3a58%3a00&$skiptoken=[hex string removed]_1000",
    "value": [
        {
            "id": "Directory_[hex string removed]",
            "category": "Core Directory",
            "correlationId": "[GUID removed]",
            "result": "success",
            "resultReason": "",
            "activityDisplayName": "Update group",
            **"activityDateTime": "2018-07-18T14:30:44.6046176Z"**,
            "loggedByService": "AzureAD",
            "initiatedBy": {
                "user": null,
                "app": null
            },
            "targetResources": [
                {
                    "@odata.type": "#microsoft.graph.targetResourceGroup",

[返回的其余数据总共删除了1000条]

1 个答案:

答案 0 :(得分:2)

您需要指定参数名称。否则,API无法知道您要执行什么操作(selectorderbyfilter)。在这种情况下,您想$filter像这样:$filter=activityDateTime ge 2018-07-16T15:48:00Z and activityDateTime lt 2018-07-16T15:58:00Z

https://graph.microsoft.com/beta/auditLogs/directoryAudits?$filter=activityDateTime ge 2018-07-16T15:48:00Z and activityDateTime lt 2018-07-16T15:58:00Z
相关问题
最新问题