SigninLogs
Atributos de tabla
| Atributo | Valor |
|---|---|
| Tipos de recursos | microsoft.graph/tenants |
| Categorías | Recursos de Azure, seguridad |
| Soluciones | LogManagement |
| Registro básico | No |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | Sí |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| AADTenantId | string | |
| AlternateSignInName | string | Identificación que el usuario proporcionó para iniciar sesión. Puede ser userPrincipalName, pero también se rellena cuando un usuario inicia sesión con otros identificadores. |
| AppDisplayName | string | El nombre de la aplicación que se muestra en Azure Portal. |
| AppId | string | Identificador de aplicación en Azure Active Directory. |
| AppliedConditionalAccessPolicies | string | |
| AppliedEventListeners | dinámico | Información detallada sobre los agentes de escucha, como Azure Logic Apps y Azure Functions, desencadenados por los eventos correspondientes en el evento de inicio de sesión. |
| AuthenticationContextClassReferences | string | Contiene una colección de valores que representan los contextos de autenticación de acceso condicional aplicados al inicio de sesión. |
| AuthenticationDetails | string | Resultado del intento de autenticación y detalles adicionales sobre el método de autenticación. |
| AuthenticationMethodsUsed | string | Los métodos de autenticación usados. Valores posibles: SMS, Authenticator App, App Verification code, Password, FIDO, PTA o PHS. |
| AuthenticationProcessingDetails | string | Detalles adicionales del procesamiento de autenticación, como el nombre del agente en caso de nombre de PTA/PHS o servidor o granja de servidores en caso de autenticación federada. |
| AuthenticationProtocol | string | Listas el tipo de protocolo o el tipo de concesión que se usa en la autenticación. Los valores posibles son: none, oAuth2, ropc, wsFederation, saml20, deviceCode. En el caso de las autenticaciones que usan protocolos distintos de los valores posibles enumerados, el tipo de protocolo aparece como ninguno. |
| AuthenticationRequirement | string | Esto contiene el nivel más alto de autenticación necesaria a través de todos los pasos de inicio de sesión, para que el inicio de sesión se realice correctamente. |
| AuthenticationRequirementPolicies | string | Orígenes de requisitos de autenticación, como el acceso condicional, MFA por usuario, la protección de identidades y los valores predeterminados de seguridad. |
| AutonomousSystemNumber | string | Número de sistema autónomo (ASN) de la red utilizada por el actor. |
| _BilledSize | real | Tamaño del registro en bytes |
| Category | string | |
| ClientAppUsed | string | El cliente heredado que se usa para la actividad de inicio de sesión. Por ejemplo: Explorador, Exchange ActiveSync, clientes modernos, IMAP, MAPI, SMTP o POP. |
| ConditionalAccessPolicies | dinámico | Lista de directivas de acceso condicional desencadenadas por la actividad de inicio de sesión correspondiente. |
| ConditionalAccessStatus | string | Estado de la directiva de acceso condicional desencadenada. Valores posibles: success, failure o notApplied. |
| CorrelationId | string | Identificador que se envía desde el cliente cuando se inicia el inicio de sesión. Esto se usa para solucionar problemas de la actividad de inicio de sesión correspondiente al llamar al soporte técnico. |
| CreatedDateTime | datetime | Fecha y hora en que se inició el inicio de sesión. El tipo timestamp siempre está en hora UTC. Por ejemplo, la medianoche UTC del 1 de enero de 2014 es 2014-01-01T00:00:00Z. |
| CrossTenantAccessType | string | Describe el tipo de acceso entre inquilinos que usa el actor para acceder al recurso. |
| DeviceDetail | dinámico | Información del dispositivo desde donde se produjo el inicio de sesión. Incluye información como deviceId, sistema operativo y explorador. |
| DurationMs | long | |
| MarcadoForReview | bool | Durante un inicio de sesión con errores, un usuario puede hacer clic en un botón en el Azure Portal para marcar el evento con errores para los administradores de inquilinos. Si un usuario ha hecho clic en el botón para marcar el inicio de sesión con errores, este valor es true. |
| HomeTenantId | string | Identificador de inquilino del usuario que inicia el inicio de sesión. No es aplicable en inicios de sesión de identidad administrada o entidad de servicio. |
| Identificador | string | Identificador que representa la actividad de inicio de sesión. |
| Identidad | string | Nombre para mostrar del actor identificado en el inicio de sesión. |
| IPAddress | string | Dirección IP del cliente desde donde se produjo el inicio de sesión. |
| IPAddressFromResourceProvider | string | La dirección IP que un usuario usó para acceder a un proveedor de recursos, que se usa para determinar el cumplimiento del acceso condicional para algunas directivas. Por ejemplo, cuando un usuario interactúa con Exchange Online, la dirección IP que exchange recibe del usuario se puede registrar aquí. Este valor suele ser NULL. |
| _IsBillable | string | Especifica si la ingesta de los datos es facturable. Cuando se _IsBillable la ingesta no se false factura a su cuenta de Azure |
| IsInteractive | bool | Indica si un usuario inicia sesión es interactivo. En el inicio de sesión interactivo, el usuario proporciona un factor de autenticación a Azure AD. Estos factores incluyen contraseñas, respuestas a desafíos de MFA, factores biométricos o códigos QR que un usuario proporciona a Azure AD o a una aplicación asociada. En el inicio de sesión no interactivo, el usuario no proporciona un factor de autenticación. En su lugar, la aplicación cliente usa un token o código para autenticar o acceder a un recurso en nombre de un usuario. Los inicios de sesión no interactivos se usan normalmente para que un cliente inicie sesión en nombre de un usuario en un proceso transparente para el usuario. |
| IsRisky | bool | |
| Nivel | string | |
| Location | string | Código de país de 2 letras desde donde se produjo el inicio de sesión. En función de la dirección IP proporcionada, es posible que este valor no siempre se resuelva en un nivel de detalle de ciudad o región. |
| LocationDetails | dinámico | Proporciona la ciudad, el estado, el país o la región y la latitud y la longitud desde donde se produjo el inicio de sesión. |
| MfaDetail | dinámico | Esta propiedad está desusada. |
| NetworkLocationDetails | string | Detalles de la ubicación de red, incluido el tipo de red usado y sus nombres. |
| OperationName | string | |
| OperationVersion | string | |
| OriginalRequestId | string | Identificador de solicitud de la primera solicitud de la secuencia de autenticación. |
| ProcessingTimeInMilliseconds | string | |
| Recurso | string | |
| ResourceDisplayName | string | Nombre del recurso en el que el usuario ha iniciado sesión. |
| ResourceGroup | string | |
| ResourceId | string | Identificador del recurso en el que el usuario ha iniciado sesión. |
| ResourceIdentity | string | Recurso en el que el usuario ha iniciado sesión. |
| ResourceProvider | string | |
| ResourceServicePrincipalId | string | Identificador de la entidad de servicio que representa el recurso de destino en el evento de inicio de sesión. |
| ResourceTenantId | string | Identificador de inquilino del recurso al que se hace referencia en el inicio de sesión. |
| ResultDescription | string | Proporciona el mensaje de error o el motivo del error de la actividad de inicio de sesión correspondiente. |
| ResultSignature | string | |
| ResultType | string | Proporciona el código de error de 5 a 6 dígitos que se genera durante un evento de inicio de sesión. 0 indica que se ha realizado correctamente; Otros valores son errores. Puede encontrar más información mediante la documentación de códigos de error de Azure AD o https://login.microsoftonline.com/error. |
| RiskDetail | string | El motivo detrás de un estado específico de un usuario de riesgo, un inicio de sesión o un evento de riesgo. Valores posibles: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser o adminConfirmedSigninCompromised. El valor none significa que no se ha realizado ninguna acción en el usuario o en el inicio de sesión hasta ahora. Nota: Los detalles de esta propiedad solo están disponibles para los clientes de Azure AD Premium P2. Todos los demás clientes se devuelven ocultos. |
| RiskEventTypes | string | Esta propiedad está desusada. |
| RiskEventTypes_V2 | string | Lista de tipos de eventos de riesgo asociados al inicio de sesión. Valores posibles: unlikely Travel, anonymizedIPAddress, maliciousIPAddress, unfamiliarFeatures, malwareInfectedIPAddress, suspiciousIPAddress, leakedCredentials, investigationsThreatIntelligence o genérico. |
| RiskLevel | string | |
| RiskLevelAggregated | string | Nivel de riesgo agregado. Valores posibles: none, low, medium, high o hidden. El valor oculto significa que el usuario o el inicio de sesión no se habilitaron para Azure AD Identity Protection. Nota: Los detalles de esta propiedad solo están disponibles para los clientes de Azure AD Premium P2. Todos los demás clientes se devuelven ocultos. |
| RiskLevelDuringSignIn | string | Nivel de riesgo durante el inicio de sesión. Valores posibles: none, low, medium, high o hidden. El valor oculto significa que el usuario o el inicio de sesión no se habilitaron para Azure AD Identity Protection. Nota: Los detalles de esta propiedad solo están disponibles para los clientes de Azure AD Premium P2. Todos los demás clientes se devuelven ocultos. |
| RiskState | string | Estado de riesgo de un usuario de riesgo, inicio de sesión o evento de riesgo. Valores posibles: none, confirmedSafe, remediated, dismissed, atRisk o confirmedCompromised. |
| ServicePrincipalId | string | Identificador de aplicación usado para el inicio de sesión. Este campo se rellena al iniciar sesión con una aplicación. |
| ServicePrincipalName | string | Nombre de la aplicación usado para el inicio de sesión. Este campo se rellena al iniciar sesión con una aplicación. |
| SessionLifetimePolicies | string | Todas las directivas de administración de sesiones de acceso condicional que se aplicaron durante el evento de inicio de sesión. |
| SignInIdentifier | string | Identificación que el usuario proporcionó para iniciar sesión. Puede ser userPrincipalName, pero también se rellena cuando un usuario inicia sesión con otros identificadores. |
| SignInIdentifierType | string | Tipo de identificador de inicio de sesión. Los valores posibles son: userPrincipalName, phoneNumber, proxyAddress, qrCode, onPremisesUserPrincipalName. |
| SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, para el OpsManager agente de Windows, ya sea conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| Estado | dinámico | Estado de inicio de sesión. Incluye el código de error y la descripción del error (en caso de error de inicio de sesión). |
| TimeGenerated | datetime | |
| TokenIssuerName | string | Nombre del proveedor de identidades. Por ejemplo, sts.microsoft.com. |
| TokenIssuerType | string | Tipo de proveedor de identidades. Los valores posibles son: AzureAD o ADFederationServices, AzureADBackupAuth, ADFederationServicesMFAAdapter, NPSExtension. |
| Tipo | string | Nombre de la tabla. |
| UniqueTokenIdentifier | string | Identificador de solicitud codificado en base64 único que se usa para realizar un seguimiento de los tokens emitidos por Azure AD, ya que se canjean en los proveedores de recursos. |
| UserAgent | string | Información del agente de usuario relacionada con el inicio de sesión. |
| UserDisplayName | string | Nombre para mostrar del usuario. |
| UserId | string | El identificador del usuario. |
| UserPrincipalName | string | UPN del usuario. |
| UserType | string | Identifica si el usuario es miembro o invitado en el inquilino. Los valores posibles son: miembro e invitado. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de