Menginterpretasikan skema log masuk Microsoft Entra di Azure Monitor
Artikel ini menjelaskan skema log masuk Microsoft Entra di Azure Monitor. Informasi yang terkait dengan rincian masuk disediakan di bawah atribut records Properti objek.
{
"time": "2019-03-12T16:02:15.5522137Z",
"resourceId": "/tenants/<TENANT ID>/providers/Microsoft.aadiam",
"operationName": "Sign-in activity",
"operationVersion": "1.0",
"category": "SignInLogs",
"tenantId": "<TENANT ID>",
"resultType": "50140",
"resultSignature": "None",
"resultDescription": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in.",
"durationMs": 0,
"callerIpAddress": "<CALLER IP ADDRESS>",
"correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
"identity": "Timothy Perkins",
"Level": 4,
"location": "US",
"properties":
{
"id": "0231f922-93fa-4005-bb11-b344eca03c01",
"createdDateTime": "2019-03-12T16:02:15.5522137+00:00",
"userDisplayName": "Timothy Perkins",
"userPrincipalName": "<USER PRINCIPAL NAME>",
"userId": "<USER ID>",
"appId": "<APPLICATION ID>",
"appDisplayName": "Azure Portal",
"ipAddress": "<IP ADDRESS>",
"status": {
"errorCode": 50140,
"failureReason": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in."
},
"clientAppUsed": "Browser",
"userAgent": "<USER AGENT>",
"deviceDetail":
{
"deviceId": "8bfcb982-6856-4402-924c-ada2486321cc",
"operatingSystem": "Windows 10",
"browser": "Chrome 72.0.3626"
},
"location":
{
"city": "Bellevue",
"state": "Washington",
"countryOrRegion": "US",
"geoCoordinates":
{
"latitude": 45,
"longitude": 122
}
},
"correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
"conditionalAccessStatus": "notApplied",
"appliedConditionalAccessPolicies": [
{
"id": "ae11ffaa-9879-44e0-972c-7538fd5c4d1a",
"displayName": "HR app access policy",
"enforcedGrantControls": [
"Mfa"
],
"enforcedSessionControls": [],
"result": "notApplied",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "b915a70b-2eee-47b6-85b6-ff4f4a66256d",
"displayName": "MFA for all but global support access",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "830f27fa-67a8-461f-8791-635b7225caf1",
"displayName": "Header Based Application Control",
"enforcedGrantControls": [
"Mfa"
],
"enforcedSessionControls": [],
"result": "notApplied",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "8ed8d7f7-0a2e-437b-b512-9e47bed562e6",
"displayName": "MFA for everyones",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "52924e0f-798b-4afd-8c42-49055c7d6395",
"displayName": "Device compliant",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
}
],
"originalRequestId": "f2f0a254-f831-43b9-bcb0-2646fb645c00",
"isInteractive": true,
"authenticationProcessingDetails": [
{
"key": "Login Hint Present",
"value": "True"
}
],
"networkLocationDetails": [],
"processingTimeInMilliseconds": 238,
"riskDetail": "none",
"riskLevelAggregated": "none",
"riskLevelDuringSignIn": "none",
"riskState": "none",
"riskEventTypes": [],
"riskEventTypes_v2": [],
"resourceDisplayName": "Office 365 SharePoint Online",
"resourceId": "00000003-0000-0ff1-ce00-000000000000",
"resourceTenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"homeTenantId": "<USER HOME TENANT ID>",
"tokenIssuerName": "",
"tokenIssuerType": "AzureAD",
"authenticationDetails": [
{
"authenticationStepDateTime": "2019-03-12T16:02:15.5522137+00:00",
"authenticationMethod": "Previously satisfied",
"succeeded": true,
"authenticationStepResultDetail": "First factor requirement satisfied by claim in the token",
"authenticationStepRequirement": "Primary authentication",
"StatusSequence": 0,
"RequestSequence": 0
},
{
"authenticationStepDateTime": "2021-08-12T15:48:12.8677211+00:00",
"authenticationMethod": "Previously satisfied",
"succeeded": true,
"authenticationStepResultDetail": "MFA requirement satisfied by claim in the token",
"authenticationStepRequirement": "Multi-factor authentication"
}
],
"authenticationRequirementPolicies": [
{
"requirementProvider": "multiConditionalAccess",
"detail": "Conditional Access"
}
],
"authenticationRequirement": "multiFactorAuthentication",
"alternateSignInName": "<ALTERNATE SIGN IN>",
"signInIdentifier": "<SIGN IN IDENTIFIER>",
"servicePrincipalId": "",
"userType": "Member",
"flaggedForReview": false,
"isTenantRestricted": false,
"autonomousSystemNumber": 8000,
"crossTenantAccessType": "none",
"privateLinkDetails": {},
"ssoExtensionVersion": ""
}
}
Deskripsi bidang
| Nama bidang | Kunci | Deskripsi |
|---|---|---|
| Waktu | - | Tanggal dan waktu, dalam UTC. |
| ResourceId | - | Nilai ini tidak dipetakan, dan Anda dapat mengabaikan bidang ini dengan aman. |
| OperationName | - | Untuk rincian masuk, nilai ini selalu Aktivitas masuk. |
| OperationVersion | - | Versi REST API yang diminta oleh klien. |
| Golongan | - | Untuk masuk, nilai ini selalu SignIn. |
| TenantId | - | GUID penyewa yang terkait dengan log. |
| ResultType | - | Hasil dari operasi masuk dapat berupa 0 untuk keberhasilan atau kode kesalahan untuk kegagalan. |
| ResultSignature | - | Nilai ini selalu Tidak Ada. |
| ResultDescription | T/A atau kosong | Menyediakan deskripsi kesalahan untuk operasi masuk. |
| riskDetail | riskDetail | Memberikan 'alasan' di balik kondisi tertentu dari pengguna berisiko, rincian masuk, atau deteksi risiko. Nilai yang mungkin adalah: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, unknownFutureValue. Nilai none berarti tidak ada tindakan yang dilakukan pada pengguna atau rincian masuk sejauh ini. Catatan: Detail untuk properti ini memerlukan lisensi Microsoft Entra ID P2. Lisensi lain mengembalikan nilai hidden. |
| riskEventTypes | riskEventTypes | Jenis deteksi risiko yang terkait dengan rincian masuk. Nilai yang mungkin adalah: unlikelyTravel, anonymizedIPAddress, maliciousIPAddress, unfamiliarFeatures, malwareInfectedIPAddress, suspiciousIPAddress, leakedCredentials, investigationsThreatIntelligence, generic, dan unknownFutureValue. |
| authProcessingDetails | Pustaka Autentikasi Azure Active Directory | Berisi informasi Keluarga, Pustaka, dan Platform dalam format: "Keluarga: Pustaka Autentikasi Microsoft: PLATFORM ADAL.JS 1.0.0: JS" |
| authProcessingDetails | IsCAEToken | Nilainya adalah Benar atau Salah |
| riskLevelAggregated | riskLevel | Tingkat risiko agregat. Nilai yang mungkin adalah: none, low, medium, high, hidden, dan unknownFutureValue. Nilai hidden berarti pengguna atau rincian masuk tidak diaktifkan untuk Microsoft Entra ID Protection. Catatan: Detail untuk properti ini hanya tersedia untuk pelanggan Microsoft Entra ID P2. Semua pelanggan lainnya akan dikembalikan hidden. |
| riskLevelDuringSignIn | riskLevel | Tingkat risiko selama masuk. Nilai yang mungkin adalah: none, low, medium, high, hidden, dan unknownFutureValue. Nilai hidden berarti pengguna atau rincian masuk tidak diaktifkan untuk Microsoft Entra ID Protection. Catatan: Detail untuk properti ini hanya tersedia untuk pelanggan Microsoft Entra ID P2. Semua pelanggan lainnya akan dikembalikan hidden. |
| riskState | riskState | Melaporkan status pengguna berisiko, rincian masuk, atau deteksi risiko. Nilai yang mungkin adalah: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| DurationMs | - | Nilai ini tidak dipetakan, dan Anda dapat mengabaikan bidang ini dengan aman. |
| CallerIpAddress | - | Alamat IP klien yang membuat permintaan. |
| CorrelationId | - | GUID opsional yang diteruskan oleh klien. Nilai ini dapat membantu menghubungkan operasi sisi klien dengan operasi sisi server, dan berguna saat Anda melacak log yang menjangkau layanan. |
| Identitas | - | Identitas dari token yang diberikan saat Anda membuat permintaan. Identitas itu bisa saja akun pengguna, akun sistem, atau perwakilan layanan. |
| Tingkat | - | Menyediakan jenis pesan. Untuk audit, tingkat selalu bersifat Informasional. |
| Lokasi | - | Menyediakan lokasi aktivitas masuk. |
| Properti | - | Mencantumkan semua properti yang terkait dengan rincian masuk. |
| ResultType | - | Berisi kode kesalahan Microsoft Entra untuk peristiwa masuk (jika ada kode kesalahan). |