Azure Monitor에서 Microsoft Entra 로그인 로그 스키마 해석
이 문서에서는 Azure Monitor에서 Microsoft Entra 로그인 로그 스키마를 설명합니다. 로그인과 관련된 정보는 records
개체의 속성 특성 아래에 제공됩니다.
{
"time": "2019-03-12T16:02:15.5522137Z",
"resourceId": "/tenants/<TENANT ID>/providers/Microsoft.aadiam",
"operationName": "Sign-in activity",
"operationVersion": "1.0",
"category": "SignInLogs",
"tenantId": "<TENANT ID>",
"resultType": "50140",
"resultSignature": "None",
"resultDescription": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in.",
"durationMs": 0,
"callerIpAddress": "<CALLER IP ADDRESS>",
"correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
"identity": "Timothy Perkins",
"Level": 4,
"location": "US",
"properties":
{
"id": "0231f922-93fa-4005-bb11-b344eca03c01",
"createdDateTime": "2019-03-12T16:02:15.5522137+00:00",
"userDisplayName": "Timothy Perkins",
"userPrincipalName": "<USER PRINCIPAL NAME>",
"userId": "<USER ID>",
"appId": "<APPLICATION ID>",
"appDisplayName": "Azure Portal",
"ipAddress": "<IP ADDRESS>",
"status": {
"errorCode": 50140,
"failureReason": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in."
},
"clientAppUsed": "Browser",
"userAgent": "<USER AGENT>",
"deviceDetail":
{
"deviceId": "8bfcb982-6856-4402-924c-ada2486321cc",
"operatingSystem": "Windows 10",
"browser": "Chrome 72.0.3626"
},
"location":
{
"city": "Bellevue",
"state": "Washington",
"countryOrRegion": "US",
"geoCoordinates":
{
"latitude": 45,
"longitude": 122
}
},
"correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
"conditionalAccessStatus": "notApplied",
"appliedConditionalAccessPolicies": [
{
"id": "ae11ffaa-9879-44e0-972c-7538fd5c4d1a",
"displayName": "HR app access policy",
"enforcedGrantControls": [
"Mfa"
],
"enforcedSessionControls": [],
"result": "notApplied",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "b915a70b-2eee-47b6-85b6-ff4f4a66256d",
"displayName": "MFA for all but global support access",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "830f27fa-67a8-461f-8791-635b7225caf1",
"displayName": "Header Based Application Control",
"enforcedGrantControls": [
"Mfa"
],
"enforcedSessionControls": [],
"result": "notApplied",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "8ed8d7f7-0a2e-437b-b512-9e47bed562e6",
"displayName": "MFA for everyones",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "52924e0f-798b-4afd-8c42-49055c7d6395",
"displayName": "Device compliant",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
}
],
"originalRequestId": "f2f0a254-f831-43b9-bcb0-2646fb645c00",
"isInteractive": true,
"authenticationProcessingDetails": [
{
"key": "Login Hint Present",
"value": "True"
}
],
"networkLocationDetails": [],
"processingTimeInMilliseconds": 238,
"riskDetail": "none",
"riskLevelAggregated": "none",
"riskLevelDuringSignIn": "none",
"riskState": "none",
"riskEventTypes": [],
"riskEventTypes_v2": [],
"resourceDisplayName": "Office 365 SharePoint Online",
"resourceId": "00000003-0000-0ff1-ce00-000000000000",
"resourceTenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"homeTenantId": "<USER HOME TENANT ID>",
"tokenIssuerName": "",
"tokenIssuerType": "AzureAD",
"authenticationDetails": [
{
"authenticationStepDateTime": "2019-03-12T16:02:15.5522137+00:00",
"authenticationMethod": "Previously satisfied",
"succeeded": true,
"authenticationStepResultDetail": "First factor requirement satisfied by claim in the token",
"authenticationStepRequirement": "Primary authentication",
"StatusSequence": 0,
"RequestSequence": 0
},
{
"authenticationStepDateTime": "2021-08-12T15:48:12.8677211+00:00",
"authenticationMethod": "Previously satisfied",
"succeeded": true,
"authenticationStepResultDetail": "MFA requirement satisfied by claim in the token",
"authenticationStepRequirement": "Multi-factor authentication"
}
],
"authenticationRequirementPolicies": [
{
"requirementProvider": "multiConditionalAccess",
"detail": "Conditional Access"
}
],
"authenticationRequirement": "multiFactorAuthentication",
"alternateSignInName": "<ALTERNATE SIGN IN>",
"signInIdentifier": "<SIGN IN IDENTIFIER>",
"servicePrincipalId": "",
"userType": "Member",
"flaggedForReview": false,
"isTenantRestricted": false,
"autonomousSystemNumber": 8000,
"crossTenantAccessType": "none",
"privateLinkDetails": {},
"ssoExtensionVersion": ""
}
}
필드 설명
필드 이름 | Key | 설명 |
---|---|---|
Time | - | UTC 형식의 날짜 및 시간입니다. |
ResourceId | - | 이 값이 매핑 해제되며 이 필드를 안전하게 무시할 수 있습니다. |
OperationName | - | 로그인의 경우 이 값은 항상 로그인 활동입니다. |
OperationVersion | - | 클라이언트에서 요청한 REST API 버전입니다. |
범주 | - | 로그인의 경우 이 값은 항상 SignIn입니다. |
TenantId | - | 로그와 연결된 테넌트 GUID입니다. |
ResultType | - | 로그인 작업의 결과는 성공의 경우 0 , 실패의 경우 ‘오류 코드’일 수 있습니다. |
ResultSignature | - | 이 값은 항상 ‘None’입니다. |
ResultDescription | 해당 없음 또는 공백 | 로그인 작업에 대한 오류 설명을 제공합니다. |
riskDetail | riskDetail | 위험한 사용자, 로그인 또는 위험 검색의 특정 상태 뒤에 'reason'을 제공합니다. 사용 가능한 값은 none , adminGeneratedTemporaryPassword , userPerformedSecuredPasswordChange , userPerformedSecuredPasswordReset , adminConfirmedSigninSafe , aiConfirmedSigninSafe , userPassedMFADrivenByRiskBasedPolicy , adminDismissedAllRiskForUser , adminConfirmedSigninCompromised , unknownFutureValue 입니다. none 값은 지금까지 사용자 또는 로그인에 대해 수행된 작업이 없음을 의미합니다. 참고: 이 속성에 대한 세부 정보에는 Microsoft Entra ID P2 라이선스가 필요합니다. 다른 라이선스는 hidden 값을 반환합니다. |
riskEventTypes | riskEventTypes | 로그인과 관련된 위험 감지 유형입니다. 가능한 값은 unlikelyTravel , anonymizedIPAddress , maliciousIPAddress , unfamiliarFeatures , malwareInfectedIPAddress , suspiciousIPAddress , leakedCredentials , investigationsThreatIntelligence , generic , unknownFutureValue 입니다. |
authProcessingDetails | Azure Active Directory 인증 라이브러리 | "패밀리: Microsoft 인증 라이브러리: ADAL.JS 1.0.0 플랫폼: JS" 형식의 제품군, 라이브러리 및 플랫폼 정보가 포함되어 있습니다. |
authProcessingDetails | IsCAEToken | 값은 True 또는 False입니다. |
riskLevelAggregated | riskLevel | 집계된 위험 수준. 사용 가능한 값은 none , low , medium , high , hidden 및 unknownFutureValue 입니다. hidden 값은 사용자 또는 로그인이 Microsoft Entra ID 보호에 대해 사용하도록 설정되지 않았음을 의미합니다. 참고: 이 속성에 대한 세부 정보는 Microsoft Entra ID P2 고객만 사용할 수 있습니다. 다른 모든 고객은 hidden 으로 반환됩니다. |
riskLevelDuringSignIn | riskLevel | 로그인 중의 위험 수준. 사용 가능한 값은 none , low , medium , high , hidden 및 unknownFutureValue 입니다. hidden 값은 사용자 또는 로그인이 Microsoft Entra ID 보호에 대해 사용하도록 설정되지 않았음을 의미합니다. 참고: 이 속성에 대한 세부 정보는 Microsoft Entra ID P2 고객만 사용할 수 있습니다. 다른 모든 고객은 hidden 으로 반환됩니다. |
riskState | riskState | 위험한 사용자, 로그인 또는 위험 감지의 상태를 보고합니다. 사용 가능한 값은 none , confirmedSafe , remediated , dismissed , atRisk , confirmedCompromised , unknownFutureValue 입니다. |
DurationMs | - | 이 값이 매핑 해제되며 이 필드를 안전하게 무시할 수 있습니다. |
callerIpAddress | - | 요청한 클라이언트의 IP 주소입니다. |
CorrelationId | - | 클라이언트에서 전달한 선택적 GUID입니다. 이 값은 클라이언트 쪽 작업을 서버 쪽 작업과 상관 관계를 지정하는 데 도움이 될 수 있으며, 서비스에 걸쳐 있는 로그를 추적하는 경우에 유용합니다. |
ID | - | 요청할 때 제공된 토큰의 ID입니다. 사용자 계정, 시스템 계정 또는 서비스 사용자일 수 있습니다. |
수준 | - | 메시지의 형식을 제공합니다. 감사의 경우 항상 Informational입니다. |
위치 | - | 로그인 활동의 위치를 제공합니다. |
속성 | - | 로그인과 연결된 모든 속성을 나열합니다. |
ResultType | - | 로그인 이벤트에 대한 Microsoft Entra 오류 코드를 포함합니다(오류 코드가 있는 경우). |