Delen via

Query's voor de tabel SigninLogs

  • Artikel

Zie de zelfstudie over Log Analytics voor meer informatie over het gebruik van deze query's in Azure Portal. Zie Query voor de REST API.

Alle SiginLogs-gebeurtenissen

Alle Azure-aanmeldingsevenementen.

SigninLogs
| project UserDisplayName, Identity,UserPrincipalName,  AppDisplayName, AppId, ResourceDisplayName

Resources die worden geopend door de gebruiker

Geeft een lijst weer van de resources die worden geopend voor een specifieke gebruiker.

// Set v_Users_UPN with the UPN of the user of interest
let v_Users_UPN = "osotnoc@contoso.com";
SigninLogs
| where UserPrincipalName == v_Users_UPN
| summarize Count=count()  by ResourceDisplayName, AppDisplayName

Aantal gebruikers per resource

Uniek aantal als gebruikers per resource.

SigninLogs
| project UserDisplayName, Identity,UserPrincipalName,  AppDisplayName, AppId, ResourceDisplayName
| summarize UserCount=dcount(UserPrincipalName) by ResourceDisplayName

Aantal gebruikers per toepassing

Uniek aantal gebruikers per toepassing.

SigninLogs
| project UserDisplayName, Identity,UserPrincipalName,  AppDisplayName, AppId, ResourceDisplayName
| summarize UserCount=dcount(UserPrincipalName) by AppDisplayName

Mislukte aanmeldingsredenen

De query bevat de belangrijkste redenen voor mislukte aanmeldingen.

SigninLogs
| where ResultType != 0
| summarize Count=count() by ResultDescription, ResultType
| sort by Count desc nulls last

Mislukte MFA-uitdaging

Markeert mislukte aanmeldingen die worden veroorzaakt door een mislukte MFA-uitdaging.

SigninLogs
| where ResultType == 50074
| project UserDisplayName, Identity,UserPrincipalName, ResultDescription,  AppDisplayName, AppId, ResourceDisplayName
| summarize FailureCount=count(), FailedResources=dcount(ResourceDisplayName), ResultDescription=any(ResultDescription) by UserDisplayName

Mislukte app heeft stille aanmelding geprobeerd

Mislukte aanmeldingspogingen voor stille apps.

SigninLogs
| where ResultType == 50058
| project UserDisplayName, Identity,UserPrincipalName, ResultDescription,  AppDisplayName, AppId, ResourceDisplayName
| summarize FailureCount=count(), FailedResources=dcount(ResourceDisplayName), ResultDescription=any(ResultDescription) by UserDisplayName

Aantal mislukte aanmeldingen

Resources met de meeste mislukte aanmeldingspogingen.

SigninLogs
| where ResultType !=0
| summarize FailedLoginCount=count() by ResourceDisplayName
| sort by FailedLoginCount desc nulls last

Aanmeldingslocaties

Mislukte en geslaagde sig ins per bronlocatie.

SigninLogs
| summarize Successful=countif(ResultType==0), Failed=countif(ResultType!=0) by Location

Aanmeldingen bij resource

Een lijst met API-aanmeldingen.

SigninLogs
| where ResourceDisplayName == "Windows Azure Service Management API"
| project TimeGenerated, UserDisplayName, Identity,UserPrincipalName,  AppDisplayName, Success=iff(ResultType==0, "Success", "Fail")