Zapytania dotyczące tabeli AADServicePrincipalSignInLogs

Aby uzyskać informacje na temat korzystania z tych zapytań w witrynie Azure Portal, zobacz Samouczek usługi Log Analytics. Aby zapoznać się z interfejsem API REST, zobacz Zapytanie.

Najbardziej aktywne jednostki usługi

Pobiera listę 100 najbardziej aktywnych jednostek usługi w ciągu ostatniego dnia.

AADServicePrincipalSignInLogs
| where TimeGenerated > ago(1d)
| summarize CountPerServicePrincipal = count() by ServicePrincipalId
| order by CountPerServicePrincipal desc
| take 100

Nieaktywne jednostki usługi

Jednostki usługi, które nie miały żadnych logów w ciągu ostatnich 30d.

AADServicePrincipalSignInLogs
| where TimeGenerated > ago(90d)
| where ResultType == 0
| summarize LastSignIn = max(TimeGenerated) by ServicePrincipalId
| where LastSignIn < ago(30d)