Interpretar o esquema de logs de entrada do Microsoft Entra no Azure Monitor
Este artigo descreve o esquema de log de entrada do Microsoft Entra no Azure Monitor. As informações relacionadas a entradas são fornecidas sob o atributo Properties do records
objeto.
{
"time": "2019-03-12T16:02:15.5522137Z",
"resourceId": "/tenants/<TENANT ID>/providers/Microsoft.aadiam",
"operationName": "Sign-in activity",
"operationVersion": "1.0",
"category": "SignInLogs",
"tenantId": "<TENANT ID>",
"resultType": "50140",
"resultSignature": "None",
"resultDescription": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in.",
"durationMs": 0,
"callerIpAddress": "<CALLER IP ADDRESS>",
"correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
"identity": "Timothy Perkins",
"Level": 4,
"location": "US",
"properties":
{
"id": "0231f922-93fa-4005-bb11-b344eca03c01",
"createdDateTime": "2019-03-12T16:02:15.5522137+00:00",
"userDisplayName": "Timothy Perkins",
"userPrincipalName": "<USER PRINCIPAL NAME>",
"userId": "<USER ID>",
"appId": "<APPLICATION ID>",
"appDisplayName": "Azure Portal",
"ipAddress": "<IP ADDRESS>",
"status": {
"errorCode": 50140,
"failureReason": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in."
},
"clientAppUsed": "Browser",
"userAgent": "<USER AGENT>",
"deviceDetail":
{
"deviceId": "8bfcb982-6856-4402-924c-ada2486321cc",
"operatingSystem": "Windows 10",
"browser": "Chrome 72.0.3626"
},
"location":
{
"city": "Bellevue",
"state": "Washington",
"countryOrRegion": "US",
"geoCoordinates":
{
"latitude": 45,
"longitude": 122
}
},
"correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
"conditionalAccessStatus": "notApplied",
"appliedConditionalAccessPolicies": [
{
"id": "ae11ffaa-9879-44e0-972c-7538fd5c4d1a",
"displayName": "HR app access policy",
"enforcedGrantControls": [
"Mfa"
],
"enforcedSessionControls": [],
"result": "notApplied",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "b915a70b-2eee-47b6-85b6-ff4f4a66256d",
"displayName": "MFA for all but global support access",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "830f27fa-67a8-461f-8791-635b7225caf1",
"displayName": "Header Based Application Control",
"enforcedGrantControls": [
"Mfa"
],
"enforcedSessionControls": [],
"result": "notApplied",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "8ed8d7f7-0a2e-437b-b512-9e47bed562e6",
"displayName": "MFA for everyones",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "52924e0f-798b-4afd-8c42-49055c7d6395",
"displayName": "Device compliant",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
}
],
"originalRequestId": "f2f0a254-f831-43b9-bcb0-2646fb645c00",
"isInteractive": true,
"authenticationProcessingDetails": [
{
"key": "Login Hint Present",
"value": "True"
}
],
"networkLocationDetails": [],
"processingTimeInMilliseconds": 238,
"riskDetail": "none",
"riskLevelAggregated": "none",
"riskLevelDuringSignIn": "none",
"riskState": "none",
"riskEventTypes": [],
"riskEventTypes_v2": [],
"resourceDisplayName": "Office 365 SharePoint Online",
"resourceId": "00000003-0000-0ff1-ce00-000000000000",
"resourceTenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"homeTenantId": "<USER HOME TENANT ID>",
"tokenIssuerName": "",
"tokenIssuerType": "AzureAD",
"authenticationDetails": [
{
"authenticationStepDateTime": "2019-03-12T16:02:15.5522137+00:00",
"authenticationMethod": "Previously satisfied",
"succeeded": true,
"authenticationStepResultDetail": "First factor requirement satisfied by claim in the token",
"authenticationStepRequirement": "Primary authentication",
"StatusSequence": 0,
"RequestSequence": 0
},
{
"authenticationStepDateTime": "2021-08-12T15:48:12.8677211+00:00",
"authenticationMethod": "Previously satisfied",
"succeeded": true,
"authenticationStepResultDetail": "MFA requirement satisfied by claim in the token",
"authenticationStepRequirement": "Multi-factor authentication"
}
],
"authenticationRequirementPolicies": [
{
"requirementProvider": "multiConditionalAccess",
"detail": "Conditional Access"
}
],
"authenticationRequirement": "multiFactorAuthentication",
"alternateSignInName": "<ALTERNATE SIGN IN>",
"signInIdentifier": "<SIGN IN IDENTIFIER>",
"servicePrincipalId": "",
"userType": "Member",
"flaggedForReview": false,
"isTenantRestricted": false,
"autonomousSystemNumber": 8000,
"crossTenantAccessType": "none",
"privateLinkDetails": {},
"ssoExtensionVersion": ""
}
}
Descrições dos campos
Nome do campo | Key | Description |
---|---|---|
Time | - | A data e a hora, em UTC. |
ResourceId | - | Esse valor não está mapeado e você pode ignorar esse campo com segurança. |
OperationName | - | Para logins, esse valor é sempre Atividade de entrada. |
OperationVersion | - | A versão da API REST solicitada pelo cliente. |
Categoria | - | Para logins, esse valor é sempre SignIn. |
Identificação do locatário | - | O GUID do locatário associado aos logs. |
ResultType | - | O resultado da operação de entrada pode ser 0 para êxito ou um código de erro para falha. |
ResultSignature | - | Este valor é sempre Nenhum. |
ResultDescription | N/A ou em branco | Fornece a descrição do erro para a operação de entrada. |
riscoDetalhe | riscoDetalhe | Fornece o "motivo" por trás de um estado específico de um usuário arriscado, login ou uma deteção de risco. Os valores possíveis são: none , , , , , , , , adminConfirmedSigninSafe userPassedMFADrivenByRiskBasedPolicy aiConfirmedSigninSafe , . adminGeneratedTemporaryPassword userPerformedSecuredPasswordChange userPerformedSecuredPasswordReset adminDismissedAllRiskForUser adminConfirmedSigninCompromised unknownFutureValue O valor none significa que nenhuma ação foi executada no usuário ou entrar até agora. Nota: Os detalhes desta propriedade requerem uma licença Microsoft Entra ID P2. Outras licenças devolvem o valor hidden . |
riskEventTypes | riskEventTypes | Tipos de deteção de risco associados ao início de sessão. Os valores possíveis são: unlikelyTravel , , , , , , , anonymizedIPAddress suspiciousIPAddress leakedCredentials , , maliciousIPAddress malwareInfectedIPAddress investigationsThreatIntelligence unfamiliarFeatures generic e .unknownFutureValue |
authProcessingDetalhes | Biblioteca de Autenticação do Ative Directory do Azure | Contém informações da Família, Biblioteca e Plataforma no formato: "Família: Biblioteca de Autenticação Microsoft: ADAL.JS 1.0.0 Plataforma: JS" |
authProcessingDetalhes | IsCAEToken | Os valores são Verdadeiros ou Falso |
riscoNívelAgregado | Nível de risco | Nível de risco agregado. Os valores possíveis são: none , , , , hidden , high low medium e .unknownFutureValue O valor hidden significa que o usuário ou entrada não foi habilitado para a Proteção de ID do Microsoft Entra. Nota: Os detalhes desta propriedade só estão disponíveis para clientes do Microsoft Entra ID P2. Todos os outros clientes serão devolvidos hidden . |
riskLevelDuringSignIn | Nível de risco | Nível de risco durante o início de sessão. Os valores possíveis são: none , , , , hidden , high low medium e .unknownFutureValue O valor hidden significa que o usuário ou entrada não foi habilitado para a Proteção de ID do Microsoft Entra. Nota: Os detalhes desta propriedade só estão disponíveis para clientes do Microsoft Entra ID P2. Todos os outros clientes serão devolvidos hidden . |
Estado de risco | Estado de risco | Relata o status do usuário de risco, login ou uma deteção de risco. Os valores possíveis são: none , , , remediated confirmedSafe , , , unknownFutureValue dismissed atRisk confirmedCompromised . |
DurationMs | - | Esse valor não está mapeado e você pode ignorar esse campo com segurança. |
CallerIpAddress | - | O endereço IP do cliente que fez a solicitação. |
CorrelationId | - | O GUID opcional que é passado pelo cliente. Esse valor pode ajudar a correlacionar operações do lado do cliente com operações do lado do servidor, e é útil quando você está rastreando logs que abrangem serviços. |
Identidade | - | A identidade do token que foi apresentado quando você fez a solicitação. Pode ser uma conta de usuário, conta do sistema ou entidade de serviço. |
Nível | - | Fornece o tipo de mensagem. Para auditoria, é sempre informativo. |
Localização | - | Fornece o local da atividade de entrada. |
Propriedades | - | Lista todas as propriedades associadas a entradas. |
ResultType | - | Contém o código de erro do Microsoft Entra para o evento de entrada (se um código de erro estava presente). |
Próximos passos
- Interpret audit logs schema in Azure Monitor (Interpretar o esquema dos registos de auditoria no Azure Monitor)
- Leia mais sobre os logs da plataforma Azure