Esquema de log de entrada no Azure Monitor - Microsoft Entra ID

Artigo
10/25/2023

Este artigo descreve o esquema de log de entrada do Microsoft Entra no Azure Monitor. As informações relacionadas a entradas são fornecidas sob o atributo Properties do records objeto.

{
  "time": "2019-03-12T16:02:15.5522137Z",
  "resourceId": "/tenants/<TENANT ID>/providers/Microsoft.aadiam",
  "operationName": "Sign-in activity",
  "operationVersion": "1.0",
  "category": "SignInLogs",
  "tenantId": "<TENANT ID>",
  "resultType": "50140",
  "resultSignature": "None",
  "resultDescription": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in.",
  "durationMs": 0,
  "callerIpAddress": "<CALLER IP ADDRESS>",
  "correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
  "identity": "Timothy Perkins",
  "Level": 4,
  "location": "US",
  "properties": 
       {
    "id": "0231f922-93fa-4005-bb11-b344eca03c01",
    "createdDateTime": "2019-03-12T16:02:15.5522137+00:00",
    "userDisplayName": "Timothy Perkins",
    "userPrincipalName": "<USER PRINCIPAL NAME>",
    "userId": "<USER ID>",
    "appId": "<APPLICATION ID>",
    "appDisplayName": "Azure Portal",
    "ipAddress": "<IP ADDRESS>",
    "status": {
      "errorCode": 50140,
      "failureReason": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in."
    },
    "clientAppUsed": "Browser",
    "userAgent": "<USER AGENT>",
    "deviceDetail":
   {
     "deviceId": "8bfcb982-6856-4402-924c-ada2486321cc",
     "operatingSystem": "Windows 10",
     "browser": "Chrome 72.0.3626"
     },
    "location":
    {
      "city": "Bellevue",
      "state": "Washington",
      "countryOrRegion": "US",
      "geoCoordinates": 
     {
        "latitude": 45,
        "longitude": 122
      }
    },
    "correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
    "conditionalAccessStatus": "notApplied",
    "appliedConditionalAccessPolicies": [
      {
        "id": "ae11ffaa-9879-44e0-972c-7538fd5c4d1a",
        "displayName": "HR app access policy",
        "enforcedGrantControls": [
          "Mfa"
        ],
        "enforcedSessionControls": [],
        "result": "notApplied",
        "conditionsSatisfied": 0,
        "conditionsNotSatisfied": 0
      },
      {
        "id": "b915a70b-2eee-47b6-85b6-ff4f4a66256d",
        "displayName": "MFA for all but global support access",
        "enforcedGrantControls": [],
        "enforcedSessionControls": [],
        "result": "notEnabled",
        "conditionsSatisfied": 0,
        "conditionsNotSatisfied": 0
      },
      {
        "id": "830f27fa-67a8-461f-8791-635b7225caf1",
        "displayName": "Header Based Application Control",
        "enforcedGrantControls": [
          "Mfa"
        ],
        "enforcedSessionControls": [],
        "result": "notApplied",
        "conditionsSatisfied": 0,
        "conditionsNotSatisfied": 0
      },
      {
        "id": "8ed8d7f7-0a2e-437b-b512-9e47bed562e6",
        "displayName": "MFA for everyones",
        "enforcedGrantControls": [],
        "enforcedSessionControls": [],
        "result": "notEnabled",
        "conditionsSatisfied": 0,
        "conditionsNotSatisfied": 0
      },
      {
        "id": "52924e0f-798b-4afd-8c42-49055c7d6395",
        "displayName": "Device compliant",
        "enforcedGrantControls": [],
        "enforcedSessionControls": [],
        "result": "notEnabled",
        "conditionsSatisfied": 0,
        "conditionsNotSatisfied": 0
      }
    ],
    "originalRequestId": "f2f0a254-f831-43b9-bcb0-2646fb645c00",
    "isInteractive": true,
    "authenticationProcessingDetails": [
      {
        "key": "Login Hint Present",
        "value": "True"
      }
    ],
    "networkLocationDetails": [],
    "processingTimeInMilliseconds": 238,
    "riskDetail": "none",
    "riskLevelAggregated": "none",
    "riskLevelDuringSignIn": "none",
    "riskState": "none",
    "riskEventTypes": [],
    "riskEventTypes_v2": [],
    "resourceDisplayName": "Office 365 SharePoint Online",
    "resourceId": "00000003-0000-0ff1-ce00-000000000000",
    "resourceTenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
    "homeTenantId": "<USER HOME TENANT ID>",
    "tokenIssuerName": "",
    "tokenIssuerType": "AzureAD",
    "authenticationDetails": [
      {
        "authenticationStepDateTime": "2019-03-12T16:02:15.5522137+00:00",
        "authenticationMethod": "Previously satisfied",
        "succeeded": true,
        "authenticationStepResultDetail": "First factor requirement satisfied by claim in the token",
        "authenticationStepRequirement": "Primary authentication",
        "StatusSequence": 0,
        "RequestSequence": 0
      },
      {
        "authenticationStepDateTime": "2021-08-12T15:48:12.8677211+00:00",
        "authenticationMethod": "Previously satisfied",
        "succeeded": true,
        "authenticationStepResultDetail": "MFA requirement satisfied by claim in the token",
        "authenticationStepRequirement": "Multi-factor authentication"
      }
    ],
    "authenticationRequirementPolicies": [
      {
        "requirementProvider": "multiConditionalAccess",
        "detail": "Conditional Access"
      }
    ],
    "authenticationRequirement": "multiFactorAuthentication",
    "alternateSignInName": "<ALTERNATE SIGN IN>",
    "signInIdentifier": "<SIGN IN IDENTIFIER>",
    "servicePrincipalId": "",
    "userType": "Member",
    "flaggedForReview": false,
    "isTenantRestricted": false,
    "autonomousSystemNumber": 8000,
    "crossTenantAccessType": "none",
    "privateLinkDetails": {},
    "ssoExtensionVersion": ""
    }
}

Descrições dos campos

Nome do campo	Key	Description
Time	-	A data e a hora, em UTC.
ResourceId	-	Esse valor não está mapeado e você pode ignorar esse campo com segurança.
OperationName	-	Para logins, esse valor é sempre Atividade de entrada.
OperationVersion	-	A versão da API REST solicitada pelo cliente.
Categoria	-	Para logins, esse valor é sempre SignIn.
Identificação do locatário	-	O GUID do locatário associado aos logs.
ResultType	-	O resultado da operação de entrada pode ser `0` para êxito ou um código de erro para falha.
ResultSignature	-	Este valor é sempre Nenhum.
ResultDescription	N/A ou em branco	Fornece a descrição do erro para a operação de entrada.
riscoDetalhe	riscoDetalhe	Fornece o "motivo" por trás de um estado específico de um usuário arriscado, login ou uma deteção de risco. Os valores possíveis são: `none`, , , , , , , , `adminConfirmedSigninSafeuserPassedMFADrivenByRiskBasedPolicyaiConfirmedSigninSafe`, . `adminGeneratedTemporaryPassworduserPerformedSecuredPasswordChangeuserPerformedSecuredPasswordResetadminDismissedAllRiskForUseradminConfirmedSigninCompromisedunknownFutureValue` O valor `none` significa que nenhuma ação foi executada no usuário ou entrar até agora. Nota: Os detalhes desta propriedade requerem uma licença Microsoft Entra ID P2. Outras licenças devolvem o valor `hidden`.
riskEventTypes	riskEventTypes	Tipos de deteção de risco associados ao início de sessão. Os valores possíveis são: `unlikelyTravel`, , , , , , , `anonymizedIPAddresssuspiciousIPAddressleakedCredentials`, , `maliciousIPAddressmalwareInfectedIPAddressinvestigationsThreatIntelligenceunfamiliarFeaturesgeneric`e .`unknownFutureValue`
authProcessingDetalhes	Biblioteca de Autenticação do Ative Directory do Azure	Contém informações da Família, Biblioteca e Plataforma no formato: "Família: Biblioteca de Autenticação Microsoft: ADAL.JS 1.0.0 Plataforma: JS"
authProcessingDetalhes	IsCAEToken	Os valores são Verdadeiros ou Falso
riscoNívelAgregado	Nível de risco	Nível de risco agregado. Os valores possíveis são: `none`, , , , `hidden`, `highlowmedium`e .`unknownFutureValue` O valor `hidden` significa que o usuário ou entrada não foi habilitado para a Proteção de ID do Microsoft Entra. Nota: Os detalhes desta propriedade só estão disponíveis para clientes do Microsoft Entra ID P2. Todos os outros clientes serão devolvidos `hidden`.
riskLevelDuringSignIn	Nível de risco	Nível de risco durante o início de sessão. Os valores possíveis são: `none`, , , , `hidden`, `highlowmedium`e .`unknownFutureValue` O valor `hidden` significa que o usuário ou entrada não foi habilitado para a Proteção de ID do Microsoft Entra. Nota: Os detalhes desta propriedade só estão disponíveis para clientes do Microsoft Entra ID P2. Todos os outros clientes serão devolvidos `hidden`.
Estado de risco	Estado de risco	Relata o status do usuário de risco, login ou uma deteção de risco. Os valores possíveis são: `none`, , , `remediatedconfirmedSafe`, , , `unknownFutureValuedismissedatRiskconfirmedCompromised`.
DurationMs	-	Esse valor não está mapeado e você pode ignorar esse campo com segurança.
CallerIpAddress	-	O endereço IP do cliente que fez a solicitação.
CorrelationId	-	O GUID opcional que é passado pelo cliente. Esse valor pode ajudar a correlacionar operações do lado do cliente com operações do lado do servidor, e é útil quando você está rastreando logs que abrangem serviços.
Identidade	-	A identidade do token que foi apresentado quando você fez a solicitação. Pode ser uma conta de usuário, conta do sistema ou entidade de serviço.
Nível	-	Fornece o tipo de mensagem. Para auditoria, é sempre informativo.
Localização	-	Fornece o local da atividade de entrada.
Propriedades	-	Lista todas as propriedades associadas a entradas.
ResultType	-	Contém o código de erro do Microsoft Entra para o evento de entrada (se um código de erro estava presente).

Próximos passos

Interpret audit logs schema in Azure Monitor (Interpretar o esquema dos registos de auditoria no Azure Monitor)
Leia mais sobre os logs da plataforma Azure

Interpretar o esquema de logs de entrada do Microsoft Entra no Azure Monitor

Descrições dos campos

Próximos passos

Recursos adicionais