Интерпретация схемы журналов входа Microsoft Entra в Azure Monitor
В этой статье описывается схема журнала входа Microsoft Entra в Azure Monitor. Сведения, связанные с входами, предоставляются в атрибуте records Properties объекта.
{
"time": "2019-03-12T16:02:15.5522137Z",
"resourceId": "/tenants/<TENANT ID>/providers/Microsoft.aadiam",
"operationName": "Sign-in activity",
"operationVersion": "1.0",
"category": "SignInLogs",
"tenantId": "<TENANT ID>",
"resultType": "50140",
"resultSignature": "None",
"resultDescription": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in.",
"durationMs": 0,
"callerIpAddress": "<CALLER IP ADDRESS>",
"correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
"identity": "Timothy Perkins",
"Level": 4,
"location": "US",
"properties":
{
"id": "0231f922-93fa-4005-bb11-b344eca03c01",
"createdDateTime": "2019-03-12T16:02:15.5522137+00:00",
"userDisplayName": "Timothy Perkins",
"userPrincipalName": "<USER PRINCIPAL NAME>",
"userId": "<USER ID>",
"appId": "<APPLICATION ID>",
"appDisplayName": "Azure Portal",
"ipAddress": "<IP ADDRESS>",
"status": {
"errorCode": 50140,
"failureReason": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in."
},
"clientAppUsed": "Browser",
"userAgent": "<USER AGENT>",
"deviceDetail":
{
"deviceId": "8bfcb982-6856-4402-924c-ada2486321cc",
"operatingSystem": "Windows 10",
"browser": "Chrome 72.0.3626"
},
"location":
{
"city": "Bellevue",
"state": "Washington",
"countryOrRegion": "US",
"geoCoordinates":
{
"latitude": 45,
"longitude": 122
}
},
"correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
"conditionalAccessStatus": "notApplied",
"appliedConditionalAccessPolicies": [
{
"id": "ae11ffaa-9879-44e0-972c-7538fd5c4d1a",
"displayName": "HR app access policy",
"enforcedGrantControls": [
"Mfa"
],
"enforcedSessionControls": [],
"result": "notApplied",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "b915a70b-2eee-47b6-85b6-ff4f4a66256d",
"displayName": "MFA for all but global support access",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "830f27fa-67a8-461f-8791-635b7225caf1",
"displayName": "Header Based Application Control",
"enforcedGrantControls": [
"Mfa"
],
"enforcedSessionControls": [],
"result": "notApplied",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "8ed8d7f7-0a2e-437b-b512-9e47bed562e6",
"displayName": "MFA for everyones",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "52924e0f-798b-4afd-8c42-49055c7d6395",
"displayName": "Device compliant",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
}
],
"originalRequestId": "f2f0a254-f831-43b9-bcb0-2646fb645c00",
"isInteractive": true,
"authenticationProcessingDetails": [
{
"key": "Login Hint Present",
"value": "True"
}
],
"networkLocationDetails": [],
"processingTimeInMilliseconds": 238,
"riskDetail": "none",
"riskLevelAggregated": "none",
"riskLevelDuringSignIn": "none",
"riskState": "none",
"riskEventTypes": [],
"riskEventTypes_v2": [],
"resourceDisplayName": "Office 365 SharePoint Online",
"resourceId": "00000003-0000-0ff1-ce00-000000000000",
"resourceTenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"homeTenantId": "<USER HOME TENANT ID>",
"tokenIssuerName": "",
"tokenIssuerType": "AzureAD",
"authenticationDetails": [
{
"authenticationStepDateTime": "2019-03-12T16:02:15.5522137+00:00",
"authenticationMethod": "Previously satisfied",
"succeeded": true,
"authenticationStepResultDetail": "First factor requirement satisfied by claim in the token",
"authenticationStepRequirement": "Primary authentication",
"StatusSequence": 0,
"RequestSequence": 0
},
{
"authenticationStepDateTime": "2021-08-12T15:48:12.8677211+00:00",
"authenticationMethod": "Previously satisfied",
"succeeded": true,
"authenticationStepResultDetail": "MFA requirement satisfied by claim in the token",
"authenticationStepRequirement": "Multi-factor authentication"
}
],
"authenticationRequirementPolicies": [
{
"requirementProvider": "multiConditionalAccess",
"detail": "Conditional Access"
}
],
"authenticationRequirement": "multiFactorAuthentication",
"alternateSignInName": "<ALTERNATE SIGN IN>",
"signInIdentifier": "<SIGN IN IDENTIFIER>",
"servicePrincipalId": "",
"userType": "Member",
"flaggedForReview": false,
"isTenantRestricted": false,
"autonomousSystemNumber": 8000,
"crossTenantAccessType": "none",
"privateLinkDetails": {},
"ssoExtensionVersion": ""
}
}
Описания полей
| Имя поля | Ключ. | Description |
|---|---|---|
| Time | - | Дата и время в формате UTC. |
| ResourceId | - | Это значение не сопоставлено, и его можно игнорировать. |
| OperationName | - | Для операций входа это поле всегда имеет значение Sign-in activity. |
| OperationVersion | - | Запрошенная клиентом версия REST API. |
| Категория | - | Для операций входа это поле всегда имеет значение SignIn. |
| TenantId | - | Связанный с журналами уникальный идентификатор (GUID) клиента. |
| ResultType | - | Результатом операции входа может быть 0 при успешном выполнении или код ошибки в случае сбоя. |
| ResultSignature | - | Всегда имеет значение None. |
| ResultDescription | Не используется или пусто | Содержит описание ошибки, которая возникла во время входа. |
| riskDetail | riskDetail | Предоставляет "причину" состояния для конкретного пользователя, совершающего рискованные действия, входа или обнаружения риска. Возможные значения: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, unknownFutureValue. Значение none означает, что для пользователя или входа пока не было выполнено никаких действий. Примечание. Сведения об этом свойстве требуют лицензии Microsoft Entra ID P2. Другие лицензии возвращают значение hidden. |
| riskEventTypes | riskEventTypes | Типы обнаружения рисков, связанные со входом. Возможные значения: unlikelyTravel, anonymizedIPAddress, maliciousIPAddress, unfamiliarFeatures, malwareInfectedIPAddress, suspiciousIPAddress, leakedCredentials, investigationsThreatIntelligence, generic и unknownFutureValue. |
| authProcessingDetails | Библиотека проверки подлинности Azure Active Directory | Содержит сведения о семействе, библиотеке и платформе в формате "Семейство: библиотека проверки подлинности Майкрософт: ADAL.JS 1.0.0. Платформа: JS" |
| authProcessingDetails | IsCAEToken | Принимает значения true и false. |
| riskLevelAggregated | riskLevel | Агрегированный уровень риска. Возможные значения: none, low, medium, high, hidden и unknownFutureValue. Это значение hidden означает, что для Защита идентификации Microsoft Entra не включен пользователь или вход. Примечание. Сведения об этом свойстве доступны только для клиентов Microsoft Entra ID P2. Всем остальным клиентам будет возвращаться hidden. |
| riskLevelDuringSignIn | riskLevel | Уровень риска во время входа. Возможные значения: none, low, medium, high, hidden и unknownFutureValue. Это значение hidden означает, что для Защита идентификации Microsoft Entra не включен пользователь или вход. Примечание. Сведения об этом свойстве доступны только для клиентов Microsoft Entra ID P2. Всем остальным клиентам будет возвращаться hidden. |
| riskState | riskState | Возвращает состояние пользователя, совершающего рискованные действия, входа или обнаружения риска. Возможные значения: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| DurationMs | - | Это значение не сопоставлено, и его можно игнорировать. |
| CallerIpAddress | - | IP-адрес отправившего запрос клиента. |
| CorrelationId | - | Необязательный код GUID, который передал клиент. Это значение может помочь найти связь между операциями на стороне клиента и операциями на стороне сервера. Кроме того, оно может пригодиться при отслеживании журналов, в которые записываются данные о многих службах. |
| Идентификация | - | Удостоверение из маркера, предоставленное при выполнении запроса. Это может быть учетная запись пользователя, системная учетная запись или субъект-служба. |
| Уровень | - | Предоставляет тип сообщения. Для операций аудита это поле всегда имеет значение Informational. |
| Location | - | Содержит сведения о местонахождении, в котором выполнялась операция входа. |
| Свойства | - | Содержит все свойства, связанные с операциями входа. |
| ResultType | - | Содержит код ошибки Microsoft Entra для события входа (если код ошибки присутствует). |
Следующие шаги
- Interpret the Azure AD audit logs schema in Azure Monitor (preview) (Интерпретация схемы журналов аудита Azure Active Directory в Azure Monitor (предварительная версия))
- Общие сведения о журналах платформы Azure