Запросы для таблицы SigninLogs

Статья
02/23/2024

Все события SiginLogs

Все события входа в Azure.

SigninLogs
| project UserDisplayName, Identity,UserPrincipalName,  AppDisplayName, AppId, ResourceDisplayName

Ресурсы, к которым обращается пользователь

Списки ресурсов, доступных для определенного пользователя.

// Set v_Users_UPN with the UPN of the user of interest
let v_Users_UPN = "osotnoc@contoso.com";
SigninLogs
| where UserPrincipalName == v_Users_UPN
| summarize Count=count()  by ResourceDisplayName, AppDisplayName

Число пользователей на ресурс

Количество различий, если пользователи по ресурсам.

SigninLogs
| project UserDisplayName, Identity,UserPrincipalName,  AppDisplayName, AppId, ResourceDisplayName
| summarize UserCount=dcount(UserPrincipalName) by ResourceDisplayName

Число пользователей на приложение

Уникальное число пользователей по приложениям.

SigninLogs
| project UserDisplayName, Identity,UserPrincipalName,  AppDisplayName, AppId, ResourceDisplayName
| summarize UserCount=dcount(UserPrincipalName) by AppDisplayName

В запросе перечислены main причины сбоев входа.

SigninLogs
| where ResultType != 0
| summarize Count=count() by ResultDescription, ResultType
| sort by Count desc nulls last

Сбой запроса MFA

Выделяет сбои входа, вызванные сбоем запроса MFA.

SigninLogs
| where ResultType == 50074
| project UserDisplayName, Identity,UserPrincipalName, ResultDescription,  AppDisplayName, AppId, ResourceDisplayName
| summarize FailureCount=count(), FailedResources=dcount(ResourceDisplayName), ResultDescription=any(ResultDescription) by UserDisplayName

Неудачные попытки автоматического входа в приложение.

SigninLogs
| where ResultType == 50058
| project UserDisplayName, Identity,UserPrincipalName, ResultDescription,  AppDisplayName, AppId, ResourceDisplayName
| summarize FailureCount=count(), FailedResources=dcount(ResourceDisplayName), ResultDescription=any(ResultDescription) by UserDisplayName

Ресурсы с большинством неудачных попыток входа.

SigninLogs
| where ResultType !=0
| summarize FailedLoginCount=count() by ResourceDisplayName
| sort by FailedLoginCount desc nulls last

Сбой и успешное выполнение входов по расположению источника.

SigninLogs
| summarize Successful=countif(ResultType==0), Failed=countif(ResultType!=0) by Location

Входы в ресурс

Списки входов в API.

SigninLogs
| where ResourceDisplayName == "Windows Azure Service Management API"
| project TimeGenerated, UserDisplayName, Identity,UserPrincipalName,  AppDisplayName, Success=iff(ResultType==0, "Success", "Fail")

Share via

Запросы для таблицы SigninLogs

Все события SiginLogs

Ресурсы, к которым обращается пользователь

Число пользователей на ресурс

Число пользователей на приложение

Сбой запроса MFA

Входы в ресурс

Обратная связь

Обратная связь

Дополнительные ресурсы

Share via

Запросы для таблицы SigninLogs

Все события SiginLogs

Ресурсы, к которым обращается пользователь

Число пользователей на ресурс

Число пользователей на приложение

Причины сбоя входа

Сбой запроса MFA

Приложение, завершилось сбоем, пыталось выполнить автоматический вход

Число неудачных попыток входа

Расположения входа

Входы в ресурс

Обратная связь

Обратная связь

Дополнительные ресурсы