Azure İzleyici'de Microsoft Entra oturum açma günlükleri şemasını yorumlama

Bu makalede, Azure İzleyici'de Microsoft Entra oturum açma günlüğü şeması açıklanmaktadır. Oturum açma işlemleriyle ilgili bilgiler, nesnenin Properties özniteliği records altında sağlanır.

{
  "time": "2019-03-12T16:02:15.5522137Z",
  "resourceId": "/tenants/<TENANT ID>/providers/Microsoft.aadiam",
  "operationName": "Sign-in activity",
  "operationVersion": "1.0",
  "category": "SignInLogs",
  "tenantId": "<TENANT ID>",
  "resultType": "50140",
  "resultSignature": "None",
  "resultDescription": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in.",
  "durationMs": 0,
  "callerIpAddress": "<CALLER IP ADDRESS>",
  "correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
  "identity": "Timothy Perkins",
  "Level": 4,
  "location": "US",
  "properties": 
       {
    "id": "0231f922-93fa-4005-bb11-b344eca03c01",
    "createdDateTime": "2019-03-12T16:02:15.5522137+00:00",
    "userDisplayName": "Timothy Perkins",
    "userPrincipalName": "<USER PRINCIPAL NAME>",
    "userId": "<USER ID>",
    "appId": "<APPLICATION ID>",
    "appDisplayName": "Azure Portal",
    "ipAddress": "<IP ADDRESS>",
    "status": {
      "errorCode": 50140,
      "failureReason": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in."
    },
    "clientAppUsed": "Browser",
    "userAgent": "<USER AGENT>",
    "deviceDetail":
   {
     "deviceId": "8bfcb982-6856-4402-924c-ada2486321cc",
     "operatingSystem": "Windows 10",
     "browser": "Chrome 72.0.3626"
     },
    "location":
    {
      "city": "Bellevue",
      "state": "Washington",
      "countryOrRegion": "US",
      "geoCoordinates": 
     {
        "latitude": 45,
        "longitude": 122
      }
    },
    "correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
    "conditionalAccessStatus": "notApplied",
    "appliedConditionalAccessPolicies": [
      {
        "id": "ae11ffaa-9879-44e0-972c-7538fd5c4d1a",
        "displayName": "HR app access policy",
        "enforcedGrantControls": [
          "Mfa"
        ],
        "enforcedSessionControls": [],
        "result": "notApplied",
        "conditionsSatisfied": 0,
        "conditionsNotSatisfied": 0
      },
      {
        "id": "b915a70b-2eee-47b6-85b6-ff4f4a66256d",
        "displayName": "MFA for all but global support access",
        "enforcedGrantControls": [],
        "enforcedSessionControls": [],
        "result": "notEnabled",
        "conditionsSatisfied": 0,
        "conditionsNotSatisfied": 0
      },
      {
        "id": "830f27fa-67a8-461f-8791-635b7225caf1",
        "displayName": "Header Based Application Control",
        "enforcedGrantControls": [
          "Mfa"
        ],
        "enforcedSessionControls": [],
        "result": "notApplied",
        "conditionsSatisfied": 0,
        "conditionsNotSatisfied": 0
      },
      {
        "id": "8ed8d7f7-0a2e-437b-b512-9e47bed562e6",
        "displayName": "MFA for everyones",
        "enforcedGrantControls": [],
        "enforcedSessionControls": [],
        "result": "notEnabled",
        "conditionsSatisfied": 0,
        "conditionsNotSatisfied": 0
      },
      {
        "id": "52924e0f-798b-4afd-8c42-49055c7d6395",
        "displayName": "Device compliant",
        "enforcedGrantControls": [],
        "enforcedSessionControls": [],
        "result": "notEnabled",
        "conditionsSatisfied": 0,
        "conditionsNotSatisfied": 0
      }
    ],
    "originalRequestId": "f2f0a254-f831-43b9-bcb0-2646fb645c00",
    "isInteractive": true,
    "authenticationProcessingDetails": [
      {
        "key": "Login Hint Present",
        "value": "True"
      }
    ],
    "networkLocationDetails": [],
    "processingTimeInMilliseconds": 238,
    "riskDetail": "none",
    "riskLevelAggregated": "none",
    "riskLevelDuringSignIn": "none",
    "riskState": "none",
    "riskEventTypes": [],
    "riskEventTypes_v2": [],
    "resourceDisplayName": "Office 365 SharePoint Online",
    "resourceId": "00000003-0000-0ff1-ce00-000000000000",
    "resourceTenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
    "homeTenantId": "<USER HOME TENANT ID>",
    "tokenIssuerName": "",
    "tokenIssuerType": "AzureAD",
    "authenticationDetails": [
      {
        "authenticationStepDateTime": "2019-03-12T16:02:15.5522137+00:00",
        "authenticationMethod": "Previously satisfied",
        "succeeded": true,
        "authenticationStepResultDetail": "First factor requirement satisfied by claim in the token",
        "authenticationStepRequirement": "Primary authentication",
        "StatusSequence": 0,
        "RequestSequence": 0
      },
      {
        "authenticationStepDateTime": "2021-08-12T15:48:12.8677211+00:00",
        "authenticationMethod": "Previously satisfied",
        "succeeded": true,
        "authenticationStepResultDetail": "MFA requirement satisfied by claim in the token",
        "authenticationStepRequirement": "Multi-factor authentication"
      }
    ],
    "authenticationRequirementPolicies": [
      {
        "requirementProvider": "multiConditionalAccess",
        "detail": "Conditional Access"
      }
    ],
    "authenticationRequirement": "multiFactorAuthentication",
    "alternateSignInName": "<ALTERNATE SIGN IN>",
    "signInIdentifier": "<SIGN IN IDENTIFIER>",
    "servicePrincipalId": "",
    "userType": "Member",
    "flaggedForReview": false,
    "isTenantRestricted": false,
    "autonomousSystemNumber": 8000,
    "crossTenantAccessType": "none",
    "privateLinkDetails": {},
    "ssoExtensionVersion": ""
    }
}

Alan açıklamaları

Alan adı Tuş Açıklama
Süre - UTC olarak tarih ve saat.
ResourceId - Bu değer eşlenmemiştir ve bu alanı güvenle yoksayabilirsiniz.
OperationName - Oturum açma işlemleri için bu değer her zaman Oturum açma etkinliğidir.
OperationVersion - İstemci tarafından istenen REST API sürümü.
Kategori - Oturum açma işlemleri için bu değer her zaman SignIn değeridir.
TenantId - Günlüklerle ilişkili kiracı GUID'i.
ResultType - Oturum açma işleminin sonucu başarılı veya hata için bir hata kodu olabilir0.
ResultSignature - Bu değer her zaman Hiçbiri'dir.
ResultDescription Yok veya boş Oturum açma işlemi için hata açıklamasını sağlar.
riskDetail riskDetail Riskli bir kullanıcının, oturum açmanın veya risk algılamanın belirli bir durumunun ardındaki 'nedeni' sağlar. Olası değerler şunlardır: , , , , userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, , userPassedMFADrivenByRiskBasedPolicyadminDismissedAllRiskForUseraiConfirmedSigninSafeadminConfirmedSigninCompromised, . unknownFutureValueuserPerformedSecuredPasswordChangeadminGeneratedTemporaryPasswordnone Değer none , kullanıcıda veya oturum açmada şu ana kadar hiçbir eylem gerçekleştirildiği anlamına gelir.
Not: Bu özelliğin ayrıntıları için Bir Microsoft Entra Id P2 lisansı gerekir. Diğer lisanslar değerini hiddendöndürür.
riskEventTypes riskEventTypes Oturum açma ile ilişkili risk algılama türleri. Olası değerler şunlardır: , , , , , malwareInfectedIPAddress, , suspiciousIPAddress, investigationsThreatIntelligenceleakedCredentials, genericve unknownFutureValue. unfamiliarFeaturesmaliciousIPAddressanonymizedIPAddressunlikelyTravel
authProcessingDetails Azure Active Directory Kimlik Doğrulama Kitaplığı Aile, Kitaplık ve Platform bilgilerini biçiminde içerir: "Aile: Microsoft Kimlik Doğrulama Kitaplığı: ADAL.JS 1.0.0 Platform: JS"
authProcessingDetails IsCAEToken Değerler Doğru veya Yanlış
riskLevelAggregated riskLevel Toplu risk düzeyi. Olası değerler şunlardır: none, low, medium, high, hidden, ve unknownFutureValue. Değerihidden, kullanıcının veya oturum açmanın Microsoft Entra Kimlik Koruması için etkinleştirilmemiş olduğu anlamına gelir. Not: Bu özelliğin ayrıntıları yalnızca Microsoft Entra ID P2 müşterileri tarafından kullanılabilir. Diğer tüm müşteriler döndürülür hidden.
riskLevelDuringSignIn riskLevel Oturum açma sırasında risk düzeyi. Olası değerler şunlardır: none, low, medium, high, hidden, ve unknownFutureValue. Değerihidden, kullanıcının veya oturum açmanın Microsoft Entra Kimlik Koruması için etkinleştirilmemiş olduğu anlamına gelir. Not: Bu özelliğin ayrıntıları yalnızca Microsoft Entra ID P2 müşterileri tarafından kullanılabilir. Diğer tüm müşteriler döndürülür hidden.
riskState riskState Riskli kullanıcının, oturum açmanın veya risk algılamanın durumunu bildirir. Olası değerler şunlardır: , , , , , atRisk, confirmedCompromised, unknownFutureValue. dismissedremediatedconfirmedSafenone
DurationMs - Bu değer eşlenmemiştir ve bu alanı güvenle yoksayabilirsiniz.
CallerIpAddress - İsteği yapan istemcinin IP adresi.
CorrelationId - İstemci tarafından geçirilen isteğe bağlı GUID. Bu değer, istemci tarafı işlemlerini sunucu tarafı işlemleriyle ilişkilendirmeye yardımcı olabilir ve hizmetlere yayılan günlükleri izlerken yararlıdır.
Kimlik - İsteği yaptığınızda sunulan belirteçten gelen kimlik. Bu bir kullanıcı hesabı, sistem hesabı veya hizmet sorumlusu olabilir.
Düzey - İleti türünü sağlar. Denetim için her zaman Bilgilendirme amaçlıdır.
Konum - Oturum açma etkinliğinin konumunu sağlar.
Özellikler - Oturum açma işlemleriyle ilişkili tüm özellikleri listeler.
ResultType - Oturum açma olayı için Microsoft Entra hata kodunu içerir (bir hata kodu varsa).

Sonraki adımlar