Azure İzleyici'de Microsoft Entra oturum açma günlükleri şemasını yorumlama
Bu makalede, Azure İzleyici'de Microsoft Entra oturum açma günlüğü şeması açıklanmaktadır. Oturum açma işlemleriyle ilgili bilgiler, nesnenin Properties özniteliği records
altında sağlanır.
{
"time": "2019-03-12T16:02:15.5522137Z",
"resourceId": "/tenants/<TENANT ID>/providers/Microsoft.aadiam",
"operationName": "Sign-in activity",
"operationVersion": "1.0",
"category": "SignInLogs",
"tenantId": "<TENANT ID>",
"resultType": "50140",
"resultSignature": "None",
"resultDescription": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in.",
"durationMs": 0,
"callerIpAddress": "<CALLER IP ADDRESS>",
"correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
"identity": "Timothy Perkins",
"Level": 4,
"location": "US",
"properties":
{
"id": "0231f922-93fa-4005-bb11-b344eca03c01",
"createdDateTime": "2019-03-12T16:02:15.5522137+00:00",
"userDisplayName": "Timothy Perkins",
"userPrincipalName": "<USER PRINCIPAL NAME>",
"userId": "<USER ID>",
"appId": "<APPLICATION ID>",
"appDisplayName": "Azure Portal",
"ipAddress": "<IP ADDRESS>",
"status": {
"errorCode": 50140,
"failureReason": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in."
},
"clientAppUsed": "Browser",
"userAgent": "<USER AGENT>",
"deviceDetail":
{
"deviceId": "8bfcb982-6856-4402-924c-ada2486321cc",
"operatingSystem": "Windows 10",
"browser": "Chrome 72.0.3626"
},
"location":
{
"city": "Bellevue",
"state": "Washington",
"countryOrRegion": "US",
"geoCoordinates":
{
"latitude": 45,
"longitude": 122
}
},
"correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
"conditionalAccessStatus": "notApplied",
"appliedConditionalAccessPolicies": [
{
"id": "ae11ffaa-9879-44e0-972c-7538fd5c4d1a",
"displayName": "HR app access policy",
"enforcedGrantControls": [
"Mfa"
],
"enforcedSessionControls": [],
"result": "notApplied",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "b915a70b-2eee-47b6-85b6-ff4f4a66256d",
"displayName": "MFA for all but global support access",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "830f27fa-67a8-461f-8791-635b7225caf1",
"displayName": "Header Based Application Control",
"enforcedGrantControls": [
"Mfa"
],
"enforcedSessionControls": [],
"result": "notApplied",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "8ed8d7f7-0a2e-437b-b512-9e47bed562e6",
"displayName": "MFA for everyones",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "52924e0f-798b-4afd-8c42-49055c7d6395",
"displayName": "Device compliant",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
}
],
"originalRequestId": "f2f0a254-f831-43b9-bcb0-2646fb645c00",
"isInteractive": true,
"authenticationProcessingDetails": [
{
"key": "Login Hint Present",
"value": "True"
}
],
"networkLocationDetails": [],
"processingTimeInMilliseconds": 238,
"riskDetail": "none",
"riskLevelAggregated": "none",
"riskLevelDuringSignIn": "none",
"riskState": "none",
"riskEventTypes": [],
"riskEventTypes_v2": [],
"resourceDisplayName": "Office 365 SharePoint Online",
"resourceId": "00000003-0000-0ff1-ce00-000000000000",
"resourceTenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"homeTenantId": "<USER HOME TENANT ID>",
"tokenIssuerName": "",
"tokenIssuerType": "AzureAD",
"authenticationDetails": [
{
"authenticationStepDateTime": "2019-03-12T16:02:15.5522137+00:00",
"authenticationMethod": "Previously satisfied",
"succeeded": true,
"authenticationStepResultDetail": "First factor requirement satisfied by claim in the token",
"authenticationStepRequirement": "Primary authentication",
"StatusSequence": 0,
"RequestSequence": 0
},
{
"authenticationStepDateTime": "2021-08-12T15:48:12.8677211+00:00",
"authenticationMethod": "Previously satisfied",
"succeeded": true,
"authenticationStepResultDetail": "MFA requirement satisfied by claim in the token",
"authenticationStepRequirement": "Multi-factor authentication"
}
],
"authenticationRequirementPolicies": [
{
"requirementProvider": "multiConditionalAccess",
"detail": "Conditional Access"
}
],
"authenticationRequirement": "multiFactorAuthentication",
"alternateSignInName": "<ALTERNATE SIGN IN>",
"signInIdentifier": "<SIGN IN IDENTIFIER>",
"servicePrincipalId": "",
"userType": "Member",
"flaggedForReview": false,
"isTenantRestricted": false,
"autonomousSystemNumber": 8000,
"crossTenantAccessType": "none",
"privateLinkDetails": {},
"ssoExtensionVersion": ""
}
}
Alan açıklamaları
Alan adı | Tuş | Açıklama |
---|---|---|
Süre | - | UTC olarak tarih ve saat. |
ResourceId | - | Bu değer eşlenmemiştir ve bu alanı güvenle yoksayabilirsiniz. |
OperationName | - | Oturum açma işlemleri için bu değer her zaman Oturum açma etkinliğidir. |
OperationVersion | - | İstemci tarafından istenen REST API sürümü. |
Kategori | - | Oturum açma işlemleri için bu değer her zaman SignIn değeridir. |
TenantId | - | Günlüklerle ilişkili kiracı GUID'i. |
ResultType | - | Oturum açma işleminin sonucu başarılı veya hata için bir hata kodu olabilir0 . |
ResultSignature | - | Bu değer her zaman Hiçbiri'dir. |
ResultDescription | Yok veya boş | Oturum açma işlemi için hata açıklamasını sağlar. |
riskDetail | riskDetail | Riskli bir kullanıcının, oturum açmanın veya risk algılamanın belirli bir durumunun ardındaki 'nedeni' sağlar. Olası değerler şunlardır: , , , , userPerformedSecuredPasswordReset , adminConfirmedSigninSafe , , userPassedMFADrivenByRiskBasedPolicy adminDismissedAllRiskForUser aiConfirmedSigninSafe adminConfirmedSigninCompromised , . unknownFutureValue userPerformedSecuredPasswordChange adminGeneratedTemporaryPassword none Değer none , kullanıcıda veya oturum açmada şu ana kadar hiçbir eylem gerçekleştirildiği anlamına gelir. Not: Bu özelliğin ayrıntıları için Bir Microsoft Entra Id P2 lisansı gerekir. Diğer lisanslar değerini hidden döndürür. |
riskEventTypes | riskEventTypes | Oturum açma ile ilişkili risk algılama türleri. Olası değerler şunlardır: , , , , , malwareInfectedIPAddress , , suspiciousIPAddress , investigationsThreatIntelligence leakedCredentials , generic ve unknownFutureValue . unfamiliarFeatures maliciousIPAddress anonymizedIPAddress unlikelyTravel |
authProcessingDetails | Azure Active Directory Kimlik Doğrulama Kitaplığı | Aile, Kitaplık ve Platform bilgilerini biçiminde içerir: "Aile: Microsoft Kimlik Doğrulama Kitaplığı: ADAL.JS 1.0.0 Platform: JS" |
authProcessingDetails | IsCAEToken | Değerler Doğru veya Yanlış |
riskLevelAggregated | riskLevel | Toplu risk düzeyi. Olası değerler şunlardır: none , low , medium , high , hidden , ve unknownFutureValue . Değerihidden , kullanıcının veya oturum açmanın Microsoft Entra Kimlik Koruması için etkinleştirilmemiş olduğu anlamına gelir. Not: Bu özelliğin ayrıntıları yalnızca Microsoft Entra ID P2 müşterileri tarafından kullanılabilir. Diğer tüm müşteriler döndürülür hidden . |
riskLevelDuringSignIn | riskLevel | Oturum açma sırasında risk düzeyi. Olası değerler şunlardır: none , low , medium , high , hidden , ve unknownFutureValue . Değerihidden , kullanıcının veya oturum açmanın Microsoft Entra Kimlik Koruması için etkinleştirilmemiş olduğu anlamına gelir. Not: Bu özelliğin ayrıntıları yalnızca Microsoft Entra ID P2 müşterileri tarafından kullanılabilir. Diğer tüm müşteriler döndürülür hidden . |
riskState | riskState | Riskli kullanıcının, oturum açmanın veya risk algılamanın durumunu bildirir. Olası değerler şunlardır: , , , , , atRisk , confirmedCompromised , unknownFutureValue . dismissed remediated confirmedSafe none |
DurationMs | - | Bu değer eşlenmemiştir ve bu alanı güvenle yoksayabilirsiniz. |
CallerIpAddress | - | İsteği yapan istemcinin IP adresi. |
CorrelationId | - | İstemci tarafından geçirilen isteğe bağlı GUID. Bu değer, istemci tarafı işlemlerini sunucu tarafı işlemleriyle ilişkilendirmeye yardımcı olabilir ve hizmetlere yayılan günlükleri izlerken yararlıdır. |
Kimlik | - | İsteği yaptığınızda sunulan belirteçten gelen kimlik. Bu bir kullanıcı hesabı, sistem hesabı veya hizmet sorumlusu olabilir. |
Düzey | - | İleti türünü sağlar. Denetim için her zaman Bilgilendirme amaçlıdır. |
Konum | - | Oturum açma etkinliğinin konumunu sağlar. |
Özellikler | - | Oturum açma işlemleriyle ilişkili tüm özellikleri listeler. |
ResultType | - | Oturum açma olayı için Microsoft Entra hata kodunu içerir (bir hata kodu varsa). |