SigninLogs
表属性
Attribute | 值 |
---|---|
资源类型 | microsoft.graph/tenants |
类别 | Azure 资源、安全性 |
解决方案 | LogManagement |
基本日志 | 否 |
引入时间转换 | 是 |
示例查询 | 是 |
列
列 | 类型 | 说明 |
---|---|---|
AADTenantId | 字符串 | |
AlternateSignInName | 字符串 | 用户提供的用于登录的标识。 它可能是 userPrincipalName,但当用户使用其他标识符登录时也会填充它。 |
AppDisplayName | 字符串 | Azure 门户中显示的应用程序名称。 |
AppId | 字符串 | Azure Active Directory 中的应用程序标识符。 |
AppliedConditionalAccessPolicies | 字符串 | |
AppliedEventListeners | dynamic | 有关由登录事件中的相应事件触发的侦听器的详细信息,例如 Azure 逻辑应用和Azure Functions。 |
AuthenticationContextClassReferences | 字符串 | 包含一个值集合,这些值表示应用于登录的条件访问身份验证上下文。 |
AuthenticationDetails | 字符串 | 身份验证尝试的结果以及有关身份验证方法的其他详细信息。 |
AuthenticationMethodsUsed | 字符串 | 使用的身份验证方法。 可能的值:SMS、Authenticator 应用、应用验证码、密码、FIDO、PTA 或 PHS。 |
AuthenticationProcessingDetails | 字符串 | 其他身份验证处理详细信息,例如 PTA/PHS 中的代理名称,如果是联合身份验证,则为服务器/场名称。 |
AuthenticationProtocol | 字符串 | Lists身份验证中使用的协议类型或授权类型。 可能的值为:none、oAuth2、ropc、wsFederation、saml20、deviceCode。 对于使用列出的可能值以外的协议的身份验证,协议类型将列为“无”。 |
AuthenticationRequirement | 字符串 | 这可以保留所有登录步骤所需的最高级别的身份验证,以便成功登录。 |
AuthenticationRequirementPolicies | 字符串 | 身份验证要求的来源,例如条件访问、每用户 MFA、标识保护和安全默认值。 |
AutonomousSystemNumber | 字符串 | 自治系统编号 (执行组件使用的网络的 ASN) 。 |
_BilledSize | real | 记录大小(以字节为单位) |
Category | string | |
ClientAppUsed | 字符串 | 用于登录活动的旧客户端。 例如:浏览器、Exchange ActiveSync、新式客户端、IMAP、MAPI、SMTP 或 POP。 |
ConditionalAccessPolicies | dynamic | 由相应的登录活动触发的条件访问策略列表。 |
ConditionalAccessStatus | 字符串 | 触发的条件访问策略的状态。 可能的值:success、failure 或 notApplied。 |
CorrelationId | 字符串 | 启动登录时从客户端发送的标识符。 这用于在请求支持时对相应的登录活动进行故障排除。 |
CreatedDateTime | datetime | 启动登录的日期和时间。 时间戳类型始终采用 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 |
CrossTenantAccessType | 字符串 | 描述执行组件用于访问资源的跨租户访问类型。 |
DeviceDetail | dynamic | 发生登录的设备信息。 包括 deviceId、OS 和浏览器等信息。 |
DurationMs | long | |
FlaggedForReview | bool | 在登录失败期间,用户可以单击Azure 门户中的按钮,为租户管理员标记失败事件。 如果用户单击了用于标记失败登录的按钮,则此值为 true。 |
HomeTenantId | 字符串 | 发起登录的用户的租户标识符。 不适用于托管标识或服务主体登录。 |
ID | 字符串 | 表示登录活动的标识符。 |
标识 | 字符串 | 登录中标识的参与者的显示名称。 |
IPAddress | string | 发生登录的客户端的 IP 地址。 |
IPAddressFromResourceProvider | 字符串 | 用户用于访问资源提供程序的 IP 地址,用于确定某些策略的条件访问符合性。 例如,当用户与Exchange Online交互时,Exchange 从用户收到的 IP 地址可能会记录在此处。 此值通常为 null。 |
_IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
IsInteractive | bool | 指示用户登录是否为交互式登录。 在交互式登录中,用户向 Azure AD 提供身份验证因素。 这些因素包括密码、对 MFA 质询的响应、生物识别因素或用户提供给 Azure AD 或关联应用的 QR 码。 在非交互式登录中,用户不提供身份验证因素。 相反,客户端应用使用令牌或代码来代表用户对资源进行身份验证或访问。 非交互式登录通常用于客户端在对用户透明的进程中代表用户登录。 |
IsRisky | bool | |
级别 | string | |
位置 | string | 登录所在的 2 字母国家/地区代码。 根据提供的 IP 地址,此值可能并不总是解析为城市或区域级别的详细信息。 |
LocationDetails | dynamic | 提供登录所在的城市、州、国家/地区和纬度和经度。 |
MfaDetail | dynamic | 此属性已弃用。 |
NetworkLocationDetails | 字符串 | 网络位置详细信息,包括所用网络的类型及其名称。 |
OperationName | string | |
OperationVersion | 字符串 | |
OriginalRequestId | 字符串 | 身份验证序列中第一个请求的请求标识符。 |
ProcessingTimeInMilliseconds | 字符串 | |
资源 | 字符串 | |
ResourceDisplayName | 字符串 | 用户登录到的资源的名称。 |
ResourceGroup | 字符串 | |
ResourceId | 字符串 | 用户登录的资源的标识符。 |
ResourceIdentity | 字符串 | 用户登录的资源。 |
ResourceProvider | 字符串 | |
ResourceServicePrincipalId | 字符串 | 表示登录事件中目标资源的服务主体的标识符。 |
ResourceTenantId | 字符串 | 登录中引用的资源的租户标识符。 |
ResultDescription | 字符串 | 提供相应登录活动的错误消息或失败原因。 |
ResultSignature | 字符串 | |
ResultType | 字符串 | 提供登录事件期间生成的 5-6 位错误代码。 0 表示成功;其他值为失败。 可以使用 Azure AD 错误代码文档或 https://login.microsoftonline.com/error查找详细信息。 |
RiskDetail | 字符串 | 风险用户、登录或风险事件的特定状态背后的原因。 可能的值:none、adminGeneratedTemporaryPassword、userPerformedSecuredPasswordChange、userPerformedSecuredPasswordReset、adminConfirmedSigninSafe、aiConfirmedSigninSafe、userPassedMFADrivenByRiskBasedPolicy、adminDismissedAllRiskForUser 或 adminConfirmedSigninCompromised。 值 none 表示到目前为止尚未对用户或登录执行任何操作。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。 所有其他客户返回隐藏状态。 |
RiskEventTypes | 字符串 | 此属性已弃用。 |
RiskEventTypes_V2 | 字符串 | 与登录关联的风险事件类型的列表。 可能的值:不太可能的Travel、匿名化IPAddress、maliciousIPAddress、unfliarFeatures、malwareInfectedIPAddress、suspiciousIPAddress、leakedCredentials、investigationsThreatIntelligence 或 generic。 |
RiskLevel | 字符串 | |
RiskLevelAggregated | 字符串 | 聚合风险级别。 可能的值:无、低、中、高或隐藏。 隐藏值表示未为 Azure AD 标识保护启用用户或登录。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。 所有其他客户返回隐藏。 |
RiskLevelDuringSignIn | 字符串 | 登录期间的风险级别。 可能的值:无、低、中、高或隐藏。 隐藏值表示未为 Azure AD 标识保护启用用户或登录。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。 所有其他客户返回隐藏。 |
RiskState | 字符串 | 有风险的用户、登录或风险事件的风险状态。 可能的值:none、confirmedSafe、remediated、dismissed、atRisk 或 confirmedCompromised。 |
ServicePrincipalId | 字符串 | 用于登录的应用程序标识符。 使用应用程序登录时,将填充此字段。 |
ServicePrincipalName | 字符串 | 用于登录的应用程序名称。 使用应用程序登录时,将填充此字段。 |
SessionLifetimePolicies | 字符串 | 在登录事件期间应用的任何条件访问会话管理策略。 |
SignInIdentifier | 字符串 | 用户提供的用于登录的标识。 它可能是 userPrincipalName,但当用户使用其他标识符登录时也会填充它。 |
SignInIdentifierType | 字符串 | 登录标识符的类型。 可能的值为:userPrincipalName、phoneNumber、proxyAddress、qrCode、onPremisesUserPrincipalName。 |
SourceSystem | 字符串 | 事件所收集的代理的类型。 例如,OpsManager 对于 Windows 代理,直接连接或 Operations Manager,Linux 对于所有 Linux 代理,或者Azure 对于 Azure 诊断 |
状态 | dynamic | 登录状态。 包括错误代码和错误说明, (登录失败) 。 |
TimeGenerated | datetime | |
TokenIssuerName | 字符串 | 标识提供者的名称。 例如,sts.microsoft.com。 |
TokenIssuerType | 字符串 | 标识提供者的类型。 可能的值为:AzureAD 或 ADFederationServices、AzureADBackupAuth、ADFederationServicesMFAAdapter、NPSExtension。 |
类型 | 字符串 | 表的名称 |
UniqueTokenIdentifier | 字符串 | 唯一的 base64 编码请求标识符,用于跟踪 Azure AD 颁发的令牌,因为它们在资源提供程序上兑换。 |
UserAgent | 字符串 | 与登录相关的用户代理信息。 |
UserDisplayName | 字符串 | 用户的显示名称。 |
UserId | string | 用户的标识符。 |
UserPrincipalName | 字符串 | 用户的 UPN。 |
UserType | 字符串 | 标识用户是租户中的成员还是来宾。 可能的值为:member 和 guest。 |
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈