Abfragen für die Tabelle ACSAuthIncomingOperations

  • Artikel

Auflisten unterschiedlicher Authentifizierungsvorgänge

Gibt alle unterschiedlichen Kombinationen von Authentifizierungsvorgangs- und Versionspaaren zurück.

ACSAuthIncomingOperations
| distinct OperationName, OperationVersion 
| limit 100

Berechnen der Dauer des Authentifizierungsvorgangs perzentile

Berechnet die 90., 95. und 99. Perzentile der Ausführungsdauer in Millisekunden für jeden Authentifizierungsvorgang. Sie kann so angepasst werden, dass sie für einen einzelnen Vorgang oder für andere Perzentilen ausgeführt werden kann.

ACSAuthIncomingOperations
// where OperationName == "<operation>" // This can be uncommented and specified to calculate only a single operation's duration percentiles
| summarize percentiles(DurationMs, 90, 95, 99) by OperationName, OperationVersion // calculate 90th, 95th, and 99th percentiles of each Operation
| limit 100

Top 5 IP-Adressen pro Authentifizierungsvorgang

Rufen Sie für jeden Authentifizierungsvorgang die 5 IP-Adressen ab, die diesen Vorgang am häufigsten aufgerufen haben.

ACSAuthIncomingOperations
// | where OperationName == "<operation>" // This can be uncommented and specified to calculate only a single operation's count
| top-nested of OperationName by dummy=max(0), // For all the Operations...
  top-nested 5 of CallerIpAddress by count() // List the IP address that have called that operation the most
| project-away dummy // Remove dummy line from the result set
| limit 100

Authentifizierungsbetriebsfehler

Listet jeden Authentifizierungsfehler auf, der nach Recency sortiert ist.

ACSAuthIncomingOperations
| where ResultType == "Failed"
| project TimeGenerated, OperationName, OperationVersion, ResultSignature, ResultDescription
| order by TimeGenerated desc
| limit 100

Ergebnisanzahl des Authentifizierungsvorgangs

Zählen Sie für jeden Authentifizierungsvorgang die Typen der zurückgegebenen Ergebnisse.

ACSAuthIncomingOperations
| summarize Count = count() by OperationName, ResultType //, ResultSignature // This can also be uncommented to determine the count of each ResultSignature for each ResultType 
| order by OperationName asc, Count desc
| limit 100