SigninLogs
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | microsoft.graph/tenants |
Kategorien | Azure-Ressourcen, Sicherheit |
Lösungen | LogManagement |
Standardprotokoll | No |
Transformation zur Erfassungszeit | Yes |
Beispielabfragen | Ja |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
AADTenantId | Zeichenfolge | |
AlternateSignInName | Zeichenfolge | Die Id, die der Benutzer für die Anmeldung angegeben hat. Es kann der userPrincipalName sein, aber er wird auch aufgefüllt, wenn sich ein Benutzer mit anderen Bezeichnern anmeldet. |
AppDisplayName | Zeichenfolge | Der Im Azure-Portal angezeigte Anwendungsname. |
AppId | Zeichenfolge | Der Anwendungsbezeichner in Azure Active Directory. |
AppliedConditionalAccessPolicies | Zeichenfolge | |
AppliedEventListeners | dynamisch | Ausführliche Informationen zu den Listenern, z. B. Azure Logic Apps und Azure Functions, die durch die entsprechenden Ereignisse im Anmeldeereignis ausgelöst wurden. |
AuthenticationContextClassReferences | Zeichenfolge | Enthält eine Auflistung von Werten, die die kontextbezogenen Authentifizierungskontexte für bedingten Zugriff darstellen, die auf die Anmeldung angewendet werden. |
AuthenticationDetails | Zeichenfolge | Das Ergebnis des Authentifizierungsversuchs und zusätzliche Details zur Authentifizierungsmethode. |
AuthenticationMethodsUsed | Zeichenfolge | Die verwendeten Authentifizierungsmethoden. Mögliche Werte: SMS, Authenticator-App, App-Überprüfungscode, Kennwort, FIDO, PTA oder PHS. |
AuthenticationProcessingDetails | Zeichenfolge | Zusätzliche Details zur Authentifizierungsverarbeitung, z. B. der Agentname im Fall von PTA/PHS oder Server-/Farmname bei Verbundauthentifizierung. |
AuthenticationProtocol | Zeichenfolge | Listen den protokoll- oder gewährungstyp, der bei der Authentifizierung verwendet wird. Die möglichen Werte sind: none, oAuth2, ropc, wsFederation, saml20, deviceCode. Für Authentifizierungen, die andere Protokolle als die aufgeführten möglichen Werte verwenden, wird der Protokolltyp als keine aufgeführt. |
AuthenticationRequirement | Zeichenfolge | Dies enthält die höchste Authentifizierungsebene, die für alle Anmeldeschritte erforderlich ist, damit die Anmeldung erfolgreich ist. |
AuthenticationRequirementPolicies | Zeichenfolge | Quellen der Authentifizierungsanforderung, z. B. bedingter Zugriff, MFA pro Benutzer, Identitätsschutz und Sicherheitsstandards. |
AutonomousSystemNumber | Zeichenfolge | Die Autonome Systemnummer (ASN) des netzwerks, das vom Akteur verwendet wird. |
_BilledSize | real | Die Datensatzgröße in Bytes |
Category | Zeichenfolge | |
ClientAppUsed | Zeichenfolge | Der Legacyclient, der für die Anmeldeaktivität verwendet wird. Beispiel: Browser, Exchange ActiveSync, Moderne Clients, IMAP, MAPI, SMTP oder POP. |
ConditionalAccessPolicies | dynamisch | Eine Liste der Richtlinien für bedingten Zugriff, die durch die entsprechende Anmeldeaktivität ausgelöst werden. |
ConditionalAccessStatus | Zeichenfolge | Die status der ausgelösten Richtlinie für bedingten Zugriff. Mögliche Werte: success, failure, or notApplied. |
CorrelationId | Zeichenfolge | Der Bezeichner, der vom Client gesendet wird, wenn die Anmeldung initiiert wird. Dies wird für die Problembehandlung der entsprechenden Anmeldeaktivität verwendet, wenn Sie Support anfordern. |
CreatedDateTime | datetime | Das Datum und die Uhrzeit der Anmeldung. Der Timestamp-Typ ist immer in UTC-Zeit. Mitternacht UTC am 1. Januar 2014 lautet beispielsweise 2014-01-01T00:00:00Z. |
CrossTenantAccessType | Zeichenfolge | Beschreibt den Typ des mandantenübergreifenden Zugriffs, der vom Akteur für den Zugriff auf die Ressource verwendet wird. |
DeviceDetail | dynamisch | Die Geräteinformationen, von denen aus die Anmeldung erfolgt ist. Enthält Informationen wie deviceId, Betriebssystem und Browser. |
DurationMs | long | |
FlaggedForReview | bool | Während einer fehlerhaften Anmeldung kann ein Benutzer auf eine Schaltfläche im Azure-Portal klicken, um das fehlgeschlagene Ereignis für Mandantenadministratoren zu markieren. Wenn ein Benutzer auf die Schaltfläche geklickt hat, um die fehlerhafte Anmeldung zu kennzeichnen, ist dieser Wert true. |
HomeTenantId | Zeichenfolge | Der Mandantenbezeichner des Benutzers, der die Anmeldung initiiert. Gilt nicht für Anmeldungen mit verwalteter Identität oder Dienstprinzipal. |
Id | string | Der Bezeichner, der die Anmeldeaktivität darstellt. |
Identität | Zeichenfolge | Der Anzeigename des in der Anmeldung identifizierten Akteurs. |
IPAddress | Zeichenfolge | Die IP-Adresse des Clients, von dem aus die Anmeldung erfolgt ist. |
IPAddressFromResourceProvider | Zeichenfolge | Die IP-Adresse, die ein Benutzer zum Erreichen eines Ressourcenanbieters verwendet hat, um die Kompatibilität mit bedingtem Zugriff für einige Richtlinien zu bestimmen. Wenn ein Benutzer beispielsweise mit Exchange Online interagiert, kann hier die IP-Adresse aufgezeichnet werden, die Exchange vom Benutzer empfängt. Dieser Wert ist häufig NULL. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
IsInteractive | bool | Gibt an, ob eine Benutzeranmeldung interaktiv ist. Bei der interaktiven Anmeldung stellt der Benutzer einen Authentifizierungsfaktor für Azure AD bereit. Zu diesen Faktoren gehören Kennwörter, Antworten auf MFA-Herausforderungen, biometrische Faktoren oder QR-Codes, die ein Benutzer für Azure AD oder eine zugehörige App bereitstellt. Bei der nicht interaktiven Anmeldung gibt der Benutzer keinen Authentifizierungsfaktor an. Stattdessen verwendet die Client-App ein Token oder Code, um eine Ressource im Namen eines Benutzers zu authentifizieren oder darauf zuzugreifen. Nicht interaktive Anmeldungen werden häufig für einen Client verwendet, um sich im Namen eines Benutzers in einem für den Benutzer transparenten Prozess anzumelden. |
IsRisky | bool | |
Ebene | Zeichenfolge | |
Standort | Zeichenfolge | Der 2-Buchstaben-Ländercode, von dem aus die Anmeldung erfolgt ist. Abhängig von der angegebenen IP-Adresse wird dieser Wert möglicherweise nicht immer in eine Detailebene für eine Stadt oder Region aufgelöst. |
LocationDetails | dynamisch | Stellt die Stadt, den Bundesstaat, das Land/die Region und den Breiten- und Längengrad bereit, von dem aus die Anmeldung erfolgt ist. |
MfaDetail | dynamisch | Diese Eigenschaft ist veraltet. |
NetworkLocationDetails | Zeichenfolge | Die Netzwerkadressendetails, einschließlich des Typs des verwendeten Netzwerks und seiner Namen. |
Vorgangsname | Zeichenfolge | |
OperationVersion | Zeichenfolge | |
OriginalRequestId | Zeichenfolge | Der Anforderungsbezeichner der ersten Anforderung in der Authentifizierungssequenz. |
ProcessingTimeInMilliseconds | Zeichenfolge | |
Resource | Zeichenfolge | |
ResourceDisplayName | Zeichenfolge | Der Name der Ressource, bei der sich der Benutzer angemeldet hat. |
ResourceGroup | Zeichenfolge | |
resourceId | Zeichenfolge | Der Bezeichner der Ressource, bei der sich der Benutzer angemeldet hat. |
ResourceIdentity | Zeichenfolge | Die Ressource, bei der sich der Benutzer angemeldet hat. |
ResourceProvider | Zeichenfolge | |
ResourceServicePrincipalId | Zeichenfolge | Der Bezeichner des Dienstprinzipals, der die Zielressource im Anmeldeereignis darstellt. |
ResourceTenantId | Zeichenfolge | Der Mandantenbezeichner der Ressource, auf die in der Anmeldung verwiesen wird. |
ResultDescription | Zeichenfolge | Stellt die Fehlermeldung oder den Fehlergrund für die entsprechende Anmeldeaktivität bereit. |
ResultSignature | Zeichenfolge | |
ResultType | Zeichenfolge | Stellt den 5-6-stelligen Fehlercode bereit, der während eines Anmeldeereignisses generiert wird. 0 bedeutet Erfolg; andere Werte sind Fehler. Weitere Informationen finden Sie in der Dokumentation zu Azure AD-Fehlercodes oder https://login.microsoftonline.com/error. |
RiskDetail | Zeichenfolge | Der Grund für einen bestimmten Zustand eines riskanten Benutzers, einer Anmeldung oder eines Risikoereignisses. Mögliche Werte: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser oder adminConfirmedSigninCompromised. Der Wert none bedeutet, dass bisher keine Aktion für den Benutzer oder die Anmeldung ausgeführt wurde. Hinweis: Details für diese Eigenschaft sind nur für Azure AD Premium P2-Kunden verfügbar. Alle anderen Kunden werden ausgeblendet zurückgegeben. |
RiskEventTypes | Zeichenfolge | Diese Eigenschaft ist veraltet. |
RiskEventTypes_V2 | Zeichenfolge | Die Liste der Risikoereignistypen, die der Anmeldung zugeordnet sind. Mögliche Werte: unwahrscheinlichTravel, anonymizedIPAddress, maliciousIPAddress, unfamiliarFeatures, malwareInfectedIPAddress, suspiciousIPAddress, leakedCredentials, investigationsThreatIntelligence, oder generic. |
RiskLevel | Zeichenfolge | |
RiskLevelAggregated | Zeichenfolge | Die aggregierte Risikostufe. Mögliche Werte: "None", "Low", "Medium", "High" oder "Hidden". Der Wert ausgeblendet bedeutet, dass der Benutzer oder die Anmeldung für Azure AD Identity Protection nicht aktiviert war. Hinweis: Details für diese Eigenschaft sind nur für Azure AD Premium P2-Kunden verfügbar. Alle anderen Kunden werden ausgeblendet zurückgegeben. |
RiskLevelDuringSignIn | Zeichenfolge | Die Risikostufe während der Anmeldung. Mögliche Werte: "None", "Low", "Medium", "High" oder "Hidden". Der Wert ausgeblendet bedeutet, dass der Benutzer oder die Anmeldung für Azure AD Identity Protection nicht aktiviert war. Hinweis: Details für diese Eigenschaft sind nur für Azure AD Premium P2-Kunden verfügbar. Alle anderen Kunden werden ausgeblendet zurückgegeben. |
RiskState | Zeichenfolge | Der Risikostatus eines riskanten Benutzers, einer Anmeldung oder eines Risikoereignisses. Mögliche Werte: none, confirmedSafe, remediated, dismissed, atRisk oder confirmedCompromised. |
ServicePrincipalId | Zeichenfolge | Der für die Anmeldung verwendete Anwendungsbezeichner. Dieses Feld wird aufgefüllt, wenn Sie sich mit einer Anwendung anmelden. |
ServicePrincipalName | Zeichenfolge | Der Anwendungsname, der für die Anmeldung verwendet wird. Dieses Feld wird aufgefüllt, wenn Sie sich mit einer Anwendung anmelden. |
SessionLifetimePolicies | Zeichenfolge | Alle Richtlinien für die Sitzungsverwaltung für bedingten Zugriff, die während des Anmeldeereignisses angewendet wurden. |
SignInIdentifier | Zeichenfolge | Die Id, die der Benutzer für die Anmeldung angegeben hat. Es kann der userPrincipalName sein, aber er wird auch aufgefüllt, wenn sich ein Benutzer mit anderen Bezeichnern anmeldet. |
SignInIdentifierType | Zeichenfolge | Der Typ des Anmeldebezeichners. Mögliche Werte sind: userPrincipalName, phoneNumber, proxyAddress, qrCode, onPremisesUserPrincipalName. |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
Status | dynamisch | Die Anmelde-status. Enthält den Fehlercode und die Beschreibung des Fehlers (im Falle eines Anmeldefehlers). |
TimeGenerated | datetime | |
TokenIssuerName | Zeichenfolge | Der Name des Identitätsanbieters. Beispiel: sts.microsoft.com. |
TokenIssuerType | Zeichenfolge | Der Typ des Identitätsanbieters. Die möglichen Werte sind: AzureAD oder ADFederationServices, AzureADBackupAuth, ADFederationServicesMFAAdapter, NPSExtension. |
type | Zeichenfolge | Der Name der Tabelle. |
UniqueTokenIdentifier | Zeichenfolge | Ein eindeutiger base64-codierter Anforderungsbezeichner, der zum Nachverfolgen von Token verwendet wird, die von Azure AD ausgegeben werden, während sie bei Ressourcenanbietern eingelöst werden. |
UserAgent | Zeichenfolge | Die Benutzer-Agent-Informationen im Zusammenhang mit der Anmeldung. |
UserDisplayName | Zeichenfolge | Der Anzeigename des Benutzers. |
UserId | Zeichenfolge | Der Bezeichner des Benutzers. |
UserPrincipalName | Zeichenfolge | Der UPN des Benutzers. |
UserType | Zeichenfolge | Gibt an, ob der Benutzer Mitglied oder Gast im Mandanten ist. Mögliche Werte sind: member und guest. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für