Az Azure AD bejelentkezési naplók sémának értelmezése a Azure Monitor

Ez a cikk a Azure Active Directory (Azure AD) bejelentkezési napló sémáját Azure Monitor. A bejelentkezésekkel kapcsolatos információk nagy része az objektum Tulajdonságok attribútuma alatt records található.

{ 
    "time": "2019-03-12T16:02:15.5522137Z", 
    "resourceId": "/tenants/<TENANT ID>/providers/Microsoft.aadiam",
    "operationName": "Sign-in activity", 
    "operationVersion": "1.0", 
    "category": "SignInLogs", 
    "tenantId": "<TENANT ID>", 
    "resultType": "50140", 
    "resultSignature": "None", 
    "resultDescription": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in.", 
    "durationMs": 0, 
    "callerIpAddress": "<CALLER IP ADDRESS>", 
    "correlationId": "a75a10bd-c126-486b-9742-c03110d36262", 
    "identity": "Timothy Perkins", 
    "Level": 4, 
    "location": "US", 
    "properties": 
        {
            "id":"0231f922-93fa-4005-bb11-b344eca03c01",
            "createdDateTime":"2019-03-12T16:02:15.5522137+00:00",
            "userDisplayName":"Timothy Perkins",
            "userPrincipalName":"<USER PRINCIPAL NAME>",
            "userId":"<USER ID>",
            "appId":"<APPLICATION ID>",
            "appDisplayName":"Azure Portal",
            "ipAddress":"<IP ADDRESS>",
            "status":
            {
                "errorCode":50140,
                "failureReason":"This error occurred due to 'Keep me signed in' interrupt when the user was signing-in."
            },
            "clientAppUsed":"Browser",
            "deviceDetail":
            {
                "operatingSystem":"Windows 10",
                "browser":"Chrome 72.0.3626"
            },
            "location":
                {
                    "city":"Bellevue",
                    "state":"Washington",
                    "countryOrRegion":"US",
                    "geoCoordinates":
                    {
                        "latitude":45,
                        "longitude":122
                    }
                },
            "correlationId":"a75a10bd-c126-486b-9742-c03110d36262",
            "conditionalAccessStatus":"notApplied",
            "appliedConditionalAccessPolicies":
            [
                {
                    "id":"ae11ffaa-9879-44e0-972c-7538fd5c4d1a",
                    "displayName":"Hr app access policy",
                    "enforcedGrantControls":
                    [
                        "Mfa"
                    ],
                    "enforcedSessionControls":
                    [
                    ],
                    "result":"notApplied"
                },
                {
                    "id":"b915a70b-2eee-47b6-85b6-ff4f4a66256d",
                    "displayName":"MFA for all but global support access",
                    "enforcedGrantControls":[],
                    "enforcedSessionControls":[],
                    "result":"notEnabled"
                },
                {
                    "id":"830f27fa-67a8-461f-8791-635b7225caf1",
                    "displayName":"Header Based Application Control",
                    "enforcedGrantControls":["Mfa"],
                    "enforcedSessionControls":[],
                    "result":"notApplied"
                },
                {
                    "id":"8ed8d7f7-0a2e-437b-b512-9e47bed562e6",
                    "displayName":"MFA for everyones",
                    "enforcedGrantControls":[],
                    "enforcedSessionControls":[],
                    "result":"notEnabled"
                },
                {
                    "id":"52924e0f-798b-4afd-8c42-49055c7d6395",
                    "displayName":"Device compliant",
                    "enforcedGrantControls":[],
                    "enforcedSessionControls":[],
                    "result":"notEnabled"
                },
             ],
            "isInteractive":true,
            "tokenIssuerType":"AzureAD",
            "authenticationProcessingDetails":[],
            "networkLocationDetails":[],
            "processingTimeInMilliseconds":0,
            "riskDetail":"hidden",
            "riskLevelAggregated":"hidden",
            "riskLevelDuringSignIn":"hidden",
            "riskState":"none",
            "riskEventTypes":[],
            "resourceDisplayName":"windows azure service management api",
            "resourceId":"797f4846-ba00-4fd7-ba43-dac1f8f63013",
            "authenticationMethodsUsed":[]
        }
}

Mezőleírások

Mező neve Kulcs Leírás
Idő - A dátum és idő (UTC) szerint.
ResourceId - Ez az érték nincs leképezve, és nyugodtan figyelmen kívül hagyhatja ezt a mezőt.
OperationName - Bejelentkezéseknél ez az érték mindig Bejelentkezési tevékenység.
OperationVersion - Az REST API által kért REST API verziója.
Kategória - Bejelentkezéseknél ez az érték mindig SignIn.
TenantId - A naplókhoz társított bérlői GUID.
ResultType - A bejelentkezési művelet eredménye sikeres lehet, vagy 0 hibakód is lehet.
ResultSignature - Ez az érték mindig Nincs.
ResultDescription N/A vagy üres A bejelentkezési művelet hibaleírását tartalmazza.
riskDetail (kockázati részletek) riskDetail (kockázati részletek) A kockázatos felhasználók, bejelentkezések vagy kockázatészlelési állapotok mögötti "okot" biztosítja. A lehetséges értékek: none , , , , , , , , , adminGeneratedTemporaryPassword , userPerformedSecuredPasswordChange userPerformedSecuredPasswordReset adminConfirmedSigninSafe aiConfirmedSigninSafe userPassedMFADrivenByRiskBasedPolicy adminDismissedAllRiskForUser adminConfirmedSigninCompromised unknownFutureValue . Az érték azt jelenti, hogy eddig nem történt művelet a felhasználón none vagy bejelentkezésen.
Megjegyzés: Ennek a tulajdonságnak a részleteihez prémium szintű Azure AD P2 licenc szükséges. Más licencek a értéket adja hidden vissza.
riskEventTypes riskEventTypes A bejelentkezéshez társított kockázatészlelési típusok. A lehetséges értékek: unlikelyTravel , , , , , , , , , anonymizedIPAddress és maliciousIPAddress unfamiliarFeatures malwareInfectedIPAddress suspiciousIPAddress leakedCredentials investigationsThreatIntelligence generic unknownFutureValue .
authProcessingDetails Azure AD-alkalmazáshitelesítési kódtár A családra, a kódtárra és a platformra vonatkozó információkat tartalmazza a következő formátumban: "Family: ADAL Library: ADAL.JS 1.0.0 Platform: JS"
authProcessingDetails IsCAEToken (IsCAEToken) Az értékek igazak vagy hamisak
riskLevelAggregated (kockázati szint aggregált) kockázati szint Összesített kockázati szint. A lehetséges értékek aek: none , , , , és low medium high hidden unknownFutureValue . Az érték azt jelenti, hogy a felhasználó vagy a bejelentkezés nem hidden volt engedélyezve Azure AD Identity Protection. Megjegyzés: Ennek a tulajdonságnak a részletei csak p2-prémium szintű Azure AD ügyfelek számára érhetők el. A visszaadott érték az összes többi ügyfelet is. hidden
riskLevelDuringSignIn kockázati szint Kockázati szint a bejelentkezés során. A lehetséges értékek aek: none , , , , és low medium high hidden unknownFutureValue . Az érték azt jelenti, hogy a felhasználó vagy a bejelentkezés nem hidden volt engedélyezve Azure AD Identity Protection. Megjegyzés: Ennek a tulajdonságnak a részletei csak p2-prémium szintű Azure AD ügyfelek számára érhetők el. A visszaadott érték az összes többi ügyfelet is. hidden
riskState (kockázati állam) riskState (kockázati állam) A kockázatos felhasználó, bejelentkezés vagy kockázatészlelés állapotát jelenti. A lehetséges értékek: none , , , , , , confirmedSafe remediated dismissed atRisk confirmedCompromised unknownFutureValue .
DurationMs - Ez az érték nincs leképezve, és nyugodtan figyelmen kívül hagyhatja ezt a mezőt.
CallerIpAddress (CallerIpAddress) - Annak az ügyfélnek az IP-címe, amely a kérelmet bekérte.
CorrelationId - Az ügyfél által átadott nem kötelező GUID. Ez az érték segíthet korrelálni az ügyféloldali műveleteket a kiszolgálóoldali műveletekkel, és akkor hasznos, ha olyan naplókat követ, amelyek több szolgáltatásra is ki vannak ásva.
Identitás - A kérés igénylésekor bemutatott jogkivonat identitása. Ez lehet egy felhasználói fiók, rendszerfiók vagy szolgáltatásnév.
Level - Az üzenet típusát adja meg. Naplózáshoz mindig tájékoztató.
Hely - A bejelentkezési tevékenység helyét biztosítja.
Tulajdonságok - Felsorolja a bejelentkezésekkel társított összes tulajdonságot.

Következő lépések