Dzienniki logowania
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | microsoft.graph/tenants |
| Kategorie | Zasoby platformy Azure, zabezpieczenia |
| Rozwiązania | Zarządzanie dziennikami |
| Dziennik podstawowy | Nie |
| Przekształcanie czasu pozyskiwania | Tak |
| Przykładowe zapytania | Tak |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| AADTenantId | ciąg | |
| AlternateSignInName | ciąg | Identyfikacja podana przez użytkownika w celu zalogowania się. Może to być userPrincipalName, ale jest również wypełniany, gdy użytkownik loguje się przy użyciu innych identyfikatorów. |
| AppDisplayName | ciąg | Nazwa aplikacji wyświetlana w witrynie Azure Portal. |
| AppId | ciąg | Identyfikator aplikacji w usłudze Azure Active Directory. |
| AppliedConditionalAccessPolicies | ciąg | |
| AppliedEventListeners | dynamiczna | Szczegółowe informacje o odbiornikach, takich jak Azure Logic Apps i Azure Functions, które zostały wyzwolone przez odpowiednie zdarzenia w zdarzeniu logowania. |
| AuthenticationContextClassReferences | ciąg | Zawiera kolekcję wartości reprezentujących konteksty uwierzytelniania dostępu warunkowego zastosowane do logowania. |
| AuthenticationDetails | ciąg | Wynik próby uwierzytelniania i dodatkowe szczegóły dotyczące metody uwierzytelniania. |
| AuthenticationMethodsUsed | ciąg | Używane metody uwierzytelniania. Możliwe wartości: SMS, Authenticator App, Kod weryfikacyjny aplikacji, Hasło, FIDO, PTA lub PHS. |
| AuthenticationProcessingDetails | ciąg | Dodatkowe szczegóły przetwarzania uwierzytelniania, takie jak nazwa agenta w przypadku ptA/PHS lub nazwy serwera/farmy w przypadku uwierzytelniania federacyjnego. |
| AuthenticationProtocol | ciąg | Listy typ protokołu lub typ udzielenia używany w uwierzytelnianiu. Możliwe wartości to: none, oAuth2, ropc, wsFederation, saml20, deviceCode. W przypadku uwierzytelniania, które używają protokołów innych niż możliwe wartości wymienione, typ protokołu jest wyświetlany jako żaden. |
| AuthenticationRequirement | ciąg | Jest to najwyższy poziom uwierzytelniania wymagany przez wszystkie kroki logowania, aby logowanie zakończyło się pomyślnie. |
| AuthenticationRequirementPolicies | ciąg | Źródła wymagań dotyczących uwierzytelniania, takie jak dostęp warunkowy, uwierzytelnianie wieloskładnikowe dla użytkownika, ochrona tożsamości i ustawienia domyślne zabezpieczeń. |
| AutonomousSystemNumber | ciąg | Numer systemu autonomicznego (ASN) sieci używanej przez aktora. |
| _BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
| Kategoria | ciąg | |
| ClientAppUsed | ciąg | Starszy klient używany do działania logowania. Na przykład: Przeglądarka, Exchange ActiveSync, Nowoczesne klientów, IMAP, MAPI, SMTP lub POP. |
| ConditionalAccessPolicies | dynamiczna | Lista zasad dostępu warunkowego wyzwalanych przez odpowiednie działanie logowania. |
| ConditionalAccessStatus | ciąg | Stan wyzwolonych zasad dostępu warunkowego. Możliwe wartości: powodzenie, niepowodzenie lub nieAplikowane. |
| CorrelationId | ciąg | Identyfikator wysyłany z klienta po zainicjowaniu logowania. Służy to do rozwiązywania problemów z odpowiednim działaniem logowania podczas wywoływania pomocy technicznej. |
| CreatedDateTime | datetime | Data i godzina zainicjowania logowania. Typ znacznika czasu jest zawsze w czasie UTC. Na przykład północ UTC 1 stycznia 2014 r. to 2014-01-01T00:00:00Z. |
| CrossTenantAccessType | ciąg | Opisuje typ dostępu między dzierżawami używany przez aktora do uzyskiwania dostępu do zasobu. |
| DeviceDetail | dynamiczna | Informacje o urządzeniu, z którego wystąpiło logowanie. Zawiera informacje, takie jak deviceId, OS i browser. |
| DurationMs | długi | |
| OflagowaneForReview | bool | Podczas nieudanego logowania użytkownik może kliknąć przycisk w Azure Portal, aby oznaczyć zdarzenie nieudane dla administratorów dzierżawy. Jeśli użytkownik kliknął przycisk w celu flagowania nieudanego logowania, ta wartość ma wartość true. |
| HomeTenantId | ciąg | Identyfikator dzierżawy użytkownika inicjującego logowanie. Nie dotyczy logowania tożsamości zarządzanej lub jednostki usługi. |
| Id | ciąg | Identyfikator reprezentujący działanie logowania. |
| Tożsamość | ciąg | Nazwa wyświetlana aktora zidentyfikowana w znaku. |
| IPAddress | ciąg | Adres IP klienta, z którego wystąpił logowanie. |
| IPAddressFromResourceProvider | ciąg | Adres IP użytkownika używany do uzyskiwania dostępu do dostawcy zasobów używany do określania zgodności dostępu warunkowego dla niektórych zasad. Na przykład gdy użytkownik wchodzi w interakcję z Exchange Online, adres IP programu Exchange odbiera od użytkownika może zostać zarejestrowany tutaj. Ta wartość jest często równa null. |
| _IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Gdy pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| IsInteractive | bool | Wskazuje, czy logowanie użytkownika jest interaktywne. W przypadku logowania interakcyjnego użytkownik udostępnia współczynnik uwierzytelniania Azure AD. Czynniki te obejmują hasła, odpowiedzi na wyzwania związane z uwierzytelnianiem wieloskładnikowym, czynniki biometryczne lub kody QR, które użytkownik udostępnia w celu Azure AD lub skojarzonej aplikacji. W przypadku logowania nieinterakcyjnego użytkownik nie zapewnia współczynnika uwierzytelniania. Zamiast tego aplikacja kliencka używa tokenu lub kodu do uwierzytelniania lub uzyskiwania dostępu do zasobu w imieniu użytkownika. Logowania nieinterakcyjne są często używane przez klienta do logowania się w imieniu użytkownika w procesie niewidocznym dla użytkownika. |
| IsRisky | bool | |
| Poziom | ciąg | |
| Lokalizacja | ciąg | 2-literowy kod kraju, z którego doszło do logowania. W zależności od podanego adresu IP ta wartość może nie zawsze być rozpoznawana na poziomie szczegółowości miasta lub regionu. |
| LocationDetails | dynamiczna | Zapewnia miasto, stan, kraj/region oraz szerokość geograficzną i długość geograficzną z miejsca, w którym nastąpiło logowanie. |
| MfaDetail | dynamiczna | Ta właściwość jest przestarzała. |
| NetworkLocationDetails | ciąg | Szczegóły lokalizacji sieciowej, w tym typ używanej sieci i jej nazwy. |
| OperationName | ciąg | |
| OperationVersion | ciąg | |
| OriginalRequestId | ciąg | Identyfikator żądania pierwszego żądania w sekwencji uwierzytelniania. |
| ProcessingTimeInMilliseconds | ciąg | |
| Zasób | ciąg | |
| ResourceDisplayName | ciąg | Nazwa zasobu zalogowanego przez użytkownika. |
| ResourceGroup | ciąg | |
| ResourceId | ciąg | Identyfikator zasobu zalogowanego przez użytkownika. |
| Identyfikator zasobu | ciąg | Zasób, do którego zalogował się użytkownik. |
| ResourceProvider | ciąg | |
| ResourceServicePrincipalId | ciąg | Identyfikator jednostki usługi reprezentującej zasób docelowy w zdarzeniu logowania. |
| ResourceTenantId | ciąg | Identyfikator dzierżawy zasobu, do których odwołuje się logowanie. |
| ResultDescription | ciąg | Zawiera komunikat o błędzie lub przyczynę niepowodzenia odpowiedniego działania logowania. |
| ResultSignature | ciąg | |
| ResultType | ciąg | Zawiera 5-6-cyfrowy kod błędu generowany podczas zdarzenia logowania. 0 wskazuje powodzenie; inne wartości to błędy. Więcej informacji można znaleźć w dokumentacji Azure AD Kodów błędów lub https://login.microsoftonline.com/error. |
| RiskDetail | ciąg | Przyczyna określonego stanu ryzykownego użytkownika, logowania lub zdarzenia ryzyka. Możliwe wartości: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser lub adminConfirmedSigninCompromised. Wartość none oznacza, że żadna akcja nie została wykonana dla użytkownika lub logowania do tej pory. Uwaga: szczegóły tej właściwości są dostępne tylko dla klientów Azure AD — wersja Premium P2. Wszyscy inni klienci są zwracani ukryte. |
| RiskEventTypes | ciąg | Ta właściwość jest przestarzała. |
| RiskEventTypes_V2 | ciąg | Lista typów zdarzeń ryzyka skojarzonych z logowaniem. Możliwe wartości: unlikelyTravel, anonymizedIPAddress, maliciousIPAddress, unfamiliarFeatures, malwareInfectedIPAddress, suspiciousIPAddress, leakedCredentials, investigationsThreatIntelligence, or generic. |
| RiskLevel | ciąg | |
| RiskLevelAggregated | ciąg | Zagregowany poziom ryzyka. Możliwe wartości: brak, niski, średni, wysoki lub ukryty. Wartość ukryta oznacza, że użytkownik lub logowanie nie zostało włączone dla usługi Azure AD Identity Protection. Uwaga: Szczegóły tej właściwości są dostępne tylko dla Azure AD — wersja Premium P2 klientów. Wszyscy inni klienci są zwracani w ukryciu. |
| RiskLevelDuringSignIn | ciąg | Poziom ryzyka podczas logowania. Możliwe wartości: brak, niski, średni, wysoki lub ukryty. Wartość ukryta oznacza, że użytkownik lub logowanie nie zostało włączone dla usługi Azure AD Identity Protection. Uwaga: Szczegóły tej właściwości są dostępne tylko dla Azure AD — wersja Premium P2 klientów. Wszyscy inni klienci są zwracani w ukryciu. |
| RiskState | ciąg | Stan ryzyka związanego z ryzykownym użytkownikiem, logowaniem lub zdarzeniem ryzyka. Możliwe wartości: brak, potwierdzonySafe, skorygowany, odrzucony, atRisk lub potwierdzonyCompromised. |
| ServicePrincipalId | ciąg | Identyfikator aplikacji używany do logowania. To pole jest wypełniane podczas logowania przy użyciu aplikacji. |
| Serviceprincipalname | ciąg | Nazwa aplikacji używana do logowania. To pole jest wypełniane podczas logowania przy użyciu aplikacji. |
| SessionLifetimePolicies | ciąg | Wszystkie zasady zarządzania sesjami dostępu warunkowego, które zostały zastosowane podczas zdarzenia logowania. |
| SignInIdentifier | ciąg | Identyfikacja podana przez użytkownika w celu zalogowania się. Może to być userPrincipalName, ale jest on również wypełniany, gdy użytkownik loguje się przy użyciu innych identyfikatorów. |
| SignInIdentifierType | ciąg | Typ identyfikatora logowania. Możliwe wartości to: userPrincipalName, phoneNumber, proxyAddress, qrCode, onPremisesUserPrincipalName. |
| SourceSystem | ciąg | Typ agenta, przez którego zostało zebrane zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows bezpośrednie połączenie lub program Operations Manager Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| Stan | dynamiczna | Stan logowania. Zawiera kod błędu i opis błędu (w przypadku niepowodzenia logowania). |
| TimeGenerated | datetime | |
| TokenIssuerName | ciąg | Nazwa dostawcy tożsamości. Na przykład sts.microsoft.com. |
| TokenIssuerType | ciąg | Typ dostawcy tożsamości. Możliwe wartości to: AzureAD lub ADFederationServices, AzureADBackupAuth, ADFederationServicesMFAAdapter, NPSExtension. |
| Typ | ciąg | Nazwa tabeli |
| UniqueTokenIdentifier | ciąg | Unikatowy identyfikator żądania zakodowanego w formacie Base64 używany do śledzenia tokenów wystawionych przez Azure AD w miarę ich realizacji u dostawców zasobów. |
| Useragent | ciąg | Informacje o agencie użytkownika związane z logowaniem. |
| UserDisplayName | ciąg | Nazwa wyświetlana użytkownika. |
| UserId | ciąg | Identyfikator użytkownika. |
| UserPrincipalName | ciąg | Nazwa UPN użytkownika. |
| UserType | ciąg | Określa, czy użytkownik jest członkiem, czy gościem w dzierżawie. Możliwe wartości to: członek i gość. |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla