Tolka microsoft Entra-inloggningsloggschemat i Azure Monitor
Den här artikeln beskriver inloggningsschemat för Microsoft Entra i Azure Monitor. Information om inloggningar finns under objektets egenskapsattributrecords
.
{
"time": "2019-03-12T16:02:15.5522137Z",
"resourceId": "/tenants/<TENANT ID>/providers/Microsoft.aadiam",
"operationName": "Sign-in activity",
"operationVersion": "1.0",
"category": "SignInLogs",
"tenantId": "<TENANT ID>",
"resultType": "50140",
"resultSignature": "None",
"resultDescription": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in.",
"durationMs": 0,
"callerIpAddress": "<CALLER IP ADDRESS>",
"correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
"identity": "Timothy Perkins",
"Level": 4,
"location": "US",
"properties":
{
"id": "0231f922-93fa-4005-bb11-b344eca03c01",
"createdDateTime": "2019-03-12T16:02:15.5522137+00:00",
"userDisplayName": "Timothy Perkins",
"userPrincipalName": "<USER PRINCIPAL NAME>",
"userId": "<USER ID>",
"appId": "<APPLICATION ID>",
"appDisplayName": "Azure Portal",
"ipAddress": "<IP ADDRESS>",
"status": {
"errorCode": 50140,
"failureReason": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in."
},
"clientAppUsed": "Browser",
"userAgent": "<USER AGENT>",
"deviceDetail":
{
"deviceId": "8bfcb982-6856-4402-924c-ada2486321cc",
"operatingSystem": "Windows 10",
"browser": "Chrome 72.0.3626"
},
"location":
{
"city": "Bellevue",
"state": "Washington",
"countryOrRegion": "US",
"geoCoordinates":
{
"latitude": 45,
"longitude": 122
}
},
"correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
"conditionalAccessStatus": "notApplied",
"appliedConditionalAccessPolicies": [
{
"id": "ae11ffaa-9879-44e0-972c-7538fd5c4d1a",
"displayName": "HR app access policy",
"enforcedGrantControls": [
"Mfa"
],
"enforcedSessionControls": [],
"result": "notApplied",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "b915a70b-2eee-47b6-85b6-ff4f4a66256d",
"displayName": "MFA for all but global support access",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "830f27fa-67a8-461f-8791-635b7225caf1",
"displayName": "Header Based Application Control",
"enforcedGrantControls": [
"Mfa"
],
"enforcedSessionControls": [],
"result": "notApplied",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "8ed8d7f7-0a2e-437b-b512-9e47bed562e6",
"displayName": "MFA for everyones",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "52924e0f-798b-4afd-8c42-49055c7d6395",
"displayName": "Device compliant",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
}
],
"originalRequestId": "f2f0a254-f831-43b9-bcb0-2646fb645c00",
"isInteractive": true,
"authenticationProcessingDetails": [
{
"key": "Login Hint Present",
"value": "True"
}
],
"networkLocationDetails": [],
"processingTimeInMilliseconds": 238,
"riskDetail": "none",
"riskLevelAggregated": "none",
"riskLevelDuringSignIn": "none",
"riskState": "none",
"riskEventTypes": [],
"riskEventTypes_v2": [],
"resourceDisplayName": "Office 365 SharePoint Online",
"resourceId": "00000003-0000-0ff1-ce00-000000000000",
"resourceTenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"homeTenantId": "<USER HOME TENANT ID>",
"tokenIssuerName": "",
"tokenIssuerType": "AzureAD",
"authenticationDetails": [
{
"authenticationStepDateTime": "2019-03-12T16:02:15.5522137+00:00",
"authenticationMethod": "Previously satisfied",
"succeeded": true,
"authenticationStepResultDetail": "First factor requirement satisfied by claim in the token",
"authenticationStepRequirement": "Primary authentication",
"StatusSequence": 0,
"RequestSequence": 0
},
{
"authenticationStepDateTime": "2021-08-12T15:48:12.8677211+00:00",
"authenticationMethod": "Previously satisfied",
"succeeded": true,
"authenticationStepResultDetail": "MFA requirement satisfied by claim in the token",
"authenticationStepRequirement": "Multi-factor authentication"
}
],
"authenticationRequirementPolicies": [
{
"requirementProvider": "multiConditionalAccess",
"detail": "Conditional Access"
}
],
"authenticationRequirement": "multiFactorAuthentication",
"alternateSignInName": "<ALTERNATE SIGN IN>",
"signInIdentifier": "<SIGN IN IDENTIFIER>",
"servicePrincipalId": "",
"userType": "Member",
"flaggedForReview": false,
"isTenantRestricted": false,
"autonomousSystemNumber": 8000,
"crossTenantAccessType": "none",
"privateLinkDetails": {},
"ssoExtensionVersion": ""
}
}
Fältbeskrivningar
Fältnamn | Nyckel | beskrivning |
---|---|---|
Time | - | Datum och tid i UTC. |
ResourceId | - | Det här värdet är ommappat och du kan ignorera det här fältet på ett säkert sätt. |
OperationName | - | För inloggningar är det här värdet alltid Inloggningsaktivitet. |
OperationVersion | - | REST API-versionen som begärs av klienten. |
Kategori | - | För inloggningar är det här värdet alltid Inloggning. |
TenantId | - | Klientorganisations-GUID:et som är associerat med loggarna. |
ResultType | - | Resultatet av inloggningsåtgärden kan vara 0 för lyckad eller en felkod för fel. |
ResultSignature | - | Det här värdet är alltid Ingen. |
ResultDescription | Ej tillämpligt eller tomt | Innehåller felbeskrivningen för inloggningsåtgärden. |
riskDetail | riskDetail | Anger orsaken bakom ett specifikt tillstånd för en riskfylld användare, inloggning eller riskidentifiering. Möjliga värden är: none , adminGeneratedTemporaryPassword , userPerformedSecuredPasswordChange , userPerformedSecuredPasswordReset , adminConfirmedSigninSafe , aiConfirmedSigninSafe , userPassedMFADrivenByRiskBasedPolicy , adminDismissedAllRiskForUser , , adminConfirmedSigninCompromised , unknownFutureValue . Värdet none innebär att ingen åtgärd har utförts på användaren eller inloggningen hittills. Obs! Information för den här egenskapen kräver en Microsoft Entra ID P2-licens. Andra licenser returnerar värdet hidden . |
riskEventTypes | riskEventTypes | Riskidentifieringstyper som är associerade med inloggningen. Möjliga värden är: unlikelyTravel , anonymizedIPAddress , maliciousIPAddress , unfamiliarFeatures , malwareInfectedIPAddress , suspiciousIPAddress , leakedCredentials , investigationsThreatIntelligence , , generic och unknownFutureValue . |
authProcessingDetails | Azure Active Directory-autentiseringsbibliotek | Innehåller information om familj, bibliotek och plattform i format: "Family: Microsoft Authentication Library: ADAL.JS 1.0.0 Platform: JS" |
authProcessingDetails | IsCAEToken | Värden är true eller false |
riskLevelAggregated | riskLevel | Aggregerad risknivå. Möjliga värden är: none , low , medium , high , hidden och unknownFutureValue . Värdet hidden innebär att användaren eller inloggningen inte har aktiverats för Microsoft Entra ID Protection. Obs! Information om den här egenskapen är endast tillgänglig för Microsoft Entra ID P2-kunder. Alla andra kunder returneras hidden . |
riskLevelDuringSignIn | riskLevel | Risknivå vid inloggning. Möjliga värden är: none , low , medium , high , hidden och unknownFutureValue . Värdet hidden innebär att användaren eller inloggningen inte har aktiverats för Microsoft Entra ID Protection. Obs! Information om den här egenskapen är endast tillgänglig för Microsoft Entra ID P2-kunder. Alla andra kunder returneras hidden . |
riskState | riskState | Rapporterar status för den riskfyllda användaren, inloggningen eller en riskidentifiering. Möjliga värden är: none , confirmedSafe , remediated , dismissed , atRisk , , confirmedCompromised . unknownFutureValue |
DurationMs | - | Det här värdet är ommappat och du kan ignorera det här fältet på ett säkert sätt. |
CallerIpAddress | - | IP-adressen för klienten som gjorde begäran. |
CorrelationId | - | Det valfria GUID som skickas av klienten. Det här värdet kan hjälpa till att korrelera åtgärder på klientsidan med åtgärder på serversidan, och det är användbart när du spårar loggar som omfattar tjänster. |
Identitet | - | Identiteten från token som visades när du gjorde begäran. Det kan vara ett användarkonto, systemkonto eller tjänstens huvudnamn. |
Nivå | - | Anger typ av meddelande. För granskning är det alltid Information. |
Plats | - | Anger platsen för inloggningsaktiviteten. |
Egenskaper | - | Visar en lista över alla egenskaper som är associerade med inloggningar. |
ResultType | - | Innehåller Microsoft Entra-felkoden för inloggningshändelsen (om det fanns en felkod). |