Inloggningsloggar
Tabellattribut
Attribut | Värde |
---|---|
Resurstyper | microsoft.graph/tenants |
Kategorier | Azure-resurser, säkerhet |
Lösningar | LogManagement |
Grundläggande logg | No |
Inmatningstidstransformering | Yes |
Exempelfrågor | Ja |
Kolumner
Kolumn | Typ | Description |
---|---|---|
AADTenantId | sträng | |
AlternateSignInName | sträng | Den identifiering som användaren angav för att logga in. Det kan vara userPrincipalName, men det fylls också i när en användare loggar in med andra identifierare. |
AppDisplayName | sträng | Programnamnet som visas i Azure-portalen. |
AppId | sträng | Programidentifieraren i Azure Active Directory. |
AppliedConditionalAccessPolicies | sträng | |
AppliedEventListeners | dynamisk | Detaljerad information om lyssnarna, till exempel Azure Logic Apps och Azure Functions, som utlöstes av motsvarande händelser i inloggningshändelsen. |
AuthenticationContextClassReferences | sträng | Innehåller en samling värden som representerar de autentiseringskontexter för villkorsstyrd åtkomst som tillämpas på inloggningen. |
AuthenticationDetails | sträng | Resultatet av autentiseringsförsöket och ytterligare information om autentiseringsmetoden. |
AuthenticationMethodsUsed | sträng | De autentiseringsmetoder som används. Möjliga värden: SMS, Authenticator-appen, Kod för appverifiering, Lösenord, FIDO, PTA eller PHS. |
AuthenticationProcessingDetails | sträng | Ytterligare information om autentiseringsbearbetning, till exempel agentnamnet vid PTA/PHS eller server-/servergruppsnamn vid federerad autentisering. |
AuthenticationProtocol | sträng | Listor den protokolltyp eller beviljandetyp som används i autentiseringen. Möjliga värden är: none, oAuth2, ropc, wsFederation, saml20, deviceCode. För autentiseringar som använder andra protokoll än de möjliga värden som anges visas protokolltypen som ingen. |
AuthenticationRequirement | sträng | Detta innehåller den högsta autentiseringsnivån som krävs via alla inloggningssteg för att inloggningen ska lyckas. |
AuthenticationRequirementPolicies | sträng | Källor till autentiseringskrav, till exempel villkorsstyrd åtkomst, MFA per användare, identitetsskydd och standardinställningar för säkerhet. |
AutonomousSystemNumber | sträng | Det autonoma systemnumret (ASN) för nätverket som används av aktören. |
_BilledSize | real | Poststorleken i byte |
Kategori | sträng | |
ClientAppUsed | sträng | Den äldre klienten som används för inloggningsaktivitet. Exempel: Webbläsare, Exchange ActiveSync, moderna klienter, IMAP, MAPI, SMTP eller POP. |
ConditionalAccessPolicies | dynamisk | En lista över principer för villkorlig åtkomst som utlöses av motsvarande inloggningsaktivitet. |
ConditionalAccessStatus | sträng | Status för principen för villkorlig åtkomst som utlöses. Möjliga värden: success, failure eller notApplied. |
CorrelationId | sträng | Identifieraren som skickas från klienten när inloggningen initieras. Detta används för att felsöka motsvarande inloggningsaktivitet när du anropar för support. |
CreatedDateTime | datetime | Datum och tid då inloggningen initierades. Tidsstämpeltypen är alltid i UTC-tid. Till exempel är midnatt UTC den 1 januari 2014 2014-01-01T00:00:00Z. |
CrossTenantAccessType | sträng | Beskriver vilken typ av åtkomst mellan klientorganisationer som används av aktören för att få åtkomst till resursen. |
DeviceDetail | dynamisk | Enhetsinformationen varifrån inloggningen skedde. Innehåller information som deviceId, OS och webbläsare. |
DurationMs | long | |
FlaggedForReview | boolesk | Under en misslyckad inloggning kan en användare klicka på en knapp i Azure Portal för att markera den misslyckade händelsen för klientadministratörer. Om en användare klickade på knappen för att flagga den misslyckade inloggningen är det här värdet sant. |
HomeTenantId | sträng | Klientidentifieraren för användaren som initierar inloggningen. Inte tillämpligt i inloggningar för hanterad identitet eller tjänstens huvudnamn. |
Id | sträng | Identifieraren som representerar inloggningsaktiviteten. |
Identitet | sträng | Visningsnamnet för aktören som identifieras i inloggningen. |
IPAddress | sträng | IP-adressen för klienten där inloggningen inträffade. |
IPAddressFromResourceProvider | sträng | IP-adressen som en användare använde för att nå en resursprovider, som används för att fastställa efterlevnad av villkorlig åtkomst för vissa principer. När en användare till exempel interagerar med Exchange Online kan IP-adressen som Exchange tar emot från användaren registreras här. Det här värdet är ofta null. |
_IsBillable | sträng | Anger om inmatning av data är fakturerbart. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
IsInteractive | boolesk | Anger om en användarinloggning är interaktiv. I interaktiv inloggning tillhandahåller användaren en autentiseringsfaktor för att Azure AD. Dessa faktorer omfattar lösenord, svar på MFA-utmaningar, biometriska faktorer eller QR-koder som en användare tillhandahåller till Azure AD eller en associerad app. Vid icke-interaktiv inloggning anger användaren ingen autentiseringsfaktor. Klientappen använder i stället en token eller kod för att autentisera eller komma åt en resurs åt en användare. Icke-interaktiva inloggningar används ofta för att en klient ska logga in för en användares räkning i en process som är transparent för användaren. |
IsRisky | boolesk | |
Nivå | sträng | |
Location | sträng | Landskoden med två bokstäver varifrån inloggningen inträffade. Beroende på angivna IP-adresser kanske det här värdet inte alltid matchar detaljnivån för en stad eller region. |
LocationDetails | dynamisk | Tillhandahåller stad, delstat, land/region samt latitud och longitud där inloggningen skedde. |
MfaDetail | dynamisk | Den här egenskapen är inaktuell. |
NetworkLocationDetails | sträng | Information om nätverksplatsen, inklusive vilken typ av nätverk som används och dess namn. |
OperationName | sträng | |
OperationVersion | sträng | |
OriginalRequestId | sträng | Begärandeidentifieraren för den första begäran i autentiseringssekvensen. |
ProcessingTimeInMilliseconds | sträng | |
Resurs | sträng | |
ResourceDisplayName | sträng | Namnet på resursen som användaren loggade in på. |
ResourceGroup | sträng | |
ResourceId | sträng | Identifieraren för resursen som användaren loggade in på. |
ResourceIdentity | sträng | Resursen som användaren loggade in på. |
ResourceProvider | sträng | |
ResourceServicePrincipalId | sträng | Identifieraren för tjänstens huvudnamn som representerar målresursen i inloggningshändelsen. |
ResourceTenantId | sträng | Klientidentifieraren för resursen som refereras i inloggningen. |
ResultDescription | sträng | Innehåller felmeddelandet eller orsaken till felet för motsvarande inloggningsaktivitet. |
ResultSignature | sträng | |
ResultType | sträng | Innehåller felkoden på 5–6 siffror som genereras under en inloggningshändelse. 0 anger framgång. andra värden är fel. Du hittar mer information med hjälp av dokumentationen om Azure AD felkoder eller https://login.microsoftonline.com/error. |
RiskDetail | sträng | Orsaken till ett specifikt tillstånd för en riskfylld användare, inloggning eller en riskhändelse. Möjliga värden: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser eller adminConfirmedSigninCompromised. Värdet none innebär att ingen åtgärd har utförts på användaren eller inloggningen hittills. Obs! Information om den här egenskapen är endast tillgänglig för Azure AD Premium P2 kunder. Alla andra kunder returneras dolda. |
RiskEventTypes | sträng | Den här egenskapen är inaktuell. |
RiskEventTypes_V2 | sträng | Listan över riskhändelsetyper som är associerade med inloggningen. Möjliga värden: osannoliktTravel, anonymiseradIPAddress, maliciousIPAddress, okändaFeatures, malwareInfectedIPAddress, suspiciousIPAddress, leakedCredentials, investigationsThreatIntelligence eller generic. |
RiskLevel | sträng | |
RiskLevelAggregated | sträng | Den aggregerade risknivån. Möjliga värden: ingen, låg, medel, hög eller dold. Värdet dolt innebär att användaren eller inloggningen inte har aktiverats för Azure AD Identity Protection. Obs! Information om den här egenskapen är endast tillgänglig för Azure AD Premium P2 kunder. Alla andra kunder returneras dolda. |
RiskLevelDuringSignIn | sträng | Risknivån under inloggningen. Möjliga värden: ingen, låg, medel, hög eller dold. Värdet dolt innebär att användaren eller inloggningen inte har aktiverats för Azure AD Identity Protection. Obs! Information om den här egenskapen är endast tillgänglig för Azure AD Premium P2 kunder. Alla andra kunder returneras dolda. |
RiskState | sträng | Risktillståndet för en riskfylld användare, inloggning eller en riskhändelse. Möjliga värden: none, confirmedSafe, remediated, dismissed, atRisk eller confirmedCompromised. |
ServicePrincipalId | sträng | Programidentifieraren som används för inloggning. Det här fältet fylls i när du loggar in med ett program. |
ServicePrincipalName | sträng | Programnamnet som används för inloggning. Det här fältet fylls i när du loggar in med ett program. |
SessionLifetimePolicies | sträng | Alla principer för sessionshantering för villkorlig åtkomst som tillämpades under inloggningshändelsen. |
SignInIdentifier | sträng | Den identifiering som användaren angav för att logga in. Det kan vara userPrincipalName men det fylls också i när en användare loggar in med andra identifierare. |
SignInIdentifierType | sträng | Typen av inloggningsidentifierare. Möjliga värden är: userPrincipalName, phoneNumber, proxyAddress, qrCode, onPremisesUserPrincipalName. |
SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
Status | dynamisk | Inloggningsstatus. Innehåller felkoden och beskrivningen av felet (i händelse av ett inloggningsfel). |
TimeGenerated | datetime | |
TokenIssuerName | sträng | Namnet på identitetsprovidern. Till exempel sts.microsoft.com. |
TokenIssuerType | sträng | Typ av identitetsprovider. Möjliga värden är: AzureAD eller ADFederationServices, AzureADBackupAuth, ADFederationServicesMFAAdapter, NPSExtension. |
Typ | sträng | Namnet på tabellen |
UniqueTokenIdentifier | sträng | En unik base64-kodad begärandeidentifierare som används för att spåra token som utfärdats av Azure AD när de löses in hos resursprovidrar. |
Useragent | sträng | Information om användaragenten som rör inloggning. |
UserDisplayName | sträng | Användarens visningsnamn. |
UserId | sträng | Användarens identifierare. |
UserPrincipalName | sträng | UPN för användaren. |
UserType | sträng | Identifierar om användaren är medlem eller gäst i klientorganisationen. Möjliga värden är: medlem och gäst. |
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för