SigninLogs
數據表屬性
屬性 | 值 |
---|---|
資源類型 | microsoft.graph/tenants |
類別 | Azure 資源、安全性 |
方案 | LogManagement |
基本記錄檔 | No |
擷取時間轉換 | Yes |
範例查詢 | 是 |
資料行
資料行 | 類型 | Description |
---|---|---|
AADTenantId | 字串 | |
AlternateSignInName | 字串 | 使用者提供給登入的識別。 這可能是userPrincipalName,但當使用者使用其他標識碼登入時也會填入它。 |
AppDisplayName | 字串 | Azure 入口網站中顯示的應用程式名稱。 |
AppId | 字串 | Azure Active Directory 中的應用程式識別碼。 |
AppliedConditionalAccessPolicies | 字串 | |
AppliedEventListeners | 動態 | 登入事件中對應事件所觸發之接聽程式的詳細資訊,例如 Azure Logic Apps 和 Azure Functions。 |
AuthenticationContextClassReferences | 字串 | 包含值的集合,這些值表示套用至登入的條件式存取驗證內容。 |
AuthenticationDetails | 字串 | 驗證嘗試的結果,以及驗證方法的其他詳細數據。 |
AuthenticationMethodsUsed | 字串 | 使用的驗證方法。 可能的值:SMS、Authenticator 應用程式、應用程式驗證碼、密碼、FIDO、PTA 或 PHS。 |
AuthenticationProcessingDetails | 字串 | 其他驗證處理詳細數據,例如在同盟驗證時為 PTA/PHS 或伺服器/伺服器數位名稱的代理程式名稱。 |
AuthenticationProtocol | 字串 | 清單 驗證中使用的通訊協定類型或授與類型。 可能的值為:none、oAuth2、ropc、wsFederation、saml20、deviceCode。 對於使用所列出可能值以外的通訊協定的驗證,通訊協定類型會列為無。 |
AuthenticationRequirement | 字串 | 這會保存透過所有登入步驟所需的最高層級驗證,登入才能成功。 |
AuthenticationRequirementPolicies | 字串 | 驗證需求的來源,例如條件式存取、每個使用者 MFA、身分識別保護和安全性預設值。 |
AutonomousSystemNumber | 字串 | 動作專案所使用網路的自發系統號碼 (ASN) 。 |
_BilledSize | real | 以位元組為單位的記錄大小 |
類別 | 字串 | |
ClientAppUsed | 字串 | 用於登入活動的舊版用戶端。 例如:Browser、Exchange ActiveSync、Modern 用戶端、IMAP、MAPI、SMTP 或 POP。 |
ConditionalAccessPolicies | 動態 | 對應登入活動所觸發的條件式存取原則清單。 |
ConditionalAccessPolicies | 字串 | 觸發條件式存取原則的狀態。 可能的值:成功、失敗或 notApplied。 |
CorrelationId | 字串 | 起始登入時從用戶端傳送的標識碼。 當呼叫 支援時,這會用於針對對應的登入活動進行疑難解答。 |
createdDateTime | datetime | 登入起始的日期和時間。 Timestamp 類型一律為UTC時間。 例如,2014 年 1 月 1 日午夜 UTC 是 2014-01-01T00:00:00Z。 |
CrossTenantAccessType | 字串 | 描述動作專案用來存取資源的跨租使用者存取類型。 |
DeviceDetail | 動態 | 登入發生所在位置的裝置資訊。 包含 deviceId、OS 和瀏覽器等資訊。 |
DurationMs | long | |
FlaggedForReview | bool | 在登入失敗期間,使用者可以按兩下 Azure 入口網站中的按鈕,為租用戶系統管理員標示失敗的事件。 如果使用者按鍵來標幟失敗的登入,此值為 true。 |
HomeTenantId | 字串 | 起始登入之使用者的租用戶標識碼。 不適用於受控識別或服務主體登入。 |
識別碼 | 字串 | 表示登入活動的標識碼。 |
身分識別 | 字串 | 登入中所識別之動作項目的顯示名稱。 |
IPAddress | 字串 | 發生登入之用戶端的IP位址。 |
IPAddressFromResourceProvider | 字串 | 用戶用來連線到資源提供者的IP位址,用來判斷某些原則的條件式存取合規性。 例如,當使用者與 Exchange Online 互動時,可能會在這裡記錄來自使用者的IP位址Exchange。 這個值通常是 Null。 |
_IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
IsInteractive | bool | 指出使用者登入是否為互動式。 在互動式登錄中,使用者會將驗證因素提供給 Azure AD。 這些因素包括密碼、MFA 挑戰的回應、生物特徵辨識因素或使用者提供給 Azure AD 或相關聯的應用程式 QR 代碼。 在非互動式登錄中,使用者不會提供驗證因素。 相反地,用戶端應用程式會使用令牌或程式代碼來代表使用者驗證或存取資源。 非互動式登錄通常用於用戶端代表使用者登入的程式,讓使用者以透明的方式登入。 |
IsRisky | bool | |
層級 | 字串 | |
Location | 字串 | 登入發生的 2 個字母國家/地區代碼。 根據提供的IP位址,此值不一定會解析為城市或區域的詳細數據層級。 |
LocationDetails | 動態 | 提供登入發生的城市、州、國家/地區和緯度和經度。 |
MfaDetail | 動態 | 此屬性已被取代。 |
NetworkLocationDetails | 字串 | 網路位置詳細數據,包括所使用的網路類型及其名稱。 |
OperationName | 字串 | |
OperationVersion | 字串 | |
OriginalRequestId | 字串 | 驗證順序中第一個要求的要求標識碼。 |
ProcessingTimeInMilliseconds | 字串 | |
資源 | 字串 | |
ResourceDisplayName | 字串 | 使用者登入的資源名稱。 |
ResourceGroup | 字串 | |
ResourceId | 字串 | 使用者登入之資源的標識碼。 |
ResourceIdentity | 字串 | 使用者登入的資源。 |
ResourceProvider | 字串 | |
ResourceServicePrincipalId | 字串 | 代表登入事件中目標資源之服務主體的標識碼。 |
ResourceTenantId | 字串 | 登入中所參考資源的租用戶標識碼。 |
ResultDescription | 字串 | 提供錯誤訊息或對應登入活動失敗的原因。 |
ResultSignature | 字串 | |
ResultType | 字串 | 提供登入事件期間產生的5-6位數錯誤碼。 0 表示成功;其他值為失敗。 您可以使用 Azure AD 錯誤碼檔或 https://login.microsoftonline.com/error來找到詳細資訊。 |
RiskDetail | 字串 | 風險使用者、登入或風險事件的特定狀態背後的原因。 可能的值:none、adminGeneratedTemporaryPassword、userPerformedSecuredPasswordChange、userPerformedSecuredPasswordReset、adminConfirmedSigninSafe、aiConfirmedSigninSafe、userPassedMFADrivenByRiskBasedPolicy、adminDismissedAllRiskForUser 或 adminConfirmedSigninCompromised。 無值表示目前尚未對使用者或登入執行任何動作。 注意:只有 Azure AD Premium P2 客戶才能使用此屬性的詳細資料。 所有其他客戶都會隱藏。 |
RiskEventTypes | 字串 | 此屬性已被取代。 |
RiskEventTypes_V2 | 字串 | 與登入相關聯的風險事件類型清單。 可能的值:不可能的Travel、匿名IPAddress、malwareIPAddress、unfliarFeatures、malwareInfectedIPAddress、suspiciousIPAddress、leakedCredentials、investigationsThreatIntelligence 或泛型。 |
RiskLevel | 字串 | |
RiskLevelAggregated | 字串 | 匯總的風險層級。 可能的值:無、低、中、高或隱藏。 隱藏的值表示 Azure AD Identity Protection 未啟用使用者或登入。 注意:只有 Azure AD Premium P2 客戶才能使用此屬性的詳細資料。 所有其他客戶都會隱藏。 |
RiskLevelDuringSignIn | 字串 | 登入期間的風險層級。 可能的值:無、低、中、高或隱藏。 隱藏的值表示 Azure AD Identity Protection 未啟用使用者或登入。 注意:只有 Azure AD Premium P2 客戶才能使用此屬性的詳細資料。 所有其他客戶都會隱藏。 |
RiskState | 字串 | 具風險的使用者、登入或風險事件的風險狀態。 可能的值:none、confirmedSafe、remediaed、dismissed、atRisk 或 confirmedCompromised。 |
ServicePrincipalId | 字串 | 用於登入的應用程式識別碼。 當您使用應用程式登入時,會填入此欄位。 |
ServicePrincipalName | 字串 | 用於登入的應用程式名稱。 當您使用應用程式登入時,會填入此欄位。 |
SessionLifetimePolicies | 字串 | 登入事件期間套用的任何條件式存取會話管理原則。 |
SignInIdentifier | 字串 | 使用者提供給登入的識別。 這可能是userPrincipalName,但當使用者使用其他標識碼登入時也會填入它。 |
SignInIdentifierType | 字串 | 登入標識碼的類型。 可能的值為:userPrincipalName、phoneNumber、proxyAddress、qrCode、onPremisesUserPrincipalName。 |
SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,OpsManager 針對 Windows 代理程式、直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
狀態 | 動態 | 登入狀態。 包含錯誤碼和錯誤 (的描述,以防登入失敗) 。 |
TimeGenerated | Datetime | |
TokenIssuerName | 字串 | 識別提供者的名稱。 例如,sts.microsoft.com。 |
TokenIssuerType | 字串 | 識別提供者的類型。 可能的值為:AzureAD 或 ADFederationServices、AzureADBackupAuth、ADFederationServicesMFAAdapter、NPSExtension。 |
類型 | 字串 | 資料表的名稱 |
UniqueTokenIdentifier | 字串 | 唯一的base64編碼要求標識碼,用來追蹤 Azure AD 所簽發的令牌,因為它們會在資源提供者兌換時加以兌換。 |
UserAgent | 字串 | 與登入相關的使用者代理程序資訊。 |
UserDisplayName | 字串 | 使用者的顯示名稱。 |
UserId | 字串 | 使用者的識別碼。 |
UserPrincipalName | 字串 | 使用者的UPN。 |
使用者類型 | 字串 | 識別使用者是租使用者中的成員或來賓。 可能的值為:成員和來賓。 |
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應