Microsoft Graph策略日志提供了来自Microsoft Graph的资源策略评估的详细信息,包括是否应用、拒绝或审核了 API 请求的策略。
数据表属性
| Attribute |
价值 |
|
资源类型 |
- |
|
Categories |
审核,安全性 |
|
解决方案 |
LogManagement |
|
基本日志 |
是的 |
|
引入时 DCR 支持 |
否 |
|
仅湖引入 |
是的 |
|
示例查询 |
- |
Columns
| 列 |
类型 |
说明 |
| AAD 租户 ID |
字符串 |
拥有资源的组织的Microsoft Entra租户 ID。 |
| ApiVersion |
字符串 |
用于请求的Microsoft 图形 API版本:v1.0 或 beta 版。 |
| AppId |
字符串 |
发出请求的Microsoft Entra应用注册的应用程序(客户端)ID。 |
| ApplicablePoliciesCount |
int |
适用于此特定请求的策略分配数。 与 PolicyDetailsCount(总匹配分配)进行比较,以了解策略覆盖范围。 |
| AuditPoliciesCount |
int |
触发审核效果的适用策略分配数。 |
| _BilledSize |
real |
记录大小(字节) |
| ClientRequestId |
字符串 |
客户端提供的可选关联 ID 来自 client-request-id 标头。 |
| DenyPoliciesCount |
int |
触发拒绝效果的适用策略分配数。 |
| ErrorPoliciesCount |
int |
评估、适用性检查或策略加载期间遇到错误的策略分配数。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 位置 |
字符串 |
为请求提供服务的Azure数据中心区域(例如 chinanorth2、chinaeast2)。 |
| OperationId |
字符串 |
父操作的相关 ID。 对于非批处理请求,等于 RequestId。 对于$batch子级,所有共享父请求 ID。 与 ActivityEvent OperationId 对齐。 |
| PolicyDecision |
字符串 |
策略评估的高级结果:拒绝(已阻止)、审核(不符合但允许 - what-if/dry-run)或合规(无违规或不适用策略)。 |
| PolicyDetails |
dynamic |
单个策略评估结果的完整数组,按效果优先级排序(首先拒绝,然后审核,然后符合)。 每个条目包括 assignmentUniqueName、assignedPolicyDisplayName、appliedPolicyEffects、evaluationError、policyVersion、isCompliant 和 isApplicable。 如果序列化数组超过 16 KB,可能会截断。 |
| PolicyDetailsCount |
int |
评估的策略分配总数。 这反映了 PolicyDetails 的任何截断之前的原始计数。 |
| RequestId |
字符串 |
此请求的唯一标识符。 对于$batch子请求,每个子级获取唯一 ID。 与 ActivityEvent RequestId 对齐。 |
| 请求方式 |
字符串 |
请求的 HTTP 方法:GET、POST、PATCH 或 DELETE。 |
| RequestUri |
字符串 |
完整的Microsoft Graph请求 URI,包括路径和查询参数。 |
| ServicePrincipalId |
字符串 |
仅应用调用的服务主体的对象 ID。 对于委派的调用,为空。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure 诊断 的 Azure。 |
| TargetResourceId |
字符串 |
从请求 URI 密钥段中提取的目标资源的标识符。 主键(例如 GUID)的单个值,或备用键或复合键的逗号分隔键=值对。 |
| 目标资源名称 |
字符串 |
CRUD 的资源类型短名称(例如用户、应用程序):绑定操作作为 bindingType/action(例如 application/addKey)。 存在“/”可区分操作与资源。 |
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| TenantRegionScope |
字符串 |
租户的区域范围(例如 NA、EU、AS、AF、OC)。 |
| TimeGenerated |
日期/时间 |
策略评估发生的日期和时间(UTC)。 |
| TotalPolicyEvaluationDurationMs |
real |
评估此请求的所有适用策略所用的总时间(以毫秒为单位),包括适用性检查和效果评估。 |
| 类型 |
字符串 |
表的名称 |
| UserId |
字符串 |
委托(用户 + 应用)调用的用户的对象 ID。 仅限应用的调用为空。 |