| AADTenantId |
字符串 |
与日志关联的租户 AADTenantId GUID |
| 代理人 |
字符串 |
代理登录的详细信息。 |
| AlternateSignInName |
字符串 |
提供用户登录到 Azure AD 的本地 UPN,例如电话号码登录。 |
| AppDisplayName |
字符串 |
Azure 门户中显示的应用程序名称。 |
| AppId |
字符串 |
表示 Azure Active Directory 中的应用 ID 的唯一 GUID。 |
| AppliedEventListeners |
动态 |
有关由身份验证活动中相应事件触发的已应用事件侦听器或侦听器的详细信息。 它在 ALP 和 MSGraph 中称为 appliedEventListeners,但使用身份验证事件匹配 UX 上的名称。 |
| AppOwnerTenantId (应用所有者租户ID) |
字符串 |
Azure Active Directory 中应用程序所有者的租户标识符。 |
| AuthenticationContextClassReferences |
字符串 |
登录的身份验证上下文。 |
| AuthenticationDetails |
字符串 |
登录中执行的每个身份验证步骤的记录。 |
| AuthenticationMethodsUsed |
字符串 |
使用的身份验证方法的列表。 |
| AuthenticationProcessingDetails |
字符串 |
提供与身份验证处理器关联的详细信息。 |
| AuthenticationProtocol |
字符串 |
列出身份验证中使用的协议类型或授权类型。 可能的值包括:none、oAuth2、ropc、wsFederation、saml20、deviceCode、unknownFutureValue。 对于使用所列可能值以外协议的身份验证,协议类型会被列为无。 |
| AuthenticationRequirement |
字符串 |
登录所需的身份验证类型。 如果设置为 multiFactorAuthentication,则需要执行 MFA 步骤。 如果设置为 singleFactorAuthentication,则不需要 MFA。 |
| AuthenticationRequirementPolicies |
字符串 |
应用于此登录的 CA 策略集,每个策略都为 CA:策略名称和/或 MFA:每用户。 |
| AutonomousSystemNumber |
字符串 |
网络的自治系统编号。 |
| _BilledSize |
real |
记录大小(字节) |
| 类别 |
字符串 |
登录事件的类别。 |
| ClientAppUsed |
字符串 |
详细概述了使用的应用身份验证(旧版与非旧版)例如:新式浏览器、本机应用、Exchange Activty Sync 和旧版客户端。 |
| ClientCredentialType |
字符串 |
使用的客户端凭据的类型。 示例包括客户端断言、客户端密码等。 |
| ConditionalAccessPolicies |
字符串 |
正在为登录应用的条件访问策略的详细信息。 |
| ConditionalAccessStatus |
字符串 |
与登录相关的所有 conditionalAccess 策略的状态。 |
| CorrelationId |
字符串 |
提供登录线索的 ID。 |
| CreatedDateTime |
日期/时间 |
登录活动的日期/时间。 |
| CrossTenantAccessType |
字符串 |
描述参与者用于访问资源的跨租户访问的类型。 可能的值包括:none、b2bCollaboration、b2bDirectConnect、microsoftSupport、serviceProvider、unknownFutureValue。 如果登录未跨过租户的边界,则值为无。 |
| DeviceDetail |
字符串 |
用于登录的设备的详细信息。 |
| DurationMs |
long |
操作持续时间,以毫秒为单位。 |
| FederatedCredentialId |
字符串 |
联合凭据 ID。 |
| 全球安全访问IP地址 |
字符串 |
用户从中登录的全局安全 IP 地址。 |
| HomeTenantId |
字符串 |
跨租户方案的主租户 ID。 |
| 家庭租户名称 |
字符串 |
在客户租户中执行操作的实体所属的外部租户的租户名称。 |
| Id |
字符串 |
表示登录活动的唯一 ID。 |
| 标识 |
字符串 |
发出请求时提供的令牌中的标识。 可以是用户帐户、系统帐户或服务主体。 |
| IncomingTokenType |
字符串 |
用于登录的令牌类型(示例:主刷新令牌、saml 断言)。 |
| IPAddress |
字符串 |
用于登录的客户端的 IP 地址。 |
| _IsBillable |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsInteractive |
布尔 |
指示登录是否为交互式。 |
| IsRisky |
布尔 |
指示登录是否被视为有风险。 |
| IsTenantRestricted |
布尔 |
指示登录是否符合租户限制策略。 |
| IsThroughGlobalSecureAccess |
布尔 |
显示用户是否是通过全局安全访问服务而来的。 |
| 级别 |
字符串 |
事件的严重级别。 |
| 位置 |
字符串 |
发出事件的资源的区域。 |
| LocationDetails |
字符串 |
登录位置的详细信息。 |
| MfaDetail |
字符串 |
多重身份验证的详细信息。 |
| NetworkLocationDetails |
字符串 |
提供与身份验证处理器关联的详细信息。 |
| OperationName |
字符串 |
对于登录,此值始终为“登录活动”。 |
| OperationVersion |
字符串 |
客户端请求的 REST API 版本。 |
| OriginalRequestId |
字符串 |
身份验证序列中第一个请求的请求 ID。 |
| 原始转账方法 |
字符串 |
用于在所有后续请求中启动会话的传输方法。 |
| ProcessingTimeInMs |
字符串 |
AD STS 中的请求处理时间(以毫秒为单位)。 |
| ResourceDisplayName |
字符串 |
用户登录的资源的名称。 |
| ResourceGroup |
字符串 |
日志的资源组。 |
| ResourceIdentity |
字符串 |
用户登录的资源的 ID。 |
| ResourceOwnerTenantId (资源所有者租户ID) |
字符串 |
登录中引用的资源的所有者的租户标识符。 |
| ResourceServicePrincipalId |
字符串 |
资源的服务主体 ID。 |
| ResourceTenantId |
字符串 |
跨租户方案的资源租户 ID。 |
| ResultDescription |
字符串 |
提供登录操作的错误说明。 |
| ResultSignature |
字符串 |
包含登录操作的错误代码(如果有)。 |
| ResultType |
字符串 |
登录操作的结果,可以是“成功”或“失败”。 |
| RiskDetail |
字符串 |
有风险用户状态详细信息。 |
| RiskEventTypes |
字符串 |
与登录相关的风险事件类型的列表。 |
| RiskEventTypes_V2 |
字符串 |
与登录相关的风险事件类型的列表。 这些是字符串。 |
| RiskLevelAggregated |
字符串 |
聚合风险级别。 |
| RiskLevelDuringSignIn |
字符串 |
登录过程中的风险级别。 |
| RiskState |
字符串 |
有风险用户状态。 |
| ServicePrincipalId |
字符串 |
发起登录的服务主体的 ID。 |
| SessionId(会话ID) |
字符串 |
在登录期间生成的会话的 ID。 |
| SessionLifetimePolicies |
字符串 |
应用于强制或撤销会话生存期的登录的策略和设置。 |
| SignInEventTypes |
字符串 |
与登录关联的类型。 示例包括“interactive”、“refreshToken”、“managedIdentity”、“continuousAccessEvaluation”等。 |
| SignInIdentifierType |
字符串 |
登录标识符的类型。 可能的值包括:userPrincipalName、phoneNumber、proxyAddress、qrCode、onPremisesUserPrincipalName、unknownFutureValue。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| Status |
字符串 |
登录状态的详细信息。 |
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
事件的日期和时间(采用 UTC 格式)。 |
| TokenIssuerName |
字符串 |
身份提供商的名称(例如 sts.microsoft.com)。 |
| TokenIssuerType |
字符串 |
identityProvider 的类型(Azure AD、AD 联合身份验证服务)。 |
| 令牌保护状态详细信息 |
字符串 |
令牌保护在令牌与颁发令牌的设备之间创建加密安全绑定。 此字段指示登录令牌是否已绑定到设备。 |
| 类型 |
字符串 |
表的名称 |
| UniqueTokenIdentifier |
字符串 |
请求的唯一令牌标识符。 |
| UserAgent |
字符串 |
用于登录的用户代理。 |
| UserDisplayName |
字符串 |
发起登录的用户的显示名称。 |
| UserID |
字符串 |
发起登录的用户的 ID。 |
| UserPrincipalName |
字符串 |
发起登录的用户的用户主体名称。 |
| UserType |
字符串 |
标识用户是租户的成员还是来宾。 可能的值包括:member、guest、unknownFutureValue。 |