AADNonInteractiveUserSignInLogs
来自用户的非交互式 Azure Active Directory 登录日志。
表属性
| Attribute |
值 |
| 资源类型 |
- |
| 类别 |
审核,安全性 |
| 解决方案 |
LogManagement |
| 基本日志 |
是 |
| 引入时转换 |
是 |
| 示例查询 |
是 |
列
| 列 |
类型 |
描述 |
| AlternateSignInName |
string |
提供用户登录到 Azure AD 的本地 UPN,例如电话号码登录。 |
| AppDisplayName |
string |
Azure 门户中显示的应用程序名称。 |
| AppId |
string |
表示 Azure Active Directory 中的应用 ID 的唯一 GUID。 |
| AppliedEventListeners |
动态 |
有关由身份验证活动中相应事件触发的已应用事件侦听器或侦听器的详细信息。 它在 ALP 和 MSGraph 中称为 appliedEventListeners,但使用身份验证事件匹配 UX 上的名称。 |
| AuthenticationContextClassReferences |
string |
登录的身份验证上下文。 |
| AuthenticationDetails |
string |
登录中执行的每个身份验证步骤的记录。 |
| AuthenticationMethodsUsed |
string |
使用的身份验证方法的列表。 |
| AuthenticationProcessingDetails |
string |
提供与身份验证处理器关联的详细信息。 |
| AuthenticationProtocol |
string |
列出身份验证中使用的协议类型或授权类型。 可能的值包括:none、oAuth2、ropc、wsFederation、saml20、deviceCode、unknownFutureValue。 对于使用所列可能值以外协议的身份验证,协议类型会被列为无。 |
| AuthenticationRequirement |
string |
登录所需的身份验证类型。 如果设置为 multiFactorAuthentication,则需要执行 MFA 步骤。 如果设置为 singleFactorAuthentication,则不需要 MFA。 |
| AuthenticationRequirementPolicies |
string |
应用于此登录的 CA 策略集,每个策略都为 CA:策略名称和/或 MFA:每用户。 |
| AutonomousSystemNumber |
string |
网络的自治系统编号。 |
| _BilledSize |
real |
记录大小(字节) |
| 类别 |
string |
登录事件的类别。 |
| ClientAppUsed |
string |
详细概述了使用的应用身份验证(旧版与非旧版)例如:新式浏览器、本机应用、Exchange Activty Sync 和旧版客户端。 |
| ConditionalAccessPolicies |
string |
正在为登录应用的条件访问策略的详细信息。 |
| ConditionalAccessStatus |
string |
与登录相关的所有 conditionalAccess 策略的状态。 |
| CorrelationId |
string |
提供登录线索的 ID。 |
| CreatedDateTime |
datetime |
登录活动的日期/时间。 |
| CrossTenantAccessType |
string |
描述参与者用于访问资源的跨租户访问的类型。 可能的值包括:none、b2bCollaboration、b2bDirectConnect、microsoftSupport、serviceProvider、unknownFutureValue。 如果登录未跨过租户的边界,则值为无。 |
| DeviceDetail |
string |
用于登录的设备的详细信息。 |
| DurationMs |
long |
操作持续时间,以毫秒为单位。 |
| HomeTenantId |
string |
跨租户方案的主租户 ID。 |
| Id |
string |
表示登录活动的唯一 ID。 |
| 标识 |
string |
发出请求时提供的令牌中的标识。 可以是用户帐户、系统帐户或服务主体。 |
| IPAddress |
string |
用于登录的客户端的 IP 地址。 |
| _IsBillable |
string |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsInteractive |
布尔 |
指示登录是否为交互式。 |
| IsRisky |
布尔 |
指示登录是否被视为有风险。 |
| 级别 |
string |
事件的严重级别。 |
| 位置 |
string |
发出事件的资源的区域。 |
| LocationDetails |
string |
登录位置的详细信息。 |
| MfaDetail |
string |
多重身份验证的详细信息。 |
| NetworkLocationDetails |
string |
提供与身份验证处理器关联的详细信息。 |
| OperationName |
string |
对于登录,此值始终为“登录活动”。 |
| OperationVersion |
string |
客户端请求的 REST API 版本。 |
| OriginalRequestId |
string |
身份验证序列中第一个请求的请求 ID。 |
| ProcessingTimeInMs |
string |
AD STS 中的请求处理时间(以毫秒为单位)。 |
| ResourceDisplayName |
string |
用户登录的资源的名称。 |
| ResourceGroup |
string |
日志的资源组。 |
| ResourceIdentity |
string |
用户登录的资源的 ID。 |
| ResourceServicePrincipalId |
string |
资源的服务主体 ID。 |
| ResourceTenantId |
string |
跨租户方案的资源租户 ID。 |
| ResultDescription |
string |
提供登录操作的错误说明。 |
| ResultSignature |
string |
包含登录操作的错误代码(如果有)。 |
| ResultType |
string |
登录操作的结果,可以是“成功”或“失败”。 |
| RiskDetail |
string |
有风险用户状态详细信息。 |
| RiskEventTypes |
string |
与登录相关的风险事件类型的列表。 |
| RiskEventTypes_V2 |
string |
与登录相关的风险事件类型的列表。 这些是字符串。 |
| RiskLevelAggregated |
string |
聚合风险级别。 |
| RiskLevelDuringSignIn |
string |
登录过程中的风险级别。 |
| RiskState |
string |
有风险用户状态。 |
| ServicePrincipalId |
string |
发起登录的服务主体的 ID。 |
| SessionLifetimePolicies |
string |
应用于强制或撤销会话生存期的登录的策略和设置。 |
| SignInEventTypes |
string |
与登录关联的类型。 示例包括“interactive”、“refreshToken”、“managedIdentity”、“continuousAccessEvaluation”等。 |
| SignInIdentifierType |
string |
登录标识符的类型。 可能的值包括:userPrincipalName、phoneNumber、proxyAddress、qrCode、onPremisesUserPrincipalName、unknownFutureValue。 |
| SourceSystem |
string |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| Status |
string |
登录状态的详细信息。 |
| TenantId |
string |
Log Analytics 工作区 ID |
| TimeGenerated |
datetime |
事件的日期和时间(采用 UTC 格式)。 |
| TokenIssuerName |
string |
身份提供商的名称(例如 sts.microsoft.com)。 |
| TokenIssuerType |
string |
identityProvider 的类型(Azure AD、AD 联合身份验证服务)。 |
| 类型 |
字符串 |
表的名称 |
| UniqueTokenIdentifier |
string |
请求的唯一令牌标识符。 |
| UserAgent |
string |
用于登录的用户代理。 |
| UserDisplayName |
string |
发起登录的用户的显示名称。 |
| UserID |
string |
发起登录的用户的 ID。 |
| UserPrincipalName |
string |
发起登录的用户的用户主体名称。 |
| UserType |
string |
标识用户是租户的成员还是来宾。 可能的值包括:member、guest、unknownFutureValue。 |