Consultas para la tabla SigninLogs
Para obtener información sobre el uso de estas consultas en Azure Portal, consulte tutorial de Log Analytics. Para obtener la API REST, consulte Consulta.
Todos los eventos siginLogs
Todos los eventos de inicio de sesión de Azure.
SigninLogs
| project UserDisplayName, Identity,UserPrincipalName, AppDisplayName, AppId, ResourceDisplayName
Recursos a los que accede el usuario
Enumera los recursos a los que se accede para un usuario específico.
// Set v_Users_UPN with the UPN of the user of interest
let v_Users_UPN = "osotnoc@contoso.com";
SigninLogs
| where UserPrincipalName == v_Users_UPN
| summarize Count=count() by ResourceDisplayName, AppDisplayName
Recuento de usuarios por recurso
Recuento distinto si los usuarios por recurso.
SigninLogs
| project UserDisplayName, Identity,UserPrincipalName, AppDisplayName, AppId, ResourceDisplayName
| summarize UserCount=dcount(UserPrincipalName) by ResourceDisplayName
Recuento de usuarios por aplicación
Recuento distinto de usuarios por aplicación.
SigninLogs
| project UserDisplayName, Identity,UserPrincipalName, AppDisplayName, AppId, ResourceDisplayName
| summarize UserCount=dcount(UserPrincipalName) by AppDisplayName
Motivos del inicio de sesión erróneo
La consulta enumera las principales razones para los errores de inicio de sesión.
SigninLogs
| where ResultType != 0
| summarize Count=count() by ResultDescription, ResultType
| sort by Count desc nulls last
Desafío de MFA con error
Resalta los errores de inicio de sesión causados por un desafío de MFA con errores.
SigninLogs
| where ResultType == 50074
| project UserDisplayName, Identity,UserPrincipalName, ResultDescription, AppDisplayName, AppId, ResourceDisplayName
| summarize FailureCount=count(), FailedResources=dcount(ResourceDisplayName), ResultDescription=any(ResultDescription) by UserDisplayName
Error en la aplicación intentó iniciar sesión silenciosa
Error en los intentos de inicio de sesión de aplicaciones silenciosas.
SigninLogs
| where ResultType == 50058
| project UserDisplayName, Identity,UserPrincipalName, ResultDescription, AppDisplayName, AppId, ResourceDisplayName
| summarize FailureCount=count(), FailedResources=dcount(ResourceDisplayName), ResultDescription=any(ResultDescription) by UserDisplayName
Recuento de inicios de sesión con errores
Recursos con la mayoría de los intentos de inicio de sesión con errores.
SigninLogs
| where ResultType !=0
| summarize FailedLoginCount=count() by ResourceDisplayName
| sort by FailedLoginCount desc nulls last
Ubicaciones de inicio de sesión
Error y correcto sig ins por ubicación de origen.
SigninLogs
| summarize Successful=countif(ResultType==0), Failed=countif(ResultType!=0) by Location
Inicios de sesión en el recurso
Enumera los inicios de sesión de api.
SigninLogs
| where ResourceDisplayName == "Windows Azure Service Management API"
| project TimeGenerated, UserDisplayName, Identity,UserPrincipalName, AppDisplayName, Success=iff(ResultType==0, "Success", "Fail")