Compartir a través de


SigninLogs

Atributos de tabla

Attribute Valor
Tipos de recursos microsoft.graph/tenants
Categorías Recursos de Azure, seguridad
Soluciones LogManagement
Registro básico No
Transformación en tiempo de ingesta
Consultas de ejemplo

Columnas

Columna Type Descripción
AADTenantId string
AlternateSignInName string La identificación que proporcionó el usuario para iniciar sesión. Puede ser userPrincipalName, pero también se rellena cuando un usuario inicia sesión con otros identificadores.
AppDisplayName string El nombre de la aplicación que se muestra en Azure Portal.
AppId string Identificador de aplicación en Azure Active Directory.
AppliedConditionalAccessPolicies string
AppliedEventListeners dinámico Información detallada sobre los agentes de escucha, como Azure Logic Apps y Azure Functions, desencadenados por los eventos correspondientes en el evento de inicio de sesión.
AuthenticationContextClassReferences string Contiene una colección de valores que representan los contextos de autenticación de acceso condicional aplicados al inicio de sesión.
AuthenticationDetails string Resultado del intento de autenticación y detalles adicionales sobre el método de autenticación.
AuthenticationMethodsUsed string Métodos de autenticación usados. Valores posibles: SMS, Authenticator App, App Verification code, Password, FIDO, PTA o PHS.
AuthenticationProcessingDetails string Detalles de procesamiento de autenticación adicionales, como el nombre del agente en el caso de PTA/PHS o nombre de servidor o granja de servidores en caso de autenticación federada.
AuthenticationProtocol string Enumera el tipo de protocolo o el tipo de concesión usados en la autenticación. Los valores posibles son: none, oAuth2, ropc, wsFederation, saml20, deviceCode. En el caso de las autenticaciones que usan protocolos distintos de los valores posibles enumerados, el tipo de protocolo aparece como ninguno.
AuthenticationRequirement string Esto contiene el nivel más alto de autenticación necesario a través de todos los pasos de inicio de sesión, para que el inicio de sesión se realice correctamente.
AuthenticationRequirementPolicies string Orígenes de requisitos de autenticación, como el acceso condicional, MFA por usuario, la protección de identidades y los valores predeterminados de seguridad.
AutonomousSystemNumber string Número de sistema autónomo (ASN) de la red utilizada por el actor.
_BilledSize real Tamaño del registro en bytes
Category string
ClientAppUsed string Cliente heredado usado para la actividad de inicio de sesión. Por ejemplo: Explorador, Exchange ActiveSync, clientes modernos, IMAP, MAPI, SMTP o POP.
ConditionalAccessPolicies dinámico Lista de directivas de acceso condicional desencadenadas por la actividad de inicio de sesión correspondiente.
ConditionalAccessStatus string Estado de la directiva de acceso condicional desencadenada. Valores posibles: correcto, error o noAplicación.
CorrelationId string Identificador que se envía desde el cliente cuando se inicia el inicio de sesión. Esto se usa para solucionar problemas de la actividad de inicio de sesión correspondiente al llamar al soporte técnico.
CreatedDateTime datetime Fecha y hora en que se inició el inicio de sesión. El tipo timestamp siempre está en hora UTC. Por ejemplo, medianoche UTC el 1 de enero de 2014 es 2014-01-01T00:00:00Z.
CrossTenantAccessType string Describe el tipo de acceso entre inquilinos que usa el actor para acceder al recurso.
DeviceDetail dinámico Información del dispositivo desde donde se produjo el inicio de sesión. Incluye información como deviceId, sistema operativo y explorador.
DurationMs long
FlaggedForReview bool Durante un inicio de sesión con errores, un usuario puede hacer clic en un botón en Azure Portal para marcar el evento con errores para los administradores de inquilinos. Si un usuario ha hecho clic en el botón para marcar el inicio de sesión con errores, este valor es true.
HomeTenantId string Identificador de inquilino del usuario que inicia el inicio de sesión. No es aplicable en inicios de sesión de identidad administrada o entidad de servicio.
Id string Identificador que representa la actividad de inicio de sesión.
Identidad string Nombre para mostrar del actor identificado en el inicio de sesión.
IPAddress string Dirección IP del cliente desde donde se produjo el inicio de sesión.
IPAddressFromResourceProvider string La dirección IP que un usuario usó para llegar a un proveedor de recursos, que se usa para determinar el cumplimiento del acceso condicional para algunas directivas. Por ejemplo, cuando un usuario interactúa con Exchange Online, la dirección IP que recibe el usuario puede grabarse aquí. Este valor suele ser NULL.
_IsBillable string Especifica si la ingesta de los datos es facturable. Cuando _IsBillable la ingesta no se false factura a su cuenta de Azure
IsInteractive bool Indica si un usuario inicia sesión es interactivo. En el inicio de sesión interactivo, el usuario proporciona un factor de autenticación a Azure AD. Estos factores incluyen contraseñas, respuestas a desafíos de MFA, factores biométricos o códigos QR que un usuario proporciona a Azure AD o a una aplicación asociada. En el inicio de sesión no interactivo, el usuario no proporciona un factor de autenticación. En su lugar, la aplicación cliente usa un token o código para autenticar o acceder a un recurso en nombre de un usuario. Los inicios de sesión no interactivos se suelen usar para que un cliente inicie sesión en nombre de un usuario en un proceso transparente para el usuario.
IsRisky bool
Nivel string
Location string Código de país de 2 letras desde donde se produjo el inicio de sesión. Dependiendo de la dirección IP proporcionada, es posible que este valor no se resuelva siempre en un nivel de detalle de ciudad o región.
LocationDetails dinámico Proporciona la ciudad, el estado, el país o la región y la latitud y la longitud desde donde se produjo el inicio de sesión.
MfaDetail dinámico Esta propiedad está desusada.
NetworkLocationDetails string Detalles de ubicación de red, incluido el tipo de red usado y sus nombres.
OperationName string
OperationVersion string
OriginalRequestId string Identificador de solicitud de la primera solicitud de la secuencia de autenticación.
ProcessingTimeInMilliseconds string
Resource string
ResourceDisplayName string Nombre del recurso en el que el usuario inició sesión.
ResourceGroup string
ResourceId string Identificador del recurso en el que el usuario inició sesión.
ResourceIdentity string Recurso al que el usuario inició sesión.
ResourceProvider string
ResourceServicePrincipalId string Identificador de la entidad de servicio que representa el recurso de destino en el evento de inicio de sesión.
ResourceTenantId string Identificador de inquilino del recurso al que se hace referencia en el inicio de sesión.
ResultDescription string Proporciona el mensaje de error o el motivo del error para la actividad de inicio de sesión correspondiente.
ResultSignature string
ResultType string Proporciona el código de error de 5 a 6 dígitos que se genera durante un evento de inicio de sesión. 0 indica que se ha realizado correctamente; Otros valores son errores. Puede encontrar más información mediante la documentación de códigos de error de Azure AD o https://login.microsoftonline.com/error.
RiskDetail string El motivo detrás de un estado específico de un usuario de riesgo, un inicio de sesión o un evento de riesgo. Valores posibles: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser o adminConfirmedSigninCompromised. El valor ninguno significa que no se ha realizado ninguna acción en el usuario o el inicio de sesión hasta ahora. Nota: Los detalles de esta propiedad solo están disponibles para los clientes de Azure AD Premium P2. Todos los demás clientes se devuelven ocultos.
RiskEventTypes string Esta propiedad está desusada.
RiskEventTypes_V2 string Lista de tipos de eventos de riesgo asociados al inicio de sesión. Valores posibles: unlikelyAdvisor, anonymizedIPAddress, maliciousIPAddress, unfamiliarFeatures, malwareInfectedIPAddress, suspiciousIPAddress, leakedCredentials, investigationsThreatIntelligence o genérico.
RiskLevel string
RiskLevelAggregated string Nivel de riesgo agregado. Valores posibles: none, low, medium, high o hidden. El valor oculto significa que el usuario o el inicio de sesión no estaban habilitados para Azure AD Identity Protection. Nota: Los detalles de esta propiedad solo están disponibles para los clientes de Azure AD Premium P2. Todos los demás clientes se devuelven ocultos.
RiskLevelDuringSignIn string Nivel de riesgo durante el inicio de sesión. Valores posibles: none, low, medium, high o hidden. El valor oculto significa que el usuario o el inicio de sesión no estaban habilitados para Azure AD Identity Protection. Nota: Los detalles de esta propiedad solo están disponibles para los clientes de Azure AD Premium P2. Todos los demás clientes se devuelven ocultos.
RiskState string El estado de riesgo de un usuario de riesgo, un inicio de sesión o un evento de riesgo. Valores posibles: none, confirmedSafe, remediated, dismissed, atRisk o confirmedCompromised.
ServicePrincipalId string Identificador de aplicación usado para el inicio de sesión. Este campo se rellena cuando inicia sesión con una aplicación.
ServicePrincipalName string Nombre de la aplicación que se usa para el inicio de sesión. Este campo se rellena cuando inicia sesión con una aplicación.
SessionLifetimePolicies string Las directivas de administración de sesiones de acceso condicional que se aplicaron durante el evento de inicio de sesión.
SignInIdentifier string La identificación que proporcionó el usuario para iniciar sesión. Puede ser userPrincipalName, pero también se rellena cuando un usuario inicia sesión con otros identificadores.
SignInIdentifierType string Tipo de identificador de inicio de sesión. Los valores posibles son: userPrincipalName, phoneNumber, proxyAddress, qrCode, onPremisesUserPrincipalName.
SourceSystem string Tipo de agente por el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Diagnósticos de Azure
Estado dinámico Estado de inicio de sesión. Incluye el código de error y la descripción del error (en caso de error de inicio de sesión).
TimeGenerated datetime
TokenIssuerName string Nombre del proveedor de identidades. Por ejemplo, sts.microsoft.com.
TokenIssuerType string Tipo de proveedor de identidades. Los valores posibles son: AzureAD o ADFederationServices, AzureADBackupAuth, ADFederationServicesMFAAdapter, NPSExtension.
Tipo string Nombre de la tabla.
UniqueTokenIdentifier string Identificador de solicitud codificado en Base64 único que se usa para realizar un seguimiento de los tokens emitidos por Azure AD a medida que se canjean en los proveedores de recursos.
UserAgent string Información del agente de usuario relacionada con el inicio de sesión.
UserDisplayName string Nombre para mostrar del usuario.
UserId string Identificador del usuario.
UserPrincipalName string UpN del usuario.
UserType string Identifica si el usuario es miembro o invitado en el inquilino. Los valores posibles son: miembro e invitado.