AADTenantId |
string |
|
AlternateSignInName |
string |
La identificación que proporcionó el usuario para iniciar sesión. Puede ser userPrincipalName, pero también se rellena cuando un usuario inicia sesión con otros identificadores. |
AppDisplayName |
string |
El nombre de la aplicación que se muestra en Azure Portal. |
AppId |
string |
Identificador de aplicación en Azure Active Directory. |
AppliedConditionalAccessPolicies |
string |
|
AppliedEventListeners |
dinámico |
Información detallada sobre los agentes de escucha, como Azure Logic Apps y Azure Functions, desencadenados por los eventos correspondientes en el evento de inicio de sesión. |
AuthenticationContextClassReferences |
string |
Contiene una colección de valores que representan los contextos de autenticación de acceso condicional aplicados al inicio de sesión. |
AuthenticationDetails |
string |
Resultado del intento de autenticación y detalles adicionales sobre el método de autenticación. |
AuthenticationMethodsUsed |
string |
Métodos de autenticación usados. Valores posibles: SMS, Authenticator App, App Verification code, Password, FIDO, PTA o PHS. |
AuthenticationProcessingDetails |
string |
Detalles de procesamiento de autenticación adicionales, como el nombre del agente en el caso de PTA/PHS o nombre de servidor o granja de servidores en caso de autenticación federada. |
AuthenticationProtocol |
string |
Enumera el tipo de protocolo o el tipo de concesión usados en la autenticación. Los valores posibles son: none, oAuth2, ropc, wsFederation, saml20, deviceCode. En el caso de las autenticaciones que usan protocolos distintos de los valores posibles enumerados, el tipo de protocolo aparece como ninguno. |
AuthenticationRequirement |
string |
Esto contiene el nivel más alto de autenticación necesario a través de todos los pasos de inicio de sesión, para que el inicio de sesión se realice correctamente. |
AuthenticationRequirementPolicies |
string |
Orígenes de requisitos de autenticación, como el acceso condicional, MFA por usuario, la protección de identidades y los valores predeterminados de seguridad. |
AutonomousSystemNumber |
string |
Número de sistema autónomo (ASN) de la red utilizada por el actor. |
_BilledSize |
real |
Tamaño del registro en bytes |
Category |
string |
|
ClientAppUsed |
string |
Cliente heredado usado para la actividad de inicio de sesión. Por ejemplo: Explorador, Exchange ActiveSync, clientes modernos, IMAP, MAPI, SMTP o POP. |
ConditionalAccessPolicies |
dinámico |
Lista de directivas de acceso condicional desencadenadas por la actividad de inicio de sesión correspondiente. |
ConditionalAccessStatus |
string |
Estado de la directiva de acceso condicional desencadenada. Valores posibles: correcto, error o noAplicación. |
CorrelationId |
string |
Identificador que se envía desde el cliente cuando se inicia el inicio de sesión. Esto se usa para solucionar problemas de la actividad de inicio de sesión correspondiente al llamar al soporte técnico. |
CreatedDateTime |
datetime |
Fecha y hora en que se inició el inicio de sesión. El tipo timestamp siempre está en hora UTC. Por ejemplo, medianoche UTC el 1 de enero de 2014 es 2014-01-01T00:00:00Z. |
CrossTenantAccessType |
string |
Describe el tipo de acceso entre inquilinos que usa el actor para acceder al recurso. |
DeviceDetail |
dinámico |
Información del dispositivo desde donde se produjo el inicio de sesión. Incluye información como deviceId, sistema operativo y explorador. |
DurationMs |
long |
|
FlaggedForReview |
bool |
Durante un inicio de sesión con errores, un usuario puede hacer clic en un botón en Azure Portal para marcar el evento con errores para los administradores de inquilinos. Si un usuario ha hecho clic en el botón para marcar el inicio de sesión con errores, este valor es true. |
HomeTenantId |
string |
Identificador de inquilino del usuario que inicia el inicio de sesión. No es aplicable en inicios de sesión de identidad administrada o entidad de servicio. |
Id |
string |
Identificador que representa la actividad de inicio de sesión. |
Identidad |
string |
Nombre para mostrar del actor identificado en el inicio de sesión. |
IPAddress |
string |
Dirección IP del cliente desde donde se produjo el inicio de sesión. |
IPAddressFromResourceProvider |
string |
La dirección IP que un usuario usó para llegar a un proveedor de recursos, que se usa para determinar el cumplimiento del acceso condicional para algunas directivas. Por ejemplo, cuando un usuario interactúa con Exchange Online, la dirección IP que recibe el usuario puede grabarse aquí. Este valor suele ser NULL. |
_IsBillable |
string |
Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure |
IsInteractive |
bool |
Indica si un usuario inicia sesión es interactivo. En el inicio de sesión interactivo, el usuario proporciona un factor de autenticación a Azure AD. Estos factores incluyen contraseñas, respuestas a desafíos de MFA, factores biométricos o códigos QR que un usuario proporciona a Azure AD o a una aplicación asociada. En el inicio de sesión no interactivo, el usuario no proporciona un factor de autenticación. En su lugar, la aplicación cliente usa un token o código para autenticar o acceder a un recurso en nombre de un usuario. Los inicios de sesión no interactivos se suelen usar para que un cliente inicie sesión en nombre de un usuario en un proceso transparente para el usuario. |
IsRisky |
bool |
|
Nivel |
string |
|
Location |
string |
Código de país de 2 letras desde donde se produjo el inicio de sesión. Dependiendo de la dirección IP proporcionada, es posible que este valor no se resuelva siempre en un nivel de detalle de ciudad o región. |
LocationDetails |
dinámico |
Proporciona la ciudad, el estado, el país o la región y la latitud y la longitud desde donde se produjo el inicio de sesión. |
MfaDetail |
dinámico |
Esta propiedad está desusada. |
NetworkLocationDetails |
string |
Detalles de ubicación de red, incluido el tipo de red usado y sus nombres. |
OperationName |
string |
|
OperationVersion |
string |
|
OriginalRequestId |
string |
Identificador de solicitud de la primera solicitud de la secuencia de autenticación. |
ProcessingTimeInMilliseconds |
string |
|
Resource |
string |
|
ResourceDisplayName |
string |
Nombre del recurso en el que el usuario inició sesión. |
ResourceGroup |
string |
|
ResourceId |
string |
Identificador del recurso en el que el usuario inició sesión. |
ResourceIdentity |
string |
Recurso al que el usuario inició sesión. |
ResourceProvider |
string |
|
ResourceServicePrincipalId |
string |
Identificador de la entidad de servicio que representa el recurso de destino en el evento de inicio de sesión. |
ResourceTenantId |
string |
Identificador de inquilino del recurso al que se hace referencia en el inicio de sesión. |
ResultDescription |
string |
Proporciona el mensaje de error o el motivo del error para la actividad de inicio de sesión correspondiente. |
ResultSignature |
string |
|
ResultType |
string |
Proporciona el código de error de 5 a 6 dígitos que se genera durante un evento de inicio de sesión. 0 indica que se ha realizado correctamente; Otros valores son errores. Puede encontrar más información mediante la documentación de códigos de error de Azure AD o https://login.microsoftonline.com/error. |
RiskDetail |
string |
El motivo detrás de un estado específico de un usuario de riesgo, un inicio de sesión o un evento de riesgo. Valores posibles: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser o adminConfirmedSigninCompromised. El valor ninguno significa que no se ha realizado ninguna acción en el usuario o el inicio de sesión hasta ahora. Nota: Los detalles de esta propiedad solo están disponibles para los clientes de Azure AD Premium P2. Todos los demás clientes se devuelven ocultos. |
RiskEventTypes |
string |
Esta propiedad está desusada. |
RiskEventTypes_V2 |
string |
Lista de tipos de eventos de riesgo asociados al inicio de sesión. Valores posibles: unlikelyAdvisor, anonymizedIPAddress, maliciousIPAddress, unfamiliarFeatures, malwareInfectedIPAddress, suspiciousIPAddress, leakedCredentials, investigationsThreatIntelligence o genérico. |
RiskLevel |
string |
|
RiskLevelAggregated |
string |
Nivel de riesgo agregado. Valores posibles: none, low, medium, high o hidden. El valor oculto significa que el usuario o el inicio de sesión no estaban habilitados para Azure AD Identity Protection. Nota: Los detalles de esta propiedad solo están disponibles para los clientes de Azure AD Premium P2. Todos los demás clientes se devuelven ocultos. |
RiskLevelDuringSignIn |
string |
Nivel de riesgo durante el inicio de sesión. Valores posibles: none, low, medium, high o hidden. El valor oculto significa que el usuario o el inicio de sesión no estaban habilitados para Azure AD Identity Protection. Nota: Los detalles de esta propiedad solo están disponibles para los clientes de Azure AD Premium P2. Todos los demás clientes se devuelven ocultos. |
RiskState |
string |
El estado de riesgo de un usuario de riesgo, un inicio de sesión o un evento de riesgo. Valores posibles: none, confirmedSafe, remediated, dismissed, atRisk o confirmedCompromised. |
ServicePrincipalId |
string |
Identificador de aplicación usado para el inicio de sesión. Este campo se rellena cuando inicia sesión con una aplicación. |
ServicePrincipalName |
string |
Nombre de la aplicación que se usa para el inicio de sesión. Este campo se rellena cuando inicia sesión con una aplicación. |
SessionLifetimePolicies |
string |
Las directivas de administración de sesiones de acceso condicional que se aplicaron durante el evento de inicio de sesión. |
SignInIdentifier |
string |
La identificación que proporcionó el usuario para iniciar sesión. Puede ser userPrincipalName, pero también se rellena cuando un usuario inicia sesión con otros identificadores. |
SignInIdentifierType |
string |
Tipo de identificador de inicio de sesión. Los valores posibles son: userPrincipalName, phoneNumber, proxyAddress, qrCode, onPremisesUserPrincipalName. |
SourceSystem |
string |
Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
Estado |
dinámico |
Estado de inicio de sesión. Incluye el código de error y la descripción del error (en caso de error de inicio de sesión). |
TimeGenerated |
datetime |
|
TokenIssuerName |
string |
Nombre del proveedor de identidades. Por ejemplo, sts.microsoft.com. |
TokenIssuerType |
string |
Tipo de proveedor de identidades. Los valores posibles son: AzureAD o ADFederationServices, AzureADBackupAuth, ADFederationServicesMFAAdapter, NPSExtension. |
Tipo |
string |
Nombre de la tabla. |
UniqueTokenIdentifier |
string |
Identificador de solicitud codificado en Base64 único que se usa para realizar un seguimiento de los tokens emitidos por Azure AD a medida que se canjean en los proveedores de recursos. |
UserAgent |
string |
Información del agente de usuario relacionada con el inicio de sesión. |
UserDisplayName |
string |
Nombre para mostrar del usuario. |
UserId |
string |
Identificador del usuario. |
UserPrincipalName |
string |
UpN del usuario. |
UserType |
string |
Identifica si el usuario es miembro o invitado en el inquilino. Los valores posibles son: miembro e invitado. |