Query per la tabella AADNonInteractiveUserSignInLogs

Per informazioni sull'uso di queste query nella portale di Azure, vedere Esercitazione su Log Analytics. Per l'API REST, vedere Query.

Utenti con più città

Ottenere l'elenco degli utenti che hanno eseguito l'accesso da più città per l'ultimo giorno.

AADNonInteractiveUserSignInLogs
| where TimeGenerated > ago(1d)
| extend City = parse_json(LocationDetails).city
| summarize CountPerCity = dcount(tostring(City)) by UserId
| where CountPerCity > 1
| order by CountPerCity desc

Indirizzi IP più attivi

Ottenere l'elenco dei primi 100 indirizzi IP più attivi per l'ultimo giorno.

AADNonInteractiveUserSignInLogs
| where TimeGenerated > ago(1d)
| summarize CountPerIPAddress = count() by IPAddress
| order by CountPerIPAddress desc
| take 100