Query per la tabella AADServicePrincipalSignInLogs
Per informazioni sull'uso di queste query nella portale di Azure, vedere Esercitazione su Log Analytics. Per l'API REST, vedere Query.
Entità servizio più attive
Ottiene l'elenco delle prime 100 entità servizio attive per l'ultimo giorno.
AADServicePrincipalSignInLogs
| where TimeGenerated > ago(1d)
| summarize CountPerServicePrincipal = count() by ServicePrincipalId
| order by CountPerServicePrincipal desc
| take 100
Entità servizio inattive
Entità servizio senza accessi per gli ultimi 30d.
AADServicePrincipalSignInLogs
| where TimeGenerated > ago(90d)
| where ResultType == 0
| summarize LastSignIn = max(TimeGenerated) by ServicePrincipalId
| where LastSignIn < ago(30d)