Consultas para a tabela AADServicePrincipalSignInLogs

Artigo
11/05/2024

Para obter informações sobre como usar essas consultas no portal do Azure, consulte o tutorial do Log Analytics. Para a API REST, consulte Consulta.

Entidades de serviço mais ativas

Obtém a lista dos 100 principais responsáveis de serviço mais ativos para o último dia.

AADServicePrincipalSignInLogs
| where TimeGenerated > ago(1d)
| summarize CountPerServicePrincipal = count() by ServicePrincipalId
| order by CountPerServicePrincipal desc
| take 100

Entidades de serviço inativas

Entidades de serviço que não tiveram entradas nos últimos 30d.

AADServicePrincipalSignInLogs
| where TimeGenerated > ago(90d)
| where ResultType == 0
| summarize LastSignIn = max(TimeGenerated) by ServicePrincipalId
| where LastSignIn < ago(30d)