Запросы для таблицы AADServicePrincipalSignInLogs

Статья
11/05/2024

Сведения об использовании этих запросов в портал Azure см. в руководстве по Log Analytics. Сведения о REST API см. в разделе "Запрос".

Большинство активных субъектов-служб

Получает список лучших 100 наиболее активных субъектов-служб за последний день.

AADServicePrincipalSignInLogs
| where TimeGenerated > ago(1d)
| summarize CountPerServicePrincipal = count() by ServicePrincipalId
| order by CountPerServicePrincipal desc
| take 100

Неактивные субъекты-службы

Субъекты-службы, не имеющие входов за последние 30d.

AADServicePrincipalSignInLogs
| where TimeGenerated > ago(90d)
| where ResultType == 0
| summarize LastSignIn = max(TimeGenerated) by ServicePrincipalId
| where LastSignIn < ago(30d)