Запросы для таблицы ADFSSignInLogs

Сведения об использовании этих запросов в портал Azure см. в руководстве по Log Analytics. Сведения о REST API см. в разделе "Запрос".

Основные блокировки учетных записей ADFS

Возвращает первые 10 IP-адресов по количеству блокировок.

ADFSSignInLogs
| where TimeGenerated > ago(7d)
| extend errorCode = toint(parse_json(Status).errorCode)
| where errorCode == 300300
| summarize Lockouts = count() by IPAddress
| top 10 by Lockouts