Frågor för tabellen AADServicePrincipalSignInLogs

Artikel
02/18/2025

Information om hur du använder dessa frågor i Azure Portal finns i Log Analytics-självstudien. Information om REST-API:et finns i Fråga.

De flesta aktiva tjänstens huvudnamn

Hämtar en lista över de 100 mest aktiva tjänsthuvudnamnen för den senaste dagen.

AADServicePrincipalSignInLogs
| where TimeGenerated > ago(1d)
| summarize CountPerServicePrincipal = count() by ServicePrincipalId
| order by CountPerServicePrincipal desc
| take 100

Inaktiva tjänstens huvudnamn

Tjänstens huvudnamn som inte hade några inloggningar för den senaste 30d.

AADServicePrincipalSignInLogs
| where TimeGenerated > ago(90d)
| where ResultType == 0
| summarize LastSignIn = max(TimeGenerated) by ServicePrincipalId
| where LastSignIn < ago(30d)