Frågor för tabellen MicrosoftGraphActivityLogs

Information om hur du använder dessa frågor i Azure Portal finns i Log Analytics-självstudien. Information om REST-API:et finns i Fråga.

Slutanvändaranvändare som anropar vanliga användare

Hämtar en lista över appar och tjänstens huvudnamn som anropar användarnas slutpunkt.

MicrosoftGraphActivityLogs
| where RequestUri has "users"
| summarize NumRequests=count() by AppId, ServicePrincipalId, UserId
| sort by NumRequests desc
| limit 100

Misslyckade gruppslutpunktsbegäranden

Hämtar en lista över misslyckade begäranden om att gruppera entiteter, efter appar och tjänstens huvudnamn.

MicrosoftGraphActivityLogs
| where ResponseStatusCode == 403
| where RequestUri has "groups"
| summarize UniqueRequests=dcount(RequestId) by AppId, ServicePrincipalId, UserId
| sort by UniqueRequests desc
| limit 100