你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

AADUserRiskEvents

标识保护为 Azure AD 用户风险事件生成的日志。

表属性

Attribute	值
资源类型	-
类别	审核，安全性
解决方案	LogManagement
基本日志	否
引入时转换	是
示例查询	是

列

列	类型​​	说明
活动	string	指示检测到的风险链接到的活动类型。 可能的值包括：signin、user、unknownFutureValue。
ActivityDateTime	datetime	发生有风险活动的日期和时间。
AdditionalInfo	动态	与 JSON 格式的用户风险事件关联的其他信息。
_BilledSize	real	记录大小（字节）
CorrelationId	string	与风险检测关联的登录的相关 ID。 如果风险检测未与登录关联，则此属性为 null。
DetectedDateTime	datetime	检测风险的日期和时间。
DetectionTimingType	string	检测到风险的时机（实时/脱机）。 可能的值包括：notDefined、realtime、nearRealtime、offline、unknownFutureValue。
Id	string	风险事件的唯一 ID。
IpAddress	string	风险发生时客户端的 IP 地址。
_IsBillable	string	指定引入数据是否计费。 当 _IsBillable 为 false 时，不会向 Azure 帐户计收引入费
LastUpdatedDateTime	datetime	风险检测上次更新的日期和时间。
位置	动态	登录位置。
OperationName	string	操作的名称。
RequestId	string	与风险检测关联的登录的请求 ID。 如果风险检测未与登录关联，则此属性为 null。
RiskDetail	string	检测到的风险的详细信息。 可能的值包括：none、adminGeneratedTemporaryPassword、userPerformedSecuredPasswordChange、userPerformedSecuredPasswordReset、adminConfirmedSigninSafe、aiConfirmedSigninSafe、userPassedMFADrivenByRiskBasedPolicy、adminDismissedAllRiskForUser、adminConfirmedSigninCompromised、hidden、adminConfirmedUserCompromised、unknownFutureValue。
RiskEventType	string	检测到的风险事件的类型。
风险等级	string	检测到的风险级别。 可能的值包括：low、medium、high、hidden、none、unknownFutureValue。
RiskState	string	检测到的有风险用户或登录的状态。 可能的值包括：none、confirmedSafe、remediated、dismissed、atRisk、confirmedCompromised、unknownFutureValue。
Source	string	风险检测源。 例如，activeDirectory。
SourceSystem	string	收集事件的代理的类型。 例如，适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
TenantId	string	Log Analytics 工作区 ID
TimeGenerated	datetime	事件的日期和时间（采用 UTC 格式）。
TokenIssuerType	string	指示检测到的登录风险的令牌颁发者类型。 可能的值包括：AzureAD、ADFederationServices、UnknownFutureValue。
类型	字符串	表的名称
UserDisplayName	string	用户的用户主体名称 (UPN)。
UserID	string	用户的唯一 ID。
UserPrincipalName	string	用户的用户主体名称 (UPN)。