Lekérdezések a SigninLogs táblához

A lekérdezések Azure Portalon való használatáról további információt a Log Analytics oktatóanyagában talál. A REST API-val kapcsolatban lásd a Lekérdezést.

Minden SiginLogs-esemény

Minden Azure-bejelentkezési esemény.

SigninLogs
| project UserDisplayName, Identity,UserPrincipalName,  AppDisplayName, AppId, ResourceDisplayName

Felhasználó által elért erőforrások

Egy adott felhasználóhoz elért erőforrások listája.

// Set v_Users_UPN with the UPN of the user of interest
let v_Users_UPN = "osotnoc@contoso.com";
SigninLogs
| where UserPrincipalName == v_Users_UPN
| summarize Count=count()  by ResourceDisplayName, AppDisplayName

Felhasználószám erőforrásonként

Eltérő szám, ha a felhasználók erőforrás szerint.

SigninLogs
| project UserDisplayName, Identity,UserPrincipalName,  AppDisplayName, AppId, ResourceDisplayName
| summarize UserCount=dcount(UserPrincipalName) by ResourceDisplayName

Felhasználószám alkalmazásonként

A felhasználók eltérő száma alkalmazásonként.

SigninLogs
| project UserDisplayName, Identity,UserPrincipalName,  AppDisplayName, AppId, ResourceDisplayName
| summarize UserCount=dcount(UserPrincipalName) by AppDisplayName

Sikertelen bejelentkezés okai

A lekérdezés felsorolja a bejelentkezési hibák fő okait.

SigninLogs
| where ResultType != 0
| summarize Count=count() by ResultDescription, ResultType
| sort by Count desc nulls last

Sikertelen MFA-feladat

Kiemeli a sikertelen MFA-kihívás által okozott bejelentkezési hibákat.

SigninLogs
| where ResultType == 50074
| project UserDisplayName, Identity,UserPrincipalName, ResultDescription,  AppDisplayName, AppId, ResourceDisplayName
| summarize FailureCount=count(), FailedResources=dcount(ResourceDisplayName), ResultDescription=any(ResultDescription) by UserDisplayName

A sikertelen alkalmazás megpróbálta a csendes bejelentkezést

Sikertelen csendes alkalmazás-bejelentkezési kísérletek.

SigninLogs
| where ResultType == 50058
| project UserDisplayName, Identity,UserPrincipalName, ResultDescription,  AppDisplayName, AppId, ResourceDisplayName
| summarize FailureCount=count(), FailedResources=dcount(ResourceDisplayName), ResultDescription=any(ResultDescription) by UserDisplayName

Sikertelen bejelentkezések száma

A legtöbb sikertelen bejelentkezési kísérlettel rendelkező erőforrások.

SigninLogs
| where ResultType !=0
| summarize FailedLoginCount=count() by ResourceDisplayName
| sort by FailedLoginCount desc nulls last

Bejelentkezési helyek

Sikertelen és sikeres sig-inek forráshely szerint.

SigninLogs
| summarize Successful=countif(ResultType==0), Failed=countif(ResultType!=0) by Location

Bejelentkezések erőforrásba

Megjeleníti az API-bejelentkezéseket.

SigninLogs
| where ResourceDisplayName == "Windows Azure Service Management API"
| project TimeGenerated, UserDisplayName, Identity,UserPrincipalName,  AppDisplayName, Success=iff(ResultType==0, "Success", "Fail")