你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
针对 Azure AD 服务主体风险事件的标识保护措施所生成的日志。
表属性
| 属性 | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 审核,安全性 |
| 解决方案 | 日志管理 |
| 基本日志 | 是的 |
| 引入时转换 | 否 |
| 示例查询 | 是 |
列
| 列 | 类型 | 说明 |
|---|---|---|
| 活动 | 字符串 | 指示检测到的风险链接到的活动类型。 |
| ActivityDateTime | 日期/时间 | 发生有风险活动的日期和时间(采用 UTC 格式)。 |
| 附加信息 | 动态 | 与 JSON 格式的风险检测相关的其他信息。 |
| AppId | 字符串 | 关联应用程序的唯一标识符。 |
| _BilledSize(账单大小) | real | 记录大小(字节) |
| CorrelationId | 字符串 | 与风险检测关联的登录活动的相关 ID。 可以为 NULL。 |
| DetectedDateTime | 日期/时间 | 检测到风险的日期和时间(采用 UTC 格式)。 |
| 检测时间类型 | 字符串 | 检测到风险的时机,无论是实时还是离线。 |
| ID | 字符串 | 风险检测的唯一标识符。 从实体继承。 |
| IP地址 | 字符串 | 提供风险发生时客户端的 IP 地址。 |
| _IsBillable | 字符串 | 指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| KeyIds | 动态 | 与风险检测关联的密钥凭据的唯一标识符 (GUID)。 |
| 最后更新时间戳 | 日期/时间 | 上次更新风险检测的日期和时间(采用 UTC 格式)。 |
| 位置 | 动态 | 登录的位置。 |
| 操作名称 | 字符串 | 操作的名称。 |
| 请求编号 (RequestId) | 字符串 | 与风险检测关联的登录活动的请求标识符。 可以为 NULL。 |
| 风险细节 | 字符串 | 检测到的风险的详细信息。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。 |
| 风险事件类型 | 字符串 | 检测到的风险事件的类型。 |
| 风险等级 | 字符串 | 检测到的风险级别。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。 |
| RiskState | 字符串 | 检测到的有风险的服务主体或登录活动的状态。 |
| ServicePrincipalDisplayName | 字符串 | 服务主体的显示名称。 |
| ServicePrincipalId | 字符串 | 服务主体的唯一标识符。 |
| 来源 | 字符串 | 风险检测源。 例如,identityProtection。 |
| SourceSystem | 字符串 | 收集事件的代理类型。 例如,对于 Windows 代理,可以是通过 OpsManager 直接连接或使用 Operations Manager,对于所有 Linux 代理,可以是 Linux,对于 Azure 诊断,可以是 Azure。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 事件的日期和时间(采用 UTC 格式)。 |
| 令牌发行者类型 | 字符串 | 指示检测到的登录风险的令牌颁发者类型。 |
| 类型 | 字符串 | 表的名称 |