Azure 模块
-
azure.subscription_id -
Azure 订阅 ID
类型: keyword
-
azure.correlation_id -
关联 ID
类型: keyword
-
azure.tenant_id -
租户 ID
类型: keyword
资源
-
azure.resource.id -
资源 ID
类型: keyword
-
azure.resource.group -
资源组
类型: keyword
-
azure.resource.provider -
资源类型/命名空间
类型: keyword
-
azure.resource.namespace -
资源类型/命名空间
类型: keyword
-
azure.resource.name -
名称
类型: keyword
-
azure.resource.authorization_rule -
授权规则
类型: keyword
Azure 活动日志字段。
-
azure.activitylogs.identity_name -
标识名称
类型: keyword
标识
用户启动的声明
-
azure.activitylogs.identity.claims_initiated_by_user.name -
名称
类型: keyword
-
azure.activitylogs.identity.claims_initiated_by_user.givenname -
名字
类型: keyword
-
azure.activitylogs.identity.claims_initiated_by_user.surname -
姓氏
类型: keyword
-
azure.activitylogs.identity.claims_initiated_by_user.fullname -
全名
类型: keyword
-
azure.activitylogs.identity.claims_initiated_by_user.schema -
模式
类型: keyword
-
azure.activitylogs.identity.claims.* -
声明
类型: object
授权
-
azure.activitylogs.identity.authorization.scope -
范围
类型: keyword
-
azure.activitylogs.identity.authorization.action -
操作
类型: keyword
证据
-
azure.activitylogs.identity.authorization.evidence.role_assignment_scope -
角色分配范围
类型: keyword
-
azure.activitylogs.identity.authorization.evidence.role_definition_id -
角色定义 ID
类型: keyword
-
azure.activitylogs.identity.authorization.evidence.role -
角色
类型: keyword
-
azure.activitylogs.identity.authorization.evidence.role_assignment_id -
角色分配 ID
类型: keyword
-
azure.activitylogs.identity.authorization.evidence.principal_id -
主体 ID
类型: keyword
-
azure.activitylogs.identity.authorization.evidence.principal_type -
主体类型
类型: keyword
-
azure.activitylogs.tenant_id -
租户 ID
类型: keyword
-
azure.activitylogs.level -
级别
类型: long
-
azure.activitylogs.operation_version -
操作版本
类型: keyword
-
azure.activitylogs.operation_name -
操作名称
类型: keyword
-
azure.activitylogs.result_type -
结果类型
类型: keyword
-
azure.activitylogs.result_signature -
结果签名
类型: keyword
-
azure.activitylogs.category -
类别
类型: keyword
-
azure.activitylogs.event_category -
事件类别
类型: keyword
-
azure.activitylogs.properties -
属性
类型: flattened
Azure 审核日志字段。
-
azure.auditlogs.category -
操作的类别。目前,仅支持“审核”值。
类型: keyword
-
azure.auditlogs.operation_name -
操作名称
类型: keyword
-
azure.auditlogs.operation_version -
操作版本
类型: keyword
-
azure.auditlogs.identity -
标识
类型: keyword
-
azure.auditlogs.tenant_id -
租户 ID
类型: keyword
-
azure.auditlogs.result_signature -
结果签名
类型: keyword
审核日志属性
-
azure.auditlogs.properties.result -
日志结果
类型: keyword
-
azure.auditlogs.properties.activity_display_name -
活动显示名称
类型: keyword
-
azure.auditlogs.properties.result_reason -
日志结果的原因
类型: keyword
-
azure.auditlogs.properties.correlation_id -
关联 ID
类型: keyword
-
azure.auditlogs.properties.logged_by_service -
由服务记录
类型: keyword
-
azure.auditlogs.properties.operation_type -
操作类型
类型: keyword
-
azure.auditlogs.properties.id -
ID
类型: keyword
-
azure.auditlogs.properties.activity_datetime -
活动时间戳
类型: date
-
azure.auditlogs.properties.category -
类别
类型: keyword
目标资源
-
azure.auditlogs.properties.target_resources.*.display_name -
显示名称
类型: keyword
-
azure.auditlogs.properties.target_resources.*.id -
ID
类型: keyword
-
azure.auditlogs.properties.target_resources.*.type -
类型
类型: keyword
-
azure.auditlogs.properties.target_resources.*.ip_address -
IP 地址
类型: keyword
-
azure.auditlogs.properties.target_resources.*.user_principal_name -
用户主体名称
类型: keyword
已修改的属性
-
azure.auditlogs.properties.target_resources.*.modified_properties.*.new_value -
新值
类型: keyword
-
azure.auditlogs.properties.target_resources.*.modified_properties.*.display_name -
显示值
类型: keyword
-
azure.auditlogs.properties.target_resources.*.modified_properties.*.old_value -
旧值
类型: keyword
关于启动者的信息
应用
-
azure.auditlogs.properties.initiated_by.app.servicePrincipalName -
服务主体名称
类型: keyword
-
azure.auditlogs.properties.initiated_by.app.displayName -
显示名称
类型: keyword
-
azure.auditlogs.properties.initiated_by.app.appId -
应用 ID
类型: keyword
-
azure.auditlogs.properties.initiated_by.app.servicePrincipalId -
服务主体 ID
类型: keyword
用户
-
azure.auditlogs.properties.initiated_by.user.userPrincipalName -
用户主体名称
类型: keyword
-
azure.auditlogs.properties.initiated_by.user.displayName -
显示名称
类型: keyword
-
azure.auditlogs.properties.initiated_by.user.id -
ID
类型: keyword
-
azure.auditlogs.properties.initiated_by.user.ipAddress -
IP 地址
类型: keyword
Azure 平台日志字段。
-
azure.platformlogs.operation_name -
操作名称
类型: keyword
-
azure.platformlogs.result_type -
结果类型
类型: keyword
-
azure.platformlogs.result_signature -
结果签名
类型: keyword
-
azure.platformlogs.category -
类别
类型: keyword
-
azure.platformlogs.event_category -
事件类别
类型: keyword
-
azure.platformlogs.status -
状态
类型: keyword
-
azure.platformlogs.ccpNamespace -
ccpNamespace
类型: keyword
-
azure.platformlogs.Cloud -
云
类型: keyword
-
azure.platformlogs.Environment -
环境
类型: keyword
-
azure.platformlogs.EventTimeString -
EventTimeString
类型: keyword
-
azure.platformlogs.Caller -
调用者
类型: keyword
-
azure.platformlogs.ScaleUnit -
ScaleUnit
类型: keyword
-
azure.platformlogs.ActivityId -
ActivityId
类型: keyword
-
azure.platformlogs.identity_name -
标识名称
类型: keyword
-
azure.platformlogs.properties -
事件内部属性
类型: flattened
Azure 登录日志字段。
-
azure.signinlogs.operation_name -
操作名称
类型: keyword
-
azure.signinlogs.operation_version -
操作版本
类型: keyword
-
azure.signinlogs.tenant_id -
租户 ID
类型: keyword
-
azure.signinlogs.result_signature -
结果签名
类型: keyword
-
azure.signinlogs.result_description -
结果描述
类型: keyword
-
azure.signinlogs.result_type -
结果类型
类型: keyword
-
azure.signinlogs.identity -
标识
类型: keyword
-
azure.signinlogs.category -
类别
类型: keyword
-
azure.signinlogs.properties.id -
表示登录活动的唯一 ID。
类型: keyword
-
azure.signinlogs.properties.created_at -
启动登录的日期和时间 (UTC)。
类型: date
-
azure.signinlogs.properties.user_display_name -
用户显示名称
类型: keyword
-
azure.signinlogs.properties.correlation_id -
关联 ID
类型: keyword
-
azure.signinlogs.properties.user_principal_name -
用户主体名称
类型: keyword
-
azure.signinlogs.properties.user_id -
用户 ID
类型: keyword
-
azure.signinlogs.properties.app_id -
应用 ID
类型: keyword
-
azure.signinlogs.properties.app_display_name -
应用显示名称
类型: keyword
-
azure.signinlogs.properties.autonomous_system_number -
自治系统编号。
类型: long
-
azure.signinlogs.properties.client_app_used -
使用的客户端应用
类型: keyword
-
azure.signinlogs.properties.conditional_access_status -
条件访问状态
类型: keyword
-
azure.signinlogs.properties.original_request_id -
原始请求 ID
类型: keyword
-
azure.signinlogs.properties.is_interactive -
是否交互式
类型: boolean
-
azure.signinlogs.properties.token_issuer_name -
令牌颁发者名称
类型: keyword
-
azure.signinlogs.properties.token_issuer_type -
令牌颁发者类型
类型: keyword
-
azure.signinlogs.properties.processing_time_ms -
处理时间(毫秒)
类型: float
-
azure.signinlogs.properties.risk_detail -
风险详情
类型: keyword
-
azure.signinlogs.properties.risk_level_aggregated -
汇总风险级别
类型: keyword
-
azure.signinlogs.properties.risk_level_during_signin -
登录期间的风险级别
类型: keyword
-
azure.signinlogs.properties.risk_state -
风险状态
类型: keyword
-
azure.signinlogs.properties.resource_display_name -
资源显示名称
类型: keyword
-
azure.signinlogs.properties.status.error_code -
错误代码
类型: long
-
azure.signinlogs.properties.device_detail.device_id -
设备 ID
类型: keyword
-
azure.signinlogs.properties.device_detail.operating_system -
操作系统
类型: keyword
-
azure.signinlogs.properties.device_detail.browser -
浏览器
类型: keyword
-
azure.signinlogs.properties.device_detail.display_name -
显示名称
类型: keyword
-
azure.signinlogs.properties.device_detail.trust_type -
信任类型
类型: keyword
-
azure.signinlogs.properties.device_detail.is_compliant -
设备是否符合规定
类型: boolean
-
azure.signinlogs.properties.device_detail.is_managed -
设备是否已管理
类型: boolean
-
azure.signinlogs.properties.applied_conditional_access_policies -
由相应的登录活动触发的条件访问策略列表。
类型: array
-
azure.signinlogs.properties.authentication_details -
身份验证尝试的结果以及有关身份验证方法的其他详细信息。
类型: array
-
azure.signinlogs.properties.authentication_processing_details -
其他身份验证处理详细信息,例如在 PTA/PHS 的情况下为代理名称,或在联合身份验证的情况下为服务器/服务器场名称。
类型: flattened
-
azure.signinlogs.properties.authentication_protocol -
身份验证协议类型。
类型: keyword
-
azure.signinlogs.properties.incoming_token_type -
传入令牌类型。
类型: keyword
-
azure.signinlogs.properties.unique_token_identifier -
请求的唯一令牌标识符。
类型: keyword
-
azure.signinlogs.properties.authentication_requirement -
这包含所有登录步骤中所需的最高级别的身份验证,才能成功登录。
类型: keyword
-
azure.signinlogs.properties.authentication_requirement_policies -
应用于此登录的 CA 策略集,每个策略都表示为 CA:策略名称和/或 MFA:每个用户
类型: flattened
-
azure.signinlogs.properties.flagged_for_review -
类型: boolean
-
azure.signinlogs.properties.home_tenant_id -
类型: keyword
-
azure.signinlogs.properties.network_location_details -
网络位置详细信息,包括使用的网络类型及其名称。
类型: array
-
azure.signinlogs.properties.resource_id -
用户登录到的资源的标识符。
类型: keyword
-
azure.signinlogs.properties.resource_tenant_id -
类型: keyword
-
azure.signinlogs.properties.risk_event_types -
与登录关联的风险事件类型列表。可能的值:unlikelyTravel、anonymizedIPAddress、maliciousIPAddress、unfamiliarFeatures、malwareInfectedIPAddress、suspiciousIPAddress、leakedCredentials、investigationsThreatIntelligence、generic 或 unknownFutureValue。
类型: keyword
-
azure.signinlogs.properties.risk_event_types_v2 -
与登录关联的风险事件类型列表。可能的值:unlikelyTravel、anonymizedIPAddress、maliciousIPAddress、unfamiliarFeatures、malwareInfectedIPAddress、suspiciousIPAddress、leakedCredentials、investigationsThreatIntelligence、generic 或 unknownFutureValue。
类型: keyword
-
azure.signinlogs.properties.service_principal_name -
用于登录的应用程序名称。使用应用程序登录时,将填充此字段。
类型: keyword
-
azure.signinlogs.properties.user_type -
类型: keyword
-
azure.signinlogs.properties.service_principal_id -
用于登录的应用程序标识符。使用应用程序登录时,将填充此字段。
类型: keyword
-
azure.signinlogs.properties.cross_tenant_access_type -
类型: keyword
-
azure.signinlogs.properties.is_tenant_restricted -
类型: boolean
-
azure.signinlogs.properties.sso_extension_version -
类型: keyword