Azure 模块
-
azure.subscription_id -
Azure 订阅 ID
type: keyword
-
azure.correlation_id -
关联 ID
type: keyword
-
azure.tenant_id -
租户 ID
type: keyword
资源
-
azure.resource.id -
资源 ID
type: keyword
-
azure.resource.group -
资源组
type: keyword
-
azure.resource.provider -
资源类型/命名空间
type: keyword
-
azure.resource.namespace -
资源类型/命名空间
type: keyword
-
azure.resource.name -
名称
type: keyword
-
azure.resource.authorization_rule -
授权规则
type: keyword
Azure 活动日志的字段。
-
azure.activitylogs.identity_name -
标识名称
type: keyword
标识
用户发起的声明
-
azure.activitylogs.identity.claims_initiated_by_user.name -
名称
type: keyword
-
azure.activitylogs.identity.claims_initiated_by_user.givenname -
名字
type: keyword
-
azure.activitylogs.identity.claims_initiated_by_user.surname -
姓氏
type: keyword
-
azure.activitylogs.identity.claims_initiated_by_user.fullname -
全名
type: keyword
-
azure.activitylogs.identity.claims_initiated_by_user.schema -
架构
type: keyword
-
azure.activitylogs.identity.claims.* -
声明
type: object
授权
-
azure.activitylogs.identity.authorization.scope -
范围
type: keyword
-
azure.activitylogs.identity.authorization.action -
操作
type: keyword
凭证
-
azure.activitylogs.identity.authorization.evidence.role_assignment_scope -
角色分配范围
type: keyword
-
azure.activitylogs.identity.authorization.evidence.role_definition_id -
角色定义 ID
type: keyword
-
azure.activitylogs.identity.authorization.evidence.role -
角色
type: keyword
-
azure.activitylogs.identity.authorization.evidence.role_assignment_id -
角色分配 ID
type: keyword
-
azure.activitylogs.identity.authorization.evidence.principal_id -
主体 ID
type: keyword
-
azure.activitylogs.identity.authorization.evidence.principal_type -
主体类型
type: keyword
-
azure.activitylogs.tenant_id -
租户 ID
type: keyword
-
azure.activitylogs.level -
级别
type: long
-
azure.activitylogs.operation_version -
操作版本
type: keyword
-
azure.activitylogs.operation_name -
操作名称
type: keyword
-
azure.activitylogs.result_type -
结果类型
type: keyword
-
azure.activitylogs.result_signature -
结果签名
type: keyword
-
azure.activitylogs.category -
类别
type: keyword
-
azure.activitylogs.event_category -
事件类别
type: keyword
-
azure.activitylogs.properties -
属性
type: flattened
Azure 审核日志的字段。
-
azure.auditlogs.category -
操作的类别。目前,仅支持“审核”值。
type: keyword
-
azure.auditlogs.operation_name -
操作名称
type: keyword
-
azure.auditlogs.operation_version -
操作版本
type: keyword
-
azure.auditlogs.identity -
标识
type: keyword
-
azure.auditlogs.tenant_id -
租户 ID
type: keyword
-
azure.auditlogs.result_signature -
结果签名
type: keyword
审核日志属性
-
azure.auditlogs.properties.result -
日志结果
type: keyword
-
azure.auditlogs.properties.activity_display_name -
活动显示名称
type: keyword
-
azure.auditlogs.properties.result_reason -
日志结果的原因
type: keyword
-
azure.auditlogs.properties.correlation_id -
关联 ID
type: keyword
-
azure.auditlogs.properties.logged_by_service -
记录者服务
type: keyword
-
azure.auditlogs.properties.operation_type -
操作类型
type: keyword
-
azure.auditlogs.properties.id -
ID
type: keyword
-
azure.auditlogs.properties.activity_datetime -
活动时间戳
type: date
-
azure.auditlogs.properties.category -
类别
type: keyword
目标资源
-
azure.auditlogs.properties.target_resources.*.display_name -
显示名称
type: keyword
-
azure.auditlogs.properties.target_resources.*.id -
ID
type: keyword
-
azure.auditlogs.properties.target_resources.*.type -
类型
type: keyword
-
azure.auditlogs.properties.target_resources.*.ip_address -
IP 地址
type: keyword
-
azure.auditlogs.properties.target_resources.*.user_principal_name -
用户主体名称
type: keyword
已修改的属性
-
azure.auditlogs.properties.target_resources.*.modified_properties.*.new_value -
新值
type: keyword
-
azure.auditlogs.properties.target_resources.*.modified_properties.*.display_name -
显示值
type: keyword
-
azure.auditlogs.properties.target_resources.*.modified_properties.*.old_value -
旧值
type: keyword
有关发起者的信息
应用
-
azure.auditlogs.properties.initiated_by.app.servicePrincipalName -
服务主体名称
type: keyword
-
azure.auditlogs.properties.initiated_by.app.displayName -
显示名称
type: keyword
-
azure.auditlogs.properties.initiated_by.app.appId -
应用 ID
type: keyword
-
azure.auditlogs.properties.initiated_by.app.servicePrincipalId -
服务主体 ID
type: keyword
用户
-
azure.auditlogs.properties.initiated_by.user.userPrincipalName -
用户主体名称
type: keyword
-
azure.auditlogs.properties.initiated_by.user.displayName -
显示名称
type: keyword
-
azure.auditlogs.properties.initiated_by.user.id -
ID
type: keyword
-
azure.auditlogs.properties.initiated_by.user.ipAddress -
IP 地址
type: keyword
Azure 平台日志的字段。
-
azure.platformlogs.operation_name -
操作名称
type: keyword
-
azure.platformlogs.result_type -
结果类型
type: keyword
-
azure.platformlogs.result_signature -
结果签名
type: keyword
-
azure.platformlogs.category -
类别
type: keyword
-
azure.platformlogs.event_category -
事件类别
type: keyword
-
azure.platformlogs.status -
状态
type: keyword
-
azure.platformlogs.ccpNamespace -
ccpNamespace
type: keyword
-
azure.platformlogs.Cloud -
云
type: keyword
-
azure.platformlogs.Environment -
环境
type: keyword
-
azure.platformlogs.EventTimeString -
EventTimeString
type: keyword
-
azure.platformlogs.Caller -
调用方
type: keyword
-
azure.platformlogs.ScaleUnit -
规模单元
type: keyword
-
azure.platformlogs.ActivityId -
活动 ID
type: keyword
-
azure.platformlogs.identity_name -
标识名称
type: keyword
-
azure.platformlogs.properties -
事件内部属性
type: flattened
Azure 登录日志的字段。
-
azure.signinlogs.operation_name -
操作名称
type: keyword
-
azure.signinlogs.operation_version -
操作版本
type: keyword
-
azure.signinlogs.tenant_id -
租户 ID
type: keyword
-
azure.signinlogs.result_signature -
结果签名
type: keyword
-
azure.signinlogs.result_description -
结果描述
type: keyword
-
azure.signinlogs.result_type -
结果类型
type: keyword
-
azure.signinlogs.identity -
标识
type: keyword
-
azure.signinlogs.category -
类别
type: keyword
-
azure.signinlogs.properties.id -
表示登录活动的唯一 ID。
type: keyword
-
azure.signinlogs.properties.created_at -
启动登录的日期和时间(UTC)。
type: date
-
azure.signinlogs.properties.user_display_name -
用户显示名称
type: keyword
-
azure.signinlogs.properties.correlation_id -
关联 ID
type: keyword
-
azure.signinlogs.properties.user_principal_name -
用户主体名称
type: keyword
-
azure.signinlogs.properties.user_id -
用户 ID
type: keyword
-
azure.signinlogs.properties.app_id -
应用 ID
type: keyword
-
azure.signinlogs.properties.app_display_name -
应用显示名称
type: keyword
-
azure.signinlogs.properties.autonomous_system_number -
自治系统编号。
type: long
-
azure.signinlogs.properties.client_app_used -
使用的客户端应用
type: keyword
-
azure.signinlogs.properties.conditional_access_status -
条件访问状态
type: keyword
-
azure.signinlogs.properties.original_request_id -
原始请求 ID
type: keyword
-
azure.signinlogs.properties.is_interactive -
是否交互式
type: boolean
-
azure.signinlogs.properties.token_issuer_name -
令牌颁发者名称
type: keyword
-
azure.signinlogs.properties.token_issuer_type -
令牌颁发者类型
type: keyword
-
azure.signinlogs.properties.processing_time_ms -
处理时间(毫秒)
type: float
-
azure.signinlogs.properties.risk_detail -
风险详细信息
type: keyword
-
azure.signinlogs.properties.risk_level_aggregated -
汇总的风险级别
type: keyword
-
azure.signinlogs.properties.risk_level_during_signin -
登录期间的风险级别
type: keyword
-
azure.signinlogs.properties.risk_state -
风险状态
type: keyword
-
azure.signinlogs.properties.resource_display_name -
资源显示名称
type: keyword
-
azure.signinlogs.properties.status.error_code -
错误代码
type: long
-
azure.signinlogs.properties.device_detail.device_id -
设备 ID
type: keyword
-
azure.signinlogs.properties.device_detail.operating_system -
操作系统
type: keyword
-
azure.signinlogs.properties.device_detail.browser -
浏览器
type: keyword
-
azure.signinlogs.properties.device_detail.display_name -
显示名称
type: keyword
-
azure.signinlogs.properties.device_detail.trust_type -
信任类型
type: keyword
-
azure.signinlogs.properties.device_detail.is_compliant -
设备是否合规
type: boolean
-
azure.signinlogs.properties.device_detail.is_managed -
设备是否已管理
type: boolean
-
azure.signinlogs.properties.applied_conditional_access_policies -
由相应登录活动触发的条件访问策略的列表。
type: array
-
azure.signinlogs.properties.authentication_details -
身份验证尝试的结果以及有关身份验证方法的其他详细信息。
type: array
-
azure.signinlogs.properties.authentication_processing_details -
其他身份验证处理详细信息,例如 PTA/PHS 中的代理名称或联合身份验证中的服务器/场名称。
type: flattened
-
azure.signinlogs.properties.authentication_protocol -
身份验证协议类型。
type: keyword
-
azure.signinlogs.properties.incoming_token_type -
传入令牌类型。
type: keyword
-
azure.signinlogs.properties.unique_token_identifier -
请求的唯一令牌标识符。
type: keyword
-
azure.signinlogs.properties.authentication_requirement -
这包含登录成功所需的所有登录步骤中的最高级别身份验证。
type: keyword
-
azure.signinlogs.properties.authentication_requirement_policies -
应用于此登录的 CA 策略集,每个策略为 CA:策略名称和/或 MFA:按用户
type: flattened
-
azure.signinlogs.properties.flagged_for_review -
type: boolean
-
azure.signinlogs.properties.home_tenant_id -
type: keyword
-
azure.signinlogs.properties.network_location_details -
网络位置详细信息,包括使用的网络类型及其名称。
type: array
-
azure.signinlogs.properties.resource_id -
用户登录的资源的标识符。
type: keyword
-
azure.signinlogs.properties.resource_tenant_id -
type: keyword
-
azure.signinlogs.properties.risk_event_types -
与登录关联的风险事件类型列表。可能的值:unlikelyTravel、anonymizedIPAddress、maliciousIPAddress、unfamiliarFeatures、malwareInfectedIPAddress、suspiciousIPAddress、leakedCredentials、investigationsThreatIntelligence、generic 或 unknownFutureValue。
type: keyword
-
azure.signinlogs.properties.risk_event_types_v2 -
与登录关联的风险事件类型列表。可能的值:unlikelyTravel、anonymizedIPAddress、maliciousIPAddress、unfamiliarFeatures、malwareInfectedIPAddress、suspiciousIPAddress、leakedCredentials、investigationsThreatIntelligence、generic 或 unknownFutureValue。
type: keyword
-
azure.signinlogs.properties.service_principal_name -
用于登录的应用程序名称。当您使用应用程序登录时,将填充此字段。
type: keyword
-
azure.signinlogs.properties.user_type -
type: keyword
-
azure.signinlogs.properties.service_principal_id -
用于登录的应用程序标识符。当您使用应用程序登录时,将填充此字段。
type: keyword
-
azure.signinlogs.properties.cross_tenant_access_type -
type: keyword
-
azure.signinlogs.properties.is_tenant_restricted -
type: boolean
-
azure.signinlogs.properties.sso_extension_version -
type: keyword