Azure 字段

Azure 模块

azure

azure.subscription_id

Azure 订阅 ID

type: keyword

azure.correlation_id

关联 ID

type: keyword

azure.tenant_id

租户 ID

type: keyword

resource

资源

azure.resource.id

资源 ID

type: keyword

azure.resource.group

资源组

type: keyword

azure.resource.provider

资源类型/命名空间

type: keyword

azure.resource.namespace

资源类型/命名空间

type: keyword

azure.resource.name

名称

type: keyword

azure.resource.authorization_rule

授权规则

type: keyword

activitylogs

Azure 活动日志的字段。

azure.activitylogs.identity_name

标识名称

type: keyword

identity

标识

claims_initiated_by_user

用户发起的声明

azure.activitylogs.identity.claims_initiated_by_user.name

名称

type: keyword

azure.activitylogs.identity.claims_initiated_by_user.givenname

名字

type: keyword

azure.activitylogs.identity.claims_initiated_by_user.surname

姓氏

type: keyword

azure.activitylogs.identity.claims_initiated_by_user.fullname

全名

type: keyword

azure.activitylogs.identity.claims_initiated_by_user.schema

架构

type: keyword

azure.activitylogs.identity.claims.*

声明

type: object

authorization

授权

azure.activitylogs.identity.authorization.scope

范围

type: keyword

azure.activitylogs.identity.authorization.action

操作

type: keyword

evidence

凭证

azure.activitylogs.identity.authorization.evidence.role_assignment_scope

角色分配范围

type: keyword

azure.activitylogs.identity.authorization.evidence.role_definition_id

角色定义 ID

type: keyword

azure.activitylogs.identity.authorization.evidence.role

角色

type: keyword

azure.activitylogs.identity.authorization.evidence.role_assignment_id

角色分配 ID

type: keyword

azure.activitylogs.identity.authorization.evidence.principal_id

主体 ID

type: keyword

azure.activitylogs.identity.authorization.evidence.principal_type

主体类型

type: keyword

azure.activitylogs.tenant_id

租户 ID

type: keyword

azure.activitylogs.level

级别

type: long

azure.activitylogs.operation_version

操作版本

type: keyword

azure.activitylogs.operation_name

操作名称

type: keyword

azure.activitylogs.result_type

结果类型

type: keyword

azure.activitylogs.result_signature

结果签名

type: keyword

azure.activitylogs.category

类别

type: keyword

azure.activitylogs.event_category

事件类别

type: keyword

azure.activitylogs.properties

属性

type: flattened

auditlogs

Azure 审核日志的字段。

azure.auditlogs.category

操作的类别。目前,仅支持“审核”值。

type: keyword

azure.auditlogs.operation_name

操作名称

type: keyword

azure.auditlogs.operation_version

操作版本

type: keyword

azure.auditlogs.identity

标识

type: keyword

azure.auditlogs.tenant_id

租户 ID

type: keyword

azure.auditlogs.result_signature

结果签名

type: keyword

properties

审核日志属性

azure.auditlogs.properties.result

日志结果

type: keyword

azure.auditlogs.properties.activity_display_name

活动显示名称

type: keyword

azure.auditlogs.properties.result_reason

日志结果的原因

type: keyword

azure.auditlogs.properties.correlation_id

关联 ID

type: keyword

azure.auditlogs.properties.logged_by_service

记录者服务

type: keyword

azure.auditlogs.properties.operation_type

操作类型

type: keyword

azure.auditlogs.properties.id

ID

type: keyword

azure.auditlogs.properties.activity_datetime

活动时间戳

type: date

azure.auditlogs.properties.category

类别

type: keyword

target_resources.*

目标资源

azure.auditlogs.properties.target_resources.*.display_name

显示名称

type: keyword

azure.auditlogs.properties.target_resources.*.id

ID

type: keyword

azure.auditlogs.properties.target_resources.*.type

类型

type: keyword

azure.auditlogs.properties.target_resources.*.ip_address

IP 地址

type: keyword

azure.auditlogs.properties.target_resources.*.user_principal_name

用户主体名称

type: keyword

modified_properties.*

已修改的属性

azure.auditlogs.properties.target_resources.*.modified_properties.*.new_value

新值

type: keyword

azure.auditlogs.properties.target_resources.*.modified_properties.*.display_name

显示值

type: keyword

azure.auditlogs.properties.target_resources.*.modified_properties.*.old_value

旧值

type: keyword

initiated_by

有关发起者的信息

app

应用

azure.auditlogs.properties.initiated_by.app.servicePrincipalName

服务主体名称

type: keyword

azure.auditlogs.properties.initiated_by.app.displayName

显示名称

type: keyword

azure.auditlogs.properties.initiated_by.app.appId

应用 ID

type: keyword

azure.auditlogs.properties.initiated_by.app.servicePrincipalId

服务主体 ID

type: keyword

user

用户

azure.auditlogs.properties.initiated_by.user.userPrincipalName

用户主体名称

type: keyword

azure.auditlogs.properties.initiated_by.user.displayName

显示名称

type: keyword

azure.auditlogs.properties.initiated_by.user.id

ID

type: keyword

azure.auditlogs.properties.initiated_by.user.ipAddress

IP 地址

type: keyword

platformlogs

Azure 平台日志的字段。

azure.platformlogs.operation_name

操作名称

type: keyword

azure.platformlogs.result_type

结果类型

type: keyword

azure.platformlogs.result_signature

结果签名

type: keyword

azure.platformlogs.category

类别

type: keyword

azure.platformlogs.event_category

事件类别

type: keyword

azure.platformlogs.status

状态

type: keyword

azure.platformlogs.ccpNamespace

ccpNamespace

type: keyword

azure.platformlogs.Cloud

type: keyword

azure.platformlogs.Environment

环境

type: keyword

azure.platformlogs.EventTimeString

EventTimeString

type: keyword

azure.platformlogs.Caller

调用方

type: keyword

azure.platformlogs.ScaleUnit

规模单元

type: keyword

azure.platformlogs.ActivityId

活动 ID

type: keyword

azure.platformlogs.identity_name

标识名称

type: keyword

azure.platformlogs.properties

事件内部属性

type: flattened

signinlogs

Azure 登录日志的字段。

azure.signinlogs.operation_name

操作名称

type: keyword

azure.signinlogs.operation_version

操作版本

type: keyword

azure.signinlogs.tenant_id

租户 ID

type: keyword

azure.signinlogs.result_signature

结果签名

type: keyword

azure.signinlogs.result_description

结果描述

type: keyword

azure.signinlogs.result_type

结果类型

type: keyword

azure.signinlogs.identity

标识

type: keyword

azure.signinlogs.category

类别

type: keyword

azure.signinlogs.properties.id

表示登录活动的唯一 ID。

type: keyword

azure.signinlogs.properties.created_at

启动登录的日期和时间(UTC)。

type: date

azure.signinlogs.properties.user_display_name

用户显示名称

type: keyword

azure.signinlogs.properties.correlation_id

关联 ID

type: keyword

azure.signinlogs.properties.user_principal_name

用户主体名称

type: keyword

azure.signinlogs.properties.user_id

用户 ID

type: keyword

azure.signinlogs.properties.app_id

应用 ID

type: keyword

azure.signinlogs.properties.app_display_name

应用显示名称

type: keyword

azure.signinlogs.properties.autonomous_system_number

自治系统编号。

type: long

azure.signinlogs.properties.client_app_used

使用的客户端应用

type: keyword

azure.signinlogs.properties.conditional_access_status

条件访问状态

type: keyword

azure.signinlogs.properties.original_request_id

原始请求 ID

type: keyword

azure.signinlogs.properties.is_interactive

是否交互式

type: boolean

azure.signinlogs.properties.token_issuer_name

令牌颁发者名称

type: keyword

azure.signinlogs.properties.token_issuer_type

令牌颁发者类型

type: keyword

azure.signinlogs.properties.processing_time_ms

处理时间(毫秒)

type: float

azure.signinlogs.properties.risk_detail

风险详细信息

type: keyword

azure.signinlogs.properties.risk_level_aggregated

汇总的风险级别

type: keyword

azure.signinlogs.properties.risk_level_during_signin

登录期间的风险级别

type: keyword

azure.signinlogs.properties.risk_state

风险状态

type: keyword

azure.signinlogs.properties.resource_display_name

资源显示名称

type: keyword

azure.signinlogs.properties.status.error_code

错误代码

type: long

azure.signinlogs.properties.device_detail.device_id

设备 ID

type: keyword

azure.signinlogs.properties.device_detail.operating_system

操作系统

type: keyword

azure.signinlogs.properties.device_detail.browser

浏览器

type: keyword

azure.signinlogs.properties.device_detail.display_name

显示名称

type: keyword

azure.signinlogs.properties.device_detail.trust_type

信任类型

type: keyword

azure.signinlogs.properties.device_detail.is_compliant

设备是否合规

type: boolean

azure.signinlogs.properties.device_detail.is_managed

设备是否已管理

type: boolean

azure.signinlogs.properties.applied_conditional_access_policies

由相应登录活动触发的条件访问策略的列表。

type: array

azure.signinlogs.properties.authentication_details

身份验证尝试的结果以及有关身份验证方法的其他详细信息。

type: array

azure.signinlogs.properties.authentication_processing_details

其他身份验证处理详细信息,例如 PTA/PHS 中的代理名称或联合身份验证中的服务器/场名称。

type: flattened

azure.signinlogs.properties.authentication_protocol

身份验证协议类型。

type: keyword

azure.signinlogs.properties.incoming_token_type

传入令牌类型。

type: keyword

azure.signinlogs.properties.unique_token_identifier

请求的唯一令牌标识符。

type: keyword

azure.signinlogs.properties.authentication_requirement

这包含登录成功所需的所有登录步骤中的最高级别身份验证。

type: keyword

azure.signinlogs.properties.authentication_requirement_policies

应用于此登录的 CA 策略集,每个策略为 CA:策略名称和/或 MFA:按用户

type: flattened

azure.signinlogs.properties.flagged_for_review

type: boolean

azure.signinlogs.properties.home_tenant_id

type: keyword

azure.signinlogs.properties.network_location_details

网络位置详细信息,包括使用的网络类型及其名称。

type: array

azure.signinlogs.properties.resource_id

用户登录的资源的标识符。

type: keyword

azure.signinlogs.properties.resource_tenant_id

type: keyword

azure.signinlogs.properties.risk_event_types

与登录关联的风险事件类型列表。可能的值:unlikelyTravel、anonymizedIPAddress、maliciousIPAddress、unfamiliarFeatures、malwareInfectedIPAddress、suspiciousIPAddress、leakedCredentials、investigationsThreatIntelligence、generic 或 unknownFutureValue。

type: keyword

azure.signinlogs.properties.risk_event_types_v2

与登录关联的风险事件类型列表。可能的值:unlikelyTravel、anonymizedIPAddress、maliciousIPAddress、unfamiliarFeatures、malwareInfectedIPAddress、suspiciousIPAddress、leakedCredentials、investigationsThreatIntelligence、generic 或 unknownFutureValue。

type: keyword

azure.signinlogs.properties.service_principal_name

用于登录的应用程序名称。当您使用应用程序登录时,将填充此字段。

type: keyword

azure.signinlogs.properties.user_type

type: keyword

azure.signinlogs.properties.service_principal_id

用于登录的应用程序标识符。当您使用应用程序登录时,将填充此字段。

type: keyword

azure.signinlogs.properties.cross_tenant_access_type

type: keyword

azure.signinlogs.properties.is_tenant_restricted

type: boolean

azure.signinlogs.properties.sso_extension_version

type: keyword