Azure 模块
-
azure.subscription_id
-
Azure 订阅 ID
type: keyword
-
azure.correlation_id
-
关联 ID
type: keyword
-
azure.tenant_id
-
租户 ID
type: keyword
资源
-
azure.resource.id
-
资源 ID
type: keyword
-
azure.resource.group
-
资源组
type: keyword
-
azure.resource.provider
-
资源类型/命名空间
type: keyword
-
azure.resource.namespace
-
资源类型/命名空间
type: keyword
-
azure.resource.name
-
名称
type: keyword
-
azure.resource.authorization_rule
-
授权规则
type: keyword
Azure 活动日志的字段。
-
azure.activitylogs.identity_name
-
标识名称
type: keyword
标识
用户发起的声明
-
azure.activitylogs.identity.claims_initiated_by_user.name
-
名称
type: keyword
-
azure.activitylogs.identity.claims_initiated_by_user.givenname
-
名字
type: keyword
-
azure.activitylogs.identity.claims_initiated_by_user.surname
-
姓氏
type: keyword
-
azure.activitylogs.identity.claims_initiated_by_user.fullname
-
全名
type: keyword
-
azure.activitylogs.identity.claims_initiated_by_user.schema
-
架构
type: keyword
-
azure.activitylogs.identity.claims.*
-
声明
type: object
授权
-
azure.activitylogs.identity.authorization.scope
-
范围
type: keyword
-
azure.activitylogs.identity.authorization.action
-
操作
type: keyword
凭证
-
azure.activitylogs.identity.authorization.evidence.role_assignment_scope
-
角色分配范围
type: keyword
-
azure.activitylogs.identity.authorization.evidence.role_definition_id
-
角色定义 ID
type: keyword
-
azure.activitylogs.identity.authorization.evidence.role
-
角色
type: keyword
-
azure.activitylogs.identity.authorization.evidence.role_assignment_id
-
角色分配 ID
type: keyword
-
azure.activitylogs.identity.authorization.evidence.principal_id
-
主体 ID
type: keyword
-
azure.activitylogs.identity.authorization.evidence.principal_type
-
主体类型
type: keyword
-
azure.activitylogs.tenant_id
-
租户 ID
type: keyword
-
azure.activitylogs.level
-
级别
type: long
-
azure.activitylogs.operation_version
-
操作版本
type: keyword
-
azure.activitylogs.operation_name
-
操作名称
type: keyword
-
azure.activitylogs.result_type
-
结果类型
type: keyword
-
azure.activitylogs.result_signature
-
结果签名
type: keyword
-
azure.activitylogs.category
-
类别
type: keyword
-
azure.activitylogs.event_category
-
事件类别
type: keyword
-
azure.activitylogs.properties
-
属性
type: flattened
Azure 审核日志的字段。
-
azure.auditlogs.category
-
操作的类别。目前,仅支持“审核”值。
type: keyword
-
azure.auditlogs.operation_name
-
操作名称
type: keyword
-
azure.auditlogs.operation_version
-
操作版本
type: keyword
-
azure.auditlogs.identity
-
标识
type: keyword
-
azure.auditlogs.tenant_id
-
租户 ID
type: keyword
-
azure.auditlogs.result_signature
-
结果签名
type: keyword
审核日志属性
-
azure.auditlogs.properties.result
-
日志结果
type: keyword
-
azure.auditlogs.properties.activity_display_name
-
活动显示名称
type: keyword
-
azure.auditlogs.properties.result_reason
-
日志结果的原因
type: keyword
-
azure.auditlogs.properties.correlation_id
-
关联 ID
type: keyword
-
azure.auditlogs.properties.logged_by_service
-
记录者服务
type: keyword
-
azure.auditlogs.properties.operation_type
-
操作类型
type: keyword
-
azure.auditlogs.properties.id
-
ID
type: keyword
-
azure.auditlogs.properties.activity_datetime
-
活动时间戳
type: date
-
azure.auditlogs.properties.category
-
类别
type: keyword
目标资源
-
azure.auditlogs.properties.target_resources.*.display_name
-
显示名称
type: keyword
-
azure.auditlogs.properties.target_resources.*.id
-
ID
type: keyword
-
azure.auditlogs.properties.target_resources.*.type
-
类型
type: keyword
-
azure.auditlogs.properties.target_resources.*.ip_address
-
IP 地址
type: keyword
-
azure.auditlogs.properties.target_resources.*.user_principal_name
-
用户主体名称
type: keyword
已修改的属性
-
azure.auditlogs.properties.target_resources.*.modified_properties.*.new_value
-
新值
type: keyword
-
azure.auditlogs.properties.target_resources.*.modified_properties.*.display_name
-
显示值
type: keyword
-
azure.auditlogs.properties.target_resources.*.modified_properties.*.old_value
-
旧值
type: keyword
有关发起者的信息
应用
-
azure.auditlogs.properties.initiated_by.app.servicePrincipalName
-
服务主体名称
type: keyword
-
azure.auditlogs.properties.initiated_by.app.displayName
-
显示名称
type: keyword
-
azure.auditlogs.properties.initiated_by.app.appId
-
应用 ID
type: keyword
-
azure.auditlogs.properties.initiated_by.app.servicePrincipalId
-
服务主体 ID
type: keyword
用户
-
azure.auditlogs.properties.initiated_by.user.userPrincipalName
-
用户主体名称
type: keyword
-
azure.auditlogs.properties.initiated_by.user.displayName
-
显示名称
type: keyword
-
azure.auditlogs.properties.initiated_by.user.id
-
ID
type: keyword
-
azure.auditlogs.properties.initiated_by.user.ipAddress
-
IP 地址
type: keyword
Azure 平台日志的字段。
-
azure.platformlogs.operation_name
-
操作名称
type: keyword
-
azure.platformlogs.result_type
-
结果类型
type: keyword
-
azure.platformlogs.result_signature
-
结果签名
type: keyword
-
azure.platformlogs.category
-
类别
type: keyword
-
azure.platformlogs.event_category
-
事件类别
type: keyword
-
azure.platformlogs.status
-
状态
type: keyword
-
azure.platformlogs.ccpNamespace
-
ccpNamespace
type: keyword
-
azure.platformlogs.Cloud
-
云
type: keyword
-
azure.platformlogs.Environment
-
环境
type: keyword
-
azure.platformlogs.EventTimeString
-
EventTimeString
type: keyword
-
azure.platformlogs.Caller
-
调用方
type: keyword
-
azure.platformlogs.ScaleUnit
-
规模单元
type: keyword
-
azure.platformlogs.ActivityId
-
活动 ID
type: keyword
-
azure.platformlogs.identity_name
-
标识名称
type: keyword
-
azure.platformlogs.properties
-
事件内部属性
type: flattened
Azure 登录日志的字段。
-
azure.signinlogs.operation_name
-
操作名称
type: keyword
-
azure.signinlogs.operation_version
-
操作版本
type: keyword
-
azure.signinlogs.tenant_id
-
租户 ID
type: keyword
-
azure.signinlogs.result_signature
-
结果签名
type: keyword
-
azure.signinlogs.result_description
-
结果描述
type: keyword
-
azure.signinlogs.result_type
-
结果类型
type: keyword
-
azure.signinlogs.identity
-
标识
type: keyword
-
azure.signinlogs.category
-
类别
type: keyword
-
azure.signinlogs.properties.id
-
表示登录活动的唯一 ID。
type: keyword
-
azure.signinlogs.properties.created_at
-
启动登录的日期和时间(UTC)。
type: date
-
azure.signinlogs.properties.user_display_name
-
用户显示名称
type: keyword
-
azure.signinlogs.properties.correlation_id
-
关联 ID
type: keyword
-
azure.signinlogs.properties.user_principal_name
-
用户主体名称
type: keyword
-
azure.signinlogs.properties.user_id
-
用户 ID
type: keyword
-
azure.signinlogs.properties.app_id
-
应用 ID
type: keyword
-
azure.signinlogs.properties.app_display_name
-
应用显示名称
type: keyword
-
azure.signinlogs.properties.autonomous_system_number
-
自治系统编号。
type: long
-
azure.signinlogs.properties.client_app_used
-
使用的客户端应用
type: keyword
-
azure.signinlogs.properties.conditional_access_status
-
条件访问状态
type: keyword
-
azure.signinlogs.properties.original_request_id
-
原始请求 ID
type: keyword
-
azure.signinlogs.properties.is_interactive
-
是否交互式
type: boolean
-
azure.signinlogs.properties.token_issuer_name
-
令牌颁发者名称
type: keyword
-
azure.signinlogs.properties.token_issuer_type
-
令牌颁发者类型
type: keyword
-
azure.signinlogs.properties.processing_time_ms
-
处理时间(毫秒)
type: float
-
azure.signinlogs.properties.risk_detail
-
风险详细信息
type: keyword
-
azure.signinlogs.properties.risk_level_aggregated
-
汇总的风险级别
type: keyword
-
azure.signinlogs.properties.risk_level_during_signin
-
登录期间的风险级别
type: keyword
-
azure.signinlogs.properties.risk_state
-
风险状态
type: keyword
-
azure.signinlogs.properties.resource_display_name
-
资源显示名称
type: keyword
-
azure.signinlogs.properties.status.error_code
-
错误代码
type: long
-
azure.signinlogs.properties.device_detail.device_id
-
设备 ID
type: keyword
-
azure.signinlogs.properties.device_detail.operating_system
-
操作系统
type: keyword
-
azure.signinlogs.properties.device_detail.browser
-
浏览器
type: keyword
-
azure.signinlogs.properties.device_detail.display_name
-
显示名称
type: keyword
-
azure.signinlogs.properties.device_detail.trust_type
-
信任类型
type: keyword
-
azure.signinlogs.properties.device_detail.is_compliant
-
设备是否合规
type: boolean
-
azure.signinlogs.properties.device_detail.is_managed
-
设备是否已管理
type: boolean
-
azure.signinlogs.properties.applied_conditional_access_policies
-
由相应登录活动触发的条件访问策略的列表。
type: array
-
azure.signinlogs.properties.authentication_details
-
身份验证尝试的结果以及有关身份验证方法的其他详细信息。
type: array
-
azure.signinlogs.properties.authentication_processing_details
-
其他身份验证处理详细信息,例如 PTA/PHS 中的代理名称或联合身份验证中的服务器/场名称。
type: flattened
-
azure.signinlogs.properties.authentication_protocol
-
身份验证协议类型。
type: keyword
-
azure.signinlogs.properties.incoming_token_type
-
传入令牌类型。
type: keyword
-
azure.signinlogs.properties.unique_token_identifier
-
请求的唯一令牌标识符。
type: keyword
-
azure.signinlogs.properties.authentication_requirement
-
这包含登录成功所需的所有登录步骤中的最高级别身份验证。
type: keyword
-
azure.signinlogs.properties.authentication_requirement_policies
-
应用于此登录的 CA 策略集,每个策略为 CA:策略名称和/或 MFA:按用户
type: flattened
-
azure.signinlogs.properties.flagged_for_review
-
type: boolean
-
azure.signinlogs.properties.home_tenant_id
-
type: keyword
-
azure.signinlogs.properties.network_location_details
-
网络位置详细信息,包括使用的网络类型及其名称。
type: array
-
azure.signinlogs.properties.resource_id
-
用户登录的资源的标识符。
type: keyword
-
azure.signinlogs.properties.resource_tenant_id
-
type: keyword
-
azure.signinlogs.properties.risk_event_types
-
与登录关联的风险事件类型列表。可能的值:unlikelyTravel、anonymizedIPAddress、maliciousIPAddress、unfamiliarFeatures、malwareInfectedIPAddress、suspiciousIPAddress、leakedCredentials、investigationsThreatIntelligence、generic 或 unknownFutureValue。
type: keyword
-
azure.signinlogs.properties.risk_event_types_v2
-
与登录关联的风险事件类型列表。可能的值:unlikelyTravel、anonymizedIPAddress、maliciousIPAddress、unfamiliarFeatures、malwareInfectedIPAddress、suspiciousIPAddress、leakedCredentials、investigationsThreatIntelligence、generic 或 unknownFutureValue。
type: keyword
-
azure.signinlogs.properties.service_principal_name
-
用于登录的应用程序名称。当您使用应用程序登录时,将填充此字段。
type: keyword
-
azure.signinlogs.properties.user_type
-
type: keyword
-
azure.signinlogs.properties.service_principal_id
-
用于登录的应用程序标识符。当您使用应用程序登录时,将填充此字段。
type: keyword
-
azure.signinlogs.properties.cross_tenant_access_type
-
type: keyword
-
azure.signinlogs.properties.is_tenant_restricted
-
type: boolean
-
azure.signinlogs.properties.sso_extension_version
-
type: keyword