AADNonInteractiveUserSignInLogs テーブルのクエリ

[アーティクル]
07/31/2024

Azure portal でこれらのクエリを使用する方法については、 Log Analytics のチュートリアルを参照してください。 REST API については、「 Query」を参照してください。

複数の都市を持つユーザー

過去 1 日に複数の都市からサインインしたユーザーの一覧を取得します。

AADNonInteractiveUserSignInLogs
| where TimeGenerated > ago(1d)
| extend City = parse_json(LocationDetails).city
| summarize CountPerCity = dcount(tostring(City)) by UserId
| where CountPerCity > 1
| order by CountPerCity desc

最もアクティブな IP アドレス

最後の日の最もアクティブな IP アドレスの上位 100 件の一覧を取得します。

AADNonInteractiveUserSignInLogs
| where TimeGenerated > ago(1d)
| summarize CountPerIPAddress = count() by IPAddress
| order by CountPerIPAddress desc
| take 100