الخصائص المفصلة في سجل التدقيق
ملاحظة
يسمى التوافق Microsoft 365 الآن Microsoft Purview وقد تم تغيير تسمية الحلول داخل منطقة الامتثال. لمزيد من المعلومات حول Microsoft Purview، راجع إعلان المدونة.
عند تصدير نتائج البحث في سجل التدقيق من مدخل توافق Microsoft Purview، يكون لديك خيار تنزيل جميع النتائج التي تفي بمعايير البحث الخاصة بك. يمكنك القيام بذلك عن طريق تحديد تصدير النتائج > تنزيل كافة النتائج في صفحة البحث في سجل التدقيق . لمزيد من المعلومات، راجع البحث في سجل التدقيق.
عندما تقوم بتصدير جميع النتائج للبحث في سجل التدقيق، يتم نسخ البيانات الأولية من سجل التدقيق الموحد إلى ملف قيمة مفصولة بفواصل (CSV) يتم تنزيله إلى الكمبيوتر المحلي. يحتوي هذا الملف على معلومات إضافية من كل سجل تدقيق في عمود يسمى AuditData. يحتوي هذا العمود على خاصية متعددة القيم لخصائص متعددة من سجل التدقيق. كل خاصية من هذه الخاصية: يتم فصل أزواج القيم في هذه الخاصية متعددة القيم بفاواصل.
يصف الجدول التالي الخصائص المضمنة (اعتمادا على الخدمة التي يقع فيها حدث) في عمود AuditData متعدد الخصائص. تشير خدمة Office 365 التي تحتوي على عمود الخاصية هذا إلى الخدمة ونوع النشاط (المستخدم أو المسؤول) الذي يتضمن الخاصية. لمزيد من المعلومات التفصيلية حول هذه الخصائص أو حول الخصائص التي قد لا تكون مدرجة في هذا الموضوع، راجع مخطط واجهة برمجة تطبيقات نشاط الإدارة.
تلميح
يمكنك استخدام ميزة تحويل JSON في Power Query في Excel لتقسيم عمود AuditData إلى أعمدة متعددة بحيث يكون لكل خاصية عمود خاص بها. يتيح لك ذلك الفرز والتصفية على خاصية واحدة أو أكثر من هذه الخصائص. لمعرفة كيفية القيام بذلك، راجع تصدير سجلات سجل التدقيق وتكوينها وعرضها.
| الخاصيه | الوصف | خدمة Microsoft 365 التي تحتوي على هذه الخاصية |
|---|---|---|
| الممثل | حساب المستخدم أو الخدمة الذي نفذ الإجراء. | Azure Active Directory |
| AddOnName | اسم الوظيفة الإضافية التي تمت إضافتها أو إزالتها أو تحديثها في فريق. نوع الوظائف الإضافية في Microsoft Teams هو روبوت أو موصل أو علامة تبويب. | Microsoft Teams |
| AddOnType | نوع الوظيفة الإضافية التي تمت إضافتها أو إزالتها أو تحديثها في فريق. تشير القيم التالية إلى نوع الوظيفة الإضافية. 1 - يشير إلى روبوت. 2 - يشير إلى موصل. 3 - يشير إلى علامة تبويب. |
Microsoft Teams |
| AzureActiveDirectoryEventType | نوع حدث Azure Active Directory. تشير القيم التالية إلى نوع الحدث. 0 - يشير إلى حدث تسجيل الدخول إلى حساب. 1 - يشير إلى حدث أمان تطبيق Azure. |
Azure Active Directory |
| ChannelGuid | معرف قناة Microsoft Teams. يتم تحديد الفريق الذي توجد فيه القناة بواسطة خصائص TeamName و TeamGuid . | Microsoft Teams |
| اسم القناة | اسم قناة Microsoft Teams. يتم تحديد الفريق الذي توجد فيه القناة بواسطة خصائص TeamName و TeamGuid . | Microsoft Teams |
| Client | جهاز العميل ونظام تشغيل الجهاز ومستعرض الجهاز المستخدم لحدث تسجيل الدخول (على سبيل المثال، Nokia Lumia 920؛ Windows Phone 8; IE Mobile 11). | Azure Active Directory |
| ClientInfoString | معلومات حول عميل البريد الإلكتروني الذي تم استخدامه لتنفيذ العملية، مثل إصدار المستعرض وإصدار Outlook ومعلومات الجهاز المحمول | Exchange (نشاط علبة البريد) |
| ClientIP | عنوان IP للجهاز الذي تم استخدامه عند تسجيل النشاط. يتم عرض عنوان IP بتنسيق عنوان IPv4 أو IPv6. بالنسبة لبعض الخدمات، قد تكون القيمة المعروضة في هذه الخاصية هي عنوان IP لتطبيق موثوق به (على سبيل المثال، Office على الويب التطبيقات) يتصل بالخدمة نيابة عن مستخدم وليس عنوان IP للجهاز المستخدم من قبل الشخص الذي قام بتنفيذ النشاط. أيضا، بالنسبة لنشاط المسؤول (أو النشاط الذي يتم تنفيذه بواسطة حساب النظام) للأحداث المتعلقة ب Azure Active Directory، لا يتم تسجيل عنوان IP والقيمة لخاصية nullClientIP. |
Azure Active Directory، Exchange، SharePoint |
| وقت الإنشاء | التاريخ والوقت في التوقيت العالمي المتفق عليه (UTC) عندما يقوم المستخدم بتنفيذ النشاط. | الكل |
| DestinationFileExtension | ملحق ملف يتم نسخه أو نقله. يتم عرض هذه الخاصية فقط لأنشطة المستخدم FileCopied و FileMoved. | SharePoint |
| DestinationFileName | يتم نسخ اسم الملف أو نقله. يتم عرض هذه الخاصية فقط للإجراءين FileCopied و FileMoved. | SharePoint |
| DestinationRelativeUrl | عنوان URL لمجلد الوجهة حيث يتم نسخ ملف أو نقله. إن تركيبة قيم SiteURL و DestinationRelativeURL وخاصية DestinationFileName هي نفس قيمة الخاصية ObjectID ، وهو اسم المسار الكامل للملف الذي تم نسخه. يتم عرض هذه الخاصية فقط لأنشطة المستخدم FileCopied و FileMoved. | SharePoint |
| مصدر الأحداث | يحدد حدوث حدث في SharePoint. القيم المحتملة هي SharePoint و ObjectModel. | SharePoint |
| Access الخارجية | بالنسبة لنشاط المسؤول Exchange، يحدد ما إذا كان cmdlet يتم تشغيله بواسطة مستخدم في مؤسستك أو من قبل موظفي مركز بيانات Microsoft أو حساب خدمة مركز البيانات أو من قبل مسؤول مفوض. تشير القيمة False إلى أنه تم تشغيل cmdlet بواسطة شخص ما في مؤسستك. تشير القيمة True إلى أنه تم تشغيل cmdlet بواسطة موظفي مركز البيانات أو حساب خدمة مركز البيانات أو مسؤول مفوض. بالنسبة Exchange نشاط علبة البريد، يحدد ما إذا كان قد تم الوصول إلى علبة بريد من قبل مستخدم من خارج مؤسستك. |
Exchange |
| ExtendedProperties | الخصائص الموسعة لحدث Azure Active Directory. | Azure Active Directory |
| المعرّف | معرف إدخال التقرير. يعرف المعرف إدخال التقرير بشكل فريد. | الكل |
| InternalLogonType | محجوز للاستخدام الداخلي. | Exchange (نشاط علبة البريد) |
| نوع العنصر | نوع الكائن الذي تم الوصول إليه أو تعديله. تتضمن القيم المحتملة الملف والمجلد والويب والموقع والمستأجر و DocumentLibrary. | SharePoint |
| تسجيل الدخول إلىStatus | تحديد حالات فشل تسجيل الدخول التي قد تكون حدثت. | Azure Active Directory |
| نوع تسجيل الدخول | نوع الوصول إلى علبة البريد. تشير القيم التالية إلى نوع المستخدم الذي قام بالوصول إلى علبة البريد. 0 - الإشارة إلى مالك علبة بريد. 1 - يشير إلى مسؤول. 2 - الإشارة إلى مفوض. 3 - يشير إلى خدمة النقل في مركز بيانات Microsoft. 4 - يشير إلى حساب خدمة في مركز بيانات Microsoft. 6 - يشير إلى مسؤول مفوض. |
Exchange (نشاط علبة البريد) |
| علبة بريد مGuid | المعرف الفريد العمومي Exchange لعل البريد الذي تم الوصول إليه. | Exchange (نشاط علبة البريد) |
| علبة البريدOwnerUPN | عنوان البريد الإلكتروني للشخص الذي يمتلك علبة البريد التي تم الوصول إليها. | Exchange (نشاط علبة البريد) |
| اعضاء | سرد المستخدمين الذين تمت إضافتهم أو إزالتهم من فريق. تشير القيم التالية إلى نوع الدور المعين للمستخدم. 1 - يشير إلى دور المالك. 2 - يشير إلى دور العضو. 3 - يشير إلى دور الضيف. تتضمن خاصية "الأعضاء" أيضا اسم مؤسستك وعنوان البريد الإلكتروني الخاص بالعضو. |
Microsoft Teams |
| ModifiedProperties (Name, NewValue, OldValue) | يتم تضمين الخاصية لأحداث المسؤول، مثل إضافة مستخدم كعضو في موقع أو مجموعة مسؤولي مجموعة مواقع مشتركة. تتضمن الخاصية اسم الخاصية التي تم تعديلها (على سبيل المثال، مجموعة إدارة الموقع) القيمة الجديدة للخاصية المعدلة (مثل المستخدم الذي تمت إضافته كمسؤول موقع والقيمة السابقة للكائن المعدل. | الكل (نشاط المسؤول) |
| Objectid | بالنسبة Exchange تسجيل تدقيق المسؤول، اسم الكائن الذي تم تعديله بواسطة cmdlet. بالنسبة لنشاط SharePoint، اسم مسار URL الكامل للملف أو المجلد الذي تم الوصول إليه من قبل المستخدم. بالنسبة لنشاط Azure AD، اسم حساب المستخدم الذي تم تعديله. |
الكل |
| العمليه | اسم نشاط المستخدم أو المسؤول. تتوافق قيمة هذه الخاصية مع القيمة التي تم تحديدها في القائمة المنسدلة "الأنشطة ". إذا تم تحديد إظهار نتائج لكافة الأنشطة ، فسيتضمن التقرير إدخالات لكافة أنشطة المستخدم والمسؤول لكافة الخدمات. للحصول على وصف للعمليات/الأنشطة التي تم تسجيلها في سجل التدقيق، راجع علامة التبويب "أنشطة مدققة" في "البحث في سجل التدقيق" في Office 365. بالنسبة لنشاط المسؤول Exchange، تحدد هذه الخاصية اسم cmdlet الذي تم تشغيله. |
الكل |
| معرف المؤسسة | المعرف الفريد العمومي (GUID) لمؤسستك. | الكل |
| مسار | اسم مجلد علبة البريد حيث توجد الرسالة التي تم الوصول إليها. تعرف هذه الخاصية أيضا المجلد الذي يتم فيه إنشاء رسالة أو نسخها/نقلها إليها. | Exchange (نشاط علبة البريد) |
| معلمات | بالنسبة لنشاط المسؤول Exchange، الاسم والقيمة لكافة المعلمات التي تم استخدامها مع cmdlet الذي تم تعريفه في خاصية العملية. | Exchange (نشاط المسؤول) |
| نوع السجل | نوع العملية المشار إليها بواسطة السجل. تشير هذه الخاصية إلى الخدمة أو الميزة التي تم تشغيل العملية فيها. للحصول على قائمة بأنواع السجلات وقيمة ENUM المقابلة لها (وهي القيمة المعروضة في الخاصية RecordType في سجل تدقيق)، راجع نوع سجل التدقيق. | |
| ResultStatus | الإشارة إلى ما إذا كان الإجراء (المحدد في خاصية العملية ) ناجحا أم لا. بالنسبة لنشاط المسؤول Exchange، تكون القيمة إما True (ناجحة) أو False (فاشلة). |
الكل |
| SecurityComplianceCenterEventType | يشير إلى أن النشاط كان حدث مدخل التوافق. سيكون لكافة أنشطة مركز التوافق قيمة 0 لهذه الخاصية. | مركز توافق & الأمان |
| نوع المشاركة | نوع أذونات المشاركة التي تم تعيينها للمستخدم الذي تمت مشاركة المورد معه. يتم تعريف هذا المستخدم في الخاصية UserSharedWith . | SharePoint |
| الموقع | المعرف الفريد العمومي للموقع حيث يوجد الملف أو المجلد الذي يصل إليه المستخدم. | SharePoint |
| SiteUrl | URL الخاص بالموقع حيث يوجد الملف أو المجلد الذي تم الوصول إليه من قبل المستخدم. | SharePoint |
| SourceFileExtension | ملحق الملف الذي تم الوصول إليه من قبل المستخدم. تكون هذه الخاصية فارغة إذا كان الكائن الذي تم الوصول إليه مجلدا. | SharePoint |
| SourceFileName | اسم الملف أو المجلد الذي تم الوصول إليه من قبل المستخدم. | SharePoint |
| SourceRelativeUrl | عنوان URL للمجلد الذي يحتوي على الملف الذي تم الوصول إليه من قبل المستخدم. إن تركيبة قيم SiteURL وخاصية SourceRelativeURL وخاصية SourceFileName هي نفس قيمة خاصية ObjectID ، وهي اسم المسار الكامل للملف الذي يمكن للمستخدم الوصول إليه. | SharePoint |
| الموضوع | سطر موضوع الرسالة التي تم الوصول إليها. | Exchange (نشاط علبة البريد) |
| نوع الجدولة | نوع علامة التبويب التي تمت إضافتها أو إزالتها أو تحديثها في فريق. القيم المحتملة لهذه الخاصية هي: Excel دبوس - علامة تبويب Excel. الملحق - جميع تطبيقات الجهات الأولى والجهات الخارجية؛ مثل "جدول الصفوف" و"VSTS" و"النماذج". الملاحظات - علامة تبويب OneNote. Pdfpin - علامة تبويب PDF. Powerbi - علامة تبويب Power BI. Powerpointpin - علامة تبويب PowerPoint. Sharepointfiles - علامة تبويب SharePoint. صفحة ويب - علامة تبويب موقع ويب مثبتة. علامة تبويب Wiki - علامة تبويب wiki. Wordpin - علامة تبويب Word. |
Microsoft Teams |
| الهدف | المستخدم الذي تم تنفيذ الإجراء (المعرف في خاصية العملية ) عليه. على سبيل المثال، إذا تمت إضافة مستخدم ضيف إلى SharePoint أو Microsoft Team، فسيتم إدراج هذا المستخدم في هذه الخاصية. | Azure Active Directory |
| TeamGuid | معرف فريق في Microsoft Teams. | Microsoft Teams |
| اسم الفريق | اسم فريق في Microsoft Teams. | Microsoft Teams |
| UserAgent | معلومات حول مستعرض المستخدم. يتم توفير هذه المعلومات من قبل المستعرض. | SharePoint |
| UserDomain | معلومات الهوية حول تنظيم المستأجر للمستخدم (الفاعل) الذي نفذ الإجراء. | Azure Active Directory |
| Userid | المستخدم الذي نفذ الإجراء (المحدد في خاصية العملية ) الذي أدى إلى تسجيل السجل. يتم أيضا تضمين سجلات التدقيق للنشاط الذي تقوم به حسابات النظام (مثل SHAREPOINT\system أو NT AUTHORITY\SYSTEM) في سجل التدقيق. قيمة شائعة أخرى لخاصية UserId هي app@sharepoint. يشير هذا إلى أن "المستخدم" الذي نفذ النشاط كان تطبيقا لديه الأذونات اللازمة في SharePoint لتنفيذ إجراءات على مستوى المؤسسة (مثل البحث في موقع SharePoint أو حساب OneDrive) نيابة عن مستخدم أو مسؤول أو خدمة. لمزيد من المعلومات، اطلع على: مستخدم appsharepoint@ في سجلات التدقيق او حسابات النظام في سجلات تدقيق علبة بريد Exchange. |
الكل |
| UserKey | معرف بديل للمستخدم المحدد في الخاصية UserID . على سبيل المثال، يتم ملء هذه الخاصية بمعرف جواز السفر الفريد (PUID) للأحداث التي يقوم بها المستخدمون في SharePoint. قد تحدد هذه الخاصية أيضا نفس قيمة خاصية UserID للأحداث التي تحدث في خدمات وأحداث أخرى يتم تنفيذها بواسطة حسابات النظام. | الكل |
| UserSharedWith | المستخدم الذي تمت مشاركة مورد معه. يتم تضمين هذه الخاصية إذا كانت قيمة خاصية العملية هي SharingSet. هذا المستخدم مدرج أيضا في العمود "مشترك مع " في التقرير. | SharePoint |
| نوع المستخدم | نوع المستخدم الذي نفذ العملية. تشير القيم التالية إلى نوع المستخدم. 0 - مستخدم عادي. 2 - مسؤول في مؤسستك Microsoft 365. 1 3 - مسؤول مركز بيانات Microsoft أو حساب نظام مركز البيانات. 4 - حساب نظام. 5 - تطبيق. 6 - كيان خدمة. 7 - نهج مخصص. 8 - نهج النظام. |
الكل |
| الإصدار | يشير إلى رقم إصدار النشاط (المعرف بواسطة خاصية العملية ) الذي تم تسجيله. | الكل |
| عبء العمل | خدمة Microsoft 365 التي حدث فيها النشاط. | الكل |
ملاحظة
1 بالنسبة إلى الأحداث المتعلقة ب Azure Active Directory، لا يتم استخدام قيمة المسؤول في سجل تدقيق. ستشير سجلات التدقيق للأنشطة التي يقوم بها المسؤولون إلى قيام مستخدم عادي (على سبيل المثال، UserType: 0) بتنفيذ النشاط. ستحدد خاصية UserID الشخص (المستخدم العادي أو المسؤول) الذي قام بتنفيذ النشاط.
الملاحظات
إرسال الملاحظات وعرضها المتعلقة بـ