řešení pro správu Office 365 v Azure (Preview)

  • Článek

logo Office 365

Důležité

Aktualizace řešení

Toto řešení bylo nahrazeno řešením Office 365 obecné dostupnosti ve službě Microsoft Sentinel a řešením pro vytváření sestav a monitorování Azure AD. Společně poskytují aktualizovanou verzi předchozího řešení azure monitoru Office 365 s vylepšeným prostředím konfigurace. Stávající řešení můžete dál používat do 31. října 2020.

Microsoft Sentinel je nativní cloudové řešení pro správu informací o zabezpečení a událostí, které ingestuje protokoly a poskytuje další funkce SIEM, včetně zjišťování, vyšetřování, proaktivního vyhledávání a přehledů založených na strojovém učení. Pomocí služby Microsoft Sentinel teď získáte příjem Office 365 protokolů správy sharepointových aktivit a exchange.

Azure AD vytváření sestav poskytuje komplexnější zobrazení protokolů z Azure AD aktivit ve vašem prostředí, včetně událostí přihlášení, událostí auditu a změn v adresáři. Pokud chcete připojit Azure AD protokoly, můžete použít konektor microsoft sentinelu Azure AD nebo nakonfigurovat integraci protokolů Azure AD se službou Azure Monitor.

Kolekce protokolu Azure AD podléhá cenům služby Azure Monitor. Další informace najdete v tématu Ceny služby Azure Monitor .

Použití řešení microsoft sentinel Office 365:

  1. Použití konektoru Office 365 ve službě Microsoft Sentinel má vliv na ceny pracovního prostoru. Další informace najdete v tématu Ceny služby Microsoft Sentinel.
  2. Pokud už používáte řešení azure monitoru Office 365, musíte ho nejprve odinstalovat pomocí skriptu v části Odinstalace níže.
  3. Povolte ve svém pracovním prostoru řešení Microsoft Sentinel .
  4. Ve službě Microsoft Sentinel přejděte na stránku Datové konektory a povolte konektor Office 365.

Nejčastější dotazy

Otázka: Je možné do 31. října připojit řešení Office 365 Azure Monitor?

Ne, skripty pro onboarding řešení azure monitoru Office 365 už nejsou k dispozici. Řešení bude odebráno 31. října.

Otázka: Budou se tabulky a schémata měnit?

Název a schéma tabulky OfficeActivity zůstanou stejné jako v aktuálním řešení. V novém řešení můžete dál používat stejné dotazy s výjimkou dotazů, které odkazují na Azure AD data.

Nové protokoly řešení Azure AD generování sestav a monitorování se budou ingestovat do tabulek SigninLogs a AuditLogs místo do OfficeActivity. Další informace najdete v tématu Analýza protokolů Azure AD, které jsou relevantní také pro uživatele služby Microsoft Sentinel a Azure Monitor.

Tady jsou ukázky pro převod dotazů z OfficeActivity na SigninLogs:

Neúspěšná přihlášení dotazu podle uživatele:

OfficeActivity
| where TimeGenerated >= ago(1d) 
| where OfficeWorkload == "AzureActiveDirectory"                      
| where Operation == 'UserLoginFailed'
| summarize count() by UserId    

SigninLogs
| where ConditionalAccessStatus == "failure" or ConditionalAccessStatus == "notApplied"
| summarize count() by UserDisplayName

Zobrazení operací Azure AD:

OfficeActivity
| where OfficeWorkload =~ "AzureActiveDirectory"
| sort by TimeGenerated desc
| summarize AggregatedValue = count() by Operation

AuditLogs
| summarize count() by OperationName

Otázka: Jak můžu nasadit Microsoft Sentinel?

Microsoft Sentinel je řešení, které můžete povolit v novém nebo existujícím pracovním prostoru služby Log Analytics. Další informace najdete v dokumentaci k onboardingu služby Microsoft Sentinel.

Otázka: Potřebuji k připojení protokolů Azure AD službu Microsoft Sentinel?

Můžete nakonfigurovat integraci protokolů Azure AD se službou Azure Monitor, která nesouvisí s řešením Microsoft Sentinel. Microsoft Sentinel poskytuje nativní konektor a předefinovaný obsah pro Azure AD protokoly. Další informace najdete v následující otázce k předefinované verzi obsahu orientovaného na zabezpečení.

Otázka: Jaké jsou rozdíly při připojování Azure AD protokolů ze služby Microsoft Sentinel a Azure Monitoru?

Microsoft Sentinel a Azure Monitor se připojují k protokolům Azure AD založeným na stejném řešení pro vytváření sestav a monitorování Azure AD. Microsoft Sentinel poskytuje nativní konektor jedním kliknutím, který propojuje stejná data a poskytuje informace o monitorování.

Otázka: Co je potřeba změnit při přechodu na nové tabulky Azure AD vytváření sestav a monitorování?

Všechny dotazy používající Azure AD data, včetně dotazů v upozorněních, řídicích panelech a veškerém obsahu, který jste vytvořili pomocí Office 365 Azure AD dat, se musí znovu vytvořit pomocí nových tabulek.

Microsoft Sentinel a Azure AD poskytují integrovaný obsah, který můžete použít při přechodu na Azure AD řešení pro vytváření sestav a monitorování. Další informace najdete v další otázce týkající se předefinované verze obsahu orientovaného na zabezpečení a Použití sešitů Služby Azure Monitor pro sestavy Azure Active Directory.

Otázka: Jak můžu používat obsah zaměřený na zabezpečení služby Microsoft Sentinel?

Microsoft Sentinel poskytuje řídicí panely orientované na zabezpečení, vlastní dotazy na výstrahy, dotazy proaktivního vyhledávání, vyšetřování a možnosti automatizované reakce na základě protokolů Office 365 a Azure AD. Další informace najdete v komunitě a kurzech Na GitHubu pro Microsoft Sentinel:

Otázka: Poskytuje Microsoft Sentinel jako součást řešení další konektory?

Ano, podívejte se na článek Připojení zdrojů dat služby Microsoft Sentinel.

Otázka: Co se stane 31. října? Musím se předem odhlásit?

  • Nebudete moct přijímat data z řešení Office365 . Řešení se odebere z vašeho pracovního prostoru a už nebude dostupné na Marketplace.
  • Pro zákazníky se službou Microsoft Sentinel bude řešení pracovního prostoru Log Analytics Office365 součástí řešení Microsoft Sentinel SecurityInsights .
  • Pokud řešení do 31. října ručně nepřesunete, vaše data se automaticky odpojí a tabulka OfficeActivity se odebere. I tak budete moct tabulku obnovit, i když povolíte konektor Office 365 ve službě Microsoft Sentinel, jak je vysvětleno níže.

Otázka: Budou se moje data přenášet do nového řešení?

Ano. Když z pracovního prostoru odeberete řešení Office 365, jeho data budou dočasně nedostupná, protože se odebere schéma. Když ve službě Microsoft Sentinel povolíte nový konektor Office 365, obnoví se schéma do pracovního prostoru a budou k dispozici všechna shromážděná data.

Řešení pro správu Office 365 umožňuje monitorovat prostředí Office 365 ve službě Azure Monitor.

  • Monitorujte aktivity uživatelů na účtech Office 365, abyste mohli analyzovat vzorce využití a identifikovat trendy chování. Můžete například extrahovat konkrétní scénáře použití, například soubory sdílené mimo vaši organizaci nebo nejoblíbenější sharepointové weby.
  • Monitorováním aktivit správce můžete sledovat změny konfigurace nebo operace s vysokými oprávněními.
  • Detekujte a prošetřujte nežádoucí chování uživatelů, které je možné přizpůsobit potřebám vaší organizace.
  • Předveďte audit a dodržování předpisů. Můžete například monitorovat operace přístupu k souborům u důvěrných souborů, což vám může pomoct s procesem auditu a dodržování předpisů.
  • Provozní řešení potíží můžete provádět pomocí dotazů protokolu nad Office 365 dat o aktivitách vaší organizace.

Odinstalace

Řešení pro správu Office 365 můžete odebrat pomocí postupu v tématu Odebrání řešení pro správu. Tím se ale nezastaví shromažďování dat z Office 365 do Služby Azure Monitor. Pokud chcete zrušit odběr Office 365 a ukončit shromažďování dat, postupujte podle následujícího postupu.

  1. Uložte následující skript jako office365_unsubscribe.ps1.

    param (
    [Parameter(Mandatory=$True)][string]$WorkspaceName,
    [Parameter(Mandatory=$True)][string]$ResourceGroupName,
    [Parameter(Mandatory=$True)][string]$SubscriptionId,
    [Parameter(Mandatory=$True)][string]$OfficeTennantId,
    [Parameter(Mandatory=$True)][string]$clientId,
    [Parameter(Mandatory=$True)][string]$xms_client_tenant_Id
)
$line='#-------------------------------------------------------------------------------------------------------------------------------------------------------------------------'

$line
IF ($Subscription -eq $null)
    {Login-AzAccount -ErrorAction Stop}
$Subscription = (Select-AzSubscription -SubscriptionId $($SubscriptionId) -ErrorAction Stop)
$Subscription
$option = [System.StringSplitOptions]::RemoveEmptyEntries 
$Workspace = (Set-AzOperationalInsightsWorkspace -Name $($WorkspaceName) -ResourceGroupName $($ResourceGroupName) -ErrorAction Stop)
$Workspace
$WorkspaceLocation= $Workspace.Location

# Client ID for Azure PowerShell
# Set redirect URI for Azure PowerShell
$redirectUri = "urn:ietf:wg:oauth:2.0:oob"
$domain='login.microsoftonline.com'
$adTenant =  $Subscription[0].Tenant.Id
$authority = "https://login.windows.net/$adTenant";
$ARMResource ="https://management.azure.com/";'

switch ($WorkspaceLocation) {
       "USGov Virginia" { 
                         $domain='login.microsoftonline.us';
                          $authority = "https://login.microsoftonline.us/$adTenant";
                          $ARMResource ="https://management.usgovcloudapi.net/"; break} # US Gov Virginia
       default {
                $domain='login.microsoftonline.com'; 
                $authority = "https://login.windows.net/$adTenant";
                $ARMResource ="https://management.azure.com/";break} 
                }

Function RESTAPI-Auth { 

$global:SubscriptionID = $Subscription.SubscriptionId
# Set Resource URI to Azure Service Management API
$resourceAppIdURIARM=$ARMResource;
# Authenticate and Acquire Token 
# Create Authentication Context tied to Azure AD Tenant
$authContext = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext" -ArgumentList $authority
# Acquire token
$platformParameters = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.PlatformParameters" -ArgumentList "Auto"
$global:authResultARM = $authContext.AcquireTokenAsync($resourceAppIdURIARM, $clientId, $redirectUri, $platformParameters)
$global:authResultARM.Wait()
$authHeader = $global:authResultARM.Result.CreateAuthorizationHeader()
$authHeader
}

Function Office-UnSubscribe-Call{

#----------------------------------------------------------------------------------------------------------------------------------------------
$authHeader = $global:authResultARM.Result.CreateAuthorizationHeader()
$ResourceName = "https://manage.office.com"
$SubscriptionId   = $Subscription[0].Subscription.Id
$OfficeAPIUrl = $ARMResource + 'subscriptions/' + $SubscriptionId + '/resourceGroups/' + $ResourceGroupName + '/providers/Microsoft.OperationalInsights/workspaces/' + $WorkspaceName + '/datasources/office365datasources_'  + $SubscriptionId + $OfficeTennantId + '?api-version=2015-11-01-preview'

$Officeparams = @{
    ContentType = 'application/json'
    Headers = @{
    'Authorization'="$($authHeader)"
    'x-ms-client-tenant-id'=$xms_client_tenant_Id
    'Content-Type' = 'application/json'
    }
    Method = 'Delete'
    URI = $OfficeAPIUrl
  }

$officeresponse = Invoke-WebRequest @Officeparams 
$officeresponse

}

#GetDetails 
RESTAPI-Auth -ErrorAction Stop
Office-UnSubscribe-Call -ErrorAction Stop

  2. Spusťte skript pomocí následujícího příkazu:

    .\office365_unsubscribe.ps1 -WorkspaceName <Log Analytics workspace name> -ResourceGroupName <Resource Group name> -SubscriptionId <Subscription ID> -OfficeTennantID <Tenant ID>

    Příklad:

    .\office365_unsubscribe.ps1 -WorkspaceName MyWorkspace -ResourceGroupName MyResourceGroup -SubscriptionId '60b79d74-f4e4-4867-b631-yyyyyyyyyyyy' -OfficeTennantID 'ce4464f8-a172-4dcf-b675-xxxxxxxxxxxx'

Zobrazí se výzva k zadání přihlašovacích údajů. Zadejte přihlašovací údaje pro pracovní prostor služby Log Analytics.

Shromažďování dat

Počáteční shromažďování dat může trvat několik hodin. Jakmile začne shromažďovat, Office 365 při každém vytvoření záznamu odešle oznámení webhooku s podrobnými daty do služby Azure Monitor. Tento záznam je ve službě Azure Monitor dostupný během několika minut od přijetí.

Použití řešení

Data shromážděná tímto řešením monitorování jsou k dispozici na stránce Souhrn pracovního prostoru (zastaralé) v Azure Portal. Otevřete tuto stránku z pracovních prostorů Služby Log Analytics pro pracovní prostor s vaším řešením a pak v části Klasické nabídky vyberte Souhrn pracovního prostoru (zastaralé). Každé řešení je reprezentováno dlaždicí. Vyberte dlaždici pro podrobnější data shromážděná tímto řešením.

Když do pracovního prostoru služby Log Analytics přidáte řešení Office 365, přidá se na řídicí panel dlaždice Office 365. Na této dlaždici se zobrazuje počet a grafické vyjádření počtu počítačů ve vašem prostředí a jejich kompatibilita s aktualizacemi.

Dlaždice souhrnu Office 365

Kliknutím na dlaždici Office 365 otevřete řídicí panel Office 365.

řídicí panel Office 365

Řídicí panel obsahuje sloupce v následující tabulce. Každý sloupec obsahuje seznam prvních deseti upozornění podle počtu odpovídajících kritériím daného sloupce pro zadaný obor a časový rozsah. Můžete spustit prohledávání protokolu, které poskytuje celý seznam, kliknutím na Zobrazit vše v dolní části sloupce nebo kliknutím na záhlaví sloupce.

Sloupec Popis
Operace Poskytuje informace o aktivních uživatelích ze všech monitorovaných Office 365 předplatných. Uvidíte také počet aktivit, ke kterým v průběhu času dojde.
Výměna Zobrazuje rozpis Exchange Server aktivit, jako je Add-Mailbox Oprávnění nebo Set-Mailbox.
SharePoint Zobrazuje hlavní aktivity, které uživatelé provádějí na sharepointových dokumentech. Když přejdete k podrobnostem z této dlaždice, zobrazí se na stránce hledání podrobnosti o těchto aktivitách, jako je cílový dokument a umístění této aktivity. Například u události Přístup k souboru uvidíte dokument, ke kterému přistupujete, název přidruženého účtu a IP adresu.
Azure Active Directory Zahrnuje hlavní aktivity uživatelů, jako jsou resetování hesla uživatele a pokusy o přihlášení. Když přejdete k podrobnostem, uvidíte podrobnosti o těchto aktivitách, jako je stav výsledku. To je většinou užitečné, pokud chcete monitorovat podezřelé aktivity ve službě Azure Active Directory.

Záznamy protokolu služby Azure Monitor

Všechny záznamy vytvořené v pracovním prostoru služby Log Analytics ve službě Azure Monitor Office 365 řešení mají typOfficeActivity. Vlastnost OfficeWorkload určuje, na kterou službu Office 365 záznam odkazuje – Exchange, AzureActiveDirectory, SharePoint nebo OneDrive. Vlastnost RecordType určuje typ operace. Vlastnosti se budou pro každý typ operace lišit a zobrazí se v následujících tabulkách.

Společné vlastnosti

Následující vlastnosti jsou společné pro všechny záznamy Office 365.

Vlastnost Popis
Typ OfficeActivity
IP adresa klienta IP adresa zařízení použitá během protokolování aktivity. IP adresa se zobrazí ve formátu adresy IPv4 nebo IPv6.
OfficeWorkload Office 365 službu, na kterou záznam odkazuje.

AzureActiveDirectory
Výměna
SharePoint
Operace Název aktivity uživatele nebo správce.
OrganizationId Identifikátor GUID pro tenanta Office 365 vaší organizace. Tato hodnota bude pro vaši organizaci vždy stejná bez ohledu na Office 365 službu, ve které k ní dochází.
RecordType Typ provedené operace.
ResultStatus Určuje, jestli byla akce (zadaná ve vlastnosti Operation) úspěšná, nebo ne. Možné hodnoty jsou Úspěch, ČástečněSucceeded nebo Failed. V případě aktivity správce Exchange je hodnota True nebo False.
UserId Hlavní název uživatele (UPN) uživatele, který provedl akci, která vedla k protokolování záznamu; například my_name@my_domain_name. Všimněte si, že jsou zahrnuty také záznamy o aktivitách prováděných systémovými účty (například SHAREPOINT\system nebo NTAUTHORITY\SYSTEM).
UserKey Alternativní ID uživatele identifikovaného ve vlastnosti UserId. Tato vlastnost se například naplní jedinečným ID pasu (PUID) pro události prováděné uživateli v SharePointu, OneDrive pro firmy a Exchange. Tato vlastnost může také zadat stejnou hodnotu jako vlastnost UserID pro události, ke kterým dochází v jiných službách a událostech prováděných systémových účtů.
UserType Typ uživatele, který provedl operaci.

správce
Aplikace
DcAdmin
Pravidelný
Vyhrazené
ServicePrincipal
Systémový

Základ Azure Active Directory

Následující vlastnosti jsou společné pro všechny záznamy Azure Active Directory.

Vlastnost Popis
OfficeWorkload AzureActiveDirectory
RecordType AzureActiveDirectory
AzureActiveDirectory_EventType Typ události Azure AD.
Rozšířené vlastnosti Rozšířené vlastnosti události Azure AD.

Přihlášení k účtu Azure Active Directory

Tyto záznamy se vytvoří, když se uživatel služby Active Directory pokusí přihlásit.

Vlastnost Popis
OfficeWorkload AzureActiveDirectory
RecordType AzureActiveDirectoryAccountLogon
Application Aplikace, která aktivuje událost přihlášení k účtu, například Office 15.
Client Podrobnosti o klientském zařízení, operačním systému zařízení a prohlížeči zařízení, které se použily pro událost přihlášení k účtu.
LoginStatus Tato vlastnost pochází přímo z OrgIdLogon.LoginStatus. Mapování různých zajímavých neúspěšných přihlášení je možné provést pomocí algoritmů upozornění.
UserDomain Informace o identitě tenanta (TII).

Azure Active Directory

Tyto záznamy se vytvoří při změně nebo přidání objektů Azure Active Directory.

Vlastnost Popis
OfficeWorkload AzureActiveDirectory
RecordType AzureActiveDirectory
AADTarget Uživatel, u kterého byla provedena akce (identifikovaná vlastností Operation).
Aktér Uživatel nebo instanční objekt, který akci provedl.
Id objektu ActorContext Identifikátor GUID organizace, do které aktér patří.
ActorIpAddress IP adresa objektu ve formátu IPV4 nebo IPV6.
InterSystemsId Identifikátor GUID, který sleduje akce napříč komponentami v rámci služby Office 365.
IntraSystemId Identifikátor GUID vygenerovaný službou Azure Active Directory ke sledování akce
SupportTicketId ID lístku zákaznické podpory pro akci v situacích "act-on-behalf-of".
Id cílového textu Identifikátor GUID organizace, do které cílový uživatel patří.

Zabezpečení data center

Tyto záznamy se vytvářejí z dat auditu zabezpečení služby Data Center.

Vlastnost Popis
Efektivní organizace Název tenanta, na kterého cílí zvýšení oprávnění nebo rutina.
ElevationApprovedTime Časové razítko, kdy bylo zvýšení oprávnění schváleno.
ElevationApprover Jméno manažera Microsoftu.
Doba trvání zvýšení oprávnění Doba, po kterou bylo zvýšení oprávnění aktivní.
ElevationRequestId Jedinečný identifikátor žádosti o zvýšení oprávnění.
Role zvýšení oprávnění Role, pro které bylo požadováno zvýšení oprávnění.
ElevationTime (Čas zvýšení oprávnění) Počáteční čas zvýšení oprávnění.
Start_Time Čas spuštění rutiny.

Správa Exchange

Tyto záznamy se vytvoří při změnách konfigurace Exchange.

Vlastnost Popis
OfficeWorkload Výměna
RecordType ExchangeAdmin
Externí přístup Určuje, jestli rutinu spustil uživatel ve vaší organizaci, pracovníci datacentra Microsoftu, účet služby datacentra nebo delegovaný správce. Hodnota False označuje, že rutinu spustil někdo z vaší organizace. Hodnota True označuje, že rutinu spustili pracovníci datacentra, účet služby datacentra nebo delegovaný správce.
ModifiedObjectResolvedName Toto je popisný název objektu, který byl upraven rutinou . Protokoluje se pouze v případě, že rutina změní objekt .
OrganizationName Název tenanta.
Původní server Název serveru, ze kterého byla rutina spuštěna.
Parametry Název a hodnota všech parametrů použitých s rutinou, která je určena ve vlastnosti Operations.

Poštovní schránka Exchange

Tyto záznamy se vytvoří při změnách nebo přidání poštovních schránek Exchange.

Vlastnost Popis
OfficeWorkload Výměna
RecordType ExchangeItem
ClientInfoString Informace o e-mailovém klientovi použitém k provedení operace, jako je verze prohlížeče, verze Outlooku a informace o mobilním zařízení.
Client_IPAddress IP adresa zařízení, které se použilo při zaprotokolování operace. IP adresa se zobrazí ve formátu adresy IPv4 nebo IPv6.
ClientMachineName Název počítače, který je hostitelem klienta aplikace Outlook.
Název clientProcessName E-mailový klient, který byl použit pro přístup k poštovní schránce.
Verze klienta Verze e-mailového klienta .
Typ interníhologonu Vyhrazeno pro interní použití.
Logon_Type Určuje typ uživatele, který přistupoval k poštovní schránce a provedl protokolovanou operaci.
LogonUserDisplayName Popisný název uživatele, který operaci provedl.
LogonUserSid Identifikátor SID uživatele, který operaci provedl.
Poštovní schránkaGuid Identifikátor GUID exchange poštovní schránky, ke které se přistupovalo.
MailboxOwnerMasterAccountSid IDENTIFIKÁTOR SID hlavního účtu vlastníka poštovní schránky.
Id poštovní schránky Identifikátor SID vlastníka poštovní schránky.
Název mailboxOwnerUPN E-mailová adresa osoby, která vlastní poštovní schránku, ke které se uživatel dostal.

Audit poštovní schránky Exchange

Tyto záznamy se vytvoří při vytvoření položky auditu poštovní schránky.

Vlastnost Popis
OfficeWorkload Výměna
RecordType ExchangeItem
Položka Představuje položku, na které byla operace provedena.
SendAsUserMailboxGuid Identifikátor GUID Exchange poštovní schránky, ke které bylo přistupováno k odesílání e-mailů jako.
SendAsUserSmtp Adresa SMTP uživatele, který je zosobněný.
SendonBehalfOfUserMailboxGuid Identifikátor GUID serveru Exchange poštovní schránky, ke které bylo přistupováno k odesílání pošty jménem uživatele.
SendOnBehalfOfUserSmtp Adresa SMTP uživatele, jehož jménem je e-mail odeslán.

Skupina auditu poštovní schránky Exchange

Tyto záznamy se vytvoří při změnách nebo přidání do skupin Exchange.

Vlastnost Popis
OfficeWorkload Výměna
OfficeWorkload ExchangeItemGroup
AffectedItems Informace o jednotlivých položkách ve skupině
CrossMailboxOperations Označuje, jestli operace zahrnovala více než jednu poštovní schránku.
DestMailboxId Nastavte pouze v případě, že parametr CrossMailboxOperations má hodnotu True. Určuje identifikátor GUID cílové poštovní schránky.
DestMailboxOwnerMasterAccountSid Nastavte pouze v případě, že parametr CrossMailboxOperations má hodnotu True. Určuje SID hlavního účtu SID vlastníka cílové poštovní schránky.
DestMailboxOwnerSid Nastavte pouze v případě, že parametr CrossMailboxOperations má hodnotu True. Určuje IDENTIFIKÁTOR SID cílové poštovní schránky.
DestMailboxOwnerUPN Nastavte pouze v případě, že parametr CrossMailboxOperations má hodnotu True. Určuje hlavní název uživatele (UPN) vlastníka cílové poštovní schránky.
DestFolder Cílová složka pro operace, jako je přesunutí.
Složka Složka, ve které se nachází skupina položek.
Složky Informace o zdrojových složkách zapojených do operace; pokud jsou například vybrány a odstraněny složky.

SharePoint Base

Tyto vlastnosti jsou společné pro všechny sharepointové záznamy.

Vlastnost Popis
OfficeWorkload SharePoint
OfficeWorkload SharePoint
EventSource Určuje, že došlo k události v SharePointu. Možné hodnoty jsou SharePoint nebo ObjectModel.
ItemType Typ objektu, ke kterému se přistupovalo nebo které bylo změněno. Podrobnosti o typech objektů najdete v tabulce ItemType.
MachineDomainInfo Informace o operacích synchronizace zařízení. Tyto informace se hlásí jenom v případě, že jsou v požadavku.
ID počítače Informace o operacích synchronizace zařízení. Tyto informace se hlásí jenom v případě, že jsou v požadavku.
Stránky_ Identifikátor GUID webu, kde se nachází soubor nebo složka, ke které uživatel přistupuje.
Source_Name Entita, která aktivovala auditovanou operaci. Možné hodnoty jsou SharePoint nebo ObjectModel.
Useragent Informace o klientovi nebo prohlížeči uživatele. Tyto informace poskytuje klient nebo prohlížeč.

Schéma SharePointu

Tyto záznamy se vytvoří při změnách konfigurace SharePointu.

Vlastnost Popis
OfficeWorkload SharePoint
OfficeWorkload SharePoint
CustomEvent Volitelný řetězec pro vlastní události.
Event_Data Volitelná datová část pro vlastní události.
Změněné vlastnosti Vlastnost je součástí událostí správce, jako je přidání uživatele jako člena webu nebo skupiny správců kolekce webů. Vlastnost obsahuje název vlastnosti, která byla změněna (například skupina Správa webu), novou hodnotu upravené vlastnosti (například uživatele, který byl přidán jako správce webu) a předchozí hodnotu upraveného objektu.

Operace se soubory SharePointu

Tyto záznamy se vytvářejí v reakci na operace se soubory v SharePointu.

Vlastnost Popis
OfficeWorkload SharePoint
OfficeWorkload SharePointFileOperation
DestinationFileExtension Přípona souboru, který je zkopírován nebo přesunut. Tato vlastnost se zobrazuje pouze u událostí FileCopied a FileMoved.
Destinationfilename Název souboru, který se zkopíruje nebo přesune. Tato vlastnost se zobrazuje pouze u událostí FileCopied a FileMoved.
CílovárelativeUrl Adresa URL cílové složky, do které se soubor zkopíruje nebo přesune. Kombinace hodnot parametrů SiteURL, DestinationRelativeURL a DestinationFileName je stejná jako hodnota vlastnosti ObjectID, což je úplný název cesty pro zkopírovaný soubor. Tato vlastnost se zobrazuje pouze u událostí FileCopied a FileMoved.
Typ sdílení Typ oprávnění ke sdílení, která byla přiřazena uživateli, se kterým byl prostředek sdílen. Tento uživatel je identifikován parametrem UserSharedWith.
Site_Url Adresa URL webu, na kterém se nachází soubor nebo složka, ke které uživatel přistupuje.
SourceFileExtension Přípona souboru, ke kterému uživatel přistupoval. Tato vlastnost je prázdná, pokud je objekt, ke kterému se přistupovalo, složka.
Sourcefilename Název souboru nebo složky, ke které uživatel přistupuje.
SourceRelativeUrl Adresa URL složky, která obsahuje soubor, ke kterému uživatel přistupuje. Kombinace hodnot parametrů SiteURL, SourceRelativeURL a SourceFileName je stejná jako hodnota vlastnosti ObjectID, což je úplný název cesty k souboru, ke kterému uživatel přistupuje.
UserSharedWith Uživatel, se kterým byl prostředek sdílen.

Ukázkové dotazy na protokoly

Následující tabulka obsahuje ukázkové dotazy na protokoly pro záznamy aktualizací shromažďované tímto řešením.

Dotaz Description
Počet všech operací ve vašem předplatném Office 365 OfficeActivity | summarize count() by Operation
Použití sharepointových webů OfficeActivity | where OfficeWorkload =~ "sharepoint" | summarize count() by SiteUrl | sort by Count asc
Operace přístupu k souborům podle typu uživatele OfficeActivity | summarize count() by UserType
Monitorování externích akcí na Serveru Exchange OfficeActivity | where OfficeWorkload =~ "exchange" a ExternalAccess == true

Další kroky