OfficeActivity
Protokoly auditu pro tenanty Office 365 shromažďované službou Azure Sentinel Včetně protokolů Exchange, SharePointu a Teams.
Atributy tabulky
Atribut | Hodnota |
---|---|
Typy prostředků | - |
Kategorie | Zabezpečení |
Řešení | AzureSentinelPrivatePreview, SecurityInsights |
Základní protokol | No |
Transformace doby příjmu dat | Yes |
Ukázkové dotazy | Ano |
Sloupce
Sloupec | Typ | Description |
---|---|---|
AADGroupId | řetězec | ID skupiny Azure Active Directory |
AADTarget | řetězec | Uživatel, u kterého byla provedena akce (identifikovaná vlastností Operation) |
Aktivita | řetězec | Aktivita, kterou uživatel provedl. |
Aktér | řetězec | Uživatel nebo instanční objekt, který akci provedl |
ActorContextId | řetězec | Identifikátor GUID organizace, do které aktér patří |
ActorIpAddress | řetězec | IP adresa objektu actor ve formátu IPV4 nebo IPV6 |
AddOnGuid | řetězec | Jedinečný identifikátor doplňku vygenerovaného touto událostí |
AddonName | řetězec | Název doplňku, který vygeneroval tuto událost |
AddOnType | řetězec | Typ doplňku, který vygeneroval tuto událost |
AffectedItems | řetězec | Informace o jednotlivých položkách ve skupině |
AppDistributionMode | řetězec | Režim distribuce aplikací |
AppId | řetězec | ID aplikace |
Aplikace | řetězec | Název aplikace |
ApplicationId | řetězec | ID aplikace SharePointu |
AzureActiveDirectory_EventType | řetězec | Typ události Azure AD |
AzureADAppId | řetězec | ID Azure AD aplikace Teams |
_BilledSize | real | Velikost záznamu v bajtech |
ChannelGuid | řetězec | Jedinečný identifikátor auditovaného kanálu |
Channelname | řetězec | Název auditovaného kanálu |
Typ kanálu | řetězec | Typ auditovaného kanálu (standardní/soukromý) |
Název chatu | řetězec | Název chatu |
Id chatu | řetězec | ID vlákna chatu |
Klient | řetězec | Podrobnosti o klientském zařízení, operačním systému zařízení a prohlížeči zařízení použitém pro událost přihlášení k účtu |
Client_IPAddress | řetězec | IP adresa zařízení použitého při protokolování operace |
ClientAppId | řetězec | ID klientské aplikace |
ClientInfoString | řetězec | Informace o e-mailovém klientovi použitém k provedení operace |
IP adresa klienta | řetězec | IP adresa zařízení použitého při protokolování aktivity |
ClientMachineName | řetězec | Název počítače, který hostuje klienta Outlooku |
ClientProcessName | řetězec | E-mailový klient, který byl použit pro přístup k poštovní schránce |
Verze klienta | řetězec | Verze e-mailového klienta |
Typ komunikace | řetězec | Typ komunikace, která byla provedena |
CrossMailboxOperations | bool | Označuje, jestli operace zahrnovala více než jednu poštovní schránku. |
CustomEvent | řetězec | Volitelný řetězec pro vlastní události |
DataCenterSecurityEventType | int | Typ události dmdlet v okně zámku |
DestFolder | řetězec | Cílová složka |
DestinationFileExtension | řetězec | Přípona souboru, který se zkopíruje nebo přesune |
Destinationfilename | řetězec | Název souboru, který se zkopíruje nebo přesune |
DestinationRelativeUrl | řetězec | Adresa URL cílové složky, do které se soubor zkopíruje nebo přesune. |
DestMailboxId | řetězec | Nastavení pouze v případě, že parametr CrossMailboxOperations má hodnotu True. |
DestMailboxOwnerMasterAccountSid | řetězec | Nastavení pouze v případě, že parametr CrossMailboxOperations má hodnotu True. |
DestMailboxOwnerSid | řetězec | Nastavení pouze v případě, že parametr CrossMailboxOperations má hodnotu True. |
DestMailboxOwnerUPN | řetězec | Nastavení pouze v případě, že parametr CrossMailboxOperations má hodnotu True. |
Efektivní organizace | řetězec | Název tenanta, na kterého byla cílová úroveň oprávnění nebo rutina |
ElevationApprovedTime | datetime | Časové razítko, kdy bylo schváleno zvýšení oprávnění |
ElevationApprover | řetězec | Jméno manažera Microsoftu |
Doba trvání zvýšení oprávnění | int | Doba, po kterou bylo zvýšení aktivní (v hodinách) |
ElevationRequestId | řetězec | Jedinečný identifikátor žádosti o zvýšení oprávnění |
ElevationRole | řetězec | Role, pro které bylo požadováno zvýšení oprávnění |
ElevationTime | datetime | Počáteční čas zvýšení oprávnění |
Event_Data | řetězec | Volitelná datová část pro vlastní události |
EventSource | řetězec | Určuje, že došlo k události v SharePointu. Možné hodnoty jsou SharePoint nebo ObjectModel. |
Rozšířené vlastnosti | řetězec | Rozšířené vlastnosti události Azure AD |
Externí přístup | řetězec | Určuje, jestli rutinu spustil uživatel ve vaší organizaci. |
ExtraVlastnosti | dynamic | Seznam dalších vlastností |
Složka | řetězec | Složka, ve které se nachází skupina položek |
Složky | řetězec | Informace o zdrojových složkách zahrnutých do operace |
Obecné informace | řetězec | Používá se pro komentáře a další obecné informace |
InternalLogonType | int | Vyhrazeno pro interní použití |
InterSystemsId | řetězec | Identifikátor GUID, který sleduje akce napříč komponentami v rámci služby Office 365 |
IntraSystemId | řetězec | Identifikátor GUID vygenerovaný službou Azure Active Directory ke sledování akce |
_IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud _IsBillable je false příjem dat, neúčtuje se na váš účet Azure |
IsManagedDevice | bool | Určuje, jestli operaci vytvořilo zařízení spravované organizací. |
Položka | řetězec | Představuje položku, na které byla operace provedena. |
ItemName | řetězec | Řetězec v poli Předmět e-mailové zprávy |
ItemType | řetězec | Typ objektu, ke kterému se přistupovalo nebo které bylo změněno. Podrobnosti o typech objektů najdete v tabulce ItemType. |
Loginstatus | int | Tato vlastnost pochází přímo z orgIdLogon.LoginStatus. Mapování různých zajímavých neúspěšných přihlášení je možné provádět pomocí algoritmů upozorňování. |
Logon_Type | řetězec | Určuje typ uživatele, který přistupoval k poštovní schránce a provedl protokolovanou operaci. |
LogonUserDisplayName | řetězec | Popisné jméno uživatele, který operaci provedl |
LogonUserSid | řetězec | Identifikátor SID uživatele, který operaci provedl |
MachineDomainInfo | řetězec | Informace o operacích synchronizace zařízení |
ID počítače | řetězec | Informace o operacích synchronizace zařízení |
Poštovní schránkaGuid | řetězec | Identifikátor GUID Exchange poštovní schránky, ke které se přistupovalo |
MailboxOwnerMasterAccountSid | řetězec | IDENTIFIKÁTOR SID hlavního účtu vlastníka poštovní schránky |
Id poštovní schránky | řetězec | Identifikátor SID vlastníka poštovní schránky |
Název mailboxOwnerUPN | řetězec | E-mailová adresa osoby, která vlastní poštovní schránku, ke které se uživatel dostal |
Členové | dynamic | Seznam uživatelů v rámci týmu |
Messageid | řetězec | Identifikátor zprávy chatu nebo kanálu |
ModifiedObjectResolvedName | řetězec | Toto je popisný název objektu, který byl upraven rutinou . |
Změněné vlastnosti | řetězec | Vlastnost je součástí událostí správce, jako je přidání uživatele jako člena webu nebo skupiny správců kolekce webů. |
Name | řetězec | Je k dispozici pouze pro události nastavení. Název nastavení, které se změnilo |
Newvalue | řetězec | Je k dispozici pouze pro události nastavení. Nová hodnota nastavení |
Id Office | řetězec | Jedinečný identifikátor záznamu auditu |
Id objektu Office | řetězec | Pro aktivitu SharePointu a OneDrive pro firmy |
Id tenanta office | řetězec | ID tenanta Office |
OfficeWorkload | řetězec | Služba Office 365, ve které k aktivitě došlo. |
Oldvalue | řetězec | Je k dispozici pouze pro události nastavení. Stará hodnota nastavení |
Operace | řetězec | Název operace, kterou uživatel provádí |
Vlastnosti operace | dynamic | Další vlastnosti operace |
OperationScope | řetězec | Obor, pro který byla operace provedena |
OrganizationId | řetězec | Identifikátor GUID Office 365 tenanta vaší organizace. Tato hodnota bude pro vaši organizaci vždy stejná. |
OrganizationName | řetězec | Název tenanta |
Původní server | řetězec | Název serveru, ze kterého byla rutina spuštěna |
Parametry | řetězec | Název a hodnota všech parametrů použitých s rutinou, která je identifikována ve vlastnosti Operations |
RecordType | řetězec | Typ operace označený v záznamu. Podrobnosti o typech záznamů protokolu auditu najdete v tabulce AuditLogRecordType. |
_Resourceid | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
ResultReasonType | řetězec | Důvod výsledku hlášeného v ResultType |
ResultStatus | řetězec | Označuje, jestli byla akce (zadaná ve vlastnosti Operation) úspěšná nebo ne. |
SendAsUserMailboxGuid | řetězec | Identifikátor GUID Exchange poštovní schránky, ke které se přistupovalo za účelem odeslání e-mailu jako |
SendAsUserSmtp | řetězec | Adresa SMTP uživatele, který je zosobněný |
SendonBehalfOfUserMailboxGuid | řetězec | Identifikátor GUID serveru Exchange poštovní schránky, ke které bylo přistupováno k odesílání pošty jménem uživatele |
SendOnBehalfOfUserSmtp | řetězec | Adresa SMTP uživatele, jehož jménem je e-mail odeslán |
Typ sdílení | řetězec | Typ oprávnění ke sdílení, která byla přiřazena uživateli, se kterým byl prostředek sdílen. Tento uživatel je identifikován parametrem UserSharedWith. |
Stránky_ | řetězec | Identifikátor GUID webu, na kterém se nachází soubor nebo složka, ke které uživatel přistupuje |
Site_Url | řetězec | Adresa URL webu, na kterém se nachází soubor nebo složka, ke které uživatel přistupuje |
Source_Name | řetězec | Entita, která aktivovala auditovanou operaci. Možné hodnoty jsou SharePoint nebo ObjectModel. |
SourceFileExtension | řetězec | Přípona souboru, ke kterému uživatel přistupoval |
Sourcefilename | řetězec | Název souboru nebo složky, ke které uživatel přistupuje |
Id zdrojového záznamu | řetězec | Jedinečný identifikátor záznamu auditu |
SourceRelativeUrl | řetězec | Adresa URL složky, která obsahuje soubor, ke kterému uživatel přistupuje |
SourceSystem | řetězec | Typ agenta, pro který byla událost shromážděna. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
SRPolicyId | řetězec | ID zásady |
SRPolicyName | řetězec | Název zásad |
SRRuleMatchDetails | dynamic | Podrobnosti o pravidlech |
Start_Time | datetime | Datum a čas spuštění rutiny |
_SubscriptionId | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
SupportTicketId | řetězec | ID lístku zákaznické podpory pro akci v situacích act-on-behalf-of |
TabType | řetězec | Typ karty, která vygenerovala tuto událost |
TargetContextId | řetězec | Identifikátor GUID organizace, do které cílový uživatel patří |
TargetUserId | řetězec | ID cílového uživatele |
TargetUserOrGroupName | řetězec | Ukládá hlavní název uživatele (UPN) nebo název cílového uživatele nebo skupiny, se kterým byl prostředek sdílen. |
TargetUserOrGroupType | řetězec | Určuje, jestli je cílovým uživatelem nebo skupinou člen, host, skupina nebo partner. |
TeamGuid | řetězec | Jedinečný identifikátor auditovaného týmu |
TeamName | řetězec | Název auditovaného týmu |
TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
TimeGenerated | datetime | Datum a čas v koordinovaném univerzálním čase (UTC), kdy uživatel provedl aktivitu |
Typ | řetězec | Název tabulky |
Useragent | řetězec | Uživatelský agent |
Doména uživatele | řetězec | Doména uživatele |
UserId | řetězec | Hlavní název uživatele (UPN) uživatele, který provedl akci (zadanou ve vlastnosti Operation), která vedla k protokolování záznamu |
UserKey | řetězec | Alternativní ID uživatele identifikovaného ve vlastnosti UserId |
UserSharedWith | řetězec | Uživatel, se kterým byl prostředek sdílen |
UserType | řetězec | Typ uživatele, který provedl operaci. Podrobnosti o typech uživatelů najdete v tabulce UserType. |
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro