OfficeActivity
Protokoly auditu pro tenanty Office 365 shromažďované službou Azure Sentinel Včetně protokolů Exchange, SharePointu a Teams.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | - |
| Kategorie | Zabezpečení |
| Řešení | AzureSentinelPrivatePreview, SecurityInsights |
| Základní protokol | No |
| Transformace doby příjmu dat | Yes |
| Ukázkové dotazy | Ano |
Sloupce
| Sloupec | Typ | Description |
|---|---|---|
| AADGroupId | řetězec | ID skupiny Azure Active Directory |
| AADTarget | řetězec | Uživatel, u kterého byla provedena akce (identifikovaná vlastností Operation) |
| Aktivita | řetězec | Aktivita, kterou uživatel provedl. |
| Aktér | řetězec | Uživatel nebo instanční objekt, který akci provedl |
| ActorContextId | řetězec | Identifikátor GUID organizace, do které aktér patří |
| ActorIpAddress | řetězec | IP adresa objektu actor ve formátu IPV4 nebo IPV6 |
| AddOnGuid | řetězec | Jedinečný identifikátor doplňku vygenerovaného touto událostí |
| AddonName | řetězec | Název doplňku, který vygeneroval tuto událost |
| AddOnType | řetězec | Typ doplňku, který vygeneroval tuto událost |
| AffectedItems | řetězec | Informace o jednotlivých položkách ve skupině |
| AppDistributionMode | řetězec | Režim distribuce aplikací |
| AppId | řetězec | ID aplikace |
| Aplikace | řetězec | Název aplikace |
| ApplicationId | řetězec | ID aplikace SharePointu |
| AzureActiveDirectory_EventType | řetězec | Typ události Azure AD |
| AzureADAppId | řetězec | ID Azure AD aplikace Teams |
| _BilledSize | real | Velikost záznamu v bajtech |
| ChannelGuid | řetězec | Jedinečný identifikátor auditovaného kanálu |
| Channelname | řetězec | Název auditovaného kanálu |
| Typ kanálu | řetězec | Typ auditovaného kanálu (standardní/soukromý) |
| Název chatu | řetězec | Název chatu |
| Id chatu | řetězec | ID vlákna chatu |
| Klient | řetězec | Podrobnosti o klientském zařízení, operačním systému zařízení a prohlížeči zařízení použitém pro událost přihlášení k účtu |
| Client_IPAddress | řetězec | IP adresa zařízení použitého při protokolování operace |
| ClientAppId | řetězec | ID klientské aplikace |
| ClientInfoString | řetězec | Informace o e-mailovém klientovi použitém k provedení operace |
| IP adresa klienta | řetězec | IP adresa zařízení použitého při protokolování aktivity |
| ClientMachineName | řetězec | Název počítače, který hostuje klienta Outlooku |
| ClientProcessName | řetězec | E-mailový klient, který byl použit pro přístup k poštovní schránce |
| Verze klienta | řetězec | Verze e-mailového klienta |
| Typ komunikace | řetězec | Typ komunikace, která byla provedena |
| CrossMailboxOperations | bool | Označuje, jestli operace zahrnovala více než jednu poštovní schránku. |
| CustomEvent | řetězec | Volitelný řetězec pro vlastní události |
| DataCenterSecurityEventType | int | Typ události dmdlet v okně zámku |
| DestFolder | řetězec | Cílová složka |
| DestinationFileExtension | řetězec | Přípona souboru, který se zkopíruje nebo přesune |
| Destinationfilename | řetězec | Název souboru, který se zkopíruje nebo přesune |
| DestinationRelativeUrl | řetězec | Adresa URL cílové složky, do které se soubor zkopíruje nebo přesune. |
| DestMailboxId | řetězec | Nastavení pouze v případě, že parametr CrossMailboxOperations má hodnotu True. |
| DestMailboxOwnerMasterAccountSid | řetězec | Nastavení pouze v případě, že parametr CrossMailboxOperations má hodnotu True. |
| DestMailboxOwnerSid | řetězec | Nastavení pouze v případě, že parametr CrossMailboxOperations má hodnotu True. |
| DestMailboxOwnerUPN | řetězec | Nastavení pouze v případě, že parametr CrossMailboxOperations má hodnotu True. |
| Efektivní organizace | řetězec | Název tenanta, na kterého byla cílová úroveň oprávnění nebo rutina |
| ElevationApprovedTime | datetime | Časové razítko, kdy bylo schváleno zvýšení oprávnění |
| ElevationApprover | řetězec | Jméno manažera Microsoftu |
| Doba trvání zvýšení oprávnění | int | Doba, po kterou bylo zvýšení aktivní (v hodinách) |
| ElevationRequestId | řetězec | Jedinečný identifikátor žádosti o zvýšení oprávnění |
| ElevationRole | řetězec | Role, pro které bylo požadováno zvýšení oprávnění |
| ElevationTime | datetime | Počáteční čas zvýšení oprávnění |
| Event_Data | řetězec | Volitelná datová část pro vlastní události |
| EventSource | řetězec | Určuje, že došlo k události v SharePointu. Možné hodnoty jsou SharePoint nebo ObjectModel. |
| Rozšířené vlastnosti | řetězec | Rozšířené vlastnosti události Azure AD |
| Externí přístup | řetězec | Určuje, jestli rutinu spustil uživatel ve vaší organizaci. |
| ExtraVlastnosti | dynamic | Seznam dalších vlastností |
| Složka | řetězec | Složka, ve které se nachází skupina položek |
| Složky | řetězec | Informace o zdrojových složkách zahrnutých do operace |
| Obecné informace | řetězec | Používá se pro komentáře a další obecné informace |
| InternalLogonType | int | Vyhrazeno pro interní použití |
| InterSystemsId | řetězec | Identifikátor GUID, který sleduje akce napříč komponentami v rámci služby Office 365 |
| IntraSystemId | řetězec | Identifikátor GUID vygenerovaný službou Azure Active Directory ke sledování akce |
| _IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud _IsBillable je false příjem dat, neúčtuje se na váš účet Azure |
| IsManagedDevice | bool | Určuje, jestli operaci vytvořilo zařízení spravované organizací. |
| Položka | řetězec | Představuje položku, na které byla operace provedena. |
| ItemName | řetězec | Řetězec v poli Předmět e-mailové zprávy |
| ItemType | řetězec | Typ objektu, ke kterému se přistupovalo nebo které bylo změněno. Podrobnosti o typech objektů najdete v tabulce ItemType. |
| Loginstatus | int | Tato vlastnost pochází přímo z orgIdLogon.LoginStatus. Mapování různých zajímavých neúspěšných přihlášení je možné provádět pomocí algoritmů upozorňování. |
| Logon_Type | řetězec | Určuje typ uživatele, který přistupoval k poštovní schránce a provedl protokolovanou operaci. |
| LogonUserDisplayName | řetězec | Popisné jméno uživatele, který operaci provedl |
| LogonUserSid | řetězec | Identifikátor SID uživatele, který operaci provedl |
| MachineDomainInfo | řetězec | Informace o operacích synchronizace zařízení |
| ID počítače | řetězec | Informace o operacích synchronizace zařízení |
| Poštovní schránkaGuid | řetězec | Identifikátor GUID Exchange poštovní schránky, ke které se přistupovalo |
| MailboxOwnerMasterAccountSid | řetězec | IDENTIFIKÁTOR SID hlavního účtu vlastníka poštovní schránky |
| Id poštovní schránky | řetězec | Identifikátor SID vlastníka poštovní schránky |
| Název mailboxOwnerUPN | řetězec | E-mailová adresa osoby, která vlastní poštovní schránku, ke které se uživatel dostal |
| Členové | dynamic | Seznam uživatelů v rámci týmu |
| Messageid | řetězec | Identifikátor zprávy chatu nebo kanálu |
| ModifiedObjectResolvedName | řetězec | Toto je popisný název objektu, který byl upraven rutinou . |
| Změněné vlastnosti | řetězec | Vlastnost je součástí událostí správce, jako je přidání uživatele jako člena webu nebo skupiny správců kolekce webů. |
| Name | řetězec | Je k dispozici pouze pro události nastavení. Název nastavení, které se změnilo |
| Newvalue | řetězec | Je k dispozici pouze pro události nastavení. Nová hodnota nastavení |
| Id Office | řetězec | Jedinečný identifikátor záznamu auditu |
| Id objektu Office | řetězec | Pro aktivitu SharePointu a OneDrive pro firmy |
| Id tenanta office | řetězec | ID tenanta Office |
| OfficeWorkload | řetězec | Služba Office 365, ve které k aktivitě došlo. |
| Oldvalue | řetězec | Je k dispozici pouze pro události nastavení. Stará hodnota nastavení |
| Operace | řetězec | Název operace, kterou uživatel provádí |
| Vlastnosti operace | dynamic | Další vlastnosti operace |
| OperationScope | řetězec | Obor, pro který byla operace provedena |
| OrganizationId | řetězec | Identifikátor GUID Office 365 tenanta vaší organizace. Tato hodnota bude pro vaši organizaci vždy stejná. |
| OrganizationName | řetězec | Název tenanta |
| Původní server | řetězec | Název serveru, ze kterého byla rutina spuštěna |
| Parametry | řetězec | Název a hodnota všech parametrů použitých s rutinou, která je identifikována ve vlastnosti Operations |
| RecordType | řetězec | Typ operace označený v záznamu. Podrobnosti o typech záznamů protokolu auditu najdete v tabulce AuditLogRecordType. |
| _Resourceid | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| ResultReasonType | řetězec | Důvod výsledku hlášeného v ResultType |
| ResultStatus | řetězec | Označuje, jestli byla akce (zadaná ve vlastnosti Operation) úspěšná nebo ne. |
| SendAsUserMailboxGuid | řetězec | Identifikátor GUID Exchange poštovní schránky, ke které se přistupovalo za účelem odeslání e-mailu jako |
| SendAsUserSmtp | řetězec | Adresa SMTP uživatele, který je zosobněný |
| SendonBehalfOfUserMailboxGuid | řetězec | Identifikátor GUID serveru Exchange poštovní schránky, ke které bylo přistupováno k odesílání pošty jménem uživatele |
| SendOnBehalfOfUserSmtp | řetězec | Adresa SMTP uživatele, jehož jménem je e-mail odeslán |
| Typ sdílení | řetězec | Typ oprávnění ke sdílení, která byla přiřazena uživateli, se kterým byl prostředek sdílen. Tento uživatel je identifikován parametrem UserSharedWith. |
| Stránky_ | řetězec | Identifikátor GUID webu, na kterém se nachází soubor nebo složka, ke které uživatel přistupuje |
| Site_Url | řetězec | Adresa URL webu, na kterém se nachází soubor nebo složka, ke které uživatel přistupuje |
| Source_Name | řetězec | Entita, která aktivovala auditovanou operaci. Možné hodnoty jsou SharePoint nebo ObjectModel. |
| SourceFileExtension | řetězec | Přípona souboru, ke kterému uživatel přistupoval |
| Sourcefilename | řetězec | Název souboru nebo složky, ke které uživatel přistupuje |
| Id zdrojového záznamu | řetězec | Jedinečný identifikátor záznamu auditu |
| SourceRelativeUrl | řetězec | Adresa URL složky, která obsahuje soubor, ke kterému uživatel přistupuje |
| SourceSystem | řetězec | Typ agenta, pro který byla událost shromážděna. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
| SRPolicyId | řetězec | ID zásady |
| SRPolicyName | řetězec | Název zásad |
| SRRuleMatchDetails | dynamic | Podrobnosti o pravidlech |
| Start_Time | datetime | Datum a čas spuštění rutiny |
| _SubscriptionId | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| SupportTicketId | řetězec | ID lístku zákaznické podpory pro akci v situacích act-on-behalf-of |
| TabType | řetězec | Typ karty, která vygenerovala tuto událost |
| TargetContextId | řetězec | Identifikátor GUID organizace, do které cílový uživatel patří |
| TargetUserId | řetězec | ID cílového uživatele |
| TargetUserOrGroupName | řetězec | Ukládá hlavní název uživatele (UPN) nebo název cílového uživatele nebo skupiny, se kterým byl prostředek sdílen. |
| TargetUserOrGroupType | řetězec | Určuje, jestli je cílovým uživatelem nebo skupinou člen, host, skupina nebo partner. |
| TeamGuid | řetězec | Jedinečný identifikátor auditovaného týmu |
| TeamName | řetězec | Název auditovaného týmu |
| TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
| TimeGenerated | datetime | Datum a čas v koordinovaném univerzálním čase (UTC), kdy uživatel provedl aktivitu |
| Typ | řetězec | Název tabulky |
| Useragent | řetězec | Uživatelský agent |
| Doména uživatele | řetězec | Doména uživatele |
| UserId | řetězec | Hlavní název uživatele (UPN) uživatele, který provedl akci (zadanou ve vlastnosti Operation), která vedla k protokolování záznamu |
| UserKey | řetězec | Alternativní ID uživatele identifikovaného ve vlastnosti UserId |
| UserSharedWith | řetězec | Uživatel, se kterým byl prostředek sdílen |
| UserType | řetězec | Typ uživatele, který provedl operaci. Podrobnosti o typech uživatelů najdete v tabulce UserType. |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro