Abfragen für die OfficeActivity-Tabelle
Alle Office-Aktivitäten
Alle von der Office-Aktivität bereitgestellten Ereignisse.
OfficeActivity
| project TimeGenerated, UserId, Operation, OfficeWorkload, RecordType, _ResourceId
| sort by TimeGenerated desc nulls last
Benutzer, die auf Dateien zugreifen
Benutzer sortiert nach Anzahl der OneDrive- und SharePoint-Dateien, auf die sie zugegriffen haben.
OfficeActivity
| where OfficeWorkload in ("OneDrive", "SharePoint") and Operation in ("FileDownloaded", "FileAccessed")
| summarize AccessedFilesCount = dcount(OfficeObjectId) by UserId, _ResourceId
| sort by AccessedFilesCount desc nulls last
Dateiuploadvorgang
Listen Benutzer nach der Anzahl der Dateien sortiert, die sie auf OneDrive und SharePoint hochgeladen haben.
OfficeActivity
| where OfficeWorkload in ("OneDrive", "SharePoint") and Operation in ("FileUploaded")
| summarize AccessedFilesCount = dcount(OfficeObjectId) by UserId, _ResourceId
| sort by AccessedFilesCount desc nulls last
Office-Aktivität für Benutzer
Die Abfrage stellt die Aktivität des Benutzers über Office dar.
// Replace the UPN in the query with the UPN of the user of interest
let v_Users_UPN= "osotnoc@contoso.com";
OfficeActivity
| where UserId==v_Users_UPN
| project TimeGenerated, OfficeWorkload, Operation, ResultStatus, OfficeObjectId, _ResourceId
Erstellen einer Forward-Regel
Listen Erstellung von E-Mail-Weiterleitungsregeln.
OfficeActivity
| where OfficeWorkload == "Exchange"
| where Operation in~ ("New-TransportRule", "Set-TransportRule")
| extend RuleName = case(Operation =~ "Set-TransportRule", tostring(OfficeObjectId), Operation =~ "New-TransportRule", tostring(parse_json(Parameters)[1].Value), "Unknown")
| project TimeGenerated, ClientIP, UserId, Operation, RuleName, _ResourceId
Verdächtiger Dateiname
Vorgänge für Dateien mit dem Namen, die auf die Verschleierung einer ausführbaren Datei hinweisen können.
OfficeActivity
| where RecordType =~ "SharePointFileOperation" and isnotempty(SourceFileName)
| where OfficeObjectId has ".exe." and OfficeObjectId matches regex @"\.exe\.\w{0,4}$"
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für