EnrichedMicrosoft365AuditLogs
Diese Tabelle ist Teil des Identitäts- und Netzwerkzugriffs, der angereicherte Microsoft 365-Überwachungsprotokolle enthält. Diese Protokolle können für die Richtlinien-, Risiko- und Datenverkehrsverwaltung sowie für die Überwachung der Benutzerfreundlichkeit genutzt werden.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Verwaltungstools für Sicherheit, Netzwerk, IT & |
| Lösungen | LogManagement |
| Standardprotokoll | No |
| Transformation zur Erfassungszeit | No |
| Beispielabfragen | - |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| ActorUserType | Zeichenfolge | Der Typ des Benutzers, der den Vorgang ausgeführt hat. Mögliche Typen sind: Admin, System, Anwendung, Dienstprinzipal und Andere. |
| AdditionalProperties | dynamisch | Zusätzliche Aktivitätsfelder |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| ClientIp | Zeichenfolge | Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im IPv4- oder IPv6-Adressformat angezeigt. Bei einigen Diensten kann der in dieser Eigenschaft angezeigte Wert die IP-Adresse für eine vertrauenswürdige Anwendung (z. B. Office im Web Apps) sein, die den Dienst im Namen eines Benutzers aufruft, und nicht die IP-Adresse des Geräts, das von der Person verwendet wird, die die Aktivität ausgeführt hat. Außerdem wird für Azure Active Directory-bezogene Ereignisse die IP-Adresse nicht protokolliert, und der Wert für die ClientIP-Eigenschaft ist NULL. |
| deviceId | Zeichenfolge | Die ID des Quellgeräts, wie im Datensatz angegeben. |
| DeviceOperatingSystem | Zeichenfolge | Der Client, der das Betriebssystemtyp verbindet. |
| DeviceOperatingSystemVersion | Zeichenfolge | Die Clientversion des Betriebssystems, das eine Verbindung herstellt. |
| Id | string | Eindeutiger Bezeichner des Eintrags im Überwachungsprotokoll. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| ObjectID | Zeichenfolge | Für SharePoint- und OneDrive for Business-Aktivitäten der vollständige Pfadname der Datei oder des Ordners, auf die der Benutzer zugreift. Bei der Exchange-Administratorüberwachungsprotokollierung der Name des Objekts, das vom Cmdlet geändert wurde. |
| Vorgang | Zeichenfolge | Der Name der Benutzer- oder Administratoraktivität, die die Aktivität ausgeführt hat. |
| OrganizationId | Zeichenfolge | Die GUID des Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation immer gleich, unabhängig vom Office 365-Dienst, in dem er auftritt. |
| RecordType | INT | Der im Eintrag festgehaltene Typ des Vorgangs. In der Tabelle „AuditLogRecordType“ finden Sie Einzelheiten zu den verschiedenen Arten von Einträgen im Überwachungsprotokoll. |
| ResultStatus | Zeichenfolge | Gibt an, ob die Aktion (angegeben in der Eigenschaft „Operation“) erfolgreich war oder nicht. Mögliche Werte sind „Succeeded“, „PartiallySucceeded“ oder „Failed“. |
| SourceIp | string | Die IP-Adresse, von der die Verbindung oder Sitzung stammt. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Das Datum und die Uhrzeit in UTC, zu dem der Benutzer die Aktivität ausgeführt hat. |
| type | Zeichenfolge | Der Name der Tabelle. |
| UniqueTokenId | Zeichenfolge | Der eindeutige Tokenbezeichner |
| UserId | Zeichenfolge | Der Benutzerprinzipalname (User Principal Name, UPN) des Benutzers, der die Aktion ausgeführt hat (wie in der Vorgangseigenschaft festgelegt), derentwegen das Ereignis erfasst wurde, z.B. „mein_name@mein_domänenname“. Hinweis: Auch Aktivitäten von Systemkonten (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) werden erfasst und hier aufgeführt. In SharePoint ist ein weiterer Wert, der in der UserId-Eigenschaft angezeigt wird, app@sharepoint. Dies gibt an, dass der "Benutzer", der die Aktivität ausgeführt hat, eine Anwendung war, die über die erforderlichen Berechtigungen in SharePoint verfügt, um organization-weite Aktionen (z. B. eine SharePoint-Website oder ein OneDrive-Konto durchsuchen) im Namen eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter app@sharepoint Benutzer in Überwachungsdatensätzen. |
| UserKey | Zeichenfolge | Eine alternative ID für den Benutzer, der in der Eigenschaft „UserId“ identifiziert wird. Beispiel: Diese Eigenschaft wird für Ereignisse, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden, mit der eindeutigen Passport-ID (PUID) aufgefüllt. Diese Eigenschaft kann auch denselben Wert wie die UserID-Eigenschaft für Ereignisse angeben, die in anderen Diensten und Ereignissen auftreten, die von Systemkonten ausgeführt werden. |
| UserType | Zeichenfolge | Der Typ des Benutzers, der den Vorgang ausgeführt hat. |
| Workload | Zeichenfolge | Der Office 365 Dienst, in dem die Aktivität aufgetreten ist. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für