OfficeActivity
Von Azure Sentinel erfasste Überwachungsprotokolle für Office 365-Mandanten. Schließt Protokolle für Exchange, SharePoint und Teams ein.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | AzureSentinelPrivatePreview, SecurityInsights |
| Standardprotokoll | No |
| Transformation der Erfassungszeit | Yes |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| AADGroupId | Zeichenfolge | Azure Active Directory-Gruppen-ID |
| AADTarget | Zeichenfolge | Der Benutzer, für den die Aktion (identifiziert durch die Operation-Eigenschaft) ausgeführt wurde |
| Aktivität | Zeichenfolge | Die Aktivität, die der Benutzer ausgeführt hat. |
| Akteur | Zeichenfolge | Der Benutzer oder Dienstprinzipal, der die Aktion ausgeführt hat |
| ActorContextId | Zeichenfolge | Die GUID des organization, zu dem der Akteur gehört |
| ActorIpAddress | Zeichenfolge | Die IP-Adresse des Akteurs im IPV4- oder IPV6-Adressformat |
| AddOnGuid | Zeichenfolge | Der eindeutige Bezeichner des Add-Ons, das dieses Ereignis generiert hat |
| AddonName | Zeichenfolge | Der Name des Add-Ons, das dieses Ereignis generiert hat |
| AddOnType | Zeichenfolge | Der Typ des Add-Ons, das dieses Ereignis generiert hat |
| AffectedItems | Zeichenfolge | Informationen zu jedem Element in der Gruppe |
| AppDistributionMode | Zeichenfolge | Anwendungsverteilungsmodus |
| AppId | Zeichenfolge | Anwendungs-ID |
| Application | Zeichenfolge | Der Anwendungsname |
| ApplicationId | Zeichenfolge | SharePoint-Anwendungs-ID |
| AzureActiveDirectory_EventType | Zeichenfolge | Der Typ des Azure AD-Ereignisses |
| AzureADAppId | Zeichenfolge | Azure AD-ID der Teams-Anwendung |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| ChannelGuid | Zeichenfolge | Ein eindeutiger Bezeichner für den zu überwachenden Kanal |
| ChannelName | Zeichenfolge | Der Name des zu überwachenden Kanals |
| Channeltype | Zeichenfolge | Der Typ des überwachten Kanals (Standard/Privat) |
| ChatName | Zeichenfolge | Der Name des Chats |
| ChatThreadId | Zeichenfolge | Die ID des Chatthreads |
| Client | Zeichenfolge | Details zum Clientgerät, zum Gerätebetriebssystem und zum Gerätebrowser, das für das Kontoanmeldungsereignis verwendet wurde |
| Client_IPAddress | Zeichenfolge | Die IP-Adresse des Geräts, das beim Protokollieren des Vorgangs verwendet wurde |
| ClientAppId | Zeichenfolge | Clientanwendungs-ID |
| ClientInfoString | Zeichenfolge | Informationen zum E-Mail-Client, der zum Ausführen des Vorgangs verwendet wurde |
| ClientIP | Zeichenfolge | Die IP-Adresse des Geräts, das beim Protokollieren der Aktivität verwendet wurde. |
| ClientMachineName | Zeichenfolge | Der Computername, der den Outlook-Client hostet |
| ClientProcessName | Zeichenfolge | Der E-Mail-Client, der für den Zugriff auf das Postfach verwendet wurde |
| ClientVersion | Zeichenfolge | Die Version des E-Mail-Clients |
| CommunicationType | Zeichenfolge | Die Art der Kommunikation, die durchgeführt wurde |
| CrossMailboxOperations | bool | Gibt an, ob der Vorgang mehrere Postfächer umfasste. |
| CustomEvent | Zeichenfolge | Optionale Zeichenfolge für benutzerdefinierte Ereignisse |
| DataCenterSecurityEventType | INT | Typ des dmdlet-Ereignisses im Sperrfeld |
| DestFolder | Zeichenfolge | Der Zielordner |
| DestinationFileExtension | Zeichenfolge | Die Dateierweiterung einer Datei, die kopiert oder verschoben wird |
| DestinationFileName | Zeichenfolge | Der Name der Datei, die kopiert oder verschoben wird |
| DestinationRelativeUrl | Zeichenfolge | Die URL des Zielordners, in den eine Datei kopiert oder verschoben wird |
| DestMailboxId | Zeichenfolge | Nur festgelegt, wenn der Parameter CrossMailboxOperations den Wert True aufweist. |
| DestMailboxOwnerMasterAccountSid | Zeichenfolge | Nur festgelegt, wenn der Parameter CrossMailboxOperations den Wert True aufweist. |
| DestMailboxOwnerSid | Zeichenfolge | Nur festgelegt, wenn der Parameter CrossMailboxOperations den Wert True aufweist. |
| DestMailboxOwnerUPN | Zeichenfolge | Nur festgelegt, wenn der Parameter CrossMailboxOperations den Wert True aufweist. |
| EffectiveOrganization | Zeichenfolge | Der Name des Mandanten, auf den die Rechteerweiterung/das Cmdlet ausgerichtet war |
| ElevationApprovedTime | datetime | Der Zeitstempel für den Zeitpunkt, zu dem die Rechteerweiterung genehmigt wurde |
| ElevationApprover | Zeichenfolge | Der Name eines Microsoft-Managers |
| ElevationDuration | INT | Die Dauer, für die die Erhöhung aktiv war (in Stunden) |
| ElevationRequestId | Zeichenfolge | Ein eindeutiger Bezeichner für die Rechteerweiterungsanforderung |
| ElevationRole | Zeichenfolge | Die Rolle, für die die Rechteerweiterung angefordert wurde |
| ElevationTime | datetime | Die Startzeit der Erhöhung |
| Event_Data | Zeichenfolge | Optionale Nutzlast für benutzerdefinierte Ereignisse |
| EventSource | Zeichenfolge | Gibt an, dass in SharePoint ein Ereignis aufgetreten ist. Mögliche Werte sind SharePoint oder ObjectModel. |
| ExtendedProperties | Zeichenfolge | Die erweiterten Eigenschaften des Azure AD-Ereignisses |
| ExternalAccess | Zeichenfolge | Gibt an, ob das Cmdlet von einem Benutzer in Ihrem organization |
| ExtraProperties | dynamisch | Eine Liste mit zusätzlichen Eigenschaften |
| Ordner | Zeichenfolge | Der Ordner, in dem sich eine Gruppe von Elementen befindet. |
| Ordner | Zeichenfolge | Informationen zu den Quellordnern, die an einem Vorgang beteiligt sind |
| GenericInfo | Zeichenfolge | Wird für Kommentare und andere allgemeine Informationen verwendet |
| InternalLogonType | INT | Reserviert für interne Verwendung |
| InterSystemsId | Zeichenfolge | Die GUID, die die Aktionen komponentenübergreifend innerhalb des Office 365-Diensts nachverfolgt |
| IntraSystemId | Zeichenfolge | Die GUID, die von Azure Active Directory zum Nachverfolgen der Aktion generiert wird |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| IsManagedDevice | bool | Gibt an, ob der Vorgang von einem Gerät erstellt wurde, das vom organization |
| Element | Zeichenfolge | Stellt das Element dar, für das der Vorgang ausgeführt wurde. |
| Artikelname | Zeichenfolge | Die Zeichenfolge im Feld Betreff der E-Mail-Nachricht |
| ItemType | Zeichenfolge | Der Typ des Objekts, auf das zugegriffen wurde oder das geändert wurde. Details zu den Objekttypen finden Sie in der Tabelle ItemType. |
| LoginStatus | INT | Diese Eigenschaft stammt direkt von „OrgIdLogon.LoginStatus“. Die Zuordnung verschiedener interessanter Anmeldefehler könnte durch Warnungsalgorithmen erfolgen. |
| Logon_Type | Zeichenfolge | Gibt den Typ des Benutzers an, der auf das Postfach zugegriffen und den protokollierten Vorgang ausgeführt hat. |
| LogonUserDisplayName | Zeichenfolge | Der benutzerfreundliche Name des Benutzers, der den Vorgang ausgeführt hat |
| LogonUserSid | Zeichenfolge | Die SID des Benutzers, der den Vorgang ausgeführt hat |
| MachineDomainInfo | Zeichenfolge | Informationen zu Gerätesynchronisierungsvorgängen |
| MachineId | Zeichenfolge | Informationen zu Gerätesynchronisierungsvorgängen |
| MailboxGuid | Zeichenfolge | Die Exchange-GUID des Postfachs, auf das zugegriffen wurde |
| MailboxOwnerMasterAccountSid | Zeichenfolge | Master Konto-SID des Postfachbesitzerkontos |
| MailboxOwnerSid | Zeichenfolge | Die SID des Postfachbesitzers |
| MailboxOwnerUPN | Zeichenfolge | Die E-Mail-Adresse der Person, die das Postfach besitzt, auf das zugegriffen wurde |
| Member | dynamisch | Eine Liste der Benutzer innerhalb eines Teams |
| MessageId | Zeichenfolge | Ein Bezeichner für eine Chat- oder Kanalnachricht |
| ModifiedObjectResolvedName | Zeichenfolge | Dies ist der benutzerfreundliche Name des Objekts, das vom Cmdlet geändert wurde. |
| ModifiedProperties | Zeichenfolge | Die Eigenschaft ist für Administratorereignisse enthalten, z. B. das Hinzufügen eines Benutzers als Mitglied einer Website oder einer Websitesammlungsadministratorgruppe. |
| Name | Zeichenfolge | Nur für Einstellungsereignisse vorhanden. Name der Geänderten Einstellung |
| NewValue | Zeichenfolge | Nur für Einstellungsereignisse vorhanden. Neuer Wert der Einstellung |
| Officeid | Zeichenfolge | Eindeutiger Bezeichner eines Überwachungsdatensatzes |
| OfficeObjectId | Zeichenfolge | Für SharePoint- und OneDrive for Business-Aktivitäten |
| OfficeTenantId | Zeichenfolge | Die Office-Mandanten-ID |
| OfficeWorkload | Zeichenfolge | Der Office 365 Dienst, in dem die Aktivität aufgetreten ist |
| OldValue | Zeichenfolge | Nur für Einstellungsereignisse vorhanden. Alter Wert der Einstellung |
| Vorgang | Zeichenfolge | Der Name des Vorgangs, den der Benutzer ausführt |
| OperationEigenschaften | dynamisch | Zusätzliche Vorgangseigenschaften |
| OperationScope | Zeichenfolge | Der Bereich, für den der Vorgang ausgeführt wurde |
| OrganizationId | Zeichenfolge | Die GUID des Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre organization |
| OrganizationName | Zeichenfolge | Der Name des Mandanten |
| OriginatingServer | Zeichenfolge | Der Name des Servers, von dem das Cmdlet ausgeführt wurde |
| Parameter | Zeichenfolge | Name und Wert für alle Parameter, die mit dem Cmdlet verwendet wurden, das in der Operations-Eigenschaft identifiziert ist |
| RecordType | Zeichenfolge | Der im Eintrag festgehaltene Typ des Vorgangs. Ausführliche Informationen zu den Typen von Überwachungsprotokolldatensätzen finden Sie in der Tabelle AuditLogRecordType. |
| _ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
| ResultReasonType | Zeichenfolge | Grund für das in ResultType gemeldete Ergebnis |
| ResultStatus | Zeichenfolge | Gibt an, ob die Aktion (in der Operation-Eigenschaft angegeben) erfolgreich war oder nicht. |
| SendAsUserMailboxGuid | Zeichenfolge | Die Exchange-GUID des Postfachs, auf das zum Senden von E-Mails als zugegriffen wurde |
| SendAsUserSmtp | Zeichenfolge | SMTP-Adresse des Benutzers, der identitätswechselt wird |
| SendonBehalfOfUserMailboxGuid | Zeichenfolge | Die Exchange-GUID des Postfachs, auf das zugegriffen wurde, um E-Mails im Namen von zu senden. |
| SendOnBehalfOfUserSmtp | Zeichenfolge | SMTP-Adresse des Benutzers, in dessen Auftrag die E-Mail gesendet wird |
| SharingType | Zeichenfolge | Der Typ der Freigabeberechtigungen, die dem Benutzer zugewiesen wurden, für den die Ressource freigegeben wurde. Dieser Benutzer wird durch den Parameter UserSharedWith identifiziert. |
| Site_ | Zeichenfolge | Die GUID der Website, auf der sich die Datei oder der Ordner befindet, auf die der Benutzer zugreift |
| Site_Url | Zeichenfolge | Die URL der Website, auf der sich die Datei oder der Ordner befindet, auf die der Benutzer zugreift |
| Source_Name | Zeichenfolge | Die Entität, die den überwachten Vorgang ausgelöst hat. Mögliche Werte sind SharePoint oder ObjectModel. |
| SourceFileExtension | Zeichenfolge | Die Dateierweiterung der Datei, auf die der Benutzer zugegriffen hat |
| SourceFileName | Zeichenfolge | Der Name der Datei oder des Ordners, auf die der Benutzer zugreift |
| SourceRecordId | Zeichenfolge | Eindeutiger Bezeichner eines Überwachungsdatensatzes |
| SourceRelativeUrl | Zeichenfolge | Die URL des Ordners, der die Datei enthält, auf die der Benutzer zugreift |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| SRPolicyId | Zeichenfolge | Richtlinien-ID |
| SRPolicyName | Zeichenfolge | Richtlinienname |
| SRRuleMatchDetails | dynamisch | Regeldetails |
| Start_Time | datetime | Datum und Uhrzeit der Ausführung des Cmdlets |
| _SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
| SupportTicketId | Zeichenfolge | Die Ticket-ID des Kundensupports für die Aktion in "Act-on-behalf-of"-Situationen |
| TabType | Zeichenfolge | Der Registerkartentyp, der dieses Ereignis generiert hat |
| TargetContextId | Zeichenfolge | Die GUID des organization, zu dem der Zielbenutzer gehört |
| TargetUserId | Zeichenfolge | Zielbenutzer-ID |
| TargetUserOrGroupName | Zeichenfolge | Speichert den UPN oder den Namen des Zielbenutzers oder der Zielgruppe, für die eine Ressource freigegeben wurde |
| TargetUserOrGroupType | Zeichenfolge | Gibt an, ob es sich bei dem Zielbenutzer oder der Zielgruppe um ein Mitglied, einen Gast, eine Gruppe oder einen Partner handelt. |
| TeamGuid | Zeichenfolge | Ein eindeutiger Bezeichner für das zu überwachende Team |
| TeamName | Zeichenfolge | Der Name des zu überwachenden Teams |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Datum und Uhrzeit in koordinierter Weltzeit (UTC), zu dem der Benutzer die Aktivität ausgeführt hat |
| type | Zeichenfolge | Der Name der Tabelle. |
| UserAgent | Zeichenfolge | Der Benutzer-Agent |
| UserDomain | Zeichenfolge | Die Domäne des Benutzers |
| UserId | Zeichenfolge | Der UPN (Benutzerprinzipalname) des Benutzers, der die Aktion ausgeführt hat (in der Operation-Eigenschaft angegeben), die dazu führte, dass der Datensatz protokolliert wurde. |
| UserKey | Zeichenfolge | Eine alternative ID für den In der UserId-Eigenschaft identifizierten Benutzer |
| UserSharedWith | Zeichenfolge | Der Benutzer, für den eine Ressource freigegeben wurde |
| UserType | Zeichenfolge | Der Typ des Benutzers, der den Vorgang ausgeführt hat. Weitere Informationen zu den Benutzertypen finden Sie in der Tabelle UserType. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für