Keresés az auditnaplóban a megfelelőségi portálon
Meg kell tudnia, hogy egy felhasználó megtekintett-e egy adott dokumentumot, vagy kiürített-e egy elemet a postaládájából? Ha igen, a Microsoft Purview megfelelőségi portál naplókereső eszközével kereshet az egyesített naplóban a szervezet felhasználói és rendszergazdai tevékenységeinek megtekintéséhez. Több tucat Microsoft 365-szolgáltatásban és -megoldásban végrehajtott felhasználói és rendszergazdai műveletek ezreit rögzíti, rögzíti és őrzi meg a szervezet egyesített auditnaplója. A szervezet felhasználói az auditnapló-kereső eszközzel kereshetik meg, tekinthetik meg és exportálhatják (CSV-fájlba) a naplórekordokat ezekhez a műveletekhez.
A naplózást támogató Microsoft 365-szolgáltatások
Miért érdemes egységesített auditnaplót létrehozni? Mivel az auditnaplóban megkeresheti a Különböző Microsoft 365-szolgáltatásokban végzett tevékenységeket. Az alábbi táblázat felsorolja az egyesített auditnapló által támogatott Microsoft 365-szolgáltatásokat és szolgáltatásokat (betűrendben).
| Microsoft 365 szolgáltatás vagy szolgáltatás | Bejegyzéstípusok |
|---|---|
| Azure Active Directory | AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon |
| Azure Information Protection | AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat |
| Kommunikációmegfelelőség | ComplianceSuperVisionExchange |
| Tartalomkezelő | LabelContentExplorer |
| Adatösszekötők | ComplianceConnector |
| Adatveszteség-megelőzés (DLP) | ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint |
| Dynamics 365 | CRM |
| Feltárás | Felderítés, AeD |
| Pontos adategyezés | MipExactDataMatch |
| Exchange Online | ExchangeAdmin, ExchangeItem, ExchangeItemAggregated |
| Formák | MicrosoftForms |
| Szervezeten belüli elkülönítés | InformationBarrierPolicyApplication |
| Microsoft 365 Defender | AirInvestigation, AirManualInvestigation, AirAdminActionInvestigation, MS365DCustomDetection |
| Microsoft Teams | MicrosoftTeams |
| MyAnalytics | MyAnalyticsSettings |
| OneDrive Vállalati verzió | OneDrive |
| Power Alkalmazások | PowerAppsApp, PowerAppsPlan |
| Power Automate | MicrosoftFlow |
| Power BI | PowerBIAudit |
| Karantén | Karantén |
| Adatmegőrzési házirendek és adatmegőrzési címkék | MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation |
| Bizalmasadat-típusok | DlpSensitiveInformationType |
| Érzékenységi címkék | MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch |
| Titkosított üzenetportál | OMEPortal |
| SharePoint Online | SharePoint, SharePointFileOperation,SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation |
| Stream | MicrosoftStream |
| Fenyegetésfelderítés | ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent |
| Munkahelyi elemzések | WorkplaceAnalytics |
| Yammer | Yammer |
| SystemSync | DataShareCreated, DataShareDeleted, GenerateCopyOfLakeData, DownloadCopyOfLakeData |
Az előző táblázatban felsorolt szolgáltatásokban naplózott műveletekkel kapcsolatos további információkért tekintse meg a cikk Naplózott tevékenységek szakaszát.
Az előző táblázat a Exchange Online PowerShell Search-UnifiedAuditLog parancsmagja vagy egy PowerShell-szkript használatával azonosítja azt a rekordtípusértéket is, amelyet a megfelelő szolgáltatás tevékenységeinek naplózási naplójában való kereséséhez használhat. Egyes szolgáltatások több rekordtípussal rendelkeznek az ugyanazon szolgáltatáson belüli különböző típusú tevékenységekhez. A naplózási rekordtípusok teljesebb listájáért tekintse meg Office 365 Felügyeleti tevékenység API-sémáját.
További információ arról, hogy a PowerShell használatával kereshet az auditnaplóban:
Az auditnaplóban való keresés előtt
Az auditnaplóban való keresés megkezdése előtt mindenképpen olvassa el az alábbi elemeket.
Az auditnapló-keresés alapértelmezés szerint be van kapcsolva a Microsoft 365-ben és Office 365 nagyvállalati szervezetekben. A naplókeresés bekapcsolt állapotának ellenőrzéséhez futtassa a következő parancsot Exchange Online PowerShellben:
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabledA UnifiedAuditLogIngestionEnabled tulajdonság értéke
Trueazt jelzi, hogy a naplókeresés be van kapcsolva. További információ: Naplókeresés be- és kikapcsolása.A naplóban való kereséshez hozzá kell rendelnie a View-Only Auditnaplók vagy Auditnaplók szerepkört Exchange Online. Alapértelmezés szerint ezek a szerepkörök az Exchange Felügyeleti központ Engedélyek lapján a Megfelelőségkezelés és a Szervezetkezelés szerepkörcsoporthoz vannak rendelve. A Office 365 és a Microsoft 365 globális rendszergazdái automatikusan bekerülnek a Szervezetkezelés szerepkörcsoportba Exchange Online. Ha azt szeretné, hogy a felhasználó a minimális szintű jogosultságokkal keressen az auditnaplóban, létrehozhat egy egyéni szerepkörcsoportot Exchange Online, hozzáadhatja az View-Only AuditNaplók vagy Auditnaplók szerepkört, majd hozzáadhatja a felhasználót az új szerepkörcsoport tagjaként. További információ: Szerepkörcsoportok kezelése Exchange Online.
Ha hozzárendel egy felhasználót a View-Only Auditnaplók vagy Auditnaplók szerepkörhöz a megfelelőségi portál Engedélyek lapján, akkor nem fog tudni keresni az auditnaplóban. Az engedélyeket a Exchange Online kell hozzárendelnie. Ennek az az oka, hogy az auditnaplóban való keresés alapjául szolgáló parancsmag egy Exchange Online parancsmag.
Ha egy felhasználó vagy rendszergazda naplózott tevékenységet végez, a rendszer létrehoz és tárol egy naplórekordot a szervezet naplójában. A naplórekordok megőrzésének időtartama (és az auditnaplóban kereshető) az ön Office 365 vagy Microsoft 365 Nagyvállalati verzió előfizetésétől, és konkrétan az adott felhasználókhoz rendelt licenc típusától függ.
Office 365 E5 csomag vagy Microsoft 365 E5 licenccel rendelkező felhasználók (vagy Microsoft 365 Megfelelőség E5 csomag vagy Microsoft 365 E5 Adatfeltárási és naplózási bővítménylicenc), az Azure Active Directory-, Exchange- és SharePoint-tevékenységek naplózási rekordjai alapértelmezés szerint egy évig maradnak meg. A szervezetek auditnapló-megőrzési szabályzatokat is létrehozhatnak, amelyek akár egy évig megőrzik a más szolgáltatások tevékenységeinek naplórekordjait. További információ: Naplómegőrzési házirendek kezelése.
Megjegyzés
Ha a szervezet részt vett a privát előzetes verzió programban a naplórekordok egyéves megőrzésére, az általános rendelkezésre állási bevezetési dátum előtt létrehozott naplórekordok megőrzési időtartama nem lesz visszaállítva.
Az egyéb (nem E5) Office 365 vagy Microsoft 365-licenccel rendelkező felhasználók esetében a naplórekordok 90 napig őrződnek meg. Az egyesített naplózást támogató Office 365 és Microsoft 365-előfizetések listáját a biztonsági és megfelelőségi portál szolgáltatásleírásában találja.
Megjegyzés
Még ha a postaláda naplózása alapértelmezés szerint be van kapcsolva, észreveheti, hogy egyes felhasználók postaládájának naplózási eseményei nem találhatók meg a megfelelőségi portálon vagy a Office 365 Felügyeleti tevékenység API-n keresztül végzett naplókeresésekben. További információ: További információ a postaláda-naplózásról.
Ha ki szeretné kapcsolni a szervezet naplókeresését, futtassa a következő parancsot Exchange Online PowerShellben:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $falseA naplózási keresés újbóli bekapcsolásához futtassa a következő parancsot Exchange Online PowerShellben:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $trueTovábbi információ: Naplókeresés kikapcsolása.
Ahogy korábban említettük, az auditnaplóban való keresés alapjául szolgáló parancsmag egy Exchange Online parancsmag, amely a Search-UnifiedAuditLog. Ez azt jelenti, hogy ezzel a parancsmaggal kereshet az auditnaplóban a megfelelőségi portál Naplózás lapján található keresőeszköz használata helyett. Ezt a parancsmagot Exchange Online PowerShellben kell futtatnia. További információ: Search-UnifiedAuditLog.
A Search-UnifiedAuditLog parancsmag által visszaadott keresési eredmények CSV-fájlba való exportálásáról a Napló exportálása , konfigurálása és megtekintése című szakasz "Tippek az auditnapló exportálásához és megtekintéséhez" című szakaszában talál további információt.
Ha programozott módon szeretne adatokat letölteni az auditnaplóból, javasoljuk, hogy PowerShell-szkript helyett az Office 365 Felügyeleti tevékenység API-t használja. A Office 365 Felügyeleti tevékenység API egy REST-webszolgáltatás, amellyel műveleteket, biztonsági és megfelelőségi monitorozási megoldásokat fejleszthet a szervezet számára. További információ: Office 365 Felügyeleti tevékenység API-referenciája.
Az Azure Active Directory (Azure AD) a Microsoft 365 címtárszolgáltatása. Az egyesített auditnapló a Microsoft 365 Felügyeleti központ vagy az Azure felügyeleti portálján végrehajtott felhasználói, csoport-, alkalmazás-, tartományi és címtártevékenységeket tartalmazza. A Azure AD események teljes listájáért tekintse meg az Azure Active Directory naplózási jelentés eseményeit.
A Microsoft nem garantálja, hogy egy esemény bekövetkezése után egy adott időpontban a rendszer visszaadja a megfelelő naplórekordot a naplókeresés eredményei között. Az alapvető szolgáltatások (például Az Exchange, a SharePoint, a OneDrive és a Teams) esetében a naplózási rekordok elérhetősége általában 60–90 perccel egy esemény bekövetkezése után történik. Más szolgáltatások esetében a naplózási rekordok rendelkezésre állása hosszabb is lehet. Előfordulhat azonban, hogy néhány elkerülhetetlen probléma (például kiszolgálókimaradás) a naplózási szolgáltatáson kívül fordul elő, amely késlelteti a naplórekordok rendelkezésre állását. Ezért a Microsoft nem vállal kötelezettséget egy adott időpontra.
A Power BI naplózása alapértelmezés szerint nincs engedélyezve. Ahhoz, hogy Power BI-tevékenységeket keressen az auditnaplóban, engedélyeznie kell a naplózást a Power BI felügyeleti portálján. Útmutatásért tekintse meg a Power BI felügyeleti portáljának "Auditnaplók" című szakaszát.
Keresés a naplóban
Az alábbi eljárással keresheti meg az auditnaplót a Microsoft 365-ben.
1. lépés: Naplókeresés futtatása
2. lépés: A keresési eredmények megtekintése
3. lépés: A keresési eredmények exportálása fájlba
1. lépés: Naplókeresés futtatása
Nyissa meg https://compliance.microsoft.com és jelentkezzen be.
Tipp
Privát böngészési munkamenetet használjon (nem normál munkamenetet) a megfelelőségi portál eléréséhez, mert ez megakadályozza a jelenleg bejelentkezett hitelesítő adatok használatát. A CTRL+SHIFT+N billentyűkombinációt lenyomva inPrivate-böngészési munkamenetet nyithat meg a Microsoft Edge-ben vagy privát böngészési munkamenetet a Google Chrome-ban (ezt inkognitóablaknak nevezzük).
A megfelelőségi portál bal oldali ablaktábláján kattintson a Naplózás elemre.
Megjelenik a Naplózás lap.
Megjegyzés
Ha megjelenik a Felhasználói és rendszergazdai tevékenységek rögzítésének megkezdése hivatkozás, kattintson rá a naplózás bekapcsolásához. Ha nem látja ezt a hivatkozást, a naplózás be van kapcsolva a szervezetében.
A Keresés lapon konfigurálja a következő keresési feltételeket:
- Kezdő dátum és záró dátum: Alapértelmezés szerint az utolsó hét nap van kiválasztva. Válasszon ki egy dátum- és időtartományt az adott időszakon belül történt események megjelenítéséhez. A dátum és az idő helyi idő szerint jelenik meg. A megadható maximális dátumtartomány 90 nap. Hiba jelenik meg, ha a kijelölt dátumtartomány nagyobb 90 napnál.
Tipp
Ha a maximális 90 napos dátumtartományt használja, válassza ki a kezdő dátum aktuális időpontját. Ellenkező esetben hibaüzenet jelenik meg, amely szerint a kezdő dátum korábbi a záró dátumnál. Ha az elmúlt 90 napban bekapcsolta a naplózást, a maximális dátumtartomány nem kezdődhet a naplózás bekapcsolásának dátuma előtt.
Tevékenységek: Kattintson a legördülő listára a kereshető tevékenységek megjelenítéséhez. A felhasználói és rendszergazdai tevékenységek kapcsolódó tevékenységek csoportjaiba vannak rendezve. Kijelölhet adott tevékenységeket, vagy a tevékenységcsoport nevére kattintva kijelölheti a csoport összes tevékenységét. A kijelölt tevékenységre kattintva törölheti a kijelölést. A keresés futtatása után csak a kijelölt tevékenységek naplóbejegyzései jelennek meg. Ha az Összes tevékenység eredményének megjelenítése lehetőséget választja, akkor a kijelölt felhasználó vagy felhasználócsoport által végrehajtott összes tevékenység eredménye jelenik meg.
A naplóban több mint 100 felhasználói és rendszergazdai tevékenység van naplózva. A cikk témakörében a Naplózott tevékenységek fülre kattintva megtekintheti az egyes szolgáltatások minden tevékenységének leírását.Felhasználók: Kattintson erre a mezőbe, majd jelöljön ki egy vagy több felhasználót a keresési eredmények megjelenítéséhez. Az ebben a mezőben kiválasztott felhasználók által végzett kijelölt tevékenység naplóbejegyzései megjelennek az eredmények listájában. Hagyja üresen ezt a mezőt, ha a szervezet összes felhasználójához (és szolgáltatásfiókjához) szeretne bejegyzéseket visszaadni.
Fájl, mappa vagy webhely: Írja be egy fájl vagy mappa nevének egy részét vagy egészét a megadott kulcsszót tartalmazó mappafájllal kapcsolatos tevékenységek kereséséhez. Megadhatja egy fájl vagy mappa URL-címét is. HA URL-címet használ, ügyeljen arra, hogy a teljes URL-címet írja be, vagy ha az URL egy részét írja be, ne tartalmazzon speciális karaktereket vagy szóközöket (a helyettesítő karakter (*) használata azonban támogatott).
Hagyja üresen ezt a mezőt a szervezet összes fájljához és mappájához tartozó bejegyzések visszaadásához.
Tipp
Ha egy webhelyhez kapcsolódó összes tevékenységet keres, az URL-cím után adja hozzá a helyettesítő karaktert (*) a webhely összes bejegyzésének visszaadásához, például
"https://contoso-my.sharepoint.com/personal*".Ha egy fájlhoz kapcsolódó összes tevékenységet keresi, a fájlnév elé szúrja be a helyettesítő karaktert (*) a fájl összes bejegyzésének visszaadásához, például
"*Customer_Profitability_Sample.csv".
A Keresés gombra kattintva futtassa a keresést a keresési feltételek alapján.
A keresési eredmények betöltődnek, és néhány pillanat múlva megjelennek egy új lapon. Amikor a keresés befejeződött, megjelenik a talált találatok száma. Legfeljebb 50 000 esemény jelenik meg 150 esemény növekményében. Ha több mint 50 000 esemény felel meg a keresési feltételeknek, csak az 50 000 nem rendezett esemény jelenik meg.
Tippek az auditnaplóban való kereséshez
A tevékenység nevére kattintva kiválaszthatja azokat a tevékenységeket, amelyeket keresni szeretne. Vagy a csoport nevére kattintva megkeresheti a csoport összes tevékenységét (például a fájl- és mappatevékenységeket). Ha egy tevékenység ki van jelölve, kattintással megszakíthatja a kijelölést. A keresőmezőt a beírt kulcsszót tartalmazó tevékenységek megjelenítésére is használhatja.
Az Exchange-rendszergazdai napló eseményeinek megjelenítéséhez a Tevékenységek listában az összes tevékenység eredményének megjelenítése lehetőséget kell választania. Az auditnapló eseményei egy parancsmagnevet (például Set-Mailbox) jelenítenek meg az eredmények Tevékenység oszlopában. További információért kattintson a témakörben a Naplózott tevékenységek fülre, majd az Exchange-rendszergazdai tevékenységek elemre.
Hasonlóképpen vannak olyan naplózási tevékenységek is, amelyek nem rendelkeznek megfelelő elemmel a Tevékenységek listában. Ha ismeri ezeknek a tevékenységeknek a nevét, az összes tevékenységre rákereshet, majd szűrheti a műveleteket, miután exportálta a keresési eredményeket egy CSV-fájlba.
Az aktuális keresési feltételek törléséhez kattintson a Törlés gombra. A dátumtartomány az elmúlt hét nap alapértelmezett értékére tér vissza. Az Összes törlése gombra kattintva megjelenítheti az összes tevékenység eredményét az összes kijelölt tevékenység megszakításához.
Ha 50 000 találatot talál, feltételezheti, hogy több mint 50 000 esemény felel meg a keresési feltételeknek. Finomíthatja a keresési feltételeket, és újrafuttathatja a keresést, hogy kevesebb találatot adjon vissza, vagy exportálhatja az összes találatot az Eredmények exportálása > lehetőség kiválasztásával .
2. lépés: A keresési eredmények megtekintése
A naplókeresés eredményei az Auditnapló keresési oldalán, az Eredmények területen jelennek meg. Ahogy korábban említettük, legfeljebb 50 000 (legújabb) esemény jelenik meg 150 esemény növekményében. Használja a görgetősávot, vagy nyomja le a Shift + End billentyűkombinációt a következő 150 esemény megjelenítéséhez.
Az eredmények a következő információkat tartalmazzák a keresés által visszaadott egyes eseményekről:
Dátum: Az esemény bekövetkezésének dátuma és időpontja (a helyi idő szerint).
IP-cím: Annak az eszköznek az IP-címe, amelyet a tevékenység naplózásakor használtak. Az IP-cím IPv4- vagy IPv6-címformátumban jelenik meg.
Megjegyzés
Egyes szolgáltatások esetében az ebben a mezőben megjelenő érték lehet egy megbízható alkalmazás (például Webes Office alkalmazások) IP-címe, amely egy felhasználó nevében hív be a szolgáltatásba, nem pedig a tevékenységet végrehajtó személy által használt eszköz IP-címe. Emellett az Azure Active Directoryval kapcsolatos események rendszergazdai tevékenységéhez (vagy egy rendszerfiók által végzett tevékenységhez) a rendszer nem naplózza az IP-címet, és az ebben a mezőben megjelenő érték is.
nullFelhasználó: Az eseményt kiváltó műveletet végrehajtó felhasználó (vagy szolgáltatásfiók).
Tevékenység: A felhasználó által végzett tevékenység. Ez az érték a Tevékenységek legördülő listában kiválasztott tevékenységeknek felel meg. Az Exchange rendszergazdai naplójából származó események esetén az oszlopban szereplő érték egy Exchange-parancsmag.
Elem: A megfelelő tevékenység eredményeként létrehozott vagy módosított objektum. Például a megtekintett vagy módosított fájl, vagy a frissített felhasználói fiók. Nem minden tevékenység rendelkezik értékkel ebben az oszlopban.
Részletek: További információk egy tevékenységről. Nem minden tevékenységnek van értéke.
Tipp
Az eredmények rendezéséhez kattintson egy oszlopfejlécre az Eredmények területen. Az eredményeket rendezheti A-tól Z-ig vagy Z-től A-ig. A Dátum fejlécre kattintva rendezheti az eredményeket a legrégebbitől a legújabbig vagy a legújabbtól a legrégebbiig.
Adott esemény részleteinek megtekintése
Az eseményekkel kapcsolatos további részletek megtekintéséhez kattintson az eseményrekordra a keresési eredmények listájában. Megjelenik egy úszó panel, amely az eseményrekord részletes tulajdonságait tartalmazza. A megjelenített tulajdonságok attól a szolgáltatástól függenek, amelyben az esemény történik.
3. lépés: A keresési eredmények exportálása fájlba
A naplókeresés eredményeit exportálhatja egy vesszővel tagolt CSV-fájlba a helyi számítógépen. Ezt a fájlt megnyithatja a Microsoft Excelben, és olyan funkciókat használhat, mint a keresés, a rendezés, a szűrés és a több tulajdonságot tartalmazó oszlopok több oszlopra való felosztása.
Futtasson egy naplókeresést, majd módosítsa a keresési feltételeket, amíg meg nem kapja a kívánt eredményeket.
A keresési eredmények lapján kattintson az Összes találat exportálása elemre > .
A keresési feltételeknek megfelelő napló összes bejegyzése CSV-fájlba lesz exportálva. A rendszer az auditnapló nyers adatait egy CSV-fájlba menti. A naplóbejegyzés további információi szerepelnek a CSV AuditData oszlopában.
Fontos
Egyetlen naplókeresésből legfeljebb 50 000 bejegyzést tölthet le egy CSV-fájlba. Ha 50 000 bejegyzést tölt le a CSV-fájlba, feltételezheti, hogy több mint 50 000 esemény felel meg a keresési feltételeknek. Ha ennél a korlátnál többet szeretne exportálni, próbáljon meg dátumtartományt használni a naplóbejegyzések számának csökkentéséhez. Előfordulhat, hogy több keresést kell futtatnia kisebb dátumtartományokkal, hogy több mint 50 000 bejegyzést exportáljon.
Az exportálási folyamat befejezése után megjelenik egy üzenet az ablak tetején, amely arra kéri, hogy nyissa meg a CSV-fájlt, és mentse a helyi számítógépre. A CSV-fájlt a Letöltések mappában is elérheti.
További információ az auditnapló keresési eredményeinek exportálásáról és megtekintéséről
Az összes keresési eredmény letöltésekor a CSV-fájl tartalmazza a CreationDate, UserIds, Operations és AuditData oszlopokat. Az AuditData oszlop további információkat tartalmaz az egyes eseményekről (hasonlóan ahhoz, ahogy a megfelelőségi portálon a keresési eredmények megtekintésekor az úszó panelen láthatók). Az oszlopban szereplő adatok egy olyan JSON-objektumból áll, amely az auditnapló-rekord több tulajdonságát tartalmazza. A JSON-objektum minden tulajdonsága:érték párja vesszővel van elválasztva. Az Excel Power Query-szerkesztő JSON-átalakító eszközével több oszlopra oszthatja az AuditData oszlopot, így a JSON-objektum minden tulajdonsága saját oszloppal rendelkezik. Ez lehetővé teszi a tulajdonságok egy vagy több elemének rendezését és szűrését. A JSON-objektum átalakítására szolgáló Power Query-szerkesztő használatával kapcsolatos részletes útmutatásért tekintse meg az auditnapló-rekordok exportálását, konfigurálását és megtekintését ismertető cikket.
Az AuditData oszlop felosztása után az Operations oszlopra szűrve megjelenítheti egy adott tevékenységtípus részletes tulajdonságait.
Ha egy olyan keresési lekérdezés összes eredményét letölti, amely különböző szolgáltatások eseményeit tartalmazza, a CSV-fájl AuditData oszlopa különböző tulajdonságokat tartalmaz attól függően, hogy melyik szolgáltatásban hajtották végre a műveletet. Az Exchange-ből és Azure AD naplókból származó bejegyzések például tartalmaznak egy ResultStatus nevű tulajdonságot, amely jelzi, hogy a művelet sikeres volt-e vagy sem. Ez a tulajdonság nem része a SharePoint-eseményeknek. Hasonlóképpen, a SharePoint-eseményeknek van egy tulajdonsága, amely azonosítja a webhely URL-címét a fájllal és a mappával kapcsolatos tevékenységekhez. Ennek a viselkedésnek a mérséklése érdekében érdemes lehet különböző kereséseket használni a tevékenységek eredményeinek egyetlen szolgáltatásból való exportálásához.
Az összes eredmény letöltésekor a CSV-fájl AuditData oszlopában felsorolt számos tulajdonság leírásáért és az egyes szolgáltatásokért tekintse meg az auditnapló Részletes tulajdonságait.
Naplózott tevékenységek
Az ebben a szakaszban található táblázatok a Microsoft 365-ben naplózott tevékenységeket ismertetik. Ezeket az eseményeket a biztonsági és megfelelőségi portál auditnaplójában keresheti meg.
Ezek a táblák egy adott szolgáltatás kapcsolódó tevékenységeit vagy tevékenységeit csoportosítják. A táblák tartalmazzák a Tevékenységek legördülő listában megjelenő rövid nevet, valamint a megfelelő művelet nevét, amely egy auditrekord részletes információiban és a CSV-fájlban jelenik meg a keresési eredmények exportálásakor. A részletes információk leírását az auditnapló részletes tulajdonságai között találja.
Kattintson az alábbi hivatkozások egyikére egy adott táblára való ugráshoz.
Fájl- és laptevékenységek
Az alábbi táblázat a SharePoint Online és a OneDrive Vállalati verzió fájl- és laptevékenységeit ismerteti.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Megnyitott fájl | FileAccessed | A felhasználó vagy a rendszerfiók hozzáfér egy fájlhoz. Ha egy felhasználó hozzáfér egy fájlhoz, a FileAccessed eseményt a rendszer nem naplózza újra ugyanazon felhasználó számára a következő öt percre. |
| (nincs) | FileAccessedExtended | Ez az "Accessed file" (FileAccessed) tevékenységhez kapcsolódik. A FileAccessedExtended eseményt akkor naplózza a rendszer, ha ugyanaz a személy folyamatosan hosszabb ideig (legfeljebb 3 óráig) fér hozzá egy fájlhoz. A FileAccessedExtended események naplózásának célja a fájlok folyamatos elérésekor naplózott FileAccessed események számának csökkentése. Ez segít csökkenteni több FileAccessed rekord zaját, ami lényegében ugyanaz a felhasználói tevékenység, és lehetővé teszi, hogy a kezdeti (és fontosabb) FileAccessed eseményre összpontosítson. |
| Fájl adatmegőrzési címkéjének módosítása | ComplianceSettingChanged | Egy dokumentumra alkalmazott vagy eltávolított adatmegőrzési címkét. Ez az esemény akkor aktiválódik, ha egy adatmegőrzési címkét manuálisan vagy automatikusan alkalmaz egy üzenetre. |
| Rekord állapota zároltra módosult | Rekordzárolás | Zárolva lett egy olyan adatmegőrzési címke rekordállapota, amely rekordként sorolja be a dokumentumot. Ez azt jelenti, hogy a dokumentum nem módosítható és nem törölhető. Csak a webhelyhez legalább közreműködői engedéllyel rendelkező felhasználók módosíthatják a dokumentum rekordállapotát. |
| Rekord zárolásának feloldása | Rekordzárolás feloldása | A zárolás feloldva lett egy olyan adatmegőrzési címke rekordállapotában, amely rekordként sorolja be a dokumentumot. Ez azt jelenti, hogy a dokumentum módosítható vagy törölhető. Csak a webhelyhez legalább közreműködői engedéllyel rendelkező felhasználók módosíthatják a dokumentum rekordállapotát. |
| Beadott fájl | FileCheckedIn | A felhasználó bead egy dokumentumtárból kivett dokumentumot. |
| Kivett fájl | FileCheckedOut | A felhasználó kivesz egy dokumentumtárban található dokumentumot. A felhasználók kivehetik és módosíthatják a velük megosztott dokumentumokat. |
| Másolt fájl | FileCopied | A felhasználó egy webhelyről másol egy dokumentumot. A másolt fájl a webhely egy másik mappájába menthető. |
| Törölt fájl | Fájl törölve | A felhasználó töröl egy dokumentumot egy webhelyről. |
| Fájl törlése a lomtárból | FileDeletedFirstStageRecycleBin | A felhasználó töröl egy fájlt egy webhely lomtárából. |
| Fájl törölve a másodszintű lomtárból | FileDeletedSecondStageRecycleBin | A felhasználó töröl egy fájlt egy webhely másodszintű lomtárából. |
| Rekordként megjelölt törölt fájl | RecordDelete | Rekordként megjelölt dokumentum vagy e-mail törölve lett. Az elemek akkor minősülnek rekordnak, ha a tartalomra olyan adatmegőrzési címke kerül, amely rekordként jelöli meg az elemeket. |
| A dokumentum bizalmassági eltérése észlelhető | DocumentSensitivityMismatchDetected | A felhasználó feltölt egy dokumentumot egy bizalmassági címkével védett webhelyre, és a dokumentum magasabb prioritású bizalmassági címkével rendelkezik, mint a webhelyre alkalmazott bizalmassági címke. Például egy Bizalmas nevű dokumentumot a rendszer feltölt egy Általános nevű webhelyre. Ez az esemény nem aktiválódik, ha a dokumentum alacsonyabb prioritású bizalmassági címkével rendelkezik, mint a webhelyre alkalmazott bizalmassági címke. Például egy Általános címkével ellátott dokumentumot a rendszer feltölt egy Bizalmas nevű webhelyre. A bizalmassági címkék prioritásáról további információt a Címke prioritása (megrendelési ügyek) című témakörben talál. |
| Észlelt kártevő a fájlban | FileMalwareDetected | A SharePoint víruskereső motorja kártevőt észlel egy fájlban. |
| Elvetett fájl kivétele | FileCheckOutDiscarded | A felhasználó elveti (vagy visszavonja) a kivett fájlt. Ez azt jelenti, hogy a fájl kivételekor végrehajtott módosítások elvesznek, és nem lesznek mentve a dokumentumtárban lévő dokumentumverzióba. |
| Letöltött fájl | FileDownloaded | A felhasználó letölt egy dokumentumot egy webhelyről. |
| Módosított fájl | FileModified | A felhasználói vagy rendszerfiók módosítja egy webhely dokumentumának tartalmát vagy tulajdonságait. A rendszer öt percet vár, mielőtt egy másik FileModified eseményt naplóz, amikor ugyanaz a felhasználó módosítja ugyanannak a dokumentumnak a tartalmát vagy tulajdonságait. |
| (nincs) | FileModifiedExtended | Ez a "Módosított fájl" (FileModified) tevékenységhez kapcsolódik. A FileModifiedExtended eseményt akkor naplózza a rendszer, ha ugyanaz a személy folyamatosan módosít egy fájlt hosszabb ideig (legfeljebb 3 óráig). A FileModifiedExtended események naplózásának célja a fájl folyamatos módosításakor naplózott FileModified események számának csökkentése. Ez segít csökkenteni több FileModified rekord zaját, ami lényegében ugyanaz a felhasználói tevékenység, és lehetővé teszi, hogy a kezdeti (és fontosabb) FileModified eseményre összpontosítson. |
| Fájl áthelyezése | FileMoved | A felhasználó áthelyez egy dokumentumot a webhely aktuális helyéről egy új helyre. |
| (nincs) | FilePreviewed | A felhasználók megtekinthetik egy SharePoint- vagy OneDrive Vállalati verzió-webhelyen lévő fájlok előnézetét. Ezek az események általában nagy mennyiségben fordulnak elő egyetlen tevékenység, például egy képgyűjtemény megtekintése alapján. |
| Végrehajtott keresési lekérdezés | SearchQueryPerformed | A felhasználói vagy rendszerfiók keresést végez a SharePointban vagy a OneDrive Vállalati verzió. Néhány gyakori forgatókönyv, amikor egy szolgáltatásfiók keresési lekérdezést hajt végre, például elektronikus adatfeltárási visszatartási és adatmegőrzési szabályzat alkalmazása a webhelyekre és a OneDrive-fiókokra, valamint az adatmegőrzési vagy bizalmassági címkék automatikus alkalmazása a webhelytartalomra. |
| Fájl újrafeldolgozása | FileRecycled | A felhasználó áthelyez egy fájlt a SharePoint lomtárába. |
| Mappa újrafeldolgozása | FolderRecycled | A felhasználó áthelyez egy mappát a SharePoint lomtárába. |
| A fájl összes alverziójának újrahasznosítása | FileVersionsAllMinorsRecycled | A felhasználó törli az összes alverziót egy fájl verzióelőzményeiből. A törölt verziók a webhely lomtárába kerülnek. |
| A fájl összes verziójának újrahasznosítása | FileVersionsAllRecycled | A felhasználó törli az összes verziót egy fájl verzióelőzményeiből. A törölt verziók a webhely lomtárába kerülnek. |
| A fájl újrahasznosított verziója | FileVersionRecycled | A felhasználó töröl egy verziót egy fájl verzióelőzményeiből. A törölt verzió a webhely lomtárába kerül. |
| Átnevezett fájl | FileRenamed | A felhasználó átnevez egy dokumentumot. |
| Visszaállított fájl | FileRestored | A felhasználó visszaállít egy dokumentumot egy webhely lomtárából. |
| Feltöltött fájl | FileUploaded | A felhasználó feltölt egy dokumentumot egy webhely egyik mappájába. |
| Megtekintett lap | PageViewed | A felhasználó megtekint egy lapot egy webhelyen. Ez nem foglalja magában a dokumentumtárakban található fájlok webböngészővel történő megtekintését. Miután egy felhasználó megtekintett egy lapot, a PageViewed esemény nem lesz ismét naplózva ugyanarra a felhasználóra a következő öt percre. |
| (nincs) | PageViewedExtended | Ez a "Megtekintett lap" (PageViewed) tevékenységhez kapcsolódik. A PageViewedExtended eseményt akkor naplózza a rendszer, ha ugyanaz a személy folyamatosan megtekint egy weblapot hosszabb ideig (legfeljebb 3 óráig). A PageViewedExtended események naplózásának célja a lap folyamatos megtekintésekor naplózott PageViewed események számának csökkentése. Ez segít csökkenteni több PageViewed rekord zaját, ami lényegében ugyanaz a felhasználói tevékenység, és lehetővé teszi, hogy a kezdeti (és fontosabb) PageViewed eseményre összpontosítson. |
| Ügyfél által jelzett nézet | ClientViewSignaled | A felhasználó ügyfele (például webhely vagy mobilalkalmazás) jelezte, hogy a felhasználó megtekintette a megadott oldalt. Ezt a tevékenységet gyakran egy lap PagePrefetched eseménye után naplózza a rendszer. MEGJEGYZÉS: Mivel a ClientViewSignaled eseményeket az ügyfél jelzi a kiszolgáló helyett, lehetséges, hogy a kiszolgáló nem naplózza az eseményt, ezért előfordulhat, hogy nem jelenik meg az auditnaplóban. Az is előfordulhat, hogy a naplórekordban szereplő információk nem megbízhatóak. Mivel azonban a felhasználó identitását a jel létrehozásához használt jogkivonat érvényesíti, a felhasználó identitása a megfelelő naplózási rekordban is pontos. A rendszer öt percet vár, mielőtt naplózza ugyanazt az eseményt, amikor ugyanaz a felhasználó ügyfele azt jelzi, hogy a felhasználó újra megtekintette az oldalt. |
| (nincs) | PagePrefetched | A felhasználó ügyfele (például a webhely vagy a mobilalkalmazás) kérte a jelzett oldalt a teljesítmény javítása érdekében, ha a felhasználó megböngészi azt. Az esemény naplózása jelzi, hogy a lap tartalma a felhasználó ügyfélprogramjának lett kézbesítve. Ez az esemény nem jelzi véglegesen, hogy a felhasználó a lapra navigált. Amikor az ügyfél rendereli a lap tartalmát (a felhasználó kérésének megfelelően), létre kell hozni egy ClientViewSignaled eseményt. Nem minden ügyfél támogatja az előre beolvasás jelzését, ezért előfordulhat, hogy egyes előre lehívott tevékenységek PageViewed eseményként vannak naplózva. |
Gyakori kérdések a FileAccessed és a FilePreviewed eseményekkel kapcsolatban
Bármely nem felhasználói tevékenység aktiválhat olyan FilePreviewed naplózási rekordokat, amelyek felhasználói ügynököt (például "OneDriveMpc-Transform_Thumbnail") tartalmaznak?
Nem ismerjük azokat a forgatókönyveket, amelyekben a nem felhasználói műveletek ilyen eseményeket hoznak létre. Az olyan felhasználói műveletek, mint a felhasználói profilkártyák megnyitása (a nevükre vagy az e-mail-címükre kattintva az Webes Outlook üzenetben) hasonló eseményeket eredményeznének.
A OneDriveMpc-Transform_Thumbnail hívásait mindig szándékosan aktiválja a felhasználó?
Nem. Hasonló események azonban naplózhatók a böngésző előzetes beolvasásának eredményeként.
Ha a FilePreviewed esemény a Microsoft által regisztrált IP-címről érkezik, az azt jelenti, hogy az előnézet a felhasználó eszközének képernyőjén jelent meg?
Nem. Előfordulhat, hogy az esemény a böngésző előzetes beolvasása miatt lett naplózva.
Vannak olyan forgatókönyvek, amikor egy dokumentumot megtekintő felhasználó FileAccessed eseményeket hoz létre?
A FilePreviewed és a FileAccessed események is azt jelzik, hogy egy felhasználó hívása a fájl olvasásához vezetett (vagy a fájl miniatűrjének megjelenítéséhez). Bár ezek az események az előzetes verzióhoz és a hozzáférési szándékhoz igazodnak, az esemény megkülönböztetése nem garantálja a felhasználó szándékát.
Az alkalmazás@SharePoint-felhasználója a naplórekordokban
Egyes fájltevékenységek (és más SharePoint-tevékenységek) naplózási rekordjaiban láthatja, hogy a tevékenységet (a Felhasználó és a UserId mezőkben azonosított) felhasználó app@sharepoint. Ez azt jelzi, hogy a tevékenységet végrehajtó "felhasználó" egy alkalmazás volt. Ebben az esetben az alkalmazás engedélyt kapott a SharePointban, hogy szervezeti szintű műveleteket hajtson végre (például sharepoint-webhelyen vagy OneDrive-fiókban keressen) egy felhasználó, rendszergazda vagy szolgáltatás nevében. Az alkalmazásokhoz való engedélyek megadásának folyamatát csak SharePoint-alapú alkalmazáshozzáférésnek nevezzük. Ez azt jelzi, hogy a SharePointnak bemutatott hitelesítést egy alkalmazás hajtotta végre, nem pedig egy felhasználó. Ezért azonosítja a app@sharepoint felhasználót bizonyos naplózási rekordokban. További információ: Hozzáférés biztosítása csak SharePoint appal.
A app@sharepoint például gyakran a "Végrehajtott keresési lekérdezés" és az "Elért fájl" események felhasználójaként azonosítják. Ennek az az oka, hogy egy SharePoint-App-Only hozzáféréssel rendelkező alkalmazás keresési lekérdezéseket hajt végre, és fájlokat ér el, amikor adatmegőrzési házirendeket alkalmaz a webhelyekre és a OneDrive-fiókokra.
Íme néhány egyéb forgatókönyv, ahol app@sharepoint azonosíthatók egy naplórekordban a tevékenységet végrehajtó felhasználóként:
Microsoft 365-csoportok. Amikor egy felhasználó vagy rendszergazda új csoportot hoz létre, a rendszer naplórekordokat hoz létre a webhelycsoport létrehozásához, a listák frissítéséhez és a tagok SharePoint-csoporthoz való hozzáadásához. Ezek a feladatok egy alkalmazást hajtanak végre a csoportot létrehozó felhasználó nevében.
Microsoft Teams. A Microsoft 365-csoportok-hez hasonlóan a rendszer naplórekordokat hoz létre a webhelycsoport létrehozásához, a listák frissítéséhez és a tagok SharePoint-csoporthoz való hozzáadásához a csoport létrehozásakor.
Megfelelőségi funkciók. Amikor egy rendszergazda megfelelőségi szolgáltatásokat valósít meg, például adatmegőrzési szabályzatokat, feltárási visszatartást és automatikusan alkalmazza a bizalmassági címkéket.
Ezekben és más forgatókönyvekben azt is megfigyelheti, hogy a megadott felhasználóként app@sharepoint több naplózási rekord is létrejött egy rövid idő alatt, gyakran néhány másodpercen belül egymástól. Ez azt is jelzi, hogy valószínűleg ugyanaz a felhasználó által kezdeményezett feladat aktiválta őket. Emellett a naplórekord ApplicationDisplayName és EventData mezői segíthetnek azonosítani az eseményt kiváltó forgatókönyvet vagy alkalmazást.
Mappatevékenységek
Az alábbi táblázat a SharePoint Online és a OneDrive Vállalati verzió mappatevékenységeit ismerteti. Ahogy korábban említettem, egyes SharePoint-tevékenységek naplózási rekordjai azt jelzik, app@sharepoint felhasználó a műveletet kezdeményező felhasználó vagy rendszergazda nevében hajtotta végre a tevékenységet. További információ: Az alkalmazás@SharePoint-felhasználója a naplórekordokban.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Másolt mappa | FolderCopied | A felhasználó átmásolja a mappát egy webhelyről egy másik helyre a SharePointban vagy OneDrive Vállalati verzió. |
| Mappa létrehozása | Mappa létrehozása | A felhasználó létrehoz egy mappát egy webhelyen. |
| Törölt mappa | Mappa törölve | A felhasználó töröl egy mappát egy webhelyről. |
| Mappa törlése a lomtárból | FolderDeletedFirstStageRecycleBin | A felhasználó töröl egy mappát a webhely lomtárából. |
| Mappa törlése a másodszintű lomtárból | FolderDeletedSecondStageRecycleBin | A felhasználó töröl egy mappát a webhely másodszintű lomtárából. |
| Mappa módosítása | FolderModified | A felhasználó módosít egy mappát egy webhelyen. Ide tartozik a mappa metaadatainak módosítása, például a címkék és a tulajdonságok módosítása. |
| Mappa áthelyezése | FolderMoved | A felhasználó áthelyez egy mappát egy másik helyre egy webhelyen. |
| Átnevezett mappa | FolderRenamed | A felhasználó átnevez egy mappát egy webhelyen. |
| Visszaállított mappa | FolderRestored | A felhasználó visszaállít egy törölt mappát a webhely lomtárából. |
SharePoint-listatevékenységek
Az alábbi táblázat azokat a tevékenységeket ismerteti, amelyek azzal kapcsolatosak, hogy a felhasználók mikor használják a listákat és a listaelemeket a SharePoint Online-ban. Ahogy korábban említettem, egyes SharePoint-tevékenységek naplózási rekordjai azt jelzik, app@sharepoint felhasználó a műveletet kezdeményező felhasználó vagy rendszergazda nevében hajtotta végre a tevékenységet. További információ: Az alkalmazás@SharePoint-felhasználója a naplórekordokban.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Létrehozott lista | Lista létrehozása | Egy felhasználó létrehozott egy SharePoint-listát. |
| Listaoszlop létrehozása | ListColumnCreated | Egy felhasználó létrehozott egy SharePoint-listaoszlopot. A listaoszlop olyan oszlop, amely egy vagy több SharePoint-listához van csatolva. |
| Lista tartalomtípusa létrehozva | ListContentTypeCreated | Egy felhasználó létrehozott egy lista-tartalomtípust. A lista-tartalomtípus olyan tartalomtípus, amely egy vagy több SharePoint-listához van csatolva. |
| Listaelem létrehozása | ListItemCreated | Egy felhasználó létrehozott egy elemet egy meglévő SharePoint-listában. |
| Webhelyoszlop létrehozása | SiteColumnCreated | Egy felhasználó létrehozott egy SharePoint-webhelyoszlopot. A webhelyoszlop olyan oszlop, amely nincs listához csatolva. A webhelyoszlop egy metaadat-struktúra is, amelyet egy adott webhely bármely listája használhat. |
| Webhely tartalomtípusának létrehozása | Webhely tartalomtípusa létrehozva | Egy felhasználó létrehozott egy webhely-tartalomtípust. A webhely tartalomtípusa a szülőwebhelyhez csatolt tartalomtípus. |
| Törölt lista | ListDeleted | Egy felhasználó törölt egy SharePoint-listát. |
| Törölt listaoszlop | Listaoszlop törölve | Egy felhasználó törölt egy SharePoint-listaoszlopot. |
| Törölt lista tartalomtípusa | ListContentTypeDeleted | Egy felhasználó törölt egy lista-tartalomtípust. |
| Törölt listaelem | Listaelem törölve | Egy felhasználó törölt egy SharePoint-listaelemet. |
| Törölt webhelyoszlop | SiteColumnDeleted | Egy felhasználó törölt egy SharePoint-webhelyoszlopot. |
| Törölt webhely tartalomtípusa | SiteContentTypeDeleted | Egy felhasználó törölt egy webhely-tartalomtípust. |
| Újrahasznosított listaelem | ListItemRecycled | Egy felhasználó áthelyezett egy SharePoint-listaelemet a Lomtárba. |
| Visszaállított lista | ListRestored | Egy felhasználó visszaállított egy SharePoint-listát a Lomtárból. |
| Visszaállított listaelem | ListItemRestored | Egy felhasználó visszaállított egy SharePoint-listaelemet a Lomtárból. |
| Frissített lista | ListUpdated | Egy felhasználó egy vagy több tulajdonság módosításával frissített egy SharePoint-listát. |
| Frissített listaoszlop | ListColumnUpdated | Egy felhasználó egy vagy több tulajdonság módosításával frissített egy SharePoint-listaoszlopot. |
| Lista tartalomtípusának frissítése | ListContentTypeUpdated | Egy felhasználó egy vagy több tulajdonság módosításával frissítette a lista tartalomtípusát. |
| Listaelem frissítése | ListItemUpdated | Egy felhasználó egy vagy több tulajdonság módosításával frissített egy SharePoint-listaelemet. |
| Webhelyoszlop frissítése | SiteColumnUpdated | Egy felhasználó egy vagy több tulajdonság módosításával frissített egy SharePoint-webhelyoszlopot. |
| Webhely tartalomtípusának frissítése | SiteContentTypeUpdated | Egy felhasználó egy vagy több tulajdonság módosításával frissítette a webhely tartalomtípusát. |
Megosztási és hozzáférési kérelmek tevékenységei
Az alábbi táblázat a SharePoint Online és a OneDrive Vállalati verzió felhasználói megosztási és hozzáférési kérelmeinek tevékenységeit ismerteti. Az események megosztásához az Eredmények területen a Részletek oszlop azonosítja annak a felhasználónak vagy csoportnak a nevét, akivel vagy amellyel az elemet megosztották, és hogy az adott felhasználó vagy csoport tagja vagy vendég-e a szervezetében. További információ: Megosztási naplózás használata az auditnaplóban.
Megjegyzés
A felhasználók lehetnek tagok vagy vendégek a felhasználói objektum UserType tulajdonsága alapján. A tagok általában alkalmazottak, a vendég pedig általában a szervezeten kívüli közreműködők. Ha egy felhasználó elfogad egy megosztási meghívást (és még nem tagja a szervezetnek), a rendszer létrehoz számára egy vendégfiókot a szervezet címtárában. Ha a vendégfelhasználó rendelkezik fiókkal a címtárban, előfordulhat, hogy az erőforrások közvetlenül meg lesznek osztva velük (meghívás nélkül).
| Rövid név | Művelet | Leírás |
|---|---|---|
| Engedélyszint hozzáadva a webhelycsoporthoz | PermissionLevelAdded | Engedélyszint lett hozzáadva egy webhelycsoporthoz. |
| Elfogadott hozzáférési kérelem | AccessRequestAccepted | A rendszer elfogadta a webhelyre, mappára vagy dokumentumra vonatkozó hozzáférési kérést, és a kérelmező felhasználó hozzáférést kapott. |
| Elfogadott megosztási meghívás | SharingInvitationAccepted | A felhasználó (tag vagy vendég) elfogadott egy megosztási meghívást, és hozzáférést kapott egy erőforráshoz. Ez az esemény információkat tartalmaz a meghívott felhasználóról és a meghívás elfogadásához használt e-mail-címről (ezek eltérőek lehetnek). Ezt a tevékenységet gyakran egy második esemény kíséri, amely leírja, hogy a felhasználó hogyan kapott hozzáférést az erőforráshoz, például hozzáadhatja a felhasználót egy olyan csoporthoz, amely hozzáféréssel rendelkezik az erőforráshoz. |
| Megosztási meghívás letiltva | SharingInvitationBlocked | A szervezet egy felhasználója által küldött megosztási meghívást egy olyan külső megosztási szabályzat blokkolja, amely engedélyezi vagy megtagadja a külső megosztást a célfelhasználó tartománya alapján. Ebben az esetben a megosztási meghívás a következő miatt lett letiltva: A célfelhasználó tartománya nem szerepel az engedélyezett tartományok listájában. Vagy A célfelhasználó tartománya szerepel a letiltott tartományok listájában. A tartományokon alapuló külső megosztás engedélyezéséről vagy letiltásáról további információt a Korlátozott tartományok megosztása a SharePoint Online-ban és a OneDrive Vállalati verzió című témakörben talál. |
| Hozzáférési kérelem létrehozása | AccessRequestCreated | A felhasználó hozzáférést kér egy webhelyhez, mappához vagy dokumentumhoz, amely nem rendelkezik hozzáférési engedéllyel. |
| Céges megosztható hivatkozás létrehozása | CompanyLinkCreated | A felhasználó létrehozott egy vállalati szintű hivatkozást egy erőforráshoz. A vállalati szintű hivatkozásokat csak a szervezet tagjai használhatják. A vendégek nem használhatják őket. |
| Névtelen hivatkozás létrehozása | AnonymousLinkCreated | A felhasználó létrehozott egy névtelen hivatkozást egy erőforráshoz. A hivatkozással bárki hozzáférhet az erőforráshoz hitelesítés nélkül. |
| Biztonságos hivatkozás létrehozása | SecureLinkCreated | Biztonságos megosztási hivatkozás lett létrehozva ehhez az elemhez. |
| Megosztási meghívás létrehozása | SharingInvitationCreated | A felhasználó megosztott egy erőforrást a SharePoint Online-ban, vagy OneDrive Vállalati verzió egy olyan felhasználóval, aki nem szerepel a szervezet címtárában. |
| Biztonságos hivatkozás törlése | SecureLinkDeleted | A rendszer törölt egy biztonságos megosztási hivatkozást. |
| Megtagadott hozzáférési kérelem | AccessRequestDenied | A rendszer megtagadta a webhelyre, mappára vagy dokumentumra vonatkozó hozzáférési kérelmet. |
| Céges megosztható hivatkozás eltávolítása | CompanyLinkRemoved | A felhasználó eltávolított egy erőforrásra mutató vállalati szintű hivatkozást. A hivatkozás már nem használható az erőforrás eléréséhez. |
| Névtelen hivatkozás eltávolítása | AnonymousLinkRemoved | A felhasználó eltávolított egy erőforrásra mutató névtelen hivatkozást. A hivatkozás már nem használható az erőforrás eléréséhez. |
| Megosztott fájl, mappa vagy webhely | SharingSet | A felhasználó (tag vagy vendég) megosztott egy fájlt, mappát vagy webhelyet a SharePointban, vagy OneDrive Vállalati verzió egy felhasználóval a szervezet címtárában. A tevékenység Részletek oszlopában szereplő érték azonosítja annak a felhasználónak a nevét, akivel az erőforrást megosztották, és hogy ez a felhasználó tag vagy vendég. Ezt a tevékenységet gyakran egy második esemény kíséri, amely leírja, hogy a felhasználó hogyan kapott hozzáférést az erőforráshoz. Például hozzáadhatja a felhasználót egy olyan csoporthoz, amely hozzáféréssel rendelkezik az erőforráshoz. |
| Frissített hozzáférési kérelem | AccessRequestUpdated | Frissült egy elem hozzáférési kérése. |
| Névtelen hivatkozás frissítése | AnonymousLinkUpdated | A felhasználó frissített egy erőforrásra mutató névtelen hivatkozást. A frissített mező a keresési eredmények exportálásakor szerepel az EventData tulajdonságban. |
| Frissített megosztási meghívó | SharingInvitationUpdated | Frissült egy külső megosztási meghívás. |
| Névtelen hivatkozást használt | AnonymousLinkUsed | Egy névtelen felhasználó egy névtelen hivatkozással fért hozzá egy erőforráshoz. Előfordulhat, hogy a felhasználó identitása ismeretlen, de más adatokat is lekérhet, például a felhasználó IP-címét. |
| Nem megosztható fájl, mappa vagy webhely | SharingRevoked | A felhasználó (tag vagy vendég) megszüntette a korábban egy másik felhasználóval megosztott fájlt, mappát vagy webhelyet. |
| Vállalati megosztható hivatkozás használata | CompanyLinkUsed | A felhasználó egy vállalati szintű hivatkozással fért hozzá egy erőforráshoz. |
| Használt biztonságos hivatkozás | SecureLinkUsed | Egy felhasználó biztonságos hivatkozást használt. |
| Felhasználó hozzáadva a biztonságos hivatkozáshoz | AddedToSecureLink | A rendszer hozzáadta a felhasználót az entitások listájához, akik használhatnak biztonságos megosztási hivatkozást. |
| Felhasználó eltávolítva a biztonságos hivatkozásból | RemovedFromSecureLink | A rendszer eltávolított egy felhasználót az entitások listájáról, akik használhatnak biztonságos megosztási hivatkozást. |
| Megosztási meghívás visszavonva | SharingInvitationRevoked | A felhasználó visszavonta egy megosztási meghívást egy erőforráshoz. |
Szinkronizálási tevékenységek
Az alábbi táblázat a SharePoint Online és a OneDrive Vállalati verzió fájlszinkronizálási tevékenységeit sorolja fel.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Fájlok szinkronizálásának engedélyezése a számítógépen | ManagedSyncClientAllowed | A felhasználó sikeresen létesít szinkronizálási kapcsolatot egy hellyel. A szinkronizálási kapcsolat sikeres, mert a felhasználó számítógépe tagja egy tartománynak, amely hozzá lett adva a szervezet dokumentumtáraihoz hozzáférő tartományok listájához (az úgynevezett megbízható címzettek listájához). A szolgáltatásról további információt a Megbízható címzettek listán szereplő tartományok OneDrive szinkronizálási app PowerShell-parancsmagok használatával történő engedélyezését ismertető cikkben talál. |
| Letiltotta a számítógép a fájlok szinkronizálását | UnmanagedSyncClientBlocked | A felhasználó olyan számítógépről próbál szinkronizálási kapcsolatot létesíteni egy hellyel, amely nem tagja a szervezet tartományának, vagy olyan tartomány tagja, amely nem lett hozzáadva a szervezet dokumentumtáraihoz hozzáférő tartományok listájához (az úgynevezett megbízható címzettek listájához ). A szinkronizálási kapcsolat nem engedélyezett, és a felhasználó számítógépe nem szinkronizálhat, tölthet le vagy tölthet fel fájlokat a dokumentumtárakban. Erről a funkcióról további információt a Megbízható címzettek listában szereplő tartományok OneDrive szinkronizálási app powershell-parancsmagok használatával történő engedélyezését ismertető cikkben talál. |
| Letöltött fájlok a számítógépre | FileSyncDownloadedFull | A felhasználó letölt egy fájlt a számítógépére egy SharePoint-dokumentumtárból vagy OneDrive Vállalati verzió OneDrive szinkronizálási app alkalmazással (OneDrive.exe). |
| Fájlmódosítások letöltése a számítógépre | FileSyncDownloadedPartial | Ez az esemény a régi OneDrive Vállalati verzió szinkronizálási alkalmazással (Groove.exe) együtt elavult. |
| Feltöltött fájlok a dokumentumtárba | FileSyncUploadedFull | A felhasználó feltölt egy új fájlt, vagy módosít egy fájlt a SharePoint-dokumentumtárban vagy OneDrive Vállalati verzió OneDrive szinkronizálási app appal (OneDrive.exe). |
| Fájlmódosítások feltöltése a dokumentumtárba | FileSyncUploadedPartial | Ez az esemény a régi OneDrive Vállalati verzió szinkronizálási alkalmazással (Groove.exe) együtt elavult. |
Webhely engedélyekkel kapcsolatos tevékenységei
Az alábbi táblázat azokat az eseményeket sorolja fel, amelyek a SharePoint-engedélyek hozzárendelésével és a webhelyekhez való hozzáférés csoportok használatával (és visszavonásával) kapcsolatosak. Ahogy korábban említettem, egyes SharePoint-tevékenységek naplózási rekordjai azt jelzik, app@sharepoint felhasználó a műveletet kezdeményező felhasználó vagy rendszergazda nevében hajtotta végre a tevékenységet. További információ: Az alkalmazás@SharePoint-felhasználója a naplórekordokban.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Webhelycsoportgazda hozzáadva | SiteCollectionAdminAdded | A webhelycsoportgazda vagy -tulajdonos hozzáad egy személyt webhelycsoportgazdaként egy webhelyhez. A webhelycsoportgazdák teljes hozzáféréssel rendelkeznek a webhelycsoporthoz és az összes alwebhelyhez. Ezt a tevékenységet akkor is naplózza a rendszer, ha egy rendszergazda hozzáférést ad a felhasználó OneDrive-fiókjához (a felhasználói profil szerkesztésével a SharePoint Felügyeleti központban vagy a Microsoft 365 Felügyeleti központ). |
| Felhasználó vagy csoport hozzáadása a SharePoint-csoporthoz | AddedToGroup | A felhasználó tagot vagy vendéget adott hozzá egy SharePoint-csoporthoz. Ez lehet szándékos művelet vagy egy másik tevékenység, például egy megosztási esemény eredménye. |
| Engedélyszint öröklésének megszakadása | PermissionLevelsInheritanceBroken | Egy elem módosult, így a továbbiakban nem örökli a szülőelem jogosultsági szintjeit. |
| Megosztás öröklésének megszakadása | SharingInheritanceBroken | Egy elem módosult, így a továbbiakban nem örökli a megosztási engedélyeket a szülőelemétől. |
| Létrehozott csoport | GroupAdded | A webhelygazda vagy a tulajdonos létrehoz egy csoportot egy webhelyhez, vagy végrehajt egy olyan feladatot, amely csoport létrehozását eredményezi. Amikor például egy felhasználó először hoz létre hivatkozást egy fájl megosztásához, a rendszer hozzáad egy rendszercsoportot a felhasználó OneDrive Vállalati verzió webhelyéhez. Ennek az eseménynek az is lehet az eredménye, hogy egy felhasználó egy megosztott fájlra mutató szerkesztési engedélyekkel rendelkező hivatkozást hoz létre. |
| Törölt csoport | GroupRemoved | A felhasználó töröl egy csoportot egy webhelyről. |
| Módosított hozzáférési kérelem beállítása | WebRequestAccessModified | A hozzáférési kérelem beállításai egy webhelyen módosultak. |
| Módosult a "Tagok megoszthatják" beállítás | WebMembersCanShareModified | A Tagok megoszthatják beállítást módosították egy webhelyen. |
| Webhelycsoport módosított jogosultsági szintje | PermissionLevelModified | Egy webhelycsoport engedélyszintje módosult. |
| Módosított webhelyengedélyek | SitePermissionsModified | A webhelygazda vagy a tulajdonos (vagy a rendszerfiók) módosítja a webhely egy csoportjához rendelt jogosultsági szintet. Ezt a tevékenységet akkor is naplózza a rendszer, ha az összes engedélyt eltávolítják egy csoportból. MEGJEGYZÉS: Ez a művelet elavult a SharePoint Online-ban. A kapcsolódó események kereséséhez kereshet más, engedélyekkel kapcsolatos tevékenységeket is, például webhelycsoport-rendszergazda hozzáadása, felhasználó vagy csoport hozzáadása a SharePoint-csoporthoz, Engedélyezett felhasználó csoportok létrehozásához, Létrehozott csoport és Törölt csoport. |
| Engedélyszint eltávolítva a webhelycsoportból | PermissionLevelRemoved | Egy engedélyszint el lett távolítva egy webhelycsoportból. |
| Eltávolított webhelycsoportgazda | SiteCollectionAdminRemoved | A webhelycsoportgazda vagy -tulajdonos eltávolít egy személyt webhelycsoportgazdaként egy webhelyhez. Ezt a tevékenységet akkor is naplózza a rendszer, ha egy rendszergazda eltávolítja magát a felhasználó OneDrive-fiókjához tartozó webhelycsoportgazdák listájáról (a felhasználói profil szerkesztésével a SharePoint Felügyeleti központban). Ha vissza szeretné adni ezt a tevékenységet az auditnapló keresési eredményei között, az összes tevékenységet meg kell keresnie. |
| Felhasználó vagy csoport eltávolítása a SharePoint-csoportból | RemovedFromGroup | A felhasználó eltávolított egy tagot vagy vendéget egy SharePoint-csoportból. Ez lehet szándékos művelet vagy egy másik tevékenység eredménye, például egy megosztás megszüntetése. |
| Kért webhely-rendszergazdai engedélyek | SiteAdminChangeRequest | A felhasználó azt kéri, hogy adjon hozzá webhelycsoportgazdaként egy webhelycsoporthoz. A webhelycsoportgazdák teljes hozzáféréssel rendelkeznek a webhelycsoporthoz és az összes alwebhelyhez. |
| Visszaállított megosztásöröklés | SharingInheritanceReset | Módosítás történt, hogy egy elem a szülőelemétől örökli a megosztási engedélyeket. |
| Csoport frissítése | GroupUpdated | A webhelygazda vagy a tulajdonos módosítja egy webhelycsoport beállításait. Ide tartozhat a csoport nevének módosítása, a csoporttagság megtekintésére és szerkesztésére jogosultak, valamint a tagsági kérelmek kezelése. |
Helyfelügyeleti tevékenységek
Az alábbi táblázat a SharePoint Online webhelyfelügyeleti feladataiból eredő eseményeket sorolja fel. Ahogy korábban említettem, egyes SharePoint-tevékenységek naplózási rekordjai azt jelzik, app@sharepoint felhasználó a műveletet kezdeményező felhasználó vagy rendszergazda nevében hajtotta végre a tevékenységet. További információ: Az alkalmazás@SharePoint-felhasználója a naplórekordokban.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Engedélyezett adathely hozzáadva | AllowedDataLocationAdded | Egy SharePoint- vagy globális rendszergazda engedélyezett adathelyet adott hozzá több földrajzi helyen. |
| Kivételt képező felhasználói ügynök hozzáadva | ExemptUserAgentSet | Egy SharePoint- vagy globális rendszergazda hozzáadott egy felhasználói ügynököt a kivétel alá tartozó felhasználói ügynökök listájához a SharePoint Felügyeleti központban. |
| Földrajzi hely rendszergazdája hozzáadva | GeoAdminAdded | Egy SharePoint- vagy globális rendszergazda hozzáadott egy felhasználót egy hely földrajzi rendszergazdájaként. |
| Csoportok létrehozásának engedélyezése a felhasználó számára | AllowGroupCreationSet | A webhelygazda vagy a tulajdonos hozzáad egy engedélyszintet egy webhelyhez, amely lehetővé teszi, hogy az adott engedélyhez hozzárendelt felhasználó létrehozhasson egy csoportot az adott webhelyhez. |
| Webhely georeduktálásának megszakítása | SiteGeoMoveCancelled | Egy SharePoint- vagy globális rendszergazda sikeresen megszakítja a SharePoint- vagy OneDrive-webhely földrajzi áthelyezését. A Multi-Geo képesség lehetővé teszi, hogy a szervezetek több Microsoft-adatközpontot is lefednek, amelyeket földrajzi helyeknek neveznek. További információ: Multi-Geo Capabilities in OneDrive and SharePoint Online. |
| Megosztási szabályzat módosítása | SharingPolicyChanged | Egy SharePoint- vagy globális rendszergazda módosított egy SharePoint-megosztási házirendet a Microsoft 365 Felügyeleti központ, a SharePoint Felügyeleti központ vagy a SharePoint Online felügyeleti rendszerhéj használatával. A rendszer naplózza a szervezet megosztási házirendjének beállításait. A módosított szabályzatot az eseményrekord részletes tulajdonságai között a ModifiedProperties mező azonosítja. |
| Eszközhozzáférés-szabályzat módosítása | DeviceAccessPolicyChanged | Egy SharePoint- vagy globális rendszergazda módosította a szervezet nem felügyelt eszközszabályzatát. Ez a szabályzat szabályozza a SharePointhoz, a OneDrive-hoz és a Microsoft 365-höz való hozzáférést a szervezethez nem csatlakoztatott eszközökről. A szabályzat konfigurálásához Enterprise Mobility + Security-előfizetés szükséges. További információért olvassa el a Nem kezelt eszközök hozzáférésének kezelése című témakört. |
| Kivételt képező felhasználói ügynökök módosítása | CustomizeExemptUsers | Egy SharePoint- vagy globális rendszergazda testre szabta a kivételt képező felhasználói ügynökök listáját a SharePoint Felügyeleti központban. Megadhatja, hogy mely felhasználói ügynökök mentesüljenek a teljes weblapok indexelése alól. Ez azt jelenti, hogy ha egy kivételként megadott felhasználói ügynök InfoPath-űrlapot talál, az űrlap xml-fájlként lesz visszaadva, nem pedig teljes weblapként. Ez felgyorsítja az InfoPath-űrlapok indexelését. |
| Módosított hálózati hozzáférési szabályzat | NetworkAccessPolicyChanged | Egy SharePoint- vagy globális rendszergazda módosította a helyalapú hozzáférési házirendet (más néven megbízható hálózathatárt) a SharePoint Felügyeleti központban vagy a SharePoint Online PowerShell használatával. Ez a házirendtípus szabályozza, hogy ki férhet hozzá a szervezet SharePoint- és OneDrive-erőforrásaihoz az Ön által megadott engedélyezett IP-címtartományok alapján. További információt a SharePoint Online- és a OneDrive-adatok hálózati hely szerinti elérésének szabályozása című témakörben talál. |
| A webhely földrajzi helyének áthelyezése befejeződött | SiteGeoMoveCompleted | A szervezet globális rendszergazdája által ütemezett hely földrajzi áthelyezése sikeresen befejeződött. A Multi-Geo képesség lehetővé teszi, hogy a szervezetek több Microsoft-adatközpontot is lefednek, amelyeket földrajzi helyeknek neveznek. További információ: Multi-Geo Capabilities in OneDrive and SharePoint Online. |
| Létrehozva a Küldés a kapcsolathoz | SendToConnectionAdded | Egy SharePoint- vagy globális rendszergazda új Küldési kapcsolatot hoz létre a SharePoint Felügyeleti központ Rekordkezelő lapján. A küldési kapcsolat egy dokumentumtár vagy egy rekordtár beállításait adja meg. Küldési kapcsolat létrehozásakor a tartalomszervezők a megadott helyre küldhetnek dokumentumokat. |
| Webhelycsoport létrehozása | SiteCollectionCreated | Egy SharePoint- vagy globális rendszergazda webhelycsoportot hoz létre a SharePoint Online-szervezetben, vagy egy felhasználó kiépít egy OneDrive Vállalati verzió webhelyet. |
| Törölt árva központi webhely | HubSiteOrphanHubDeleted | Egy SharePoint- vagy globális rendszergazda törölt egy árva központi webhelyet, amely egy központi webhely, amelyhez nincs társítva webhely. Az árva központot valószínűleg az eredeti központi hely törlése okozza. |
| Törölt elküldött kapcsolat | SendToConnectionRemoved | A SharePoint- vagy globális rendszergazda törli a Küldés ide kapcsolatot a SharePoint Felügyeleti központ Rekordkezelő lapján. |
| Törölt webhely | Webhely törölve | A webhelygazda töröl egy webhelyet. |
| Engedélyezett dokumentum előnézete | PreviewModeEnabledSet | A webhelygazda engedélyezi a webhely dokumentumelőnézetét. |
| Engedélyezett örökölt munkafolyamat | LegacyWorkflowEnabledSet | A webhelygazda vagy -tulajdonos hozzáadja a SharePoint 2013 munkafolyamat-feladat tartalomtípusát a webhelyhez. A globális rendszergazdák a teljes szervezet számára is engedélyezhetik a munkafolyamatokat a SharePoint Felügyeleti központban. |
| Igény szerinti Office engedélyezése | OfficeOnDemandSet | A webhelygazda engedélyezi az Igény szerinti Office-t, amellyel a felhasználók hozzáférhetnek az asztali Office-alkalmazások legújabb verziójához. Az Igény szerinti Office engedélyezve van a SharePoint Felügyeleti központban, és olyan Microsoft 365-előfizetést igényel, amely tartalmazza a teljes, telepített Office-alkalmazásokat. |
| Engedélyezett találatforrás személykeresésekhez | PeopleResultsScopeSet | A webhelygazda létrehozza a találatforrást a webhely személykereséseihez. |
| Engedélyezett RSS-hírcsatornák | NewsFeedEnabledSet | A webhelygazda vagy -tulajdonos engedélyezi az RSS-hírcsatornákat egy webhelyhez. A globális rendszergazdák a SharePoint Felügyeleti központban engedélyezhetik az RSS-hírcsatornákat a teljes szervezet számára. |
| Csatlakoztatott hely a központi helyhez | HubSiteJoined | A webhely tulajdonosa egy központi webhelyhez társítja a webhelyet. |
| Módosított webhelycsoportkvóta | SiteCollectionQuotaModified | A webhelygazda módosítja egy webhelycsoport kvótáját. |
| Regisztrált központi hely | HubSiteRegistered | Egy SharePoint- vagy globális rendszergazda létrehoz egy központi webhelyet. Az eredmények szerint a webhely központi helyként van regisztrálva. |
| Az adatok engedélyezett helye el lett távolítva | AllowedDataLocationDeleted | Egy SharePoint- vagy globális rendszergazda eltávolított egy engedélyezett adathelyet több földrajzi helyen. |
| A földrajzi hely rendszergazdája eltávolítva | GeoAdminDeleted | Egy SharePoint- vagy globális rendszergazda eltávolított egy felhasználót egy hely földrajzi rendszergazdájaként. |
| Átnevezett webhely | SiteRenamed | Webhelygazda vagy -tulajdonos átnevez egy webhelyet |
| Ütemezett hely földrajzi áthelyezése | SiteGeoMoveScheduled | Egy SharePoint- vagy globális rendszergazda sikeresen ütemezi a SharePoint- vagy OneDrive-webhely földrajzi áthelyezését. A Multi-Geo képesség lehetővé teszi, hogy a szervezetek több Microsoft-adatközpontot is lefednek, amelyeket földrajzi helyeknek neveznek. További információ: Multi-Geo Capabilities in OneDrive and SharePoint Online. |
| Gazdagépwebhely beállítása | HostSiteSet | Egy SharePoint- vagy globális rendszergazda személyes vagy OneDrive Vállalati verzió webhelyek üzemeltetésére módosítja a kijelölt webhelyet. |
| Tárhelykvóta beállítása földrajzi helyhez | GeoQuotaAllocated | Egy SharePoint- vagy globális rendszergazda konfigurálta a tárhelykvótát egy több földrajzi helyen lévő földrajzi helyhez. |
| Nem összekapcsolt hely a központi helyről | HubSiteUnjoined | A webhely tulajdonosa leválasztja a webhelyet a központi webhelyről. |
| Nem regisztrált központi hely | HubSiteUnregistered | Egy SharePoint- vagy globális rendszergazda megszünteti a webhelyek központi webhelyként való regisztrációjának törlését. Ha egy központi hely regisztrációja megszűnik, az már nem működik központi helyként. |
Exchange-postaláda-tevékenységek
Az alábbi táblázat azokat a tevékenységeket sorolja fel, amelyeket naplózhat a postaláda-naplózás. A postaláda tulajdonosa, meghatalmazott felhasználója vagy rendszergazdája által végrehajtott postaláda-tevékenységeket a rendszer legfeljebb 90 napig automatikusan naplózza az auditnaplóban. A rendszergazdák kikapcsolhatják a postaládanaplózást a szervezet összes felhasználója számára. Ebben az esetben egyetlen felhasználó postaláda-műveletei sem lesznek naplózva. További információ: Postaláda-naplózás kezelése.
Postaláda-tevékenységekre a Exchange Online PowerShell Search-MailboxAuditLog parancsmagjának használatával is kereshet.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Elért postaládaelemek | MailItemsAccessed | Az üzeneteket postaládában olvasták vagy érték el. A tevékenység naplózási rekordjai kétféleképpen aktiválódnak: amikor egy levelezőprogram (például az Outlook) kötési műveletet hajt végre az üzeneteken, vagy amikor a levelezési protokollok (például Exchange ActiveSync protokoll vagy IMAP) szinkronizálják az elemeket egy levelezési mappában. Ez a tevékenység csak Office 365 vagy Microsoft 365 E5 licenccel rendelkező felhasználók esetében van naplózva. A tevékenység naplózási rekordjainak elemzése hasznos lehet a feltört e-mail-fiókok vizsgálatakor. További információkért lásd a Naplózás (Prémium) szakasz "Naplózás (Prémium) eseményei" című szakaszát. |
| Meghatalmazotti postaláda-engedélyek hozzáadva | Add-MailboxPermission | Egy rendszergazda FullAccess postaláda-engedélyt rendelt egy felhasználóhoz (más néven meghatalmazotthoz) egy másik személy postaládájához. A FullAccess engedély lehetővé teszi, hogy a meghatalmazott megnyissa a másik személy postaládáját, és elolvassa és kezelje a postaláda tartalmát. A tevékenység naplózási rekordja akkor is létrejön, ha a Microsoft 365 szolgáltatás egyik rendszerfiókja rendszeres időközönként karbantartási feladatokat végez a szervezet nevében. A rendszerfiókok gyakori feladata a rendszerpostaládák engedélyeinek frissítése. További információ: Rendszerfiókok az Exchange postaláda-naplózási rekordjaiban. |
| A naptármappához meghatalmazotti hozzáféréssel rendelkező felhasználó hozzáadása vagy eltávolítása | UpdateCalendarDelegation | Egy felhasználó hozzá lett adva vagy el lett távolítva meghatalmazottként egy másik felhasználó postaládájának naptárában. A naptárdelegálás másnak is engedélyt ad a szervezeten belül a postaláda tulajdonosának naptárának kezelésére. |
| Engedélyek hozzáadva a mappához | AddFolderPermissions | Mappaengedély lett hozzáadva. A mappaengedélyek szabályozzák, hogy a szervezet mely felhasználói férhetnek hozzá a postaládák mappáihoz és a mappákban található üzenetekhez. |
| Üzenetek másolása másik mappába | Másol | A program egy üzenetet egy másik mappába másolt. |
| Postaládaelem létrehozása | Létrehozás | A rendszer létrehoz egy elemet a postaláda Naptár, Névjegyek, Jegyzetek vagy Feladatok mappájában. Létrejön például egy új értekezlet-összehívás. Az üzenetek létrehozását, küldését és fogadását a rendszer nem naplózja. Emellett a postaládamappa létrehozását sem naplózták. |
| Új levelezési szabály létrehozása az Outlook Web Appban | New-InboxRule | Egy postaláda tulajdonosa vagy a postaládához hozzáféréssel rendelkező más felhasználó létrehozott egy levelezési szabályt az Outlook webappban. |
| Törölt üzenetek a Törölt elemek mappából | SoftDelete | Egy üzenetet véglegesen töröltek vagy töröltek a Törölt elemek mappából. Ezek az elemek a Helyreállítható elemek mappába kerülnek. A rendszer akkor is áthelyezi az üzeneteket a Helyreállítható elemek mappába, amikor egy felhasználó kijelöli azt, és lenyomja a Shift+Delete billentyűkombinációt. |
| Címkézett üzenet rekordként | ApplyRecordLabel | Egy üzenet rekordként lett besorolva. Ez akkor fordul elő, ha a tartalmat rekordként osztályozó adatmegőrzési címke manuálisan vagy automatikusan alkalmazva van egy üzenetre. |
| Üzenetek áthelyezése másik mappába | Mozgatni | A rendszer áthelyezett egy üzenetet egy másik mappába. |
| Üzenetek áthelyezése a Törölt elemek mappába | MoveToDeletedItems | Egy üzenet törölve lett, és a Törölt elemek mappába került. |
| Mappaengedély módosítása | UpdateFolderPermissions | Módosult egy mappaengedély. A mappaengedélyek szabályozzák, hogy a szervezet mely felhasználói férhetnek hozzá a postaládamappákhoz és a mappában lévő üzenetekhez. |
| Módosított levelezési szabály az Outlook Web Appból | Set-InboxRule | Egy postaláda tulajdonosa vagy a postaládához hozzáféréssel rendelkező más felhasználó módosított egy levelezési szabályt az Outlook Web App használatával. |
| Üzenetek kiürítése a postaládából | HardDelete | Egy üzenet törlődött a Helyreállítható elemek mappából (véglegesen törölve a postaládából). |
| Delegált postaláda-engedélyek eltávolítása | Remove-MailboxPermission | Egy rendszergazda eltávolította a (meghatalmazotthoz rendelt) FullAccess engedélyt egy személy postaládájából. A FullAccess engedély eltávolítása után a meghatalmazott nem tudja megnyitni a másik személy postaládáját, és nem férhet hozzá a benne lévő tartalomhoz. |
| Engedélyek eltávolítása a mappából | RemoveFolderPermissions | Egy mappaengedély el lett távolítva. A mappaengedélyek szabályozzák, hogy a szervezet mely felhasználói férhetnek hozzá a postaládák mappáihoz és a mappákban található üzenetekhez. |
| Elküldött üzenet | Küldés | Üzenetet küldtek, megválaszoltak vagy továbbítottak. Ez a tevékenység csak Office 365 vagy Microsoft 365 E5 licenccel rendelkező felhasználók esetében van naplózva. További információkért lásd a Naplózás (Prémium) szakasz "Naplózás (Prémium) eseményei" című szakaszát. |
| Küldés másként engedélyekkel elküldött üzenet | Küldési fiók | Üzenet küldése a SendAs engedéllyel történt. Ez azt jelenti, hogy egy másik felhasználó úgy küldte az üzenetet, mintha a postaláda tulajdonosától érkezett volna. |
| Küldés más nevében engedélyekkel elküldött üzenet | SendOnBehalf | Üzenet küldése a SendOnBehalf engedéllyel történt. Ez azt jelenti, hogy egy másik felhasználó küldte az üzenetet a postaláda tulajdonosának nevében. Az üzenet jelzi a címzettnek, hogy kinek a nevében küldték el az üzenetet, és hogy valójában ki küldte az üzenetet. |
| Frissített levelezési szabályok az Outlook-ügyfélről | UpdateInboxRules | Postaláda-tulajdonos vagy más felhasználó, aki hozzáféréssel rendelkezik az Outlook-ügyféllel létrehozott, módosított vagy eltávolított postaláda-szabályhoz. |
| Frissített üzenet | Frissítés | Egy üzenet vagy tulajdonságai megváltoztak. |
| A postaládába bejelentkezett felhasználó | MailboxLogin | A felhasználó bejelentkezett a postaládájába. |
| Üzenet címkézése rekordként | Egy felhasználó adatmegőrzési címkét alkalmazott egy e-mailre, és ez a címke úgy van konfigurálva, hogy az elemet rekordként jelölje meg. |
Rendszerfiókok az Exchange-postaláda naplózási rekordjaiban
Egyes postaláda-tevékenységek (különösen az Add-MailboxPermissions) naplózási rekordjaiban észreveheti, hogy a tevékenységet végrehajtó (és a Felhasználó és a Felhasználóazonosító mezőkben azonosított) felhasználó NT AUTHORITY\SYSTEM vagy NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost). Ez azt jelzi, hogy a tevékenységet végrehajtó "felhasználó" egy rendszerfiók volt a Microsoft felhőbeli Exchange szolgáltatásban. Ez a rendszerfiók gyakran ütemezett karbantartási feladatokat végez a szervezet nevében. Az NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost) fiók által végzett gyakori naplózási tevékenység például az engedélyek frissítése a DiscoverySearchMailbox mappában, amely egy rendszerpostaláda. A frissítés célja annak ellenőrzése, hogy a FullAccess engedély (amely az alapértelmezett) hozzá van-e rendelve a DiscoverySearchMailbox felderítési felügyeleti szerepkörcsoporthoz. Ez biztosítja, hogy az adatfeltárási rendszergazdák elvégezhessék a szervezeten belüli szükséges feladatokat.
Az Add-MailboxPermission naplórekordjában azonosítható másik rendszerfelhasználói fiók Administrator@apcprd03.prod.outlook.com. Ez a szolgáltatásfiók a FullAccess engedély ellenőrzésével és frissítésével kapcsolatos postaládanapló-rekordokban is szerepel, és a DiscoverySearchMailbox rendszerpostaláda Felderítési felügyeleti szerepkörcsoporthoz van rendelve. A Administrator@apcprd03.prod.outlook.com fiókot azonosító naplózási rekordok általában akkor aktiválódnak, ha a Microsoft támogatási munkatársai RBAC-szerepkör-diagnosztikai eszközt futtatnak a szervezet nevében.
Felhasználófelügyeleti tevékenységek
Az alábbi táblázat azokat a felhasználói felügyeleti tevékenységeket sorolja fel, amelyeket akkor naplóz a rendszer, amikor egy rendszergazda felhasználói fiókot ad hozzá vagy módosít a Microsoft 365 Felügyeleti központ vagy az Azure felügyeleti portál használatával.
Megjegyzés
A következő táblázat Művelet oszlopában felsorolt műveletnevek pont ( ) . tartalmúak. A művelet nevében szerepelnie kell az időszaknak, ha a műveletet egy PowerShell-parancsban adja meg, amikor az auditnaplóban keres, naplózási adatmegőrzési házirendeket hoz létre, riasztási házirendeket hoz létre, vagy tevékenységriasztásokat hoz létre. Ügyeljen arra is, hogy idézőjelek (" ") használatával tartalmazza a művelet nevét.
| Tevékenység | Művelet | Leírás |
|---|---|---|
| Felhasználó hozzáadása | Felhasználó hozzáadása. | Létrejött egy felhasználói fiók. |
| Módosított felhasználói licenc | Felhasználói licenc módosítása. | A felhasználóhoz rendelt licenc, amely megváltozott. A módosított licencek megtekintéséhez tekintse meg a megfelelő frissített felhasználói tevékenységet. |
| Módosított felhasználói jelszó | Felhasználói jelszó módosítása. | A felhasználó módosítja a jelszavát. Az önkiszolgáló jelszó-visszaállítást engedélyezni kell (az összes vagy kijelölt felhasználó számára), hogy a felhasználók visszaállíthassák a jelszavukat. Az Önkiszolgáló jelszó-visszaállítási tevékenységeket az Azure Active Directoryban is nyomon követheti. További információ: Jelentéskészítési lehetőségek Azure AD jelszókezeléshez. |
| Törölt felhasználó | Felhasználó törlése. | Egy felhasználói fiók törölve lett. |
| Felhasználói jelszó alaphelyzetbe állítása | Új felhasználói jelszó kérése. | A rendszergazda visszaállítja egy felhasználó jelszavát. |
| Olyan tulajdonság beállítása, amely kényszeríti a felhasználót a jelszó módosítására | Felhasználói jelszó kényszerített módosításának beállítása. | A rendszergazda beállítja azt a tulajdonságot, amely arra kényszeríti a felhasználót, hogy módosítsa a jelszavát, amikor legközelebb bejelentkezik a Microsoft 365-be. |
| Licenctulajdonságok beállítása | Adja meg a licenctulajdonságokat. | A rendszergazda módosítja egy felhasználóhoz hozzárendelt licencelt tulajdonságait. |
| Felhasználó frissítése | Felhasználó frissítése. | A rendszergazda módosítja egy felhasználói fiók egy vagy több tulajdonságát. A frissíthető felhasználói tulajdonságok listájáért tekintse meg az Azure Active Directory naplózási jelentés eseményeinek "Felhasználói attribútumok frissítése" szakaszát. |
csoportfelügyeleti tevékenységek Azure AD
Az alábbi táblázat azokat a csoportfelügyeleti tevékenységeket sorolja fel, amelyeket akkor naplóz a rendszer, amikor egy rendszergazda vagy egy felhasználó létrehoz vagy módosít egy Microsoft 365-csoportot, vagy amikor egy rendszergazda biztonsági csoportot hoz létre a Microsoft 365 Felügyeleti központ vagy az Azure felügyeleti portál használatával. A Microsoft 365-csoportokról a Csoportok megtekintése, létrehozása és törlése a Microsoft 365 Felügyeleti központ című témakörben talál további információt.
Megjegyzés
A következő táblázat Művelet oszlopában felsorolt műveletnevek pont ( ) . tartalmúak. A művelet nevében szerepelnie kell az időszaknak, ha a műveletet egy PowerShell-parancsban adja meg, amikor az auditnaplóban keres, naplózási adatmegőrzési házirendeket hoz létre, riasztási házirendeket hoz létre, vagy tevékenységriasztásokat hoz létre. Ügyeljen arra is, hogy idézőjelek (" ") használatával tartalmazza a művelet nevét.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Csoport hozzáadása | Csoport hozzáadása. | Létre lett hozva egy csoport. |
| Tag hozzáadva a csoporthoz | Tag hozzáadása a csoporthoz. | Egy tag hozzá lett adva egy csoporthoz. |
| Törölt csoport | Csoport törlése. | Egy csoport törölve lett. |
| Tag eltávolítása a csoportból | Tag eltávolítása a csoportból. | Egy tag el lett távolítva egy csoportból. |
| Csoport frissítése | Csoport frissítése. | Egy csoport egyik tulajdonsága megváltozott. |
Alkalmazásfelügyeleti tevékenységek
Az alábbi táblázat azokat az alkalmazás-rendszergazdai tevékenységeket sorolja fel, amelyeket akkor naplóz a rendszer, amikor egy rendszergazda hozzáad vagy módosít egy Azure AD regisztrált alkalmazást. A hitelesítéshez Azure AD támaszkodó alkalmazásokat regisztrálni kell a címtárban.
Megjegyzés
A következő táblázat Művelet oszlopában felsorolt műveletnevek pont ( ) . tartalmúak. A művelet nevében szerepelnie kell az időszaknak, ha a műveletet egy PowerShell-parancsban adja meg, amikor az auditnaplóban keres, naplózási adatmegőrzési házirendeket hoz létre, riasztási házirendeket hoz létre, vagy tevékenységriasztásokat hoz létre. Ügyeljen arra is, hogy idézőjelek (" ") használatával tartalmazza a művelet nevét.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Delegálási bejegyzés hozzáadva | Delegálási bejegyzés hozzáadása. | Hitelesítési engedély lett létrehozva/meg lett adva egy alkalmazásnak Azure AD. |
| Szolgáltatásnév hozzáadva | Szolgáltatásnév hozzáadása. | Egy alkalmazás regisztrálva lett Azure AD. Az alkalmazásokat a címtárban egy szolgáltatásnév képviseli. |
| Hitelesítő adatok hozzáadva egy szolgáltatásnévhez | Szolgáltatásnév hitelesítő adatainak hozzáadása. | A hitelesítő adatok hozzá lettek adva egy szolgáltatásnévhez Azure AD. A szolgáltatásnév a címtárban lévő alkalmazásokat jelöli. |
| Delegálási bejegyzés eltávolítása | Delegálási bejegyzés eltávolítása. | Egy hitelesítési engedély el lett távolítva egy alkalmazásból Azure AD. |
| Szolgáltatásnév el lett távolítva a címtárból | Távolítsa el a szolgáltatásnevet. | Egy alkalmazás törölve lett/törölve lett a Azure AD. Az alkalmazásokat a címtárban egy szolgáltatásnév képviseli. |
| A hitelesítő adatok el lettek távolítva egy szolgáltatásnévből | Távolítsa el a szolgáltatásnév hitelesítő adatait. | A hitelesítő adatok el lettek távolítva egy szolgáltatásnévből Azure AD. A szolgáltatásnév a címtárban lévő alkalmazásokat jelöli. |
| Delegálási bejegyzés beállítása | Delegálási bejegyzés beállítása. | Egy alkalmazás hitelesítési engedélyét frissítettük Azure AD. |
Szerepkör-felügyeleti tevékenységek
Az alábbi táblázat Azure AD szerepkör-felügyeleti tevékenységeket sorolja fel, amelyeket akkor naplóz a rendszer, amikor egy rendszergazda rendszergazdai szerepköröket kezel a Microsoft 365 Felügyeleti központ vagy az Azure felügyeleti portálján.
Megjegyzés
A következő táblázat Művelet oszlopában felsorolt műveletnevek pont ( ) . tartalmúak. A művelet nevében szerepelnie kell az időszaknak, ha a műveletet egy PowerShell-parancsban adja meg, amikor az auditnaplóban keres, naplózási adatmegőrzési házirendeket hoz létre, riasztási házirendeket hoz létre, vagy tevékenységriasztásokat hoz létre. Ügyeljen arra is, hogy idézőjelek (" ") használatával tartalmazza a művelet nevét.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Tag hozzáadása szerepkörhöz | Tag hozzáadása a szerepkörhöz. | Felhasználó hozzáadása rendszergazdai szerepkörhöz a Microsoft 365-ben. |
| Felhasználó eltávolítása címtárszerepkörből | Tag eltávolítása a szerepkörből. | Eltávolított egy felhasználót egy rendszergazdai szerepkörből a Microsoft 365-ben. |
| Céges kapcsolattartási adatok beállítása | Vállalati kapcsolattartási adatok beállítása. | Frissítettük a céges szintű kapcsolattartási beállításokat a szervezet számára. Ide tartoznak a Microsoft 365 által küldött, előfizetéssel kapcsolatos e-mail-címek, valamint a szolgáltatásokra vonatkozó technikai értesítések. |
Címtár-felügyeleti tevékenységek
Az alábbi táblázat Azure AD címtárral és tartománnyal kapcsolatos tevékenységeket sorolja fel, amelyek akkor lesznek naplózva, amikor egy rendszergazda felügyeli a szervezetet a Microsoft 365 Felügyeleti központ vagy az Azure felügyeleti portálján.
Megjegyzés
A következő táblázat Művelet oszlopában felsorolt műveletnevek pont ( ) . tartalmúak. A művelet nevében szerepelnie kell az időszaknak, ha a műveletet egy PowerShell-parancsban adja meg, amikor az auditnaplóban keres, naplózási adatmegőrzési házirendeket hoz létre, riasztási házirendeket hoz létre, vagy tevékenységriasztásokat hoz létre. Ügyeljen arra is, hogy idézőjelek (" ") használatával tartalmazza a művelet nevét.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Tartomány hozzáadva a vállalathoz | Tartomány hozzáadása a vállalathoz. | Felvett egy tartományt a szervezetbe. |
| Partner hozzáadása a címtárhoz | Partner hozzáadása a vállalathoz. | Partner (delegált rendszergazda) hozzáadása a szervezethez. |
| Tartomány eltávolítása a vállalattól | Távolítsa el a tartományt a vállalatból. | Eltávolított egy tartományt a szervezetből. |
| Partner eltávolítása a címtárból | Partner eltávolítása a vállalatból. | Eltávolított egy partnert (delegált rendszergazdát) a szervezetből. |
| Vállalati adatok beállítása | Állítsa be a vállalati adatokat. | Frissítettük a céges adatokat a szervezet számára. Ide tartoznak a Microsoft 365 által küldött, előfizetéssel kapcsolatos e-mail-címek, valamint a Microsoft 365-szolgáltatásokkal kapcsolatos technikai értesítések. |
| Tartományhitelesítés beállítása | Állítsa be a tartományhitelesítést. | Módosította a szervezet tartományhitelesítési beállítását. |
| Tartomány összevonási beállításainak frissítése | Összevonási beállítások megadása a tartományon. | Módosította a szervezet összevonási (külső megosztási) beállításait. |
| Jelszóházirend beállítása | Jelszóházirend beállítása. | Módosította a szervezet felhasználói jelszavának hosszát és karakterkorlátozásait. |
| Azure AD szinkronizálás bekapcsolása | Állítsa be a DirSyncEnabled jelzőt. | Állítsa be az Azure AD-szinkronizáló könyvtárát engedélyező tulajdonságot. |
| Tartomány frissítése | Tartomány frissítése. | Frissítette egy tartomány beállításait a szervezetben. |
| Ellenőrzött tartomány | Ellenőrizze a tartományt. | Ellenőrizte, hogy a szervezet egy tartomány tulajdonosa-e. |
| Ellenőrzött e-mail-cím ellenőrzött tartománya | Ellenőrizze az e-mail ellenőrzött tartományát. | E-mail-ellenőrzéssel ellenőrizte, hogy a szervezet tulajdonosa-e egy tartománynak. |
Feltárási tevékenységek
A biztonsági és megfelelőségi portálon vagy a megfelelő PowerShell-parancsmagok futtatásával végrehajtott tartalomkereséssel és feltárással kapcsolatos tevékenységek bekerülnek az auditnaplóba. Ez a következő tevékenységeket foglalja magában:
Feltárási esetek létrehozása és kezelése
Tartalomkeresések létrehozása, indítása és szerkesztése
Tartalomkeresési műveletek végrehajtása, például a keresési eredmények megtekintése, exportálása és törlése
Engedélyszűrés konfigurálása tartalomkereséshez
Az adatfeltárás-rendszergazdai szerepkör kezelése
A naplózott feltárási tevékenységek listájáért és részletes leírásáért lásd: Feltárási tevékenységek keresése az auditnaplóban.
Megjegyzés
Akár 30 percet is igénybe vehet, hogy a feltárási tevékenységek és a Tevékenységek legördülő listában szereplő feltárási (prémium) tevékenységekből származó események megjelenjenek a keresési eredmények között. Ezzel szemben akár 24 órát is igénybe vehet, hogy a feltárási parancsmagtevékenységek megfelelő eseményei megjelenjenek a keresési eredményekben.
Feltárási (prémium) tevékenységek
Az auditnaplóban a Microsoft Purview Feltárás (Prémium) szolgáltatásban is kereshet tevékenységeket. Ezeknek a tevékenységeknek a leírásáért tekintse meg az elektronikus adatok feltárásával kapcsolatos tevékenységek keresése az auditnaplóban című témakör "Feltárási (prémium) tevékenységei" című szakaszát.
Power BI-tevékenységek
Az auditnaplóban kereshet tevékenységeket a Power BI-ban. A Power BI-tevékenységekkel kapcsolatos információkért tekintse meg a "Power BI által naplózott tevékenységek" szakaszt a Céges naplózás használata című szakaszban.
A Power BI naplózása alapértelmezés szerint nincs engedélyezve. Ahhoz, hogy Power BI-tevékenységeket keressen az auditnaplóban, engedélyeznie kell a naplózást a Power BI felügyeleti portálján. Útmutatásért tekintse meg a Power BI felügyeleti portáljának "Auditnaplók" című szakaszát.
Munkahelyi elemzési tevékenységek
A Workplace Analytics betekintést nyújt a csoportok szervezeten belüli együttműködésébe. Az alábbi táblázat azokat a tevékenységeket sorolja fel, amelyeket a Rendszergazda vagy az Elemző szerepkörökhöz hozzárendelt felhasználók végeznek a Workplace Analyticsben. Az Elemző szerepkörrel rendelkező felhasználók teljes hozzáféréssel rendelkeznek az összes szolgáltatásfunkcióhoz, és a termék használatával végeznek elemzést. A Rendszergazda szerepkörhöz rendelt felhasználók konfigurálhatják az adatvédelmi beállításokat és a rendszer alapértelmezéseit, valamint előkészíthetik, feltölthetik és ellenőrizhetik a szervezeti adatokat a Workplace Analyticsben. További információ: Workplace Analytics.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Megnyitott OData-hivatkozás | AccessedOdataLink | Az elemző hozzáfért egy lekérdezés OData-hivatkozásához. |
| Megszakított lekérdezés | CanceledQuery (Megszakított lekérdezés) | Az elemző megszakított egy futó lekérdezést. |
| Értekezletkizárás létrehozása | MeetingExclusionCreated | Az elemző létrehozott egy értekezletkizárási szabályt. |
| Törölt eredmény | DeletedResult | Az elemző törölt egy lekérdezési eredményt. |
| Letöltött jelentés | DownloadedReport | Az elemző letöltött egy lekérdezés eredményfájlt. |
| Végrehajtott lekérdezés | ExecutedQuery | Az elemző lekérdezést futtatott. |
| Frissített adathozzáférési beállítás | FrissítettDataAccessSetting | Rendszergazda frissített adathozzáférési beállításokat. |
| Frissített adatvédelmi beállítás | UpdatedPrivacySetting | Rendszergazda frissített adatvédelmi beállításokat, például a minimális csoportméretet. |
| Feltöltött szervezeti adatok | UploadedOrgData | Rendszergazda feltöltött szervezeti adatfájlt. |
| Bejelentkezett felhasználó* | UserLoggedIn | Egy felhasználó bejelentkezett a Microsoft 365-ös felhasználói fiókjába. |
| A felhasználó kijelentkezett* | UserLoggedOff | Egy felhasználó kijelentkezett a Microsoft 365-ös felhasználói fiókjából. |
| Megtekintett felfedezés | ViewedExplore | Az elemző egy vagy több Felfedezés lapfülön tekintette meg a vizualizációkat. |
Megjegyzés
*Ezek az Azure Active Directory bejelentkezési és kijelentkezteti tevékenységei. Ezek a tevékenységek akkor is naplózva lesznek, ha nincs bekapcsolva a Munkahelyi elemzés a szervezetben. További információ a felhasználói bejelentkezési tevékenységekről: Bejelentkezési naplók az Azure Active Directoryban.
Microsoft Teams-tevékenységek
A Microsoft Teamsben a naplóban kereshet felhasználói és rendszergazdai tevékenységeket. A Teams egy csevegésközpontú munkaterület a Microsoft 365-ben. Egyetlen helyen egyesíti a csapat beszélgetéseit, értekezleteit, fájljait és jegyzeteit. A naplózott Teams-tevékenységek leírását a Microsoft Teams eseményeinek keresése az auditnaplóban című témakörben tekintheti meg.
Microsoft Teams Healthcare-tevékenységek
Ha szervezete a Microsoft Teams Patients alkalmazását használja, az auditnaplóban megkeresheti a Patients alkalmazással kapcsolatos tevékenységeket. Ha a környezete a Patients alkalmazás támogatására van konfigurálva, a tevékenységekhez egy további tevékenységcsoport is elérhető a Tevékenységekválasztó listában.
A Patients alkalmazás tevékenységeinek leírását a Betegek alkalmazás auditnaplóiban tekintheti meg.
Microsoft Teams Shifts-tevékenységek
Ha szervezete a Microsoft Teams Shifts alkalmazását használja, az auditnaplóban megkeresheti a Shifts alkalmazással kapcsolatos tevékenységeket. Ha a környezete a Shifts-alkalmazások támogatására van konfigurálva, ezekhez a tevékenységekhez egy további tevékenységcsoport is elérhető a Tevékenységválasztó listában.
A Shifts alkalmazás tevékenységeinek leírását a Microsoft Teams eseményeinek keresése az auditnaplóban című témakörben tekintheti meg.
Yammer-tevékenységek
Az alábbi táblázat a Yammerben az auditnaplóban naplózott felhasználói és rendszergazdai tevékenységeket sorolja fel. Ha vissza szeretné adni a Yammerhez kapcsolódó tevékenységeket az auditnaplóból, a Tevékenységek listában az összes tevékenység eredményének megjelenítése lehetőséget kell választania. A keresési eredmények szűkítéséhez használja a dátumtartomány-mezőket és a Felhasználók listát.
Megjegyzés
Egyes Yammer-naplózási tevékenységek csak a Naplózás (Prémium) nézetben érhetők el. Ez azt jelenti, hogy a felhasználókhoz hozzá kell rendelni a megfelelő licencet, mielőtt ezek a tevékenységek bekerülnek az auditnaplóba. A csak a Naplózás (Prémium) szolgáltatásban elérhető tevékenységekről a Microsoft 365 Naplózás (Prémium) című témakörében talál további információt. A naplózási (prémium) licencelési követelményekről a Microsoft 365 naplózási megoldásaiban olvashat.
Az alábbi táblázatban a naplózási (Prémium) tevékenységek csillaggal (*) vannak kiemelve.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Módosított adatmegőrzési szabályzat | SoftDeleteSettingsUpdated | Az igazolt rendszergazda a hálózati adatmegőrzési házirend beállítását a Rögzített törlés vagy a Helyreállítható törlés értékre frissíti. Ezt a műveletet csak igazolt rendszergazdák hajthatják végre. |
| Módosított hálózati konfiguráció | NetworkConfigurationUpdated | A hálózati vagy igazolt rendszergazda módosítja a Yammer-hálózat konfigurációját. Ez magában foglalja az adatok exportálási időközének beállítását és a csevegés engedélyezését. |
| A hálózati profil beállításainak módosítása | ProcessProfileFields | A hálózati vagy igazolt rendszergazda módosítja a hálózati felhasználók hálózatának tagprofiljaiban megjelenő információkat. |
| Privát tartalom mód módosítása | SupervisorAdminToggled | Az igazolt rendszergazda be- vagy kikapcsolja a Privát tartalom módot . Ez a mód lehetővé teszi, hogy a rendszergazda megtekintse a privát csoportok bejegyzéseit, és megtekintse az egyes felhasználók (vagy felhasználói csoportok) közötti privát üzeneteket. Ezt a műveletet csak igazolt rendszergazdák hajthatják végre. |
| Módosított biztonsági konfiguráció | NetworkSecurityConfigurationUpdated | Az igazolt rendszergazda frissíti a Yammer-hálózat biztonsági konfigurációját. Ez magában foglalja a jelszó-elévülési szabályzatok és az IP-címekre vonatkozó korlátozások beállítását. Ezt a műveletet csak igazolt rendszergazdák hajthatják végre. |
| Fájl létrehozása | FileCreated | A felhasználó feltölt egy fájlt. |
| Létrehozott csoport | GroupCreation | A felhasználó létrehoz egy csoportot. |
| Létrehozott üzenet* | MessageCreated | A felhasználó létrehoz egy üzenetet. |
| Törölt csoport | GroupDeletion | Egy csoport törlődik a Yammerből. |
| Törölt üzenet | Üzenet törölve | A felhasználó töröl egy üzenetet. |
| Letöltött fájl | FileDownloaded | A felhasználó letölt egy fájlt. |
| Exportált adatok | DataExport | Igazolt rendszergazda exportálja a Yammer hálózati adatait. Ezt a műveletet csak igazolt rendszergazdák hajthatják végre. |
| Nem sikerült hozzáférni a közösséghez* | CommunityAccessFailure | A felhasználó nem tudott hozzáférni egy közösséghez. |
| Nem sikerült hozzáférni a fájlhoz* | FileAccessFailure | A felhasználó nem tudott hozzáférni egy fájlhoz. |
| Nem sikerült elérni az üzenetet* | MessageAccessFailure | A felhasználó nem tudott hozzáférni egy üzenethez. |
| Megosztott fájl | FileShared | A felhasználó megoszt egy fájlt egy másik felhasználóval. |
| Felfüggesztett hálózati felhasználó | NetworkUserSuspended | A hálózati vagy igazolt rendszergazda felfüggeszti (inaktiválja) a felhasználókat a Yammerből. |
| Felfüggesztett felhasználó | UserSuspension | A felhasználói fiók fel van függesztve (inaktiválva). |
| Frissített fájlleírás | FileUpdateDescription | A felhasználó módosítja egy fájl leírását. |
| Fájlnév frissítése | FileUpdateName | A felhasználó módosítja egy fájl nevét. |
| Frissített üzenet* | MessageUpdated | A felhasználó frissít egy üzenetet. |
| Megtekintett fájl | FileVisited | A felhasználó megtekint egy fájlt. |
| Megtekintett üzenet* | MessageViewed | A felhasználó megtekint egy üzenetet. |
Microsoft Power Automate-tevékenységek
Az auditnaplóban kereshet tevékenységeket a Power Automate-ben (korábbi nevén Microsoft Flow). Ilyen tevékenységek például a folyamatok létrehozása, szerkesztése és törlése, valamint a folyamatengedélyek módosítása. A Power Automate-tevékenységek naplózásával kapcsolatos információkért tekintse meg a Power Automate naplózási eseményeinek a megfelelőségi portálon elérhető blogját.
Microsoft Power Apps-tevékenységek
Az auditnaplóban alkalmazásokkal kapcsolatos tevékenységeket kereshet a Power Appsben. Ezek a tevékenységek magukban foglalják az alkalmazások létrehozását, elindítását és közzétételét. Az engedélyek alkalmazásokhoz való hozzárendelését is naplózjuk. Az összes Power Apps-tevékenység leírását a Power Apps tevékenységnaplózási szolgáltatásában tekintheti meg.
Microsoft Stream tevékenységek
Az auditnaplóban kereshet tevékenységeket Microsoft Stream. Ezek közé tartoznak a felhasználók által végzett videotevékenységek, a csoportcsatorna-tevékenységek és a rendszergazdai tevékenységek, például a felhasználók kezelése, a szervezeti beállítások kezelése és a jelentések exportálása. A tevékenységek leírását a Microsoft Stream Naplók szakaszának "A Streamben naplózott műveletek" című szakaszában találja.
Tartalomkezelő-tevékenységek
Az alábbi táblázat a tartalomkezelőben az auditnaplóban naplózott tevékenységeket sorolja fel. Tartalomkezelő, amely a megfelelőségi portál Adatbesorolási eszközén érhető el. További információ: Az adatbesorolási tartalomkezelő használata.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Elért elem | LabelContentExplorerAccessedItem | A rendszergazdák (vagy a Tartalomkezelő tartalommegjelenítő szerepkörcsoportjának tagjai) a Tartalomkezelő használatával tekinthetnek meg e-maileket vagy SharePoint-/OneDrive-dokumentumokat. |
Karanténtevékenységek
Az alábbi táblázat azokat a karanténtevékenységeket sorolja fel, amelyeket az auditnaplóban kereshet. A karanténról további információt az e-mailek karanténba helyezéséről szóló cikkben talál.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Karanténüzenet törlése | QuarantineDelete | A felhasználó törölt egy kártékonynak ítélt e-mailt. |
| Exportált karanténüzenet | QuarantineExport | Egy felhasználó olyan e-mail üzenetet exportált, amelyet károsnak ítélt. |
| Előzetes verziójú karanténüzenet | QuarantinePreview | Egy felhasználó egy károsnak ítélt e-mail üzenet előnézetét tekintette meg. |
| Karanténüzenet jelent meg | QuarantineRelease | A felhasználó közzétett egy e-mailt a karanténból, amelyet károsnak ítélt. |
| A karanténüzenet fejlécének megtekintése | QuarantineViewHeader | Egy felhasználó egy károsnak ítélt e-mail-üzenetet tekintett meg a fejlécben. |
Microsoft Forms tevékenységek
Az ebben a szakaszban szereplő táblák a naplóban naplózott felhasználói és rendszergazdai tevékenységeket Microsoft Forms. Microsoft Forms egy űrlap-/teszt-/felmérési eszköz, amellyel adatokat gyűjthet elemzés céljából. Ahol a leírásokban alább látható, egyes műveletek további tevékenységparamétereket tartalmaznak.
Ha a Forms-tevékenységet társszerző vagy névtelen válaszadó hajtja végre, a program kissé másképp naplózza azt. További információt a társszerzők és a névtelen válaszadók által végzett Űrlapok című szakaszban talál.
Megjegyzés
Egyes űrlapnaplózási tevékenységek csak a Naplózás (Prémium) szolgáltatásban érhetők el. Ez azt jelenti, hogy a felhasználókhoz hozzá kell rendelni a megfelelő licencet, mielőtt ezek a tevékenységek bekerülnek az auditnaplóba. A csak a Naplózás (Prémium) szolgáltatásban elérhető tevékenységekről a Microsoft 365 Naplózás (Prémium) című témakörében talál további információt. A naplózási (prémium) licencelési követelményekről a Microsoft 365 naplózási megoldásaiban olvashat.
Az alábbi táblázatban a naplózási (Prémium) tevékenységek csillaggal (*) vannak kiemelve.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Megjegyzés létrehozása | Megjegyzés létrehozása | Az űrlap tulajdonosa megjegyzést vagy pontszámot ad hozzá egy teszthez. |
| Űrlap létrehozása | Űrlap létrehozása | Az űrlap tulajdonosa létrehoz egy új űrlapot. A DataMode:string tulajdonság azt jelzi, hogy az aktuális űrlap szinkronizálva van egy új vagy meglévő Excel-munkafüzettel, ha a tulajdonság értéke DataSync. Az ExcelWorkbookLink:string tulajdonság az aktuális űrlaphoz társított Excel-munkafüzet-azonosítót jelzi. |
| Szerkesztett űrlap | EditForm | Az űrlap tulajdonosa szerkeszt egy űrlapot, például létrehoz, eltávolít vagy szerkeszt egy kérdést. Az EditOperation:string tulajdonság a szerkesztési művelet nevét jelzi. A lehetséges műveletek a következők: – CreateQuestion - CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice - DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice - UploadFormImage/Bing/Onedrive - UploadQuestionImage - ChangeTheme A FormImage minden olyan helyet tartalmaz az űrlapokon belül, ahol a felhasználó feltölthet egy képet, például egy lekérdezésben vagy háttértémaként. |
| Áthelyezett űrlap | MoveForm | Az űrlap tulajdonosa áthelyez egy űrlapot. A DestinationUserId:string tulajdonság az űrlapot áthelyező személy felhasználói azonosítóját jelzi. A NewFormId:string tulajdonság az újonnan másolt űrlap új azonosítója. Az IsDelegateAccess:boolean tulajdonság azt jelzi, hogy az aktuális űrlap-áthelyezési műveletet a rendszergazdai delegált lapon hajtja végre a rendszer. |
| Törölt űrlap | DeleteForm | Az űrlap tulajdonosa töröl egy űrlapot. Ebbe beletartozik a SoftDelete (törlési lehetőség és a lomtárba áthelyezett űrlap) és a HardDelete (a Lomtár kiürítve). |
| Megtekintett űrlap (tervezési idő) | ViewForm | Az űrlap tulajdonosa megnyit egy meglévő űrlapot szerkesztésre. Az AccessDenied:boolean tulajdonság azt jelzi, hogy az aktuális űrlap hozzáférése engedélyellenőrzés miatt megtagadva. A FromSummaryLink:boolean tulajdonság azt jelzi, hogy az aktuális kérés az összefoglaló hivatkozás oldaláról származik. |
| Előnézetű űrlap | PreviewForm | Az űrlap tulajdonosa az Előnézet függvénnyel tekinti meg az űrlap előnézetét. |
| Exportált űrlap | Űrlap exportálása | Az űrlap tulajdonosa exportálja az eredményeket az Excelbe. Az ExportFormat:string tulajdonság azt jelzi, hogy az Excel-fájl Letöltés vagy Online. |
| Másolásra engedélyezett megosztási űrlap | AllowShareFormForCopy | Az űrlap tulajdonosa létrehoz egy sablonhivatkozást az űrlap más felhasználókkal való megosztásához. Ezt az eseményt akkor naplózza a rendszer, amikor az űrlap tulajdonosa a sablon URL-címének létrehozásához kattint. |
| Nem engedélyezett megosztási űrlap másoláshoz | DisallowShareFormForCopy | Az űrlap tulajdonosa törli a sablonhivatkozást. |
| Űrlap-társszerzőség hozzáadva | AddFormCoauthor | A felhasználók együttműködési hivatkozással segítik a válaszok tervezését/megtekintését. Ezt az eseményt akkor naplózza a rendszer, ha egy felhasználó egy kollázs URL-címet használ (nem akkor, amikor először jön létre a collab URL). |
| Eltávolított űrlap-társszerző | RemoveFormCoauthor | Az űrlap tulajdonosa törli az együttműködési hivatkozást. |
| Megtekintett válaszoldal | ViewRuntimeForm | A felhasználó megnyitott egy megtekintendő válaszoldalt. Ezt az eseményt a rendszer naplózza, függetlenül attól, hogy a felhasználó választ küld-e vagy sem. |
| Válasz létrehozása | CreateResponse | Hasonló az új válaszhoz. Egy felhasználó egy űrlapra küldött választ. A ResponseId:string tulajdonság és a ResponderId:string tulajdonság azt jelzi, hogy melyik eredmény van megtekintve. Névtelen válaszadó esetén a ResponderId tulajdonság null értékű lesz. |
| Frissített válasz | UpdateResponse | Az űrlap tulajdonosa frissített egy megjegyzést vagy pontszámot egy teszten. A ResponseId:string tulajdonság és a ResponderId:string tulajdonság azt jelzi, hogy melyik eredmény van megtekintve. Névtelen válaszadó esetén a ResponderId tulajdonság null értékű lesz. |
| Az összes válasz törölve | DeleteAllResponses | Az űrlap tulajdonosa törli az összes válaszadatot. |
| Törölt válasz | DeleteResponse | Az űrlap tulajdonosa egyetlen választ töröl. A ResponseId:string tulajdonság azt jelzi, hogy a válasz törölve lett. |
| Megtekintett válaszok | ViewResponses | Az űrlap tulajdonosa megtekinti a válaszok összesített listáját. Property ViewType:string – Azt jelzi, hogy az űrlap tulajdonosa megtekinti-e a Részlet vagy az Összesítés nézetet |
| Megtekintett válasz | ViewResponse | Az űrlap tulajdonosa egy adott választ tekint meg. A ResponseId:string tulajdonság és a ResponderId:string tulajdonság azt jelzi, hogy melyik eredmény van megtekintve. Névtelen válaszadó esetén a ResponderId tulajdonság null értékű lesz. |
| Összefoglaló hivatkozás létrehozása | GetSummaryLink | Az űrlap tulajdonosa összefoglaló eredmények hivatkozását hozza létre az eredmények megosztásához. |
| Törölt összefoglaló hivatkozás | DeleteSummaryLink | Az űrlap tulajdonosa törli az összefoglaló eredmények hivatkozását. |
| Űrlap adathalászati állapotának frissítése | UpdatePhishingStatus | Ezt az eseményt a rendszer minden alkalommal naplózza, amikor a belső biztonsági állapot részletes értéke módosult, függetlenül attól, hogy ez módosította-e a végső biztonsági állapotot (például az űrlap most bezárul vagy meg van nyitva). Ez azt jelenti, hogy a biztonsági állapot végleges módosítása nélkül ismétlődő események jelenhetnek meg. Az esemény lehetséges állapotértékei a következők: - Vegye le - Take Down by Rendszergazda – Rendszergazda feloldva - Automatikusan letiltva – Automatikus feloldás - Ügyfél által jelentett – Új ügyfél bejelentése |
| Felhasználó adathalászati állapotának frissítése | UpdateUserPhishingStatus | Ezt az eseményt a rendszer minden alkalommal naplózza, amikor a felhasználói biztonsági állapot értéke módosult. A naplórekordban szereplő felhasználói állapot értéke adathalászként van megerősítve , amikor a felhasználó létrehozott egy adathalász űrlapot, amelyet a Microsoft Online biztonsági csapata levett. Ha egy rendszergazda feloldja a felhasználó letiltását, a felhasználó állapotának értéke Normál felhasználóként alaphelyzetbe áll. |
| Elküldött Űrlapok Pro-meghívó | ProInvitation | A felhasználó a Pro-próbaverzió aktiválásához kattint. |
| Frissített űrlapbeállítás* | UpdateFormSetting | Az űrlap tulajdonosa egy vagy több űrlapbeállítást frissít. A FormSettingName:string tulajdonság a bizalmas beállítások frissített nevét jelzi. A NewFormSettings:string tulajdonság a frissített beállítások nevét és új értékét jelzi. A thankYouMessageContainsLink:boolean tulajdonság azt jelzi, hogy a frissített köszönőüzenet tartalmaz egy URL-hivatkozást. |
| Frissített felhasználói beállítás | UpdateUserSetting | Az űrlap tulajdonosa frissíti a felhasználói beállításokat. A UserSettingName:string tulajdonság a beállítás nevét és új értékét jelzi |
| Listázott űrlapok* | Listaűrek | Az űrlap tulajdonosa egy űrlaplistát tekint meg. A ViewType:string tulajdonság azt jelzi, hogy az űrlap tulajdonosa melyik nézetet nézi: Minden űrlap, Velem megosztva vagy Csoportűrlapok |
| Elküldött válasz | SubmitResponse | A felhasználó elküld egy választ egy űrlapra. Az IsInternalForm:boolean tulajdonság azt jelzi, hogy a válaszadó ugyanabban a szervezetben van-e, mint az űrlap tulajdonosa. |
| Bárki válaszolhat a beállítás engedélyezésével* | AllowAnonymousResponse | Az űrlap tulajdonosa bekapcsolja a beállítást, így bárki válaszolhat az űrlapra. |
| Bárki válaszolhat a beállítás letiltva* | DisallowAnonymousResponse | Az űrlap tulajdonosa kikapcsolja a beállítást, így bárki válaszolhat az űrlapra. |
| Az engedélyezett személyek válaszolhatnak a beállításra* | EnableSpecificResponse | Az űrlap tulajdonosa bekapcsolja azt a beállítást, amely lehetővé teszi, hogy csak az aktuális szervezet adott tagjai vagy adott csoportjai válaszolhassanak az űrlapra. |
| Adott személyek válaszolhatnak a beállítás letiltva* | DisableSpecificResponse | Az űrlap tulajdonosa kikapcsolja a beállítást, így csak az aktuális szervezet adott tagjai vagy adott csoportjai válaszolhassanak az űrlapra. |
| Adott válaszadó hozzáadva* | AddSpecificResponder | Az űrlap tulajdonosa hozzáad egy új felhasználót vagy csoportot az adott válaszadók listájához. |
| Adott válaszadó eltávolítása* | RemoveSpecificResponder | Az űrlap tulajdonosa eltávolít egy felhasználót vagy csoportot az adott válaszadók listájából. |
| Letiltott együttműködés* | DisableCollaboration | Az űrlap tulajdonosa kikapcsolja az együttműködés beállításait az űrlapon. |
| Engedélyezett Office 365 munkahelyi vagy iskolai fiókok együttműködése* | EnableWorkOrSchoolCollaboration | Az űrlap tulajdonosa bekapcsolja azt a beállítást, amely lehetővé teszi, hogy a Microsoft 365 munkahelyi vagy iskolai fiókjával rendelkező felhasználók megtekinthetik és szerkeszthetik az űrlapot. |
| Engedélyezett személyek a szervezeten belüli együttműködésben* | EnableSameOrgCollaboration | Az űrlap tulajdonosa bekapcsolja azt a beállítást, amellyel az aktuális szervezet felhasználói megtekinthetik és szerkeszthetik az űrlapot. |
| Adott személyek együttműködésének engedélyezése* | EnableSpecificCollaboaration | Az űrlap tulajdonosa bekapcsolja azt a beállítást, amely lehetővé teszi, hogy az aktuális szervezetben csak bizonyos személyek vagy csoportok tekinthessék meg és szerkeszthessék az űrlapot. |
| Excel-munkafüzethez csatlakoztatva* | ConnectToExcelWorkbook | Az űrlapot egy Excel-munkafüzethez kapcsolta. Az ExcelWorkbookLink:string tulajdonság az aktuális űrlaphoz társított Excel-munkafüzet-azonosítót jelzi. |
| Gyűjtemény létrehozása | CollectionCreated (Gyűjtemény létrehozása) | Az űrlap tulajdonosa létrehozott egy gyűjteményt. |
| Gyűjtemény frissítése | CollectionUpdated | Az űrlap tulajdonosa frissített egy gyűjteménytulajdonságot. |
| Törölt gyűjtemény a Lomtárból | CollectionHardDeleted | Az űrlap tulajdonosa véglegesen törölt egy gyűjteményt a Lomtárból. |
| Gyűjtemény áthelyezése a Lomtárba | CollectionSoftDeleted | Az űrlap tulajdonosa áthelyezett egy gyűjteményt a Lomtárba. |
| Gyűjtemény átnevezve | CollectionRenamed | Az űrlap tulajdonosa módosította egy gyűjtemény nevét. |
| Űrlap áthelyezése gyűjteménybe | MovedFormIntoCollection | Az űrlap tulajdonosa áthelyezett egy űrlapot egy gyűjteménybe. |
| Űrlap áthelyezése a gyűjteményből | MovedFormOutofCollection | Az űrlap tulajdonosa áthelyezett egy űrlapot egy gyűjteményből. |
Társszerzők és névtelen válaszadók által végzett űrlaptevékenységek
Az űrlapok támogatják az együttműködést az űrlapok tervezésekor és a válaszok elemzésekor. Az űrlap-közreműködők társszerzőnek is nevezik. A társszerzők mindent elvégezhetnek, amit egy űrlap tulajdonosa tehet, kivéve az űrlapok törlését vagy áthelyezését. Az űrlapok lehetővé teszik olyan űrlapok létrehozását is, amelyek névtelenül válaszolhatók meg. Ez azt jelenti, hogy a válaszadónak nem kell bejelentkeznie a szervezetbe ahhoz, hogy válaszoljon egy űrlapra.
Az alábbi táblázat a társszerzők és névtelen válaszadók által végzett tevékenységek naplózási tevékenységeit és a naplórekordban szereplő információkat ismerteti.
| Tevékenység típusa | Belső vagy külső felhasználó | Naplózott felhasználói azonosító | A szervezet bejelentkezett a következőbe: | Űrlap felhasználótípusa |
|---|---|---|---|---|
| Társszerzőség tevékenységek | Belső | UPN | Űrlaptulajdonos szervezetének | Társszerzőség |
| Társszerzőség tevékenységek | Külső | UPN |
Társszerzői szervezet |
Társszerzőség |
| Társszerzőség tevékenységek | Külső | urn:forms:coauthor#a0b1c2d3@forms.office.com(Az azonosító második része egy kivonat, amely a különböző felhasználók esetében eltérő lesz) |
Űrlaptulajdonos szervezetének |
Társszerzőség |
| Választevékenységek | Külső | UPN |
A válaszadó szervezetének |
Válaszadó |
| Választevékenységek | Külső | urn:forms:external#a0b1c2d3@forms.office.com(A felhasználói azonosító második része egy kivonat, amely a különböző felhasználók esetében eltérő lesz) |
Űrlaptulajdonos szervezetének | Válaszadó |
| Választevékenységek | Névtelen | urn:forms:anonymous#a0b1c2d3@forms.office.com(A felhasználói azonosító második része egy kivonat, amely a különböző felhasználók esetében eltérő lesz) |
Űrlaptulajdonos szervezetének | Válaszadó |
Bizalmassági címkékkel kapcsolatos tevékenységek
Az alábbi táblázat a bizalmassági címkék használatából eredő eseményeket sorolja fel.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Bizalmassági címke alkalmazása a webhelyre | SensitivityLabelApplied | Bizalmassági címkét alkalmaztak egy SharePoint- vagy Teams-webhelyre. |
| Bizalmassági címke eltávolítása a webhelyről | SensitivityLabelRemoved | Egy bizalmassági címke el lett távolítva egy SharePoint- vagy Teams-webhelyről. |
| Bizalmassági címke alkalmazása a fájlra | FileSensitivityLabelApplied | A microsoftos 365-alkalmazások Webes Office egy bizalmassági címkét alkalmaztak egy dokumentumra. vagy egy automatikus címkézési szabályzatot. |
| A fájlra alkalmazott bizalmassági címke módosult | FileSensitivityLabelChanged SensitivityLabelUpdated |
A program egy másik bizalmassági címkét alkalmazott egy dokumentumra. A tevékenység műveletei a címke módosításának módjától függően eltérőek: - Webes Office vagy automatikus címkézési szabályzat (FileSensitivityLabelChanged) – Microsoft 365-alkalmazások (SensitivityLabelUpdated) |
| Módosított bizalmassági címke egy webhelyen | SensitivityLabelChanged | Más bizalmassági címkét alkalmaztak egy SharePoint- vagy Teams-webhelyre. |
| Bizalmassági címke eltávolítása a fájlból | FileSensitivityLabelRemoved | A bizalmassági címkét Microsoft 365-alkalmazások, Webes Office, automatikus címkézési szabályzat vagy az Unlock-SPOSensitivityLabelEncryptedFile parancsmag használatával eltávolították a dokumentumból. |
Adatmegőrzési házirend és adatmegőrzési címke tevékenységei
Az alábbi táblázat az adatmegőrzési házirendek és adatmegőrzési címkék konfigurációs tevékenységeit ismerteti létrehozásuk, újrakonfigurálásuk vagy törlésükkor.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Adaptív hatókör tagságának módosítása | ApplicableAdaptiveScopeChange | A felhasználók, webhelyek vagy csoportok hozzá lettek adva vagy el lettek távolítva az adaptív hatókörből. Ezek a módosítások a hatókör lekérdezésének futtatásának eredményei. Mivel a módosítások rendszer által kezdeményezettek, a jelentett felhasználó felhasználói fiók helyett GUID-ként jelenik meg. |
| Adatmegőrzési szabályzat konfigurált beállításai | NewRetentionComplianceRule | A rendszergazda konfigurálta az új adatmegőrzési házirend adatmegőrzési beállításait. Az adatmegőrzési beállítások magukban foglalják az elemek megőrzésének időtartamát, valamint azt, hogy mi történik az elemekkel a megőrzési időszak lejártakor (például elemek törlése, megőrzése vagy megőrzése, majd törlése). Ez a tevékenység a New-RetentionComplianceRule parancsmag futtatásának is megfelel. |
| Adaptív hatókör létrehozása | NewAdaptiveScope | A rendszergazda létrehozott egy adaptív hatókört. |
| Létrehozott adatmegőrzési címke | NewComplianceTag | A rendszergazda létrehozott egy új adatmegőrzési címkét. |
| Adatmegőrzési szabályzat létrehozása | NewRetentionCompliancePolicy | A rendszergazda létrehozott egy új adatmegőrzési házirendet. |
| Adaptív hatókör törölve | RemoveAdaptiveScope | A rendszergazda törölt egy adaptív hatókört. |
| Adatmegőrzési házirendből törölt beállítások | RemoveRetentionComplianceRule |
A rendszergazda törölte egy adatmegőrzési házirend konfigurációs beállításait. Ez a tevékenység valószínűleg akkor lesz naplózva, ha egy rendszergazda töröl egy adatmegőrzési szabályzatot, vagy futtatja a Remove-RetentionComplianceRule parancsmagot. |
| Törölt adatmegőrzési címke | RemoveComplianceTag | A rendszergazda törölt egy adatmegőrzési címkét. |
| Törölt adatmegőrzési szabályzat | RemoveRetentionCompliancePolicy |
A rendszergazda törölt egy adatmegőrzési házirendet. |
| Az adatmegőrzési címkék engedélyezett szabályozási rekordbeállítása |
SetRestrictiveRetentionUI | A rendszergazda a Set-RegulatoryComplianceUI parancsmagot futtatta, így a rendszergazda a felhasználói felület konfigurációs beállítását választva egy adatmegőrzési címkét adhat meg a tartalom szabályozási rekordként való megjelöléséhez. |
| Frissített adaptív hatókör | SetAdaptiveScope | A rendszergazda módosította egy meglévő adaptív hatókör leírását vagy lekérdezését. |
| Frissített adatmegőrzési házirend beállításai | SetRetentionComplianceRule | A rendszergazda módosította egy meglévő adatmegőrzési házirend adatmegőrzési beállításait. Az adatmegőrzési beállítások magukban foglalják az elemek megőrzésének időtartamát, valamint azt, hogy mi történik az elemekkel a megőrzési időszak lejártakor (például elemek törlése, megőrzése vagy megőrzése, majd törlése). Ez a tevékenység a Set-RetentionComplianceRule parancsmag futtatásának is megfelel. |
| Frissített adatmegőrzési címke | SetComplianceTag | A rendszergazda frissített egy meglévő adatmegőrzési címkét. |
| Frissített adatmegőrzési szabályzat | SetRetentionCompliancePolicy | A rendszergazda frissített egy meglévő adatmegőrzési házirendet. az eseményt kiváltó Frissítések közé tartoznak az adatmegőrzési házirend hatálya alá tartozó tartalomhelyek hozzáadása vagy kizárása. |
Tájékoztató e-mail-tevékenységek
Az alábbi táblázat a Microsoft 365 auditnaplójában naplózott Tájékoztató e-mailekben szereplő tevékenységeket sorolja fel. Az e-mailek eligazításával kapcsolatos további információkért lásd:
| Rövid név | Művelet | Leírás |
|---|---|---|
| Frissített szervezeti adatvédelmi beállítások | UpdatedOrganizationBriefingSettings | Rendszergazda a tájékoztató e-mailek szervezeti adatvédelmi beállításait frissíti. |
| Frissített felhasználói adatvédelmi beállítások | UpdatedUserBriefingSettings | Rendszergazda frissíti a Tájékoztató e-mail felhasználói adatvédelmi beállításait. |
MyAnalytics-tevékenységek
Az alábbi táblázat a Microsoft 365 auditnaplójában naplózott MyAnalytics-tevékenységeket sorolja fel. További információ a MyAnalytics szolgáltatásról: MyAnalytics for Admins.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Frissített szervezeti MyAnalytics-beállítások | UpdatedOrganizationMyAnalyticsSettings | Rendszergazda frissíti a MyAnalytics szervezeti szintű beállításait. |
| Frissített felhasználói MyAnalytics-beállítások | UpdatedUserMyAnalyticsSettings | Rendszergazda frissíti a MyAnalytics felhasználói beállításait. |
Információkorlátokkal kapcsolatos tevékenységek
Az alábbi táblázat a Microsoft 365 auditnaplójában naplózott információs akadályok tevékenységeit sorolja fel. Az információs akadályokról további információt a Microsoft 365 információs akadályairól szóló cikkben talál.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Szegmensek hozzáadva egy webhelyhez | SegmentsAdded | Egy SharePoint-, globális rendszergazda vagy webhelytulajdonos egy vagy több információkorlát-szegmenst adott hozzá a webhelyhez. |
| Webhely módosított szegmensei | SegmentsChanged | Egy SharePoint- vagy globális rendszergazda módosított egy vagy több információkorlát-szegmenst a webhelyen. |
| Szegmensek eltávolítása egy webhelyről | SegmentsRemoved | Egy SharePoint- vagy globális rendszergazda eltávolított egy vagy több információkorlát-szegmenst a webhelyről. |
Törlési felülvizsgálati tevékenységek
Az alábbi táblázat azokat a tevékenységeket sorolja fel, amelyek akkor történtek, amikor egy elem elérte a konfigurált megőrzési időszak végét. További információ: Tartalom megtekintése és letiltása.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Engedélyezett ártalmatlanítás | ApproveDisposal | A disposition reviewer approved the disposition of the item to move it to the next disposition stage. Ha az elem a törlési felülvizsgálat egyetlen vagy utolsó szakaszában volt, a törlés jóváhagyása végleges törlésre jogosultként jelölte meg az elemet. |
| Hosszabb megőrzési időtartam | ExtendRetention | A törlési felülvizsgáló meghosszabbította az elem megőrzési időtartamát. |
| Újracímkézett elem | Újracímkézi elem | Egy disposition reviewer újracímkézte a megőrzési címkét. |
| Véleményezők hozzáadva | AddReviewer | A disposition reviewer hozzáadott egy vagy több másik felhasználót az aktuális törlési felülvizsgálati szakaszhoz. |
Kommunikációs megfelelőségi tevékenységek
Az alábbi táblázat a Microsoft 365 auditnaplójában naplózott kommunikációs megfelelőségi tevékenységeket sorolja fel. További információt a Microsoft 365 kommunikációs megfelelőségéről szóló cikkben talál.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Szabályzat frissítése | SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted | Egy kommunikációs megfelelőségi rendszergazda szabályzatfrissítést hajtott végre. |
| Szabályzategyezés | FelügyeletRuleMatch | A felhasználó olyan üzenetet küldött, amely megfelel egy szabályzat feltételének. |
| Az üzenet(ek)re alkalmazott címke | Felügyeleti nézetcímke | A rendszer címkéket alkalmaz az üzenetekre, vagy feloldja az üzeneteket. |
Jelentési tevékenységek
Az alábbi táblázat a Microsoft 365 auditnaplójában naplózott használati jelentések tevékenységeit sorolja fel.
| Rövid név | Művelet | Leírás |
|---|---|---|
| A használati jelentés adatvédelmi beállításainak frissítése | UpdateUsageReportsPrivacySetting | Rendszergazda használati jelentések adatvédelmi beállításainak frissítése. |
Exchange-rendszergazdai auditnapló
Az Exchange rendszergazdai naplózása (amely alapértelmezés szerint engedélyezve van a Microsoft 365-ben) naplóz egy eseményt a naplóban, amikor egy rendszergazda (vagy rendszergazdai jogosultsággal rendelkező felhasználó) módosítást végez a Exchange Online szervezetében. Az Exchange felügyeleti központban vagy egy parancsmag futtatásával végzett módosítások Exchange Online PowerShellben az Exchange rendszergazdai naplójában lesznek naplózva. A Get-, Search- vagy Test-parancsmagokkal kezdődő parancsmagok nincsenek naplózva az auditnaplóban. A rendszergazdai naplózás exchange-beli naplózásáról további információt a Rendszergazdai naplózás című témakörben talál.
Fontos
Néhány Exchange Online olyan parancsmag, amely nincs naplózva az Exchange rendszergazdai naplójában (vagy az auditnaplóban). Ezen parancsmagok közül sok a Exchange Online szolgáltatás fenntartásához kapcsolódik, és a Microsoft adatközpontjának személyzete vagy szolgáltatásfiókjai futtatják őket. Ezek a parancsmagok nem lesznek naplózva, mert sok "zajos" naplózási eseményt eredményeznének. Ha egy Exchange Online-parancsmag nincs naplózva, küldjön egy tervmódosítási kérelmet (DCR) a Microsoft ügyfélszolgálata.
Íme néhány tipp az Exchange-rendszergazdai tevékenységek kereséséhez az auditnaplóban:
Ha az Exchange rendszergazdai naplójából szeretne bejegyzéseket visszaadni, a Tevékenységek listában az összes tevékenység eredményének megjelenítése lehetőséget kell választania. A dátumtartomány-mezők és a Felhasználók lista használatával szűkítheti egy adott Exchange-rendszergazda által egy adott dátumtartományon belül futtatott parancsmagok keresési eredményeit.
Ha eseményeket szeretne megjeleníteni az Exchange rendszergazdai naplójából, kattintson a Tevékenység oszlopra a parancsmagok nevének betűrendbe rendezéséhez.
A futtatott parancsmaggal, a használt paraméterekkel és paraméterértékekkel, valamint az érintett objektumokkal kapcsolatos információk lekéréséhez exportálhatja a keresési eredményeket az Összes találat letöltése lehetőség kiválasztásával. További információ: Naplórekordok exportálása, konfigurálása és megtekintése.
A Exchange Online PowerShellben található paranccsal csak
Search-UnifiedAuditLog -RecordType ExchangeAdminaz Exchange-rendszergazdai napló naplóiból adhat vissza naplórekordokat. Az Exchange-parancsmag futtatása után akár 30 percig is eltarthat, amíg a rendszer visszaadja a megfelelő naplóbejegyzést a keresési eredményekben. További információ: Search-UnifiedAuditLog. A Search-UnifiedAuditLog parancsmag által visszaadott keresési eredmények CSV-fájlba való exportálásáról a Napló exportálása , konfigurálása és megtekintése című szakasz "Tippek az auditnapló exportálásához és megtekintéséhez" című szakaszában talál további információt.Az Exchange felügyeleti naplójában lévő eseményeket az Exchange Felügyeleti központ használatával vagy a Search-AdminAuditLog futtatásával is megtekintheti Exchange Online PowerShellben. Ez egy jó módszer arra, hogy kifejezetten rákeresjen a Exchange Online rendszergazdák által végzett tevékenységekre. Az utasításokat itt találja:
Ne feledje, hogy a rendszer ugyanazokat az Exchange-rendszergazdai tevékenységeket naplózza az Exchange-rendszergazdai naplóban és az auditnaplóban is.
Titkosított üzenetportál-tevékenységek
A titkosított üzenetekhez hozzáférési naplók érhetők el a titkosított üzenetportálon keresztül, amellyel a szervezet meghatározhatja, hogy a külső címzettek mikor olvassák és továbbítják az üzeneteket. További információ a titkosított üzenetportál tevékenységnaplóinak engedélyezéséről és használatáról: Titkosított üzenetportál tevékenységnaplója.
A nyomon követett üzenetek minden naplózási bejegyzése a következő mezőket tartalmazza:
- MessageID – A nyomon követett üzenet azonosítóját tartalmazza. Ez a kulcsazonosító, amellyel egy üzenet követhető a rendszeren keresztül.
- Címzett – Az összes címzett e-mail-címének listája.
- Feladó – A feladó e-mail címe.
- AuthenticationMethod – Az üzenet elérésének hitelesítési módszerét ismerteti, például OTP, Yahoo, Gmail vagy Microsoft.
- AuthenticationStatus – A hitelesítés sikerességét vagy sikertelenségét jelző értéket tartalmaz.
- OperationStatus – Azt jelzi, hogy a jelzett művelet sikeres vagy sikertelen volt-e.
- AttachmentName – A melléklet neve.
- OperationProperties – Az opcionális tulajdonságok listája, például az elküldött EGYSZERI JELSZAVAS PIN-kódok száma vagy az e-mail tárgya.
SystemSync-tevékenységek
Az alábbi táblázat a Microsoft 365 auditnaplójában naplózott SystemSync-tevékenységeket sorolja fel.
| Rövid név | Művelet | Leírás |
|---|---|---|
| Data Share létrehozva | DataShareCreated | Amikor a felhasználó létrehozza az adatexportálást. |
| Data Share törölve | DataShareDeleted | Amikor a felhasználó törli az adatexportálást. |
| A Lake Data másolatának létrehozása | GenerateCopyOfLakeData | A Lake Data másolatának létrehozásakor. |
| A Lake Data másolatának letöltése | DownloadCopyOfLakeData | A Lake Data-példány letöltésekor. |
Gyakori kérdések
Melyek a jelenleg naplózott Microsoft 365-szolgáltatások?
A leggyakrabban használt szolgáltatások, például a Exchange Online, a SharePoint Online, a OneDrive Vállalati verzió, az Azure Active Directory, a Microsoft Teams, a Dynamics 365, a Office 365-höz készült Defender és a Power BI naplózásra kerülnek. A naplózott szolgáltatások listáját a cikk elején találja.
Milyen tevékenységeket naplóz a naplózási szolgáltatás a Microsoft 365-ben?
A naplózott tevékenységek listáját és leírását a cikk Naplózott tevékenységek szakaszában találja.
Mennyi ideig tart, amíg egy naplózási rekord elérhetővé válik egy esemény bekövetkezése után?
A legtöbb naplózási adat 30 percen belül elérhető, de akár 24 órát is igénybe vehet egy esemény bekövetkezése után, amíg a megfelelő naplóbejegyzés megjelenik a keresési eredményekben. Tekintse meg a jelen cikk auditnapló-szakaszában található táblázatot, amely bemutatja, hogy mennyi időbe telik, amíg a különböző szolgáltatások eseményei elérhetővé válnak.
Mennyi ideig őrzi meg a rendszer a naplórekordokat?
Ahogy korábban említettem, a Office 365 E5 csomag vagy Microsoft E5 licenccel (vagy Microsoft 365 E5 bővítménylicenccel rendelkező felhasználók) által végzett tevékenységek naplózási rekordjait egy évig őrzi meg a rendszer. Az egyesített naplózást támogató összes többi előfizetés esetében a naplórekordok 90 napig maradnak meg.
Hozzáférhetek a naplózási adatokhoz programozott módon?
Igen, A Office 365 Felügyeleti tevékenység API az auditnaplók programozott lekérésére szolgál. Első lépésekért tekintse meg a Office 365 Felügyeleti API-k használatának első lépéseit.
A biztonsági és megfelelőségi portálon vagy a Office 365 Felügyeleti tevékenység API-n kívül más módon is lekérhetők a naplók?
Igen, az alábbi módszerekkel kérdezheti le az auditnaplókat:
A naplókeresési eszköz a Microsoft Purview megfelelőségi portál.
A Search-UnifiedAuditLog parancsmag Exchange Online PowerShellben.
Egyenként engedélyezni kell a naplózást minden olyan szolgáltatásban, amelyhez naplókat szeretnék rögzíteni?
A legtöbb szolgáltatásban a naplózás alapértelmezés szerint engedélyezve van, miután első alkalommal bekapcsolta a naplózást a szervezetében (a cikk Naplózási naplókban való keresés előtt című szakaszában leírtak szerint).
Támogatja a naplózási szolgáltatás a rekordok duplikálását?
Nem. A naplózási szolgáltatás folyamata közel valós idejű, ezért nem támogatja a duplikálás megszüntetését.
Hol vannak tárolva a naplózási adatok?
Jelenleg a na (Észak-Amerika), az EMEA (Európa, Közel-Kelet és Afrika) és az APAC (Ázsia és a Csendes-óceáni térség) régióban vannak naplózási folyamattelepítések. Az ezekben a régiókban található bérlők a régióban tárolják a naplózási adatokat. A több földrajzi helyen lévő bérlők esetében a bérlő összes régiójából gyűjtött naplózási adatok csak a bérlő saját régiójában lesznek tárolva. Előfordulhat azonban, hogy ezeken a régiókon keresztül áramlik az adatok terheléselosztás céljából, és csak az élő helyekkel kapcsolatos problémák esetén. Amikor végrehajtjuk ezeket a tevékenységeket, az átvitel alatt lévő adatok titkosítva lesznek.
Titkosítva van az adatok naplózása?
A naplózási adatok tárolása Exchange-postaládákban (inaktív adatok) történik ugyanabban a régióban, ahol az egyesített naplózási folyamat üzembe van helyezve. Az exchange nem titkosítja az inaktív postaládaadatokat. A szolgáltatásszintű titkosítás azonban minden postaláda-adatot titkosít, mivel a Microsoft-adatközpontokban lévő Exchange-kiszolgálók titkosítása BitLocker keresztül zajlik. További információ: Microsoft 365 Encryption for Skype Vállalati verzió, OneDrive Vállalati verzió, SharePoint Online és Exchange Online.
Az átvitel alatt lévő levelezési adatok mindig titkosítva lesznek.