OfficeActivity
Журналы аудита для клиентов Office 365, собранных с помощью Azure Sentinel. Включая журналы Exchange, SharePoint и Teams.
Атрибуты таблицы
attribute | Значение |
---|---|
Типы ресурсов | - |
Категории | Безопасность |
Решения | AzureSentinelPrivatePreview, SecurityInsights |
Базовый журнал | Нет |
Преобразование во время приема | Да |
Примеры запросов | Да |
Столбцы
Столбец | Type | Описание |
---|---|---|
AADGroupId | строка | Идентификатор группы Azure Active Directory |
AADTarget | строка | Пользователь, с которым было выполнено действие (идентифицируемое свойством Operation) |
Действие | строка | Действие, выполненное пользователем. |
Субъект | строка | Субъект-пользователь или субъект-служба, которые выполнили действие |
ActorContextId | строка | GUID организации, к которой принадлежит субъект |
ActorIpAddress | строка | IP-адрес субъекта в формате IPV4 или IPV6 |
AddOnGuid | строка | Уникальный идентификатор надстройки, созданной этим событием. |
AddonName | строка | Имя надстройки, создающей это событие. |
AddOnType | строка | Тип надстройки, создающей это событие. |
AffectedItems | строка | Сведения о каждом элементе в группе |
AppDistributionMode | строка | Режим распространения приложений |
AppId | строка | Идентификатор приложения |
Приложение | строка | Имя приложения |
ApplicationId | строка | Идентификатор приложения SharePoint |
AzureActiveDirectory_EventType | строка | Тип события Azure AD |
AzureADAppId | строка | Идентификатор Azure AD приложения Teams |
_BilledSize | real | Размер записи в байтах |
ChannelGuid | строка | Уникальный идентификатор для канала, для которой выполняется аудит |
ChannelName | строка | Имя канала для аудита |
ChannelType | строка | Тип проверяемого канала (стандартный или частный) |
Имя чата | строка | Имя чата |
ChatThreadId | строка | Идентификатор потока чата |
клиент | строка | Сведения о клиентском устройстве, ОС устройства и браузере устройства, которые использовались для события входа в учетную запись |
Client_IPAddress | строка | IP-адрес устройства, которое использовалось при регистрации операции. |
ClientAppId | строка | Идентификатор клиентского приложения |
ClientInfoString | строка | Сведения о почтовом клиенте, который использовался для выполнения операции |
ClientIP | строка | IP-адрес устройства, которое использовалось при регистрации действия. |
ClientMachineName | строка | Имя компьютера, на котором размещается клиент Outlook. |
ClientProcessName | строка | Почтовый клиент, который использовался для доступа к почтовому ящику |
ClientVersion | строка | Версия почтового клиента |
Тип связи | строка | Тип проводившихся сообщений |
CrossMailboxOperations | bool | Указывает, включала ли операция несколько почтовых ящиков. |
CustomEvent | строка | Необязательная строка для пользовательских событий |
DataCenterSecurityEventType | INT | Тип события dmdlet в блокировке |
DestFolder | строка | Целевая папка |
DestinationFileExtension | строка | Расширение копируемых или перемещаемых файлов |
DestinationFileName | строка | Имя скопированного или перемещенного файла. |
DestinationRelativeUrl | строка | URL-адрес конечной папки, в которой копируется или перемещается файл. |
DestMailboxId | строка | Устанавливается только в том случае, если параметр CrossMailboxOperations имеет значение True. |
DestMailboxOwnerMasterAccountSid | строка | Устанавливается только в том случае, если параметр CrossMailboxOperations имеет значение True. |
DestMailboxOwnerSid | строка | Устанавливается только в том случае, если параметр CrossMailboxOperations имеет значение True. |
DestMailboxOwnerUPN | строка | Устанавливается только в том случае, если параметр CrossMailboxOperations имеет значение True. |
EffectiveOrganization | строка | Имя клиента, на который был нацелен командлет или повышение прав. |
ElevationApprovedTime | DATETIME | Метка времени утверждения повышения прав |
ElevationApprover | строка | Имя руководителя Майкрософт |
ElevationDuration | INT | Продолжительность, в течение которой повышение прав было активным (в часах) |
ElevationRequestId | строка | Уникальный идентификатор для запроса на повышение прав |
ElevationRole | строка | Роль, для нее было запрошено повышение прав |
ElevationTime | DATETIME | Время начала повышения прав |
Event_Data | строка | Необязательные полезные данные для пользовательских событий |
EventSource | строка | Указывает, что событие произошло в SharePoint. Возможные значения: SharePoint или ObjectModel |
ExtendedProperties | строка | Расширенные свойства события Azure AD |
ExternalAccess | строка | Указывает, выполнялся ли командлет пользователем в вашей организации. |
ExtraProperties | Динамический | Список дополнительных свойств |
Папка | строка | Папка, в которой находится группа элементов |
Папки | строка | Сведения об исходных папках, участвующих в операции |
GenericInfo | строка | Используется для комментариев и других общих сведений |
InternalLogonType | INT | Зарезервировано для внутреннего использования |
InterSystemsId | строка | GUID, отслеживающий действия между компонентами в службе Office 365. |
IntraSystemId | строка | ИДЕНТИФИКАТОР GUID, созданный Azure Active Directory для отслеживания действия. |
_IsBillable | строка | Указывает, является ли прием данных оплачиваемым. Если _IsBillable false не выставляется счет в вашей учетной записи Azure |
IsManagedDevice | bool | Указывает, была ли операция создана устройством, управляемым организацией. |
Элемент | строка | Представляет элемент, в отношении которого выполнялась операция. |
Название товара | строка | Строка в поле Тема сообщения электронной почты |
ItemType | строка | Тип объекта, к которому осуществлялся доступ или который был изменен. Дополнительные сведения о типах объектов см. в таблице ItemType. |
LoginStatus | INT | Это свойство получается непосредственно из параметра OrgIdLogon.LoginStatus. Сопоставление различных интересных сбоев входа можно выполнить с помощью алгоритмов оповещений |
Logon_Type | строка | Указывает тип пользователя, который получил доступ к почтовому ящику и выполнил операцию, которая была зарегистрирована. |
LogonUserDisplayName | строка | Понятное имя пользователя, выполнившего операцию. |
LogonUserSid | строка | Идентификатор безопасности пользователя, выполнившего операцию. |
MachineDomainInfo | строка | Сведения об операциях синхронизации устройств |
MachineId | строка | Сведения об операциях синхронизации устройств |
MailboxGuid | строка | GUID Exchange почтового ящика, к которому был доступ |
MailboxOwnerMasterAccountSid | строка | Идентификатор безопасности учетной записи владельца почтового ящика master учетной записи |
MailboxOwnerSid | строка | Идентификатор безопасности владельца почтового ящика |
MailboxOwnerUPN | строка | Адрес электронной почты пользователя, которому принадлежит почтовый ящик, к которому был доступ |
Элементы | Динамический | Список пользователей в команде |
MessageId | строка | Идентификатор сообщения чата или канала |
ModifiedObjectResolvedName | строка | Это понятное имя объекта, измененного командлетом |
ModifiedProperties | строка | Свойство включается для событий администрирования, таких как добавление пользователя в качестве члена сайта или группы администраторов семейства веб-сайтов. |
Название | строка | Присутствует только для событий параметров. Имя измененного параметра |
NewValue | строка | Присутствует только для событий параметров. Новое значение параметра |
OfficeId | строка | Уникальный идентификатор записи аудита |
OfficeObjectId | строка | Для действий SharePoint и OneDrive для бизнеса |
OfficeTenantId | строка | Идентификатор клиента Office |
OfficeWorkload | строка | Служба Office 365, в которой произошло действие |
OldValue | строка | Присутствует только для событий параметров. Старое значение параметра |
Операция | строка | Имя операции, выполняемой пользователем. |
Свойства операции | Динамический | Дополнительные свойства операции |
Действие OperationScope | строка | Область выполнена операция |
OrganizationId | строка | Идентификатор GUID для клиента Office 365 организации. Это значение всегда будет одинаковым для вашей организации. |
OrganizationName | строка | Имя клиента |
OriginatingServer | строка | Имя сервера, с которого был выполнен командлет. |
Параметры | строка | Имя и значение для всех параметров, которые использовались с командлетом, указанным в свойстве Operations. |
RecordType | строка | Тип указанной в записи операции. Дополнительные сведения о типах записей журнала аудита см. в таблице AuditLogRecordType. |
_ResourceId | строка | Уникальный идентификатор ресурса, с которым связана запись |
ResultReasonType | строка | Причина результата, сообщаемого в ResultType |
ResultStatus | строка | Указывает, было ли действие (указанное в свойстве Operation) успешным или нет. |
SendAsUserMailboxGuid | строка | GUID Exchange почтового ящика, к которому был доступ для отправки электронной почты в качестве |
SendAsUserSmtp | строка | SMTP-адрес пользователя, который олицетворяется |
SendonBehalfOfUserMailboxGuid | строка | GUID Exchange почтового ящика, к которому был доступ для отправки почты от имени |
SendOnBehalfOfUserSmtp | строка | SMTP-адрес пользователя, от имени которого отправляется сообщение электронной почты |
SharingType | строка | Тип разрешений на совместное использование, назначенных пользователю, которому был предоставлен доступ к ресурсу. Этот пользователь определяется параметром UserSharedWith. |
Site_ | строка | GUID сайта, на котором находится файл или папка, к которым обращается пользователь. |
Site_Url | строка | URL-адрес сайта, на котором находится файл или папка, к которым обращается пользователь |
Source_Name | строка | Сущность, которая активировала отслеживаемую операцию. Возможные значения: SharePoint или ObjectModel |
SourceFileExtension | строка | Расширение файла, доступ к которому получил пользователь |
SourceFileName | строка | Имя файла или папки, к которым обращается пользователь |
SourceRecordId | строка | Уникальный идентификатор записи аудита |
SourceRelativeUrl | строка | URL-адрес папки, содержащей файл, к которому обращается пользователь. |
SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
SRPolicyId | строка | Идентификатор политики |
SRPolicyName | строка | Имя политики |
SRRuleMatchDetails | Динамический | Сведения о правиле |
Start_Time | DATETIME | Дата и время выполнения командлета |
_SubscriptionId | строка | Уникальный идентификатор подписки, с которой связана запись |
SupportTicketId | строка | Идентификатор запроса в службу поддержки клиентов для действия в ситуациях "act-on-behalf-of" |
TabType | строка | Тип вкладки, создающей это событие. |
TargetContextId | строка | GUID организации, к которой принадлежит целевой пользователь |
TargetUserId | строка | Идентификатор целевого пользователя |
TargetUserOrGroupName | строка | Хранит имя участника-пользователя или имя целевого пользователя или группы, которым был предоставлен общий доступ к ресурсу. |
TargetUserOrGroupType | строка | Определяет, является ли целевой пользователь или группа участником, гостем, группой или партнером. |
TeamGuid | строка | Уникальный идентификатор проверяемой команды. |
ИмяКоманды | строка | Имя проверяемой команды |
TenantId | строка | Идентификатор рабочей области Log Analytics |
TimeGenerated | DATETIME | Дата и время в формате UTC, когда пользователь выполнил действие. |
Тип | строка | Имя таблицы. |
UserAgent | строка | Агент пользователя |
UserDomain | строка | Домен пользователя |
UserId | строка | Имя участника-пользователя (имя участника-пользователя) пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи. |
UserKey | строка | Альтернативный идентификатор пользователя, указанного в свойстве UserId |
UserSharedWith | строка | Пользователь, которому предоставлен общий доступ к ресурсу |
UserType | строка | Тип пользователя, выполнившего операцию. Дополнительные сведения о типах пользователей см. в таблице UserType. |
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по