OfficeActivity
Журналы аудита для клиентов Office 365, собранных с помощью Azure Sentinel. Включая журналы Exchange, SharePoint и Teams.
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | AzureSentinelPrivatePreview, SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | Да |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| AADGroupId | строка | Идентификатор группы Azure Active Directory |
| AADTarget | строка | Пользователь, с которым было выполнено действие (идентифицируемое свойством Operation) |
| Действие | строка | Действие, выполненное пользователем. |
| Субъект | строка | Субъект-пользователь или субъект-служба, которые выполнили действие |
| ActorContextId | строка | GUID организации, к которой принадлежит субъект |
| ActorIpAddress | строка | IP-адрес субъекта в формате IPV4 или IPV6 |
| AddOnGuid | строка | Уникальный идентификатор надстройки, созданной этим событием. |
| AddonName | строка | Имя надстройки, создающей это событие. |
| AddOnType | строка | Тип надстройки, создающей это событие. |
| AffectedItems | строка | Сведения о каждом элементе в группе |
| AppDistributionMode | строка | Режим распространения приложений |
| AppId | строка | Идентификатор приложения |
| Приложение | строка | Имя приложения |
| ApplicationId | строка | Идентификатор приложения SharePoint |
| AzureActiveDirectory_EventType | строка | Тип события Azure AD |
| AzureADAppId | строка | Идентификатор Azure AD приложения Teams |
| _BilledSize | real | Размер записи в байтах |
| ChannelGuid | строка | Уникальный идентификатор для канала, для которой выполняется аудит |
| ChannelName | строка | Имя канала для аудита |
| ChannelType | строка | Тип проверяемого канала (стандартный или частный) |
| Имя чата | строка | Имя чата |
| ChatThreadId | строка | Идентификатор потока чата |
| клиент | строка | Сведения о клиентском устройстве, ОС устройства и браузере устройства, которые использовались для события входа в учетную запись |
| Client_IPAddress | строка | IP-адрес устройства, которое использовалось при регистрации операции. |
| ClientAppId | строка | Идентификатор клиентского приложения |
| ClientInfoString | строка | Сведения о почтовом клиенте, который использовался для выполнения операции |
| ClientIP | строка | IP-адрес устройства, которое использовалось при регистрации действия. |
| ClientMachineName | строка | Имя компьютера, на котором размещается клиент Outlook. |
| ClientProcessName | строка | Почтовый клиент, который использовался для доступа к почтовому ящику |
| ClientVersion | строка | Версия почтового клиента |
| Тип связи | строка | Тип проводившихся сообщений |
| CrossMailboxOperations | bool | Указывает, включала ли операция несколько почтовых ящиков. |
| CustomEvent | строка | Необязательная строка для пользовательских событий |
| DataCenterSecurityEventType | INT | Тип события dmdlet в блокировке |
| DestFolder | строка | Целевая папка |
| DestinationFileExtension | строка | Расширение копируемых или перемещаемых файлов |
| DestinationFileName | строка | Имя скопированного или перемещенного файла. |
| DestinationRelativeUrl | строка | URL-адрес конечной папки, в которой копируется или перемещается файл. |
| DestMailboxId | строка | Устанавливается только в том случае, если параметр CrossMailboxOperations имеет значение True. |
| DestMailboxOwnerMasterAccountSid | строка | Устанавливается только в том случае, если параметр CrossMailboxOperations имеет значение True. |
| DestMailboxOwnerSid | строка | Устанавливается только в том случае, если параметр CrossMailboxOperations имеет значение True. |
| DestMailboxOwnerUPN | строка | Устанавливается только в том случае, если параметр CrossMailboxOperations имеет значение True. |
| EffectiveOrganization | строка | Имя клиента, на который был нацелен командлет или повышение прав. |
| ElevationApprovedTime | DATETIME | Метка времени утверждения повышения прав |
| ElevationApprover | строка | Имя руководителя Майкрософт |
| ElevationDuration | INT | Продолжительность, в течение которой повышение прав было активным (в часах) |
| ElevationRequestId | строка | Уникальный идентификатор для запроса на повышение прав |
| ElevationRole | строка | Роль, для нее было запрошено повышение прав |
| ElevationTime | DATETIME | Время начала повышения прав |
| Event_Data | строка | Необязательные полезные данные для пользовательских событий |
| EventSource | строка | Указывает, что событие произошло в SharePoint. Возможные значения: SharePoint или ObjectModel |
| ExtendedProperties | строка | Расширенные свойства события Azure AD |
| ExternalAccess | строка | Указывает, выполнялся ли командлет пользователем в вашей организации. |
| ExtraProperties | Динамический | Список дополнительных свойств |
| Папка | строка | Папка, в которой находится группа элементов |
| Папки | строка | Сведения об исходных папках, участвующих в операции |
| GenericInfo | строка | Используется для комментариев и других общих сведений |
| InternalLogonType | INT | Зарезервировано для внутреннего использования |
| InterSystemsId | строка | GUID, отслеживающий действия между компонентами в службе Office 365. |
| IntraSystemId | строка | ИДЕНТИФИКАТОР GUID, созданный Azure Active Directory для отслеживания действия. |
| _IsBillable | строка | Указывает, является ли прием данных оплачиваемым. Если _IsBillable false не выставляется счет в вашей учетной записи Azure |
| IsManagedDevice | bool | Указывает, была ли операция создана устройством, управляемым организацией. |
| Элемент | строка | Представляет элемент, в отношении которого выполнялась операция. |
| Название товара | строка | Строка в поле Тема сообщения электронной почты |
| ItemType | строка | Тип объекта, к которому осуществлялся доступ или который был изменен. Дополнительные сведения о типах объектов см. в таблице ItemType. |
| LoginStatus | INT | Это свойство получается непосредственно из параметра OrgIdLogon.LoginStatus. Сопоставление различных интересных сбоев входа можно выполнить с помощью алгоритмов оповещений |
| Logon_Type | строка | Указывает тип пользователя, который получил доступ к почтовому ящику и выполнил операцию, которая была зарегистрирована. |
| LogonUserDisplayName | строка | Понятное имя пользователя, выполнившего операцию. |
| LogonUserSid | строка | Идентификатор безопасности пользователя, выполнившего операцию. |
| MachineDomainInfo | строка | Сведения об операциях синхронизации устройств |
| MachineId | строка | Сведения об операциях синхронизации устройств |
| MailboxGuid | строка | GUID Exchange почтового ящика, к которому был доступ |
| MailboxOwnerMasterAccountSid | строка | Идентификатор безопасности учетной записи владельца почтового ящика master учетной записи |
| MailboxOwnerSid | строка | Идентификатор безопасности владельца почтового ящика |
| MailboxOwnerUPN | строка | Адрес электронной почты пользователя, которому принадлежит почтовый ящик, к которому был доступ |
| Элементы | Динамический | Список пользователей в команде |
| MessageId | строка | Идентификатор сообщения чата или канала |
| ModifiedObjectResolvedName | строка | Это понятное имя объекта, измененного командлетом |
| ModifiedProperties | строка | Свойство включается для событий администрирования, таких как добавление пользователя в качестве члена сайта или группы администраторов семейства веб-сайтов. |
| Название | строка | Присутствует только для событий параметров. Имя измененного параметра |
| NewValue | строка | Присутствует только для событий параметров. Новое значение параметра |
| OfficeId | строка | Уникальный идентификатор записи аудита |
| OfficeObjectId | строка | Для действий SharePoint и OneDrive для бизнеса |
| OfficeTenantId | строка | Идентификатор клиента Office |
| OfficeWorkload | строка | Служба Office 365, в которой произошло действие |
| OldValue | строка | Присутствует только для событий параметров. Старое значение параметра |
| Операция | строка | Имя операции, выполняемой пользователем. |
| Свойства операции | Динамический | Дополнительные свойства операции |
| Действие OperationScope | строка | Область выполнена операция |
| OrganizationId | строка | Идентификатор GUID для клиента Office 365 организации. Это значение всегда будет одинаковым для вашей организации. |
| OrganizationName | строка | Имя клиента |
| OriginatingServer | строка | Имя сервера, с которого был выполнен командлет. |
| Параметры | строка | Имя и значение для всех параметров, которые использовались с командлетом, указанным в свойстве Operations. |
| RecordType | строка | Тип указанной в записи операции. Дополнительные сведения о типах записей журнала аудита см. в таблице AuditLogRecordType. |
| _ResourceId | строка | Уникальный идентификатор ресурса, с которым связана запись |
| ResultReasonType | строка | Причина результата, сообщаемого в ResultType |
| ResultStatus | строка | Указывает, было ли действие (указанное в свойстве Operation) успешным или нет. |
| SendAsUserMailboxGuid | строка | GUID Exchange почтового ящика, к которому был доступ для отправки электронной почты в качестве |
| SendAsUserSmtp | строка | SMTP-адрес пользователя, который олицетворяется |
| SendonBehalfOfUserMailboxGuid | строка | GUID Exchange почтового ящика, к которому был доступ для отправки почты от имени |
| SendOnBehalfOfUserSmtp | строка | SMTP-адрес пользователя, от имени которого отправляется сообщение электронной почты |
| SharingType | строка | Тип разрешений на совместное использование, назначенных пользователю, которому был предоставлен доступ к ресурсу. Этот пользователь определяется параметром UserSharedWith. |
| Site_ | строка | GUID сайта, на котором находится файл или папка, к которым обращается пользователь. |
| Site_Url | строка | URL-адрес сайта, на котором находится файл или папка, к которым обращается пользователь |
| Source_Name | строка | Сущность, которая активировала отслеживаемую операцию. Возможные значения: SharePoint или ObjectModel |
| SourceFileExtension | строка | Расширение файла, доступ к которому получил пользователь |
| SourceFileName | строка | Имя файла или папки, к которым обращается пользователь |
| SourceRecordId | строка | Уникальный идентификатор записи аудита |
| SourceRelativeUrl | строка | URL-адрес папки, содержащей файл, к которому обращается пользователь. |
| SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| SRPolicyId | строка | Идентификатор политики |
| SRPolicyName | строка | Имя политики |
| SRRuleMatchDetails | Динамический | Сведения о правиле |
| Start_Time | DATETIME | Дата и время выполнения командлета |
| _SubscriptionId | строка | Уникальный идентификатор подписки, с которой связана запись |
| SupportTicketId | строка | Идентификатор запроса в службу поддержки клиентов для действия в ситуациях "act-on-behalf-of" |
| TabType | строка | Тип вкладки, создающей это событие. |
| TargetContextId | строка | GUID организации, к которой принадлежит целевой пользователь |
| TargetUserId | строка | Идентификатор целевого пользователя |
| TargetUserOrGroupName | строка | Хранит имя участника-пользователя или имя целевого пользователя или группы, которым был предоставлен общий доступ к ресурсу. |
| TargetUserOrGroupType | строка | Определяет, является ли целевой пользователь или группа участником, гостем, группой или партнером. |
| TeamGuid | строка | Уникальный идентификатор проверяемой команды. |
| ИмяКоманды | строка | Имя проверяемой команды |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | DATETIME | Дата и время в формате UTC, когда пользователь выполнил действие. |
| Тип | строка | Имя таблицы. |
| UserAgent | строка | Агент пользователя |
| UserDomain | строка | Домен пользователя |
| UserId | строка | Имя участника-пользователя (имя участника-пользователя) пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи. |
| UserKey | строка | Альтернативный идентификатор пользователя, указанного в свойстве UserId |
| UserSharedWith | строка | Пользователь, которому предоставлен общий доступ к ресурсу |
| UserType | строка | Тип пользователя, выполнившего операцию. Дополнительные сведения о типах пользователей см. в таблице UserType. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по