PowerPlatformDlpActivity
Содержит журналы аудита защиты от потери данных (DLP) Microsoft Power Platform. Обычно он используется для отслеживания действий администратора Защиты от потери данных в Power Platform.
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность, аудит |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | Да |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| ActorName | строка | UPN пользователя (имя участника-пользователя), выполнившего действие (указано в свойстве "Операция"), которое вызвало регистрацию записи. Например, мое_имя@мое_доменное_имя. Обратите внимание, что также включены записи для действий, выполненных системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint в свойстве UserId отображается другое значение app@sharepoint. Это означает, что "пользователь", выполнивший действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабах организации (таких как поиск на сайте SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита. |
| ActorUserId | строка | Альтернативный идентификатор пользователя, определенного в свойстве UserId. Например, значение этого свойства может заполняться уникальным идентификатором Passport (PUID) для событий, выполняемых пользователями в SharePoint, OneDrive для бизнеса и Exchange. Это свойство также может указывать то же значение, что и свойство UserID для событий, происходящих в других службах, и событий, выполняемых системными учетными записями. |
| ActorUserType | строка | Тип пользователя, выполнившего операцию. Возможные типы: Администратор, система, приложение, субъект-служба и другие. |
| AdditionalInfo | Динамический | Дополнительные сведения, например имя среды. |
| _BilledSize | real | Размер записи в байтах |
| EventOriginalType | строка | Имя действия пользователя или администратора, которое выполнило действие. Описание наиболее распространенных операций и действий см. в разделе Поиск в журнале аудита в центре защиты Office 365. Для действий администратора Exchange это свойство определяет имя выполненного командлета. Для событий защиты от потери данных это может быть "DlpRuleMatch", "DlpRuleUndo" или "DlpInfo", которые описаны в разделе "Схема DLP" ниже. |
| EventOriginalUid | строка | Уникальный идентификатор записи аудита. |
| EventResult | строка | Указывает, было ли успешным действие (указанное в свойстве Operation). Возможные значения: Succeeded (Успешно), PartiallySucceeded (Выполнено частично) и Failed (Сбой). |
| _IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
| ObjectId | строка | Полный путь к файлу или папке, к которым обращается пользователь. Для ведения журнала аудита администратора Exchange — имя объекта, измененного командлетом . |
| OrganizationId | строка | Идентификатор GUID для клиента Office 365 организации. Это значение для вашей организации всегда будет одинаковым независимо от службы Office 365, в которой оно встречается. |
| PolicyName | строка | Имя политики защиты от потери данных. |
| RecordType | строка | Тип указанной в записи операции. Сведения о типах записей журнала аудита см. в таблице AuditLogRecordType. |
| SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| SrcIpAddr | строка | IP-адрес устройства, которое использовалось при записи действия в журнал. IP-адрес отображается в формате IPv4- или IPv6-адреса. Для некоторых служб значением, отображаемым в этом свойстве, может быть IP-адрес доверенного приложения (например, Office в Интернете приложений), который вызывает службу от имени пользователя, а не IP-адрес устройства, используемого пользователем, выполнившим действие. Кроме того, для событий, связанных с Azure Active Directory, IP-адрес не записывается в журнал, а значение свойства ClientIP равно NULL. |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | DATETIME | Дата и время в (UTC), когда пользователь выполнил действие. |
| Тип | строка | Имя таблицы. |
| Рабочая нагрузка | строка | Служба Office 365, в которой произошло действие. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по