Поиск в журнале аудита на портале соответствия требованиям

Нужно узнать, просматривал ли пользователь определенный документ или удалял элемент из своего почтового ящика? В этом случае можно использовать средство поиска в журнале аудита на портале соответствия требованиям для поиска в едином журнале аудита, чтобы просматривать действия пользователей и администраторов в организации. Тысячи операций, выполняемых пользователями и администраторами в десятках служб и решений Microsoft 365, записываются и сохраняются в едином журнале аудита организации. Пользователи в организации могут применять средство поиска в журнале аудита для поиска, просмотра и экспорта (в CSV-файл) записей аудита для этих операций.

Службы Microsoft 365, поддерживающие аудит

Почему именно единый журнал аудита? Так как вы можете осуществлять в журнале аудита поиск действий, выполняемых в различных службах Microsoft 365. В следующей таблице перечислены службы и компоненты Microsoft 365 (в алфавитном порядке), поддерживаемые единым журналом аудита.

Служба или компонент Microsoft 365 Типы записей
Azure Active Directory AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon
Azure Information Protection AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat
Соответствие требованиям к обмену данными ComplianceSuperVisionExchange
Обозреватель содержимого LabelContentExplorer
Соединители данных ComplianceConnector
Защита от потери данных (DLP) ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint
Dynamics 365 CRM
Обнаружение электронных данных Discovery, AeD
Точное соответствие данных MipExactDataMatch
Exchange Online ExchangeAdmin, ExchangeItem, ExchangeItemAggregated
Forms MicrosoftForms
Информационные барьеры InformationBarrierPolicyApplication
Microsoft 365 Defender AirInvestigation, AirManualInvestigation, AirAdminActionInvestigation, MS365DCustomDetection
Microsoft Teams MicrosoftTeams
MyAnalytics MyAnalyticsSettings
OneDrive для бизнеса OneDrive
Power Apps PowerAppsApp, PowerAppsPlan
Power Automate MicrosoftFlow
Power BI PowerBIAudit
Карантин Quarantine
Политики и метки хранения MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation
Типы конфиденциальной информации DlpSensitiveInformationType
Метки конфиденциальности MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch
Портал зашифрованных сообщений OMEPortal
SharePoint Online SharePoint, SharePointFileOperation,SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation
Stream MicrosoftStream
Threat Intelligence ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent
Рабочая аналитика WorkplaceAnalytics
Yammer Yammer
SystemSync DataShareCreated, DataShareDeleted, GenerateCopyOfLakeData, DownloadCopyOfLakeData

Дополнительные сведения об операциях, которые подвергаются аудиту в каждой из служб, перечисленных в предыдущей таблице, см. в разделе Действия, подлежащие аудиту в этой статье.

В предыдущей таблице также определяется значение типа записи, используемое для поиска в журнале аудита действий в соответствующей службе с помощью командлета Search-UnifiedAuditLog в Exchange Online PowerShell или с помощью сценария PowerShell. У некоторых служб есть несколько типов записей для различных типов действий в одной службе. Более полный список типов записей аудита см. в статье Схема API действий управления Office 365.

Дополнительные сведения об использовании PowerShell для поиска в журнале аудита:

Перед поиском в журнале аудита

Обязательно прочитайте следующие пункты, прежде чем начать поиск в журнале аудита.

  • Поиск в журнале аудита включен по умолчанию для организаций, использующих Microsoft 365 и Office 365 корпоративный. Чтобы убедиться, что поиск в журнале аудита включен, можно выполнить следующую команду в Exchange Online PowerShell:

    Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
    

    Значение True для свойства UnifiedAuditLogIngestionEnabled указывает на то, что поиск в журнале аудита включен. Дополнительные сведения см. в статье Включение и отключение поиска в журнале аудита.

  • Для поиска журнала аудита вам должна быть назначена роль «Журналы аудита только для просмотра» или «Журналы аудита» в Exchange Online. Эти роли по умолчанию назначены группам ролей "Управление соответствием" и "Управление организацией" на странице Разрешения в Центре администрирования Exchange. Глобальные администраторы в Office 365 и Microsoft 365 автоматически добавляются в качестве участников группы ролей управления организацией в Exchange Online. Чтобы предоставить пользователю возможность поиска в журнале аудита с минимальным уровнем привилегий, вы можете создать пользовательскую группу ролей в Exchange Online, добавить роль «Журналы аудита только для просмотра» или «Журналы аудита», а затем добавить пользователя в качестве члена группы. новая ролевая группа. Дополнительные сведения см. в статье Управление группами ролей в Exchange Online.

    Если назначить пользователю роль "Только просмотр журналов аудита" или "Журналы аудита" на странице Разрешения на портале соответствия требованиям, этот пользователь не сможет выполнять поиск по журналу аудита. Разрешения должны быть назначены в Exchange Online. Это связано с тем, что для поиска в журнале аудита используется командлет Exchange Online.

  • Когда проверяемое действие выполняется пользователем или администратором, запись аудита создается и сохраняется в журнале аудита для вашей организации. Срок хранения записи аудита (и возможность ее поиска в журнале аудита) зависит от подписки Office 365 или Microsoft 365 корпоративный, и, в частности, от типа лицензии, присвоенной определенным пользователям.

    • Для пользователей, которым назначена лицензия Office 365 E5 или Microsoft 365 E5 (или для пользователей с лицензией на надстройки для соответствия требованиям Microsoft 365 E5 или обнаружения электронных данных и аудита Microsoft 365 E5) записи аудита для действий в Azure Active Directory, Exchange и SharePoint по умолчанию хранятся в течение одного года. Организации также могут создавать политики хранения журнала аудита, позволяющие хранить записи аудита для действий в других службах до одного года. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.

      Примечание

      Если ваша организация принимала участие в конфиденциальной программе по ознакомлению с предварительной версией записей аудита, хранящихся в течение одного года, срок хранения записей аудита, которые были созданы до даты выпуска общедоступной версии, не будет сброшен.

    • Для пользователей, которым назначены любые другие лицензии Office 365 или Microsoft 365 (не E5), записи аудита хранятся в течение 90 дней. Список подписок Office 365 и Microsoft 365 с поддержкой ведения единого журнала аудита см. в описании услуг Центра безопасности и соответствия требованиям.

      Примечание

      Даже в тех случаях, когда аудит почтовых ящиков включен по умолчанию, можно заметить, что события аудита почтового ящика для некоторых пользователей не обнаруживаются при поиске в журнале аудита на портале соответствия требованиям или с помощью API действий управления Office 365. Дополнительные сведения см. в разделе Дополнительные сведения о журнале аудита почтовых ящиков.

  • Чтобы отключить поиск в журнале аудита для своей организации, запустите следующую команду в удаленном PowerShell в Exchange Online:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    

    Чтобы снова включить поиск в журнале аудита, можно выполнить в Exchange Online PowerShell следующую команду:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Для получения дополнительной информации см. Отключение поиска в журнале аудита.

  • Как указано ранее, для поиска по журналу аудита в качестве базового используется командлет Exchange Online с именем Search-UnifiedAuditLog. Это означает, что для поиска в журнале аудита можно использовать этот командлет вместо средства поиска на странице Аудит на портале соответствия требованиям. Этот командлет необходимо запускать в Exchange Online PowerShell. Дополнительные сведения см. в статье Search-UnifiedAuditLog.

    Сведения об экспорте результатов поиска, возвращаемых командлетом Search-UnifiedAuditLog в CSV-файл, см. в разделе "Советы по экспорту и просмотру журнала аудита" статьи Экспорт, настройка и просмотр записей журнала аудита.

  • Если вы хотите программно загрузить данные из журнала аудита, мы рекомендуем использовать API-интерфейс управления активностью Office 365 вместо сценария PowerShell. API действий управления Office 365 — это веб-служба REST, используемая для разработки решений мониторинга операций, безопасности и соответствия требованиям в организации. Дополнительные сведения см. в статье Справочник по API действий управления Office 365.

  • Azure Active Directory (Azure AD) в службе каталогов для Microsoft 365. Единый журнал аудита содержит сведения о действиях, выполненных с пользователями, группами, приложениями, доменами и каталогами в Центре администрирования Microsoft 365 или на портале управления Azure. Полный список событий Azure AD см. в статье События отчета аудита Azure Active Directory.

  • Корпорация Майкрософт не гарантирует определенное время после возникновения события для возврата соответствующей записи аудита в результатах поиска по журналу аудита. Для основных служб (таких как Exchange, SharePoint, OneDrive и Teams) доступность записей аудита обычно обеспечивается через 60–90 минут после возникновения события. Для других служб обеспечение доступности записей аудита может занимать больше времени. Однако некоторые неустранимые проблемы (например, сбой сервера) могут возникать за пределами службы аудита, что задерживает обеспечение доступности записей аудита. По этой причине корпорация Майкрософт не устанавливает определенное время.

  • Ведение журнала аудита для Power BI по умолчанию отключено. Для поиска операций Power BI в журнале аудита необходимо включить аудит на портале администрирования Power BI. Инструкции см. в разделе "Журналы аудита" статьи Портал администрирования Power BI.

Поиск в журнале аудита

Процесс поиска по журналу аудита в Microsoft 365 состоит из указанных ниже этапов.

Шаг 1. Запуск поиска по журналу аудита

Шаг 2. Просмотр результатов поиска

шаг 3. Экспорт результатов поиска в файл

  1. Перейдите на https://compliance.microsoft.com и войдите.

    Совет

    Используйте приватный (а не обычный) сеанс браузера для доступа к порталу соответствия требованиям, поскольку в этом случае не используются текущие учетные данные. Чтобы открыть сеанс просмотра InPrivate в Microsoft Edge или приватный сеанс просмотра в Google Chrome (он называется окном инкогнито), нажмите клавиши CTRL+SHIFT+N.

  2. В области портала соответствия требованиям с левой стороны щелкните Аудит.

    Откроется страница Аудит.

    Настройте условия и нажмите "Поиск" для запуска отчета.

    Примечание

    Если у вас отображается ссылка Начать запись действий, просто щелкните ее. Если ее нет, аудит для вашей организации включен.

  3. На вкладке Поиск настройте указанные ниже условия поиска.

    1. Дата начала и Дата окончания. По умолчанию выбраны последние семь дней. Выберите диапазон дат и времени, чтобы просмотреть события, которые произошли за этот период. Дата и время представлены по местному времени. Максимальный диапазон дат, который можно указать, составляет 90 дней. Если выбранный диапазон превышает 90 дней, выводится сообщение об ошибке.

    Совет

    Если вы используете максимальный диапазон, равный 90 дням, выберите для параметра Дата начала текущее время. В противном случае появится сообщение об ошибке из-за того, что дата начала раньше даты окончания. Если вы включили аудит в течение последних 90 дней, начальная дата максимального диапазона не может быть раньше даты включения аудита.

    1. Действия. Щелкните раскрывающийся список, чтобы увидеть действия, которые можно найти. Активность пользователя и администратора организованы в группы связанных действий. Вы можете выбрать отдельные действия или щелкнуть название группы, чтобы выбрать все входящие в нее действия. Также можно щелкнуть выбранное действие, чтобы отменить выбор. После запуска поиска будут показаны записи журнала аудита, относящиеся только к выбранным действиям. Если выбрать пункт Показать результаты по всем действиям, будут показаны результаты для всех действий, совершенных выбранным пользователем или группой пользователей.

      В журнале аудита зарегистрировано более 100 действий пользователей и администраторов. Перейдите на вкладку Действия, подлежащие аудиту в разделе этой статьи, чтобы увидеть описания каждого действия в каждой из различных служб.

    2. Пользователи. Щелкните это поле, а затем выберите одного или нескольких пользователей, для которых нужно показать результаты. В списке результатов приводятся записи журнала аудита для выбранного действия, выполненного выбранными в этом поле пользователями. Чтобы получить результаты для всех пользователей (и учетных записей служб) в организации, оставьте это поле пустым.

    3. Файл, папка или сайт. Введите полное имя файла или папки либо его часть, чтобы найти действие, связанное с этим файлом или папкой. Также можно указать URL-адрес файла или папки. Если используется URL-адрес, введите его целиком. Если вы ввели часть URL-адреса, не указывайте в нем специальные знаки и пробелы (поддерживается подстановочный знак "*").

      Чтобы получить результаты для всех файлов и папок в организации, оставьте это поле пустым.

    Совет

    • Если вы ищете все действия, связанные с сайтом, добавьте подстановочный знак (*) после URL-адреса, чтобы вернуть все записи для этого сайта. Например: "https://contoso-my.sharepoint.com/personal*".

    • Если вы ищете все действия, связанные с файлом, добавьте подстановочный знак (*) перед именем файла, чтобы вернуть все записи для этого файла. Например: "*Customer_Profitability_Sample.csv".

  4. Чтобы выполнить поиск по указанным условиям, нажмите кнопку Поиск.

    Результаты поиска загружаются и через несколько секунд отображаются на новой странице. По завершении поиска отображается число найденных результатов. Максимальное количество отображаемых событий: 50 000 с шагом 150. Если условия поиска соответствуют более 50 000 событий, будут возвращены только 50 000 несортированных событий.

    Количество результатов, отображаемое после завершения поиска.

Советы по поиску в журнале аудита

  • Вы можете выбрать искомые события, щелкнув их имена. Также можно выполнить поиск всех событий в группе (например, Действия, связанные с файлами и папками), щелкнув имя группы. Если выбрано действие, можно щелкнуть его, чтобы отменить выбор. В поле поиска также можно просмотреть действия, содержащие введенное ключевое слово.

    Щелкните имя группы действий, чтобы выбрать все действия.

  • Чтобы отобразить записи из журнала аудита действий администратора Exchange, нужно выбрать в списке Действия пункт Показать результаты по всем действиям. В результатах поиска события из этого журнала аудита содержат имена командлетов (например, Set-Mailbox) в столбце Действие. Чтобы получить дополнительные сведения, откройте в этой статье вкладку Действия, подлежащие аудиту и выберите пункт Действия администратора Exchange.

    Для некоторых действий аудита нет соответствующих элементов в списке Действия. Если вам известно имя операции для этих действий, вы можете выполнить поиск всех действий, затем отфильтровать операции после экспорта результатов поиска в CSV-файл.

  • Чтобы удалить текущие условия поиска, нажмите кнопку Очистить. Диапазон дат сбрасывается в значение по умолчанию (последние семь дней). Чтобы отменить выбор всех действий, можно нажать кнопку Снять выделение для просмотра результатов по всем действиям.

  • Если найдено 50 000 результатов, можно предположить, что условиям поиска соответствует более 50 000 событий. Вы можете уточнить условия и повторно выполнить поиск, чтобы получить меньше результатов, либо экспортировать все результаты поиска, выбрав пункт Экспорт результатов > Скачать все результаты.

Шаг 2. Просмотр результатов поиска

Результаты поиска по журналу аудита выводятся в области Результаты на странице Поиск в журнале аудита. Как указано ранее, отображаются 50 000 последних событий с шагом 150. Чтобы отобразить следующие 150 событий, воспользуйтесь полосой прокрутки или нажмите клавиши SHIFT+END.

В результатах приводятся указанные ниже сведения о каждом событии, возвращенном поиском.

  • Дата. Дата и время наступления события (местное время).

  • IP-адрес. IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6.

    Примечание

    Для некоторых служб значение, отображаемое в этом поле, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. Кроме того, для действий администратора (или действий, выполняемых системной учетной записью) при событиях, связанных с Azure Active Directory, IP-адрес не записывается в журнал, а в этом поле отображается значение null.

  • Пользователь. Пользователь (или учетная запись службы), который выполнил действие, вызвавшее событие.

  • Действие. Действие, выполненное пользователем. Это значение соответствует действиям, выбранным в раскрывающемся списке Действия. Для события из журнала аудита действий администратора Exchange значение в этом столбце представляет собой командлет Exchange.

  • Элемент. Объект, созданный или измененный в результате соответствующего действия. Это может быть, например, просмотренный или измененный файл либо обновленная учетная запись пользователя. Значения в этом столбце отображаются не для всех действий.

  • Сведения. Дополнительные сведения о действии. Аналогичным образом значения в этом столбце отображаются не для всех действий.

Совет

Чтобы отсортировать результаты, щелкните заголовок столбца в области Результаты. Результаты можно отсортировать в алфавитном порядке по возрастанию или убыванию. Чтобы отсортировать результаты от самых старых к самым новым или наоборот, щелкните заголовок Дата.

Просмотр сведений об определенном событии

Чтобы просмотреть дополнительные сведения о событии, можно выбрать запись о нем в списке результатов поиска. Откроется всплывающая страница со свойствами, содержащимися в записи о событии. Отображаемые свойства зависят от службы, в которой происходит событие.

Шаг 3. Экспорт результатов поиска в файл

Результаты поиска по журналу аудита можно экспортировать в файл данных с разделителями-запятыми (CSV) на компьютере. Этот файл можно открыть в Microsoft Excel и использовать такие возможности, как поиск, сортировка, фильтрация и разделение одного столбца (содержащего несколько свойств) на несколько.

  1. Выполните поиск по журналу аудита, а затем изменяйте условия поиска, пока не получите нужные результаты.

  2. На странице результатов поиска нажмите кнопку Экспорт > Скачать все результаты.

    Все записи из журнала аудита, соответствующие условиям поиска, экспортируются в CSV-файл. Необработанные данные из журнала аудита сохраняются в CSV-файл. Дополнительные сведения из записей журнала аудита включаются в столбец с именем AuditData в CSV-файле.

    Важно!

    В CSV-файл можно загрузить до 50 000 записей результатов одной операции поиска по журналу аудита. Если в CSV-файл загружено 50 000 записей, можно предположить, что условиям поиска соответствует более 50 000 событий. Чтобы обойти это ограничение и экспортировать больше записей, попробуйте указать диапазон дат, позволяющий сократить количество записей из журнала. Чтобы экспортировать больше 50 000 записей, вы можете выполнить поиск несколько раз со смежными диапазонами дат.

  3. После завершения экспорта в верхней части окна появится приглашение открыть CSV-файл и сохранить его на локальном компьютере. CSV-файл можно также найти в папке "Загрузки".

Дополнительные сведения об экспорте и просмотре результатов поиска в журнале аудита

  • При загрузке всех результатов поиска CSV-файл содержит столбцы CreationDate, UserIds, Operations и AuditData. Столбец AuditData содержит дополнительные сведения о каждом событии (аналогично подробным сведениям, отображаемым на всплывающей странице при просмотре результатов поиска в Центре соответствия требованиям). Данные в этом столбце состоят из объекта JSON, содержащего несколько свойств записи журнала аудита. Каждая пара свойство:значение в объекте JSON отделяется запятыми. С помощью средства преобразования JSON в редакторе Power Query в Excel можно разделить столбец AuditData на несколько столбцов, чтобы для каждого свойства в объекте JSON использовался отдельный столбец. Это позволит выполнять сортировку и фильтрацию по одному или нескольким из этих свойств. Пошаговые инструкции по преобразованию объекта JSON с помощью редактора Power Query см. в статье Экспорт, настройка и просмотр записей журнала аудита.

    После разделения столбца AuditData вы можете отфильтровать данные по столбцу Operations, чтобы увидеть подробную информацию для действий того или иного типа.

  • При загрузке всех результатов из поискового запроса, который содержит события из разных служб, столбец AuditData в файле CSV содержит разные свойства, в зависимости от того, в какой службе было выполнено действие. Например, записи из журналов аудита Exchange и Azure AD включают свойство с именем ResultStatus, которое указывает, было ли действие выполнено успешно. Это свойство отсутствует для событий в SharePoint. Аналогичным образом, события SharePoint имеют свойство, в котором указывается URL-адрес сайта для действий, связанных с файлами и папками. Чтобы избежать этого, рекомендуем использовать разные поисковые запросы для экспорта результатов из отдельных служб.

    Описание многих свойств, перечисленных в столбце AuditData в файле CSV при загрузке всех результатов и службы, к которой относится каждый, см. в разделе Подробные свойства в журнале аудита.

Действия, подлежащие аудиту

В таблицах ниже описаны действия, аудит которых проводится в Microsoft 365. Эти события можно найти, выполнив поиск по журналу аудита в Центре безопасности и соответствия требованиям.

В этих таблицах группируются связанные действия или действия определенной службы. В таблицах указывается понятное имя в раскрывающемся списке Действия, а также название соответствующей операции, отображающееся в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска. Описание подробной информации см. в разделе Подробные свойства в журнале аудита.

Чтобы перейти к определенной таблице, щелкните одну из ссылок.

Действия, связанные с файлами и страницами

В таблице ниже описаны действия, связанные с файлами и страницами в SharePoint Online и OneDrive для бизнеса.

Понятное имя Операция Описание
Получен доступ к файлу FileAccessed Учетная запись пользователя или системы обращается к файлу. Когда пользователь получает доступ к файлу, событие FileAccessed не регистрируется повторно для того же пользователя и того же файла в течение следующих пяти минут.
(нет) FileAccessedExtended Эта операция связана с действием "Получен доступ к файлу" (FileAccessed). Событие FileAccessedExtended регистрируется, когда один и тот же пользователь постоянно обращается к файлу в течение длительного периода (до 3 часов).

События FileAccessedExtended позволяют уменьшить число событий FileAccessed, регистрируемых при постоянном обращении к файлу. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей FileAccessed, и обратить внимание на исходное (более важное) событие FileAccessed.
Изменена метка хранения файла ComplianceSettingChanged Метка хранения была применена к документу или удалена из него. Это событие инициируется, когда метка хранения вручную или автоматически применяется к сообщению.
Для записи установлено новое состояние: "заблокирована" LockRecord Состояние записи для метки хранения, классифицирующей документ как запись, было заблокировано. Это означает, что документ невозможно изменить или удалить. Только пользователи, которым назначено разрешение участника (как минимум) для сайта, могут изменять состояние записи документа.
Для записи установлено новое состояние: "разблокирована" UnlockRecord Состояние записи для метки хранения, классифицирующей документ как запись, было разблокировано. Это означает, что документ можно изменить или удалить. Только пользователи, которым назначено разрешение участника (как минимум) для сайта, могут изменять состояние записи документа.
Файл записан после изменения FileCheckedIn Пользователь записывает после изменения документ, извлеченный из библиотеки документов.
Извлечен файл FileCheckedOut Пользователь получает для изменения документ, находящийся в библиотеке документов. Пользователи могут извлекать документы, к которым им предоставлен общий доступ, и вносить в них изменения.
Скопирован файл FileCopied Пользователь копирует файл с сайта. Скопированный файл можно сохранить в другой папке на сайте.
Удален файл FileDeleted Пользователь удаляет документ с сайта.
Файл удален из корзины FileDeletedFirstStageRecycleBin Пользователь удаляет файл из корзины сайта.
Файл удален из корзины второго уровня FileDeletedSecondStageRecycleBin Пользователь удаляет файл из корзины второго уровня на сайте.
Удаленный файл, помеченный как запись RecordDelete Документ или электронное сообщение, помеченное как запись, было удалено. Элемент считается записью, если к содержимому применяется метка хранения, которая помечает элементы как запись.
Обнаружено несоответствие конфиденциальности документа DocumentSensitivityMismatchDetected Пользователь отправляет документ на сайт, защищенный с помощью метки конфиденциальности, и метка конфиденциальности документа имеет более высокий приоритет, чем метка конфиденциальности, примененная к сайту. Например, документ с меткой "Конфиденциально" отправляется на сайт с меткой "Общее".

Это событие не инициируется, если метка конфиденциальности документа имеет более низкий приоритет, чем метка конфиденциальности, примененная к сайту. Например, документ с меткой "Общее" отправляется на сайт с меткой "Конфиденциально". Дополнительные сведения о приоритете меток конфиденциальности см. в разделе Приоритет метки (важен порядок).
Обнаружена вредоносная программа в файле FileMalwareDetected Антивирусная подсистема SharePoint обнаружила вредоносную программу в файле.
Отменено извлечение файла FileCheckOutDiscarded Пользователь отменяет получение файла для изменения. Это означает, что все изменения, внесенные в полученный файл, отменяются и не сохраняются в версии документа в библиотеке документов.
Скачан файл FileDownloaded Пользователь скачивает документ с сайта.
Изменен файл FileModified Учетная запись пользователя или системы изменяет содержимое или свойства документа на сайте. Система ждет пять минут, прежде чем зарегистрировать другое событие FileModified, когда тот же пользователь изменяет содержимое или свойства того же документа.
(нет) FileModifiedExtended Эта операция связана с действием "Изменен файл" (FileModified). Событие FileModifiedExtended регистрируется, когда один и тот же пользователь постоянно изменяет файл в течение длительного периода (до 3 часов).

События FileModifiedExtended позволяют уменьшить число событий FileModified, регистрируемых при постоянном изменении файла. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей FileModified, и обратить внимание на исходное (более важное) событие FileModified.
Перемещен файл FileMoved Пользователь перемещает документ из текущего места на сайте в новое.
(нет) FilePreviewed Пользователь предварительно просматривает файл на сайте SharePoint или OneDrive для бизнеса. Такие события обычно происходят в больших количествах в на основе одного действия, например при просмотре коллекции изображений.
Выполнен поисковый запрос SearchQueryPerformed Учетная запись пользователя или системы выполняет поиск в SharePoint или OneDrive для бизнеса. Некоторые распространенные сценарии, в которых учетная запись службы выполняет поисковый запрос, включают применение политики удержания и хранения электронных данных к сайтам и учетным записям OneDrive, а также автоматическое применение меток хранения или конфиденциальности к содержимому сайта.
Помещен в корзину файл FileRecycled Пользователь перемещает файл в корзину SharePoint.
Помещена в корзину папка FolderRecycled Пользователь перемещает папку в корзину SharePoint.
Помещены в корзину все промежуточные версии файла FileVersionsAllMinorsRecycled Пользователь удаляет все промежуточные версии файла из журнала версий. Удаленные версии перемещаются в корзину сайта.
Помещены в корзину все версии файла FileVersionsAllRecycled Пользователь удаляет все версии файла из журнала версий. Удаленные версии перемещаются в корзину сайта.
Помещена в корзину версия файла FileVersionRecycled Пользователь удаляет версию файла из журнала версий. Удаленная версия перемещается в корзину сайта.
Переименован файл FileRenamed Пользователь переименовывает документ.
Восстановлен файл FileRestored Пользователь восстанавливает документ из корзины на сайте.
Выложен файл FileUploaded Пользователь отправляет документ в папку на сайте.
Просмотрена страница PageViewed Пользователь просматривает страницу на сайте. К этому не относится использование веб-браузера для просмотра файлов, размещенных в библиотеке документов. Когда пользователь просматривает страницу, событие PageViewed не регистрируется повторно для того же пользователя и той же страницы в течение следующих пяти минут.
(нет) PageViewedExtended Эта операция связана с действием "Просмотрена страница" (PageViewed). Событие PageViewedExtended регистрируется, когда один и тот же пользователь постоянно просматривает веб-страницу в течение длительного периода (до 3 часов).

События PageViewedExtended позволяют уменьшить число событий PageViewed, регистрируемых при постоянном просмотре страницы. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей PageViewed, и обратить внимание на исходное (более важное) событие PageViewed.
Клиент просигнализировал о просмотре ClientViewSignaled Клиент пользователя (например, веб-сайт или мобильное приложение) просигнализировал, что указанная страница была просмотрена пользователем. Это действие часто записывается в журнал после события PagePrefetched для страницы.

ПРИМЕЧАНИЕ. Так как события ClientViewSignaled сигнализируются клиентом, а не сервером, событие может не регистрироваться сервером, поэтому оно может не отображаться в журнале аудита. Также возможно, что информация в записи аудита недостоверна. Но так как удостоверение пользователя проверяется с помощью маркера, использованного для создания сигнала, удостоверение пользователя, указанное в соответствующей записи аудита, является правильным. Система ждет пять минут, прежде чем зарегистрировать то же событие, когда клиент того же пользователя сообщает о том, что пользователь снова просмотрел страницу.
(нет) PagePrefetched Клиент пользователя (например, веб-сайт или мобильное приложение) запросил указанную страницу, чтобы повысить производительность на случай ее просмотра пользователем. Это событие записывается в журнал, чтобы указать, что содержимое страницы было предоставлено клиенту пользователя. Это событие не является точным индикатором, что пользователь переходил на страницу.

Когда содержимое страницы отображается клиентом (по запросу пользователя), должно создаваться событие ClientViewSignaled. Не все клиенты поддерживают указание предварительного извлечения, поэтому некоторые действия предварительного извлечения могут быть занесены в журнал в виде событий PageViewed.

Часто задаваемые вопросы о событиях FileAccessed и FilePreviewed

Могут ли какие-либо действия, не связанные с пользователем, запустить записи аудита FilePreviewed, содержащие агент пользователя типа "OneDriveMpc-Transform_Thumbnail"?

Нам не известны сценарии, в которых действия, не связанные с пользователем, вызывают такие события. Действия пользователей, такие как открытие карточки профиля пользователя (нажатием имени или адреса электронной почты в сообщении в Outlook в Интернете), могут вызывать похожие события.

Всегда ли вызовы OneDriveMpc-Transform_Thumbnail намеренно выполняются пользователем?

Нет. Но похожие события могут фиксироваться в журнале в результате предварительной загрузки браузера.

Если событие FilePreviewed исходит из IP-адреса, зарегистрированного корпорацией Майкрософт, означает ли это, что предварительная версия отображалась на экране устройства пользователя?

Нет. Это событие могло быть записано в журнал в результате предварительной загрузки браузера.

Существуют ли сценарии, в которых пользователь предварительно просматривающий документ, вызывает события FileAccessed?

События FilePreviewed и FileAccessed указывают, что вызов пользователя привел к чтению файла (или чтению эскиза, воспроизводящего файл). Хотя эти события должны соответствовать намерению предварительного просмотра и намерению доступа, отличие событий не гарантирует намерение пользователя.

Пользователь app@sharepoint в записях аудита

В записях аудита для некоторых действий с файлами (и других действий, связанных с SharePoint) вы можете заметить, что пользователем, выполнившим действие (указывается в полях User и UserId), является app@sharepoint. Это означает, что "пользователем", выполнившим действие, было приложение. В этом случае приложению были предоставлены разрешения в SharePoint для выполнения действий на уровне организации (например, поиск сайта SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. Этот процесс предоставления разрешений для приложения называется доступом с помощью контекста приложения SharePoint. Это означает, что проверка подлинности, представленная для SharePoint с целью выполнения действия, была осуществлена приложением, а не пользователем. Поэтому пользователь app@sharepoint указывается в определенных записях аудита. Дополнительные сведения см. в статье Предоставление доступа с помощью контекста приложения SharePoint.

Например, app@sharepoint часто указывается в качестве пользователя для событий "Выполнен поисковый запрос" и "Получен доступ к файлу". Это связано с тем, что приложение с доступом только в контексте приложения SharePoint в вашей организации выполняет поисковые запросы и обращается к файлам при применении политик хранения к сайтам и учетным записям OneDrive.

Ниже представлено несколько других сценариев, в которых app@sharepoint может быть идентифицирован в записи аудита в качестве пользователя, выполнившего действие:

  • Группы Microsoft 365 Когда пользователь или администратор создает группу, создаются записи аудита для создания семейства веб-сайтов, обновления списков и добавления участников в группу SharePoint. Эти задачи выполняются в приложении от имени пользователя, создавшего группу.

  • Microsoft Teams. Подобно группам Microsoft 365, записи аудита создаются для создания семейства сайтов, обновления списков и добавления участников в группу SharePoint при создании группы.

  • Функции обеспечения соответствия требованиям. Когда администратор реализует функции обеспечения соответствия требованиям, такие как политики хранения, удержание электронных данных и автоматическое применение меток конфиденциальности.

В этих и других сценариях вы также заметите, что в течение короткого промежутка времени (часто с промежутком в несколько секунд) создается несколько записей аудита с указанием app@sharepoint в качестве пользователя. Это также означает, что они, вероятно, были инициированы той же задачей, выполненной пользователем. Кроме того, поля ApplicationDisplayName и EventData в записи аудита могут помочь определить сценарий или приложение, запустившее событие.

Действия, связанные с папками

В таблице ниже описаны действия, связанные с папками в SharePoint Online и OneDrive для бизнеса. Как указано выше, в записях аудита для некоторых действий SharePoint указывается пользователь app@sharepoint, выполнивший действие от имени пользователя или администратора, инициировавшего действие. Дополнительные сведения см. в разделе Пользователь app@sharepoint в записях аудита.

Понятное имя Операция Описание
Скопирована папка FolderCopied Пользователь копирует папку из сайта в другое расположение в SharePoint или OneDrive для бизнеса.
Создана папка FolderCreated Пользователь создает папку на сайте.
Удалена папка FolderDeleted Пользователь удаляет папку с сайта.
Папка удалена из корзины FolderDeletedFirstStageRecycleBin Пользователь удаляет папку из корзины на сайте.
Папка удалена из корзины второго уровня FolderDeletedSecondStageRecycleBin Пользователь удаляет папку из корзины второго уровня на сайте.
Изменена папка FolderModified Пользователь изменяет папку на сайте. Это включает изменение метаданных папки, например тегов и свойств.
Перемещена папка FolderMoved Пользователь перемещает папку в другое расположение на сайте.
Переименована папка FolderRenamed Пользователь переименовывает папку на сайте.
Восстановлена папка FolderRestored Пользователь восстанавливает удаленную папку из корзины на сайте.

Действия, связанные со списками SharePoint

В таблице ниже описаны действия, относящиеся к взаимодействию пользователей со списками и элементами списков в SharePoint Online. Как указано выше, в записях аудита для некоторых действий SharePoint указывается пользователь app@sharepoint, выполнивший действие от имени пользователя или администратора, инициировавшего действие. Дополнительные сведения см. в разделе Пользователь app@sharepoint в записях аудита.

Понятное имя Операция Описание
Создан список ListCreated Пользователь создал список SharePoint.
Создан столбец списка ListColumnCreated Пользователь создал столбец списка SharePoint. Столбец списка — это столбец, прикрепленный к одному или нескольким спискам SharePoint.
Создан тип контента списка ListContentTypeCreated Пользователь создал тип контента списка. Тип контента списка — это тип контента, прикрепленный к одному или нескольким спискам SharePoint.
Создан элемент списка ListItemCreated Пользователь создал элемент в существующем списке SharePoint.
Создан столбец сайта SiteColumnCreated Пользователь создал столбец сайта SharePoint. Столбец сайта — это столбец, не прикрепленный к списку. Столбец сайта также является структурой метаданных, которую можно использовать в любом списке на определенном веб-сайте.
Создан тип контента сайта Создан объект ContentType сайта Пользователь создал тип контента сайта. Тип контента сайта — это тип контента, прикрепленный к родительскому сайту.
Удален список ListDeleted Пользователь удалил список SharePoint.
Удален столбец списка Столбец списка удален Пользователь удалил столбец списка SharePoint.
Удален тип контента списка ListContentTypeDeleted Пользователь удалил тип контента списка.
Удален элемент списка Элемент списка удален Пользователь удалил элемент списка SharePoint.
Удален столбец сайта SiteColumnDeleted Пользователь удалил столбец сайта SharePoint.
Удален тип контента сайта SiteContentTypeDeleted Пользователь удалил тип контента сайта.
Перемещен в корзину элемент списка ListItemRecycled Пользователь переместил элемент списка SharePoint в корзину.
Восстановлен список ListRestored Пользователь восстановил список SharePoint из корзины.
Восстановлен элемент списка ListItemRestored Пользователь восстановил элемент списка SharePoint из корзины.
Обновлен список ListUpdated Пользователь обновил список SharePoint, изменив одно или несколько свойств.
Обновлен столбец списка ListColumnUpdated Пользователь обновил столбец списка SharePoint, изменив одно или несколько свойств.
Обновлен тип контента списка ListContentTypeUpdated Пользователь обновил тип контента списка, изменив одно или несколько свойств.
Обновлен элемент списка ListItemUpdated Пользователь обновил элемент списка SharePoint, изменив одно или несколько свойств.
Обновлен столбец сайта SiteColumnUpdated Пользователь обновил столбец сайта SharePoint, изменив одно или несколько свойств.
Обновлен тип контента сайта SiteContentTypeUpdated Пользователь обновил тип контента сайта, изменив одно или несколько свойств.

Действия, связанные с общим доступом и запросами на доступ

В таблице ниже описаны действия, связанные с общим доступом и запросами на доступ пользователей в SharePoint Online и OneDrive для бизнеса. Для совместного доступа к событиям столбец Сведения в разделе Результаты определяет имя пользователя или группы, которым предоставлен общий доступ к элементу, а также их тип (участник или гость организации). Для получения дополнительной информации см. раздел Использование аудита совместного использования в журнале аудита.

Примечание

Пользователи могут быть участниками либо гостями в зависимости от свойства UserType объекта User. Как правило, участник — это сотрудник, а гость — подрядчик за пределами организации. Когда пользователь принимает приглашение к общему доступу (и при этом еще не входит в состав организации), для него создается гостевая учетная запись в каталоге организации. После того как для гостевого пользователя будет создана учетная запись в каталоге, ему можно будет напрямую предоставлять общий доступ к ресурсам (без приглашения).

Понятное имя Операция Описание
Добавлен уровень разрешений для семейства веб-сайтов PermissionLevelAdded Для семейства веб-сайтов добавлен уровень разрешений.
Запрос на доступ принят AccessRequestAccepted Запрос на доступ к сайту, папке или документу принят, и запросившему пользователю предоставлен доступ.
Приглашение к совместному использованию принято SharingInvitationAccepted Пользователь (участник или гость) принял приглашение на общий доступ и получил доступ к ресурсу. Это событие содержит сведения о пользователе, который был приглашен, и адресе электронной почты, который использовался для принятия приглашения (они могут различаться). Это действие зачастую сопровождается вторым событием, которое описывает способ предоставления пользователю доступа к ресурсу, например его добавление в группу, у которой есть такой доступ.
Заблокировано приглашение к совместному использованию SharingInvitationBlocked Приглашение к общему доступу, отправленное пользователем из вашей организации, заблокировано из-за политики внешнего общего доступа, которая разрешает или запрещает внешний доступ в зависимости от домена целевого пользователя. В данном случае приглашение к общему доступу заблокировано по одной из следующих причин:
Домен целевого пользователя не входит в список разрешенных доменов.
ИЛИ
Домен целевого пользователя включен в список блокируемых доменов.
Дополнительные сведения о разрешении и блокировании внешнего общего доступа в зависимости от домена см. в статье Ограничение общего доступа для доменов в SharePoint Online и OneDrive для бизнеса.
Создан запрос на доступ AccessRequestCreated Пользователь запрашивает доступ к сайту, папке или документу, на доступ к которым у него нет разрешений.
Создана ссылка общего доступа для компании CompanyLinkCreated Пользователь создал на уровне организации ссылку на ресурс. Ссылки на уровне организации могут использовать только участники вашей организации. Их не могут использовать гости.
Создана анонимная ссылка AnonymousLinkCreated Пользователь создал анонимную ссылку на ресурс. По этой ссылке любой пользователь может получить доступ к ресурсу без проверки подлинности.
Создана безопасная ссылка SecureLinkCreated Для элемента создана безопасная ссылка общего доступа.
Приглашение к совместному использованию создано SharingInvitationCreated Пользователь предоставил общий доступ к ресурсу в SharePoint Online или OneDrive для бизнеса другому пользователю, отсутствующему в каталоге организации.
Удалена безопасная ссылка SecureLinkDeleted Безопасная ссылка общего доступа была удалена.
Отклонен запрос на доступ AccessRequestDenied Запрос на доступ к сайту, папке или документу отклонен.
Удалена корпоративная ссылка для общего доступа CompanyLinkRemoved Пользователь удалил корпоративную ссылку на ресурс. Эту ссылку больше нельзя использовать для доступа к ресурсу.
Удалена анонимная ссылка AnonymousLinkRemoved Пользователь удалил анонимную ссылку на ресурс. Эту ссылку больше нельзя использовать для доступа к ресурсу.
Предоставлен общий доступ к файлу, папке или сайту SharingSet Пользователь (участник или гость) предоставил общий доступ к файлу, папке или сайту в SharePoint или OneDrive для бизнеса другому пользователю, присутствующему в каталоге организации. Значение в столбце Сведения для этого действия определяет имя пользователя, которому был предоставлен общий доступ к ресурсу, и его тип (участник или гость).

Это действие зачастую сопровождается вторым событием, которое описывает способ предоставления пользователю доступа к ресурсу, например его добавление в группу, у которой есть такой доступ.
Обновлен запрос на доступ AccessRequestUpdated Запрос на доступ к элементу был обновлен.
Обновлена анонимная ссылка AnonymousLinkUpdated Пользователь обновил анонимную ссылку на ресурс. При экспорте результатов поиска обновленное поле добавляется в свойство EventData.
Обновлено приглашение к совместному использованию SharingInvitationUpdated Приглашение к внешнему общему доступу было обновлено.
Использована анонимная ссылка AnonymousLinkUsed Анонимный пользователь обратился к ресурсу по анонимной ссылке. Личность пользователя может быть неизвестна, однако можно получить другие сведения, такие как его IP-адрес.
Отменен общий доступ к файлу, папке или сайту SharingRevoked Пользователь (участник или гость) отменил общий доступ к файлу, папке или сайту, к которым ранее был предоставлен общий доступ другому пользователю.
Использована ссылка общего доступа для компании CompanyLinkUsed Пользователь обратился к ресурсу по ссылке на уровне организации.
Использована безопасная ссылка SecureLinkUsed Пользователь использовал безопасную ссылку.
Пользователь добавлен в безопасную ссылку AddedToSecureLink Пользователь был добавлен в список объектов, которые могут использовать безопасную ссылку для общего доступа.
Пользователь удален из безопасной ссылки RemovedFromSecureLink Пользователь был удален из списка объектов, которые могут использовать безопасную ссылку для общего доступа.
Приглашение к совместному использованию отозвано SharingInvitationRevoked Пользователь отозвал приглашение на общий доступ к ресурсу.

Действия, связанные с синхронизацией

В таблице ниже перечислены действия, связанные с синхронизацией файлов в SharePoint Online и OneDrive для бизнеса.

Понятное имя Операция Описание
Компьютеру разрешено синхронизировать файлы ManagedSyncClientAllowed Пользователь успешно устанавливает отношение синхронизации с сайтом. Отношение синхронизации установлено успешно, так как компьютер пользователя входит в домен, добавленный в список доменов, которым разрешен доступ к библиотекам документов в организации (список надежных получателей).

Подробнее об этой функции см. в статье Использование командлетов Windows PowerShell для обеспечения синхронизации OneDrive для доменов, включенных в список надежных получателей.
На компьютере заблокирована синхронизация файлов UnmanagedSyncClientBlocked Пользователь пытается установить отношение синхронизации с сайтом с компьютера, который не входит в домен организации или входит в домен, не добавленный в список доменов, которым разрешен доступ к библиотекам документов в организации (список надежных получателей). Отношение синхронизации блокируется, а компьютеру пользователя запрещается синхронизировать файлы с библиотекой документов, скачивать файлы из нее или отправлять в нее.

Подробнее об этой функции см. в статье Использование командлетов Windows PowerShell для включения синхронизации OneDrive для доменов, включенных в список надежных получателей.
На компьютер скачаны файлы FileSyncDownloadedFull Пользователь скачивает файл на свой компьютер из библиотеки документов SharePoint или OneDrive для бизнеса с помощью приложения синхронизации OneDrive (OneDrive.exe).
На компьютер скачаны изменения в файле FileSyncDownloadedPartial Это событие, а также старое приложение синхронизации OneDrive для бизнеса (Groove.exe) больше не поддерживаются.
Файлы выложены в библиотеку документов FileSyncUploadedFull Пользователь отправляет новый файл или изменения файла в библиотеку документов SharePoint или OneDrive для бизнеса с помощью приложения синхронизации OneDrive (OneDrive.exe).
Изменения в файле выложены в библиотеку документов FileSyncUploadedPartial Это событие, а также старое приложение синхронизации OneDrive для бизнеса (Groove.exe) больше не поддерживаются.

Действия, связанные с разрешениями для сайтов

В таблице ниже перечислены события, связанные с назначением разрешений в SharePoint и использованием групп для предоставления (и отзыва) доступа к сайтам. Как указано выше, в записях аудита для некоторых действий SharePoint указывается пользователь app@sharepoint, выполнивший действие от имени пользователя или администратора, инициировавшего действие. Дополнительные сведения см. в разделе Пользователь app@sharepoint в записях аудита.

Понятное имя Операция Описание
Добавлен администратор семейства веб-сайтов SiteCollectionAdminAdded Администратор или владелец семейства веб-сайтов добавляет пользователя в качестве администратора семейства веб-сайтов для сайта. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам. Это действие также записывается в журнал, когда администратор предоставляет себе доступ к учетной записи OneDrive пользователя (путем изменения профиля пользователя в Центре администрирования SharePoint или с помощью Центра администрирования Microsoft 365).
В группу SharePoint добавлен пользователь или группа AddedToGroup Пользователь добавил участника или гостя в группу SharePoint. Это может быть как намеренным действием, так и результатом другого действия, например события предоставления общего доступа.
Нарушено наследование уровня разрешений PermissionLevelsInheritanceBroken В результате изменения элемент больше не наследует уровни разрешений от родительского элемента.
Нарушено наследование общего доступа SharingInheritanceBroken В результате изменения элемент больше не наследует разрешения на общий доступ от родительского элемента.
Создана группа GroupAdded Администратор или владелец сайта создает группу для сайта или выполняет задачу, приводящую к созданию группы. Например, когда пользователь впервые создает ссылку на общий доступ к файлу, на сайт OneDrive для бизнеса этого пользователя добавляется системная группа. Это событие также может возникнуть, если пользователь создал ссылку с разрешениями на внесение изменений в общий файл.
Удалена группа GroupRemoved Пользователь удаляет группу с сайта.
Изменен параметр запроса доступа WebRequestAccessModified Параметры запросов на доступ изменились на сайте.
Изменен параметр "Участники могут предоставлять доступ" WebMembersCanShareModified Параметр Участники могут предоставлять доступ был изменен на сайте.
Изменен уровень разрешений для семейства веб-сайтов PermissionLevelModified В семействе веб-сайтов изменен уровень разрешений.
Изменены разрешения сайта SitePermissionsModified Администратор или владелец сайта (либо системная учетная запись) изменяет уровень разрешений, назначенный группе на сайте. Это действие также записывается в журнал при удалении всех разрешений, назначенных группе.

ПРИМЕЧАНИЕ. Эту операцию не рекомендуется использовать в SharePoint Online. Чтобы найти связанные события, можно выполнить поиск других действий, связанных с разрешениями, например Добавлен администратор семейства веб-сайтов, В группу SharePoint добавлен пользователь или группа, Пользователю разрешено создавать группы, Создана группа и Удалена группа.
Удален уровень разрешений для семейства веб-сайтов PermissionLevelRemoved Из семейства веб-сайтов удален уровень разрешений.
Удален администратор семейства веб-сайтов SiteCollectionAdminRemoved Администратор или владелец семейства веб-сайтов удаляет пользователя из роли администратора семейства веб-сайтов для сайта. Это действие также записывается в журнал, когда администратор удаляет себя из списка администраторов семейства веб-сайтов для учетной записи OneDrive пользователя (путем изменения профиля пользователя в Центре администрирования SharePoint). Чтобы вернуть это действие в результатах поиска по журналу аудита, необходимо выполнить поиск по всем действиям.
Из группы SharePoint удален пользователь или группа RemovedFromGroup Пользователь удалил участника или гостя из группы SharePoint. Это может быть как намеренным действием, так и результатом другого действия, например события отмены общего доступа.
Запрошены разрешения администратора сайта SiteAdminChangeRequest Пользователь отправил запрос на добавление себя в качестве администратора семейства веб-сайтов. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам.
Восстановлено наследование общего доступа SharingInheritanceReset Выполнено изменение, в результате которого элемент снова наследует разрешения общего доступа от родительского элемента.
Обновлена группа GroupUpdated Администратор или владелец сайта изменяет параметры группы для сайта. Это может быть изменение имени группы, списка пользователей, которые могут просматривать или изменять состав группы, а также способа обработки запросов на вступление в группу.

Действия, связанные с администрированием сайта

В таблице ниже перечислены события, возникающие в результате действий по администрированию сайта в SharePoint Online. Как указано выше, в записях аудита для некоторых действий SharePoint указывается пользователь app@sharepoint, выполнивший действие от имени пользователя или администратора, инициировавшего действие. Дополнительные сведения см. в разделе Пользователь app@sharepoint в записях аудита.

Понятное имя Операция Описание
Добавлено разрешенное расположение данных AllowedDataLocationAdded Администратор SharePoint или глобальный администратор добавил разрешенное расположение данных в среду с поддержкой нескольких регионов.
Добавлен исключаемый агент пользователя ExemptUserAgentSet Администратор SharePoint или глобальный администратор добавил агента пользователя в список исключаемых агентов пользователя в Центре администрирования SharePoint.
Добавлен администратор географического расположения GeoAdminAdded Администратор SharePoint или глобальный администратор добавил пользователя в качестве администратора географического расположения.
Пользователю разрешено создавать группы AllowGroupCreationSet Администратор или владелец сайта добавляет уровень разрешений для сайта, позволяющий пользователю создавать группы на этом сайте.
Отменено географическое перемещение сайта SiteGeoMoveCancelled Администратор SharePoint или глобальный администратор успешно отменяет географические перемещения сайта SharePoint или OneDrive. Возможность Multi-Geo позволяет организации охватывать несколько географических центров Microsoft, которые называются geos. Дополнительную информацию см. в разделе Многофункциональные возможности в OneDrive и SharePoint Online.
Изменена политика общего доступа SharingPolicyChanged Администратор SharePoint или глобальный администратор изменил политику общего доступа SharePoint с помощью Центра администрирования Microsoft 365, Центра администрирования SharePoint или командной консоли SharePoint Online. Любое изменение параметров политики общего доступа в организации регистрируется в журнале. Измененная политика указывается в поле ModifiedProperties подробных свойств записи о событии.
Изменена политика доступа к устройству DeviceAccessPolicyChanged Администратор SharePoint или глобальный администратор изменил политику неуправляемых устройств для организации. Эта политика контролирует доступ к SharePoint, OneDrive и Microsoft 365 с устройств, которые не подключены к вашей организации. Для настройки этой политики необходима подписка на Enterprise Mobility + Security. Дополнительные сведения см. в статье Управление доступом с неуправляемых устройств.
Изменены исключаемые агенты пользователя CustomizeExemptUsers Администратор SharePoint или глобальный администратор настроил список исключаемых агентов пользователя в Центре администрирования SharePoint. Вы можете указать, какие агенты пользователя не должны получать веб-страницы полностью для индексации. Это значит, что если исключенный агент пользователя обнаружит форму InfoPath, она будет возвращена ему в виде XML-файла, а не полной веб-страницы. Это позволяет ускорить индексацию форм InfoPath.
Изменена политика доступа к сети NetworkAccessPolicyChanged Администратор SharePoint или глобальный администратор изменил политику доступа по расположению (также называемую границей надежной сети) в Центре администрирования SharePoint или с помощью SharePoint Online PowerShell. Политика этого типа регулирует доступ к ресурсам SharePoint и OneDrive в организации на основе указанных вами диапазонов авторизованных IP-адресов. Дополнительные сведения см. в статье Управление доступом к данным SharePoint Online и OneDrive на основе сетевых расположений.
Завершено географическое перемещение сайта SiteGeoMoveCompleted Географическое перемещение сайта, запланированное глобальным администратором организации, успешно выполнено. Возможность Multi-Geo позволяет организации охватывать несколько географических центров Microsoft, которые называются geos. Дополнительную информацию см. в разделе Многофункциональные возможности в OneDrive и SharePoint Online.
Создано подключение "Отправить пользователю" SendToConnectionAdded Администратор SharePoint или глобальный администратор создает подключение для отправки на странице управления записями в Центре администрирования SharePoint. Подключение для отправки определяет параметры для репозитория документов или центра записей. После создания подключения отправки организатор контента может отправлять документы в указанное расположение.
Создано семейство веб-сайтов SiteCollectionCreated Администратор SharePoint или глобальный администратор создает семейство веб-сайтов в организации SharePoint Online или пользователь подготавливает свой сайт OneDrive для бизнеса.
Удален потерянный центральный сайт HubSiteOrphanHubDeleted Администратор SharePoint или глобальный администратор удалил потерянный центральный сайт, у которого отсутствуют связанные с ним сайты. Возникновение потерянного центрального сайта, скорее всего, вызвано удалением исходного центрального сайта.
Удалены подключения "Отправить пользователю" SendToConnectionRemoved Администратор SharePoint или глобальный администратор удаляет подключение для отправки на странице управления записями в Центре администрирования SharePoint.
Удален сайт SiteDeleted Администратор сайта удаляет сайт.
Включен предварительный просмотр документов PreviewModeEnabledSet Администратор сайта включает предварительный просмотр документов для сайта.
Включен устаревший рабочий процесс LegacyWorkflowEnabledSet Администратор или владелец сайта добавляет тип контента задачи рабочего процесса SharePoint 2013 на сайт. Глобальные администраторы также могут включить рабочие процессы для всей организации в Центре администрирования SharePoint.
Включен Office по запросу OfficeOnDemandSet Администратор сайта включает функцию "Office по запросу", с помощью которой пользователи могут получать доступ к последней версии классических приложений Office. Office on Demand включен в центре администрирования SharePoint и требует подписку Microsoft 365, которая включает в себя полные установленные приложения Office.
Включен источник результатов для поиска людей PeopleResultsScopeSet Администратор сайта создает источник результатов для функции "Поиск людей" на сайте.
Включены RSS-каналы NewsFeedEnabledSet Администратор или владелец сайта включает RSS-каналы для сайта. Глобальные администраторы могут включить RSS-каналы для всей организации в Центре администрирования SharePoint.
Сайт присоединен к центральному сайту HubSiteJoined Владелец сайта связывает свой сайт с центральным сайтом.
Изменена квота семейства веб-сайтов SiteCollectionQuotaModified Администратор сайта изменяет квоту для семейства веб-сайтов.
Зарегистрирован центральный сайт HubSiteRegistered Администратор SharePoint или глобальный администратор создает центральный сайт. В результате сайт будет зарегистрирован как центральный сайт.
Удалено разрешенное расположение данных AllowedDataLocationDeleted Администратор SharePoint или глобальный администратор удалил разрешенное расположение данных из среды с поддержкой нескольких регионов.
Удален администратор географического расположения GeoAdminDeleted Администратор SharePoint или глобальный администратор удалил пользователя из роли администратора географического расположения.
Переименован сайт SiteRenamed Администратор или владелец сайта переименовывает сайт.
Запланировано географическое перемещение сайта SiteGeoMoveScheduled Администратор SharePoint или глобальный администратор успешно планирует географическое перемещение сайта SharePoint или OneDrive. Возможность Multi-Geo позволяет организации охватывать несколько географических центров Microsoft, которые называются geos. Дополнительную информацию см. в разделе Многофункциональные возможности в OneDrive и SharePoint Online.
Настроен сайт узла HostSiteSet Администратор SharePoint или глобальный администратор изменяет сайт, назначенный для размещения личных сайтов или сайтов OneDrive для бизнеса.
Задана квота хранилища для географического расположения GeoQuotaAllocated Администратор SharePoint или глобальный администратор настроил квоту хранилища для географического расположения в среде с поддержкой нескольких регионов.
Сайт отсоединен от центрального сайта HubSiteUnjoined Владелец сайта отсоединяет свой сайт от центрального сайта.
Отменена регистрация центрального сайта HubSiteUnregistered Администратор SharePoint или глобальный администратор отменяет регистрацию сайта в качестве центрального сайта. При отмене регистрации центрального сайта он перестает выполнять функции центрального сайта.

Действия, связанные с почтовыми ящиками Exchange

В приведенной ниже таблице перечислены действия, которые могут записываться в журнал аудита почтовых ящиков. Действия почтового ящика, выполняемые владельцем почтового ящика, делегированным пользователем или администратором, автоматически регистрируются в журнале аудита на срок до 90 дней. Администратор может отключить ведение журнала аудита почтовых ящиков для всех пользователей в организации. В этом случае в журнал не записываются никакие действия с почтовыми ящиками пользователей. Дополнительные сведения см. в статье Управление аудитом почтовых ящиков.

Вы также можете искать действия с почтовыми ящиками с помощью командлета Search-MailboxAuditLog в PowerShell в Exchange Online.

Понятное имя Операция Описание
Получен доступ к элементам почтового ящика MailItemsAccessed Прочитаны или открыты сообщения в почтовом ящике. Записи аудита для этого действия инициируются одним из двух способов: когда почтовый клиент (например, Outlook) выполняет привязку к сообщениям или когда почтовые протоколы (например, Exchange ActiveSync или IMAP) синхронизируют элементы в почтовой папке. Это действие регистрируется только для пользователей с лицензией на Office 365 или Microsoft 365 E5. Анализ записей аудита для этого действия полезен при исследовании скомпрометированных учетных записей электронной почты. Дополнительные сведения см. в разделе "События аудита (премиум)" в статье Аудит (премиум).
Добавлены разрешения почтового ящика-делегата Add-MailboxPermission Администратор назначил пользователю (называемому представителем) разрешение на полный доступ (FullAccess) к почтовому ящику другого пользователя. Разрешение на полный доступ позволяет представителю открывать почтовый ящик другого пользователя, а также читать его содержимое и управлять им. Запись аудита для этого действия также создается, когда системная учетная запись в службе Microsoft 365 периодически выполняет задачи обслуживания от имени организации. Обычной задачей, выполняемой системной учетной записью, является обновление разрешений для системных почтовых ящиков. Дополнительные сведения см. в разделе Системные учетные записи в записях аудита почтовых ящиков Exchange.
Добавлен или удален пользователь с делегированным доступом к папке календаря. UpdateCalendarDelegation Пользователь был добавлен или удален в качестве представителя для календаря почтового ящика другого пользователя. Делегирование календаря означает, что другой пользователь из этой же организации предоставляет разрешения на управление календарем владельца почтового ящика.
Добавлены разрешения для папки AddFolderPermissions Было добавлено разрешение для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам в почтовом ящике и содержащимся в них сообщениям.
Сообщения скопированы в другую папку Copy Сообщение было скопировано в другую папку.
Создан элемент почтового ящика Create В папке "Календарь", "Контакты", "Заметки" или "Задачи" почтового ящика создан элемент. Например, создано новое приглашение на собрание. Создание, отправка и получение сообщений не подлежат аудиту. Аудиту также не подлежит создание папки почтового ящика.
Создано новое правило для папки "Входящие" в Outlook Web App New-InboxRule Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, создал правило для папки "Входящие" в Outlook Web App.
Сообщения удалены из папки "Удаленные" SoftDelete Сообщение было удалено окончательно или из папки "Удаленные". Такие элементы перемещаются в папку "Элементы с возможностью восстановления". Сообщение также перемещается в папку "Элементы с возможностью восстановления", когда пользователь выбирает его и нажимает клавиши SHIFT+DELETE.
Сообщение помечено как запись ApplyRecordLabel Сообщение было помечено как запись. Это происходит, когда метка хранения, определяющая контент в качестве записи, вручную или автоматически применяется к сообщению.
Сообщения перемещены в другую папку Move Сообщение было перемещено в другую папку.
Сообщения перемещены в папку "Удаленные" MoveToDeletedItems Сообщение было удалено и перемещено в папку "Удаленные".
Изменены разрешения для папки UpdateFolderPermissions Были изменены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям.
Изменено правило для папки "Входящие" из Outlook Web App Set-InboxRule Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, изменил правило для папки "Входящие" с помощью Outlook Web App.
Сообщения удалены из почтового ящика HardDelete Сообщение было очищено из папки "Элементы с возможностью восстановления" (удалено из почтового ящика безвозвратно).
Удалены разрешения почтового ящика с делегированным доступом Remove-MailboxPermission Администратор удалил разрешение на полный доступ (FullAccess) к почтовому ящику другого пользователя (которое было назначено представителю). После удаления разрешения на полный доступ представитель не может открыть почтовый ящик другого пользователя или получить доступ к его содержимому.
Удалены разрешения для папки RemoveFolderPermissions Было удалено разрешение для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам в почтовом ящике и содержащимся в них сообщениям.
Отправленное сообщение Send Сообщение отправлено, переадресовано или на него получен ответ. Это действие регистрируется только для пользователей с лицензией на Office 365 или Microsoft 365 E5. Дополнительные сведения см. в разделе "События аудита (премиум)" в статье Аудит (премиум).
Отправить сообщение с использованием разрешений "Отправить как" SendAs Сообщение было отправлено с использованием разрешения SendAs. Это значит, что другой пользователь отправил сообщение так, как будто оно было отправлено владельцем почтового ящика.
Отправлено сообщение с разрешениями "Отправить от имени" SendOnBehalf Сообщение было отправлено с использованием разрешения SendOnBehalf. Это означает, что сообщение было отправлено другим пользователем от имени владельца почтового ящика. В сообщении указано для получателя, от чьего имени и кем в действительности было отправлено сообщение.
Обновлены правила для папки "Входящие" из клиента Outlook UpdateInboxRules Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, создал, изменил или удалил правило для папки "Входящие" при помощи клиента Outlook.
Обновлено сообщение Update Сообщение или его свойства были изменены.
Пользователь вошел в почтовый ящик MailboxLogin Пользователь выполнил вход в свой почтовый ящик.
Пометка сообщения как записи Пользователь применил к сообщению электронной почты метку хранения, которая настроена, чтобы пометить элемент как запись.

Системные учетные записи в записях аудита почтовых ящиков Exchange

В записях аудита для некоторых действий почтовых ящиков (особенно Add-MailboxPermissions) можно заметить, что пользователем, выполнившим действие (и идентифицированным в полях User и UserId), является NT AUTHORITY\SYSTEM или NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost). Это указывает на то, что "пользователем", выполнившим действие, была системная учетная запись в службе Exchange облака Майкрософт. Эта системная учетная запись часто выполняет запланированные задачи обслуживания от имени организации. Например, распространенным проверяемым действием, выполняемым учетной записью NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost), является обновление разрешений в объекте DiscoverySearchMailbox, который является системным почтовым ящиком. Целью этого обновления является проверка того, что разрешение FullAccess (предоставляемое по умолчанию) назначено группе ролей управления обнаружением для DiscoverySearchMailbox. Это гарантирует, что администраторы электронного обнаружения данных могут выполнять необходимые задачи в своей организации.

Другой учетной записью пользователя системы, которая может быть определена в записи аудита для Add-MailboxPermission, является Administrator@apcprd03.prod.outlook.com. Эта учетная запись службы также включается в записи аудита почтовых ящиков, связанные с проверкой и обновлением разрешения FullAccess, назначенного группе ролей управления обнаружением для системного почтового ящика DiscoverySearchMailbox. В частности, записи аудита, которые определяют учетную запись Administrator@apcprd03.prod.outlook.com, обычно инициируются при запуске сотрудниками службы поддержки Microsoft средства диагностики ролей RBAC от имени вашей организации.

Действия, связанные с администрированием пользователей

В таблице ниже перечислены действия по администрированию пользователей, которые регистрируются, когда администратор добавляет или изменяет учетную запись пользователя в Центре администрирования Microsoft 365 или на портале управления Azure.

Примечание

Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").

Действие Операция Описание
Добавлен пользователь Добавление пользователя. Учетная запись пользователя была создана.
Изменена лицензия пользователя Изменение лицензии пользователя. Лицензия, назначенная пользователю, изменилась. Чтобы узнать, какие лицензии изменились, просмотрите соответствующее действие Обновлен пользователь.
Изменен пароль пользователя Смена пароля пользователя. Пользователь изменяет пароль. В организации необходимо включить самостоятельный сброс пароля (для всех или для выбранных пользователей), чтобы пользователи могли сбрасывать пароль. Вы также можете отслеживать действия по самостоятельному сбросу пароля в Azure Active Directory. Дополнительные сведения см. в статье Параметры отчетов для управления паролями в Azure AD.
Удален пользователь Удаление пользователя. Учетная запись пользователя была удалена.
Сброшен пароль пользователя Сброс пароля пользователя. Администратор сбрасывает пароль пользователя.
Назначено свойство, которое заставляет пользователей изменить пароль Установка принудительной смены пароля пользователя. Администратор установил свойство, предписывающее пользователю сменить пароль при следующем входе в Microsoft 365.
Настроить свойства лицензии Настройка свойств лицензии. Администратор изменяет свойства лицензии, назначенной пользователю.
Обновлен пользователь Обновление пользователя. Администратор изменяет одно или несколько свойств учетной записи пользователя. Список обновляемых свойств пользователя см. в разделе "Обновление атрибутов пользователя" статьи События в отчете об аудите Azure Active Directory.

Действия, связанные с администрированием групп Azure AD

В следующей таблице перечислены действия по администрированию группы, которые регистрируются, когда администратор или пользователь создает или изменяет группу Microsoft 365 или когда администратор создает группу безопасности с помощью Центра администрирования Microsoft 365 или портала управления Azure. Дополнительные сведения о группах в Microsoft 365 см. в статье Просмотр, создание и удаление групп в Центре администрирования Microsoft 365.

Примечание

Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").

Понятное имя Операция Описание
Добавлена группа Добавление группы. Создана группа.
В группу добавлен участник Добавление участника в группу. В группу был добавлен участник.
Удалена группа Удаление группы. Группа была удалена.
Участник удален из группы Удаление участника из группы. Из группы удален участник.
Обновлена группа Обновление группы. Свойство группы изменилось.

Действия, связанные с администрированием приложений

В приведенной ниже таблице перечислены действия по администрированию приложений, которые записываются, когда администратор добавляет или изменяет приложение, зарегистрированное в Azure AD. Любое приложение, использующее Azure AD для проверки подлинности, должно быть зарегистрировано в каталоге.

Примечание

Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").

Понятное имя Операция Описание
Добавлена запись делегирования Добавление записи делегирования. Разрешение проверки подлинности было создано или предоставлено приложению в Azure AD.
Добавлен субъект-служба Добавление субъекта-службы. Приложение было зарегистрировано в Azure AD. Приложение представлено в каталоге субъектом-службой.
Добавлены учетные данные для субъекта-службы Добавление учетных данных субъекта-службы. Учетные данные были добавлены для субъекта-службы в Azure AD. Приложение представлено в каталоге субъектом-службой.
Удалена запись делегирования Удаление записи делегирования. Разрешение проверки подлинности было удалено из приложения в Azure AD.
Из каталога удален субъект-служба Удаление субъекта-службы. Произведено удаление или отмена регистрации приложения в Azure AD. Приложение представлено в каталоге субъектом-службой.
Учетные данные удалены из субъекта-службы Удаление учетных данных субъекта-службы. Учетные данные были удалены из субъекта-службы в Azure AD. Приложение представлено в каталоге субъектом-службой.
Задана запись делегирования Настройка записи делегирования. Разрешение проверки подлинности было обновлено для приложения в Azure AD.

Действия, связанные с администрированием ролей

В таблице ниже перечислены действия по администрированию ролей Azure AD, регистрируемые, когда администратор управляет ролями администраторов в Центре администрирования Microsoft 365 или на портале управления Azure.

Примечание

Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").

Понятное имя Операция Описание
В роль добавлен участник В роль добавлен участник. Добавил пользователя к роли администратора в Microsoft 365.
Из роли каталога удален пользователь Удаление участника из роли. Удален пользователь из роли администратора в Microsoft 365.
Настройка контактных данных компании Настройка контактных данных компании. Обновлены корпоративные контактные данные вашей организации. Сюда входят адреса электронной почты для связанных с подпиской сообщений, отправленных Microsoft 365, и технические уведомления о службах.

Действия, связанные с администрированием каталогов

В следующей таблице перечислены действия, связанные с каталогом Azure AD и доменом, которые регистрируются, когда администратор управляет своей организацией в Центре администрирования Microsoft 365 или на портале управления Azure.

Примечание

Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").

Понятное имя Операция Описание
В компанию добавлен домен Добавление домена в компанию. Добавлен домен в вашу организацию.
В каталог добавлен партнер Добавление партнера компании. Добавил партнера (делегированного администратора) в вашу организацию.
Домен удален из компании Удаление домена из компании. Удален домен из вашей организации.
Партнер удален из каталога Удаление партнера из компании. Удален партнер (делегированный администратор) из вашей организации.
Настройка сведений о компании Настройка сведений о компании. Обновлена корпоративная информация о вашей организации. Сюда входят адреса электронной почты для связанных с подпиской сообщений, отправленных Microsoft 365, и технические уведомления о службах Microsoft 365.
Установка проверки подлинности домена Установка проверки подлинности домена. Изменены настройки проверки подлинности домена для вашей организации.
Обновлены параметры федерации для домена Настройка параметров федерации для домена. Изменены параметры федерации (внешнего обмена) для вашей организации.
Настройка политики паролей Настройка политики паролей. Изменены ограничения длины и символов для пользовательских паролей в вашей организации.
Включена синхронизация Azure AD Настройка флага DirSyncEnabled для компании. Настроено свойство, включающее синхронизацию Azure AD для каталога.
Обновлен домен Обновление домена. Обновлены настройки домена в вашей организации.
Проверен домен Проверка домена. Выполнена проверка того, является ли ваша организация владельцем домена.
Проверены почта и домен Проверка домена, проверенного по электронной почте. Выполнена проверка по электронной почте, чтобы выяснить, является ли ваша организация владельцем домена.

Действия, связанные с обнаружением электронных данных

Действия, связанные с поиском контента и обнаружением электронных данных, выполняемые в Центре безопасности и соответствия требованиям или путем запуска соответствующих командлетов PowerShell, регистрируются в журнале аудита. Сюда относятся следующие действия:

  • создание дел обнаружения электронных данных и управление ими;

  • создание, запуск и редактирование операций поиска контента;

  • выполнение действий поиска контента, таких как предварительный просмотр, экспорт и удаление результатов поиска;

  • настройка фильтрации разрешений для поиска контента;

  • управление ролью администратора обнаружения электронных данных.

Список и подробное описание зарегистрированных операций eDiscovery см. в разделе Поиск действий eDiscovery в журнале аудита.

Примечание

События, связанные с действиями из разделов Действия обнаружения электронных данных и Действия обнаружения электронных данных (премиум) в раскрывающемся списке Действия, отображаются в результатах поиска в течение 30 минут. В то же время для отображения в результатах поиска соответствующих событий из действий командлета eDiscovery требуется 24 часа.

Действия обнаружения электронных данных (премиум)

В журнале аудита также можно искать действия обнаружения электронных данных Microsoft Purview (премиум). Описание этих действий см. в разделе "Действия, связанные с обнаружением электронных данных (премиум)" в статье Поиск действий по обнаружению электронных данных в журнале аудита.

Действия, связанные с Power BI

В журнале аудита можно искать действия, выполненные в Power BI. Дополнительные сведения о действиях в Power BI см. в разделе "Действия, подлежащие аудиту, при использовании Power BI" статьи Использование аудита в организации.

Ведение журнала аудита для Power BI по умолчанию отключено. Для поиска операций Power BI в журнале аудита необходимо включить аудит на портале администрирования Power BI. Инструкции см. в разделе "Журналы аудита" статьи Портал администрирования Power BI.

Действия, связанные с Рабочей аналитикой

Workplace Analytics дает представление о том, как группы сотрудничают в вашей организации. В таблице ниже перечислены действия, выполняемые пользователями, которым назначена роль администратора или роли аналитиков в Рабочей аналитике. Пользователям с назначенной ролью аналитика полностью доступны все функции службы и возможность применения продукта для выполнения анализа. Пользователи с назначенной ролью администратора могут настраивать параметры конфиденциальности и системные параметры по умолчанию, а также подготавливать, отправлять и проверять данные организации в Рабочей аналитике. Дополнительные сведения см. в статье Рабочая аналитика.

Понятное имя Операция Описание
Посещена ссылка OData AccessedOdataLink Аналитик посетил ссылку OData для запроса.
Отменен запрос CanceledQuery Аналитик отменил выполняемый запрос.
Создано исключение из собрания MeetingExclusionCreated Аналитик создал правило исключения из собрания.
Удален результат DeletedResult Аналитик удалил результат запроса.
Скачан отчет DownloadedReport Аналитик скачал файл результата запроса.
Выполнен запрос ExecutedQuery Аналитик выполнил запрос.
Изменен параметр доступа к данным UpdatedDataAccessSetting Администратор обновил параметры доступа к данным.
Изменен параметр конфиденциальности UpdatedPrivacySetting Администратор обновил параметры конфиденциальности, например минимальный размер группы.
Отправлены данные организации UploadedOrgData Администратор отправил файл данных организации.
Пользователь вошел в систему* UserLoggedIn Пользователь выполнил вход в свою учетную запись Microsoft 365.
Пользователь вышел из системы* UserLoggedOff Пользователь вышел из своей учетной записи Microsoft 365.
Просмотрено ViewedExplore Аналитик просмотрел визуализации на одной или нескольких вкладках страницы просмотра.

Примечание

*Это действия входа и выхода в Azure Active Directory. Эти действия регистрируются, даже если в организации не включена Рабочая аналитика. Дополнительные сведения о входе пользователя см. в статье Журналы входа в Azure Active Directory.

Действия, связанные с Microsoft Teams

В журнале аудита можно искать действия пользователей и администраторов, выполненные в Microsoft Teams. Teams — это рабочее пространство на основе чата в Microsoft 365. Это место, в котором собраны все беседы, собрания, файлы и заметки команды. Описание действий Teams, которые подлежат аудиту, см. в статье Поиск событий Microsoft Teams в журнале аудита.

Действия в сфере здравоохранения, связанные с Microsoft Teams

Если в вашей организации используется приложение "Пациенты" в Microsoft Teams, вы можете выполнять в журнале аудита поиск действий, связанных с использованием приложения "Пациенты". Если ваша среда настроена для поддержки приложения "Пациенты", в списке выбора Действия доступна дополнительная группа действий.

Действия в сфере здравоохранения, связанные с Microsoft Teams, в списке выбора действий.

Описания действий приложения "Пациенты" см. в статье Журналы аудита приложения "Пациенты".

Действия, связанные с приложением "Смены" в Microsoft Teams

Если в вашей организации используется приложение "Смены" в Microsoft Teams, вы можете выполнять в журнале аудита поиск действий, связанных с использованием приложения "Смены". Если ваша среда настроена для поддержки приложения "Смены", в списке выбора Действия доступна дополнительная группа действий.

Описание действий приложения "Смены" см. в статье Поиск событий Microsoft Teams в журнале аудита.

Действия, связанные с Yammer

В следующей таблице перечислены действия пользователя и администратора в Yammer, которые зарегистрированы в журнале аудита. Чтобы вернуть связанные с Yammer действия из журнала аудита, необходимо выбрать Показать результаты для всех действий в списке Действия. Уточнить результаты поиска можно с помощью полей диапазона дат и списка Пользователи.

Примечание

Некоторые действия аудита в Yammer доступны только в рамках функции "Аудит" (премиум). Это означает, что пользователям необходимо назначить соответствующую лицензию, прежде чем эти действия будут зарегистрированы в журнале аудита. Дополнительные сведения о действиях, которые доступны только в функции "Аудит" (премиум), см. в статье Аудит (премиум) в Microsoft 365. Требования к лицензированию для функции "Аудит" (премиум) см. в статье Решения для аудита в Microsoft 365.

В следующей таблице действия, доступные в функции "Аудит" (премиум), выделены звездочкой (*).

Понятное имя Операция Описание
Changed data retention policy (Изменена политика хранения данных) SoftDeleteSettingsUpdated Проверенный администратор изменяет параметр сетевой политики хранения данных, а именно задает необратимое или обратимое удаление. Это действие могут выполнять только проверенные администраторы.
Изменена конфигурация сети NetworkConfigurationUpdated Администратор сети или проверенный администратор изменяет конфигурацию сети Yammer. Операция включает настройку интервала для экспорта данных и включение чата.
Изменены параметры сетевого профиля ProcessProfileFields Администратор сети или проверенный администратор изменяет информацию, отображаемую в профилях участников для сетевых пользователей.
Changed private content mode (Изменен режим личного содержимого) SupervisorAdminToggled Проверенный администратор включает или отключает режим личного содержимого. Этот режим позволяет администратору просматривать записи в закрытых группах и личную переписку между отдельными пользователями (или группами пользователей). Это действие могут выполнять только проверенные администраторы.
Changed security configuration (Изменена конфигурация безопасности) NetworkSecurityConfigurationUpdated Проверенный администратор обновляет конфигурацию системы безопасности сети Yammer. Операция включает настройку политик времени прекращения действия и ограничений для IP-адресов. Это действие могут выполнять только проверенные администраторы.
Created file (Создан файл) FileCreated Пользователь добавляет файл.
Создана группа GroupCreation Пользователь создает группу.
Создано сообщение* MessageCreated Пользователь создает сообщение.
Удалена группа GroupDeletion Группа удалена из Yammer.
Deleted message (Удалено сообщение) MessageDeleted Пользователь удаляет сообщение.
Скачан файл FileDownloaded Пользователь скачивает файл.
Exported data (Экспортированы данные) DataExport Проверенный администратор экспортирует данные сети Yammer. Это действие могут выполнять только проверенные администраторы.
Не удалось получить доступ к сообществу* CommunityAccessFailure Пользователю не удалось получить доступ к сообществу.
Не удалось получить доступ к файлу* FileAccessFailure Пользователю не удалось получить доступ к файлу.
Не удалось получить доступ к сообщению* MessageAccessFailure Пользователю не удалось получить доступ к сообщению.
Пользователь поделился файлом FileShared Пользователь делится файлом с другим пользователем.
Suspended network user (Приостановлен пользователь сети) NetworkUserSuspended Администратор сети или проверенный администратор приостанавливает активность (деактивирует) пользователя в Yammer.
Suspended user (Приостановлен пользователь) UserSuspension Активность учетной записи пользователя приостановлена (деактивирована).
Updated file description (Обновлено описание файла) FileUpdateDescription Пользователь изменяет описание файла.
Updated file name (Обновлено имя файла) FileUpdateName Пользователь изменяет имя файла.
Обновлено сообщение* MessageUpdated Пользователь обновляет сообщение.
Viewed file (Просмотрен файл) FileVisited Пользователь просматривает файл.
Просмотрено сообщение* MessageViewed Пользователь просматривает сообщение.

Действия, связанные с Microsoft Power Automate

В журнале аудита можно искать действия, выполненные в Power Automate (прежнее название — Microsoft Flow). К таким действиям относятся создание, изменение и удаление потоков, а также изменение разрешений потока. Сведения об аудите действий, связанных с Power Automate, см. в блоге События аудита Power Automate теперь доступны на портале соответствия требованиям.

Действия, связанные с Microsoft Power Apps

В журнале аудита можно искать связанные с приложениями действия, выполненные в Power Apps. К таким действиям относятся создание, запуск и публикация приложений. Назначение разрешений для приложений также подлежит аудиту. Описание всех действий в Power Apps см. в статье Ведение журнала действий для Power Apps.

Действия, связанные с Microsoft Stream

В журнале аудита можно искать действия, выполненные в Microsoft Stream. К этим действиям относятся связанные с видео действия, выполняемые пользователями, действия в канале группы и действия администраторов, такие как управление пользователями, управление параметрами организации и экспорт отчетов. Описание этих действий см. в разделе "Действия, регистрируемые в Microsoft Stream" статьи Журналы аудита в Microsoft Stream.

Действия, связанные с обозревателем содержимого

В следующей таблице перечислены действия в проводнике контента, которые зарегистрированы в журнале аудита. Обозреватель содержимого, для доступа к которому используется средство классификации данных в на портале соответствия требованиям. Дополнительные сведения см. в статье Использование обозревателя содержимого с классификацией данных

Понятное имя Операция Описание
Получен доступ к элементу LabelContentExplorerAccessedItem Администратор (или пользователь, который является участником группы с ролью Читателя содержимого в обозревателе содержимого) использует обозреватель содержимого для просмотра сообщения электронной почты или документа SharePoint/OneDrive.

Карантинная деятельность

В следующей таблице перечислены действия на карантине, которые можно найти в журнале аудита. Дополнительные сведения о карантине см. в разделе Сообщения электронной почты на карантине.

Понятное имя Операция Описание
Удаленное карантинное сообщение QuarantineDelete Пользователь удалил сообщение электронной почты, которое было сочтено вредным.
Экспортированное сообщение карантина QuarantineExport Пользователь экспортировал сообщение электронной почты, которое было сочтено вредным.
Предварительно просмотренное сообщение на карантине QuarantinePreview Пользователь предварительно просмотрел сообщение электронной почты, которое было сочтено вредным.
Выпущенное карантинное сообщение QuarantineRelease Пользователь выпустил сообщение электронной почты из карантина, которое было сочтено вредным.
Просмотренный заголовок сообщения карантина QuarantineViewHeader Пользователь просмотрел заголовок сообщения электронной почты, которое было сочтено вредным.

Действия Microsoft Forms

В таблицах этого раздела перечислены действия пользователя и администратора в Microsoft Forms, которые зарегистрированы в журнале аудита. Microsoft Forms — это средство для работы с формами, тестами и опросами, используемое для сбора данных с целью анализа. Некоторые операции содержат дополнительные параметры действий, если это указано в описаниях ниже.

Если действие в Forms выполняется соавтором или анонимным респондентом, оно записывается несколько иначе. Дополнительные сведения см. в разделе Действия в Forms, выполняемые соавторами и анонимными респондентами.

Примечание

Некоторые действия аудита в Forms доступны только в функции "Аудит" (премиум). Это означает, что пользователям необходимо назначить соответствующую лицензию, прежде чем эти действия будут зарегистрированы в журнале аудита. Дополнительные сведения о действиях, которые доступны только в функции "Аудит" (премиум), см. в статье Аудит (премиум) в Microsoft 365. Требования к лицензированию для функции "Аудит" (премиум) см. в статье Решения для аудита в Microsoft 365.

В следующей таблице действия, доступные в функции "Аудит" (премиум), выделены звездочкой (*).

Понятное имя Операция Описание
Создан комментарий CreateComment Владелец формы добавляет к тесту комментарий или оценку.
Создана форма CreateForm Владелец формы создает форму.

Свойство DataMode:string указывает, что текущая форма настроена на синхронизацию с новой или существующей книгой Excel, если значение свойства равно DataSync. Свойство ExcelWorkbookLink:string указывает на связанный ИД книги Excel текущей формы.
Изменена форма EditForm Владелец формы изменяет форму, например создает, удаляет или редактирует вопрос. Свойство EditOperation:string указывает название операции изменения. Возможны следующие операции:
- CreateQuestion
- CreateQuestionChoice
- DeleteQuestion
- DeleteQuestionChoice
-DeleteFormImage
- DeleteQuestionImage
- UpdateQuestion
- UpdateQuestionChoice
- UploadFormImage/Bing/Onedrive
- UploadQuestionImage
- ChangeTheme

FormImage включает любое место в Forms, куда пользователь может добавить изображение, например в запрос или в качестве фона.
Перемещена форма MoveForm Владелец формы перемещает форму.

Свойство DestinationUserId:string указывает идентификатор пользователя, переместившего форму. Свойство NewFormId:string — это новый идентификатор скопированной формы. Свойство IsDelegateAccess:boolean указывает, что текущее действие перемещения формы выполняется через страницу делегирования администратора.
Удалена форма DeleteForm Владелец формы удаляет ее. Сюда относится операция SoftDelete (использован вариант удаления с перемещением формы в корзину) и операция HardDelete (с очисткой корзины).
Просмотрена форма (время разработки) ViewForm Владелец формы открывает существующую форму для изменения.

Свойство AccessDenied:boolean указывает, что доступ к текущей форме запрещен из-за проверки разрешений. Свойство FromSummaryLink:boolean указывает, что текущий запрос поступает со страницы ссылки сводки.
Выполнен предварительный просмотр формы PreviewForm Владелец формы предварительно просматривает форму с помощью функции предварительного просмотра.
Экспортирована форма ExportForm Владелец формы экспортирует результаты в Excel.

Свойство ExportFormat:string указывает, скачивается ли файл Excel или располагается в Интернете.
Разрешен общий доступ к форме для копирования AllowShareFormForCopy Владелец формы создает ссылку на шаблон, чтобы поделиться формой с другими пользователями. Это событие записывается в журнал, когда владелец формы нажимает кнопку создания URL-адреса шаблона.
Запрещен общий доступ к форме для копирования DisallowShareFormForCopy Владелец формы удаляет ссылку на шаблон.
Добавлен соавтор формы AddFormCoauthor Пользователь использует ссылку для совместной работы, чтобы помочь в создании или просмотре ответов. Это событие записывается в журнал, когда пользователь использует URL-адрес для совместной работы (а не при первом создании URL-адреса для совместной работы).
Удален соавтор формы RemoveFormCoauthor Владелец формы удаляет ссылку для совместной работы.
Просмотрена страница ответов ViewRuntimeForm Пользователь открыл страницу ответов для просмотра. Это событие записывается в журнал независимо от того, отправляет ли пользователь ответ или нет.
Создан ответ CreateResponse Аналогично получению нового ответа. Пользователь отправил ответ в форму.

Свойство ResponseId:string и ResponderId:string указывает, какой результат просматривается.

Для анонимного отвечающего свойство ResponderId будет иметь значение NULL.
Обновлен ответ UpdateResponse Владелец формы обновил комментарий или оценку в тесте.

Свойство ResponseId:string и ResponderId:string указывает, какой результат просматривается.

Для анонимного отвечающего свойство ResponderId будет иметь значение NULL.
Удалены все ответы DeleteAllResponses Владелец формы удаляет все данные ответов.
Удален ответ DeleteResponse Владелец формы удаляет один ответ.

Свойство ResponseId:string указывает удаляемый ответ.
Просмотрены ответы ViewResponses Владелец формы просматривает обобщенный список ответов.

Свойство ViewType:string указывает, какое представление просматривает владелец формы: подробное или обобщенное
Просмотрен ответ ViewResponse Владелец формы просматривает определенный ответ.

Свойство ResponseId:string и ResponderId:string указывает, какой результат просматривается.

Для анонимного отвечающего свойство ResponderId будет иметь значение NULL.
Создана ссылка на сводку GetSummaryLink Владелец формы создает ссылку на сводку результатов для предоставления к ним общего доступа.
Удалена ссылка на сводку DeleteSummaryLink Владелец формы удаляет ссылку на сводку результатов.
Обновлено состояние фишинга формы UpdatePhishingStatus Это событие записывается в журнал при каждом изменении подробного значения состояния внутренней безопасности, независимо от того, изменяется ли итоговое состояние защиты (например, форма стала закрытой или открытой). Это означает, что могут отображаться дубликаты событий без изменения итогового состояния защиты. Возможные значения состояния для этого события:
- Зафиксировать
- Зафиксировать администратором
- Администратор разблокировал
- Заблокировано автоматически
- Разблокировано автоматически
- Сообщено клиентом
- Сброс сообщений клиента
Обновлено состояние фишинга пользователя UpdateUserPhishingStatus Это событие записывается в журнал при каждом изменении значения состояния безопасности пользователя. Значение состояния пользователя в записи аудита назначается как Подтвержден как фишер, когда пользователь создал форму фишинга, которая была зафиксирована группой безопасности в Интернете корпорации Майкрософт. Если администратор разблокирует пользователя, то пользователю присваивается значение состояния Восстановить в качестве обычного пользователя.
Отправлено приглашение в Forms Pro ProInvitation Пользователь нажимает кнопку, чтобы активировать пробную версию Pro.
Обновлен параметр формы* UpdateFormSetting Владелец формы обновляет один или несколько параметров формы.

Свойство FormSettingName:string указывает на обновленное имя конфиденциальных параметров. Свойство NewFormSettings:string указывает на имя и новое значение обновленных параметров. Свойство thankYouMessageContainsLink:boolean указывает, что обновленное сообщение с благодарностью содержит URL-ссылку.
Обновлен параметр пользователя UpdateUserSetting Владелец формы обновляет параметр пользователя.

Свойство UserSettingName:string указывает название и новое значение параметра
Получен список форм* ListForms Владелец формы просматривает список форм.

Свойство ViewType:string указывает, какое представление просматривает владелец формы: "Все формы", "Мне представлен доступ" или "Формы группы"
Отправлен ответ SubmitResponse Пользователь отправляет ответ в форму.

Свойство IsInternalForm:boolean указывает, находится ли отвечающий в той же организации, что и владелец формы.
Включен параметр "Любой пользователь может ответить"* AllowAnonymousResponse Владелец формы включает параметр, позволяющий любому пользователю отвечать на форму.
Отключен параметр "Любой пользователь может ответить"* DisallowAnonymousResponse Владелец формы отключает параметр, позволяющий любому пользователю отвечать на форму.
Включен параметр "Определенные пользователи могут ответить"* EnableSpecificResponse Владелец формы включает параметр, позволяющий отвечать на форму только определенным пользователям или группам в текущей организации.
Отключен параметр "Определенные пользователи могут ответить"* DisableSpecificResponse Владелец формы отключает параметр, позволяющий отвечать на форму только определенным пользователям или группам в текущей организации.
Добавлен определенный респондент* AddSpecificResponder Владелец формы добавляет нового пользователя или группу в список определенных ответчиков.
Удален определенный респондент* RemoveSpecificResponder Владелец формы удаляет нового пользователя или группу из списка определенных ответчиков.
Отключена совместная работа* DisableCollaboration Владелец формы отключает параметр совместной работы над формой.
Включена совместная работа для рабочей или учебной учетной записи Office 365* EnableWorkOrSchoolCollaboration Владелец формы включает параметр, позволяющий пользователям с рабочей или учебной учетной записью Microsoft 365 просматривать и редактировать форму.
Включена совместная работа для пользователей в моей организации* EnableSameOrgCollaboration Владелец формы включает параметр, позволяющий пользователям в текущей организации просматривать и редактировать форму.
Включена совместная работа для определенных пользователей* EnableSpecificCollaboaration Владелец формы включает параметр, позволяющий просматривать и редактировать форму только определенным пользователям или группам в текущей организации.
Подключено к книге Excel* ConnectToExcelWorkbook Форма подключена к книге Excel.

Свойство ExcelWorkbookLink:string указывает на связанный ИД книги Excel текущей формы.
Коллекция создана CollectionCreated Владелец формы создал коллекцию.
Коллекция обновлена CollectionUpdated Владелец формы обновил свойство коллекции.
Коллекция удалена из корзины CollectionHardDeleted Владелец формы безвозвратно удалил коллекцию из корзины.
Коллекция перемещена в корзину CollectionSoftDeleted Владелец формы переместил коллекцию в корзину.
Коллекция переименована CollectionRenamed Владелец формы изменил имя коллекции.
Форма перемещена в коллекцию MovedFormIntoCollection Владелец формы переместил форму в коллекцию.
Форма перемещена из коллекции MovedFormOutofCollection Владелец формы переместил форму из коллекции.

Действия в Forms, выполняемые соавторами и анонимными респондентами

Forms поддерживает совместную работу при создании форм и анализе откликов. Участник совместной работы по созданию форм называется соавтором. Соавторы могут выполнять такие же действия, что и владелец формы, за исключением удаления и перемещения формы. Кроме того, Forms позволяет создать форму, на которую можно ответить анонимно. Это означает, что респонденту не нужно входить в организацию, чтобы ответить на форму.

В таблице ниже описаны действия по аудиту и сведения в записи аудита в отношении действий, выполняемых соавторами и анонимными респондентами.

Тип действия Внутренний или внешний пользователь ИД пользователя, который выполнил вход Организация, в которую выполнен вход Тип пользователя Forms
Совместное редактирование Внутренний Имя участника-пользователя Организация владельца формы Соавтор
Совместное редактирование Внешний Имя участника-пользователя
Организация соавтора
Соавтор
Совместное редактирование Внешний urn:forms:coauthor#a0b1c2d3@forms.office.com
(Вторая часть идентификатора — это хэш-код, уникальный для каждого пользователя)
Организация владельца формы
Соавтор
Действия ответа Внешний Имя участника-пользователя
Организация респондента
Респондент
Действия ответа Внешний urn:forms:external#a0b1c2d3@forms.office.com
(Вторая часть ИД пользователя — это хэш-код, уникальный для каждого пользователя)
Организация владельца формы Респондент
Действия ответа Анонимный urn:forms:anonymous#a0b1c2d3@forms.office.com
(Вторая часть ИД пользователя — это хэш-код, уникальный для каждого пользователя)
Организация владельца формы Респондент

Действия с метками конфиденциальности

В следующей таблице перечислены события, возникающие при использовании меток конфиденциальности.

Понятное имя Операция Описание
Метка конфиденциальности применена к сайту SensitivityLabelApplied К сайту SharePoint или Teams была применена метка конфиденциальности.
Метка конфиденциальности, примененная к сайту, удалена SensitivityLabelRemoved Метка конфиденциальности удалена с сайта SharePoint или Teams.
Метка конфиденциальности применена к файлу FileSensitivityLabelApplied Метка конфиденциальности была применена к документу с помощью Приложений Microsoft 365, Office в Интернете или политики автоматического добавления меток.
Метка конфиденциальности, примененная к файлу, изменена FileSensitivityLabelChanged

SensitivityLabelUpdated
К документу применена другая метка конфиденциальности.

Операции для этого действия отличаются в зависимости от изменения метки:
- Office в Интернете или политика автоматического добавления меток (FileSensitivityLabelChanged)
- Приложения Microsoft 365 (SensitivityLabelUpdated)
На сайте изменена метка конфиденциальности SensitivityLabelChanged На веб-сайте SharePoint или Teams была применена другая метка конфиденциальности.
Метка конфиденциальности, примененная к файлу, удалена FileSensitivityLabelRemoved Метка конфиденциальности была удалена из документа с помощью приложений Microsoft 365, Office в Интернете, политики автоматического добавления меток или командлета Unlock-SPOSensitivityLabelEncryptedFile.

Действия, связанные с политикой хранения и метками хранения

В следующей таблице описываются действия настройки политик хранения и меток хранения при их создании, перенастройке или удалении.

Понятное имя Операция Описание
Изменено членство в адаптивной области ApplicableAdaptiveScopeChange Пользователи, сайты или группы добавлены в адаптивную область или удалены из нее. Эти изменения являются результатами выполнения запроса области. Эти изменения были инициированы системой, поэтому в качестве имени пользователя отображается GUID, а не учетная запись пользователя.
Настроены параметры политики хранения NewRetentionComplianceRule Администратор настроил параметры хранения для новой политики хранения. Параметры хранения включают срок хранения элементов и действия в отношении элементов по истечении срока хранения (например, удаление, хранение или хранение и последующее удаление элементов). Это действие также соответствует выполнению командлета New-RetentionComplianceRule.
Адаптивная область создана NewAdaptiveScope Администратор создал адаптивную область.
Создана метка хранения NewComplianceTag Администратор создал новую метку хранения.
Создана политика хранения NewRetentionCompliancePolicy Администратор создал новую политику хранения.
Адаптивная область удалена RemoveAdaptiveScope Администратор удалил адаптивную область.
Удалены параметры из политики хранения RemoveRetentionComplianceRule
Администратор удалил параметры конфигурации политики хранения. Скорее всего, это действие регистрируется, когда администратор удаляет политику хранения или запускает командлет Remove-RetentionComplianceRule.
Удалена метка хранения RemoveComplianceTag Администратор удалил метку хранения.
Удалена политика хранения RemoveRetentionCompliancePolicy
Администратор удалил политику хранения.
Включен параметр записи, отвечающей нормативным требованиям, для меток хранения
SetRestrictiveRetentionUI Администратор запустил командлет Set-RegulatoryComplianceUI, чтобы иметь возможность выбрать параметр конфигурации пользовательского интерфейса, позволяющий пометить содержимое как запись, отвечающую нормативным требованиям, с помощью метки хранения.
Адаптивная область обновлена SetAdaptiveScope Администратор изменил описание или запрос для существующей адаптивной области.
Обновлены параметры политики хранения SetRetentionComplianceRule Администратор изменил параметры хранения для существующей политики хранения. Параметры хранения включают срок хранения элементов и действия в отношении элементов по истечении срока хранения (например, удаление, хранение или хранение и последующее удаление элементов). Это действие также соответствует выполнению командлета Set-RetentionComplianceRule.
Обновлена метка хранения SetComplianceTag Администратор обновил существующую метку хранения.
Обновлена политика хранения SetRetentionCompliancePolicy Администратор обновил существующую политику хранения. К обновлениям, инициирующим это событие, относятся добавление и исключение расположений контента, к которым применяется политика хранения.

Действия с письмом сводки дел

В таблице ниже перечислены действия, связанные с письмом со сводкой дел, зарегистрированные в журнале аудита Microsoft 365. Дополнительные сведения о письме со сводкой дел см. в статьях ниже.

Понятное имя Операция Описание
Обновлены параметры конфиденциальности организации UpdatedOrganizationBriefingSettings Администратор обновляет параметры конфиденциальности организации для письма со сводкой дел.
Обновлены параметры конфиденциальности пользователей UpdatedUserBriefingSettings Администратор обновляет параметры конфиденциальности пользователей для письма со сводкой дел.

Действия с MyAnalytics

В таблице ниже перечислены действия, связанные с MyAnalytics, зарегистрированные в журнале аудита Microsoft 365. Дополнительные сведения о MyAnalytics см. в статье MyAnalytics для администраторов.

Понятное имя Операция Описание
Обновлены параметры MyAnalytics для организации UpdatedOrganizationMyAnalyticsSettings Администратор обновляет параметры MyAnalytics на уровне организации.
Обновлены параметры MyAnalytics для пользователей UpdatedUserMyAnalyticsSettings Администратор обновляет пользовательские параметры для MyAnalytics.

Действия с информационными барьерами

В таблице ниже перечислены действия, связанные с информационными барьерами, зарегистрированные в журнале аудита Microsoft 365. Дополнительные сведения об информационных барьерах см. в статье Сведения об информационных барьерах в Microsoft 365.

Понятное имя Операция Описание
Добавлены сегменты на сайт SegmentsAdded Администратор SharePoint, глобальный администратор или владелец сайта добавил один или несколько сегментов информационных барьеров на сайт.
Изменены сегменты сайта SegmentsChanged Администратор SharePoint или глобальный администратор изменил один или несколько сегментов информационных барьеров для сайта.
Удалены сегменты с сайта SegmentsRemoved Администратор SharePoint или глобальный администратор удалил один или несколько сегментов информационных барьеров с сайта.

Действия по проверке перед ликвидацией

В таблице ниже перечислены действия, выполненные проверяющим ликвидации, когда элемент достиг окончания настроенного периода хранения. Дополнительные сведения см. в разделе Просмотр и ликвидация содержимого.

Понятное имя Операция Описание
Одобренная ликвидация ApproveDisposal Проверяющий ликвидации утвердил ликвидацию элемента, чтобы переместить его на следующий этап ликвидации. Если элемент находился в единственной или последней стадии проверки перед ликвидацией, утверждение ликвидации помечает элемент как подходящий для окончательного удаления.
Продленный период хранения ExtendRetention Проверяющий ликвидации продлил период хранения элемента.
Элемент с переназначенной меткой RelabelItem Проверяющий ликвидации переназначил метку хранения.
Добавленные проверяющие AddReviewer Проверяющий ликвидации добавил одного или несколько других пользователей в текущую стадию проверки перед ликвидацией.

Действия по обеспечению соответствия требованиям к обмену данными

В таблице ниже перечислены действия по обеспечению соответствия требованиям к обмену данными, зарегистрированные в журнале аудита Microsoft 365. Дополнительную информацию см. статье Сведения о соответствии требованиям к обмену данными в Microsoft 365.

Понятное имя Операция Описание
Обновление политики SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted Администратор соответствия требованиям к обмену данными обновил политику.
Соответствие политике SupervisionRuleMatch Пользователь отправил сообщение, которое соответствует условию политики.
Применен тег к сообщениям SupervisoryReviewTag К сообщениям применены теги или сообщения разрешены.

Действия отчетов

В таблице ниже перечислены действия для отчетов об использовании, которые регистрируются в журнале аудита Microsoft 365.

Понятное имя Операция Описание
Обновлены параметры конфиденциальности отчета об использовании UpdateUsageReportsPrivacySetting Администратор обновил параметры конфиденциальности для отчетов об использовании.

Журнал аудита действий администратора Exchange

Журнал аудита администратора Exchange (который по умолчанию включен в Microsoft 365) регистрирует событие в журнале аудита, когда администратор (или пользователь, которому были назначены административные разрешения) вносит изменения в организацию Exchange Online. Изменения, вносимые с помощью Центра администрирования Exchange или командлета в Exchange Online PowerShell, записываются в журнал аудита действий администратора Exchange. Командлеты, начинающиеся с глаголов Get-, Search-, или Test-, не регистрируются в журнале аудита. Более подробную информацию о ведении журнала аудита действий администратора в Exchange см. в статье Ведение журнала аудита действий администратора.

Важно!

Некоторые командлеты Exchange Online, которые не зарегистрированы в журнале аудита администратора Exchange (или в журнале аудита). Многие из этих командлетов связаны с работой службы Exchange Online и выполняются сотрудниками центра обработки данных Майкрософт или учетными записями служб. Эти командлеты не регистрируются в журнале, потому что это привело бы к большому числу "шумных" событий аудита. Если существует командлет Exchange Online, не подвергающийся аудиту, отправьте запрос на изменение дизайна (DCR) в службу поддержки Microsoft.

Вот несколько советов по поиску действий администратора Exchange при поиске в журнале аудита:

  • Чтобы получить записи из журнала аудита действий администратора Exchange, нужно выбрать в списке Действия пункт Показать результаты по всем действиям. Используйте поля дат и список Пользователи, чтобы ограничить результаты поиска командлетами, выполнявшимися определенным администратором Exchange в указанный период времени.

  • Чтобы отобразить события из журнала аудита администратора Exchange, щелкните столбец Действия для сортировки имен командлетов в алфавитном порядке.

  • Чтобы узнать, какой командлет был выполнен, какие параметры и значения параметров использовались и какие объекты были затронуты, вы можете экспортировать результаты поиска, выбрав параметр Скачать все результаты. Подробнее см. в статье Экспорт, настройка и просмотр записей журнала аудита.

  • Кроме того, вы можете использовать команду Search-UnifiedAuditLog -RecordType ExchangeAdmin в Exchange Online PowerShell, чтобы вернуть только записи аудита из журнала аудита действий администратора Exchange. После выполнения командлета Exchange может потребоваться до 30 минут, чтобы соответствующая запись журнала аудита возвращалась в результатах поиска. Дополнительные сведения см. в статье Search-UnifiedAuditLog. Сведения об экспорте результатов поиска, возвращаемых командлетом Search-UnifiedAuditLog в CSV-файл, см. в разделе "Советы по экспорту и просмотру журнала аудита" статьи Экспорт, настройка и просмотр записей журнала аудита.

  • Вы также можете просматривать события в журнале аудита действий администратора Exchange с помощью Центра администрирования Exchange или командлета Search-AdminAuditLog в Exchange Online PowerShell. Это отличный способ для конкретного поиска действий, выполняемых администраторами Exchange Online. Инструкции см. в следующих статьях:

    Помните, что одни и те же действия администратора Exchange регистрируются как в журнале аудита администратора Exchange, так и в журнале аудита.

Действия на портале зашифрованных сообщений

Журналы доступа доступны для зашифрованных сообщений через портал зашифрованных сообщений, который позволяет вашей организации определять, когда следует читать и перенаправлять сообщения внешними получателями. Дополнительные сведения о включении и использовании журналов действий портала зашифрованных сообщений см. в статье Журнал действий портала зашифрованных сообщений.

Каждая запись аудита для отслеживаемого сообщения будет содержать следующие поля:

  • MessageID — содержит ИД отслеживаемого сообщения. Это идентификатор ключа, используемый для следования за сообщением в системе.
  • Recipient — список всех адресов электронной почты получателей.
  • Sender — адрес электронной почты отправителя.
  • AuthenticationMethod — описывает метод проверки подлинности для доступа к сообщению, например OTP, Yahoo, Gmail или Microsoft.
  • AuthenticationStatus — содержит значение, указывающее на то, что проверка подлинности была успешной или неудачной.
  • OperationStatus — указывает, была ли указанная операция успешной или неудачной.
  • AttachmentName — название вложения.
  • OperationProperties — список необязательных свойств, например количество отправленных паролей OTP или тема электронного письма.

Действия SystemSync

В таблице ниже перечислены действия SystemSync, зарегистрированные в журнале аудита Microsoft 365.

Понятное имя Операция Описание
Создан общий ресурс данных DataShareCreated При создании экспорта данных пользователем.
Удален общий ресурс данных DataShareDeleted При удалении экспорта данных пользователем.
Создание копии данных озера GenerateCopyOfLakeData При создании копии данных озера.
Скачивание копии данных озера DownloadCopyOfLakeData При скачивании копии данных озера.

Вопросы и ответы

Какие службы Microsoft 365 в настоящее время проходят аудит?

Аудиту подлежат самые популярные службы, такие как Exchange Online, SharePoint Online, OneDrive для бизнеса, Azure Active Directory, Microsoft Teams, Dynamics 365, Defender для Office 365 и Power BI. Список служб, подлежащих аудиту, см. в начале этой статьи.

Какие действия проверяются службой аудита в Microsoft 365?

См. раздел Действия, подлежащие аудиту в этой статье, где приведен список и описание проверяемых действий.

Сколько времени требуется, чтобы запись аудита стала доступной после выполнения события?

Запись журнала аудита отображается в результатах поиска для большинства данных аудита в течение 30 минут, но иногда может требоваться до 24 часов после наступления соответствующего события. См. таблицу в разделе Перед поиском в журнале аудита в этой статье, в которой показано, какое время требуется для отображения событий в различных службах.

Сколько хранятся записи аудита?

Как говорилось выше, записи аудита, связанные с действиями пользователей, которым назначена лицензия Office 365 E5 или Microsoft E5 (или пользователями с дополнительной лицензией на надстройку Microsoft 365 E5) хранятся в течение одного года. Для всех остальных подписок с поддержкой ведения единого журнала аудита записи аудита хранятся в течение 90 дней.

Можно ли получить доступ к данным аудита программным способом?

Да. Для получения журналов аудита программным способом используется API действий управления Office 365. Сведения о начале работы см. в статье Начало работы с API управления Office 365.

Существуют ли другие способы получения журналов аудита, кроме использования Центра безопасности и соответствия требованиям или API действий управления Office 365?

Да. Получить журналы аудита можно следующими способами:

Нужно ли включать аудит отдельно в каждой службе, для которой нужно создать журналы аудита?

В большинстве служб аудит включен по умолчанию после того, как вы изначально включили аудит для своей организации (как описано в разделе Перед поиском в журнале аудита в этой статье).

Поддерживает ли служба аудита дедупликацию записей?

Нет. Конвейер службы аудита работает практически в режиме реального времени и поэтому не поддерживает дедупликацию.

Где хранятся данные аудита?

В настоящее время существуют развертывания конвейеров аудита в регионах NA (Северная Америка), EMEA (Европа, Ближний Восток и Африка) и APAC (Азиатско-Тихоокеанский регион). Для клиентов, размещенных в этих регионах, данные аудита будут храниться в регионе. Для клиентов с поддержкой нескольких регионов данные аудита, собранные из всех регионов клиента, будут храниться только в домашнем регионе клиента. Однако вы можем направлять потоки данных между этими регионами для балансировки нагрузки и только при проблемах на активном сайте. При выполнении этих действий передаваемые данные зашифрованы.

Зашифрованы ли данные аудита?

Данные аудита хранятся в почтовых ящиках Exchange (неактивные данные) в том же регионе, из которого разворачивается единый конвейер аудита. Неактивные данные почтовых ящиков не шифруются в Exchange. Однако при шифровании на уровне обслуживания шифруются все данные почтовых ящиков, так как серверы Exchange в центрах обработки данных корпорации Майкрософт зашифрованы с помощью BitLocker. Дополнительные сведения см. в статье Шифрование в Microsoft 365 для Skype для бизнеса, OneDrive для бизнеса, SharePoint Online и Exchange Online.

Данные почты при передаче всегда шифруются.