Поиск по журналу аудита в Центре соответствия требованиямSearch the audit log in the compliance center

Нужно узнать, просматривал ли пользователь определенный документ или удалял элемент из своего почтового ящика?Need to find if a user viewed a specific document or purged an item from their mailbox? В этом случае можно использовать Центр соответствия требованиям Microsoft 365 для поиска единого журнала аудита, чтобы просматривать активность пользователей и администраторов в организации.If so, you can use the Microsoft 365 compliance center to search the unified audit log to view user and administrator activity in your organization. Почему именно единый журнал аудита?Why a unified audit log? Потому что в этом журнале в Microsoft 365 можно искать данные по следующим типам активности пользователей и администраторов:Because you can search for the following types of user and admin activity in Microsoft 365:

  • активность пользователей в SharePoint Online и OneDrive для бизнеса;User activity in SharePoint Online and OneDrive for Business

  • активность пользователей в Exchange Online (журнал аудита почтовых ящиков Exchange);User activity in Exchange Online (Exchange mailbox audit logging)

  • активность администраторов в SharePoint Online;Admin activity in SharePoint Online

  • активность администраторов в Azure Active Directory (служба каталогов для Microsoft 365);Admin activity in Azure Active Directory (the directory service for Microsoft 365)

  • активность администраторов в Exchange Online (журнал аудита действий администратора Exchange);Admin activity in Exchange Online (Exchange admin audit logging)

  • активность по обнаружению электронных данных в Центре безопасности и соответствия требованиям;eDiscovery activities in the security and compliance center

  • активность пользователей и администраторов в Power BI;User and admin activity in Power BI

  • активность пользователей и администраторов в Microsoft Teams;User and admin activity in Microsoft Teams

  • активность пользователей и администраторов в Dynamics 365;User and admin activity in Dynamics 365

  • активность пользователей и администраторов в Yammer;User and admin activity in Yammer

  • активность пользователей и администраторов в Microsoft Power Automate;User and admin activity in Microsoft Power Automate

  • активность пользователей и администраторов в Microsoft Stream;User and admin activity in Microsoft Stream

  • активность аналитиков и администраторов в Рабочей аналитике (Майкрософт);Analyst and admin activity in Microsoft Workplace Analytics

  • активность пользователей и администраторов в Microsoft Power Apps;User and admin activity in Microsoft Power Apps

  • активность пользователей и администраторов в Microsoft Forms;User and admin activity in Microsoft Forms

  • активность пользователей и администраторов, связанная с метками конфиденциальности для сайтов, использующих SharePoint Online или Microsoft Teams.User and admin activity for sensitivity labels for sites that use SharePoint Online or Microsoft Teams

  • Действия администратора в письме со сводкой дел и MyAnalyticsAdmin activity in Briefing email and MyAnalytics

Требования для поиска в журнале аудитаRequirements to search the audit log

Обязательно прочитайте следующие пункты, прежде чем начать поиск в журнале аудита.Be sure to read the following items before you start searching the audit log.

  • Поиск в журнале аудита включен по умолчанию для организаций, использующих Microsoft 365 и Office 365 корпоративный.Audit log search is turned on by default for Microsoft 365 and Office 365 enterprise organizations. Сюда также входят организации с подпиской E3/G3 или E5/G5.This includes organizations with E3/G3 or E5/G5 subscriptions. Чтобы убедиться, что поиск в журнале аудита включен, можно выполнить следующую команду в Exchange Online PowerShell:To verify that audit log search is turned on, you can run the following command in Exchange Online PowerShell:

    Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
    

    Значение True для свойства UnifiedAuditLogIngestionEnabled указывает на то, что поиск в журнале аудита включен.The value of True for the UnifiedAuditLogIngestionEnabled property indicates that audit log search is turned on. Дополнительные сведения см. в статье Включение и отключение поиска в журнале аудита.For more information, see Turn audit log search on or off.

  • Для поиска журнала аудита вам должна быть назначена роль «Журналы аудита только для просмотра» или «Журналы аудита» в Exchange Online.You have to be assigned the View-Only Audit Logs or Audit Logs role in Exchange Online to search the audit log. Эти роли по умолчанию назначены группам ролей "Управление соответствием" и "Управление организацией" на странице Разрешения в Центре администрирования Exchange.By default, these roles are assigned to the Compliance Management and Organization Management role groups on the Permissions page in the Exchange admin center. Обратите внимание, что глобальные администраторы в Office 365 и Microsoft 365 автоматически добавляются в качестве членов группы ролей Управление организацией в Exchange Online.Note global administrators in Office 365 and Microsoft 365 are automatically added as members of the Organization Management role group in Exchange Online. Чтобы предоставить пользователю возможность поиска в журнале аудита с минимальным уровнем привилегий, вы можете создать пользовательскую группу ролей в Exchange Online, добавить роль «Журналы аудита только для просмотра» или «Журналы аудита», а затем добавить пользователя в качестве члена группы. новая ролевая группа.To give a user the ability to search the audit log with the minimum level of privileges, you can create a custom role group in Exchange Online, add the View-Only Audit Logs or Audit Logs role, and then add the user as a member of the new role group. Дополнительные сведения см. в статье Управление группами ролей в Exchange Online.For more information, see Manage role groups in Exchange Online.

    Важно!

    Если вы назначите пользователю роль «Журналы аудита только для просмотра» или «Журналы аудита» на странице Разрешения в Центре безопасности и соответствия требованиям, они не смогут выполнять поиск в журнале аудита.If you assign a user the View-Only Audit Logs or Audit Logs role on the Permissions page in the Security & Compliance Center, they won't be able to search the audit log. Разрешения должны быть назначены в Exchange Online.You have to assign the permissions in Exchange Online. Это связано с тем, что для поиска в журнале аудита используется командлет Exchange Online.This is because the underlying cmdlet used to search the audit log is an Exchange Online cmdlet.

  • Когда проверяемое действие выполняется пользователем или администратором, запись аудита создается и сохраняется в журнале аудита для вашей организации.When an audited activity is performed by a user or admin, an audit record is generated and stored in the audit log for your organization. Срок хранения записи аудита (и возможность ее поиска в журнале аудита) зависит от подписки Office 365 или Microsoft 365 корпоративный, и, в частности, от типа лицензии, присвоенной определенным пользователям.The length of time that an audit record is retained (and searchable in the audit log) depends on your Office 365 or Microsoft 365 Enterprise subscription, and specifically the type of the license that is assigned to specific users.

    • Для пользователей, которым назначена лицензия Office 365 E5 или Microsoft 365 E5 (или для пользователей с лицензией на надстройки для соответствия требованиям Microsoft 365 E5 или обнаружения электронных данных и аудита Microsoft 365 E5) записи аудита для действий в Azure Active Directory, Exchange и SharePoint по умолчанию хранятся в течение одного года.For users assigned an Office 365 E5 or Microsoft 365 E5 license (or users with a Microsoft 365 E5 Compliance or Microsoft 365 E5 eDiscovery and Audit add-on license), audit records for Azure Active Directory, Exchange, and SharePoint activity are retained for one year by default. Организации также могут создавать политики хранения журнала аудита, позволяющие хранить записи аудита для действий в других службах до одного года.Organizations can also create audit log retention policies to retain audit records for activities in other services for up to one year. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.For more information, see Manage audit log retention policies.

      Примечание

      Если ваша организация принимала участие в конфиденциальной программе по ознакомлению с предварительной версией записей аудита, хранящихся в течение одного года, срок хранения записей аудита, которые были созданы до даты выпуска общедоступной версии, не будет сброшен.If your organization participated in the private preview program for the one-year retention of audit records, the retention duration for audit records that were generated before the general availability rollout date will not be reset.

    • Для пользователей, которым назначены любые другие лицензии Office 365 или Microsoft 365 (не E5), записи аудита хранятся в течение 90 дней.For users assigned any other (non-E5) Office 365 or Microsoft 365 license, audit records are retained for 90 days. Список подписок Office 365 и Microsoft 365 с поддержкой ведения единого журнала аудита см. в описании услуг Центра безопасности и соответствия требованиям.For a list of Office 365 and Microsoft 365 subscriptions that support unified audit logging, see the security and compliance center service description.

      Примечание

      Хотя аудит почтовых ящиков включен по умолчанию, вы можете заметить, что события аудита почтового ящика для некоторых пользователей не обнаруживаются при поиске в журнале аудита в Центре безопасности и соответствия требованиям или с помощью API действий управления Office 365.Even when mailbox auditing on by default is turned on, you might notice that mailbox audit events for some users aren't found in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API. Подробности см. в разделе Дополнительные сведения о журнале аудита почтовых ящиков.For more information, see More information about mailbox audit logging.

  • Если вы хотите отключить поиск в журнале аудита для своей организации, вы можете запустить следующую команду в удаленном PowerShell, подключенном к вашей организации Exchange Online:If you want to turn off audit log search for your organization, you can run the following command in remote PowerShell connected to your Exchange Online organization:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    

    Чтобы снова включить поиск в журнале аудита, можно выполнить в Exchange Online PowerShell следующую команду:To turn on audit search again, you can run the following command in Exchange Online PowerShell:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Для получения дополнительной информации см. Отключение поиска в журнале аудита.For more information, see Turn off audit log search.

  • Как указано ранее, для поиска по журналу аудита в качестве базового используется командлет Exchange Online с именем Search-UnifiedAuditLog.As previously stated, the underlying cmdlet used to search the audit log is an Exchange Online cmdlet, which is Search-UnifiedAuditLog. Это означает, что вы можете использовать этот командлет для поиска в журнале аудита вместо использования страницы поиска в журнале аудита в Центре безопасности и соответствия требованиям.That means you can use this cmdlet to search the audit log instead of using the Audit log search page in the Security & Compliance Center. Этот командлет необходимо запустить в удаленной оболочке PowerShell, подключенной к вашей организации в Exchange Online.You have to run this cmdlet in remote PowerShell connected to your Exchange Online organization. Дополнительные сведения см. в статье Search-UnifiedAuditLog.For more information, see Search-UnifiedAuditLog.

    Сведения об экспорте результатов поиска, возвращаемых командлетом Search-UnifiedAuditLog в CSV-файл, см. в разделе "Советы по экспорту и просмотру журнала аудита" статьи Экспорт, настройка и просмотр записей журнала аудита.For information about exporting the search results returned by the Search-UnifiedAuditLog cmdlet to a CSV file, see the "Tips for exporting and viewing the audit log" section in Export, configure, and view audit log records.

  • Если вы хотите программно загрузить данные из журнала аудита, мы рекомендуем использовать API-интерфейс управления активностью Office 365 вместо сценария PowerShell.If you want to programmatically download data from the audit log, we recommend that you use the Office 365 Management Activity API instead of using a PowerShell script. API действий управления Office 365 — это веб-служба REST, используемая для разработки решений мониторинга операций, безопасности и соответствия требованиям в организации.The Office 365 Management Activity API is a REST web service that you can use to develop operations, security, and compliance monitoring solutions for your organization. Дополнительные сведения см. в статье Справочник по API действий управления Office 365.For more information, see Office 365 Management Activity API reference.

  • Запись журнала аудита отображается в результатах поиска не позже чем через 30 минут или 24 часа после наступления соответствующего события.It can take up to 30 minutes or up to 24 hours after an event occurs for the corresponding audit log record to be returned in the results of an audit log search. В таблице ниже показано время ее отображения для разных служб в Office 365.The following table shows the time it takes for the different services in Office 365.

    Служба или компонент Microsoft 365Microsoft 365 service or feature 30 минут30 minutes 24 часа24 hours
    Defender для Office 365 и Threat IntelligenceDefender for Office 365 and Threat Intelligence Флажок
    Azure Active Directory (события входа пользователей)Azure Active Directory (user login events) Флажок
    Azure Active Directory (события администрирования)Azure Active Directory (admin events) Флажок
    Защита от потери данныхData Loss Prevention Флажок
    Dynamics 365 CRMDynamics 365 CRM Флажок
    Обнаружение электронных данныхeDiscovery Флажок
    Exchange OnlineExchange Online Флажок
    Microsoft Power AutomateMicrosoft Power Automate Флажок
    Microsoft ProjectMicrosoft Project Флажок
    Microsoft StreamMicrosoft Stream Флажок
    Microsoft TeamsMicrosoft Teams Флажок
    Power AppsPower Apps Флажок
    Power BIPower BI Флажок
    Центр безопасности и соответствия требованиямSecurity & Compliance Center Флажок
    Метки конфиденциальностиSensitivity labels Флажок
    SharePoint Online и OneDrive для бизнесаSharePoint Online and OneDrive for Business Галочка
    Рабочая аналитикаWorkplace Analytics Галочка
    YammerYammer Флажок
    Microsoft FormsMicrosoft Forms Флажок
  • Azure Active Directory (Azure AD) в службе каталогов для Office 365.Azure Active Directory (Azure AD) is the directory service for Office 365. Единый журнал аудита содержит сведения о действиях, выполненных с пользователями, группами, приложениями, доменами и каталогами в Центре администрирования Microsoft 365 или на портале управления Azure.The unified audit log contains user, group, application, domain, and directory activities performed in the Microsoft 365 admin center or in the Azure management portal. Полный список событий Azure AD см. в статье События отчета аудита Azure Active Directory.For a complete list of Azure AD events, see Azure Active Directory Audit Report Events.

  • Ведение журнала аудита для Power BI по умолчанию отключено.Audit logging for Power BI isn't enabled by default. Для поиска операций Power BI в журнале аудита необходимо включить аудит на портале администрирования Power BI.To search for Power BI activities in the audit log, you have to enable auditing in the Power BI admin portal. Инструкции см. в разделе "Журналы аудита" статьи Портал администрирования Power BI.For instructions, see the "Audit logs" section in Power BI admin portal.

Поиск в журнале аудитаSearch the audit log

Процесс поиска по журналу аудита в Office 365 состоит из указанных ниже этапов.Here's the process for searching the audit log in Office 365.

Шаг 1. Запуск поиска по журналу аудитаStep 1: Run an audit log search

Шаг 2. Просмотр результатов поискаStep 2: View the search results

Шаг 3. Фильтрация результатов поискаStep 3: Filter the search results

Шаг 4. Экспорт результатов поиска в файлStep 4: Export the search results to a file

  1. Перейдите по ссылке https://protection.office.com.Go to https://protection.office.com.

    Совет

    Используйте конфиденциальный, а не обычный, сеанс доступа к Центру безопасности и соблюдения требований, так как в этом случае не будут использованы учетные данные, с которыми вы вошли в систему. Чтобы открыть сеанс в режиме просмотра InPrivate в Internet Explorer или Microsoft Edge, нажмите клавиши CTRL+SHIFT+P. Чтобы открыть конфиденциальный сеанс в Google Chrome (окно в режиме инкогнито), нажмите CTRL+SHIFT+N.Use a private browsing session (not a regular session) to access the Security & Compliance Center because this will prevent the credential that you are currently logged on with from being used. To open an InPrivate Browsing session in Internet Explorer or Microsoft Edge, just press CTRL+SHIFT+P. To open a private browsing session in Google Chrome (called an incognito window), press CTRL+SHIFT+N.

  2. Выполните вход с помощью учетной записи вашей организации или учебного заведения.Sign in using your work or school account.

  3. В расположенной слева области Центра безопасности и соответствия требованиям щелкните Поиск и выберите пункт Поиск в журнале аудита.In the left pane of the Security & Compliance Center, click Search, and then click Audit log search.

    Откроется страница Поиск в журнале аудита.The Audit log search page is displayed.

    Настройте условия и нажмите кнопку "Поиск" для запуска отчета

    Примечание

    Для поиска по журналу аудита необходимо включить ведение этого журнала.You have to first turn on audit logging before you can run an audit log search. Если у вас отображается ссылка Начать запись действий, просто щелкните ее.If the Start recording user and admin activity link is displayed, click it to turn on auditing. Если ее нет, аудит для вашей организации уже включен.If you don't see this link, auditing has already been turned on for your organization.

  4. Настройте указанные ниже условия. Configure the following search criteria:

    1. Действия. Щелкните раскрывающийся список, чтобы увидеть действия, которые можно найти.Activities: Click the drop-down list to display the activities that you can search for. Активность пользователя и администратора организованы в группы связанных действий.User and admin activities are organized into groups of related activities. Вы можете выбрать отдельные действия или щелкнуть название группы, чтобы выбрать все входящие в нее действия.You can select specific activities or you can click the activity group name to select all activities in the group. Также можно щелкнуть выбранное действие, чтобы отменить выбор.You can also click a selected activity to clear the selection. После запуска поиска будут показаны записи журнала аудита, относящиеся только к выбранным действиям.After you run the search, only the audit log entries for the selected activities are displayed. Если выбрать пункт Показать результаты по всем действиям, будут показаны результаты для всех действий, совершенных выбранным пользователем или группой пользователей.Selecting Show results for all activities displays results for all activities performed by the selected user or group of users.

      В журнале аудита зарегистрировано более 100 действий пользователей и администраторов.Over 100 user and admin activities are logged in the audit log. Перейдите на вкладку Проверенные действия в разделе этой статьи, чтобы увидеть описания каждого действия в каждой из различных служб.Click the Audited activities tab at the topic of this article to see the descriptions of every activity in each of the different services.

    2. Дата начала и Дата окончания. По умолчанию выбраны последние семь дней.Start date and End date: The last seven days are selected by default. Выберите диапазон дат и времени, чтобы просмотреть события, которые произошли за этот период.Select a date and time range to display the events that occurred within that period. Дата и время представлены по местному времени.The date and time are presented in local time. Максимальный диапазон дат, который можно указать, составляет 90 дней.The maximum date range that you can specify is 90 days. Если выбранный диапазон превышает 90 дней, выводится сообщение об ошибке.An error is displayed if the selected date range is greater than 90 days.

      Совет

      Если вы используете максимальный диапазон, равный 90 дням, выберите для параметра Дата начала текущее время.If you're using the maximum date range of 90 days, select the current time for the Start date. В противном случае появится сообщение об ошибке из-за того, что дата начала раньше даты окончания.Otherwise, you'll receive an error saying that the start date is earlier than the end date. Если вы включили аудит в течение последних 90 дней, начальная дата максимального диапазона не может быть раньше даты включения аудита.If you've turned on auditing within the last 90 days, the maximum date range can't start before the date that auditing was turned on.

    3. Пользователи. Щелкните это поле, а затем выберите одного или нескольких пользователей, для которых нужно показать результаты.Users: Click in this box and then select one or more users to display search results for. В списке результатов приводятся записи журнала аудита для выбранного действия, выполненного выбранными в этом поле пользователями.The audit log entries for the selected activity performed by the users you select in this box are displayed in the list of results. Чтобы получить результаты для всех пользователей (и учетных записей служб) в организации, оставьте это поле пустым.Leave this box blank to return entries for all users (and service accounts) in your organization.

    4. Файл, папка или сайт. Введите полное имя файла или папки либо его часть, чтобы найти действие, связанное с этим файлом или папкой.File, folder, or site: Type some or all of a file or folder name to search for activity related to the file of folder that contains the specified keyword. Также можно указать URL-адрес файла или папки.You can also specify a URL of a file or folder. Если используется URL-адрес, введите его целиком. Если вы ввели часть URL-адреса, не указывайте в нем специальные знаки и пробелы.If you use a URL, be sure the type the full URL path or if you type a portion of the URL, don't include any special characters or spaces.

      Чтобы получить результаты для всех файлов и папок в организации, оставьте это поле пустым.Leave this box blank to return entries for all files and folders in your organization.

      Совет

      • Если вы ищете все действия, связанные с сайтом, добавьте подстановочный знак (*) после URL-адреса, чтобы вернуть все записи для этого сайта. Например: "https://contoso-my.sharepoint.com/personal*".If you're looking for all activities related to a site, add the wildcard symbol (*) after the URL to return all entries for that site; for example, "https://contoso-my.sharepoint.com/personal*".

      • Если вы ищете все действия, связанные с файлом, добавьте подстановочный знак (*) перед именем файла, чтобы вернуть все записи для этого файла. Например: "*Customer_Profitability_Sample.csv".If you're looking for all activities related to a file, add the wildcard symbol (*) before the file name to return all entries for that file; for example, "*Customer_Profitability_Sample.csv".

  5. Чтобы выполнить поиск по указанным условиям, нажмите кнопку Поиск. Click Search to run the search using your search criteria.

    Результаты поиска загружаются и через несколько секунд отображаются в области Результаты.The search results are loaded, and after a few moments they are displayed under Results. По завершении поиска отображается число найденных результатов.When the search is finished, the number of results found is displayed. В области Результаты отображается до 5 000 событий с шагом 150.A maximum of 5,000 events will be displayed in the Results pane in increments of 150 events. Если условиям поиска соответствует более 5 000 событий, отображаются самые последние 5 000 событий.If more than 5,000 events meet the search criteria, the most recent 5,000 events are displayed.

    Количество результатов, отображаемое после завершения поиска

Советы по поиску в журнале аудитаTips for searching the audit log

  • Вы можете выбрать искомые события, щелкнув их имена.You can select specific activities to search for by clicking the activity name. Также можно выполнить поиск всех событий в группе (например, Действия, связанные с файлами и папками), щелкнув имя группы.Or you can search for all activities in a group (such as File and folder activities) by clicking the group name. Если выбрано действие, можно щелкнуть его, чтобы отменить выбор.If an activity is selected, you can click it to cancel the selection. В поле поиска также можно просмотреть действия, содержащие введенное ключевое слово.You can also use the search box to display the activities that contain the keyword that you type.

    Щелкните имя группы действий, чтобы выбрать все действия

  • Чтобы отобразить записи из журнала аудита действий администратора Exchange, нужно выбрать в списке Действия пункт Показать результаты по всем действиям.You have to select Show results for all activities in the Activities list to display events from the Exchange admin audit log. В результатах поиска события из этого журнала аудита содержат имена командлетов (например, Set-Mailbox) в столбце Действие.Events from this audit log display a cmdlet name (for example, Set-Mailbox) in the Activity column in the results. Чтобы получить дополнительные сведения, откройте в этой статье вкладку Действия, подлежащие аудиту и выберите пункт Действия администратора Exchange.For more information, click the Audited activities tab in this topic and then click Exchange admin activities.

    Для некоторых действий аудита нет соответствующих элементов в списке Действия.Similarly, there are some auditing activities that don't have a corresponding item in the Activities list. Если вам известно имя операции для этих действий, вы можете выполнить поиск всех действий, затем отфильтровать результаты, введя имя операции в поле для столбца Действие.If you know the name of the operation for these activities, you can search for all activities, then filter the results by typing the name of the operation in the box for the Activity column. Дополнительные сведения о фильтрации результатов см. в разделе Шаг 3. Фильтрация результатов поиска.See Step 3: Filter the search results for more information about filtering the results.

  • Чтобы удалить текущие условия поиска, нажмите кнопку Очистить.Click Clear to clear the current search criteria. Диапазон дат сбрасывается в значение по умолчанию (последние семь дней).The date range returns to the default of the last seven days. Чтобы отменить выбор всех действий, можно нажать кнопку Снять выделение для просмотра результатов по всем действиям.You can also click Clear all to show results for all activities to cancel all selected activities.

  • Если найдено 5 000 результатов, можно предположить, что условиям поиска соответствует более 5 000 событий.If 5,000 results are found, you can probably assume that there are more than 5,000 events that met the search criteria. Вы можете уточнить условия и повторно выполнить поиск, чтобы получить меньше результатов, либо экспортировать все результаты поиска, выбрав пункт Экспорт результатов > Скачать все результаты.You can either refine the search criteria and rerun the search to return fewer results, or you can export all of the search results by selecting Export results > Download all results.

Шаг 2. Просмотр результатов поискаStep 2: View the search results

Результаты поиска по журналу аудита выводятся в области Результаты на странице Поиск в журнале аудита.The results of an audit log search are displayed under Results on the Audit log search page. Как указано ранее, отображаются 5 000 самых последних событий с шагом 150.As previously stated a maximum of 5,000 (newest) events are displayed in increments of 150 events. Чтобы увидеть больше событий, воспользуйтесь полосой прокрутки в области Результаты или нажмите клавиши SHIFT+END для отображения следующих 150 событий.To display more events you can use the scroll bar in the Results pane or you can press Shift + End to display the next 150 events.

В результатах приводятся указанные ниже сведения о каждом событии, возвращенном поиском.The results contain the following information about each event returned by the search:

  • Дата. Дата и время наступления события (местное время).Date: The date and time (in your local time) when the event occurred.

  • IP-адрес. IP-адрес устройства, которое использовалось при регистрации действия в журнале.IP address: The IP address of the device that was used when the activity was logged. IP-адрес отображается в формате адреса IPv4 или IPv6.The IP address is displayed in either an IPv4 or IPv6 address format.

    Примечание

    Для некоторых служб значение, отображаемое в этом поле, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие.For some services, the value displayed in this field might be the IP address for a trusted application (for example, Office on the web apps) calling into the service on behalf of a user and not the IP address of the device used by person who performed the activity. Кроме того, для действий администратора (или действий, выполняемых системной учетной записью) при событиях, связанных с Azure Active Directory, IP-адрес не записывается в журнал, а в этом поле отображается значение null.Also, for admin activity (or activity performed by a system account) for Azure Active Directory-related events, the IP address isn't logged and the value displayed in this field is null.

  • Пользователь. Пользователь (или учетная запись службы), который выполнил действие, вызвавшее событие.User: The user (or service account) who performed the action that triggered the event.

  • Действие. Действие, выполненное пользователем.Activity: The activity performed by the user. Это значение соответствует действиям, выбранным в раскрывающемся списке Действия.This value corresponds to the activities that you selected in the Activities drop down list. Для события из журнала аудита действий администратора Exchange значение в этом столбце представляет собой командлет Exchange.For an event from the Exchange admin audit log, the value in this column is an Exchange cmdlet.

  • Элемент. Объект, созданный или измененный в результате соответствующего действия.Item: The object that was created or modified as a result of the corresponding activity. Это может быть, например, просмотренный или измененный файл либо обновленная учетная запись пользователя.For example, the file that was viewed or modified or the user account that was updated. Значения в этом столбце отображаются не для всех действий.Not all activities have a value in this column.

  • Сведения. Дополнительные сведения о действии.Detail: Additional information about an activity. Аналогичным образом значения в этом столбце отображаются не для всех действий.Again, not all activities have a value.

Совет

Чтобы отсортировать результаты, щелкните заголовок столбца в области Результаты.Click a column header under Results to sort the results. Результаты можно отсортировать в алфавитном порядке по возрастанию или убыванию. Чтобы отсортировать результаты от самых старых к самым новым или наоборот, щелкните заголовок Дата.You can sort the results from A to Z or Z to A. Click the Date header to sort the results from oldest to newest or newest to oldest.

Просмотр сведений об определенном событииView the details for a specific event

Чтобы просмотреть дополнительные сведения о событии, можно выбрать запись о нем в списке результатов поиска.You can view more details about an event by clicking the event record in the list of search results. Откроется страница Сведения со свойствами, содержащимися в записи о событии.A Details page is displayed that contains the detailed properties from the event record. Отображаемые свойства зависят от службы, в которой происходит событие.The properties that are displayed depend on the service in which the event occurs. Чтобы посмотреть эти подробности, щелкните Дополнительные сведения.To display these details, click More information. Описание см. в разделе Подробные свойства в журнале аудита.For descriptions, see Detailed properties in the audit log.

Щелкните "Дополнительные сведения" для детального просмотра свойств записи о событии в журнале аудита

Шаг 3. Фильтрация результатов поискаStep 3: Filter the search results

Помимо сортировки результатов поиска по журналу аудита, их также можно отфильтровать.In addition to sorting, you can also filter the results of an audit log search. Это отличная возможность, позволяющая быстро получить результаты, относящиеся к определенному пользователю или действию.This is a great feature that can help you quickly filter the results for a specific user or activity. Вы можете сначала создать более обширный запрос, а затем быстро отфильтровать результаты, чтобы увидеть определенные события.You can initially create a wide search and then quickly filter the results to see specific events. Затем вы можете сузить условия и выполнить поиск повторно, чтобы получить более конкретный набор результатов.Then you can narrow the search criteria and rerun the search to return a smaller, more concise set of results.

Чтобы отфильтровать результаты, выполните указанные ниже действия.To filter the results:

  1. Запустите поиск по журналу аудита.Run an audit log search.

  2. Когда появятся результаты, нажмите кнопку Показать фильтрацию результатов.When the results are displayed, click Filter results.

    Под заголовком каждого столбца приводятся поля ключевых слов.Keyword boxes are displayed under each column header.

  3. Щелкните одно из полей под заголовком столбца и введите слово или фразу в зависимости от столбца, по которому осуществляется фильтрация.Click one of the boxes under a column header and type a word or phrase, depending on the column you're filtering on. Результаты автоматически изменятся в соответствии с условием фильтра.The results will dynamically readjust to display the events that match your filter.

    Введите необходимое слово в фильтр для отображения событий, соответствующих критериям фильтрации

  4. Чтобы очистить фильтр, щелкните значок X в поле фильтра или нажмите кнопку Скрыть фильтрацию.To clear a filter, click the X in the filter box or click Hide filtering.

Совет

Чтобы просмотреть события из журнала аудита действий администратора Exchange, введите тире (-) в поле фильтра Действие.To display events from the Exchange admin audit log, type a - (dash) in the Activity filter box. Будут показаны имена командлетов, отображаемые в столбце Действие для событий администрирования Exchange.This will display cmdlet names, which are displayed in the Activity column for Exchange admin events. Затем вы можете отсортировать имена командлетов в алфавитном порядке.Then you can sort the cmdlet names in alphabetical order.

Шаг 4. Экспорт результатов поиска в файлStep 4: Export the search results to a file

Результаты поиска по журналу аудита можно экспортировать в файл данных с разделителями-запятыми (CSV) на компьютере.You can export the results of an audit log search to a comma-separated value (CSV) file on your local computer. Этот файл можно открыть в Microsoft Excel и использовать такие возможности, как поиск, сортировка, фильтрация и разделение одного столбца (содержащего несколько свойств) на несколько.You can open this file in Microsoft Excel and use features such as search, sorting, filtering, and splitting a single column (that contains multiple properties) into multiple columns.

  1. Выполните поиск по журналу аудита, а затем изменяйте условия поиска, пока не получите нужные результаты.Run an audit log search, and then revise the search criteria until you have the desired results.

  2. Нажмите кнопку Экспорт результатов и выберите один из указанных ниже вариантов.Click Export results and select one of the following options:

    • Сохранить загруженные результаты. Выберите этот вариант, чтобы экспортировать только те записи, которые отображаются в области Результаты на странице Поиск в журнале аудита.Save loaded results: Choose this option to export only the entries that are displayed under Results on the Audit log search page. Скачанный CSV-файл содержит те же столбцы (и данные), которые отображаются на странице ("Дата", "Пользователь", "Действие", "Элемент" и "Сведения").The CSV file that is downloaded contains the same columns (and data) displayed on the page (Date, User, Activity, Item, and Details). В CSV-файл также включается дополнительный столбец (с заголовком Дополнительно), содержащий дополнительную информацию из записи журнала аудита.An extra column (named More) is included in the CSV file that contains more information from the audit log entry. Так как вы экспортируете результаты, загруженные (и доступные для просмотра) на странице Поиск в журнале аудита, экспортируется не более 5000 записей.Because you're exporting the same results that are loaded (and viewable) on the Audit log search page, a maximum of 5,000 entries are exported.

    • Скачать все результаты. Выберите этот параметр, чтобы экспортировать все записи из журнала аудита, которые соответствуют критериям поиска.Download all results: Choose this option to export all entries from the audit log that meet the search criteria. Если количество записей аудита превышает 5000, выберите этот вариант, чтобы скачать все записи, помимо отображаемых на странице Поиск в журнале аудита.For a large set of search results, choose this option to download all entries from the audit log in addition to the 5,000 audit records that can be displayed on the Audit log search page. При этом в CSV-файл загружаются необработанные данные из журнала аудита, а в столбце AuditData будут содержаться дополнительные сведения из записи журнала аудита.This option downloads the raw data from the audit log to a CSV file, and contains additional information from the audit log entry in a column named AuditData. При выборе этого варианта экспорта скачивание файла может занять больше времени, так как файл может быть гораздо больше скачиваемого при выборе первого варианта.It may take longer to download the file if you choose this export option because the file may be much larger than the one that's downloaded if you choose the other option.

      Важно!

      В CSV-файл можно загрузить до 50 000 записей результатов одной операции поиска по журналу аудита.You can download a maximum of 50,000 entries to a CSV file from a single audit log search. Если в CSV-файл загружено 50 000 записей, можно предположить, что условиям поиска соответствует более 50 000 событий.If 50,000 entries are downloaded to the CSV file, you can probably assume there are more than 50,000 events that met the search criteria. Чтобы обойти это ограничение и экспортировать больше записей, попробуйте указать диапазон дат, позволяющий сократить количество записей из журнала.To export more than this limit, try using a date range to reduce the number of audit log entries. Чтобы экспортировать больше 50 000 записей, вы можете выполнить поиск несколько раз со смежными диапазонами дат.You might have to run multiple searches with smaller date ranges to export more than 50,000 entries.

  3. После выбора варианта экспорта в нижней части окна появляется сообщение с запросом на открытие CSV-файла, сохранение его в папку "Загрузки" или сохранение в другую выбранную папку.After you select an export option, a message is displayed at the bottom of the window that prompts you to open the CSV file, save it to the Downloads folder, or save it to a specific folder.

Дополнительные сведения об экспорте и просмотре результатов поиска по журналу аудитаMore information about exporting and viewing audit log search results

  • Если вы скачали все результаты поиска, в CSV-файле имеется столбец с заголовком AuditData, содержащий дополнительные сведения о каждом событии.If you download all search results, the CSV file contains a column named AuditData, which contains additional information about each event. Данные в этом столбце состоят из объекта JSON, содержащего несколько свойств записи журнала аудита.The data in this column consists of a JSON object that contains multiple properties from the audit log record. Каждая пара свойство:значение в объекте JSON отделяется запятыми.Each property:value pair in the JSON object is separated by a comma. С помощью средства преобразования JSON в редакторе Power Query в Excel можно разделить столбец AuditData на несколько столбцов, чтобы для каждого свойства в объекте JSON использовался отдельный столбец.You can use the JSON transform tool in the Power Query Editor in Excel to split AuditData column into multiple columns so that each property in the JSON object has its own column. Это позволит выполнять сортировку и фильтрацию по одному или нескольким из этих свойств.This lets you sort and filter on one or more of these properties. Пошаговые инструкции по преобразованию объекта JSON с помощью редактора Power Query см. в статье Экспорт, настройка и просмотр записей журнала аудита.For step-by-step instructions using the Power Query Editor to transform the JSON object, see Export, configure, and view audit log records.

    После разделения столбца AuditData вы можете отфильтровать данные по столбцу Operations, чтобы увидеть подробную информацию для действий того или иного типа.After you split the AuditData column, you can filter on the Operations column to display the detailed properties for a specific type of activity.

  • Параметр Загрузить все результаты загружает необработанные данные из журнала аудита в файл CSV.The Download all results option downloads the raw data from the audit log to a CSV file. Имена столбцов в этом файле (CreationDate, UserIds, Operation, AuditData) отличаются от имен в файле, скачиваемом при выборе варианта Сохранить загруженные результаты.This file contains different column names (CreationDate, UserIds, Operation, AuditData) than the file that's downloaded if you select the Save loaded results option. Значения для одного и того же действия в этих двух CSV-файлах также могут различаться.The values in the two different CSV files for the same activity may also be different. Например, значение в столбце Действие в CSV-файле может отличаться от более понятного названия действия в столбце Действие на странице Поиск в журнале аудита.For example, the activity in the Action column in the CSV file and may have a different value than the "user-friendly" name that's displayed in the Activity column on the Audit log search page. Например, MailboxLogin и "Пользователь, вошел в почтовый ящик".For example, MailboxLogin vs. User signed in to mailbox.

  • При загрузке всех результатов из поискового запроса, который содержит события из разных служб, столбец AuditData в файле CSV содержит разные свойства, в зависимости от того, в какой службе было выполнено действие.When you download all results from a search query that contains events from different services, the AuditData column in the CSV file contains different properties depending on which service the action was performed in. Например, записи из журналов аудита Exchange и Azure AD включают свойство с именем ResultStatus, которое указывает, было ли действие выполнено успешно.For example, entries from Exchange and Azure AD audit logs include a property named ResultStatus that indicates if the action was successful or not. Это свойство отсутствует для событий в SharePoint.This property isn't included for events in SharePoint. Аналогичным образом, события SharePoint имеют свойство, в котором указывается URL-адрес сайта для действий, связанных с файлами и папками.Similarly, SharePoint events have a property that identifies the site URL for file and folder-related activities. Чтобы избежать этого, рекомендуем использовать разные поисковые запросы для экспорта результатов из отдельных служб.To mitigate this behavior, consider using different searches to export the results for activities from a single service.

    Описание многих свойств, перечисленных в столбце AuditData в файле CSV при загрузке всех результатов и службы, к которой относится каждый, см. в разделе Подробные свойства в журнале аудита.For a description of many of the properties that are listed in the AuditData column in the CSV file when you download all results, and the service each one applies to, see Detailed properties in the audit log.

Действия, подлежащие аудитуAudited activities

В таблицах ниже описаны действия, аудит которых проводится в Office 365.The tables in this section describe the activities that are audited in Office 365. Эти события можно найти, выполнив поиск по журналу аудита в Центре безопасности и соответствия требованиям.You can search for these events by searching the audit log in the security and compliance center.

В этих таблицах группируются связанные действия или действия определенной службы.These tables group related activities or the activities from a specific service. В таблицах указывается понятное имя в раскрывающемся списке Действия, а также название соответствующей операции, отображающееся в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.The tables include the friendly name that's displayed in the Activities drop-down list and the name of the corresponding operation that appears in the detailed information of an audit record and in the CSV file when you export the search results. Описание подробной информации см. в разделе Подробные свойства в журнале аудита.For descriptions of the detailed information, see Detailed properties in the audit log.

Чтобы перейти к определенной таблице, щелкните одну из ссылок.Click one of the following links to go to a specific table.

Действия, связанные с файлами и страницамиFile and page activities

В таблице ниже описаны действия, связанные с файлами и страницами в SharePoint Online и OneDrive для бизнеса.The following table describes the file and page activities in SharePoint Online and OneDrive for Business.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Получен доступ к файлуAccessed file FileAccessedFileAccessed Учетная запись пользователя или системы обращается к файлу.User or system account accesses a file.
(нет)(none) FileAccessedExtendedFileAccessedExtended Эта операция связана с действием "Получен доступ к файлу" (FileAccessed).This is related to the "Accessed file" (FileAccessed) activity. Событие FileAccessedExtended регистрируется, когда один и тот же пользователь постоянно обращается к файлу в течение длительного периода (до 3 часов).A FileAccessedExtended event is logged when the same person continually accesses a file for an extended period (up to 3 hours).

События FileAccessedExtended позволяют уменьшить число событий FileAccessed, регистрируемых при постоянном обращении к файлу.The purpose of logging FileAccessedExtended events is to reduce the number of FileAccessed events that are logged when a file is continually accessed. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей FileAccessed, и обратить внимание на исходное (более важное) событие FileAccessed.This helps reduce the noise of multiple FileAccessed records for what is essentially the same user activity, and lets you focus on the initial (and more important) FileAccessed event.
Изменена метка хранения файлаChanged retention label for a file ComplianceSettingChangedComplianceSettingChanged Метка хранения была применена к документу или удалена из него.A retention label was applied to or removed from a document. Это событие инициируется, когда метка хранения вручную или автоматически применяется к сообщению.This event is triggered when a retention label is manually or automatically applied to a message.
Для записи установлено новое состояние: "заблокирована"Changed record status to locked LockRecordLockRecord Состояние записи для метки хранения, классифицирующей документ как запись, было заблокировано.The record status of a retention label that classifies a document as a record was locked. Это означает, что документ невозможно изменить или удалить.This means the document can't be modified or deleted. Только пользователи, которым назначено разрешение участника (как минимум) для сайта, могут изменять состояние записи документа.Only users assigned at least the contributor permission for a site can change the record status of a document.
Для записи установлено новое состояние: "разблокирована"Changed record status to unlocked UnlockRecordUnlockRecord Состояние записи для метки хранения, классифицирующей документ как запись, было разблокировано.The record status of a retention label that classifies a document as a record was unlocked. Это означает, что документ можно изменить или удалить.This means that the document can be modified or deleted. Только пользователи, которым назначено разрешение участника (как минимум) для сайта, могут изменять состояние записи документа.Only users assigned at least the contributor permission for a site can change the record status of a document.
Файл записан после измененияChecked in file FileCheckedInFileCheckedIn Пользователь записывает после изменения документ, извлеченный из библиотеки документов.User checks in a document that they checked out from a document library.
Извлечен файлChecked out file FileCheckedOutFileCheckedOut Пользователь получает для изменения документ, находящийся в библиотеке документов.User checks out a document located in a document library. Пользователи могут извлекать документы, к которым им предоставлен общий доступ, и вносить в них изменения.Users can check out and make changes to documents that have been shared with them.
Скопирован файлCopied file FileCopiedFileCopied Пользователь копирует файл с сайта.User copies a document from a site. Скопированный файл можно сохранить в другой папке на сайте.The copied file can be saved to another folder on the site.
Удален файлDeleted file FileDeletedFileDeleted Пользователь удаляет документ с сайта.User deletes a document from a site.
Файл удален из корзиныDeleted file from recycle bin FileDeletedFirstStageRecycleBinFileDeletedFirstStageRecycleBin Пользователь удаляет файл из корзины сайта.User deletes a file from the recycle bin of a site.
Файл удален из корзины второго уровняDeleted file from second-stage recycle bin FileDeletedSecondStageRecycleBinFileDeletedSecondStageRecycleBin Пользователь удаляет файл из корзины второго уровня на сайте.User deletes a file from the second-stage recycle bin of a site.
Удаленный файл, помеченный как записьDeleted file marked as a record RecordDeleteRecordDelete Документ или электронное сообщение, помеченное как запись, было удалено.A document or email that was marked as a record was deleted. Элемент считается записью, если к содержимому применяется метка хранения, которая помечает элементы как запись.An item is considered a record when a retention label that marks items as a record is applied to content.
Обнаружено несоответствие конфиденциальности документаDetected document sensitivity mismatch DocumentSensitivityMismatchDetectedDocumentSensitivityMismatchDetected Пользователь отправляет документ на сайт, защищенный с помощью метки конфиденциальности, и метка конфиденциальности документа имеет более высокий приоритет, чем метка конфиденциальности, примененная к сайту.User uploads a document to a site that's protected with a sensitivity label and the document has a higher priority sensitivity label than the sensitivity label applied to the site. Например, документ с меткой "Конфиденциально" отправляется на сайт с меткой "Общее".For example, a document labeled Confidential is uploaded to a site labeled General.

Это событие не инициируется, если метка конфиденциальности документа имеет более низкий приоритет, чем метка конфиденциальности, примененная к сайту.This event isn't triggered if the document has a lower priority sensitivity label than the sensitivity label applied to the site. Например, документ с меткой "Общее" отправляется на сайт с меткой "Конфиденциально".For example, a document labeled General is uploaded to a site labeled Confidential. Дополнительные сведения о приоритете меток конфиденциальности см. в разделе Приоритет метки (важен порядок).For more information about sensitivity label priority, see Label priority (order matters).
Обнаружена вредоносная программа в файлеDetected malware in file FileMalwareDetectedFileMalwareDetected Антивирусная подсистема SharePoint обнаружила вредоносную программу в файле.SharePoint anti-virus engine detects malware in a file.
Отменено извлечение файлаDiscarded file checkout FileCheckOutDiscardedFileCheckOutDiscarded Пользователь удаляет или отменяет файл, полученный для изменения.User discards (or undoes) a checked out file. Это означает, что все изменения, внесенные в полученный файл, отменяются и не сохраняются в версии документа в библиотеке документов.That means any changes they made to the file when it was checked out are discarded, and not saved to the version of the document in the document library.
Скачан файлDownloaded file FileDownloadedFileDownloaded Пользователь скачивает документ с сайта.User downloads a document from a site.
Изменен файлModified file FileModifiedFileModified Учетная запись пользователя или системы изменяет содержимое или свойства документа на сайте.User or system account modifies the content or the properties of a document on a site.
(нет)(none) FileModifiedExtendedFileModifiedExtended Эта операция связана с действием "Изменен файл" (FileModified).This is related to the "Modified file" (FileModified) activity. Событие FileModifiedExtended регистрируется, когда один и тот же пользователь постоянно изменяет файл в течение длительного периода (до 3 часов).A FileModifiedExtended event is logged when the same person continually modifies a file for an extended period (up to 3 hours).

События FileModifiedExtended позволяют уменьшить число событий FileModified, регистрируемых при постоянном изменении файла.The purpose of logging FileModifiedExtended events is to reduce the number of FileModified events that are logged when a file is continually modified. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей FileModified, и обратить внимание на исходное (более важное) событие FileModified.This helps reduce the noise of multiple FileModified records for what is essentially the same user activity, and lets you focus on the initial (and more important) FileModified event.
Перемещен файлMoved file FileMovedFileMoved Пользователь перемещает документ из текущего места на сайте в новое.User moves a document from its current location on a site to a new location.
(нет)(none) FilePreviewedFilePreviewed Пользователь предварительно просматривает файл на сайте SharePoint или OneDrive для бизнеса.User previews files on a SharePoint or OneDrive for Business site. Такие события обычно происходят в больших количествах в на основе одного действия, например при просмотре коллекции изображений.These events typically occur in high volumes based on a single activity, such as viewing an image gallery.
Выполнен поисковый запросPerformed search query SearchQueryPerformedSearchQueryPerformed Пользователь или системная учетная запись выполняет поиск в SharePoint или OneDrive для бизнеса.User or system account performs a search in SharePoint or OneDrive for Business. К распространенным сценариям выполнения поискового запроса учетной записью службы относится применение удержания электронных данных и политики хранения к сайтам и учетным записям OneDrive, а также автоматическое применение меток хранения и конфиденциальности к содержимому сайта.Some common scenarios where a service account performs a search query include applying an eDiscovery holds and retention policy to sites and OneDrive accounts, and auto-applying retention or sensitivity labels to site content.
Помещены в корзину все промежуточные версии файлаRecycled all minor versions of file FileVersionsAllMinorsRecycledFileVersionsAllMinorsRecycled Пользователь удаляет все промежуточные версии файла из журнала версий.User deletes all minor versions from the version history of a file. Удаленные версии перемещаются в корзину сайта.The deleted versions are moved to the site's recycle bin.
Помещены в корзину все версии файлаRecycled all versions of file FileVersionsAllRecycledFileVersionsAllRecycled Пользователь удаляет все версии файла из журнала версий.User deletes all versions from the version history of a file. Удаленные версии перемещаются в корзину сайта.The deleted versions are moved to the site's recycle bin.
Помещена в корзину версия файлаRecycled version of file FileVersionRecycledFileVersionRecycled Пользователь удаляет версию файла из журнала версий.User deletes a version from the version history of a file. Удаленная версия перемещается в корзину сайта.The deleted version is moved to the site's recycle bin.
Переименован файлRenamed file FileRenamedFileRenamed Пользователь переименовывает документ на сайте.User renames a document on a site.
Восстановлен файлRestored file FileRestoredFileRestored Пользователь восстанавливает документ из корзины на сайте.User restores a document from the recycle bin of a site.
Выложен файлUploaded file FileUploadedFileUploaded Пользователь отправляет документ в папку на сайте.User uploads a document to a folder on a site.
Просмотрена страницаViewed page PageViewedPageViewed Пользователь просматривает страницу на сайте.User views a page on a site. К этому не относится использование веб-браузера для просмотра файлов, размещенных в библиотеке документов.This doesn't include using a Web browser to view files located in a document library.
(нет)(none) PageViewedExtendedPageViewedExtended Эта операция связана с действием "Просмотрена страница" (PageViewed).This is related to the "Viewed page" (PageViewed) activity. Событие PageViewedExtended регистрируется, когда один и тот же пользователь постоянно просматривает веб-страницу в течение длительного периода (до 3 часов).A PageViewedExtended event is logged when the same person continually views a web page for an extended period (up to 3 hours).

События PageViewedExtended позволяют уменьшить число событий PageViewed, регистрируемых при постоянном просмотре страницы.The purpose of logging PageViewedExtended events is to reduce the number of PageViewed events that are logged when a page is continually viewed. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей PageViewed, и обратить внимание на исходное (более важное) событие PageViewed.This helps reduce the noise of multiple PageViewed records for what is essentially the same user activity, and lets you focus on the initial (and more important) PageViewed event.
Клиент просигнализировал о просмотреView signaled by client ClientViewSignaledClientViewSignaled Клиент пользователя (например, веб-сайт или мобильное приложение) просигнализировал, что указанная страница была просмотрена пользователем.A user's client (such as website or mobile app) has signaled that the indicated page has been viewed by the user. Это действие часто записывается в журнал после события PagePrefetched для страницы.This activity is often logged following a PagePrefetched event for a page.

ПРИМЕЧАНИЕ. Так как события ClientViewSignaled сигнализируются клиентом, а не сервером, событие может не регистрироваться сервером, поэтому оно может не отображаться в журнале аудита.NOTE: Because ClientViewSignaled events are signaled by the client, rather than the server, it's possible the event may not be logged by the server and therefore may not appear in the audit log. Также возможно, что информация в записи аудита недостоверна.It's also possible that information in the audit record may not be trustworthy. Но так как удостоверение пользователя проверяется с помощью маркера, использованного для создания сигнала, удостоверение пользователя, указанное в соответствующей записи аудита, является правильным.However, because the user's identity is validated by the token used to create the signal, the user's identity listed in the corresponding audit record is accurate.
(нет)(none) PagePrefetchedPagePrefetched Клиент пользователя (например, веб-сайт или мобильное приложение) запросил указанную страницу, чтобы повысить производительность на случай ее просмотра пользователем.A user's client (such as website or mobile app) has requested the indicated page to help improve performance if the user browses to it. Это событие записывается в журнал, чтобы указать, что содержимое страницы было предоставлено клиенту пользователя.This event is logged to indicate that the page content has been served to the user's client. Это событие не является точным индикатором, что пользователь переходил на страницу.This event isn't a definitive indication that the user navigated to the page.

Когда содержимое страницы отображается клиентом (по запросу пользователя), должно создаваться событие ClientViewSignaled.When the page content is rendered by the client (as per the user's request) a ClientViewSignaled event should be generated. Не все клиенты поддерживают указание предварительного извлечения, поэтому некоторые действия предварительного извлечения могут быть занесены в журнал в виде событий PageViewed.Not all clients support indicating a pre-fetch, and therefore some pre-fetched activities might instead be logged as PageViewed events.

Часто задаваемые вопросы о событиях FileAccessed и FilePreviewedFrequently asked questions about FileAccessed and FilePreviewed events

Могут ли какие-либо действия, не связанные с пользователем, запустить записи аудита FilePreviewed, содержащие агент пользователя типа "OneDriveMpc-Transform_Thumbnail"?Could any non-user activities trigger FilePreviewed audit records that contain a user agent like "OneDriveMpc-Transform_Thumbnail"?

Нам не известны сценарии, в которых действия, не связанные с пользователем, вызывают такие события.We aren't aware of scenarios where non-user actions generate events like these. Действия пользователей, такие как открытие карточки профиля пользователя (нажатием имени или адреса электронной почты в сообщении в Outlook в Интернете), могут вызывать похожие события.User actions like opening a user profile card (by clicking their name or email address in a message in Outlook on the web) would generate similar events.

Всегда ли вызовы OneDriveMpc-Transform_Thumbnail намеренно выполняются пользователем?Are calls to the OneDriveMpc-Transform_Thumbnail always intentionally being triggered by the user?

Нет.No. Но похожие события могут фиксироваться в журнале в результате предварительной загрузки браузера.But similar events can be logged as a result of browser pre-fetch.

Если событие FilePreviewed исходит из IP-адреса, зарегистрированного корпорацией Майкрософт, означает ли это, что предварительная версия отображалась на экране устройства пользователя?If we see a FilePreviewed event coming from a Microsoft-registered IP address, does that mean that the preview was displayed on the screen of the user's device?

Нет.No. Это событие могло быть записано в журнал в результате предварительной загрузки браузера.The event might have been logged as a result of browser pre-fetch.

Существуют ли сценарии, в которых пользователь предварительно просматривающий документ, вызывает события FileAccessed?Are there scenarios where a user previewing a document generates FileAccessed events?

События FilePreviewed и FileAccessed указывают, что вызов пользователя привел к чтению файла (или чтению эскиза, воспроизводящего файл).Both the FilePreviewed and FileAccessed events indicate that a user's call led to a read of the file (or a read of a thumbnail rendering of the file). Хотя эти события должны соответствовать намерению предварительного просмотра и намерению доступа, отличие событий не гарантирует намерение пользователя.While these events are intended to align with preview vs. access intention, the event distinction isn't a guarantee of the user's intent.

Пользователь app@sharepoint в записях аудитаThe app@sharepoint user in audit records

В записях аудита для некоторых действий с файлами (и других действий, связанных с SharePoint) вы можете заметить, что пользователем, выполнившим действие (указывается в полях User и UserId), является app@sharepoint.In audit records for some file activities (and other SharePoint-related activities), you may notice the user who performed the activity (identified in the User and UserId fields) is app@sharepoint. Это означает, что "пользователем", выполнившим действие, было приложение.This indicates that the "user" who performed the activity was an application. В этом случае приложению были предоставлены разрешения в SharePoint для выполнения действий на уровне организации (например, поиск сайта SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы.In this case, the application was granted permissions in SharePoint to perform organization-wide actions (such as search a SharePoint site or OneDrive account) on behalf of a user, admin, or service. Этот процесс предоставления разрешений для приложения называется доступом с помощью контекста приложения SharePoint.This process of giving permissions to an application is called SharePoint App-Only access. Это означает, что проверка подлинности, представленная для SharePoint с целью выполнения действия, была осуществлена приложением, а не пользователем.This indicates that the authentication presented to SharePoint to perform an action was made by an application, instead of a user. Поэтому пользователь app@sharepoint указывается в определенных записях аудита.This is why the app@sharepoint user is identified in certain audit records. Дополнительные сведения см. в статье Предоставление доступа с помощью контекста приложения SharePoint.For more information, see Grant access using SharePoint App-Only.

Например, app@sharepoint часто указывается в качестве пользователя для событий "Выполнен поисковый запрос" и "Получен доступ к файлу".For example, app@sharepoint is often identified as the user for "Performed search query" and "Accessed file" events. Это связано с тем, что приложение с доступом только в контексте приложения SharePoint в вашей организации выполняет поисковые запросы и обращается к файлам при применении политик хранения к сайтам и учетным записям OneDrive.That's because an application with SharePoint App-Only access in your organization performs search queries and accesses files when applying retention policies to sites and OneDrive accounts.

Ниже представлено несколько других сценариев, в которых app@sharepoint может быть идентифицирован в записи аудита в качестве пользователя, выполнившего действие:Here are a few other scenarios where app@sharepoint may be identified in an audit record as the user who performed an activity:

  • Группы Microsoft 365Microsoft 365 Groups. Когда пользователь или администратор создает группу, создаются записи аудита для создания семейства веб-сайтов, обновления списков и добавления участников в группу SharePoint.When a user or admin creates a new group, audit records are generated for creating a site collection, updating lists, and adding members to a SharePoint group. Эти задачи выполняются в приложении от имени пользователя, создавшего группу.These tasks are performed an application on behalf of the user who created the group.

  • Microsoft Teams. Подобно группам Microsoft 365, записи аудита создаются для создания семейства сайтов, обновления списков и добавления участников в группу SharePoint при создании группы.Microsoft Teams. Similar to Microsoft 365 Groups, audit records are generated for creating a site collection, updating lists, and adding members to a SharePoint group when a team is created.

  • Функции обеспечения соответствия требованиям.Compliance features. Когда администратор реализует функции обеспечения соответствия требованиям, такие как политики хранения, удержания электронных данных и автоматическое применение меток конфиденциальности.When an admin implements compliance features, such as retention policies, eDiscovery holds, and auto-applying sensitivity labels.

В этих и других сценариях вы также заметите, что в течение короткого промежутка времени (часто с промежутком в несколько секунд) создается несколько записей аудита с указанием app@sharepoint в качестве пользователя.In these and other scenarios, you'll also notice that multiple audit records with app@sharepoint as the specified user were created within a short time frame, often within a few seconds of each other. Это также означает, что они, вероятно, были инициированы той же задачей, выполненной пользователем.This also indicates they were probably triggered by the same user-initiated task. Кроме того, поля ApplicationDisplayName и EventData в записи аудита могут помочь определить сценарий или приложение, запустившее событие.Also, the ApplicationDisplayName and EventData fields in the audit record may help you identify the scenario or application that triggered the event.

Действия, связанные с папкамиFolder activities

В таблице ниже описаны действия, связанные с папками в SharePoint Online и OneDrive для бизнеса.The following table describes the folder activities in SharePoint Online and OneDrive for Business. Как указано выше, в записях аудита для некоторых действий SharePoint указывается пользователь app@sharepoint, выполнивший действие от имени пользователя или администратора, инициировавшего действие.As previously explained, audit records for some SharePoint activities will indicate the app@sharepoint user performed the activity of behalf of the user or admin who initiated the action. Дополнительные сведения см. в разделе Пользователь app@sharepoint в записях аудита.For more information, see The app@sharepoint user in audit records.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Скопирована папкаCopied folder FolderCopiedFolderCopied Пользователь копирует папку из сайта в другое расположение в SharePoint или OneDrive для бизнеса.User copies a folder from a site to another location in SharePoint or OneDrive for Business.
Создана папкаCreated folder FolderCreatedFolderCreated Пользователь создает папку на сайте.User creates a folder on a site.
Удалена папкаDeleted folder FolderDeletedFolderDeleted Пользователь удаляет папку с сайта.User deletes a folder from a site.
Папка удалена из корзиныDeleted folder from recycle bin FolderDeletedFirstStageRecycleBinFolderDeletedFirstStageRecycleBin Пользователь удаляет папку из корзины на сайте.User deletes a folder from the recycle bin on a site.
Папка удалена из корзины второго уровняDeleted folder from second-stage recycle bin FolderDeletedSecondStageRecycleBinFolderDeletedSecondStageRecycleBin Пользователь удаляет папку из корзины второго уровня на сайте.User deletes a folder from the second-stage recycle bin on a site.
Изменена папкаModified folder FolderModifiedFolderModified Пользователь изменяет папку на сайте.User modifies a folder on a site. Это включает изменение метаданных папки, например тегов и свойств.This includes changing the folder metadata, such as changing tags and properties.
Перемещена папкаMoved folder FolderMovedFolderMoved Пользователь перемещает папку в другое расположение на сайте.User moves a folder to a different location on a site.
Переименована папкаRenamed folder FolderRenamedFolderRenamed Пользователь переименовывает папку на сайте.User renames a folder on a site.
Восстановлена папкаRestored folder FolderRestoredFolderRestored Пользователь восстанавливает удаленную папку из корзины на сайте.User restores a deleted folder from the recycle bin on a site.

Действия, связанные со списками SharePointSharePoint list activities

В таблице ниже описаны действия, относящиеся к взаимодействию пользователей со списками и элементами списков в SharePoint Online.The following table describes activities related to when users interact with lists and list items in SharePoint Online. Как указано выше, в записях аудита для некоторых действий SharePoint указывается пользователь app@sharepoint, выполнивший действие от имени пользователя или администратора, инициировавшего действие.As previously explained, audit records for some SharePoint activities will indicate the app@sharepoint user performed the activity of behalf of the user or admin who initiated the action. Дополнительные сведения см. в разделе Пользователь app@sharepoint в записях аудита.For more information, see The app@sharepoint user in audit records.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Создан списокCreated list ListCreatedListCreated Пользователь создал список SharePoint.A user created a SharePoint list.
Создан столбец спискаCreated list column ListColumnCreatedListColumnCreated Пользователь создал столбец списка SharePoint.A user created a SharePoint list column. Столбец списка — это столбец, прикрепленный к одному или нескольким спискам SharePoint.A list column is a column that's attached to one or more SharePoint lists.
Создан тип контента спискаCreated list content type ListContentTypeCreatedListContentTypeCreated Пользователь создал тип контента списка.A user created a list content type. Тип контента списка — это тип контента, прикрепленный к одному или нескольким спискам SharePoint.A list content type is a content type that's attached to one or more SharePoint lists.
Создан элемент спискаCreated list item ListItemCreatedListItemCreated Пользователь создал элемент в существующем списке SharePoint.A user created an item in an existing SharePoint list.
Создан столбец сайтаCreated site column SiteColumnCreatedSiteColumnCreated Пользователь создал столбец сайта SharePoint.A user created a SharePoint site column. Столбец сайта — это столбец, не прикрепленный к списку.A site column is a column that isn't attached to a list. Столбец сайта также является структурой метаданных, которую можно использовать в любом списке на определенном веб-сайте.A site column is also a metadata structure that can be used by any list in a given web.
Создан тип контента сайтаCreated site content type Создан объект ContentType сайтаSite ContentType Created Пользователь создал тип контента сайта.A user created a site content type. Тип контента сайта — это тип контента, прикрепленный к родительскому сайту.A site content type is a content type that's attached to the parent site.
Удален списокDeleted list ListDeletedListDeleted Пользователь удалил список SharePoint.A user deleted a SharePoint list.
Удален столбец спискаDeleted list column Столбец списка удаленList Column Deleted Пользователь удалил столбец списка SharePoint.A user deleted a SharePoint list column.
Удален тип контента спискаDeleted list content type ListContentTypeDeletedListContentTypeDeleted Пользователь удалил тип контента списка.A user deleted a list content type.
Удален элемент спискаDeleted list item Элемент списка удаленList Item Deleted Пользователь удалил элемент списка SharePoint.A user deleted a SharePoint list item.
Удален столбец сайтаDeleted site column SiteColumnDeletedSiteColumnDeleted Пользователь удалил столбец сайта SharePoint.A user deleted a SharePoint site column.
Удален тип контента сайтаDeleted site content type SiteContentTypeDeletedSiteContentTypeDeleted Пользователь удалил тип контента сайта.A user deleted a site content type.
Перемещен в корзину элемент спискаRecycled list item ListItemRecycledListItemRecycled Пользователь переместил элемент списка SharePoint в корзину.A user moved a SharePoint list item to the Recycle Bin.
Восстановлен списокRestored list ListRestoredListRestored Пользователь восстановил список SharePoint из корзины.A user restored a SharePoint list from the Recycle Bin.
Восстановлен элемент спискаRestored list item ListItemRestoredListItemRestored Пользователь восстановил элемент списка SharePoint из корзины.A user restored a SharePoint list item from the Recycle Bin.
Обновлен списокUpdated list ListUpdatedListUpdated Пользователь обновил список SharePoint, изменив одно или несколько свойств.A user updated a SharePoint list by modifying one or more properties.
Обновлен столбец спискаUpdated list column ListColumnUpdatedListColumnUpdated Пользователь обновил столбец списка SharePoint, изменив одно или несколько свойств.A user updated a SharePoint list column by modifying one or more properties.
Обновлен тип контента спискаUpdated list content type ListContentTypeUpdatedListContentTypeUpdated Пользователь обновил тип контента списка, изменив одно или несколько свойств.A user updated a list content type by modifying one or more properties.
Обновлен элемент спискаUpdated list item ListItemUpdatedListItemUpdated Пользователь обновил элемент списка SharePoint, изменив одно или несколько свойств.A user updated a SharePoint list item by modifying one or more properties.
Обновлен столбец сайтаUpdated site column SiteColumnUpdatedSiteColumnUpdated Пользователь обновил столбец сайта SharePoint, изменив одно или несколько свойств.A user updated a SharePoint site column by modifying one or more properties.
Обновлен тип контента сайтаUpdated site content type SiteContentTypeUpdatedSiteContentTypeUpdated Пользователь обновил тип контента сайта, изменив одно или несколько свойств.A user updated a site content type by modifying one or more properties.

Действия, связанные с общим доступом и запросами на доступSharing and access request activities

В таблице ниже описаны действия, связанные с общим доступом и запросами на доступ пользователей в SharePoint Online и OneDrive для бизнеса.The following table describes the user sharing and access request activities in SharePoint Online and OneDrive for Business. Для совместного доступа к событиям столбец Сведения в разделе Результаты определяет имя пользователя или группы, которым предоставлен общий доступ к элементу, а также их тип (участник или гость организации).For sharing events, the Detail column under Results identifies the name of the user or group the item was shared with and whether that user or group is a member or guest in your organization. Для получения дополнительной информации см. раздел Использование аудита совместного использования в журнале аудита.For more information, see Use sharing auditing in the audit log.

Примечание

Пользователи могут быть участниками либо гостями в зависимости от свойства UserType объекта User.Users can be either members or guests based on the UserType property of the user object. Как правило, участник — это сотрудник, а гость — подрядчик за пределами организации.A member is usually an employee, and a guest is usually a collaborator outside of your organization. Когда пользователь принимает приглашение к общему доступу (и при этом еще не входит в состав организации), для него создается гостевая учетная запись в каталоге организации.When a user accepts a sharing invitation (and isn't already part of your organization), a guest account is created for them in your organization's directory. После того как для гостевого пользователя будет создана учетная запись в каталоге, ему можно будет напрямую предоставлять общий доступ к ресурсам (без приглашения).Once the guest user has an account in your directory, resources may be shared directly with them (without requiring an invitation).

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Добавлен уровень разрешений для семейства веб-сайтовAdded permission level to site collection PermissionLevelAddedPermissionLevelAdded Для семейства веб-сайтов добавлен уровень разрешений.A permission level was added to a site collection.
Запрос на доступ принятAccepted access request AccessRequestAcceptedAccessRequestAccepted Запрос на доступ к сайту, папке или документу принят, и запросившему пользователю предоставлен доступ.An access request to a site, folder, or document was accepted and the requesting user has been granted access.
Приглашение к совместному использованию принятоAccepted sharing invitation SharingInvitationAcceptedSharingInvitationAccepted Пользователь (участник или гость) принял приглашение на общий доступ и получил доступ к ресурсу.User (member or guest) accepted a sharing invitation and was granted access to a resource. Это событие содержит сведения о пользователе, который был приглашен, и адресе электронной почты, который использовался для принятия приглашения (они могут различаться).This event includes information about the user who was invited and the email address that was used to accept the invitation (they could be different). Это действие зачастую сопровождается вторым событием, которое описывает способ предоставления пользователю доступа к ресурсу, например его добавление в группу, у которой есть такой доступ.This activity is often accompanied by a second event that describes how the user was granted access to the resource, for example, adding the user to a group that has access to the resource.
Заблокировано приглашение к совместному использованиюBlocked sharing invitation SharingInvitationBlockedSharingInvitationBlocked Приглашение к общему доступу, отправленное пользователем вашей организации, заблокировано из-за политики внешнего общего доступа, которая разрешает или запрещает внешний доступ, исходя из домена целевого пользователя.A sharing invitation sent by a user in your organization is blocked because of an external sharing policy that either allows or denies external sharing based on the domain of the target user. В данном случае приглашение к общему доступу было заблокировано по одной из следующих причин:In this case, the sharing invitation was blocked because:
Домен целевого пользователя не входит в список разрешенных доменов.The target user's domain isn't included in the list of allowed domains.
ИЛИOr
Домен целевого пользователя включен в список блокируемых доменов.The target user's domain is included in the list of blocked domains.
Дополнительные сведения о разрешении и блокировании внешнего общего доступа в зависимости от домена см. в статье Ограничение общего доступа для доменов в SharePoint Online и OneDrive для бизнеса.For more information about allowing or blocking external sharing based on domains, see Restricted domains sharing in SharePoint Online and OneDrive for Business.
Создан запрос на доступCreated access request AccessRequestCreatedAccessRequestCreated Пользователь запрашивает доступ к сайту, папке или документу, на доступ к которым у него нет разрешений.User requests access to a site, folder, or document they don't have permissions to access.
Создана ссылка общего доступа для компанииCreated a company shareable link CompanyLinkCreatedCompanyLinkCreated Пользователь создал на уровне организации ссылку на ресурс.User created a company-wide link to a resource. Ссылки на уровне организации могут использовать только участники вашей организации.company-wide links can only be used by members in your organization. Их не могут использовать гости.They can't be used by guests.
Создана анонимная ссылкаCreated an anonymous link AnonymousLinkCreatedAnonymousLinkCreated Пользователь создал анонимную ссылку на ресурс.User created an anonymous link to a resource. По этой ссылке любой пользователь может получить доступ к ресурсу без проверки подлинности.Anyone with this link can access the resource without having to be authenticated.
Создана безопасная ссылкаCreated secure link SecureLinkCreatedSecureLinkCreated Для элемента создана безопасная ссылка общего доступа.A secure sharing link was created to this item.
Приглашение к совместному использованию созданоCreated sharing invitation SharingInvitationCreatedSharingInvitationCreated Пользователь предоставил общий доступ к ресурсу в SharePoint Online или OneDrive для бизнеса другому пользователю, отсутствующему в каталоге организации.User shared a resource in SharePoint Online or OneDrive for Business with a user who isn't in your organization's directory.
Удалена безопасная ссылкаDeleted secure link SecureLinkDeletedSecureLinkDeleted Безопасная ссылка общего доступа была удалена.A secure sharing link was deleted.
Отклонен запрос на доступ Denied access request AccessRequestDeniedAccessRequestDenied Запрос на доступ к сайту, папке или документу отклонен.An access request to a site, folder, or document was denied.
Удалена корпоративная ссылка для общего доступаRemoved a company shareable link CompanyLinkRemovedCompanyLinkRemoved Пользователь удалил корпоративную ссылку на ресурс.User removed a company-wide link to a resource. Эту ссылку больше нельзя использовать для доступа к ресурсу.The link can no longer be used to access the resource.
Удалена анонимная ссылкаRemoved an anonymous link AnonymousLinkRemovedAnonymousLinkRemoved Пользователь удалил анонимную ссылку на ресурс.User removed an anonymous link to a resource. Эту ссылку больше нельзя использовать для доступа к ресурсу.The link can no longer be used to access the resource.
Предоставлен общий доступ к файлу, папке или сайтуShared file, folder, or site SharingSetSharingSet Пользователь (участник или гость) предоставил общий доступ к файлу, папке или сайту в SharePoint или OneDrive для бизнеса другому пользователю, присутствующему в каталоге организации.User (member or guest) shared a file, folder, or site in SharePoint or OneDrive for Business with a user in your organization's directory. Значение в столбце Сведения для этого действия определяет имя пользователя, которому был предоставлен общий доступ к ресурсу, и его тип (участник или гость).The value in the Detail column for this activity identifies the name of the user the resource was shared with and whether this user is a member or a guest.

Это действие зачастую сопровождается вторым событием, которое описывает способ предоставления пользователю доступа к ресурсу, например его добавление в группу, у которой есть такой доступ.This activity is often accompanied by a second event that describes how the user was granted access to the resource. For example, adding the user to a group that has access to the resource.
Обновлен запрос на доступUpdated access request AccessRequestUpdatedAccessRequestUpdated Запрос на доступ к элементу был обновлен.An access request to an item was updated.
Обновлена анонимная ссылка Updated an anonymous link AnonymousLinkUpdatedAnonymousLinkUpdated Пользователь обновил анонимную ссылку на ресурс.User updated an anonymous link to a resource. При экспорте результатов поиска обновленное поле добавляется в свойство EventData.The updated field is included in the EventData property when you export the search results.
Обновлено приглашение к совместному использованиюUpdated sharing invitation SharingInvitationUpdatedSharingInvitationUpdated Приглашение к внешнему общему доступу было обновлено.An external sharing invitation was updated.
Использована анонимная ссылкаUsed an anonymous link AnonymousLinkUsedAnonymousLinkUsed Анонимный пользователь обратился к ресурсу по анонимной ссылке.An anonymous user accessed a resource by using an anonymous link. Личность пользователя может быть неизвестна, однако можно получить другие сведения, такие как его IP-адрес.The user's identity might be unknown, but you can get other details such as the user's IP address.
Отменен общий доступ к файлу, папке или сайтуUnshared file, folder, or site SharingRevokedSharingRevoked Пользователь (участник или гость) отменил общий доступ к файлу, папке или сайту, к которым ранее был предоставлен общий доступ другому пользователю.User (member or guest) unshared a file, folder, or site that was previously shared with another user.
Использована ссылка общего доступа для компанииUsed a company shareable link CompanyLinkUsedCompanyLinkUsed Пользователь обратился к ресурсу по ссылке на уровне организации.User accessed a resource by using a company-wide link.
Использована безопасная ссылкаUsed secure link SecureLinkUsedSecureLinkUsed Пользователь использовал безопасную ссылку.A user used a secure link.
Пользователь добавлен в безопасную ссылкуUser added to secure link AddedToSecureLinkAddedToSecureLink Пользователь был добавлен в список объектов, которые могут использовать безопасную ссылку для общего доступа.A user was added to the list of entities who can use a secure sharing link.
Пользователь удален из безопасной ссылкиUser removed from secure link RemovedFromSecureLinkRemovedFromSecureLink Пользователь был удален из списка объектов, которые могут использовать безопасную ссылку для общего доступа.A user was removed from the list of entities who can use a secure sharing link.
Приглашение к совместному использованию отозваноWithdrew sharing invitation SharingInvitationRevokedSharingInvitationRevoked Пользователь отозвал приглашение на общий доступ к ресурсу.User withdrew a sharing invitation to a resource.

Действия, связанные с синхронизациейSynchronization activities

В таблице ниже перечислены действия, связанные с синхронизацией файлов в SharePoint Online и OneDrive для бизнеса.The following table lists file synchronization activities in SharePoint Online and OneDrive for Business.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Компьютеру разрешено синхронизировать файлыAllowed computer to sync files ManagedSyncClientAllowedManagedSyncClientAllowed Пользователь успешно устанавливает отношение синхронизации с сайтом.User successfully establishes a sync relationship with a site. Отношение синхронизации установлено успешно, так как компьютер пользователя входит в домен, добавленный в список доменов (так называемый список надежных получателей) и позволяющий получить доступ к библиотекам документов в вашей организации.The sync relationship is successful because the user's computer is a member of a domain that's been added to the list of domains (called the safe recipients list) that can access document libraries in your organization.

Дополнительные сведения об этой функции см. в статье Использование командлетов Windows PowerShell для обеспечения синхронизации OneDrive для доменов, включенных в список надежных получателей.For more information about this feature, see Use Windows PowerShell cmdlets to enable OneDrive sync for domains that are on the safe recipients list.
На компьютере заблокирована синхронизация файловBlocked computer from syncing files UnmanagedSyncClientBlockedUnmanagedSyncClientBlocked Пользователь пытается установить отношение синхронизации с сайтом с компьютера, который не входит в домен вашей организации или входит в домен, не добавленный в список доменов, которым разрешен доступ к библиотекам документов в вашей организации (список надежных получателей).User tries to establish a sync relationship with a site from a computer that isn't a member of your organization's domain or is a member of a domain that hasn't been added to the list of domains (called the safe recipients list) that can access document libraries in your organization. Отношение синхронизации запрещено, поэтому с компьютера пользователя не разрешается синхронизировать, скачивать или передавать файлы в библиотеке документов.The sync relationship is not allowed, and the user's computer is blocked from syncing, downloading, or uploading files on a document library.

Дополнительные сведения об этой функции см. в статье Использование командлетов Windows PowerShell для включения синхронизации OneDrive для доменов, включенных в список надежных получателей.For information about this feature, see Use Windows PowerShell cmdlets to enable OneDrive sync for domains that are on the safe recipients list.
На компьютер скачаны файлыDownloaded files to computer FileSyncDownloadedFullFileSyncDownloadedFull Пользователь устанавливает отношение синхронизации и успешно скачивает файлы в первый раз из библиотеки документов на свой компьютер.User establishes a sync relationship and successfully downloads files for the first time to their computer from a document library.
На компьютер скачаны изменения в файлеDownloaded file changes to computer FileSyncDownloadedPartialFileSyncDownloadedPartial Пользователь успешно скачивает все изменения, внесенные в файлы, из библиотеки документов.User successfully downloads any changes to files from a document library. Это действие указывает, что все изменения, внесенные в файлы в библиотеке документов, были скачаны на компьютер пользователя.This activity indicates that any changes that were made to files in the document library were downloaded to the user's computer. Скачались только изменения, так как библиотека документов была ранее скачана пользователем (на что указывает действие На компьютер скачаны файлы).Only changes were downloaded because the document library was previously downloaded by the user (as indicated by the Downloaded files to computer activity).
Файлы выложены в библиотеку документовUploaded files to document library FileSyncUploadedFullFileSyncUploadedFull Пользователь устанавливает отношение синхронизации и успешно отправляет файлы в первый раз со своего компьютера в библиотеку документов.User establishes a sync relationship and successfully uploads files for the first time from their computer to a document library.
Изменения в файле выложены в библиотеку документовUploaded file changes to document library FileSyncUploadedPartialFileSyncUploadedPartial Пользователь успешно отправляет изменения, внесенные в файлы, в библиотеку документов.User successfully uploads changes to files on a document library. Это событие указывает на то, что все изменения, внесенные в локальную версию файла из библиотеки документов, успешно переданы в библиотеку документов.This event indicates that any changes made to the local version of a file from a document library are successfully uploaded to the document library. Отправляются только изменения, так как сами файлы были ранее отправлены пользователем (на что указывает действие Файлы выложены в библиотеку документов).Only changes are uploaded because those files were previously uploaded by the user (as indicated by the Uploaded files to document library activity).

Действия, связанные с разрешениями для сайтовSite permissions activities

В таблице ниже перечислены события, связанные с назначением разрешений в SharePoint и использованием групп для предоставления (и отзыва) доступа к сайтам.The following table lists events related to assigning permissions in SharePoint and using groups to give (and revoke) access to sites. Как указано выше, в записях аудита для некоторых действий SharePoint указывается пользователь app@sharepoint, выполнивший действие от имени пользователя или администратора, инициировавшего действие.As previously explained, audit records for some SharePoint activities will indicate the app@sharepoint user performed the activity of behalf of the user or admin who initiated the action. Дополнительные сведения см. в разделе Пользователь app@sharepoint в записях аудита.For more information, see The app@sharepoint user in audit records.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Добавлен администратор семейства веб-сайтовAdded site collection admin SiteCollectionAdminAddedSiteCollectionAdminAdded Администратор или владелец семейства веб-сайтов добавляет пользователя в качестве администратора семейства веб-сайтов для сайта.Site collection administrator or owner adds a person as a site collection administrator for a site. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам.Site collection administrators have full control permissions for the site collection and all subsites. Это действие также записывается в журнал, когда администратор предоставляет себе доступ к учетной записи OneDrive пользователя (путем изменения профиля пользователя в Центре администрирования SharePoint или с помощью Центра администрирования Microsoft 365).This activity is also logged when an admin gives themselves access to a user's OneDrive account (by editing the user profile in the SharePoint admin center or by using the Microsoft 365 admin center).
В группу SharePoint добавлен пользователь или группаAdded user or group to SharePoint group AddedToGroupAddedToGroup Пользователь добавил участника или гостя в группу SharePoint.User added a member or guest to a SharePoint group. Это может быть как намеренным действием, так и результатом другого действия, например события предоставления общего доступа.This might have been an intentional action or the result of another activity, such as a sharing event.
Нарушено наследование уровня разрешенийBroke permission level inheritance PermissionLevelsInheritanceBrokenPermissionLevelsInheritanceBroken В результате изменения элемент больше не наследует уровни разрешений от родительского элемента.An item was changed so that it no longer inherits permission levels from its parent.
Нарушено наследование общего доступаBroke sharing inheritance SharingInheritanceBrokenSharingInheritanceBroken В результате изменения элемент больше не наследует разрешения на общий доступ от родительского элемента.An item was changed so that it no longer inherits sharing permissions from its parent.
Создана группаCreated group GroupAddedGroupAdded Администратор или владелец сайта создает группу для сайта или выполняет задачу, приводящую к созданию группы.Site administrator or owner creates a group for a site, or performs a task that results in a group being created. Например, когда пользователь впервые создает ссылку на общий доступ к файлу, на сайт OneDrive для бизнеса этого пользователя добавляется системная группа.For example, the first time a user creates a link to share a file, a system group is added to the user's OneDrive for Business site. Это событие также может возникнуть, если пользователь создал ссылку с разрешениями на внесение изменений в общий файл.This event can also be a result of a user creating a link with edit permissions to a shared file.
Удалена группаDeleted group GroupRemovedGroupRemoved Пользователь удаляет группу с сайта.User deletes a group from a site.
Изменен параметр запроса доступаModified access request setting WebRequestAccessModifiedWebRequestAccessModified Параметры запросов на доступ изменились на сайте.The access request settings were modified on a site.
Изменен параметр "Участники могут предоставлять доступ"Modified 'Members Can Share' setting WebMembersCanShareModifiedWebMembersCanShareModified Параметр Участники могут предоставлять доступ был изменен на сайте.The Members Can Share setting was modified on a site.
Изменен уровень разрешений для семейства веб-сайтовModified permission level on a site collection PermissionLevelModifiedPermissionLevelModified В семействе веб-сайтов изменен уровень разрешений.A permission level was changed on a site collection.
Изменены разрешения сайтаModified site permissions SitePermissionsModifiedSitePermissionsModified Администратор или владелец сайта (либо системная учетная запись) изменяет уровень разрешений, назначенный группе на сайте.Site administrator or owner (or system account) changes the permission level that is assigned to a group on a site. Это действие также записывается в журнал при удалении всех разрешений, назначенных группе.This activity is also logged if all permissions are removed from a group.

ПРИМЕЧАНИЕ. Эту операцию не рекомендуется использовать в SharePoint Online.NOTE: This operation has been deprecated in SharePoint Online. Чтобы обнаружить связанные события, можно найти другие действия, связанные с разрешениями, например Добавлен администратор семейства веб-сайтов, В группу SharePoint добавлен пользователь или группа, Пользователю разрешено создавать группы, Создана группа и Удалена группа.To find related events, you can search for other permission-related activities such as Added site collection admin, Added user or group to SharePoint group, Allowed user to create groups, Created group, and Deleted group.
Удален уровень разрешений для семейства веб-сайтовRemoved permission level from site collection PermissionLevelRemovedPermissionLevelRemoved Из семейства веб-сайтов удален уровень разрешений.A permission level was removed from a site collection.
Удален администратор семейства веб-сайтовRemoved site collection admin SiteCollectionAdminRemovedSiteCollectionAdminRemoved Администратор или владелец семейства веб-сайтов удаляет пользователя из роли администратора семейства веб-сайтов для сайта.Site collection administrator or owner removes a person as a site collection administrator for a site. Это действие также записывается в журнал, когда администратор удаляет себя из списка администраторов семейства веб-сайтов для учетной записи OneDrive пользователя (путем изменения профиля пользователя в Центре администрирования SharePoint).This activity is also logged when an admin removes themselves from the list of site collection administrators for a user's OneDrive account (by editing the user profile in the SharePoint admin center). Чтобы вернуть это действие в результатах поиска по журналу аудита, необходимо выполнить поиск по всем действиям.To return this activity in the audit log search results, you have to search for all activities.
Из группы SharePoint удален пользователь или группаRemoved user or group from SharePoint group RemovedFromGroupRemovedFromGroup Пользователь удалил участника или гостя из группы SharePoint.User removed a member or guest from a SharePoint group. Это может быть как намеренным действием, так и результатом другого действия, например события отмены общего доступа.This might have been an intentional action or the result of another activity, such as an unsharing event.
Запрошены разрешения администратора сайтаRequested site admin permissions SiteAdminChangeRequestSiteAdminChangeRequest Пользователь отправил запрос на добавление себя в качестве администратора семейства веб-сайтов.User requests to be added as a site collection administrator for a site collection. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам.Site collection administrators have full control permissions for the site collection and all subsites.
Восстановлено наследование общего доступаRestored sharing inheritance SharingInheritanceResetSharingInheritanceReset Выполнено изменение, в результате которого элемент снова наследует разрешения общего доступа от родительского элемента.A change was made so that an item inherits sharing permissions from its parent.
Обновлена группаUpdated group GroupUpdatedGroupUpdated Администратор или владелец сайта изменяет параметры группы для сайта.Site administrator or owner changes the settings of a group for a site. Это может быть изменение имени группы, списка пользователей, которые могут просматривать или изменять состав группы, а также способа обработки запросов на вступление в группу.This can include changing the group's name, who can view or edit the group membership, and how membership requests are handled.

Действия, связанные с администрированием сайтаSite administration activities

В таблице ниже перечислены события, возникающие в результате действий по администрированию сайта в SharePoint Online.The following table lists events that result from site administration tasks in SharePoint Online. Как указано выше, в записях аудита для некоторых действий SharePoint указывается пользователь app@sharepoint, выполнивший действие от имени пользователя или администратора, инициировавшего действие.As previously explained, audit records for some SharePoint activities will indicate the app@sharepoint user performed the activity of behalf of the user or admin who initiated the action. Дополнительные сведения см. в разделе Пользователь app@sharepoint в записях аудита.For more information, see The app@sharepoint user in audit records.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Добавлено разрешенное расположение данныхAdded allowed data location AllowedDataLocationAddedAllowedDataLocationAdded Администратор SharePoint или глобальный администратор добавил разрешенное расположение данных в среду с поддержкой нескольких регионов.A SharePoint or global administrator added an allowed data location in a multi-geo environment.
Добавлен исключаемый агент пользователяAdded exempt user agent ExemptUserAgentSetExemptUserAgentSet Администратор SharePoint или глобальный администратор добавил агента пользователя в список исключаемых агентов пользователя в Центре администрирования SharePoint.A SharePoint or global administrator added a user agent to the list of exempt user agents in the SharePoint admin center.
Добавлен администратор географического расположенияAdded geo location admin GeoAdminAddedGeoAdminAdded Администратор SharePoint или глобальный администратор добавил пользователя в качестве администратора географического расположения.A SharePoint or global administrator added a user as a geo admin of a location.
Пользователю разрешено создавать группыAllowed user to create groups AllowGroupCreationSetAllowGroupCreationSet Администратор или владелец сайта добавляет уровень разрешений для сайта, позволяющий пользователю создавать группы на этом сайте.Site administrator or owner adds a permission level to a site that allows a user assigned that permission to create a group for that site.
Отменено географическое перемещение сайтаCanceled site geo move SiteGeoMoveCancelledSiteGeoMoveCancelled Администратор SharePoint или глобальный администратор успешно отменяет географические перемещения сайта SharePoint или OneDrive.A SharePoint or global administrator successfully cancels a SharePoint or OneDrive site geo move. Возможность Multi-Geo позволяет организации охватывать несколько географических центров Microsoft, которые называются geos.The Multi-Geo capability lets an organization span multiple Microsoft datacenter geographies, which are called geos. Дополнительную информацию см. в разделе Многофункциональные возможности в OneDrive и SharePoint Online.For more information, see Multi-Geo Capabilities in OneDrive and SharePoint Online.
Изменена политика общего доступаChanged a sharing policy SharingPolicyChangedSharingPolicyChanged SharePoint или глобальный администратор изменили политику общего доступа SharePoint с помощью административного портала Microsoft 365, административного портала SharePoint или командной консоли SharePoint Online.A SharePoint or global administrator changed a SharePoint sharing policy by using the Microsoft 365 admin portal, SharePoint admin portal, or SharePoint Online Management Shell. Любое изменение параметров политики общего доступа в организации регистрируется в журнале.Any change to the settings in the sharing policy in your organization will be logged. Измененная политика указывается в поле ModifiedProperties подробных свойств записи о событии.The policy that was changed is identified in the ModifiedProperties field in the detailed properties of the event record.
Изменена политика доступа к устройствуChanged device access policy DeviceAccessPolicyChangedDeviceAccessPolicyChanged Администратор SharePoint или глобальный администратор изменил политику неуправляемых устройств для организации.A SharePoint or global administrator changed the unmanaged devices policy for your organization. Эта политика контролирует доступ к SharePoint, OneDrive и Microsoft 365 с устройств, которые не подключены к вашей организации.This policy controls access to SharePoint, OneDrive, and Microsoft 365 from devices that aren't joined to your organization. Для настройки этой политики необходима подписка на Enterprise Mobility + Security.Configuring this policy requires an Enterprise Mobility + Security subscription. Дополнительные сведения см. в статье Управление доступом с неуправляемых устройств.For more information, see Control access from unmanaged devices.
Изменены исключаемые агенты пользователяChanged exempt user agents CustomizeExemptUsersCustomizeExemptUsers Администратор SharePoint или глобальный администратор настроил список исключаемых агентов пользователя в Центре администрирования SharePoint.A SharePoint or global administrator customized the list of exempt user agents in the SharePoint admin center. Вы можете указать, какие агенты пользователя не должны получать веб-страницы полностью для индексации.You can specify which user agents to exempt from receiving an entire web page to index. Это значит, что если исключенный агент пользователя обнаружит форму InfoPath, она будет возвращена ему в виде XML-файла, а не полной веб-страницы.This means when a user agent you've specified as exempt encounters an InfoPath form, the form will be returned as an XML file, instead of an entire web page. Это позволяет ускорить индексацию форм InfoPath.This makes indexing InfoPath forms faster.
Изменена политика доступа к сетиChanged network access policy NetworkAccessPolicyChangedNetworkAccessPolicyChanged Администратор SharePoint или глобальный администратор изменил политику доступа по расположению (также называемую границей надежной сети) в Центре администрирования SharePoint или с помощью SharePoint Online PowerShell.A SharePoint or global administrator changed the location-based access policy (also called a trusted network boundary) in the SharePoint admin center or by using SharePoint Online PowerShell. Политика этого типа регулирует доступ к ресурсам SharePoint и OneDrive в организации на основе указанных вами диапазонов авторизованных IP-адресов.This type of policy controls who can access SharePoint and OneDrive resources in your organization based on authorized IP address ranges that you specify. Дополнительные сведения см. в статье Управление доступом к данным SharePoint Online и OneDrive на основе сетевых расположений.For more information, see Control access to SharePoint Online and OneDrive data based on network location.
Завершено географическое перемещение сайтаCompleted site geo move SiteGeoMoveCompletedSiteGeoMoveCompleted Географическое перемещение сайта, запланированное глобальным администратором организации, успешно выполнено.A site geo move that was scheduled by a global administrator in your organization was successfully completed. Возможность Multi-Geo позволяет организации охватывать несколько географических центров Microsoft, которые называются geos.The Multi-Geo capability lets an organization span multiple Microsoft datacenter geographies, which are called geos. Дополнительные сведения см. в статье Поддержка нескольких регионов в OneDrive и SharePoint Online в Office 365.For more information, see Multi-Geo Capabilities in OneDrive and SharePoint Online in Office 365.
Создано подключение "Отправить пользователю"Created Sent To connection SendToConnectionAddedSendToConnectionAdded Администратор SharePoint или глобальный администратор создает подключение для отправки на странице управления записями в Центре администрирования SharePoint.A SharePoint or global administrator creates a new Send To connection on the Records management page in the SharePoint admin center. Подключение для отправки определяет параметры для репозитория документов или центра записей.A Send To connection specifies settings for a document repository or a records center. После создания подключения отправки организатор контента может отправлять документы в указанное расположение.When you create a Send To connection, a Content Organizer can submit documents to the specified location.
Создано семейство веб-сайтовCreated site collection SiteCollectionCreatedSiteCollectionCreated Администратор SharePoint или глобальный администратор создает семейство веб-сайтов в организации SharePoint Online или пользователь подготавливает свой сайт OneDrive для бизнеса.A SharePoint or global administrator creates a site collection in your SharePoint Online organization or a user provisions their OneDrive for Business site.
Удален потерянный центральный сайтDeleted orphaned hub site HubSiteOrphanHubDeletedHubSiteOrphanHubDeleted Администратор SharePoint или глобальный администратор удалил потерянный центральный сайт, у которого отсутствуют связанные с ним сайты.A SharePoint or global administrator deleted an orphan hub site, which is a hub site that doesn't have any sites associated with it. Возникновение потерянного центрального сайта, скорее всего, вызвано удалением исходного центрального сайта.An orphaned hub is likely caused by the deletion of the original hub site.
Удалены подключения "Отправить пользователю"Deleted Sent To connection SendToConnectionRemovedSendToConnectionRemoved Администратор SharePoint или глобальный администратор удаляет подключение для отправки на странице управления записями в Центре администрирования SharePoint.A SharePoint or global administrator deletes a Send To connection on the Records management page in the SharePoint admin center.
Удален сайтDeleted site SiteDeletedSiteDeleted Администратор сайта удаляет сайт.Site administrator deletes a site.
Включен предварительный просмотр документовEnabled document preview PreviewModeEnabledSetPreviewModeEnabledSet Администратор сайта включает предварительный просмотр документов для сайта.Site administrator enables document preview for a site.
Включен устаревший рабочий процессEnabled legacy workflow LegacyWorkflowEnabledSetLegacyWorkflowEnabledSet Администратор или владелец сайта добавляет тип контента задачи рабочего процесса SharePoint 2013 на сайт.Site administrator or owner adds the SharePoint 2013 Workflow Task content type to the site. Глобальные администраторы также могут включить рабочие процессы для всей организации в Центре администрирования SharePoint.Global administrators can also enable work flows for the entire organization in the SharePoint admin center.
Включен Office по запросуEnabled Office on Demand OfficeOnDemandSetOfficeOnDemandSet Администратор сайта включает функцию "Office по запросу", с помощью которой пользователи могут получать доступ к последней версии классических приложений Office.Site administrator enables Office on Demand, which lets users access the latest version of Office desktop applications. Office on Demand включен в центре администрирования SharePoint и требует подписку Microsoft 365, которая включает в себя полные установленные приложения Office.Office on Demand is enabled in the SharePoint admin center and requires a Microsoft 365 subscription that includes full, installed Office applications.
Включен источник результатов для поиска людейEnabled result source for People Searches PeopleResultsScopeSetPeopleResultsScopeSet Администратор сайта создает источник результатов для функции "Поиск людей" на сайте.Site administrator creates the result source for People Searches for a site.
Включены RSS-каналыEnabled RSS feeds NewsFeedEnabledSetNewsFeedEnabledSet Администратор или владелец сайта включает RSS-каналы для сайта.Site administrator or owner enables RSS feeds for a site. Глобальные администраторы могут включить RSS-каналы для всей организации в Центре администрирования SharePoint.Global administrators can enable RSS feeds for the entire organization in the SharePoint admin center.
Сайт присоединен к центральному сайтуJoined site to hub site HubSiteJoinedHubSiteJoined Владелец сайта связывает свой сайт с центральным сайтом.A site owner associates their site with a hub site.
Зарегистрирован центральный сайтRegistered hub site HubSiteRegisteredHubSiteRegistered Администратор SharePoint или глобальный администратор создает центральный сайт.A SharePoint or global administrator creates a hub site. В результате сайт будет зарегистрирован как центральный сайт.The results are that the site is registered to be a hub site.
Удалено разрешенное расположение данныхRemoved allowed data location AllowedDataLocationDeletedAllowedDataLocationDeleted Администратор SharePoint или глобальный администратор удалил разрешенное расположение данных из среды с поддержкой нескольких регионов.A SharePoint or global administrator removed an allowed data location in a multi-geo environment.
Удален администратор географического расположенияRemoved geo location admin GeoAdminDeletedGeoAdminDeleted Администратор SharePoint или глобальный администратор удалил пользователя из роли администратора географического расположения.A SharePoint or global administrator removed a user as a geo admin of a location.
Переименован сайтRenamed site SiteRenamedSiteRenamed Администратор или владелец сайта переименовывает сайт.Site administrator or owner renames a site
Запланировано географическое перемещение сайтаScheduled site geo move SiteGeoMoveScheduledSiteGeoMoveScheduled Администратор SharePoint или глобальный администратор успешно планирует географическое перемещение сайта SharePoint или OneDrive.A SharePoint or global administrator successfully schedules a SharePoint or OneDrive site geo move. Возможность Multi-Geo позволяет организации охватывать несколько географических центров Microsoft, которые называются geos.The Multi-Geo capability lets an organization span multiple Microsoft datacenter geographies, which are called geos. Дополнительные сведения см. в статье Поддержка нескольких регионов в OneDrive и SharePoint Online в Office 365.For more information, see Multi-Geo Capabilities in OneDrive and SharePoint Online in Office 365.
Настроен сайт узлаSet host site HostSiteSetHostSiteSet Администратор SharePoint или глобальный администратор изменяет сайт, назначенный для размещения личных сайтов или сайтов OneDrive для бизнеса.A SharePoint or global administrator changes the designated site to host personal or OneDrive for Business sites.
Задана квота хранилища для географического расположенияSet storage quota for geo location GeoQuotaAllocatedGeoQuotaAllocated Администратор SharePoint или глобальный администратор настроил квоту хранилища для географического расположения в среде с поддержкой нескольких регионов.A SharePoint or global administrator configured the storage quota for a geo location in a multi-geo environment.
Сайт отсоединен от центрального сайтаUnjoined site from hub site HubSiteUnjoinedHubSiteUnjoined Владелец сайта отсоединяет свой сайт от центрального сайта.A site owner disassociates their site from a hub site.
Отменена регистрация центрального сайтаUnregistered hub site HubSiteUnregisteredHubSiteUnregistered Администратор SharePoint или глобальный администратор отменяет регистрацию сайта в качестве центрального сайта.A SharePoint or global administrator unregisters a site as a hub site. При отмене регистрации центрального сайта он перестает выполнять функции центрального сайта.When a hub site is unregistered, it no longer functions as a hub site.

Действия, связанные с почтовыми ящиками ExchangeExchange mailbox activities

В приведенной ниже таблице перечислены действия, которые могут записываться в журнал аудита почтовых ящиков.The following table lists the activities that can be logged by mailbox audit logging. Действия почтового ящика, выполняемые владельцем почтового ящика, делегированным пользователем или администратором, автоматически регистрируются в журнале аудита на срок до 90 дней.Mailbox activities performed by the mailbox owner, a delegated user, or an administrator are automatically logged in the audit log for up to 90 days. Администратор может отключить ведение журнала аудита почтовых ящиков для всех пользователей в организации.It's possible for an admin to turn off mailbox audit logging for all users in your organization. В этом случае в журнал не записываются никакие действия с почтовыми ящиками пользователей.In this case, no mailbox actions for any user are logged. Дополнительные сведения см. в статье Управление аудитом почтовых ящиков.For more information, see Manage mailbox auditing.

Вы также можете искать действия с почтовыми ящиками с помощью командлета Search-MailboxAuditLog в Exchange Online PowerShell.You can also search for mailbox activities by using the Search-MailboxAuditLog cmdlet in Exchange Online PowerShell.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Получен доступ к элементам почтового ящикаAccessed mailbox items MailItemsAccessedMailItemsAccessed Прочитаны или открыты сообщения в почтовом ящике.Messages were read or accessed in mailbox. Записи аудита для этого действия инициируются одним из двух способов: когда почтовый клиент (например, Outlook) выполняет привязку к сообщениям или когда почтовые протоколы (например, Exchange ActiveSync или IMAP) синхронизируют элементы в почтовой папке.Audit records for this activity are triggered in one of two ways: when a mail client (such as Outlook) performs a bind operation on messages or when mail protocols (such as Exchange ActiveSync or IMAP) sync items in a mail folder. Это действие регистрируется только для пользователей с лицензией на Office 365 или Microsoft 365 E5.This activity is only logged for users with an Office 365 or Microsoft 365 E5 license. Анализ записей аудита для этого действия полезен при исследовании скомпрометированных учетных записей электронной почты.Analyzing audit records for this activity is useful when investigating compromised email account. Дополнительные сведения см. в разделе "Доступ к важным событиям для расследований" статьи Расширенный аудит.For more information, see the "Access to crucial events for investigations" section in Advanced Audit.
Добавлены разрешения почтового ящика-делегатаAdded delegate mailbox permissions Add-MailboxPermissionAdd-MailboxPermission Администратор назначил пользователю (называемому представителем) разрешение на полный доступ (FullAccess) к почтовому ящику другого пользователя.An administrator assigned the FullAccess mailbox permission to a user (known as a delegate) to another person's mailbox. Разрешение на полный доступ позволяет представителю открывать почтовый ящик другого пользователя, а также читать его содержимое и управлять им.The FullAccess permission allows the delegate to open the other person's mailbox, and read and manage the contents of the mailbox.
Добавлен или удален пользователь с делегированным доступом к папке календаря.Added or removed user with delegate access to calendar folder UpdateCalendarDelegationUpdateCalendarDelegation Пользователь был добавлен или удален в качестве представителя для календаря почтового ящика другого пользователя.A user was added or removed as a delegate to the calendar of another user's mailbox. Делегирование календаря означает, что другой пользователь из этой же организации предоставляет разрешения на управление календарем владельца почтового ящика.Calendar delegation gives someone else in the same organization permissions to manage the mailbox owner's calendar.
Добавлены разрешения для папкиAdded permissions to folder AddFolderPermissionsAddFolderPermissions Были добавлены разрешения для папки.A folder permission was added. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям.Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders.
Сообщения скопированы в другую папкуCopied messages to another folder CopyCopy Сообщение было скопировано в другую папку.A message was copied to another folder.
Создан элемент почтового ящикаCreated mailbox item CreateCreate В папке "Календарь", "Контакты", "Заметки" или "Задачи" почтового ящика создан элемент.An item is created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox. Например, создано новое приглашение на собрание.For example, a new meeting request is created. Создание, отправка и получение сообщений не подлежат аудиту.Creating, sending, or receiving a message isn't audited. Аудиту также не подлежит создание папки почтового ящика.Also, creating a mailbox folder is not audited.
Создано новое правило для папки "Входящие" в Outlook Web AppCreated new inbox rule in Outlook web app New-InboxRuleNew-InboxRule Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, создал правило для папки "Входящие" в Outlook Web App.A mailbox owner or other user with access to the mailbox created an inbox rule in the Outlook web app.
Сообщения удалены из папки "Удаленные"Deleted messages from Deleted Items folder SoftDeleteSoftDelete Сообщение было удалено окончательно или из папки "Удаленные".A message was permanently deleted or deleted from the Deleted Items folder. Такие элементы перемещаются в папку "Элементы с возможностью восстановления".These items are moved to the Recoverable Items folder. Сообщение также перемещается в папку "Элементы с возможностью восстановления", когда пользователь выбирает его и нажимает клавиши SHIFT+DELETE.Messages are also moved to the Recoverable Items folder when a user selects it and presses Shift+Delete.
Сообщение помечено как записьLabeled message as a record ApplyRecordLabelApplyRecordLabel Сообщение было классифицировано как запись.A message was classified as a record. Это происходит, если метка хранения, классифицирующая содержимое как запись, вручную или автоматически применяется к сообщению.This occurs when a retention label that classifies content as a record is manually or automatically applied to a message.
Сообщения перемещены в другую папкуMoved messages to another folder MoveMove Сообщение было перемещено в другую папку.A message was moved to another folder.
Сообщения перемещены в папку "Удаленные"Moved messages to Deleted Items folder MoveToDeletedItemsMoveToDeletedItems Сообщение было удалено и перемещено в папку "Удаленные".A message was deleted and moved to the Deleted Items folder.
Изменены разрешения для папкиModified folder permission UpdateFolderPermissionsUpdateFolderPermissions Изменены разрешения для папки.A folder permission was changed. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям.Folder permissions control which users in your organization can access mailbox folders and the messages in the folder.
Изменено правило для папки "Входящие" из Outlook Web AppModified inbox rule from Outlook web app Set-InboxRuleSet-InboxRule Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, изменил правило для папки "Входящие" с помощью Outlook Web App.A mailbox owner or other user with access to the mailbox modified an inbox rule using the Outlook web app.
Сообщения удалены из почтового ящикаPurged messages from the mailbox HardDeleteHardDelete Сообщение было очищено из папки "Элементы с возможностью восстановления" (удалено из почтового ящика безвозвратно).A message was purged from the Recoverable Items folder (permanently deleted from the mailbox).
Удалены разрешения почтового ящика с делегированным доступомRemoved delegate mailbox permissions Remove-MailboxPermissionRemove-MailboxPermission Администратор удалил разрешение на полный доступ (FullAccess) к почтовому ящику другого пользователя (которое было назначено представителю).An administrator removed the FullAccess permission (that was assigned to a delegate) from a person's mailbox. После удаления разрешения на полный доступ представитель не может открыть почтовый ящик другого пользователя или получить доступ к его содержимому.After the FullAccess permission is removed, the delegate can't open the other person's mailbox or access any content in it.
Удалены разрешения для папкиRemoved permissions from folder RemoveFolderPermissionsRemoveFolderPermissions Были удалены разрешения для папки.A folder permission was removed. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям.Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders.
Отправленное сообщениеSent message SendSend Сообщение отправлено, переадресовано или на него получен ответ.A message was sent, replied to or forwarded. Это действие регистрируется только для пользователей с лицензией на Office 365 или Microsoft 365 E5.This activity is only logged for users with an Office 365 or Microsoft 365 E5 license. Дополнительные сведения см. в разделе "Доступ к важным событиям для расследований" статьи Расширенный аудит.For more information, see the "Access to crucial events for investigations" section in Advanced Audit.
Отправить сообщение с использованием разрешений "Отправить как"Sent message using Send As permissions SendAsSendAs Сообщение было отправлено с использованием разрешения SendAs. Это значит, что другой пользователь отправил сообщение так, как будто оно было отправлено владельцем почтового ящика.A message was sent using the SendAs permission. This means that another user sent the message as though it came from the mailbox owner.
Отправлено сообщение с разрешениями "Отправить от имени"Sent message using Send On Behalf permissions SendOnBehalfSendOnBehalf Сообщение было отправлено с использованием разрешения SendOnBehalf. Это означает, что сообщение было отправлено другим пользователем от имени владельца почтового ящика. В сообщении указано для получателя, от чьего имени и кем в действительности было отправлено сообщение.A message was sent using the SendOnBehalf permission. This means that another user sent the message on behalf of the mailbox owner. The message indicates to the recipient whom the message was sent on behalf of and who actually sent the message.
Обновлены правила для папки "Входящие" из клиента OutlookUpdated inbox rules from Outlook client UpdateInboxRulesUpdateInboxRules Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, изменил правило для папки "Входящие" в клиенте Outlook.A mailbox owner or other user with access to the mailbox modified an inbox rule in the Outlook client.
Обновлено сообщениеUpdated message UpdateUpdate Сообщение или его свойства были изменены.A message or its properties was changed.
Пользователь вошел в почтовый ящикUser signed in to mailbox MailboxLoginMailboxLogin Пользователь выполнил вход в свой почтовый ящик.The user signed in to their mailbox.
Пометка сообщения как записиLabel message as a record Пользователь применил к сообщению электронной почты метку хранения, которая настроена, чтобы пометить элемент как запись.A user applied a retention label to an email message and that label is configured to mark the item as a record.

Действия, связанные с администрированием пользователейUser administration activities

В таблице ниже перечислены действия по администрированию пользователей, которые записываются в журнал, когда администратор добавляет или изменяет учетную запись пользователя в Центре администрирования Microsoft 365 или на портале управления Azure.The following table lists user administration activities that are logged when an admin adds or changes a user account by using the Microsoft 365 admin center or the Azure management portal.

Примечание

Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( . ).The operation names listed in the Operation column in the following table contain a period ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях.You must include the period in the operation name if you specify the operation in a PowerShell command when searching the audit log, creating audit retention policies, creating alert policies, or creating activity alerts. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").Also be sure to use double quotation marks (" ") to contain the operation name.

ДействиеActivity ОперацияOperation ОписаниеDescription
Добавлен пользовательAdded user Добавление пользователя.Add user. Учетная запись пользователя была создана.A user account was created.
Изменена лицензия пользователяChanged user license Изменение лицензии пользователя.Change user license. Лицензия, назначенная пользователю, изменилась.The license assigned to a user what changed. Чтобы узнать, какие лицензии изменились, просмотрите соответствующее действие Обновлен пользователь.To see what licenses were changes, see the corresponding Updated user activity.
Изменен пароль пользователяChanged user password Смена пароля пользователя.Change user password. Пользователь изменяет пароль.A user changes their password. В организации необходимо включить самостоятельный сброс пароля (для всех или для выбранных пользователей), чтобы пользователи могли сбрасывать пароль.Self-service password reset has to be enabled (for all or selected users) in your organization to allow users to reset their password. Вы также можете отслеживать действия по самостоятельному сбросу пароля в Azure Active Directory.You can also track self-service password reset activity in Azure Active Directory. Дополнительные сведения см. в статье Параметры отчетов для управления паролями в Azure AD.For more information, see Reporting options for Azure AD password management.
Удален пользовательDeleted user Удаление пользователя.Delete user. Учетная запись пользователя была удалена.A user account was deleted.
Сброшен пароль пользователяReset user password Сброс пароля пользователя.Reset user password. Администратор сбрасывает пароль пользователя.Administrator resets the password for a user.
Назначено свойство, которое заставляет пользователей изменить парольSet property that forces user to change password Установка принудительной смены пароля пользователя.Set force change user password. Администратор установил свойство, предписывающее пользователю сменить пароль при следующем входе в Office 365.Administrator set the property that forces a user to change their password the next time the user signs in to Office 365.
Настроить свойства лицензииSet license properties Настройка свойств лицензии.Set license properties. Администратор изменяет свойства лицензии, назначенной пользователю.Administrator modifies the properties of a licensed assigned to a user.
Обновлен пользовательUpdated user Обновление пользователя.Update user. Администратор изменяет одно или несколько свойств учетной записи пользователя.Administrator changes one or more properties of a user account. Список свойств пользователя, которые можно изменить, приведен в разделе "Обновление атрибутов пользователя" статьи События отчета аудита Azure Active Directory.For a list of the user properties that can be updated, see the "Update user attributes" section in Azure Active Directory Audit Report Events.

Действия, связанные с администрированием групп Azure ADAzure AD group administration activities

В следующей таблице перечислены действия по администрированию группы, которые регистрируются, когда администратор или пользователь создает или изменяет группу Microsoft 365 или когда администратор создает группу безопасности с помощью центра администрирования Microsoft 365 или портала управления Azure.The following table lists group administration activities that are logged when an admin or a user creates or changes a Microsoft 365 group or when an admin creates a security group by using the Microsoft 365 admin center or the Azure management portal. Дополнительную информацию о группах в Office 365 см. в статье Просмотр, создание и удаление групп в Центре администрирования Microsoft 365.For more information about groups in Office 365, see View, create, and delete Groups in the Microsoft 365 admin center.

Примечание

Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( . ).The operation names listed in the Operation column in the following table contain a period ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях.You must include the period in the operation name if you specify the operation in a PowerShell command when searching the audit log, creating audit retention policies, creating alert policies, or creating activity alerts. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").Also be sure to use double quotation marks (" ") to contain the operation name.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Добавлена группаAdded group Добавление группы.Add group. Создана группа.A group was created.
В группу добавлен участникAdded member to group Добавление участника в группу.Add member to group. В группу был добавлен участник.A member was added to a group.
Удалена группаDeleted group Удаление группы.Delete group. Группа была удалена.A group was deleted.
Участник удален из группыRemoved member from group Удаление участника из группы.Remove member from group. Из группы удален участник.A member was removed from a group.
Обновлена группаUpdated group Обновление группы.Update group. Свойство группы изменилось.A property of a group was changed.

Действия, связанные с администрированием приложенийApplication administration activities

В приведенной ниже таблице перечислены действия по администрированию приложений, которые записываются, когда администратор добавляет или изменяет приложение, зарегистрированное в Azure AD.The following table lists application admin activities that are logged when an admin adds or changes an application that's registered in Azure AD. Любое приложение, использующее Azure AD для проверки подлинности, должно быть зарегистрировано в каталоге.Any application that relies on Azure AD for authentication must be registered in the directory.

Примечание

Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( . ).The operation names listed in the Operation column in the following table contain a period ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях.You must include the period in the operation name if you specify the operation in a PowerShell command when searching the audit log, creating audit retention policies, creating alert policies, or creating activity alerts. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").Also be sure to use double quotation marks (" ") to contain the operation name.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Добавлена запись делегированияAdded delegation entry Добавление записи делегирования.Add delegation entry. Разрешение проверки подлинности было создано или предоставлено приложению в Azure AD.An authentication permission was created/granted to an application in Azure AD.
Добавлен субъект-службаAdded service principal Добавление субъекта-службы.Add service principal. Приложение было зарегистрировано в Azure AD.An application was registered in Azure AD. Приложение представлено в каталоге субъектом-службой.An application is represented by a service principal in the directory.
Добавлены учетные данные для субъекта-службы Added credentials to a service principal Добавление учетных данных субъекта-службы.Add service principal credentials. Учетные данные были добавлены для субъекта-службы в Azure AD.Credentials were added to a service principal in Azure AD. Приложение представлено в каталоге субъектом-службой.A service principle represents an application in the directory.
Удалена запись делегированияRemoved delegation entry Удаление записи делегирования.Remove delegation entry. Разрешение проверки подлинности было удалено из приложения в Azure AD.An authentication permission was removed from an application in Azure AD.
Из каталога удален субъект-службаRemoved a service principal from the directory Удаление субъекта-службы.Remove service principal. Произведено удаление или отмена регистрации приложения в Azure AD.An application was deleted/unregistered from Azure AD. Приложение представлено в каталоге субъектом-службой.An application is represented by a service principal in the directory.
Учетные данные удалены из субъекта-службы Removed credentials from a service principal Удаление учетных данных субъекта-службы.Remove service principal credentials. Учетные данные были удалены из субъекта-службы в Azure AD.Credentials were removed from a service principal in Azure AD. Приложение представлено в каталоге субъектом-службой.A service principle represents an application in the directory.
Задана запись делегированияSet delegation entry Настройка записи делегирования.Set delegation entry. Разрешение проверки подлинности было обновлено для приложения в Azure AD.An authentication permission was updated for an application in Azure AD.

Действия, связанные с администрированием ролейRole administration activities

В таблице ниже перечислены действия по администрированию ролей Azure AD, записываемые в журнал, когда администратор управляет ролями администраторов в Центре администрирования Microsoft 365 или на портале управления Azure.The following table lists Azure AD role administration activities that are logged when an admin manages admin roles in the Microsoft 365 admin center or in the Azure management portal.

Примечание

Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( . ).The operation names listed in the Operation column in the following table contain a period ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях.You must include the period in the operation name if you specify the operation in a PowerShell command when searching the audit log, creating audit retention policies, creating alert policies, or creating activity alerts. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").Also be sure to use double quotation marks (" ") to contain the operation name.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
В роль добавлен участникAdd member to Role В роль добавлен участник.Add member to role. Добавил пользователя к роли администратора в Microsoft 365.Added a user to an admin role in Microsoft 365.
Из роли каталога удален пользовательRemoved a user from a directory role Удаление участника из роли.Remove member from role. Удален пользователь из роли администратора в Microsoft 365.Removed a user to from an admin role in Microsoft 365.
Настройка контактных данных компанииSet company contact information Настройка контактных данных компании.Set company contact information. Обновлены параметры контактов на уровне компании для вашей организации.Updated the company-level contact preferences for your organization. Сюда входят адреса электронной почты для подписки, отправляемой Microsoft 365, и технические уведомления об услугах.This includes email addresses for subscription-related email sent by Microsoft 365, and technical notifications about services.

Действия, связанные с администрированием каталоговDirectory administration activities

В следующей таблице перечислены действия, связанные с каталогом Azure AD и доменом, которые регистрируются, когда администратор управляет своей организацией в центре администрирования Microsoft 365 или на портале управления Azure.The following table lists Azure AD directory and domain-related activities that are logged when an administrator manages their organization in the Microsoft 365 admin center or in the Azure management portal.

Примечание

Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( . ).The operation names listed in the Operation column in the following table contain a period ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях.You must include the period in the operation name if you specify the operation in a PowerShell command when searching the audit log, creating audit retention policies, creating alert policies, or creating activity alerts. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").Also be sure to use double quotation marks (" ") to contain the operation name.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
В компанию добавлен доменAdded domain to company Добавление домена в компанию.Add domain to company. Добавлен домен в вашу организацию.Added a domain to your organization.
В каталог добавлен партнерAdded a partner to the directory Добавление партнера компании.Add partner to company. Добавил партнера (делегированного администратора) в вашу организацию.Added a partner (delegated administrator) to your organization.
Домен удален из компанииRemoved domain from company Удаление домена из компании.Remove domain from company. Удален домен из вашей организации.Removed a domain from your organization.
Партнер удален из каталогаRemoved a partner from the directory Удаление партнера из компании.Remove partner from company. Удален партнер (делегированный администратор) из вашей организации.Removed a partner (delegated administrator) from your organization.
Настройка сведений о компанииSet company information Настройка сведений о компании.Set company information. Обновлена информация о компании для вашей организации.Updated the company information for your organization. Сюда входят адреса электронной почты для подписки, отправляемой Microsoft 365, и технические уведомления о службах Microsoft 365.This includes email addresses for subscription-related email sent by Microsoft 365, and technical notifications about Microsoft 365 services.
Установка проверки подлинности доменаSet domain authentication Установка проверки подлинности домена.Set domain authentication. Изменены настройки проверки подлинности домена для вашей организации.Changed the domain authentication setting for your organization.
Обновлены параметры федерации для доменаUpdated the federation settings for a domain Настройка параметров федерации для домена.Set federation settings on domain. Изменены параметры федерации (внешнего обмена) для вашей организации.Changed the federation (external sharing) settings for your organization.
Настройка политики паролейSet password policy Настройка политики паролей.Set password policy. Изменены ограничения длины и символов для пользовательских паролей в вашей организации.Changed the length and character constraints for user passwords in your organization.
Включена синхронизация Azure ADTurned on Azure AD sync Настройка флага DirSyncEnabled для компании.Set DirSyncEnabled flag. Настроено свойство, включающее синхронизацию Azure AD для каталога.Set the property that enables a directory for Azure AD Sync.
Обновлен доменUpdated domain Обновление домена.Update domain. Обновлены настройки домена в вашей организации.Updated the settings of a domain in your organization.
Проверен доменVerified domain Проверка домена.Verify domain. Выполнена проверка того, является ли ваша организация владельцем домена.Verified that your organization is the owner of a domain.
Проверены почта и доменVerified email verified domain Проверка домена, проверенного по электронной почте.Verify email verified domain. Выполнена проверка по электронной почте, чтобы выяснить, является ли ваша организация владельцем домена.Used email verification to verify that your organization is the owner of a domain.

Действия, связанные с обнаружением электронных данныхeDiscovery activities

Действия, связанные с поиском контента и обнаружением электронных данных, которые выполняются в Центре безопасности и соответствия требованиям или путем запуска соответствующих командлетов PowerShell, записываются в журнал аудита.Content Search and eDiscovery-related activities that are performed in the security and compliance center or by running the corresponding PowerShell cmdlets are logged in the audit log. К ним относятся следующие операции:This includes the following activities:

  • создание дел обнаружения электронных данных и управление ими;Creating and managing eDiscovery cases

  • создание, запуск и редактирование операций поиска контента;Creating, starting, and editing Content Searches

  • выполнение действий поиска контента, таких как предварительный просмотр, экспорт и удаление результатов поиска;Performing Content Search actions, such as previewing, exporting, and deleting search results

  • настройка фильтрации разрешений для поиска контента;Configuring permissions filtering for Content Search

  • управление ролью администратора обнаружения электронных данных.Managing the eDiscovery Administrator role

Список и подробное описание зарегистрированных операций eDiscovery см. в разделе Поиск действий eDiscovery в журнале аудита.For a list and detailed description of the eDiscovery activities that are logged, see Search for eDiscovery activities in the audit log.

Примечание

События, связанные с действиями из разделов Действия eDiscovery и Действия Advanced eDiscovery в раскрывающемся списке Действия, отображаются в результатах поиска в течение 30 минут.It takes up to 30 minutes for events that result from the activities listed under eDiscovery activities and Advanced eDiscovery activities in the Activities drop-down list to be displayed in the search results. В то же время для отображения в результатах поиска соответствующих событий из действий командлета eDiscovery требуется 24 часа.Conversely, it takes up to 24 hours for the corresponding events from eDiscovery cmdlet activities to appear in the search results.

Действия, связанные с Advanced eDiscoveryAdvanced eDiscovery activities

В журнале аудита также можно искать действия, связанные с Advanced eDiscovery.You can also search the audit log for activities in Advanced eDiscovery. Описание этих действий см. в разделе "Действия, связанные с Advanced eDiscovery" статьи Поиск действий по обнаружению электронных данных в журнале аудита.For a description of these activities, see the "Advanced eDiscovery activities" section in Search for eDiscovery activities in the audit log.

Действия, связанные с Power BIPower BI activities

В журнале аудита можно искать действия, выполненные в Power BI.You can search the audit log for activities in Power BI. Дополнительные сведения о действиях в Power BI см. в разделе "Действия, подлежащие аудиту, при использовании Power BI" статьи Использование аудита в организации.For information about Power BI activities, see the "Activities audited by Power BI" section in Using auditing within your organization.

Ведение журнала аудита для Power BI по умолчанию отключено.Audit logging for Power BI isn't enabled by default. Для поиска операций Power BI в журнале аудита необходимо включить аудит на портале администрирования Power BI.To search for Power BI activities in the audit log, you have to enable auditing in the Power BI admin portal. Инструкции см. в разделе "Журналы аудита" статьи Портал администрирования Power BI.For instructions, see the "Audit logs" section in Power BI admin portal.

Действия, связанные с Рабочей аналитикойWorkplace Analytics activities

Workplace Analytics дает представление о том, как группы сотрудничают в вашей организации.Workplace Analytics provides insight into how groups collaborate across your organization. В таблице ниже перечислены действия, выполняемые пользователями, которым назначена роль администратора или роли аналитиков в Рабочей аналитике.The following table lists activities performed by users that are assigned the Administrator role or the Analyst roles in Workplace Analytics. Пользователям с назначенной ролью аналитика полностью доступны все функции службы и возможность применения продукта для выполнения анализа.Users assigned the Analyst role have full access to all service features and use the product to do analysis. Пользователи с назначенной ролью администратора могут настраивать параметры конфиденциальности и системные параметры по умолчанию, а также подготавливать, отправлять и проверять данные организации в Рабочей аналитике.Users assigned the Administrator role can configure privacy settings and system defaults, and can prepare, upload, and verify organizational data in Workplace Analytics. Дополнительные сведения см. в статье Рабочая аналитика.For more information, see Workplace Analytics.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Посещена ссылка ODataAccessed OData link AccessedOdataLinkAccessedOdataLink Аналитик посетил ссылку OData для запроса.Analyst accessed the OData link for a query.
Отменен запросCanceled query CanceledQueryCanceledQuery Аналитик отменил выполняемый запрос.Analyst canceled a running query.
Создано исключение из собранияCreated meeting exclusion MeetingExclusionCreatedMeetingExclusionCreated Аналитик создал правило исключения из собрания.Analyst created a meeting exclusion rule.
Удален результатDeleted result DeletedResultDeletedResult Аналитик удалил результат запроса.Analyst deleted a query result.
Скачан отчетDownloaded report DownloadedReportDownloadedReport Аналитик скачал файл результата запроса.Analyst downloaded a query result file.
Выполнен запросExecuted query ExecutedQueryExecutedQuery Аналитик выполнил запрос.Analyst ran a query.
Изменен параметр доступа к даннымUpdated data access setting UpdatedDataAccessSettingUpdatedDataAccessSetting Администратор обновил параметры доступа к данным.Admin updated data access settings.
Изменен параметр конфиденциальностиUpdated privacy setting UpdatedPrivacySettingUpdatedPrivacySetting Администратор обновил параметры конфиденциальности, например минимальный размер группы.Admin updated privacy settings; for example, minimum group size.
Отправлены данные организацииUploaded organization data UploadedOrgDataUploadedOrgData Администратор отправил файл данных организации.Admin uploaded organizational data file.
ПросмотреноViewed Explore ViewedExploreViewedExplore Аналитик просмотрел визуализации на одной или нескольких вкладках страницы просмотра.Analyst viewed visualizations in one or more Explore page tabs.

Действия, связанные с Microsoft TeamsMicrosoft Teams activities

В журнале аудита можно искать действия пользователей и администраторов, выполненные в Microsoft Teams.You can search the audit log for user and admin activities in Microsoft Teams. Teams — это рабочее пространство на основе чата в Office 365.Teams is a chat-centered workspace in Office 365. Это место, в котором собраны все беседы, собрания, файлы и заметки команды.It brings a team's conversations, meetings, files, and notes together into a single place. Описание действий Teams, которые подлежат аудиту, см. в статье Поиск событий Microsoft Teams в журнале аудита.For descriptions of the Teams activities that are audited, see Search the audit log for events in Microsoft Teams.

Действия в сфере здравоохранения, связанные с Microsoft TeamsMicrosoft Teams Healthcare activities

Если в вашей организации используется приложение "Пациенты" в Microsoft Teams, вы можете выполнять в журнале аудита поиск действий, связанных с использованием приложения "Пациенты".If your organization is using the Patients application in Microsoft Teams, you can search the audit log for activities related to the using the Patients app. Если ваша среда настроена для поддержки приложения "Пациенты", в списке выбора Действия доступна дополнительная группа действий.If your environment is configured to support Patients app, an additional activity group for these activities is available in the Activities picker list.

Действия в сфере здравоохранения, связанные с Microsoft Teams в списке выбора действий

Описания действий приложения "Пациенты" см. в статье Журналы аудита приложения "Пациенты".For a description of the Patients app activities, see Audit logs for Patients app.

Действия, связанные с приложением "Смены" в Microsoft TeamsMicrosoft Teams Shifts activities

Если в вашей организации используется приложение "Смены" в Microsoft Teams, вы можете выполнять в журнале аудита поиск действий, связанных с использованием приложения "Смены".If your organization is using the Shifts app in Microsoft Teams, you can search the audit log for activities related to the using the Shifts app. Если ваша среда настроена для поддержки приложения "Смены", в списке выбора Действия доступна дополнительная группа действий.If your environment is configured to support Shifts apps, an additional activity group for these activities is available in the Activities picker list.

Описание действий приложения "Смены" см. в статье Поиск событий Microsoft Teams в журнале аудита.For a description of Shifts app activities, see Search the audit log for events in Microsoft Teams.

Действия, связанные с YammerYammer activities

В следующей таблице перечислены действия пользователя и администратора в Yammer, которые зарегистрированы в журнале аудита.The following table lists the user and admin activities in Yammer that are logged in the audit log. Чтобы вернуть связанные с Yammer действия из журнала аудита, необходимо выбрать Показать результаты для всех действий в списке Действия.To return Yammer-related activities from the audit log, you have to select Show results for all activities in the Activities list. Уточнить результаты поиска можно с помощью полей диапазона дат и списка Пользователи.Use the date range boxes and the Users list to narrow the search results.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Changed data retention policy (Изменена политика хранения данных)Changed data retention policy SoftDeleteSettingsUpdatedSoftDeleteSettingsUpdated Проверенный администратор изменяет параметр сетевой политики хранения данных, а именно задает необратимое или обратимое удаление. Это действие могут выполнять только проверенные администраторы.Verified admin updates the setting for the network data retention policy to either Hard Delete or Soft Delete. Only verified admins can perform this operation.
Изменена конфигурация сетиChanged network configuration NetworkConfigurationUpdatedNetworkConfigurationUpdated Администратор сети или проверенный администратор изменяет конфигурацию сети Yammer.Network or verified admin changes the Yammer network's configuration. Операция включает настройку интервала для экспорта данных и включение чата.This includes setting the interval for exporting data and enabling chat.
Изменены параметры сетевого профиляChanged network profile settings ProcessProfileFieldsProcessProfileFields Администратор сети или проверенный администратор изменяет информацию, отображаемую в профилях участников для сетевых пользователей.Network or verified admin changes the information that appears on member profiles for network users network.
Changed private content mode (Изменен режим личного содержимого)Changed private content mode SupervisorAdminToggledSupervisorAdminToggled Проверенный администратор включает или отключает режим личного содержимого.Verified admin turns Private Content Mode on or off. Этот режим позволяет администратору просматривать записи в закрытых группах и личную переписку между отдельными пользователями (или группами пользователей).This mode lets an admin view the posts in private groups and view private messages between individual users (or groups of users). Это действие могут выполнять только проверенные администраторы.Only verified admins only can perform this operation.
Changed security configuration (Изменена конфигурация безопасности)Changed security configuration NetworkSecurityConfigurationUpdatedNetworkSecurityConfigurationUpdated Проверенный администратор обновляет конфигурацию системы безопасности сети Yammer.Verified admin updates the Yammer network's security configuration. Операция включает настройку политик времени прекращения действия и ограничений для IP-адресов.This includes setting password expiration policies and restrictions on IP addresses. Это действие могут выполнять только проверенные администраторы.Only verified admins can perform this operation.
Created file (Создан файл)Created file FileCreatedFileCreated Пользователь добавляет файл.User uploads a file.
Создана группаCreated group GroupCreationGroupCreation Пользователь создает группу.User creates a group.
Удалена группаDeleted group GroupDeletionGroupDeletion Группа удалена из Yammer.A group is deleted from Yammer.
Deleted message (Удалено сообщение)Deleted message MessageDeletedMessageDeleted Пользователь удаляет сообщение.User deletes a message.
Скачан файлDownloaded file FileDownloadedFileDownloaded Пользователь скачивает файл.User downloads a file.
Exported data (Экспортированы данные)Exported data DataExportDataExport Проверенный администратор экспортирует данные сети Yammer.Verified admin exports Yammer network data. Это действие могут выполнять только проверенные администраторы.Only verified admins can perform this operation.
Пользователь поделился файломShared file FileSharedFileShared Пользователь делится файлом с другим пользователем.User shares a file with another user.
Suspended network user (Приостановлен пользователь сети)Suspended network user NetworkUserSuspendedNetworkUserSuspended Администратор сети или проверенный администратор приостанавливает активность (деактивирует) пользователя в Yammer.Network or verified admin suspends (deactivates) a user from Yammer.
Suspended user (Приостановлен пользователь)Suspended user UserSuspensionUserSuspension Активность учетной записи пользователя приостановлена (деактивирована).User account is suspended (deactivated).
Updated file description (Обновлено описание файла)Updated file description FileUpdateDescriptionFileUpdateDescription Пользователь изменяет описание файла.User changes the description of a file.
Updated file name (Обновлено имя файла)Updated file name FileUpdateNameFileUpdateName Пользователь изменяет имя файла.User changes the name of a file.
Viewed file (Просмотрен файл)Viewed file FileVisitedFileVisited Пользователь просматривает файл.User views a file.

Действия, связанные с Microsoft Power AutomateMicrosoft Power Automate activities

В журнале аудита можно искать действия, выполненные в Power Automate (прежнее название — Microsoft Flow).You can search the audit log for activities in Power Automate (formerly called Microsoft Flow). К таким действиям относятся создание, изменение и удаление потоков, а также изменение разрешений потока.These activities include creating, editing, and deleting flows, and changing flow permissions. Сведения об аудите действий, связанных с Power Automate, см. в блоге События аудита Microsoft Flow теперь доступны в Центре безопасности и соответствия требованиям.For information about auditing for Power Automate activities, see the blog Microsoft Flow audit events now available in Security & Compliance Center.

Действия, связанные с Microsoft Power AppsMicrosoft Power Apps activities

В журнале аудита можно искать связанные с приложениями действия, выполненные в Power Apps.You can search the audit log for app-related activities in Power Apps. К таким действиям относятся создание, запуск и публикация приложений.These activities include creating, launching, and publishing an app. Назначение разрешений для приложений также подлежит аудиту.Assigning permissions to apps is also audited. Описание всех действий в Power Apps см. в статье Ведение журнала действий для Power Apps.For a description of all Power Apps activities, see Activity logging for Power Apps.

Действия, связанные с Microsoft StreamMicrosoft Stream activities

В журнале аудита можно искать действия, выполненные в Microsoft Stream.You can search the audit log for activities in Microsoft Stream. К этим действиям относятся связанные с видео действия, выполняемые пользователями, действия в канале группы и действия администраторов, такие как управление пользователями, управление параметрами организации и экспорт отчетов.These activities include video activities performed by users, group channel activities, and admin activities such as managing users, managing organization settings, and exporting reports. Описание этих действий см. в разделе "Действия, регистрируемые в Microsoft Stream" статьи Журналы аудита в Microsoft Stream.For a description of these activities, see the "Actions logged in Stream" section in Audit Logs in Microsoft Stream.

Действия, связанные с обозревателем содержимогоContent explorer activities

В следующей таблице перечислены действия в проводнике контента, которые зарегистрированы в журнале аудита.The following table lists the activities in content explorer that are logged in the audit log. Обозреватель содержимого с доступом через Инструмент классификации данных в Центре соответствия требованиям Microsoft 365.Content explorer, which is accessed on the Data classifications tool in the Microsoft 365 compliance center. Дополнительные сведения см. в статье Использование обозревателя содержимого с классификацией данныхFor more information, see Using data classification content explorer.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Получен доступ к элементуAccessed item LabelContentExplorerAccessedItemLabelContentExplorerAccessedItem Администратор (или пользователь, который является участником группы с ролью Читателя содержимого в обозревателе содержимого) использует обозреватель содержимого для просмотра сообщения электронной почты или документа SharePoint/OneDrive.An admin (or a user who's a member of the Content Explorer Content Viewer role group) uses content explorer to view an email message or SharePoint/OneDrive document.

Карантинная деятельностьQuarantine activities

В следующей таблице перечислены действия на карантине, которые можно найти в журнале аудита.The following table lists the quarantine activities that you can search for in the audit log. Дополнительные сведения о карантине см. в разделе Сообщения электронной почты на карантине в Office 365.For more information about quarantine, see Quarantine email messages in Office 365.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Удаленное карантинное сообщениеDeleted quarantine message QuarantineDeleteQuarantineDelete Пользователь удалил сообщение электронной почты, которое было сочтено вредным.A user deleted an email message that was deemed to be harmful.
Экспортированное сообщение карантинаExported quarantine message QuarantineExportQuarantineExport Пользователь экспортировал сообщение электронной почты, которое было сочтено вредным.A user exported an email message that was deemed to be harmful.
Предварительно просмотренное сообщение на карантинеPreviewed quarantine message QuarantinePreviewQuarantinePreview Пользователь предварительно просмотрел сообщение электронной почты, которое было сочтено вредным.A user previewed an email message that was deemed to be harmful.
Выпущенное карантинное сообщениеReleased quarantine message QuarantineReleaseQuarantineRelease Пользователь выпустил сообщение электронной почты из карантина, которое было сочтено вредным.A user released an email message from quarantine that was deemed to be harmful.
Просмотренный заголовок сообщения карантинаViewed quarantine message's header QuarantineViewHeaderQuarantineViewHeader Пользователь просмотрел заголовок сообщения электронной почты, которое было сочтено вредным.A user viewed the header an email message that was deemed to be harmful.

Действия Microsoft FormsMicrosoft Forms activities

В следующей таблице перечислены действия пользователя и администратора в Microsoft Forms, которые зарегистрированы в журнале аудита.The following table lists the user and admin activities in Microsoft Forms that are logged in the audit log. Microsoft Forms — это средство для работы с формами, тестами и опросами, используемое для сбора данных с целью анализа.Microsoft Forms is a forms/quiz/survey tool used to collect data for analysis.

Некоторые операции содержат дополнительные параметры действий, если это указано в описаниях ниже.Where noted below in the descriptions, some operations contain additional activity parameters.

Примечание

Если действие в Forms выполняется соавтором или анонимным респондентом, оно записывается несколько иначе.If a Forms activity is performed by a co-author or an anonymous responder, it will be logged slightly differently. Дополнительные сведения см. в разделе Действия в Forms, выполняемые соавторами и анонимными респондентами.For more information, see the Forms activities performed by co-authors and anonymous responders section.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Создан комментарийCreated comment CreateCommentCreateComment Владелец формы добавляет к тесту комментарий или оценку.Form owner adds comment or score to a quiz.
Создана формаCreated form CreateFormCreateForm Владелец формы создает форму.Form owner creates a new form.
Изменена формаEdited form EditFormEditForm Владелец формы изменяет форму, например создает, удаляет или редактирует вопрос.Form owner edits a form such, as creating, removing, or editing a question. Свойство EditOperation:string указывает название операции изменения.The property EditOperation:string indicates the edit operation name. Возможны следующие операции:The possible operations are:
- CreateQuestion- CreateQuestion
- CreateQuestionChoice- CreateQuestionChoice
- DeleteQuestion- DeleteQuestion
- DeleteQuestionChoice- DeleteQuestionChoice
-DeleteFormImage- DeleteFormImage
- DeleteQuestionImage- DeleteQuestionImage
- UpdateQuestion- UpdateQuestion
- UpdateQuestionChoice- UpdateQuestionChoice
- UploadFormImage/Bing/Onedrive- UploadFormImage/Bing/Onedrive
- UploadQuestionImage- UploadQuestionImage
- ChangeTheme- ChangeTheme

FormImage включает любое место в Forms, куда пользователь может добавить изображение, например в запрос или в качестве фона.FormImage includes any place within Forms that user can upload an image, such as in a query or as a background theme.
Перемещена формаMoved form MoveFormMoveForm Владелец формы перемещает форму.Form owner moves a form.

Свойство DestinationUserId:string указывает идентификатор пользователя, переместившего форму.Property DestinationUserId:string indicates the user ID of the person who moved the form. Свойство NewFormId:string — это новый идентификатор скопированной формы.Property NewFormId:string is the new ID for the newly copied form.
Удалена формаDeleted form DeleteFormDeleteForm Владелец формы удаляет ее.Form owner deletes a form. Включает операцию SoftDelete (использован параметр удаления, и форма перемещена в корзину) и HardDelete (корзина очищена).This includes SoftDelete (delete option used and form moved to recycle bin) and HardDelete (Recycle bin is emptied).
Просмотрена форма (время разработки)Viewed form (design time) ViewFormViewForm Владелец формы открывает существующую форму для изменения.Form owner opens an existing form for editing.
Выполнен предварительный просмотр формыPreviewed form PreviewFormPreviewForm Владелец формы предварительно просматривает форму с помощью функции предварительного просмотра.Form owner previews a form using the Preview function.
Экспортирована формаExported form ExportFormExportForm Владелец формы экспортирует результаты в Excel.Form owner exports results to Excel.

Свойство ExportFormat:string указывает, скачивается ли файл Excel или располагается в Интернете.Property ExportFormat:string indicates if the Excel file is Download or Online.
Разрешен общий доступ к форме для копированияAllowed share form for copy AllowShareFormForCopyAllowShareFormForCopy Владелец формы создает ссылку на шаблон, чтобы поделиться формой с другими пользователями.Form owner creates a template link to share the form with other users. Это событие записывается в журнал, когда владелец формы нажимает кнопку создания URL-адреса шаблона.This event is logged when the form owner clicks to generate template URL.
Запрещен общий доступ к форме для копированияDisallowed share form for copy DisallowShareFormForCopyDisallowShareFormForCopy Владелец формы удаляет ссылку на шаблон.Form owner deletes template link.
Добавлен соавтор формыAdded form coauthor AddFormCoauthorAddFormCoauthor Пользователь использует ссылку для совместной работы, чтобы помочь в создании или просмотре ответов.A user uses a collaboration link to help design for/view responses. Это событие записывается в журнал, когда пользователь использует URL-адрес для совместной работы (а не при первом создании URL-адреса для совместной работы).This event is logged when a user uses a collab URL (not when collab URL is first generated).
Удален соавтор формыRemoved form coauthor RemoveFormCoauthorRemoveFormCoauthor Владелец формы удаляет ссылку для совместной работы.Form owner deletes a collaboration link.
Просмотрена страница ответовViewed response page ViewRuntimeFormViewRuntimeForm Пользователь открыл страницу ответов для просмотра.User has opened a response page to view. Это событие записывается в журнал независимо от того, отправляет ли пользователь ответ или нет.This event is logged regardless of whether the user submits a response or not.
Создан ответCreated response CreateResponseCreateResponse Аналогично получению нового ответа.Similar to receiving a new response. Пользователь отправил ответ в форму.A user has submitted a response to a form.

Свойство ResponseId:string и ResponderId:string указывает, какой результат просматривается.Property ResponseId:string and Property ResponderId:string indicates which result is being viewed.

Для анонимного отвечающего свойство ResponderId будет иметь значение NULL.For an anonymous responder, the ResponderId property will be null.
Обновлен ответUpdated response UpdateResponseUpdateResponse Владелец формы обновил комментарий или оценку в тесте.Form owner has updated a comment or score on a quiz.

Свойство ResponseId:string и ResponderId:string указывает, какой результат просматривается.Property ResponseId:string and Property ResponderId:string indicates which result is being viewed.

Для анонимного отвечающего свойство ResponderId будет иметь значение NULL.For an anonymous responder, the ResponderId property will be null.
Удалены все ответыDeleted all responses DeleteAllResponsesDeleteAllResponses Владелец формы удаляет все данные ответов.Form owner deletes all response data.
Удален ответDeleted Response DeleteResponseDeleteResponse Владелец формы удаляет один ответ.Form owner deletes one response.

Свойство ResponseId:string указывает удаляемый ответ.Property ResponseId:string indicates the response being deleted.
Просмотрены ответыViewed responses ViewResponsesViewResponses Владелец формы просматривает обобщенный список ответов.Form owner views the aggregated list of responses.

Свойство ViewType:string указывает, какое представление просматривает владелец формы: подробное или обобщенноеProperty ViewType:string indicates whether form owner is viewing Detail or Aggregate
Просмотрен ответViewed response ViewResponseViewResponse Владелец формы просматривает определенный ответ.Form owner views a particular response.

Свойство ResponseId:string и ResponderId:string указывает, какой результат просматривается.Property ResponseId:string and Property ResponderId:string indicates which result is being viewed.

Для анонимного отвечающего свойство ResponderId будет иметь значение NULL.For an anonymous responder, the ResponderId property will be null.
Создана ссылка на сводкуCreated summary link GetSummaryLinkGetSummaryLink Владелец формы создает ссылку на сводку результатов для предоставления к ним общего доступа.Form owner creates summary results link to share results.
Удалена ссылка на сводкуDeleted summary link DeleteSummaryLinkDeleteSummaryLink Владелец формы удаляет ссылку на сводку результатов.Form owner deletes summary results link.
Обновлено состояние фишинга формыUpdated form phishing status UpdatePhishingStatusUpdatePhishingStatus Это событие записывается в журнал при каждом изменении подробного значения состояния внутренней безопасности, независимо от того, изменяется ли итоговое состояние защиты (например, форма стала закрытой или открытой).This event is logged whenever the detailed value for the internal security status was changed, regardless of whether this changed the final security state (for example, form is now Closed or Opened). Это означает, что могут отображаться дубликаты событий без изменения итогового состояния защиты.This means you may see duplicate events without a final security state change. Возможные значения состояния для этого события:The possible status values for this event are:
- Зафиксировать- Take Down
- Зафиксировать администратором- Take Down by Admin
- Администратор разблокировал- Admin Unblocked
- Заблокировано автоматически- Auto Blocked
- Разблокировано автоматически- Auto Unblocked
- Сообщено клиентом- Customer Reported
- Сброс сообщений клиента- Reset Customer Reported
Обновлено состояние фишинга пользователяUpdated user phishing status UpdateUserPhishingStatusUpdateUserPhishingStatus Это событие записывается в журнал при каждом изменении значения состояния безопасности пользователя.This event is logged whenever the value for the user security status was changed. Значение состояния пользователя в записи аудита назначается как Подтвержден как фишер, когда пользователь создал форму фишинга, которая была зафиксирована группой безопасности в Интернете корпорации Майкрософт.The value of the user status in the audit record is Confirmed as Phisher when the user created a phishing form that was taken down by the Microsoft Online safety team. Если администратор разблокирует пользователя, то пользователю присваивается значение состояния Восстановить в качестве обычного пользователя.If an admin unblocks the user, the value of the user's status is set to Reset as Normal User.
Отправлено приглашение в Forms ProSent Forms Pro invitation ProInvitationProInvitation Пользователь нажимает кнопку, чтобы активировать пробную версию Pro.User clicks to activate a Pro trial.
Обновлен параметр формыUpdated form setting UpdateFormSettingUpdateFormSetting Владелец формы обновляет параметр формы.Form owner updates a form setting.

Свойство FormSettingName:string указывает название и новое значение параметра.Property FormSettingName:string indicates the setting's name and new value.
Обновлен параметр пользователяUpdated user setting UpdateUserSettingUpdateUserSetting Владелец формы обновляет параметр пользователя.Form owner updates a user setting.

Свойство UserSettingName:string указывает название и новое значение параметраProperty UserSettingName:string indicates the setting's name and new value
Получен список формListed forms ListFormsListForms Владелец формы просматривает список форм.Form owner is viewing a list of forms.

Свойство ViewType:string указывает, какое представление просматривает владелец формы: "Все формы", "Мне представлен доступ" или "Формы группы"Property ViewType:string indicates which view the form owner is looking at: All Forms, Shared with Me, or Group Forms
Отправлен ответSubmitted response SubmitResponseSubmitResponse Пользователь отправляет ответ в форму.A user submits a response to a form.

Свойство IsInternalForm:boolean указывает, находится ли отвечающий в той же организации, что и владелец формы.Property IsInternalForm:boolean indicates if the responder is within the same organization as the form owner.

Действия в Forms, выполняемые соавторами и анонимными респондентамиForms activities performed by coauthors and anonymous responders

Forms поддерживает совместную работу при создании форм и анализе откликов.Forms supports collaboration when forms are designed and when analyzing responses. Участник совместной работы по созданию форм называется соавтором.A form collaborator is known as a coauthor. Соавторы могут выполнять такие же действия, что и владелец формы, за исключением удаления и перемещения формы.Coauthors can do everything a form owner can do, except delete or move a form. Кроме того, Forms позволяет создать форму, на которую можно ответить анонимно.Forms also allows you to create a form that can be responded to anonymously. Это означает, что респонденту не нужно входить в организацию, чтобы ответить на форму.This means the responder doesn't have to be signed into your organization to respond to a form.

В таблице ниже описаны действия по аудиту и сведения в записи аудита в отношении действий, выполняемых соавторами и анонимными респондентами.The following table describes the auditing activities and information in the audit record for activities performed by coauthors and anonymous responders.

Тип действияActivity type Внутренний или внешний пользовательInternal or external user ИД пользователя, который выполнил входUser ID that's logged Организация, в которую выполнен входOrganization logged in to Тип пользователя FormsForms user type
Совместное редактированиеCoauthoring activities ВнутреннийInternal Имя участника-пользователяUPN Организация владельца формыForm owner's org СоавторCoauthor
Совместное редактированиеCoauthoring activities ВнешнийExternal Имя участника-пользователяUPN
Организация соавтораCoauthor's org
СоавторCoauthor
Совместное редактированиеCoauthoring activities ВнешнийExternal urn:forms:coauthor#a0b1c2d3@forms.office.com
(Вторая часть идентификатора — это хэш-код, уникальный для каждого пользователя)(The second part of the ID is a hash, which will differ for different users)
Организация владельца формыForm owner's org
СоавторCoauthor
Действия ответаResponse activities ВнешнийExternal Имя участника-пользователяUPN
Организация респондентаResponder's org
РеспондентResponder
Действия ответаResponse activities ВнешнийExternal urn:forms:external#a0b1c2d3@forms.office.com
(Вторая часть ИД пользователя — это хэш-код, уникальный для каждого пользователя)(The second part of the User ID is a hash, which will differ for different users)
Организация владельца формыForm owner's org РеспондентResponder
Действия ответаResponse activities АнонимныйAnonymous urn:forms:anonymous#a0b1c2d3@forms.office.com
(Вторая часть ИД пользователя — это хэш-код, уникальный для каждого пользователя)(The second part of the User ID is a hash, which will differ for different users)
Организация владельца формыForm owner's org РеспондентResponder

Действия с метками конфиденциальностиSensitivity label activities

В таблице ниже перечислены события, возникающие в результате действий с метками для сайтов SharePoint Online и Teams.The following table lists events that result from labeling activities for SharePoint Online and Teams sites.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Метка конфиденциальности применена к сайтуApplied sensitivity label to site SensitivityLabelAppliedSensitivityLabelApplied К сайту SharePoint или Teams была применена метка конфиденциальности.A sensitivity label was applied to a SharePoint or Teams site.
Метка конфиденциальности, примененная к сайту, удаленаRemoved sensitivity label from site SensitivityLabelRemovedSensitivityLabelRemoved Метка конфиденциальности удалена с сайта SharePoint или Teams.A sensitivity label was removed from a SharePoint or Teams site.
Метка конфиденциальности применена к файлуApplied sensitivity label to file FileSensitivityLabelAppliedFileSensitivityLabelApplied Метка чувствительности была применена к документу с помощью Office в Интернете или политики автоматической маркировки.A sensitivity label was applied to a document by using Office on the web or an auto-labeling policy.
Метка конфиденциальности, примененная к файлу, измененаChanged sensitivity label applied to file FileSensitivityLabelChangedFileSensitivityLabelChanged Для документа была применена другая метка чувствительности с помощью Office в Интернете или политики автоматической маркировки.A different sensitivity label was applied to a document by using Office on the web or an auto-labeling policy.
Метка конфиденциальности, примененная к файлу, удаленаRemoved sensitivity label from file FileSensitivityLabelRemovedFileSensitivityLabelRemoved Метка конфиденциальности была удалена из документа с помощью Office в Интернете, политики автоматической маркировки или командлета Unlock-SPOSensitivityLabelEncryptedFile.A sensitivity label was removed from a document by using Office on the web, an auto-labeling policy, or by using the Unlock-SPOSensitivityLabelEncryptedFile cmdlet.

Действия, связанные с политикой хранения и метками храненияRetention policy and retention label activities

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Настроены параметры политики храненияConfigured settings for a retention policy NewRetentionComplianceRuleNewRetentionComplianceRule Администратор настроил параметры хранения для новой политики хранения.Administrator configured the retention settings for a new retention policy. Параметры хранения включают срок хранения элементов и действия в отношении элементов по истечении срока хранения (например, удаление, хранение или хранение и последующее удаление элементов).Retention settings include how long items are retained, and what happens to items when the retention period expires (such as deleting items, retaining items, or retaining and then deleting them). Это действие также соответствует выполнению командлета New-RetentionComplianceRule.This activity also corresponds to running the New-RetentionComplianceRule cmdlet.
Создана метка храненияCreated retention label NewComplianceTagNewComplianceTag Администратор создал новую метку хранения.Administrator created a new retention label.
Создана политика храненияCreated retention policy NewRetentionCompliancePolicyNewRetentionCompliancePolicy Администратор создал новую политику хранения.Administrator created a new retention policy.
Удалены параметры из политики храненияDeleted settings from a retention policy RemoveRetentionComplianceRuleRemoveRetentionComplianceRule
Администратор удалил параметры конфигурации политики хранения.Administrator deleted the configuration settings of a retention policy. Скорее всего, это действие регистрируется, когда администратор удаляет политику хранения или запускает командлет Remove-RetentionComplianceRule.Most likely, this activity is logged when an administrator deletes a retention policy or runs the Remove-RetentionComplianceRule cmdlet.
Удалена метка храненияDeleted retention label RemoveComplianceTagRemoveComplianceTag Администратор удалил метку хранения.Administrator deleted a retention label.
Удалена политика храненияDeleted retention policy RemoveRetentionCompliancePolicyRemoveRetentionCompliancePolicy
Администратор удалил политику хранения.Administrator deleted a retention policy.
Включен параметр записи, отвечающей нормативным требованиям, для меток храненияEnabled regulatory record option for retention labels
SetRestrictiveRetentionUISetRestrictiveRetentionUI Администратор запустил командлет Set-RegulatoryComplianceUI, чтобы иметь возможность выбрать параметр конфигурации пользовательского интерфейса, позволяющий пометить содержимое как запись, отвечающую нормативным требованиям, с помощью метки хранения.Administrator ran the Set-RegulatoryComplianceUI cmdlet so that an administrator can then select the UI configuration option for a retention label to mark content as a regulatory record.
Обновлены параметры политики храненияUpdated settings for a retention policy SetRetentionComplianceRuleSetRetentionComplianceRule Администратор изменил параметры хранения для существующей политики хранения.Administrator changed the retention settings for an existing retention policy. Параметры хранения включают срок хранения элементов и действия в отношении элементов по истечении срока хранения (например, удаление, хранение или хранение и последующее удаление элементов).Retention settings include how long items are retained, and what happens to items when the retention period expires (such as deleting items, retaining items, or retaining and then deleting them). Это действие также соответствует выполнению командлета Set-RetentionComplianceRule.This activity also corresponds to running the Set-RetentionComplianceRule cmdlet.
Обновлена метка храненияUpdated retention label SetComplianceTagSetComplianceTag Администратор обновил существующую метку хранения.Administrator updated an existing retention label.
Обновлена политика храненияUpdated retention policy SetRetentionCompliancePolicySetRetentionCompliancePolicy Администратор обновил существующую политику хранения. К обновлениям, инициирующим это событие, относятся добавление и исключение расположений контента, к которым применяется политика хранения.Administrator updated an existing a retention policy. Updates that trigger this event include adding or excluding content locations that the retention policy is applied to.

Действия с письмом сводки делBriefing email activities

В таблице ниже перечислены действия, связанные с письмом со сводкой дел, зарегистрированные в журнале аудита Office 365. Дополнительные сведения о письме со сводкой дел см. в статьях ниже.The following table lists the activities in Briefing email that are logged in the Office 365 audit log. For more information about Briefing email, see:

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Обновлены параметры конфиденциальности организацииUpdated organization privacy settings UpdatedOrganizationBriefingSettingsUpdatedOrganizationBriefingSettings Администратор обновляет параметры конфиденциальности организации для письма со сводкой дел.Admin updates the organization privacy settings for Briefing email.
Обновлены параметры конфиденциальности пользователейUpdated user privacy settings UpdatedUserBriefingSettingsUpdatedUserBriefingSettings Администратор обновляет параметры конфиденциальности пользователей для письма со сводкой дел.Admin updates the user privacy settings for Briefing email.

Действия с MyAnalyticsMyAnalytics activities

В таблице ниже перечислены действия, связанные с MyAnalytics, зарегистрированные в журнале аудита Office 365.The following table lists the activities in MyAnalytics that are logged in the Office 365 audit log. Дополнительные сведения о MyAnalytics см. в статье MyAnalytics для администраторов.For more information about MyAnalytics, see MyAnalytics for admins.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Обновлены параметры MyAnalytics для организацииUpdated organization MyAnalytics settings UpdatedOrganizationMyAnalyticsSettingsUpdatedOrganizationMyAnalyticsSettings Администратор обновляет параметры MyAnalytics на уровне организации.Admin updates organization-level settings for MyAnalytics.
Обновлены параметры MyAnalytics для пользователейUpdated user MyAnalytics settings UpdatedUserMyAnalyticsSettingsUpdatedUserMyAnalyticsSettings Администратор обновляет пользовательские параметры для MyAnalytics.Admin updates user settings for MyAnalytics.

Действия с информационными барьерамиInformation barriers activities

В таблице ниже перечислены действия, связанные с информационными барьерами, зарегистрированные в журнале аудита Office 365.The following table lists the activities in information barriers that are logged in the Office 365 audit log. Дополнительные сведения об информационных барьерах см. в статье Сведения об информационных барьерах в Microsoft 365.For more information about information barriers, see Learn about information barriers in Microsoft 365.

Понятное имяFriendly name ОперацияOperation ОписаниеDescription
Добавлены сегменты на сайтAdded segments to a site SegmentsAddedSegmentsAdded Администратор SharePoint, глобальный администратор или владелец сайта добавил один или несколько сегментов информационных барьеров на сайт.A SharePoint, global administrator, or site owner added one or more information barriers segments to a site.
Изменены сегменты сайтаChanged segments of a site SegmentsChangedSegmentsChanged Администратор SharePoint или глобальный администратор изменил один или несколько сегментов информационных барьеров для сайта.A SharePoint or global administrator changed one or more information barriers segments for a site.
Удалены сегменты с сайтаRemoved segments from a site SegmentsRemovedSegmentsRemoved Администратор SharePoint или глобальный администратор удалил один или несколько сегментов информационных барьеров с сайта.A SharePoint or global administrator removed one or more information barriers segments from a site.

Журнал аудита действий администратора ExchangeExchange admin audit log

Журнал аудита администратора Exchange (который по умолчанию включен в Office 365) регистрирует событие в журнале аудита, когда администратор (или пользователь, которому были назначены административные разрешения) вносит изменения в организацию Exchange Online.Exchange administrator audit logging (which is enabled by default in Office 365) logs an event in the audit log when an administrator (or a user who has been assigned administrative permissions) makes a change in your Exchange Online organization. Изменения, вносимые с помощью Центра администрирования Exchange или командлета в Exchange Online PowerShell, записываются в журнал аудита действий администратора Exchange.Changes made by using the Exchange admin center or by running a cmdlet in Exchange Online PowerShell are logged in the Exchange admin audit log. Командлеты, начинающиеся с глаголов Get-, Search-, или Test-, не регистрируются в журнале аудита.Cmdlets that begin with the verbs Get-, Search-, or Test- are not logged in the audit log. Более подробную информацию о ведении журнала аудита действий администратора в Exchange см. в статье Ведение журнала аудита действий администратора.For more detailed information about admin audit logging in Exchange, see Administrator audit logging.

Важно!

Некоторые командлеты Exchange Online, которые не зарегистрированы в журнале аудита администратора Exchange (или в журнале аудита).Some Exchange Online cmdlets that aren't logged in the Exchange admin audit log (or in the audit log). Многие из этих командлетов связаны с работой службы Exchange Online и выполняются сотрудниками центра обработки данных Майкрософт или учетными записями служб.Many of these cmdlets are related to maintaining the Exchange Online service and are run by Microsoft datacenter personnel or service accounts. Эти командлеты не регистрируются в журнале, потому что это привело бы к большому числу "шумных" событий аудита.These cmdlets aren't logged because they would result in a large number of "noisy" auditing events. Если есть командлет Exchange Online, который не подвергается аудиту, отправьте предложение на форум User Voice по безопасности и соответствию требованиям и запросите его включение в аудит.If there's an Exchange Online cmdlet that isn't being audited, please submit a suggestion to the Security & Compliance User Voice forum and request that it is enabled for auditing. Вы также можете отправить запрос на изменение дизайна (DCR) в службу поддержки Майкрософт.You can also submit a design change request (DCR) to Microsoft Support.

Вот несколько советов по поиску действий администратора Exchange при поиске в журнале аудита:Here are some tips for searching for Exchange admin activities when searching the audit log:

  • Чтобы получить записи из журнала аудита действий администратора Exchange, нужно выбрать в списке Действия пункт Показать результаты по всем действиям.To return entries from the Exchange admin audit log, you have to select Show results for all activities in the Activities list. Используйте поля дат и список Пользователи, чтобы ограничить результаты поиска командлетами, выполнявшимися определенным администратором Exchange в указанный период времени.Use the date range boxes and the Users list to narrow the search results for cmdlets run by a specific Exchange administrator within a specific date range.

  • Чтобы просмотреть события из журнала аудита действий администратора Exchange, отфильтруйте результаты поиска и введите тире (-) в поле фильтра Действие.To display events from the Exchange admin audit log, filter the search results and type a - (dash) in the Activity filter box. Будут показаны имена командлетов, отображаемые в столбце Действие для событий администрирования Exchange.This displays cmdlet names, which are displayed in the Activity column for Exchange admin events. Затем вы можете отсортировать имена командлетов в алфавитном порядке.Then you can sort the cmdlet names in alphabetical order.

    В поле "Действия" введите дефис, чтобы отфильтровать события администрирования Exchange

  • Чтобы узнать, какой командлет был выполнен, какие параметры и значения параметров использовались и какие объекты были затронуты, вы можете экспортировать результаты поиска, выбрав вариант Скачать все результаты.To get information about what cmdlet was run, which parameters and parameter values were used, and what objects were affected, you can export the search results by selecting the Download all results option. Дополнительные сведения см. в статье Экспорт, настройка и просмотр записей журнала аудита.For more information, see Export, configure, and view audit log records.

  • Кроме того, вы можете использовать команду Search-UnifiedAuditLog -RecordType ExchangeAdmin в Exchange Online PowerShell, чтобы вернуть только записи аудита из журнала аудита действий администратора Exchange.You can also use the Search-UnifiedAuditLog -RecordType ExchangeAdmin command in Exchange Online PowerShell to return only audit records from the Exchange admin audit log. После выполнения командлета Exchange может потребоваться до 30 минут, чтобы соответствующая запись журнала аудита возвращалась в результатах поиска.It may take up to 30 minutes after an Exchange cmdlet is run for the corresponding audit log entry to be returned in the search results. Дополнительные сведения см. в статье Search-UnifiedAuditLog.For more information, see Search-UnifiedAuditLog. Сведения об экспорте результатов поиска, возвращаемых командлетом Search-UnifiedAuditLog в CSV-файл, см. в разделе "Советы по экспорту и просмотру журнала аудита" статьи Экспорт, настройка и просмотр записей журнала аудита.For information about exporting the search results returned by the Search-UnifiedAuditLog cmdlet to a CSV file, see the "Tips for exporting and viewing the audit log" section in Export, configure, and view audit log records.

  • Вы также можете просматривать события в журнале аудита действий администратора Exchange с помощью Центра администрирования Exchange или командлета Search-AdminAuditLog в Exchange Online PowerShell.You can also view events in the Exchange admin audit log by using the Exchange admin center or running the Search-AdminAuditLog in Exchange Online PowerShell. Это отличный способ для конкретного поиска действий, выполняемых администраторами Exchange Online.This is a good way to specifically search for activity performed by Exchange Online administrators. Инструкции см. в следующих статьях:For instructions, see:

    Помните, что одни и те же действия администратора Exchange регистрируются как в журнале аудита администратора Exchange, так и в журнале аудита.Keep in mind that the same Exchange admin activities are logged in both the Exchange admin audit log and audit log.

Вопросы и ответыFrequently asked questions

Какие службы Microsoft 365 в настоящее время проходят аудит?What are different Microsoft 365 services that are currently audited?

Аудиту подлежат самые популярные службы, такие как Exchange Online, SharePoint Online, OneDrive для бизнеса, Azure Active Directory, Microsoft Teams, Dynamics 365, Defender для Office 365 и Power BI.The most used services like Exchange Online, SharePoint Online, OneDrive for Business, Azure Active Directory, Microsoft Teams, Dynamics 365, Defender for Office 365, and Power BI are audited. Список служб, подлежащих аудиту, см. в начале этой статьи.See the beginning of this article for a list of services that are audited.

Какие действия, подлежат аудиту с помощью службы аудита в Office 365?What activities are audited by auditing service in Office 365?

См. раздел Проверенные действия в этой статье, где приведен список и описание проверяемых действий.See the Audited activities section in this article for a list and description of the activities that are audited.

Сколько времени требуется, чтобы запись аудита стала доступной после выполнения события?How long does it take for an auditing record to be available after an event has occurred?

Запись журнала аудита отображается в результатах поиска для большинства данных аудита в течение 30 минут, но иногда может требоваться до 24 часов после наступления соответствующего события.Most auditing data is available within 30 minutes but it may take up to 24 hours after an event occurs for the corresponding audit log entry to be displayed in the search results. См. таблицу в разделе Требования для поиска в журнале аудита в этой статье, в которой показано, какое время требуется для отображения событий в различных службах.See the table in the Requirements to search the audit log section of this article that shows the time it takes for events in the different services to be available.

Сколько хранятся записи аудита?How long are the audit records retained for?

Как говорилось выше, записи аудита, связанные с действиями пользователей, которым назначена лицензия Office 365 E5 или Microsoft E5 (или пользователями с дополнительной лицензией на надстройку Microsoft 365 E5) хранятся в течение одного года.As previously explained, audit records for activities performed by users assigned an Office 365 E5 or Microsoft E5 license (or users with a Microsoft 365 E5 add-on license) are retained for one year. Для всех остальных подписок с поддержкой ведения единого журнала аудита записи аудита хранятся в течение 90 дней.For all other subscriptions that support unified audit logging, audit records are retained for 90 days.

Можно ли получить доступ к данным аудита программным способом?Can I access the auditing data programmatically?

Да.Yes. Для получения журналов аудита программным способом используется API действий управления Office 365.The Office 365 Management Activity API is used to fetch the audit logs programmatically. Сведения о начале работы см. в статье Начало работы с API управления Office 365.To get started, see Get started with Office 365 Management APIs.

Существуют ли другие способы получения журналов аудита, кроме использования Центра безопасности и соответствия требованиям или API действий управления Office 365?Are there other ways to get auditing logs other than using the security and compliance center or the Office 365 Management Activity API?

Нет.No. Это единственные два способа получения данных из службы аудита.These are the only two ways to get data from the auditing service.

Нужно ли включать аудит отдельно в каждой службе, для которой нужно создать журналы аудита?Do I need to individually enable auditing in each service that I want to capture audit logs for?

В большинстве служб аудит включен по умолчанию после того, как вы изначально включили аудит для своей организации (как описано в разделе Требования для поиска в журнале аудита в этой статье).In most services, auditing is enabled by default after you initially turn on auditing for your organization (as described in the Requirements to search the audit log section in this article).

Поддерживает ли служба аудита дедупликацию записей?Does the auditing service support de-duplication of records?

Нет.No. Конвейер службы аудита работает практически в режиме реального времени и поэтому не поддерживает дедупликацию.The auditing service pipeline is near real time, and therefore can't support de-duplication.

Аудит данных передается по географическому региону?Does auditing data flow across geographies?

Нет.No. В настоящее время существуют развертывания конвейеров аудита в регионах NA (Северная Америка), EMEA (Европа, Ближний Восток и Африка) и APAC (Азиатско-Тихоокеанский регион).We currently have auditing pipeline deployments in the NA (North America), EMEA (Europe, Middle East, and Africa) and APAC (Asia Pacific) regions. Однако вы можем направлять потоки данных между этими регионами для балансировки нагрузки и только при проблемах на активном сайте.However, we may flow the data across these regions for load-balancing and only during live-site issues. При выполнении этих действий передаваемые данные зашифрованы.When we do perform these activities, the data in transit is encrypted.

Зашифрованы ли данные аудита?Is auditing data encrypted?

Данные аудита хранятся в почтовых ящиках Exchange (неактивные данные) в том же регионе, из которого разворачивается единый конвейер аудита.Auditing data is stored in Exchange mailboxes (data at rest) in the same region where the unified auditing pipeline is deployed. Неактивные данные почтовых ящиков не шифруются в Exchange.Mailbox data at rest is not encrypted by Exchange. Однако при шифровании на уровне обслуживания шифруются все данные почтовых ящиков, так как серверы Exchange в центрах обработки данных корпорации Майкрософт зашифрованы с помощью BitLocker.However, service-level encryption encrypts all mailbox data because Exchange servers in Microsoft datacenters are encrypted via BitLocker. Дополнительные сведения см. в статье Шифрование в Office 365 для Skype для бизнеса, OneDrive для бизнеса, SharePoint Online и Exchange Online.For more information, see Office 365 Encryption for Skype for Business, OneDrive for Business, SharePoint Online, and Exchange Online.

Данные почты при передаче всегда шифруются.Mail data in transit is always encrypted.