EnrichedMicrosoft365AuditLogs
Den här tabellen är en del av Identity och Network Access, som innehåller Enriched Microsoft 365-granskningsloggar. Dessa loggar kan användas för princip-, risk- och trafikhantering samt för att övervaka användarupplevelsen.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Hanteringsverktyg för säkerhet, nätverk, IT-& |
| Lösningar | LogManagement |
| Grundläggande logg | No |
| Inmatningstidstransformering | No |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| ActorUserType | sträng | Den typ av användaren som utförde åtgärden. Möjliga typer är: Admin, System, Program, Tjänstens huvudnamn och Annat. |
| Ytterligare egenskaper | dynamisk | Ytterligare aktivitetsfält |
| _BilledSize | real | Poststorleken i byte |
| ClientIp | sträng | IP-adressen för den enhet som användes när aktiviteten loggades. IP-adressen visas i IPv4- eller IPv6-adressformat. För vissa tjänster kan värdet som visas i den här egenskapen vara IP-adressen för ett betrott program (till exempel Office på webben appar) som anropar tjänsten för en användares räkning och inte IP-adressen för den enhet som används av den person som utförde aktiviteten. För Azure Active Directory-relaterade händelser loggas inte IP-adressen och värdet för egenskapen ClientIP är null. |
| DeviceId | sträng | Källenhetens ID enligt vad som rapporteras i posten. |
| DeviceOperatingSystem | sträng | Den klient som ansluter operativsystemtyp. |
| DeviceOperatingSystemVersion | sträng | Klienten ansluter operativsystemets version. |
| Id | sträng | En granskningsposts unika identifierare. |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| ObjectId | sträng | För SharePoint- och OneDrive för företag-aktivitet är det fullständiga sökvägen till den fil eller mapp som användaren har åtkomst till. För granskningsloggning för Exchange-administratör, namnet på objektet som ändrades av cmdleten. |
| Åtgärd | sträng | Namnet på den användar- eller administratörsaktivitet som utförde aktiviteten. |
| Organisations-ID | sträng | GUID för organisationens Office 365 klientorganisation. Det här värdet kommer alltid att vara detsamma för din organisation, oavsett vilken Office 365 tjänst det sker i. |
| RecordType | int | Den typ av åtgärd som indikeras av posten. Tabellen AuditLogRecordType innehåller information om de olika typerna av poster i granskningsloggen. |
| ResultStatus | sträng | Anger om åtgärden (som anges i egenskapen Operation) lyckades eller inte. Möjliga värden är Succeeded, PartiallySucceeded eller Failed. |
| SourceIp | sträng | IP-adressen som anslutningen eller sessionen kommer från. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| TimeGenerated | datetime | Datum och tid i UTC när användaren utförde aktiviteten. |
| Typ | sträng | Namnet på tabellen |
| UniqueTokenId | sträng | Unik tokenidentifierare |
| UserId | sträng | UPN (användarens huvudnamn) för den användare som utförde åtgärden (anges i egenskapen Åtgärd) som resulterade i att posten loggades. till exempel my_name@my_domain_name. Observera att poster för aktiviteter som utförs av systemkonton (som SHAREPOINT\system eller NT AUTHORITY\SYSTEM) också inkluderas. I SharePoint visas ett annat värde i egenskapen UserId app@sharepoint. Detta anger att den "användare" som utförde aktiviteten var ett program som har de behörigheter som krävs i SharePoint för att utföra åtgärder för hela organisationen (till exempel att söka på en SharePoint-webbplats eller ett OneDrive-konto) för en användares, administratörs eller tjänsts räkning. Mer information finns i app@sharepoint användare i granskningsposter. |
| UserKey | sträng | Ett alternativt ID för användaren som identifieras i egenskapen UserId. Den här egenskapen fylls till exempel med passets unika ID (PUID) för händelser som utförs av användare i SharePoint, OneDrive för företag och Exchange. Den här egenskapen kan också ange samma värde som userID-egenskapen för händelser som inträffar i andra tjänster och händelser som utförs av systemkonton. |
| UserType | sträng | Den typ av användaren som utförde åtgärden. |
| Arbetsbelastning | sträng | Den Office 365 tjänst där aktiviteten inträffade. |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för