OfficeActivity
Granskningsloggar för Office 365 klientorganisationer som samlas in av Azure Sentinel. Inklusive Exchange-, SharePoint- och Teams-loggar.
Tabellattribut
Attribut | Värde |
---|---|
Resurstyper | - |
Kategorier | Säkerhet |
Lösningar | AzureSentinelPrivatePreview, SecurityInsights |
Grundläggande logg | No |
Inmatningstidstransformering | Yes |
Exempelfrågor | Ja |
Kolumner
Kolumn | Typ | Description |
---|---|---|
AADGroupId | sträng | Azure Active Directory-grupp-ID |
AADTarget | sträng | Användaren som åtgärden (identifieras av egenskapen Åtgärd) utfördes på |
Aktivitet | sträng | Den aktivitet som användaren utförde. |
Skådespelare | sträng | Användaren eller tjänstens huvudnamn som utförde åtgärden |
ActorContextId | sträng | GUID för den organisation som aktören tillhör |
ActorIpAddress | sträng | Aktörens IP-adress i IPV4- eller IPV6-adressformat |
AddOnGuid | sträng | Den unika identifieraren för tillägget genererade den här händelsen |
AddonName | sträng | Namnet på tillägget som genererade händelsen |
AddOnType | sträng | Typen av tillägg som genererade den här händelsen |
AffectedItems | sträng | Information om varje objekt i gruppen |
AppDistributionMode | sträng | Programdistributionsläge |
AppId | sträng | Program-ID:t |
Program | sträng | Programnamnet |
ApplicationId | sträng | SharePoint-program-ID |
AzureActiveDirectory_EventType | sträng | Typen av Azure AD händelse |
AzureADAppId | sträng | Teams-program Azure AD-ID |
_BilledSize | real | Poststorleken i byte |
ChannelGuid | sträng | En unik identifierare för kanalen som granskas |
ChannelName | sträng | Namnet på kanalen som granskas |
ChannelType | sträng | Vilken typ av kanal som granskas (standard/privat) |
ChatName | sträng | Namnet på chatten |
ChatThreadId | sträng | ID för chatttråden |
Client | sträng | Information om klientenheten, enhetsoperativsystemet och enhetswebbläsaren som användes för kontoinloggningshändelsen |
Client_IPAddress | sträng | IP-adressen för enheten som användes när åtgärden loggades |
ClientAppId | sträng | Klientprogram-ID |
ClientInfoString | sträng | Information om e-postklienten som användes för att utföra åtgärden |
ClientIP | sträng | IP-adressen för enheten som användes när aktiviteten loggades |
ClientMachineName | sträng | Datornamnet som är värd för Outlook-klienten |
ClientProcessName | sträng | E-postklienten som användes för att komma åt postlådan |
ClientVersion | sträng | E-postklientens version |
CommunicationType | sträng | Den typ av kommunikation som genomfördes |
CrossMailboxOperations | boolesk | Anger om åtgärden omfattade mer än en postlåda |
CustomEvent | sträng | Valfri sträng för anpassade händelser |
DataCenterSecurityEventType | int | Typen av dmdlet-händelse i låsrutan |
DestFolder | sträng | Målmappen |
DestinationFileExtension | sträng | Filnamnstillägget för en fil som kopieras eller flyttas |
DestinationFileName | sträng | Namnet på filen som kopieras eller flyttas |
DestinationRelativeUrl | sträng | URL:en för målmappen där en fil kopieras eller flyttas |
DestMailboxId | sträng | Ange endast om parametern CrossMailboxOperations är True |
DestMailboxOwnerMasterAccountSid | sträng | Ange endast om parametern CrossMailboxOperations är True |
DestMailboxOwnerSid | sträng | Ange endast om parametern CrossMailboxOperations är True |
DestMailboxOwnerUPN | sträng | Ange endast om parametern CrossMailboxOperations är True |
EffectiveOrganization | sträng | Namnet på den klientorganisation som utökade privilegier/cmdlet:en var riktad mot |
ElevationApprovedTime | datetime | Tidsstämpeln för när höjningen godkändes |
ElevationApprover | sträng | Namnet på en Microsoft-chef |
ElevationDuration | int | Den varaktighet för vilken höjningen var aktiv (i timmar) |
ElevationRequestId | sträng | En unik identifierare för begäran om utökade privilegier |
ElevationRole | sträng | Den roll som höjningen begärdes för |
ElevationTime | datetime | Starttiden för höjningen |
Event_Data | sträng | Valfri nyttolast för anpassade händelser |
EventSource | sträng | Identifierar att en händelse har inträffat i SharePoint. Möjliga värden är SharePoint eller ObjectModel |
ExtendedProperties | sträng | De utökade egenskaperna för Azure AD-händelsen |
ExternalAccess | sträng | Anger om cmdleten kördes av en användare i din organisation |
Extraegenskaper | dynamisk | En lista över extra egenskaper |
Mapp | sträng | Mappen där en grupp med objekt finns |
Mappar | sträng | Information om källmapparna som ingår i en åtgärd |
GenericInfo | sträng | Används för kommentarer och annan allmän information |
InternalLogonType | int | Reserverad för internt bruk |
InterSystemsId | sträng | GUID:et som spårar åtgärderna mellan komponenter i Office 365-tjänsten |
IntraSystemId | sträng | DET GUID som genereras av Azure Active Directory för att spåra åtgärden |
_IsBillable | sträng | Anger om inmatning av data är fakturerbart. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
IsManagedDevice | boolesk | Anger om åtgärden har skapats av en enhet som hanteras av organisationen |
Objekt | sträng | Representerar det objekt som åtgärden utfördes på |
ItemName | sträng | Strängen i fältet Ämne i e-postmeddelandet |
ItemType | sträng | Den typ av objekt som har använts eller ändrats. Mer information om typer av objekt finns i tabellen ItemType |
LoginStatus | int | Den här egenskapen kommer direkt från OrgIdLogon.LoginStatus. Mappningen av olika intressanta inloggningsfel kan göras genom aviseringsalgoritmer |
Logon_Type | sträng | Anger vilken typ av användare som har åtkomst till postlådan och utförde åtgärden som loggades |
LogonUserDisplayName | sträng | Det användarvänliga namnet på användaren som utförde åtgärden |
LogonUserSid | sträng | SID för användaren som utförde åtgärden |
MachineDomainInfo | sträng | Information om åtgärder för enhetssynkronisering |
MachineId | sträng | Information om åtgärder för enhetssynkronisering |
MailboxGuid | sträng | Exchange-GUID för postlådan som användes |
MailboxOwnerMasterAccountSid | sträng | Huvudkontots SID för postlådans ägarkonto |
MailboxOwnerSid | sträng | SID för postlådeägaren |
MailboxOwnerUPN | sträng | E-postadressen till den person som äger postlådan som användes |
Medlemmar | dynamisk | En lista över användare i ett team |
Messageid | sträng | En identifierare för ett chatt- eller kanalmeddelande |
ModifiedObjectResolvedName | sträng | Det här är det användarvänliga namnet på objektet som ändrades av cmdleten |
ModifiedProperties | sträng | Egenskapen ingår för administratörshändelser, till exempel att lägga till en användare som medlem i en webbplats eller en administratörsgrupp för webbplatssamlingen |
Name | sträng | Finns endast för inställningshändelser. Namnet på inställningen som ändrades |
NewValue | sträng | Finns endast för inställningshändelser. Nytt värde för inställningen |
OfficeId | sträng | Unik identifierare för en granskningspost |
OfficeObjectId | sträng | För SharePoint- och OneDrive för företag-aktivitet |
OfficeTenantId | sträng | Office-klientorganisations-ID |
OfficeWorkload | sträng | Den Office 365 tjänst där aktiviteten inträffade |
OldValue | sträng | Finns endast för inställningshändelser. Gammalt värde för inställningen |
Åtgärd | sträng | Namnet på den åtgärd som användaren utför |
OperationProperties | dynamisk | Ytterligare åtgärdsegenskaper |
OperationScope | sträng | Omfånget som åtgärden utfördes på |
Organisations-ID | sträng | GUID för organisationens Office 365 klientorganisation. Det här värdet kommer alltid att vara detsamma för din organisation |
OrganizationName | sträng | Namnet på klientorganisationen |
OriginatingServer | sträng | Namnet på servern som cmdleten kördes från |
Parametrar | sträng | Namn och värde för alla parametrar som användes med cmdleten som identifieras i egenskapen Åtgärder |
RecordType | sträng | Den typ av åtgärd som indikeras av posten. Mer information om typer av granskningsloggposter finns i tabellen AuditLogRecordType |
_ResourceId | sträng | En unik identifierare för resursen som posten är associerad med |
ResultReasonType | sträng | Orsak till resultatet som rapporterats i ResultType |
ResultStatus | sträng | Anger om åtgärden (som anges i egenskapen Åtgärd) lyckades eller inte |
SendAsUserMailboxGuid | sträng | Exchange-GUID för postlådan som användes för att skicka e-post som |
SendAsUserSmtp | sträng | SMTP-adress för den användare som personifieras |
SendonBehalfOfUserMailboxGuid | sträng | Exchange-GUID för postlådan som användes för att skicka e-post för |
SendOnBehalfOfUserSmtp | sträng | SMTP-adress för användaren vars räkning e-postmeddelandet skickas |
SharingType | sträng | Den typ av delningsbehörigheter som tilldelades användaren som resursen delades med. Den här användaren identifieras av parametern UserSharedWith |
Webbplats_ | sträng | GUID för den plats där filen eller mappen som användaren har åtkomst till finns |
Site_Url | sträng | URL:en för den webbplats där filen eller mappen som användaren har åtkomst till finns |
Source_Name | sträng | Entiteten som utlöste den granskade åtgärden. Möjliga värden är SharePoint eller ObjectModel |
SourceFileExtension | sträng | Filnamnstillägget för filen som användaren har använt |
SourceFileName | sträng | Namnet på filen eller mappen som användaren har åtkomst till |
SourceRecordId | sträng | Unik identifierare för en granskningspost |
SourceRelativeUrl | sträng | URL:en för mappen som innehåller filen som användaren har åtkomst till |
SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
SRPolicyId | sträng | Princip-ID |
SRPolicyName | sträng | Principnamn |
SRRuleMatchDetails | dynamisk | Regelinformation |
Start_Time | datetime | Datum och tid då cmdleten kördes |
_SubscriptionId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
SupportTicketId | sträng | Kundsupportens biljett-ID för åtgärden i "act-on-behalf-of"-situationer |
TabType | sträng | Den typ av flik som genererade händelsen |
TargetContextId | sträng | GUID för den organisation som målanvändaren tillhör |
TargetUserId | sträng | Målanvändar-ID |
TargetUserOrGroupName | sträng | Lagrar UPN eller namnet på målanvändaren eller gruppen som en resurs har delats med |
TargetUserOrGroupType | sträng | Identifierar om målanvändaren eller gruppen är medlem, gäst, grupp eller partner |
TeamGuid | sträng | En unik identifierare för teamet som granskas |
TeamName | sträng | Namnet på teamet som granskas |
TenantId | sträng | Log Analytics-arbetsytans ID |
TimeGenerated | datetime | Datum och tid i Coordinated Universal Time (UTC) när användaren utförde aktiviteten |
Typ | sträng | Namnet på tabellen |
Useragent | sträng | Användaragenten |
UserDomain | sträng | Domänen för användaren |
UserId | sträng | UPN (användarens huvudnamn) för den användare som utförde åtgärden (anges i egenskapen Åtgärd) som resulterade i att posten loggades |
UserKey | sträng | Ett alternativt ID för användaren som identifieras i egenskapen UserId |
UserSharedWith | sträng | Användaren som en resurs har delats med |
UserType | sträng | Den typ av användaren som utförde åtgärden. Mer information om typer av användare finns i tabellen UserType |
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för