OfficeActivity
Granskningsloggar för Office 365 klientorganisationer som samlas in av Azure Sentinel. Inklusive Exchange-, SharePoint- och Teams-loggar.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | AzureSentinelPrivatePreview, SecurityInsights |
| Grundläggande logg | No |
| Inmatningstidstransformering | Yes |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| AADGroupId | sträng | Azure Active Directory-grupp-ID |
| AADTarget | sträng | Användaren som åtgärden (identifieras av egenskapen Åtgärd) utfördes på |
| Aktivitet | sträng | Den aktivitet som användaren utförde. |
| Skådespelare | sträng | Användaren eller tjänstens huvudnamn som utförde åtgärden |
| ActorContextId | sträng | GUID för den organisation som aktören tillhör |
| ActorIpAddress | sträng | Aktörens IP-adress i IPV4- eller IPV6-adressformat |
| AddOnGuid | sträng | Den unika identifieraren för tillägget genererade den här händelsen |
| AddonName | sträng | Namnet på tillägget som genererade händelsen |
| AddOnType | sträng | Typen av tillägg som genererade den här händelsen |
| AffectedItems | sträng | Information om varje objekt i gruppen |
| AppDistributionMode | sträng | Programdistributionsläge |
| AppId | sträng | Program-ID:t |
| Program | sträng | Programnamnet |
| ApplicationId | sträng | SharePoint-program-ID |
| AzureActiveDirectory_EventType | sträng | Typen av Azure AD händelse |
| AzureADAppId | sträng | Teams-program Azure AD-ID |
| _BilledSize | real | Poststorleken i byte |
| ChannelGuid | sträng | En unik identifierare för kanalen som granskas |
| ChannelName | sträng | Namnet på kanalen som granskas |
| ChannelType | sträng | Vilken typ av kanal som granskas (standard/privat) |
| ChatName | sträng | Namnet på chatten |
| ChatThreadId | sträng | ID för chatttråden |
| Client | sträng | Information om klientenheten, enhetsoperativsystemet och enhetswebbläsaren som användes för kontoinloggningshändelsen |
| Client_IPAddress | sträng | IP-adressen för enheten som användes när åtgärden loggades |
| ClientAppId | sträng | Klientprogram-ID |
| ClientInfoString | sträng | Information om e-postklienten som användes för att utföra åtgärden |
| ClientIP | sträng | IP-adressen för enheten som användes när aktiviteten loggades |
| ClientMachineName | sträng | Datornamnet som är värd för Outlook-klienten |
| ClientProcessName | sträng | E-postklienten som användes för att komma åt postlådan |
| ClientVersion | sträng | E-postklientens version |
| CommunicationType | sträng | Den typ av kommunikation som genomfördes |
| CrossMailboxOperations | boolesk | Anger om åtgärden omfattade mer än en postlåda |
| CustomEvent | sträng | Valfri sträng för anpassade händelser |
| DataCenterSecurityEventType | int | Typen av dmdlet-händelse i låsrutan |
| DestFolder | sträng | Målmappen |
| DestinationFileExtension | sträng | Filnamnstillägget för en fil som kopieras eller flyttas |
| DestinationFileName | sträng | Namnet på filen som kopieras eller flyttas |
| DestinationRelativeUrl | sträng | URL:en för målmappen där en fil kopieras eller flyttas |
| DestMailboxId | sträng | Ange endast om parametern CrossMailboxOperations är True |
| DestMailboxOwnerMasterAccountSid | sträng | Ange endast om parametern CrossMailboxOperations är True |
| DestMailboxOwnerSid | sträng | Ange endast om parametern CrossMailboxOperations är True |
| DestMailboxOwnerUPN | sträng | Ange endast om parametern CrossMailboxOperations är True |
| EffectiveOrganization | sträng | Namnet på den klientorganisation som utökade privilegier/cmdlet:en var riktad mot |
| ElevationApprovedTime | datetime | Tidsstämpeln för när höjningen godkändes |
| ElevationApprover | sträng | Namnet på en Microsoft-chef |
| ElevationDuration | int | Den varaktighet för vilken höjningen var aktiv (i timmar) |
| ElevationRequestId | sträng | En unik identifierare för begäran om utökade privilegier |
| ElevationRole | sträng | Den roll som höjningen begärdes för |
| ElevationTime | datetime | Starttiden för höjningen |
| Event_Data | sträng | Valfri nyttolast för anpassade händelser |
| EventSource | sträng | Identifierar att en händelse har inträffat i SharePoint. Möjliga värden är SharePoint eller ObjectModel |
| ExtendedProperties | sträng | De utökade egenskaperna för Azure AD-händelsen |
| ExternalAccess | sträng | Anger om cmdleten kördes av en användare i din organisation |
| Extraegenskaper | dynamisk | En lista över extra egenskaper |
| Mapp | sträng | Mappen där en grupp med objekt finns |
| Mappar | sträng | Information om källmapparna som ingår i en åtgärd |
| GenericInfo | sträng | Används för kommentarer och annan allmän information |
| InternalLogonType | int | Reserverad för internt bruk |
| InterSystemsId | sträng | GUID:et som spårar åtgärderna mellan komponenter i Office 365-tjänsten |
| IntraSystemId | sträng | DET GUID som genereras av Azure Active Directory för att spåra åtgärden |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbart. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| IsManagedDevice | boolesk | Anger om åtgärden har skapats av en enhet som hanteras av organisationen |
| Objekt | sträng | Representerar det objekt som åtgärden utfördes på |
| ItemName | sträng | Strängen i fältet Ämne i e-postmeddelandet |
| ItemType | sträng | Den typ av objekt som har använts eller ändrats. Mer information om typer av objekt finns i tabellen ItemType |
| LoginStatus | int | Den här egenskapen kommer direkt från OrgIdLogon.LoginStatus. Mappningen av olika intressanta inloggningsfel kan göras genom aviseringsalgoritmer |
| Logon_Type | sträng | Anger vilken typ av användare som har åtkomst till postlådan och utförde åtgärden som loggades |
| LogonUserDisplayName | sträng | Det användarvänliga namnet på användaren som utförde åtgärden |
| LogonUserSid | sträng | SID för användaren som utförde åtgärden |
| MachineDomainInfo | sträng | Information om åtgärder för enhetssynkronisering |
| MachineId | sträng | Information om åtgärder för enhetssynkronisering |
| MailboxGuid | sträng | Exchange-GUID för postlådan som användes |
| MailboxOwnerMasterAccountSid | sträng | Huvudkontots SID för postlådans ägarkonto |
| MailboxOwnerSid | sträng | SID för postlådeägaren |
| MailboxOwnerUPN | sträng | E-postadressen till den person som äger postlådan som användes |
| Medlemmar | dynamisk | En lista över användare i ett team |
| Messageid | sträng | En identifierare för ett chatt- eller kanalmeddelande |
| ModifiedObjectResolvedName | sträng | Det här är det användarvänliga namnet på objektet som ändrades av cmdleten |
| ModifiedProperties | sträng | Egenskapen ingår för administratörshändelser, till exempel att lägga till en användare som medlem i en webbplats eller en administratörsgrupp för webbplatssamlingen |
| Name | sträng | Finns endast för inställningshändelser. Namnet på inställningen som ändrades |
| NewValue | sträng | Finns endast för inställningshändelser. Nytt värde för inställningen |
| OfficeId | sträng | Unik identifierare för en granskningspost |
| OfficeObjectId | sträng | För SharePoint- och OneDrive för företag-aktivitet |
| OfficeTenantId | sträng | Office-klientorganisations-ID |
| OfficeWorkload | sträng | Den Office 365 tjänst där aktiviteten inträffade |
| OldValue | sträng | Finns endast för inställningshändelser. Gammalt värde för inställningen |
| Åtgärd | sträng | Namnet på den åtgärd som användaren utför |
| OperationProperties | dynamisk | Ytterligare åtgärdsegenskaper |
| OperationScope | sträng | Omfånget som åtgärden utfördes på |
| Organisations-ID | sträng | GUID för organisationens Office 365 klientorganisation. Det här värdet kommer alltid att vara detsamma för din organisation |
| OrganizationName | sträng | Namnet på klientorganisationen |
| OriginatingServer | sträng | Namnet på servern som cmdleten kördes från |
| Parametrar | sträng | Namn och värde för alla parametrar som användes med cmdleten som identifieras i egenskapen Åtgärder |
| RecordType | sträng | Den typ av åtgärd som indikeras av posten. Mer information om typer av granskningsloggposter finns i tabellen AuditLogRecordType |
| _ResourceId | sträng | En unik identifierare för resursen som posten är associerad med |
| ResultReasonType | sträng | Orsak till resultatet som rapporterats i ResultType |
| ResultStatus | sträng | Anger om åtgärden (som anges i egenskapen Åtgärd) lyckades eller inte |
| SendAsUserMailboxGuid | sträng | Exchange-GUID för postlådan som användes för att skicka e-post som |
| SendAsUserSmtp | sträng | SMTP-adress för den användare som personifieras |
| SendonBehalfOfUserMailboxGuid | sträng | Exchange-GUID för postlådan som användes för att skicka e-post för |
| SendOnBehalfOfUserSmtp | sträng | SMTP-adress för användaren vars räkning e-postmeddelandet skickas |
| SharingType | sträng | Den typ av delningsbehörigheter som tilldelades användaren som resursen delades med. Den här användaren identifieras av parametern UserSharedWith |
| Webbplats_ | sträng | GUID för den plats där filen eller mappen som användaren har åtkomst till finns |
| Site_Url | sträng | URL:en för den webbplats där filen eller mappen som användaren har åtkomst till finns |
| Source_Name | sträng | Entiteten som utlöste den granskade åtgärden. Möjliga värden är SharePoint eller ObjectModel |
| SourceFileExtension | sträng | Filnamnstillägget för filen som användaren har använt |
| SourceFileName | sträng | Namnet på filen eller mappen som användaren har åtkomst till |
| SourceRecordId | sträng | Unik identifierare för en granskningspost |
| SourceRelativeUrl | sträng | URL:en för mappen som innehåller filen som användaren har åtkomst till |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SRPolicyId | sträng | Princip-ID |
| SRPolicyName | sträng | Principnamn |
| SRRuleMatchDetails | dynamisk | Regelinformation |
| Start_Time | datetime | Datum och tid då cmdleten kördes |
| _SubscriptionId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
| SupportTicketId | sträng | Kundsupportens biljett-ID för åtgärden i "act-on-behalf-of"-situationer |
| TabType | sträng | Den typ av flik som genererade händelsen |
| TargetContextId | sträng | GUID för den organisation som målanvändaren tillhör |
| TargetUserId | sträng | Målanvändar-ID |
| TargetUserOrGroupName | sträng | Lagrar UPN eller namnet på målanvändaren eller gruppen som en resurs har delats med |
| TargetUserOrGroupType | sträng | Identifierar om målanvändaren eller gruppen är medlem, gäst, grupp eller partner |
| TeamGuid | sträng | En unik identifierare för teamet som granskas |
| TeamName | sträng | Namnet på teamet som granskas |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| TimeGenerated | datetime | Datum och tid i Coordinated Universal Time (UTC) när användaren utförde aktiviteten |
| Typ | sträng | Namnet på tabellen |
| Useragent | sträng | Användaragenten |
| UserDomain | sträng | Domänen för användaren |
| UserId | sträng | UPN (användarens huvudnamn) för den användare som utförde åtgärden (anges i egenskapen Åtgärd) som resulterade i att posten loggades |
| UserKey | sträng | Ett alternativt ID för användaren som identifieras i egenskapen UserId |
| UserSharedWith | sträng | Användaren som en resurs har delats med |
| UserType | sträng | Den typ av användaren som utförde åtgärden. Mer information om typer av användare finns i tabellen UserType |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för