OfficeActivity
Azure Sentinel tarafından toplanan Office 365 kiracılar için denetim günlükleri. Exchange, SharePoint ve Teams günlükleri dahil.
Tablo öznitelikleri
| Öznitelik | Değer |
|---|---|
| Kaynak türleri | - |
| Kategoriler | Güvenlik |
| Çözümler | AzureSentinelPrivatePreview, SecurityInsights |
| Temel günlük | No |
| Veri alımı-zaman dönüşümü | Yes |
| Örnek Sorgular | Evet |
Sütunlar
| Sütun | Tür | Description |
|---|---|---|
| AADGroupId | string | Azure Active Directory grup kimliği |
| AADTarget | string | Eylemin (operation özelliği tarafından tanımlanan) gerçekleştirildiği kullanıcı |
| Etkinlik | string | Kullanıcının gerçekleştirdiği etkinlik. |
| Actor (Oyuncu) | string | Eylemi gerçekleştiren kullanıcı veya hizmet sorumlusu |
| ActorContextId | string | Aktörün ait olduğu kuruluşun GUID'i |
| ActorIpAddress | string | Aktörün IPV4 veya IPV6 adres biçimindeki IP adresi |
| AddOnGuid | string | Eklentinin benzersiz tanımlayıcısı bu olayı oluşturdu |
| AddonName | string | Bu olayı oluşturan eklentinin adı |
| AddOnType | string | Bu olayı oluşturan eklentinin türü |
| AffectedItems | string | Gruptaki her öğe hakkında bilgi |
| AppDistributionMode | string | Uygulama dağıtım modu |
| AppId | string | Uygulama Kimliği |
| Uygulama | string | Uygulama adı |
| ApplicationID | string | SharePoint uygulama kimliği |
| AzureActiveDirectory_EventType | string | Azure AD olayının türü |
| AzureADAppId | string | Teams Uygulama Azure AD Kimliği |
| _BilledSize | real | Bayt cinsinden kayıt boyutu |
| ChannelGuid | string | Denetlenen kanalın benzersiz tanımlayıcısı |
| Channelname | string | Denetlenen kanalın adı |
| ChannelType | string | Denetlenen kanalın türü (Standart/Özel) |
| ChatName | string | Sohbetin adı |
| ChatThreadId | string | Sohbet yazışmasının kimliği |
| İstemci | string | Hesap oturum açma olayı için kullanılan istemci cihazı, cihaz işletim sistemi ve cihaz tarayıcısı hakkındaki ayrıntılar |
| Client_IPAddress | string | İşlem günlüğe kaydedilirken kullanılan cihazın IP adresi |
| ClientAppId | string | İstemci uygulama kimliği |
| ClientInfoString | string | İşlemi gerçekleştirmek için kullanılan e-posta istemcisi hakkında bilgiler |
| clientIP | string | Etkinlik günlüğe kaydedildiğinde kullanılan cihazın IP adresi |
| ClientMachineName | string | Outlook istemcisini barındıran makine adı |
| ClientProcessName | string | Posta kutusuna erişmek için kullanılan e-posta istemcisi |
| ClientVersion | string | E-posta istemcisinin sürümü |
| CommunicationType | string | Gerçekleştirilen iletişimin türü |
| CrossMailboxOperations | bool | İşlemin birden fazla posta kutusuna dahil olup olmadığını gösterir |
| CustomEvent | string | Özel olaylar için isteğe bağlı dize |
| DataCenterSecurityEventType | int | Kilit kutusundaki dmdlet olayının türü |
| DestFolder | string | Hedef klasör |
| DestinationFileExtension | string | Kopyalanan veya taşınan bir dosyanın dosya uzantısı |
| Destinationfilename | string | Kopyalanan veya taşınan dosyanın adı |
| DestinationRelativeUrl | string | Bir dosyanın kopyalandığı veya taşındığı hedef klasörün URL'si |
| DestMailboxId | string | Yalnızca CrossMailboxOperations parametresi True olduğunda ayarlanır |
| DestMailboxOwnerMasterAccountSid | string | Yalnızca CrossMailboxOperations parametresi True olduğunda ayarlanır |
| DestMailboxOwnerSid | string | Yalnızca CrossMailboxOperations parametresi True olduğunda ayarlanır |
| DestMailboxOwnerUPN | string | Yalnızca CrossMailboxOperations parametresi True olduğunda ayarlanır |
| EffectiveOrganization | string | Yükseltme/cmdlet'in hedeflendiği kiracının adı |
| ElevationApprovedTime | datetime | Yükseltmenin onaylandığı zaman damgası |
| ElevationApprover | string | Microsoft yöneticisinin adı |
| ElevationDuration | int | Yükseltmenin etkin olduğu süre (Saat cinsinden) |
| ElevationRequestId | string | Yükseltme isteği için benzersiz tanımlayıcı |
| ElevationRole | string | Yükseltmenin istenildiği rol |
| ElevationTime | datetime | Yükseltmenin başlangıç saati |
| Event_Data | string | Özel olaylar için isteğe bağlı yük |
| EventSource | string | SharePoint'te bir olayın gerçekleştiğini tanımlar. Olası değerler SharePoint veya ObjectModel'dır |
| ExtendedProperties | string | Azure AD olayının genişletilmiş özellikleri |
| ExternalAccess | string | Cmdlet'in kuruluşunuzdaki bir kullanıcı tarafından çalıştırılıp çalıştırılmadığını belirtir |
| ExtraProperties | dynamic | Ek özelliklerin listesi |
| Klasör | string | Bir öğe grubunun bulunduğu klasör |
| Klasörler | string | Bir işlemde yer alan kaynak klasörler hakkında bilgi |
| GenericInfo | string | Açıklamalar ve diğer genel bilgiler için kullanılır |
| InternalLogonType | int | dahili kullanım için ayrılmıştır |
| InterSystemsId | string | Office 365 hizmetindeki bileşenler arasında eylemleri izleyen GUID |
| IntraSystemId | string | Eylemi izlemek için Azure Active Directory tarafından oluşturulan GUID |
| _IsBillable | string | Veri alımının faturalanabilir olup olmadığını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmıyorsa |
| IsManagedDevice | bool | İşlemin kuruluş tarafından yönetilen bir cihaz tarafından oluşturulup oluşturulmadığını gösterir |
| Öğe | string | İşlemin gerçekleştirildiği öğeyi temsil eder |
| ItemName | string | E-posta iletisinin Konu alanındaki dize |
| ItemType | string | Erişilen veya değiştirilen nesnenin türü. Nesne türleri hakkında ayrıntılı bilgi için bkz. ItemType tablosu |
| Loginstatus | int | Bu özellik doğrudan OrgIdLogon.LoginStatus'tan alınmaktadır. Algoritmaları uyararak çeşitli ilginç oturum açma hatalarının eşlenmesi gerçekleştirilebilir |
| Logon_Type | string | Posta kutusuna erişen ve günlüğe kaydedilen işlemi gerçekleştiren kullanıcının türünü gösterir |
| LogonUserDisplayName | string | İşlemi gerçekleştiren kullanıcının kolay adı |
| LogonUserSid | string | İşlemi gerçekleştiren kullanıcının SID'i |
| MachineDomainInfo | string | Cihaz eşitleme işlemleri hakkında bilgi |
| MachineId | string | Cihaz eşitleme işlemleri hakkında bilgi |
| MailboxGuid | string | Erişilen posta kutusunun Exchange GUID'i |
| MailboxOwnerMasterAccountSid | string | Posta kutusu sahibi hesabının ana hesabı SID'i |
| MailboxOwnerSid | string | Posta kutusu sahibinin SID'i |
| MailboxOwnerUPN | string | Erişilen posta kutusunun sahibi olan kişinin e-posta adresi |
| Üyeler | dynamic | Ekip içindeki kullanıcıların listesi |
| Messageıd | string | Sohbet veya kanal iletisi tanımlayıcısı |
| ModifiedObjectResolvedName | string | Bu, cmdlet'i tarafından değiştirilen nesnenin kullanıcı dostu adıdır |
| ModifiedProperties | string | Özellik, bir kullanıcıyı bir sitenin veya site koleksiyonu yönetici grubunun üyesi olarak ekleme gibi yönetici olayları için dahil edilir |
| Name | string | Yalnızca ayarlar olayları için mevcut. Değişen ayarın adı |
| Newvalue | string | Yalnızca ayarlar olayları için mevcut. Ayarın yeni değeri |
| Officeıd | string | Denetim kaydının benzersiz tanımlayıcısı |
| OfficeObjectId | string | SharePoint ve OneDrive İş etkinliği için |
| OfficeTenantId | string | Office kiracı kimliği |
| OfficeWorkload | string | Etkinliğin gerçekleştiği Office 365 hizmeti |
| Oldvalue | string | Yalnızca ayarlar olayları için mevcut. Ayarın eski değeri |
| İşlem | string | Kullanıcının gerçekleştirdiği işlemin adı |
| OperationProperties | dynamic | Ek işlem özellikleri |
| OperationScope | string | İşlemin gerçekleştirildiği kapsam |
| OrganizationId | string | Kuruluşunuzun Office 365 kiracısının GUID değeri. Bu değer kuruluşunuz için her zaman aynı olacaktır |
| OrganizationName | string | Kiracının adı |
| OriginatingServer | string | Cmdlet'in yürütüldiği sunucunun adı |
| Parametreler | string | Operations özelliğinde tanımlanan cmdlet ile kullanılan tüm parametrelerin adı ve değeri |
| RecordType | string | Kayıtta belirtilen işlem türü. Denetim günlüğü kayıtlarının türleri hakkında ayrıntılı bilgi için AuditLogRecordType tablosuna bakın |
| _Resourceıd | string | Kaydın ilişkili olduğu kaynağın benzersiz tanımlayıcısı |
| ResultReasonType | string | ResultType'ta bildirilen sonucun nedeni |
| ResultStatus | string | Eylemin (Operation özelliğinde belirtilen) başarılı olup olmadığını gösterir |
| SendAsUserMailboxGuid | string | E-posta göndermek için erişilen posta kutusunun Exchange GUID'i |
| SendAsUserSmtp | string | Kimliğine bürünülen kullanıcının SMTP adresi |
| SendonBehalfOfUserMailboxGuid | string | Adına posta göndermek için erişilen posta kutusunun Exchange GUID'i |
| SendOnBehalfOfUserSmtp | string | E-postanın adına gönderildiği kullanıcının SMTP adresi |
| SharingType | string | Kaynağın paylaşıldığı kullanıcıya atanan paylaşım izinlerinin türü. Bu kullanıcı UserSharedWith parametresiyle tanımlanır |
| Site_ | string | Kullanıcı tarafından erişilen dosya veya klasörün bulunduğu sitenin GUID'i |
| Site_Url | string | Kullanıcı tarafından erişilen dosya veya klasörün bulunduğu sitenin URL'si |
| Source_name | string | Denetlenen işlemi tetikleyen varlık. Olası değerler SharePoint veya ObjectModel'dır |
| SourceFileExtension | string | Kullanıcı tarafından erişilen dosyanın dosya uzantısı |
| Sourcefilename | string | Kullanıcı tarafından erişilen dosya veya klasörün adı |
| SourceRecordId | string | Denetim kaydının benzersiz tanımlayıcısı |
| SourceRelativeUrl | string | Kullanıcı tarafından erişilen dosyayı içeren klasörün URL'si |
| SourceSystem | string | Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
| SRPolicyId | string | İlke Kimliği |
| SRPolicyName | string | İlke adı |
| SRRuleMatchDetails | dynamic | Kural ayrıntıları |
| Start_time | datetime | Cmdlet'in yürütüldiği tarih ve saat |
| _SubscriptionId | string | Kaydın ilişkili olduğu abonelik için benzersiz tanımlayıcı |
| SupportTicketId | string | 'Adına işlem' durumlarındaki eylemin müşteri desteği bilet kimliği |
| TabType | string | Bu olayı oluşturan sekme türü |
| TargetContextId | string | Hedeflenen kullanıcının ait olduğu kuruluşun GUID'i |
| TargetUserId | string | Hedef kullanıcı kimliği |
| TargetUserOrGroupName | string | Bir kaynağın paylaşıldığı hedef kullanıcının veya grubun UPN'sini veya adını depolar |
| TargetUserOrGroupType | string | Hedef kullanıcının veya grubun Üye, Konuk, Grup veya İş Ortağı olup olmadığını belirler |
| TeamGuid | string | Denetlenen ekibin benzersiz tanımlayıcısı |
| TeamName | string | Denetlenen ekibin adı |
| TenantId | string | Log Analytics çalışma alanı kimliği |
| TimeGenerated | datetime | Kullanıcının etkinliği gerçekleştirdiği Eşgüdümlü Evrensel Saat (UTC) tarih ve saati |
| Tür | string | Tablonun adı |
| Useragent | string | Kullanıcı aracısı |
| UserDomain | string | Kullanıcının etki alanı |
| UserId | string | Kaydın günlüğe kaydedilmesine neden olan eylemi gerçekleştiren kullanıcının UPN'i (Kullanıcı Asıl Adı) (operation özelliğinde belirtilen) |
| UserKey | string | UserId özelliğinde tanımlanan kullanıcı için alternatif bir kimlik |
| UserSharedWith | string | Kaynağın paylaşıldığı kullanıcı |
| UserType | string | İşlemi gerçekleştiren kullanıcının türü. Kullanıcı türleriyle ilgili ayrıntılar için UserType tablosuna bakın |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin