Azure'da Office 365 yönetim çözümü (Önizleme)
Önemli
Çözüm güncelleştirmesi
Bu çözümün yerini Microsoft Sentinel'dekiOffice 365 Genel Kullanılabilirlik çözümü ve Azure AD raporlama ve izleme çözümü almıştır. Birlikte, gelişmiş bir yapılandırma deneyimiyle önceki Azure İzleyici Office 365 çözümünün güncelleştirilmiş bir sürümünü sağlar. Mevcut çözümü 31 Ekim 2020'ye kadar kullanmaya devam edebilirsiniz.
Microsoft Sentinel, günlükleri alan ve algılamalar, araştırmalar, avcılık ve makine öğrenmesi odaklı içgörüler dahil olmak üzere ek SIEM işlevleri sağlayan bulutta yerel bir Güvenlik Bilgileri ve Olay Yönetimi çözümüdür. Microsoft Sentinel'i kullanmak artık Office 365 SharePoint etkinliği ve Exchange yönetim günlüklerinin alımını sağlayacaktır.
Azure AD raporlama, oturum açma olayları, denetim olayları ve dizininizdeki değişiklikler dahil olmak üzere ortamınızdaki Azure AD etkinliğinden gelen günlüklerin daha kapsamlı bir görünümünü sağlar. Azure AD günlükleri bağlamak için Microsoft Sentinel Azure AD bağlayıcısını kullanabilir veya Azure İzleyici ile Azure AD günlük tümleştirmesini yapılandırabilirsiniz.
Azure AD günlüğü koleksiyonu Azure İzleyici fiyatlandırmasına tabidir. Daha fazla bilgi için bkz. Azure İzleyici fiyatlandırması .
Microsoft Sentinel Office 365 çözümünü kullanmak için:
- Microsoft Sentinel'de Office 365 bağlayıcısını kullanmak çalışma alanınızın fiyatlandırmasını etkiler. Daha fazla bilgi için bkz. Microsoft Sentinel fiyatlandırması.
- Azure İzleyici Office 365 çözümünü zaten kullanıyorsanız, önce aşağıdaki Kaldır bölümündeki betiği kullanarak kaldırmanız gerekir.
- Çalışma alanınızda Microsoft Sentinel çözümünü etkinleştirin.
- Microsoft Sentinel'de Veri bağlayıcıları sayfasına gidin ve Office 365 bağlayıcısını etkinleştirin.
Sık sorulan sorular
S: Office 365 Azure İzleyici çözümünün eklenmesi şu an ile 31 Ekim arasında mümkün mü?
Hayır, Azure İzleyici Office 365 çözümü ekleme betikleri artık kullanılamaz. Çözüm 31 Ekim'de kaldırılacak.
S: Tablolar ve şemalar değiştirilecek mi?
OfficeActivity tablo adı ve şeması geçerli çözümdekiyle aynı kalacaktır. Yeni çözümde Azure AD verilere başvuran sorgular dışında aynı sorguları kullanmaya devam edebilirsiniz.
Yeni Azure AD raporlama ve izleme çözümü günlükleri, OfficeActivity yerine SigninLogs ve AuditLogs tablolarına alınacaktır. Daha fazla bilgi için bkz. Microsoft Sentinel ve Azure İzleyici kullanıcıları için de geçerli olan Azure AD günlüklerini analiz etme.
Sorgular OfficeActivity'denSigninLogs'a dönüştürülecek örnekler aşağıdadır:
Kullanıcı tarafından sorgu başarısız oturum açma işlemleri:
OfficeActivity
| where TimeGenerated >= ago(1d)
| where OfficeWorkload == "AzureActiveDirectory"
| where Operation == 'UserLoginFailed'
| summarize count() by UserId
SigninLogs
| where ConditionalAccessStatus == "failure" or ConditionalAccessStatus == "notApplied"
| summarize count() by UserDisplayName
Azure AD işlemlerini görüntüleyin:
OfficeActivity
| where OfficeWorkload =~ "AzureActiveDirectory"
| sort by TimeGenerated desc
| summarize AggregatedValue = count() by Operation
AuditLogs
| summarize count() by OperationName
S: Microsoft Sentinel'i nasıl ekleyebilirim?
Microsoft Sentinel, yeni veya mevcut Log Analytics çalışma alanında etkinleştirebileceğiniz bir çözümdür. Daha fazla bilgi edinmek için Microsoft Sentinel ekleme belgelerine bakın.
S: Azure AD günlüklerine bağlanmak için Microsoft Sentinel'e ihtiyacım var mı?
Microsoft Sentinel çözümüyle ilgili olmayan Azure İzleyici ile Azure AD günlük tümleştirmesini yapılandırabilirsiniz. Microsoft Sentinel, Azure AD günlükleri için yerel bir bağlayıcı ve kullanıma hazır içerik sağlar. Daha fazla bilgi için, kullanıma hazır güvenlik odaklı içerikle ilgili aşağıdaki soruya bakın.
S: Microsoft Sentinel ve Azure İzleyici'den Azure AD günlükleri bağlarken hangi farklar vardır?
Microsoft Sentinel ve Azure İzleyici, aynı Azure AD raporlama ve izleme çözümünü temel alan Azure AD günlüklere bağlanır. Microsoft Sentinel, aynı verileri bağlayan ve izleme bilgileri sağlayan tek tıklamayla yerel bir bağlayıcı sağlar.
S: Yeni Azure AD raporlama ve izleme tablolarına geçerken neleri değiştirmem gerekiyor?
Uyarılardaki sorgular, panolar ve Office 365 Azure AD verileri kullanarak oluşturduğunuz tüm içerik dahil olmak üzere Azure AD verilerini kullanan tüm sorguların yeni tablolar kullanılarak yeniden oluşturulması gerekir.
Microsoft Sentinel ve Azure AD, Azure AD raporlama ve izleme çözümüne geçerken kullanabileceğiniz yerleşik içerik sağlar. Daha fazla bilgi için kullanıma hazır güvenlik odaklı içerikle ilgili bir sonraki soruya ve Azure Active Directory raporları için Azure İzleyici çalışma kitaplarını kullanma konusuna bakın.
S: Microsoft Sentinel kullanıma açık güvenlik odaklı içeriği nasıl kullanabilirim?
Microsoft Sentinel, Office 365 ve Azure AD günlüklerine göre kullanıma açık güvenlik odaklı panolar, özel uyarı sorguları, tehdit avcılığı sorguları, araştırma ve otomatik yanıt özellikleri sağlar. Daha fazla bilgi edinmek için Microsoft Sentinel GitHub topluluğu ve öğreticilerini keşfedin:
- Kullanıma hazır özelliklerle tehditleri algılama
- Şüpheli tehditleri algılamak için özel analiz kuralları oluşturma
- Verilerinizi izleme
- Microsoft Sentinel ile olayları araştırma
- Microsoft Sentinel'de otomatik tehdit yanıtlarını ayarlama
- Microsoft Sentinel GitHub topluluğu
S: Microsoft Sentinel çözümün bir parçası olarak ek bağlayıcılar sağlıyor mu?
Evet, bkz. Microsoft Sentinel connect veri kaynakları.
S: 31 Ekim'de ne olacak? Önceden kalkış yapmam gerekiyor mu?
- Office365 çözümünden veri alamazsınız. Çözüm çalışma alanınızdan kaldırılır ve artık Market'te kullanılamaz.
- Microsoft Sentinel müşterileri için Log Analytics çalışma alanı çözümü Office365 , Microsoft Sentinel SecurityInsights çözümüne dahil edilecek.
- 31 Ekim'e kadar çözümünüzü el ile çıkarmazsanız, verileriniz otomatik olarak kesilir ve OfficeActivity tablosu kaldırılır. Yine de aşağıda açıklandığı gibi Microsoft Sentinel'de Office 365 bağlayıcısını etkinleştirdiğinizde tabloyu geri yükleyebilirsiniz.
S: Veri aktarımım yeni çözüme yapılacak mı?
Evet. Office 365 çözümünü çalışma alanınızdan kaldırdığınızda, şema kaldırıldığı için bu çözümün verileri geçici olarak kullanılamaz duruma gelir. Microsoft Sentinel'de yeni Office 365 bağlayıcısını etkinleştirdiğinizde şema çalışma alanına geri yüklenir ve toplanan tüm veriler kullanılabilir duruma gelir.
Office 365 yönetim çözümü, Azure İzleyici'de Office 365 ortamınızı izlemenize olanak tanır.
- Kullanım düzenlerini analiz etmek ve davranış eğilimlerini belirlemek için Office 365 hesaplarınızdaki kullanıcı etkinliklerini izleyin. Örneğin, kuruluşunuzun dışında paylaşılan dosyalar veya en popüler SharePoint siteleri gibi belirli kullanım senaryolarını ayıklayabilirsiniz.
- Yapılandırma değişikliklerini veya yüksek ayrıcalıklı işlemleri izlemek için yönetici etkinliklerini izleyin.
- Kuruluş gereksinimlerinize göre özelleştirilebilen istenmeyen kullanıcı davranışlarını algılayın ve araştırın.
- Denetim ve uyumluluğu gösterme. Örneğin, gizli dosyalardaki dosya erişim işlemlerini izleyebilirsiniz ve bu da denetim ve uyumluluk sürecinde size yardımcı olabilir.
- Kuruluşunuzun Office 365 etkinlik verilerinin üzerinde günlük sorgularını kullanarak işlemsel sorun giderme gerçekleştirin.
Kaldırma
yönetim çözümünü kaldırma bölümündeki işlemi kullanarak Office 365 yönetim çözümünü kaldırabilirsiniz. Ancak bu, verilerin Office 365 Azure İzleyici'ye toplanmasını durdurmaz. Office 365 aboneliğini kaldırmak ve veri toplamayı durdurmak için aşağıdaki yordamı izleyin.
Aşağıdaki betiği office365_unsubscribe.ps1olarak kaydedin.
param ( [Parameter(Mandatory=$True)][string]$WorkspaceName, [Parameter(Mandatory=$True)][string]$ResourceGroupName, [Parameter(Mandatory=$True)][string]$SubscriptionId, [Parameter(Mandatory=$True)][string]$OfficeTennantId, [Parameter(Mandatory=$True)][string]$clientId, [Parameter(Mandatory=$True)][string]$xms_client_tenant_Id ) $line='#-------------------------------------------------------------------------------------------------------------------------------------------------------------------------' $line IF ($Subscription -eq $null) {Login-AzAccount -ErrorAction Stop} $Subscription = (Select-AzSubscription -SubscriptionId $($SubscriptionId) -ErrorAction Stop) $Subscription $option = [System.StringSplitOptions]::RemoveEmptyEntries $Workspace = (Set-AzOperationalInsightsWorkspace -Name $($WorkspaceName) -ResourceGroupName $($ResourceGroupName) -ErrorAction Stop) $Workspace $WorkspaceLocation= $Workspace.Location # Client ID for Azure PowerShell # Set redirect URI for Azure PowerShell $redirectUri = "urn:ietf:wg:oauth:2.0:oob" $domain='login.microsoftonline.com' $adTenant = $Subscription[0].Tenant.Id $authority = "https://login.windows.net/$adTenant"; $ARMResource ="https://management.azure.com/";' switch ($WorkspaceLocation) { "USGov Virginia" { $domain='login.microsoftonline.us'; $authority = "https://login.microsoftonline.us/$adTenant"; $ARMResource ="https://management.usgovcloudapi.net/"; break} # US Gov Virginia default { $domain='login.microsoftonline.com'; $authority = "https://login.windows.net/$adTenant"; $ARMResource ="https://management.azure.com/";break} } Function RESTAPI-Auth { $global:SubscriptionID = $Subscription.SubscriptionId # Set Resource URI to Azure Service Management API $resourceAppIdURIARM=$ARMResource; # Authenticate and Acquire Token # Create Authentication Context tied to Azure AD Tenant $authContext = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext" -ArgumentList $authority # Acquire token $platformParameters = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.PlatformParameters" -ArgumentList "Auto" $global:authResultARM = $authContext.AcquireTokenAsync($resourceAppIdURIARM, $clientId, $redirectUri, $platformParameters) $global:authResultARM.Wait() $authHeader = $global:authResultARM.Result.CreateAuthorizationHeader() $authHeader } Function Office-UnSubscribe-Call{ #---------------------------------------------------------------------------------------------------------------------------------------------- $authHeader = $global:authResultARM.Result.CreateAuthorizationHeader() $ResourceName = "https://manage.office.com" $SubscriptionId = $Subscription[0].Subscription.Id $OfficeAPIUrl = $ARMResource + 'subscriptions/' + $SubscriptionId + '/resourceGroups/' + $ResourceGroupName + '/providers/Microsoft.OperationalInsights/workspaces/' + $WorkspaceName + '/datasources/office365datasources_' + $SubscriptionId + $OfficeTennantId + '?api-version=2015-11-01-preview' $Officeparams = @{ ContentType = 'application/json' Headers = @{ 'Authorization'="$($authHeader)" 'x-ms-client-tenant-id'=$xms_client_tenant_Id 'Content-Type' = 'application/json' } Method = 'Delete' URI = $OfficeAPIUrl } $officeresponse = Invoke-WebRequest @Officeparams $officeresponse } #GetDetails RESTAPI-Auth -ErrorAction Stop Office-UnSubscribe-Call -ErrorAction Stop
Betiği aşağıdaki komutla çalıştırın:
.\office365_unsubscribe.ps1 -WorkspaceName <Log Analytics workspace name> -ResourceGroupName <Resource Group name> -SubscriptionId <Subscription ID> -OfficeTennantID <Tenant ID>
Örnek:
.\office365_unsubscribe.ps1 -WorkspaceName MyWorkspace -ResourceGroupName MyResourceGroup -SubscriptionId '60b79d74-f4e4-4867-b631-yyyyyyyyyyyy' -OfficeTennantID 'ce4464f8-a172-4dcf-b675-xxxxxxxxxxxx'
Kimlik bilgileriniz istenir. Log Analytics çalışma alanınız için kimlik bilgilerini sağlayın.
Veri toplama
Verilerin başlangıçta toplanması birkaç saat sürebilir. Toplamaya başladıktan sonra, Office 365 her kayıt oluşturulduğunda Azure İzleyici'ye ayrıntılı verileri içeren bir web kancası bildirimi gönderir. Bu kayıt, alındıktan sonra birkaç dakika içinde Azure İzleyici'de kullanılabilir.
Çözümü kullanma
Bu izleme çözümü tarafından toplanan veriler, Azure portal Çalışma Alanı Özeti (kullanım dışı) sayfasında bulunabilir. Çözümünüzle birlikte çalışma alanının Log Analytics çalışma alanlarından bu sayfayı açın ve ardından menünün Klasikbölümünden Çalışma Alanı Özeti (kullanım dışı) öğesini seçin. Her çözüm bir kutucukla temsil edilir. Bu çözüm tarafından toplanan daha ayrıntılı veriler için bir kutucuk seçin.
log analytics çalışma alanınıza Office 365 çözümü eklediğinizde, Office 365 kutucuğu panonuza eklenir. Bu kutucukta, ortamınızdaki bilgisayarların sayısına ve güncelleştirme uyumluluğuna ilişkin bir sayı ve grafik gösterimi görüntülenir.
Office 365 panosunu açmak için Office 365 kutucuğuna tıklayın.
Pano aşağıdaki tabloda gösterilen sütunları içerir. Her sütun, belirtilen kapsam ve zaman aralığı için ilgili sütunun ölçütleriyle eşleşen sayıyı kullanarak ilk on uyarıyı listeler. Sütunun alt kısmındaki Tümünü görüntüle'ye tıklayarak veya sütun üst bilgisine tıklayarak listenin tamamını sağlayan bir günlük araması çalıştırabilirsiniz.
Sütun | Açıklama |
---|---|
Operations | İzlenen tüm Office 365 aboneliklerinizdeki etkin kullanıcılar hakkında bilgi sağlar. Ayrıca zaman içinde gerçekleşen etkinliklerin sayısını da görebilirsiniz. |
Exchange | Add-Mailbox İzin veya Set-Mailbox gibi Exchange Server etkinliklerinin dökümünü gösterir. |
SharePoint | Kullanıcıların SharePoint belgelerinde gerçekleştirdiği en önemli etkinlikleri gösterir. Bu kutucukta detaya gittiğiniz zaman, arama sayfasında hedef belge ve bu etkinliğin konumu gibi bu etkinliklerin ayrıntıları gösterilir. Örneğin, Dosya Erişimli olayı için erişilen belgeyi, ilişkili hesap adını ve IP adresini görebilirsiniz. |
Azure Active Directory | Kullanıcı Parolasını Sıfırla ve Oturum Açma Girişimleri gibi en önemli kullanıcı etkinliklerini içerir. Detaya gittiğiniz zaman Sonuç Durumu gibi bu etkinliklerin ayrıntılarını görebilirsiniz. Bu çoğunlukla Azure Active Directory'nizdeki şüpheli etkinlikleri izlemek istiyorsanız yararlıdır. |
Azure İzleyici günlük kayıtları
Office 365 çözümü tarafından Azure İzleyici'deki Log Analytics çalışma alanında oluşturulan tüm kayıtların Türü OfficeActivity'tir. OfficeWorkload özelliği, kaydın hangi Office 365 hizmetine başvurduğu belirler: Exchange, AzureActiveDirectory, SharePoint veya OneDrive. RecordType özelliği işlemin türünü belirtir. Özellikler her işlem türü için farklılık gösterir ve aşağıdaki tablolarda gösterilir.
Ortak özellikler
Aşağıdaki özellikler tüm Office 365 kayıtları için ortaktır.
Özellik | Açıklama |
---|---|
Tür | OfficeActivity |
clientIP | Etkinlik günlüğe kaydedildiğinde kullanılan cihazın IP adresi. IP adresi IPv4 veya IPv6 adresi biçiminde görüntülenir. |
OfficeWorkload | Kaydın başvurduğu hizmeti Office 365. AzureActiveDirectory Exchange SharePoint |
İşlem | Kullanıcı veya yönetici etkinliğinin adı. |
OrganizationId | Kuruluşunuzun Office 365 kiracısının GUID değeri. Bu değer, oluştuğu Office 365 hizmet ne olursa olsun kuruluşunuz için her zaman aynı olacaktır. |
RecordType | Gerçekleştirilen işlemin türü. |
ResultStatus | Eylemin (Operation özelliğinde belirtilen) başarılı olup olmadığını belirtir. Olası değerler Başarılı, Kısmen Doğrulanmış veya Başarısız değerleridir. Exchange yönetici etkinliği için değer Doğru veya Yanlış'tır. |
UserId | Kaydın günlüğe kaydedilmesine neden olan eylemi gerçekleştiren kullanıcının UPN'i (Kullanıcı Asıl Adı); örneğin, my_name@my_domain_name. Sistem hesapları (SHAREPOINT\system veya NTAUTHORITY\SYSTEM gibi) tarafından gerçekleştirilen etkinlik kayıtlarının da eklendiğini unutmayın. |
UserKey | UserId özelliğinde tanımlanan kullanıcı için alternatif bir kimlik. Örneğin, bu özellik SharePoint, OneDrive İş ve Exchange'de kullanıcılar tarafından gerçekleştirilen olaylar için pasaport benzersiz kimliği (PUID) ile doldurulur. Bu özellik, diğer hizmetlerde gerçekleşen olaylar ve sistem hesapları tarafından gerçekleştirilen olaylar için UserID özelliğiyle aynı değeri de belirtebilir |
UserType | İşlemi gerçekleştiren kullanıcının türü. Yönetici Uygulama DcAdmin Düzenli Ayrılmıştır ServicePrincipal Sistem |
Azure Active Directory tabanı
Aşağıdaki özellikler tüm Azure Active Directory kayıtları için ortaktır.
Özellik | Açıklama |
---|---|
OfficeWorkload | AzureActiveDirectory |
RecordType | AzureActiveDirectory |
AzureActiveDirectory_EventType | Azure AD olayının türü. |
ExtendedProperties | Azure AD olayının genişletilmiş özellikleri. |
Azure Active Directory Hesabı oturum açma
Bu kayıtlar, bir Active Directory kullanıcısı oturum açmayı denediğinde oluşturulur.
Özellik | Açıklama |
---|---|
OfficeWorkload |
AzureActiveDirectory |
RecordType |
AzureActiveDirectoryAccountLogon |
Application |
Office 15 gibi hesap oturum açma olayını tetikleyen uygulama. |
Client |
Hesap oturum açma olayı için kullanılan istemci cihazı, cihaz işletim sistemi ve cihaz tarayıcısı hakkındaki ayrıntılar. |
LoginStatus |
Bu özellik doğrudan OrgIdLogon.LoginStatus'tan alınmaktadır. Çeşitli ilginç oturum açma hatalarının eşlemesi algoritmalar uyarılarak gerçekleştirilebilir. |
UserDomain |
Kiracı Kimliği Bilgileri (TII). |
Azure Active Directory
Bu kayıtlar, Azure Active Directory nesnelerinde değişiklik veya eklemeler yapıldığında oluşturulur.
Özellik | Açıklama |
---|---|
OfficeWorkload | AzureActiveDirectory |
RecordType | AzureActiveDirectory |
AADTarget | Eylemin (Operation özelliği tarafından tanımlanan) gerçekleştirildiği kullanıcı. |
Actor (Oyuncu) | Eylemi gerçekleştiren kullanıcı veya hizmet sorumlusu. |
ActorContextId | Aktörün ait olduğu kuruluşun GUID değeri. |
ActorIpAddress | Aktörün IP adresi IPV4 veya IPV6 adres biçimindedir. |
InterSystemsId | Office 365 hizmetindeki bileşenler arasında eylemleri izleyen GUID. |
IntraSystemId | Eylemi izlemek için Azure Active Directory tarafından oluşturulan GUID. |
SupportTicketId | "Adına hareket etme" durumlarındaki eylemin müşteri destek bileti kimliği. |
TargetContextId | Hedeflenen kullanıcının ait olduğu kuruluşun GUID'i. |
Veri Merkezi Güvenliği
Bu kayıtlar Veri Merkezi Güvenlik denetim verilerinden oluşturulur.
Özellik | Açıklama |
---|---|
EffectiveOrganization | Yükseltme/cmdlet'in hedeflendiği kiracının adı. |
ElevationApprovedTime | Yükseltmenin onaylandığı zaman damgası. |
ElevationApprover | Microsoft yöneticisinin adı. |
ElevationDuration | Yükseltmenin etkin olduğu süre. |
ElevationRequestId | Yükseltme isteğinin benzersiz tanımlayıcısı. |
ElevationRole | Yükseltmenin istenildiği rol. |
ElevationTime | Yükselmenin başlangıç saati. |
Start_time | Cmdlet yürütmesinin başlangıç saati. |
Exchange Yönetici
Bu kayıtlar, Exchange yapılandırmasında değişiklikler yapıldığında oluşturulur.
Özellik | Açıklama |
---|---|
OfficeWorkload | Exchange |
RecordType | ExchangeAdmin |
ExternalAccess | Cmdlet'in kuruluşunuzdaki bir kullanıcı tarafından mı, Microsoft veri merkezi personeli tarafından mı yoksa veri merkezi hizmet hesabı mı yoksa yönetici temsilcisi tarafından mı çalıştırıldığını belirtir. False değeri, cmdlet'in kuruluşunuzdaki biri tarafından çalıştırıldığını gösterir. True değeri, cmdlet'in veri merkezi personeli, veri merkezi hizmet hesabı veya yönetici temsilcisi tarafından çalıştırıldığını gösterir. |
ModifiedObjectResolvedName | Bu, cmdlet'i tarafından değiştirilen nesnenin kolay adıdır. Bu, yalnızca cmdlet nesneyi değiştirirse günlüğe kaydedilir. |
OrganizationName | Kiracının adı. |
Kaynak Sunucu | Cmdlet'in yürütüldiği sunucunun adı. |
Parametreler | Operations özelliğinde tanımlanan cmdlet ile kullanılan tüm parametrelerin adı ve değeri. |
Exchange Posta Kutusu
Bu kayıtlar, Exchange posta kutularına değişiklikler veya eklemeler yapıldığında oluşturulur.
Özellik | Açıklama |
---|---|
OfficeWorkload | Exchange |
RecordType | ExchangeItem |
ClientInfoString | İşlemi gerçekleştirmek için kullanılan tarayıcı sürümü, Outlook sürümü ve mobil cihaz bilgileri gibi e-posta istemcisi hakkında bilgiler. |
Client_IPAddress | İşlem günlüğe kaydedilirken kullanılan cihazın IP adresi. IP adresi IPv4 veya IPv6 adresi biçiminde görüntülenir. |
ClientMachineName | Outlook istemcisini barındıran makine adı. |
ClientProcessName | Posta kutusuna erişmek için kullanılan e-posta istemcisi. |
ClientVersion | E-posta istemcisinin sürümü. |
InternalLogonType | dahili kullanım için ayrılmıştır. |
Logon_Type | Posta kutusuna erişen ve günlüğe kaydedilen işlemi gerçekleştiren kullanıcının türünü gösterir. |
LogonUserDisplayName | İşlemi gerçekleştiren kullanıcının kolay adı. |
LogonUserSid | İşlemi gerçekleştiren kullanıcının SID'i. |
MailboxGuid | Erişilen posta kutusunun Exchange GUID'i. |
MailboxOwnerMasterAccountSid | Posta kutusu sahibi hesabının ana hesabı SID'sini seçin. |
MailboxOwnerSid | Posta kutusu sahibinin SID'i. |
MailboxOwnerUPN | Erişilen posta kutusunun sahibi olan kişinin e-posta adresi. |
Exchange Posta Kutusu Denetimi
Bu kayıtlar, bir posta kutusu denetim girdisi oluşturulduğunda oluşturulur.
Özellik | Açıklama |
---|---|
OfficeWorkload | Exchange |
RecordType | ExchangeItem |
Öğe | İşlemin gerçekleştirildiği öğeyi temsil eder |
SendAsUserMailboxGuid | E-posta göndermek için erişilen posta kutusunun Exchange GUID'i. |
SendAsUserSmtp | Kimliğine bürünülen kullanıcının SMTP adresi. |
SendonBehalfOfUserMailboxGuid | Adına posta göndermek için erişilen posta kutusunun Exchange GUID'i. |
SendOnBehalfOfUserSmtp | E-postanın adına gönderildiği kullanıcının SMTP adresi. |
Exchange Posta Kutusu Denetim Grubu
Bu kayıtlar, Exchange gruplarında değişiklikler veya eklemeler yapıldığında oluşturulur.
Özellik | Açıklama |
---|---|
OfficeWorkload | Exchange |
OfficeWorkload | ExchangeItemGroup |
AffectedItems | Gruptaki her öğe hakkında bilgi. |
CrossMailboxOperations | İşlemin birden fazla posta kutusuna dahil olup olmadığını gösterir. |
DestMailboxId | Yalnızca CrossMailboxOperations parametresi True olduğunda ayarlanır. Hedef posta kutusu GUID'sini belirtir. |
DestMailboxOwnerMasterAccountSid | Yalnızca CrossMailboxOperations parametresi True olduğunda ayarlanır. Hedef posta kutusu sahibinin ana hesap SID'sinin SID değerini belirtir. |
DestMailboxOwnerSid | Yalnızca CrossMailboxOperations parametresi True olduğunda ayarlanır. Hedef posta kutusunun SID'sini belirtir. |
DestMailboxOwnerUPN | Yalnızca CrossMailboxOperations parametresi True olduğunda ayarlanır. Hedef posta kutusunun sahibinin UPN'sini belirtir. |
DestFolder | Taşıma gibi işlemler için hedef klasör. |
Klasör | Bir öğe grubunun bulunduğu klasör. |
Klasörler | Bir işlemde yer alan kaynak klasörler hakkında bilgi; örneğin, klasörler seçili ve sonra silinmişse. |
SharePoint Temeli
Bu özellikler tüm SharePoint kayıtları için ortaktır.
Özellik | Açıklama |
---|---|
OfficeWorkload | SharePoint |
OfficeWorkload | SharePoint |
EventSource | SharePoint'te bir olayın gerçekleştiğini tanımlar. Olası değerler SharePoint veya ObjectModel'dır. |
ItemType | Erişilen veya değiştirilen nesnenin türü. Nesne türleri hakkında ayrıntılı bilgi için bkz. ItemType tablosu. |
MachineDomainInfo | Cihaz eşitleme işlemleri hakkında bilgi. Bu bilgiler yalnızca istekte mevcutsa bildirilir. |
MachineId | Cihaz eşitleme işlemleri hakkında bilgi. Bu bilgiler yalnızca istekte mevcutsa bildirilir. |
Site_ | Kullanıcı tarafından erişilen dosya veya klasörün bulunduğu sitenin GUID'i. |
Source_name | Denetlenen işlemi tetikleyen varlık. Olası değerler SharePoint veya ObjectModel'dır. |
Useragent | Kullanıcının istemcisi veya tarayıcısı hakkında bilgi. Bu bilgiler istemci veya tarayıcı tarafından sağlanır. |
SharePoint Şeması
Bu kayıtlar SharePoint'e yapılandırma değişiklikleri yapıldığında oluşturulur.
Özellik | Açıklama |
---|---|
OfficeWorkload | SharePoint |
OfficeWorkload | SharePoint |
CustomEvent | Özel olaylar için isteğe bağlı dize. |
Event_Data | Özel olaylar için isteğe bağlı yük. |
ModifiedProperties | Bu özellik, bir kullanıcıyı bir sitenin veya site koleksiyonu yönetici grubunun üyesi olarak ekleme gibi yönetici olayları için dahil edilir. özelliği, değiştirilen özelliğin adını (örneğin, Site Yönetici grubu), değiştirilen özelliğin yeni değerini (site yöneticisi olarak eklenen kullanıcı gibi) ve değiştirilen nesnenin önceki değerini içerir. |
SharePoint Dosya İşlemleri
Bu kayıtlar SharePoint'teki dosya işlemlerine yanıt olarak oluşturulur.
Özellik | Açıklama |
---|---|
OfficeWorkload | SharePoint |
OfficeWorkload | SharePointFileOperation |
DestinationFileExtension | Kopyalanan veya taşınan bir dosyanın dosya uzantısı. Bu özellik yalnızca FileCopied ve FileMoved olayları için görüntülenir. |
Destinationfilename | Kopyalanan veya taşınan dosyanın adı. Bu özellik yalnızca FileCopied ve FileMoved olayları için görüntülenir. |
DestinationRelativeUrl | Bir dosyanın kopyalandığı veya taşındığı hedef klasörün URL'si. SiteURL, DestinationRelativeURL ve DestinationFileName parametrelerinin değerlerinin bileşimi, kopyalanan dosyanın tam yol adı olan ObjectID özelliğinin değeriyle aynıdır. Bu özellik yalnızca FileCopied ve FileMoved olayları için görüntülenir. |
SharingType | Kaynağın paylaşıldığı kullanıcıya atanan paylaşım izinlerinin türü. Bu kullanıcı UserSharedWith parametresiyle tanımlanır. |
Site_Url | Kullanıcı tarafından erişilen dosya veya klasörün bulunduğu sitenin URL'si. |
SourceFileExtension | Kullanıcı tarafından erişilen dosyanın dosya uzantısı. Erişilen nesne bir klasörse bu özellik boş olur. |
Sourcefilename | Kullanıcı tarafından erişilen dosya veya klasörün adı. |
SourceRelativeUrl | Kullanıcı tarafından erişilen dosyayı içeren klasörün URL'si. SiteURL, SourceRelativeURL ve SourceFileName parametrelerinin değerlerinin birleşimi, kullanıcı tarafından erişilen dosyanın tam yol adı olan ObjectID özelliğinin değeriyle aynıdır. |
UserSharedWith | Kaynağın paylaşıldığı kullanıcı. |
Örnek günlük sorguları
Aşağıdaki tabloda, bu çözüm tarafından toplanan güncelleştirme kayıtları için örnek günlük sorguları sağlanmaktadır.
Sorgu | Açıklama |
---|---|
Office 365 aboneliğinizdeki tüm işlemlerin sayısı | OfficeActivity | operation tarafından count() özetleme |
SharePoint sitelerinin kullanımı | OfficeActivity | where OfficeWorkload =~ "sharepoint" | summarize count() by SiteUrl | asc say'a göre sıralama |
Kullanıcı türüne göre dosya erişim işlemleri | OfficeActivity | UserType tarafından count() özetleme |
Exchange'de dış eylemleri izleme | OfficeActivity | burada OfficeWorkload =~ "exchange" ve ExternalAccess == true |
Sonraki adımlar
- Ayrıntılı güncelleştirme verilerini görüntülemek için Azure İzleyici'de günlük sorgularını kullanın.
- Sık kullandığınız Office 365 arama sorgularını görüntülemek için kendi panolarınızı oluşturun.
- Önemli Office 365 etkinlikleriyle ilgili proaktif olarak bildirim almak için uyarılar oluşturun.