Azure'da Office 365 yönetim çözümü (Önizleme)

  • Makale

Office 365 logosu

Önemli

Çözüm güncelleştirmesi

Bu çözümün yerini Microsoft Sentinel'dekiOffice 365 Genel Kullanılabilirlik çözümü ve Azure AD raporlama ve izleme çözümü almıştır. Birlikte, gelişmiş bir yapılandırma deneyimiyle önceki Azure İzleyici Office 365 çözümünün güncelleştirilmiş bir sürümünü sağlar. Mevcut çözümü 31 Ekim 2020'ye kadar kullanmaya devam edebilirsiniz.

Microsoft Sentinel, günlükleri alan ve algılamalar, araştırmalar, avcılık ve makine öğrenmesi odaklı içgörüler dahil olmak üzere ek SIEM işlevleri sağlayan bulutta yerel bir Güvenlik Bilgileri ve Olay Yönetimi çözümüdür. Microsoft Sentinel'i kullanmak artık Office 365 SharePoint etkinliği ve Exchange yönetim günlüklerinin alımını sağlayacaktır.

Azure AD raporlama, oturum açma olayları, denetim olayları ve dizininizdeki değişiklikler dahil olmak üzere ortamınızdaki Azure AD etkinliğinden gelen günlüklerin daha kapsamlı bir görünümünü sağlar. Azure AD günlükleri bağlamak için Microsoft Sentinel Azure AD bağlayıcısını kullanabilir veya Azure İzleyici ile Azure AD günlük tümleştirmesini yapılandırabilirsiniz.

Azure AD günlüğü koleksiyonu Azure İzleyici fiyatlandırmasına tabidir. Daha fazla bilgi için bkz. Azure İzleyici fiyatlandırması .

Microsoft Sentinel Office 365 çözümünü kullanmak için:

  1. Microsoft Sentinel'de Office 365 bağlayıcısını kullanmak çalışma alanınızın fiyatlandırmasını etkiler. Daha fazla bilgi için bkz. Microsoft Sentinel fiyatlandırması.
  2. Azure İzleyici Office 365 çözümünü zaten kullanıyorsanız, önce aşağıdaki Kaldır bölümündeki betiği kullanarak kaldırmanız gerekir.
  3. Çalışma alanınızda Microsoft Sentinel çözümünü etkinleştirin.
  4. Microsoft Sentinel'de Veri bağlayıcıları sayfasına gidin ve Office 365 bağlayıcısını etkinleştirin.

Sık sorulan sorular

S: Office 365 Azure İzleyici çözümünün eklenmesi şu an ile 31 Ekim arasında mümkün mü?

Hayır, Azure İzleyici Office 365 çözümü ekleme betikleri artık kullanılamaz. Çözüm 31 Ekim'de kaldırılacak.

S: Tablolar ve şemalar değiştirilecek mi?

OfficeActivity tablo adı ve şeması geçerli çözümdekiyle aynı kalacaktır. Yeni çözümde Azure AD verilere başvuran sorgular dışında aynı sorguları kullanmaya devam edebilirsiniz.

Yeni Azure AD raporlama ve izleme çözümü günlükleri, OfficeActivity yerine SigninLogs ve AuditLogs tablolarına alınacaktır. Daha fazla bilgi için bkz. Microsoft Sentinel ve Azure İzleyici kullanıcıları için de geçerli olan Azure AD günlüklerini analiz etme.

Sorgular OfficeActivity'denSigninLogs'a dönüştürülecek örnekler aşağıdadır:

Kullanıcı tarafından sorgu başarısız oturum açma işlemleri:

OfficeActivity
| where TimeGenerated >= ago(1d) 
| where OfficeWorkload == "AzureActiveDirectory"                      
| where Operation == 'UserLoginFailed'
| summarize count() by UserId    

SigninLogs
| where ConditionalAccessStatus == "failure" or ConditionalAccessStatus == "notApplied"
| summarize count() by UserDisplayName

Azure AD işlemlerini görüntüleyin:

OfficeActivity
| where OfficeWorkload =~ "AzureActiveDirectory"
| sort by TimeGenerated desc
| summarize AggregatedValue = count() by Operation

AuditLogs
| summarize count() by OperationName

S: Microsoft Sentinel'i nasıl ekleyebilirim?

Microsoft Sentinel, yeni veya mevcut Log Analytics çalışma alanında etkinleştirebileceğiniz bir çözümdür. Daha fazla bilgi edinmek için Microsoft Sentinel ekleme belgelerine bakın.

S: Azure AD günlüklerine bağlanmak için Microsoft Sentinel'e ihtiyacım var mı?

Microsoft Sentinel çözümüyle ilgili olmayan Azure İzleyici ile Azure AD günlük tümleştirmesini yapılandırabilirsiniz. Microsoft Sentinel, Azure AD günlükleri için yerel bir bağlayıcı ve kullanıma hazır içerik sağlar. Daha fazla bilgi için, kullanıma hazır güvenlik odaklı içerikle ilgili aşağıdaki soruya bakın.

S: Microsoft Sentinel ve Azure İzleyici'den Azure AD günlükleri bağlarken hangi farklar vardır?

Microsoft Sentinel ve Azure İzleyici, aynı Azure AD raporlama ve izleme çözümünü temel alan Azure AD günlüklere bağlanır. Microsoft Sentinel, aynı verileri bağlayan ve izleme bilgileri sağlayan tek tıklamayla yerel bir bağlayıcı sağlar.

S: Yeni Azure AD raporlama ve izleme tablolarına geçerken neleri değiştirmem gerekiyor?

Uyarılardaki sorgular, panolar ve Office 365 Azure AD verileri kullanarak oluşturduğunuz tüm içerik dahil olmak üzere Azure AD verilerini kullanan tüm sorguların yeni tablolar kullanılarak yeniden oluşturulması gerekir.

Microsoft Sentinel ve Azure AD, Azure AD raporlama ve izleme çözümüne geçerken kullanabileceğiniz yerleşik içerik sağlar. Daha fazla bilgi için kullanıma hazır güvenlik odaklı içerikle ilgili bir sonraki soruya ve Azure Active Directory raporları için Azure İzleyici çalışma kitaplarını kullanma konusuna bakın.

S: Microsoft Sentinel kullanıma açık güvenlik odaklı içeriği nasıl kullanabilirim?

Microsoft Sentinel, Office 365 ve Azure AD günlüklerine göre kullanıma açık güvenlik odaklı panolar, özel uyarı sorguları, tehdit avcılığı sorguları, araştırma ve otomatik yanıt özellikleri sağlar. Daha fazla bilgi edinmek için Microsoft Sentinel GitHub topluluğu ve öğreticilerini keşfedin:

S: Microsoft Sentinel çözümün bir parçası olarak ek bağlayıcılar sağlıyor mu?

Evet, bkz. Microsoft Sentinel connect veri kaynakları.

S: 31 Ekim'de ne olacak? Önceden kalkış yapmam gerekiyor mu?

  • Office365 çözümünden veri alamazsınız. Çözüm çalışma alanınızdan kaldırılır ve artık Market'te kullanılamaz.
  • Microsoft Sentinel müşterileri için Log Analytics çalışma alanı çözümü Office365 , Microsoft Sentinel SecurityInsights çözümüne dahil edilecek.
  • 31 Ekim'e kadar çözümünüzü el ile çıkarmazsanız, verileriniz otomatik olarak kesilir ve OfficeActivity tablosu kaldırılır. Yine de aşağıda açıklandığı gibi Microsoft Sentinel'de Office 365 bağlayıcısını etkinleştirdiğinizde tabloyu geri yükleyebilirsiniz.

S: Veri aktarımım yeni çözüme yapılacak mı?

Evet. Office 365 çözümünü çalışma alanınızdan kaldırdığınızda, şema kaldırıldığı için bu çözümün verileri geçici olarak kullanılamaz duruma gelir. Microsoft Sentinel'de yeni Office 365 bağlayıcısını etkinleştirdiğinizde şema çalışma alanına geri yüklenir ve toplanan tüm veriler kullanılabilir duruma gelir.

Office 365 yönetim çözümü, Azure İzleyici'de Office 365 ortamınızı izlemenize olanak tanır.

  • Kullanım düzenlerini analiz etmek ve davranış eğilimlerini belirlemek için Office 365 hesaplarınızdaki kullanıcı etkinliklerini izleyin. Örneğin, kuruluşunuzun dışında paylaşılan dosyalar veya en popüler SharePoint siteleri gibi belirli kullanım senaryolarını ayıklayabilirsiniz.
  • Yapılandırma değişikliklerini veya yüksek ayrıcalıklı işlemleri izlemek için yönetici etkinliklerini izleyin.
  • Kuruluş gereksinimlerinize göre özelleştirilebilen istenmeyen kullanıcı davranışlarını algılayın ve araştırın.
  • Denetim ve uyumluluğu gösterme. Örneğin, gizli dosyalardaki dosya erişim işlemlerini izleyebilirsiniz ve bu da denetim ve uyumluluk sürecinde size yardımcı olabilir.
  • Kuruluşunuzun Office 365 etkinlik verilerinin üzerinde günlük sorgularını kullanarak işlemsel sorun giderme gerçekleştirin.

Kaldırma

yönetim çözümünü kaldırma bölümündeki işlemi kullanarak Office 365 yönetim çözümünü kaldırabilirsiniz. Ancak bu, verilerin Office 365 Azure İzleyici'ye toplanmasını durdurmaz. Office 365 aboneliğini kaldırmak ve veri toplamayı durdurmak için aşağıdaki yordamı izleyin.

  1. Aşağıdaki betiği office365_unsubscribe.ps1olarak kaydedin.

    param (
    [Parameter(Mandatory=$True)][string]$WorkspaceName,
    [Parameter(Mandatory=$True)][string]$ResourceGroupName,
    [Parameter(Mandatory=$True)][string]$SubscriptionId,
    [Parameter(Mandatory=$True)][string]$OfficeTennantId,
    [Parameter(Mandatory=$True)][string]$clientId,
    [Parameter(Mandatory=$True)][string]$xms_client_tenant_Id
)
$line='#-------------------------------------------------------------------------------------------------------------------------------------------------------------------------'

$line
IF ($Subscription -eq $null)
    {Login-AzAccount -ErrorAction Stop}
$Subscription = (Select-AzSubscription -SubscriptionId $($SubscriptionId) -ErrorAction Stop)
$Subscription
$option = [System.StringSplitOptions]::RemoveEmptyEntries 
$Workspace = (Set-AzOperationalInsightsWorkspace -Name $($WorkspaceName) -ResourceGroupName $($ResourceGroupName) -ErrorAction Stop)
$Workspace
$WorkspaceLocation= $Workspace.Location

# Client ID for Azure PowerShell
# Set redirect URI for Azure PowerShell
$redirectUri = "urn:ietf:wg:oauth:2.0:oob"
$domain='login.microsoftonline.com'
$adTenant =  $Subscription[0].Tenant.Id
$authority = "https://login.windows.net/$adTenant";
$ARMResource ="https://management.azure.com/";'

switch ($WorkspaceLocation) {
       "USGov Virginia" { 
                         $domain='login.microsoftonline.us';
                          $authority = "https://login.microsoftonline.us/$adTenant";
                          $ARMResource ="https://management.usgovcloudapi.net/"; break} # US Gov Virginia
       default {
                $domain='login.microsoftonline.com'; 
                $authority = "https://login.windows.net/$adTenant";
                $ARMResource ="https://management.azure.com/";break} 
                }

Function RESTAPI-Auth { 

$global:SubscriptionID = $Subscription.SubscriptionId
# Set Resource URI to Azure Service Management API
$resourceAppIdURIARM=$ARMResource;
# Authenticate and Acquire Token 
# Create Authentication Context tied to Azure AD Tenant
$authContext = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext" -ArgumentList $authority
# Acquire token
$platformParameters = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.PlatformParameters" -ArgumentList "Auto"
$global:authResultARM = $authContext.AcquireTokenAsync($resourceAppIdURIARM, $clientId, $redirectUri, $platformParameters)
$global:authResultARM.Wait()
$authHeader = $global:authResultARM.Result.CreateAuthorizationHeader()
$authHeader
}

Function Office-UnSubscribe-Call{

#----------------------------------------------------------------------------------------------------------------------------------------------
$authHeader = $global:authResultARM.Result.CreateAuthorizationHeader()
$ResourceName = "https://manage.office.com"
$SubscriptionId   = $Subscription[0].Subscription.Id
$OfficeAPIUrl = $ARMResource + 'subscriptions/' + $SubscriptionId + '/resourceGroups/' + $ResourceGroupName + '/providers/Microsoft.OperationalInsights/workspaces/' + $WorkspaceName + '/datasources/office365datasources_'  + $SubscriptionId + $OfficeTennantId + '?api-version=2015-11-01-preview'

$Officeparams = @{
    ContentType = 'application/json'
    Headers = @{
    'Authorization'="$($authHeader)"
    'x-ms-client-tenant-id'=$xms_client_tenant_Id
    'Content-Type' = 'application/json'
    }
    Method = 'Delete'
    URI = $OfficeAPIUrl
  }

$officeresponse = Invoke-WebRequest @Officeparams 
$officeresponse

}

#GetDetails 
RESTAPI-Auth -ErrorAction Stop
Office-UnSubscribe-Call -ErrorAction Stop

  2. Betiği aşağıdaki komutla çalıştırın:

    .\office365_unsubscribe.ps1 -WorkspaceName <Log Analytics workspace name> -ResourceGroupName <Resource Group name> -SubscriptionId <Subscription ID> -OfficeTennantID <Tenant ID>

    Örnek:

    .\office365_unsubscribe.ps1 -WorkspaceName MyWorkspace -ResourceGroupName MyResourceGroup -SubscriptionId '60b79d74-f4e4-4867-b631-yyyyyyyyyyyy' -OfficeTennantID 'ce4464f8-a172-4dcf-b675-xxxxxxxxxxxx'

Kimlik bilgileriniz istenir. Log Analytics çalışma alanınız için kimlik bilgilerini sağlayın.

Veri toplama

Verilerin başlangıçta toplanması birkaç saat sürebilir. Toplamaya başladıktan sonra, Office 365 her kayıt oluşturulduğunda Azure İzleyici'ye ayrıntılı verileri içeren bir web kancası bildirimi gönderir. Bu kayıt, alındıktan sonra birkaç dakika içinde Azure İzleyici'de kullanılabilir.

Çözümü kullanma

Bu izleme çözümü tarafından toplanan veriler, Azure portal Çalışma Alanı Özeti (kullanım dışı) sayfasında bulunabilir. Çözümünüzle birlikte çalışma alanının Log Analytics çalışma alanlarından bu sayfayı açın ve ardından menünün Klasikbölümünden Çalışma Alanı Özeti (kullanım dışı) öğesini seçin. Her çözüm bir kutucukla temsil edilir. Bu çözüm tarafından toplanan daha ayrıntılı veriler için bir kutucuk seçin.

log analytics çalışma alanınıza Office 365 çözümü eklediğinizde, Office 365 kutucuğu panonuza eklenir. Bu kutucukta, ortamınızdaki bilgisayarların sayısına ve güncelleştirme uyumluluğuna ilişkin bir sayı ve grafik gösterimi görüntülenir.

Office 365 Özet Kutucuğu

Office 365 panosunu açmak için Office 365 kutucuğuna tıklayın.

Office 365 Panosu

Pano aşağıdaki tabloda gösterilen sütunları içerir. Her sütun, belirtilen kapsam ve zaman aralığı için ilgili sütunun ölçütleriyle eşleşen sayıyı kullanarak ilk on uyarıyı listeler. Sütunun alt kısmındaki Tümünü görüntüle'ye tıklayarak veya sütun üst bilgisine tıklayarak listenin tamamını sağlayan bir günlük araması çalıştırabilirsiniz.

Sütun Açıklama
Operations İzlenen tüm Office 365 aboneliklerinizdeki etkin kullanıcılar hakkında bilgi sağlar. Ayrıca zaman içinde gerçekleşen etkinliklerin sayısını da görebilirsiniz.
Exchange Add-Mailbox İzin veya Set-Mailbox gibi Exchange Server etkinliklerinin dökümünü gösterir.
SharePoint Kullanıcıların SharePoint belgelerinde gerçekleştirdiği en önemli etkinlikleri gösterir. Bu kutucukta detaya gittiğiniz zaman, arama sayfasında hedef belge ve bu etkinliğin konumu gibi bu etkinliklerin ayrıntıları gösterilir. Örneğin, Dosya Erişimli olayı için erişilen belgeyi, ilişkili hesap adını ve IP adresini görebilirsiniz.
Azure Active Directory Kullanıcı Parolasını Sıfırla ve Oturum Açma Girişimleri gibi en önemli kullanıcı etkinliklerini içerir. Detaya gittiğiniz zaman Sonuç Durumu gibi bu etkinliklerin ayrıntılarını görebilirsiniz. Bu çoğunlukla Azure Active Directory'nizdeki şüpheli etkinlikleri izlemek istiyorsanız yararlıdır.

Azure İzleyici günlük kayıtları

Office 365 çözümü tarafından Azure İzleyici'deki Log Analytics çalışma alanında oluşturulan tüm kayıtların Türü OfficeActivity'tir. OfficeWorkload özelliği, kaydın hangi Office 365 hizmetine başvurduğu belirler: Exchange, AzureActiveDirectory, SharePoint veya OneDrive. RecordType özelliği işlemin türünü belirtir. Özellikler her işlem türü için farklılık gösterir ve aşağıdaki tablolarda gösterilir.

Ortak özellikler

Aşağıdaki özellikler tüm Office 365 kayıtları için ortaktır.

Özellik Açıklama
Tür OfficeActivity
clientIP Etkinlik günlüğe kaydedildiğinde kullanılan cihazın IP adresi. IP adresi IPv4 veya IPv6 adresi biçiminde görüntülenir.
OfficeWorkload Kaydın başvurduğu hizmeti Office 365.

AzureActiveDirectory
Exchange
SharePoint
İşlem Kullanıcı veya yönetici etkinliğinin adı.
OrganizationId Kuruluşunuzun Office 365 kiracısının GUID değeri. Bu değer, oluştuğu Office 365 hizmet ne olursa olsun kuruluşunuz için her zaman aynı olacaktır.
RecordType Gerçekleştirilen işlemin türü.
ResultStatus Eylemin (Operation özelliğinde belirtilen) başarılı olup olmadığını belirtir. Olası değerler Başarılı, Kısmen Doğrulanmış veya Başarısız değerleridir. Exchange yönetici etkinliği için değer Doğru veya Yanlış'tır.
UserId Kaydın günlüğe kaydedilmesine neden olan eylemi gerçekleştiren kullanıcının UPN'i (Kullanıcı Asıl Adı); örneğin, my_name@my_domain_name. Sistem hesapları (SHAREPOINT\system veya NTAUTHORITY\SYSTEM gibi) tarafından gerçekleştirilen etkinlik kayıtlarının da eklendiğini unutmayın.
UserKey UserId özelliğinde tanımlanan kullanıcı için alternatif bir kimlik. Örneğin, bu özellik SharePoint, OneDrive İş ve Exchange'de kullanıcılar tarafından gerçekleştirilen olaylar için pasaport benzersiz kimliği (PUID) ile doldurulur. Bu özellik, diğer hizmetlerde gerçekleşen olaylar ve sistem hesapları tarafından gerçekleştirilen olaylar için UserID özelliğiyle aynı değeri de belirtebilir
UserType İşlemi gerçekleştiren kullanıcının türü.

Yönetici
Uygulama
DcAdmin
Düzenli
Ayrılmıştır
ServicePrincipal
Sistem

Azure Active Directory tabanı

Aşağıdaki özellikler tüm Azure Active Directory kayıtları için ortaktır.

Özellik Açıklama
OfficeWorkload AzureActiveDirectory
RecordType AzureActiveDirectory
AzureActiveDirectory_EventType Azure AD olayının türü.
ExtendedProperties Azure AD olayının genişletilmiş özellikleri.

Azure Active Directory Hesabı oturum açma

Bu kayıtlar, bir Active Directory kullanıcısı oturum açmayı denediğinde oluşturulur.

Özellik Açıklama
OfficeWorkload AzureActiveDirectory
RecordType AzureActiveDirectoryAccountLogon
Application Office 15 gibi hesap oturum açma olayını tetikleyen uygulama.
Client Hesap oturum açma olayı için kullanılan istemci cihazı, cihaz işletim sistemi ve cihaz tarayıcısı hakkındaki ayrıntılar.
LoginStatus Bu özellik doğrudan OrgIdLogon.LoginStatus'tan alınmaktadır. Çeşitli ilginç oturum açma hatalarının eşlemesi algoritmalar uyarılarak gerçekleştirilebilir.
UserDomain Kiracı Kimliği Bilgileri (TII).

Azure Active Directory

Bu kayıtlar, Azure Active Directory nesnelerinde değişiklik veya eklemeler yapıldığında oluşturulur.

Özellik Açıklama
OfficeWorkload AzureActiveDirectory
RecordType AzureActiveDirectory
AADTarget Eylemin (Operation özelliği tarafından tanımlanan) gerçekleştirildiği kullanıcı.
Actor (Oyuncu) Eylemi gerçekleştiren kullanıcı veya hizmet sorumlusu.
ActorContextId Aktörün ait olduğu kuruluşun GUID değeri.
ActorIpAddress Aktörün IP adresi IPV4 veya IPV6 adres biçimindedir.
InterSystemsId Office 365 hizmetindeki bileşenler arasında eylemleri izleyen GUID.
IntraSystemId Eylemi izlemek için Azure Active Directory tarafından oluşturulan GUID.
SupportTicketId "Adına hareket etme" durumlarındaki eylemin müşteri destek bileti kimliği.
TargetContextId Hedeflenen kullanıcının ait olduğu kuruluşun GUID'i.

Veri Merkezi Güvenliği

Bu kayıtlar Veri Merkezi Güvenlik denetim verilerinden oluşturulur.

Özellik Açıklama
EffectiveOrganization Yükseltme/cmdlet'in hedeflendiği kiracının adı.
ElevationApprovedTime Yükseltmenin onaylandığı zaman damgası.
ElevationApprover Microsoft yöneticisinin adı.
ElevationDuration Yükseltmenin etkin olduğu süre.
ElevationRequestId Yükseltme isteğinin benzersiz tanımlayıcısı.
ElevationRole Yükseltmenin istenildiği rol.
ElevationTime Yükselmenin başlangıç saati.
Start_time Cmdlet yürütmesinin başlangıç saati.

Exchange Yönetici

Bu kayıtlar, Exchange yapılandırmasında değişiklikler yapıldığında oluşturulur.

Özellik Açıklama
OfficeWorkload Exchange
RecordType ExchangeAdmin
ExternalAccess Cmdlet'in kuruluşunuzdaki bir kullanıcı tarafından mı, Microsoft veri merkezi personeli tarafından mı yoksa veri merkezi hizmet hesabı mı yoksa yönetici temsilcisi tarafından mı çalıştırıldığını belirtir. False değeri, cmdlet'in kuruluşunuzdaki biri tarafından çalıştırıldığını gösterir. True değeri, cmdlet'in veri merkezi personeli, veri merkezi hizmet hesabı veya yönetici temsilcisi tarafından çalıştırıldığını gösterir.
ModifiedObjectResolvedName Bu, cmdlet'i tarafından değiştirilen nesnenin kolay adıdır. Bu, yalnızca cmdlet nesneyi değiştirirse günlüğe kaydedilir.
OrganizationName Kiracının adı.
Kaynak Sunucu Cmdlet'in yürütüldiği sunucunun adı.
Parametreler Operations özelliğinde tanımlanan cmdlet ile kullanılan tüm parametrelerin adı ve değeri.

Exchange Posta Kutusu

Bu kayıtlar, Exchange posta kutularına değişiklikler veya eklemeler yapıldığında oluşturulur.

Özellik Açıklama
OfficeWorkload Exchange
RecordType ExchangeItem
ClientInfoString İşlemi gerçekleştirmek için kullanılan tarayıcı sürümü, Outlook sürümü ve mobil cihaz bilgileri gibi e-posta istemcisi hakkında bilgiler.
Client_IPAddress İşlem günlüğe kaydedilirken kullanılan cihazın IP adresi. IP adresi IPv4 veya IPv6 adresi biçiminde görüntülenir.
ClientMachineName Outlook istemcisini barındıran makine adı.
ClientProcessName Posta kutusuna erişmek için kullanılan e-posta istemcisi.
ClientVersion E-posta istemcisinin sürümü.
InternalLogonType dahili kullanım için ayrılmıştır.
Logon_Type Posta kutusuna erişen ve günlüğe kaydedilen işlemi gerçekleştiren kullanıcının türünü gösterir.
LogonUserDisplayName İşlemi gerçekleştiren kullanıcının kolay adı.
LogonUserSid İşlemi gerçekleştiren kullanıcının SID'i.
MailboxGuid Erişilen posta kutusunun Exchange GUID'i.
MailboxOwnerMasterAccountSid Posta kutusu sahibi hesabının ana hesabı SID'sini seçin.
MailboxOwnerSid Posta kutusu sahibinin SID'i.
MailboxOwnerUPN Erişilen posta kutusunun sahibi olan kişinin e-posta adresi.

Exchange Posta Kutusu Denetimi

Bu kayıtlar, bir posta kutusu denetim girdisi oluşturulduğunda oluşturulur.

Özellik Açıklama
OfficeWorkload Exchange
RecordType ExchangeItem
Öğe İşlemin gerçekleştirildiği öğeyi temsil eder
SendAsUserMailboxGuid E-posta göndermek için erişilen posta kutusunun Exchange GUID'i.
SendAsUserSmtp Kimliğine bürünülen kullanıcının SMTP adresi.
SendonBehalfOfUserMailboxGuid Adına posta göndermek için erişilen posta kutusunun Exchange GUID'i.
SendOnBehalfOfUserSmtp E-postanın adına gönderildiği kullanıcının SMTP adresi.

Exchange Posta Kutusu Denetim Grubu

Bu kayıtlar, Exchange gruplarında değişiklikler veya eklemeler yapıldığında oluşturulur.

Özellik Açıklama
OfficeWorkload Exchange
OfficeWorkload ExchangeItemGroup
AffectedItems Gruptaki her öğe hakkında bilgi.
CrossMailboxOperations İşlemin birden fazla posta kutusuna dahil olup olmadığını gösterir.
DestMailboxId Yalnızca CrossMailboxOperations parametresi True olduğunda ayarlanır. Hedef posta kutusu GUID'sini belirtir.
DestMailboxOwnerMasterAccountSid Yalnızca CrossMailboxOperations parametresi True olduğunda ayarlanır. Hedef posta kutusu sahibinin ana hesap SID'sinin SID değerini belirtir.
DestMailboxOwnerSid Yalnızca CrossMailboxOperations parametresi True olduğunda ayarlanır. Hedef posta kutusunun SID'sini belirtir.
DestMailboxOwnerUPN Yalnızca CrossMailboxOperations parametresi True olduğunda ayarlanır. Hedef posta kutusunun sahibinin UPN'sini belirtir.
DestFolder Taşıma gibi işlemler için hedef klasör.
Klasör Bir öğe grubunun bulunduğu klasör.
Klasörler Bir işlemde yer alan kaynak klasörler hakkında bilgi; örneğin, klasörler seçili ve sonra silinmişse.

SharePoint Temeli

Bu özellikler tüm SharePoint kayıtları için ortaktır.

Özellik Açıklama
OfficeWorkload SharePoint
OfficeWorkload SharePoint
EventSource SharePoint'te bir olayın gerçekleştiğini tanımlar. Olası değerler SharePoint veya ObjectModel'dır.
ItemType Erişilen veya değiştirilen nesnenin türü. Nesne türleri hakkında ayrıntılı bilgi için bkz. ItemType tablosu.
MachineDomainInfo Cihaz eşitleme işlemleri hakkında bilgi. Bu bilgiler yalnızca istekte mevcutsa bildirilir.
MachineId Cihaz eşitleme işlemleri hakkında bilgi. Bu bilgiler yalnızca istekte mevcutsa bildirilir.
Site_ Kullanıcı tarafından erişilen dosya veya klasörün bulunduğu sitenin GUID'i.
Source_name Denetlenen işlemi tetikleyen varlık. Olası değerler SharePoint veya ObjectModel'dır.
Useragent Kullanıcının istemcisi veya tarayıcısı hakkında bilgi. Bu bilgiler istemci veya tarayıcı tarafından sağlanır.

SharePoint Şeması

Bu kayıtlar SharePoint'e yapılandırma değişiklikleri yapıldığında oluşturulur.

Özellik Açıklama
OfficeWorkload SharePoint
OfficeWorkload SharePoint
CustomEvent Özel olaylar için isteğe bağlı dize.
Event_Data Özel olaylar için isteğe bağlı yük.
ModifiedProperties Bu özellik, bir kullanıcıyı bir sitenin veya site koleksiyonu yönetici grubunun üyesi olarak ekleme gibi yönetici olayları için dahil edilir. özelliği, değiştirilen özelliğin adını (örneğin, Site Yönetici grubu), değiştirilen özelliğin yeni değerini (site yöneticisi olarak eklenen kullanıcı gibi) ve değiştirilen nesnenin önceki değerini içerir.

SharePoint Dosya İşlemleri

Bu kayıtlar SharePoint'teki dosya işlemlerine yanıt olarak oluşturulur.

Özellik Açıklama
OfficeWorkload SharePoint
OfficeWorkload SharePointFileOperation
DestinationFileExtension Kopyalanan veya taşınan bir dosyanın dosya uzantısı. Bu özellik yalnızca FileCopied ve FileMoved olayları için görüntülenir.
Destinationfilename Kopyalanan veya taşınan dosyanın adı. Bu özellik yalnızca FileCopied ve FileMoved olayları için görüntülenir.
DestinationRelativeUrl Bir dosyanın kopyalandığı veya taşındığı hedef klasörün URL'si. SiteURL, DestinationRelativeURL ve DestinationFileName parametrelerinin değerlerinin bileşimi, kopyalanan dosyanın tam yol adı olan ObjectID özelliğinin değeriyle aynıdır. Bu özellik yalnızca FileCopied ve FileMoved olayları için görüntülenir.
SharingType Kaynağın paylaşıldığı kullanıcıya atanan paylaşım izinlerinin türü. Bu kullanıcı UserSharedWith parametresiyle tanımlanır.
Site_Url Kullanıcı tarafından erişilen dosya veya klasörün bulunduğu sitenin URL'si.
SourceFileExtension Kullanıcı tarafından erişilen dosyanın dosya uzantısı. Erişilen nesne bir klasörse bu özellik boş olur.
Sourcefilename Kullanıcı tarafından erişilen dosya veya klasörün adı.
SourceRelativeUrl Kullanıcı tarafından erişilen dosyayı içeren klasörün URL'si. SiteURL, SourceRelativeURL ve SourceFileName parametrelerinin değerlerinin birleşimi, kullanıcı tarafından erişilen dosyanın tam yol adı olan ObjectID özelliğinin değeriyle aynıdır.
UserSharedWith Kaynağın paylaşıldığı kullanıcı.

Örnek günlük sorguları

Aşağıdaki tabloda, bu çözüm tarafından toplanan güncelleştirme kayıtları için örnek günlük sorguları sağlanmaktadır.

Sorgu Açıklama
Office 365 aboneliğinizdeki tüm işlemlerin sayısı OfficeActivity | operation tarafından count() özetleme
SharePoint sitelerinin kullanımı OfficeActivity | where OfficeWorkload =~ "sharepoint" | summarize count() by SiteUrl | asc say'a göre sıralama
Kullanıcı türüne göre dosya erişim işlemleri OfficeActivity | UserType tarafından count() özetleme
Exchange'de dış eylemleri izleme OfficeActivity | burada OfficeWorkload =~ "exchange" ve ExternalAccess == true

Sonraki adımlar