Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här tabellen är en del av Identitet och nätverksåtkomst, som innehåller Berikade Microsoft 365-granskningsloggar. Dessa loggar kan användas för princip-, risk- och trafikhantering samt för att övervaka användarnas upplevelse.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhets-, nätverks-, IT- och hanteringsverktyg |
| Lösningar | Logghantering |
| Grundläggande logg | Ja |
| Inmatningstidstransformering | Ja |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| AktörAnvändartyp | sträng | Den typ av användare som utförde åtgärden. Möjliga typer inkluderar: Admin, System, Application, Service Principal och Other. |
| Ytterligareegenskaper | dynamisk | Ytterligare aktivitetsfält |
| _FaktureradStorlek | äkta | Datapostens storlek i byte |
| Klient-IP | sträng | IP-adressen för den enhet som användes när aktiviteten loggades. IP-adressen visas i IPv4- eller IPv6-adressformat. För vissa tjänster kan värdet som visas i den här egenskapen vara IP-adressen för ett betrott program (till exempel Office på webben appar) som anropar tjänsten för en användares räkning och inte IP-adressen för den enhet som används av den person som utförde aktiviteten. För Azure Active Directory-relaterade händelser loggas inte IP-adressen och värdet för egenskapen ClientIP är null. |
| DeviceId | sträng | ID för källenheten som rapporterats i posten. |
| Enhetens operativsystem | sträng | Den anslutande klientens operativsystemtyp. |
| EnhetensOperativsystemVersion | sträng | Den operativsystemversion som klienten använder för att ansluta. |
| Id | sträng | Unik identifierare för en revisionspost. |
| _IsDebiterbar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false debiteras ditt Azure-konto inte för inmatning. |
| Objekt-ID | sträng | För SharePoint- och OneDrive för företag-aktivitet är det fullständiga sökvägen till filen eller mappen som användaren har åtkomst till. För granskningsloggning för Exchange-administratör är namnet på det objekt som ändrades av cmdlet. |
| Åtgärd | sträng | Namnet på den användar- eller administratörsaktivitet som utförde aktiviteten. |
| Organisations-ID | sträng | GUID för organisationens Office 365-hyresgäst. Det här värdet kommer alltid att vara detsamma för din organisation, oavsett i vilken Office 365-tjänst det sker. |
| Posttyp | heltal | Den typ av åtgärd som anges av posten. Mer information om typer av granskningsloggposter finns i tabellen AuditLogRecordType. |
| Resultatstatus | sträng | Anger om åtgärden (som anges i egenskapen Operation) lyckades eller inte. Möjliga värden är Uppnått, Delvis Uppnått eller Misslyckades. |
| SourceIp | sträng | DEN IP-adress som anslutningen eller sessionen kommer från. |
| SourceSystem | sträng | Typen av agent som samlade in händelsen. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Hyresgäst-ID | sträng | Log Analytics-arbetsytans ID |
| Tidpunkt för generering | datumtid | Datum och tid i UTC när användaren utförde aktiviteten. |
| Typ | sträng | Namnet på tabellen |
| UnikTokenId | sträng | Den unika tokenidentifieraren |
| AnvändarID | sträng | UPN (användarens huvudnamn) för den användare som utförde åtgärden (anges i egenskapen Operation) som resulterade i att posten loggades. till exempel my_name@my_domain_name. Observera att poster för aktivitet som utförs av systemkonton (till exempel SHAREPOINT\system eller NT AUTHORITY\SYSTEM) också ingår. I SharePoint visas ett annat värde i egenskapen UserId app@sharepoint. Detta anger att den "användare" som utförde aktiviteten var ett program som har de behörigheter som krävs i SharePoint för att utföra organisationsomfattande åtgärder (till exempel att söka efter en SharePoint-webbplats eller ett OneDrive-konto) för en användare, administratör eller tjänst. För mer information, se användaren app@sharepoint i granskningsloggarna. |
| Användarnyckel | sträng | Ett alternativt ID för användaren som identifieras i egenskapen UserId. Den här egenskapen fylls till exempel med passets unika ID (PUID) för händelser som utförs av användare i SharePoint, OneDrive för företag och Exchange. Den här egenskapen kan också ange samma värde som egenskapen UserID för händelser som inträffar i andra tjänster och händelser som utförs av systemkonton. |
| användartyp | sträng | Den typ av användare som utförde åtgärden. |
| Arbetsbelastning | sträng | Office 365-tjänsten där aktiviteten inträffade. |