Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Granskningsloggar för Office 365-klienter som samlats in av Azure Sentinel. Inklusive Exchange-, SharePoint- och Teams-loggar.
Tabellattributen
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | AzureSentinelPrivatFörhandsgranskning, SäkerhetsInsikter |
| Grundläggande logg | Nej |
| Transformering vid inmatningstid | Ja |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| AADGroupId | sträng | Azure Active Directory-grupp-ID |
| AADTarget | sträng | Användaren som åtgärden utfördes på (identifierad av egenskapen Operation). |
| Aktivitet | sträng | Den aktivitet som användaren utförde. |
| Skådespelare | sträng | Användaren eller tjänsthuvudman som utförde åtgärden |
| ActorContextId | sträng | Organisationens GUID som aktören tillhör |
| Aktör IP-adress | sträng | Aktörens IP-adress i IPV4- eller IPV6-adressformat |
| AddOnGuid | sträng | Den unika identifieraren för tillägget som genererade den här händelsen |
| AddonName | sträng | Namnet på tillägget som genererade den här händelsen |
| AddOnType | sträng | Den typ av tillägg som genererade den här händelsen |
| Påverkade objekt | sträng | Information om varje objekt i gruppen |
| AppÅtkomstKontext | dynamisk | Programkontexten för användaren eller tjänstehuvudmannen som utförde åtgärden. |
| Applikationsdistributionsläge | sträng | Programdistributionsläge |
| AppId | sträng | Applikations-ID |
| Applikation | sträng | Applikationsnamnet |
| ApplicationId | sträng | SharePoint-applikations-ID |
| AppPoolName | sträng | Namnet på apppoolen |
| Delade artefakter | dynamisk | Artefakterna som delas i mötet. |
| Deltagare | dynamisk | Listan över deltagare för mötet. |
| AzureActiveDirectory-Händelsetyp | sträng | Typen av Azure AD-händelse |
| AzureADAppId | sträng | Azure AD-ID för Teams-program |
| _FaktureradStorlek | verklig | Poststorleken i byte |
| Kanalguid | sträng | En unik identifierare för kanalen som granskas |
| Kanalnamn | sträng | Namnet på kanalen som granskas |
| Kanaltyp | sträng | Vilken typ av kanal som granskas (Standard/Privat) |
| ChattNamn | sträng | Namnet på chatten |
| Chattråd-ID | sträng | ID:t för chatttråden |
| Klient | sträng | Information om klientenheten, enhetsoperativsystemet och enhetswebbläsaren som användes för kontoinloggningshändelsen |
| Client_IPAddress | sträng | IP-adressen för den enhet som användes när åtgärden loggades |
| ClientAppId | sträng | Klientprogram-ID |
| ClientInfoString | sträng | Information om e-postklienten som användes för att utföra åtgärden |
| Klient-IP | sträng | IP-adressen för den enhet som användes när aktiviteten loggades |
| Klientdatornamn | sträng | Datornamnet som är värd för Outlook-klienten |
| Klientprocessnamn | sträng | E-postklienten som användes för att komma åt postlådan |
| Klientversion | sträng | E-postklientens version |
| Kommunikationstyp | sträng | Den typ av kommunikation som genomfördes |
| CrossMailboxOperations | bool | Anger om åtgärden omfattade mer än en postlåda |
| Anpassad händelse | sträng | Valfri sträng för anpassade händelser |
| Typ av säkerhetshändelse i datacenter | int | Typen av dmdlet-händelse i låsrutan |
| DestFolder | sträng | Målmappen |
| DestinationFileExtension | sträng | Filnamnstillägget för en fil som kopieras eller flyttas |
| Destinationsfilnamn | sträng | Namnet på filen som kopieras eller flyttas |
| DestinationRelativeUrl | sträng | URL:en för målmappen där en fil kopieras eller flyttas |
| DestMailboxId | sträng | Ange endast om parametern CrossMailboxOperations är True |
| DestMailboxOwnerMasterAccountSid | sträng | Ange endast om parametern CrossMailboxOperations är True |
| DestMailboxOwnerSid | sträng | Ange endast om parametern CrossMailboxOperations är True |
| DestMailboxOwnerUPN | sträng | Ange endast om parametern CrossMailboxOperations är True |
| Enhetsinformation | sträng | Information om användarenheter. |
| EffektivOrganisation | sträng | Namnet på den hyresgäst som upphöjningen/cmdleten var riktad mot |
| GodkändTidFörHöjning | datumtid | Tidsstämpeln för när höjningen godkändes |
| Behörighetsgodkännare | sträng | Namnet på en Microsoft-chef |
| Höjdtid | int | Varaktigheten för vilken höjningen var aktiv (i timmar) |
| ElevationRequestId | sträng | En unik identifierare för begäran om utökade privilegier |
| ElevationRole | sträng | Den roll som höjningen begärdes för |
| Höjdtid | datumtid | Starttiden för höjningen |
| Händelsedata | sträng | Valfri nyttolast för anpassade händelser |
| EventSource | sträng | Identifierar att en händelse inträffade i SharePoint. Möjliga värden är SharePoint eller ObjectModel |
| UtökadeEgenskaper | sträng | De utökade egenskaperna för Azure AD-händelsen |
| Extern åtkomst | sträng | Anger om cmdleten kördes av en användare i din organisation |
| Extraegenskaper | dynamisk | En lista över extra egenskaper |
| Mapp | sträng | Mappen där en grupp objekt finns |
| Mappar | sträng | Information om källmapparna som ingår i en åtgärd |
| GenericInfo | sträng | Används för kommentarer och annan allmän information |
| Intern inloggningsmetod | int | Reserverad för internt bruk |
| InterSystemsId | sträng | GUID som spårar åtgärderna mellan komponenter i Office 365-tjänsten |
| IntraSystemId | sträng | GUID:et som genereras av Azure Active Directory för att spåra åtgärden |
| _ÄrDebiterbar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false debiteras inte ditt Azure-konto för inmatning |
| ÄrAnslutenFrånLobby | bool | Anger om användaren ansluter från lobbyn. |
| ÄrHantreradEnhet | bool | Anger om åtgärden har skapats av en enhet som hanteras av organisationen |
| Artikel | sträng | Representerar det objekt som åtgärden utfördes på |
| ObjektNamn | sträng | Strängen i fältet Ämne i e-postmeddelandet |
| Objekttyp | sträng | Den typ av objekt som kom åt eller ändrades. Mer information om objekttyper finns i tabellen ItemType |
| JoinTime | datumtid | Den tid då användaren anslöt till mötet. |
| Ledig tid | datumtid | Den tid då användaren lämnade mötet. |
| ListItemUniqueId | sträng | Guid för unikt ett identifierbart listobjekt. Den här informationen finns endast om den är tillämplig. |
| Inloggningsstatus | int | Den här egenskapen kommer direkt från OrgIdLogon.LoginStatus. Mappningen av olika intressanta inloggningsfel kan göras genom aviseringsalgoritmer |
| Inloggnings_typ | sträng | Anger vilken typ av användare som kom åt postlådan och utförde åtgärden som loggades |
| InloggningsAnvändarVisningsNamn | sträng | Det användarvänliga namnet på den användare som utförde åtgärden |
| LogonUserSid | sträng | SID för användaren som utförde åtgärden |
| MachineDomainInfo | sträng | Information om åtgärder för enhetssynkronisering |
| Maskin-ID | sträng | Information om åtgärder för enhetssynkronisering |
| MailboxGuid | sträng | Exchange-GUID för postlådan som åtkomstes |
| MailboxOwnerMasterAccountSid | sträng | SID för postlådeägarens masterkonto |
| MailboxOwnerSid (Brevlådans Ägares SID) | sträng | SID för postlådeägaren |
| BrevlådsägareUPN | sträng | E-postadressen till den person som äger postlådan som användes |
| MötesDetaljId | sträng | Mötesdetaljernas ID. |
| Medlemmar | dynamisk | En lista över användare i ett team |
| Meddelande-ID | sträng | En identifierare för ett chatt- eller kanalmeddelande |
| ModifieradObjektLöstNamn | sträng | Det här är det användarvänliga namnet på objektet som ändrades av cmdleten |
| ModifieradeEgenskaper | sträng | Egenskapen ingår för administratörshändelser, till exempel att lägga till en användare som medlem i en webbplats eller en administratörsgrupp för webbplatssamlingen |
| Namn | sträng | Är endast närvarande för inställningsevent. Namnet på den inställning som ändrades |
| Nytt Värde | sträng | Är endast närvarande för inställningsevent. Nytt värde för inställningen |
| OfficeId | sträng | Unik identifierare för en granskningspost |
| OfficeObjektId | sträng | För SharePoint- och OneDrive för företag-aktivitet |
| OfficeTenantId | sträng | Kontorshyresgäst-ID |
| Kontorsarbetsbelastning | sträng | Office 365-tjänsten där aktiviteten inträffade |
| OldValue | sträng | Är endast närvarande för inställningsevent. Gammalt värde för inställningen |
| Åtgärd | sträng | Namnet på den åtgärd som användaren utför |
| OperationProperties | dynamisk | Ytterligare operationsegenskaper |
| OperationScope | sträng | Omfånget som åtgärden utfördes på |
| OrganisationsId | sträng | GUID för din organisations Office 365-prenumeration. Det här värdet kommer alltid att vara detsamma för din organisation |
| Organisationsnamn | sträng | Namnet på hyresgästen |
| Ursprungsserver | sträng | Namnet på servern som cmdleten kördes från |
| Parametrar | sträng | Namn och värde för alla parametrar som användes med cmdleten som identifieras i egenskapen Operations |
| Posttyp | sträng | Den typ av åtgärd som anges av rekordet. Mer information om typer av granskningsloggposter finns i tabellen AuditLogRecordType |
| _ResourceId | sträng | En unik identifikator för resursen som den aktuella posten är associerad med |
| Resultatstyp av Orsak | sträng | Orsak till resultatet som rapporterats i ResultType |
| Resultatstatus | sträng | Anger om åtgärden (som anges i egenskapen Operation) lyckades eller inte |
| SendAsUserMailboxGuid | sträng | Exchange-GUID för den brevlåda som användes för att skicka e-post i egenskap av |
| SendAsUserSmtp | sträng | SMTP-adress för den användare som imiteras |
| SkickaPåUppdragAvAnvändarBrevlådeGuid | sträng | Exchange-GUID för postlådan som användes för att skicka e-post för någon annan |
| SkickaÅAnvändarensVägnarViaSmtp | sträng | SMTP-adress för användaren för vars räkning e-postmeddelandet skickas |
| KänslighetsetikettId | sträng | Aktuellt känslighetsetikett-ID för filen. |
| Delningstyp | sträng | Den typ av delningsbehörigheter som tilldelades användaren som resursen delades med. Den här användaren identifieras av parametern UserSharedWith |
| Plats_ | sträng | GUID för den plats där filen eller mappen som användaren har åtkomst till finns |
| Site_Url | sträng | URL:en för den plats där filen eller mappen som användaren har åtkomst till finns |
| Source_Name | sträng | Entiteten som utlöste den granskade åtgärden. Möjliga värden är SharePoint eller ObjectModel |
| SourceFileExtension | sträng | Filnamnstillägget för filen som användes av användaren |
| SourceFileName | sträng | Namnet på filen eller mappen som användaren har åtkomst till |
| SourceRecordId | sträng | Unik identifierare för en granskningspost |
| Källrelativ URL | sträng | URL:en för mappen som innehåller filen som användaren har åtkomst till |
| SourceSystem | sträng | Agenttypen som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SRPolicyId | sträng | Princip-ID |
| SRPolicyName | sträng | Policynamn |
| SRRuleMatchDetails | dynamisk | Regelinformation |
| Starttid | datumtid | Datum och tid då cmdleten kördes |
| _Prenumerations-ID | sträng | En unik identifikator för prenumerationen som dataposten är associerad med |
| SupportTicketId | sträng | Kundsupportens biljett-ID för åtgärden i situationer där man "agerar på uppdrag av" |
| Fliktyp | sträng | Den typ av flik som genererade den här händelsen |
| Målkontext-id | sträng | GUID för den organisation som den tilltänkta användaren tillhör |
| TargetUserId | sträng | Målanvändar-ID |
| MålAnvändarEllerGruppNamn | sträng | Lagrar UPN eller namnet på målanvändaren eller gruppen som en resurs har delats med |
| MålAnvändareEllerGruppTyp | sträng | Anger om målanvändaren eller gruppen är medlem, gäst, grupp eller partner |
| TeamGuide | sträng | En unik identifierare för teamet som granskas |
| TeamName | sträng | Namnet på teamet som granskas |
| HyresgästId | sträng | Log Analytics-arbetsytans ID-nummer |
| TimeGenerated | datumtid | Datum och tid i Coordinated Universal Time (UTC) när användaren utförde aktiviteten |
| Typ | sträng | Namnet på tabellen |
| UniqueSharingId | sträng | Det unika delnings-ID som är associerat med delningsåtgärden. |
| användaragent | sträng | Användaragenten |
| Användardomän | sträng | Domänen för användaren |
| AnvändarID | sträng | UPN (användarens huvudnamn) för användaren som utförde åtgärden (anges i egenskapen Åtgärd) som resulterade i att posten loggades |
| Användarnyckel | sträng | Ett alternativt ID för användaren som identifieras i egenskapen UserId |
| AnvändareDelaMed | sträng | Användaren som en resurs har delats med |
| Användartyp | sträng | Den typ av användare som utförde åtgärden. Mer information om typer av användare finns i tabellen UserType |