Teilen über


Detaillierte Aktivitätseigenschaften im Überwachungsprotokoll

Wenn Sie die Ergebnisse einer Überwachungsprotokollsuche aus dem Microsoft Purview-Portal oder aus dem Microsoft Purview-Complianceportal exportieren, können Sie alle Ergebnisse herunterladen, die Ihren Suchkriterien entsprechen. Sie können diese Informationen exportieren, indem Sie auf der Seite Überwachungsprotokollsuche die Option Ergebnisse> exportierenAlle Ergebnisse herunterladen auswählen. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls.

Wenn Sie alle Ergebnisse für eine Überwachungsprotokollsuche exportieren, werden die Rohdaten aus dem einheitlichen Überwachungsprotokoll in eine CSV-Datei (Comma-Separated Value) kopiert, die auf Ihren lokalen Computer heruntergeladen wird. Diese Datei enthält zusätzliche Eigenschafteninformationen aus jedem Überwachungsaktivitätsdatensatz in einer Spalte mit dem Namen AuditData. Diese Spalte enthält eine mehrwertige Eigenschaft für mehrere Eigenschaften aus dem Überwachungsprotokolldatensatz. Jedes der Eigenschafts-:-Wertpaare in dieser mehrwertigen Eigenschaft wird durch ein Komma getrennt.

In der folgenden Tabelle werden die Aktivitätseigenschaften beschrieben, die (abhängig vom Dienst, in dem eine Aktivität auftritt) in der AuditData-Spalte mit mehreren Eigenschaften enthalten sind. Der Microsoft-Dienst mit dieser Eigenschaftsspalte gibt den Dienst und den Typ der Aktivität (Benutzer oder Administrator) an, die die Eigenschaft enthält. Ausführlichere Informationen zu diesen Eigenschaften oder eigenschaften, die in diesem Artikel möglicherweise nicht aufgeführt sind, finden Sie unter Schema der Verwaltungsaktivitäts-API.

Tipp

Sie können die JSON-Transformationsfunktion in Power Query in Excel verwenden, um die Spalte AuditData in mehrere Spalten aufzuteilen, sodass jede Eigenschaft über eine eigene Spalte verfügt. Dadurch können Sie nach einer oder mehreren dieser Eigenschaften sortieren und filtern. Informationen dazu finden Sie unter Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokolldatensätzen.

Eigenschaft Beschreibung Microsoft-Dienst mit dieser Eigenschaft
Akteur Das Benutzer- oder Dienstkonto, das die Aktion ausgeführt hat. Azure Active Directory
AddOnName Der Name eines Add-Ons, das in einem Team hinzugefügt, entfernt oder aktualisiert wurde. Der Typ von Add-Ons in Microsoft Teams ist ein Bot, ein Connector oder eine Registerkarte. Microsoft Teams
AddOnType Der Typ eines Add-Ons, das in einem Team hinzugefügt, entfernt oder aktualisiert wurde. Die folgenden Werte geben den Typ des Add-Ons an.
1 – Gibt einen Bot an.
2 – Gibt einen Connector an.
3 – Gibt eine Registerkarte an.
Microsoft Teams
AppAccessContext Der Anwendungskontext für den Benutzer oder Dienstprinzipal, der die Aktion ausgeführt hat. Microsoft Teams
ArtifactShared Dateien oder Inhalte, die vom Benutzer freigegeben werden. Microsoft Teams
AzureActiveDirectoryEventType Der Typ der Azure Active Directory-Aktivität. Die folgenden Werte geben den Typ der Aktivität an.
0 – Gibt eine Kontoanmeldungsaktivität an.
1 – Gibt eine Azure-Anwendungssicherheitsaktivität an.
Azure Active Directory
ChannelGuid Die ID eines Microsoft Teams-Kanals. Das Team, in dem sich der Kanal befindet, wird durch die Eigenschaften TeamName und TeamGuid identifiziert. Microsoft Teams
ChannelName Der Name eines Microsoft Teams-Kanals. Das Team, in dem sich der Kanal befindet, wird durch die Eigenschaften TeamName und TeamGuid identifiziert. Microsoft Teams
Client Das Clientgerät, das Gerätebetriebssystem und der Gerätebrowser, der für die Anmeldeaktivität verwendet wird (z. B. Nokia Lumia 920; Windows Phone 8; IE Mobile 11). Azure Active Directory
ClientInfoString Informationen zum E-Mail-Client, der zum Ausführen des Vorgangs verwendet wurde, z. B. browserversion, Outlook-Version und Informationen zu mobilen Geräten Exchange (Postfachaktivität)
ClientIP Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt.

Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse einer vertrauenswürdigen Anwendung (z.B. Office in den Web-Apps), die anstelle eines Benutzers in den Dienst einruft und nicht die IP-Adresse des Geräts, das von der Person, die die Aktivität ausgeführt hat, verwendet wird.

Außerdem wird bei Administratoraktivitäten (oder aktivitäten, die von einem Systemkonto ausgeführt werden) für Azure Active Directory-bezogene Aktivitäten die IP-Adresse nicht protokolliert, und der Wert für die ClientIP-Eigenschaft lautet null.
Azure Active Directory, Exchange, SharePoint
CreationTime Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), wann der Überwachungsprotokolldatensatz generiert wird. Alle
CurrentProtectionType Ein komplexer Eigenschaftentyp, der Felder enthält, um den aktuellen Schutzstatus eines Dokuments zu beschreiben. Umfasst Folgendes:

ProtectionType: Listet den Schutztyp auf, der auf das Dokument angewendet wird. Diese Werte und ihre Bedeutung gelten: 0 (kein Schutz), 1 (vorlagenbasierter Schutz), 2 (nicht weiterleiten, für E-Mail), 3 (nur verschlüsseln) und 4 (benutzerdefinierter, vom Benutzer konfigurierter Schutz)
Besitzer: Die E-Mail-Adresse des Benutzers, der den Schutz konfiguriert hat.
TemplateId: Wenn ProtectionType auf 1 (Vorlage) festgelegt ist, enthält dieses Feld die GUID der Vorlage, die auf das Dokument angewendet wird. Wenn der Wert von ProtectionType nicht gleich 1 ist, ist dieses Feld leer.
DocumentEncrypted: Boolesches Flag, das angibt, ob eine Art von Verschlüsselung auf das Dokument angewendet wird. Die Werte sind True oder False.
Alle
DestinationFileExtension Der Erweiterung der Datei, die kopiert oder verschoben wurde. Diese Eigenschaft wird nur für die Benutzeraktivitäten FileCopied und FileMoved angezeigt. SharePoint
DestinationFileName Der Name der Datei wird kopiert oder verschoben. Diese Eigenschaft wird nur für die Aktionen FileCopied und FileMoved angezeigt. SharePoint
DestinationRelativeUrl Die URL des Zielordners, in den eine Datei kopiert oder verschoben wurde. Die Kombination der Werte für die SiteURL, die DestinationRelativeURL und die DestinationFileName-Eigenschaft ist identisch mit dem Wert für die ObjectID-Eigenschaft , die den vollständigen Pfadnamen für die kopierte Datei darstellt. Diese Eigenschaft wird nur für die Benutzeraktivitäten FileCopied und FileMoved angezeigt. SharePoint
EventSource Gibt an, dass eine Aktivität in SharePoint aufgetreten ist. Mögliche Werte sind SharePoint und ObjectModel. SharePoint
ExternalAccess Gibt für Exchange-Administratoraktivitäten an, ob das Cmdlet von einem Benutzer in Ihrer Organisation, von Microsoft-Rechenzentrumsmitarbeitern oder einem Rechenzentrumsdienstkonto oder von einem delegierten Administrator ausgeführt wurde. Der Wert False gibt an, dass das Cmdlet von einer Person in Ihrer Organisation ausgeführt wurde. Der Wert True gibt an, dass das Cmdlet von Mitarbeiter des Rechenzentrums, einem Rechenzentrum-Dienstkonto oder einem delegierten Administrator ausgeführt wurde.
Gibt für Exchange-Postfachaktivitäten an, ob ein Benutzer außerhalb Ihrer Organisation auf ein Postfach zugreift.
Exchange
ExtendedProperties Die erweiterten Eigenschaften für eine Azure Active Directory-Aktivität. Azure Active Directory
ID Die ID des Berichtseintrags. Die ID identifiziert den Berichtseintrag eindeutig. Alle
InternalLogonType Für die interne Verwendung reserviert. Exchange (Postfachaktivität)
ItemType Der Typ des Objekts, auf das zugegriffen bzw. das geändert wurde. Mögliche Werte sind File, Folder, Web, Site, Tenant und DocumentLibrary. SharePoint
IsJoinedFromLobby Gibt an, ob der Benutzer über den Wartebereich einer Teams-Sitzung beigetreten ist oder nicht. Microsoft Teams
LoginStatus Identifiziert Anmeldefehler, die möglicherweise aufgetreten sind. Azure Active Directory
LogonType Der Typ des Postfachzugriffs. Die folgenden Werte geben den Typ des Benutzers an, der auf das Postfach zugegriffen hat.

0 – Gibt einen Postfachbesitzer an.
1 – Gibt einen Administrator an.
2 – Gibt einen Delegaten an.
3 – Gibt den Transportdienst im Microsoft-Rechenzentrum an.
4 – Gibt ein Dienstkonto im Microsoft-Rechenzentrum an.
6 – Gibt einen delegierten Administrator an.
Exchange (Postfachaktivität)
MailboxGuid Die Exchange-GUID des Postfachs, auf das zugegriffen wurde. Exchange (Postfachaktivität)
MailboxOwnerUPN Die E-Mail-Adresse der Person, die das Postfach besitzt, auf das zugegriffen wurde. Exchange (Postfachaktivität)
Members Listet die Benutzer auf, die einem Team hinzugefügt oder entfernt wurden. Die folgenden Werte geben den Rollentyp an, der dem Benutzer zugewiesen wurde.

1 - Gibt die Besitzerrolle an.
2 - Gibt die Mitgliedsrolle an.
3 - Gibt die Gastrolle an.

Die Eigenschaft „Mitglieder“ enthält auch den Namen Ihrer Organisation und die E-Mail-Adresse des Mitglieds.
Microsoft Teams
ModifiedProperties (Name, NewValue, OldValue) Die -Eigenschaft ist für Administratoraktivitäten enthalten, z. B. das Hinzufügen eines Benutzers als Mitglied einer Website oder einer Websitesammlungsadministratorgruppe. Die Eigenschaft enthält den Namen der Eigenschaft, die geändert wurde (z. B. die Gruppe Websiteadministrator), den neuen Wert der geänderten Eigenschaft (z. B. den Benutzer, der als Websiteadministrator hinzugefügt wurde, und den vorherigen Wert des geänderten Objekts). Alle (Administratoraktivität)
ObjectFullyQualifiedName Der vollqualifizierte Name für eine Entität. Microsoft Purview (Governance)
ObjectId Für Exchange-Verwaltungsüberwachungsprotokolle der Name des Objekts, das vom Cmdlet geändert wurde.
Bei SharePoint-Aktivitäten der vollständige URL-Pfadname der Datei oder des Ordners, auf die ein Benutzer zugreift.
Bei Azure AD-Aktivitäten der Name des Benutzerkontos, das geändert wurde.
Alle
ObjectName Der Name der Hauptentität. Microsoft Purview (Governance)
ObjectType Der Entitätstyp. Microsoft Purview (Governance)
OldValue Der Wert vor einer Änderung enthält alle aktualisierten oder gelöschten Eigenschaften. Microsoft Purview (Governance)
Vorgang Der Name der Benutzer- oder Verwaltungsaktivität. Der Wert dieser Eigenschaft entspricht dem Wert, der in der Dropdownliste Aktivitäten ausgewählt wurde. Wenn Ergebnisse für alle Aktivitäten anzeigen ausgewählt wurde, enthält der Bericht Einträge für alle Benutzer- und Administratoraktivitäten für alle Dienste. Eine Beschreibung der Vorgänge/Aktivitäten, die im Überwachungsprotokoll protokolliert werden, finden Sie auf der Registerkarte Überwachte Aktivitäten unter Durchsuchen des Überwachungsprotokolls in Office 365.
Für Exchange-Administratoraktivitäten gibt diese Eigenschaft den Namen des Cmdlets an, das ausgeführt wurde.
Alle
OrganizationId Die GUID für Ihre Organisation. Alle
NewValue Der Wert nach einer Änderung enthält alle aktualisierten oder gelöschten Eigenschaften. Microsoft Purview (Governance)
Pfad Der Name des Postfachordners, in dem sich die Nachricht, auf die zugegriffen wurde, befindet. Diese Eigenschaft identifiziert auch den Ordner a, in dem eine Nachricht erstellt oder kopiert/verschoben wird. Exchange (Postfachaktivität)
Parameter Bei Exchange-Administratoraktivitäten der Name und der Wert für alle Parameter, die mit dem Cmdlet verwendet wurden, das in der Operation-Eigenschaft identifiziert wird. Exchange (Administratoraktivität)
ParticipantInfo Zusätzliche Eigenschaften zur Teilnehmeridentität. Microsoft Teams
ParticipatingDomainInformation Domäneninformationen zum Teilnehmer. Microsoft Teams
PreviousProtectionType Ein komplexer Eigenschaftentyp, der Felder enthält, um den vorherigen Schutzstatus eines Dokuments zu beschreiben. Umfasst Folgendes:

ProtectionType: Listet den Schutztyp auf, der auf das Dokument angewendet wird. Diese Werte und ihre Bedeutung gelten: 0 (kein Schutz), 1 (vorlagenbasierter Schutz), 2 (nicht weiterleiten, für E-Mail), 3 (nur verschlüsseln) und 4 (benutzerdefinierter, vom Benutzer konfigurierter Schutz)
Besitzer: Die E-Mail-Adresse des Benutzers, der den Schutz konfiguriert hat.
TemplateId: Wenn ProtectionType auf 1 (Vorlage) festgelegt ist, enthält dieses Feld die GUID der Vorlage, die auf das Dokument angewendet wird. Wenn der Wert von ProtectionType nicht gleich 1 ist, ist dieses Feld leer.
DocumentEncrypted: Boolesches Flag, das angibt, ob eine Art von Verschlüsselung auf das Dokument angewendet wird. Die Werte sind True oder False.
Alle
ProtectionEventType Listet auf, wie der Schutz durch den überwachten Vorgang geändert wurde. Es gelten die folgenden Werte und Bedeutungen:

0 – Gibt unverändert an.
1 – Gibt an, dass hinzugefügt wurde.
2 – Gibt an, dass geändert wurde.
3 – Gibt an, dass entfernt wurde.
Alle
RecordType Der vom Datensatz angegebene Vorgangstyp. Diese Eigenschaft gibt den Dienst oder das Feature an, in dem der Vorgang ausgelöst wurde. Eine Liste der Datensatztypen und ihren entsprechenden ENUM-Wert (der in der RecordType-Eigenschaft in einem Überwachungsdatensatz angezeigte Wert) finden Sie unter Überwachungsprotokolldatensatztyp.
ResultStatus Gibt an, ob die Aktion (in der Operation-Eigenschaft angegeben) erfolgreich war oder nicht.
Für Exchange-Administratoraktivitäten ist der Wert entweder True (erfolgreich) oder False (Fehler).
Alle
SecurityComplianceCenterEventType Gibt an, dass es sich bei der Aktivität um eine Microsoft Purview-Portal- und Complianceportalaktivität handelt. Alle Aktivitäten des Microsoft Purview-Portals und des Complianceportals weisen für diese Eigenschaft den Wert 0 auf. Microsoft Purview-Portal
Microsoft Purview-Complianceportal
SensitivityLabel Die Vertraulichkeitsbezeichnung, die einem bestimmten E-Mail-Element zugewiesen ist. Exchange
SharingType Der Typ der Freigabeberechtigungen, die dem Benutzer zugewiesen wurden, für den die Ressource freigegeben wurde. Dieser Benutzer wird in der UserSharedWith-Eigenschaft identifiziert. SharePoint
Website Die GUID der Website, auf der sich die Datei oder der Ordner, auf die bzw. den der Benutzer zugegriffen hat, befindet. SharePoint
SiteUrl Die URL der Website, auf der sich die Datei oder der Ordner, auf die bzw. den der Benutzer zugegriffen hat, befindet. SharePoint
SourceFileExtension Die Erweiterung der Datei, auf die der Benutzer zugegriffen hat. Diese Eigenschaft ist leer, wenn das Objekt, auf das zugegriffen wurde, ein Ordner ist. SharePoint
SourceFileName Der Name der Datei oder des Ordners, auf die der Benutzer zugegriffen hat. SharePoint
SourceRelativeUrl Die URL des Ordners, der die Datei enthält, auf die der Benutzer zugegriffen hat. Die Kombination der Werte für die SiteURL, die SourceRelativeURL und die SourceFileName-Eigenschaft ist identisch mit dem Wert für die ObjectID-Eigenschaft , die den vollständigen Pfadnamen für die Datei darstellt, auf die der Benutzer zugreift. SharePoint
Betreff Die Betreffzeile der Nachricht, auf die zugegriffen wurde. Exchange (Postfachaktivität)
TabType Der Typ der Registerkarte, die in einem Team hinzugefügt, entfernt oder aktualisiert wurde. Gültige Werte für diese Eigenschaft sind:

Excel-Pin : Eine Excel-Registerkarte.
Erweiterung : Alle Erst- und Drittanbieter-Apps; z. B. Klassenzeitplan, VSTS und Formulare.
Notizen : OneNote-Registerkarte.
Pdfpin : Eine PDF-Registerkarte.
Powerbi : Eine Power BI-Registerkarte.
Powerpointpin : Eine PowerPoint-Registerkarte.
Sharepointfiles : Eine SharePoint-Registerkarte.
Webseite : Eine angeheftete Websiteregisterkarte.
Wiki-Registerkarte: Eine Wiki-Registerkarte .
Wordpin : Eine Word-Registerkarte.
Microsoft Teams
Ziel Der Benutzer, für den die Aktion (identifiziert in der Operation-Eigenschaft ) ausgeführt wurde. Wenn beispielsweise ein Gast zu SharePoint oder einem Microsoft-Team hinzugefügt wird, wird dieser Benutzer in dieser Eigenschaft aufgeführt. Azure Active Directory
TeamGuid Die ID eines Teams in Microsoft Teams. Microsoft Teams
TeamName Der Name eines Teams in Microsoft Teams. Microsoft Teams
UserAgent Informationen zum Browser des Benutzers. Diese Informationen werden vom Browser bereitgestellt. SharePoint
UserDomain Identitätsinformationen zur Mandantenorganisation des Benutzers (Akteurs), der die Aktion ausgeführt hat. Azure Active Directory
UserId Der Benutzer, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft ), die dazu geführt hat, dass der Datensatz protokolliert wurde. Überwachungsdatensätze für Aktivitäten, die von Systemkonten (z. B. SHAREPOINT\system oder NT AUTHORITY\SYSTEM) ausgeführt werden, sind ebenfalls im Überwachungsprotokoll enthalten. Ein weiterer allgemeiner Wert für die UserId-Eigenschaft ist app@sharepoint. Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen.

Weitere Informationen finden Sie unter:
Der app@sharepoint Benutzer in Überwachungsdatensätzen
oder
Systemkonten in Exchange-Postfachüberwachungsdatensätzen.
Alle
UserKey Enthält eine gültige Azure Active Directory-Objekt-ID im GUID- oder Hexax-Format. In Szenarien, in denen der primäre Akteur kein Benutzer ist, ist userKey eine leere Zeichenfolge. Ausführliche Informationen zu verschiedenen UserKey-Szenarien finden Sie unter UserType- und UserKey-Szenarien. Alle
UserType Der Typ des Benutzers, der den Vorgang ausgeführt hat. Ausführliche Informationen zu verschiedenen UserType-Szenarien finden Sie unter UserType- und UserKey-Szenarien. Alle
Version Gibt die Versionsnummer der aktivität (identifiziert durch die Operation-Eigenschaft ) an, die protokolliert wird. Alle
Arbeitslast Der Microsoft 365-Dienst, in dem die Aktivität aufgetreten ist. Alle

UserType- und UserKey-Szenarien

Die folgende Tabelle enthält Details zu UserType - und UserKey-Szenarien :

Wert UserType-Membername Beschreibung UserKey
0 Regular Ein regulärer Benutzer ohne Administratorberechtigungen. Microsoft Entra-Objekt-ID im GUID-Format
2 Administrator Ein Administrator in Ihrer Microsoft 365-Organisation. 1 Microsoft Entra-Objekt-ID im GUID-Format
3 DCAdmin Ein Microsoft-Rechenzentrumsadministrator- oder Rechenzentrumssystemkonto. Microsoft Entra-Objekt-ID im GUID-Format
4 System Ein Überwachungsereignis, das von serverseitiger Logik ausgelöst wird. Beispielsweise Windows-Dienste oder Hintergrundprozesse. Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000)
5 Anwendung Ein Überwachungsereignis, das von einer Microsoft Entra-Anwendung ausgelöst wird. Microsoft Entra-Anwendungsname oder Anwendungs-ID (sofern verfügbar). Andernfalls eine leere Zeichenfolge.
6 ServicePrincipal Ein Dienstprinzipal. Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000)
7 CustomPolicy Eine vom Kunden erstellte oder verwaltete Richtlinie. Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000)
8 SystemPolicy Eine von Microsoft verwaltete Oder Systemrichtlinie. Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000)
9 PartnerTechniker Der Benutzer eines Partnermandanten, der im Namen des Kundenmandanten (in GDAP-Szenarien ) arbeitet. Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000)
10 Gast Ein Gast oder anonymer Benutzer. Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000)

Hinweis

1 Bei Microsoft Entra-bezogenen Ereignissen wird der Wert für einen Administrator nicht in einem Überwachungsdatensatz verwendet. Überwachungsdatensätze für Aktivitäten, die von Administratoren ausgeführt werden, geben an, dass ein normaler Benutzer (z. B . UserType: 0) die Aktivität ausgeführt hat. Die UserID-Eigenschaft identifiziert die Person (regulärer Benutzer oder Administrator), die die Aktivität ausgeführt hat.