MicrosoftPurviewInformationProtection
Microsoft Purview Information Protection Überwachungsprotokolle.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | - |
Kategorien | Sicherheit, Überwachung |
Lösungen | SecurityInsights |
Standardprotokoll | No |
Transformation zur Erfassungszeit | Yes |
Beispielabfragen | Ja |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
ActionSource | Zeichenfolge | Die Quelle der Bezeichnungsaktion. |
ActionSourceDetail | Zeichenfolge | Weitere Details zur Quelle der Bezeichnungsaktion. |
AppAccessContext | dynamisch | Der Anwendungskontext für den Benutzer oder Dienstprinzipal, der die Aktion ausgeführt hat. |
Anwendung | Zeichenfolge | Die Anwendung, in der die Aktivität stattgefunden hat. |
ApplicationMode | Zeichenfolge | Der Bezeichnungsanwendungsmodus, wie die Bezeichnung angewendet wurde. |
_BilledSize | real | Die Datensatzgröße in Bytes |
ClientIP | Zeichenfolge | Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im IPv4- oder IPv6-Adressformat angezeigt. |
Allgemein | dynamisch | Azure Information Protection: allgemeine Ereignisdaten. |
ConditionMatch | dynamisch | Die Bedingungsbesprechung, die die automatische Bezeichnung ausgelöst hat. |
ContentType | Zeichenfolge | Inhaltstyp. |
CorrelationId | Zeichenfolge | Korrelations-ID. |
CurrentProtectionType | dynamisch | Aktuelle Schutzereignisinformationen. |
CurrentProtectionTypeName | Zeichenfolge | Der Typ des angewendeten Schutzes. |
DataState | Zeichenfolge | Azure Information Protection: Datenstatus. |
DeviceName | Zeichenfolge | Das Gerät, auf dem die Aktivität stattgefunden hat. |
EmailInfo | dynamisch | Die erforderlichen Informationen, wenn es sich bei internalTarget um eine E-Mail handelt. |
ExchangeMetaData | dynamisch | Austauschen von Metadaten für die automatische Bezeichnung. |
ExecutionRuleId | Zeichenfolge | Die ID der regel, die ausgeführt wurde. |
ExecutionRuleName | Zeichenfolge | Der Name der Regel, die ausgeführt wurde. |
ExecutionRuleVersion | Zeichenfolge | Die Version der Regel, die ausgeführt wurde. |
Id | string | Eindeutiger Bezeichner des Eintrags im Überwachungsprotokoll. |
IrmContentId | Zeichenfolge | Die eindeutige ID, die zum Identifizieren des verschlüsselten Dokuments nach Abschluss des Vorgangs verwendet wird. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
IsViewableByExternalUsers | bool | Kann von externen Benutzern angezeigt werden. |
ItemCreationTime | datetime | Das Datum und die Uhrzeit der Erstellung des Elements. |
ItemLastModifiedTime | datetime | Das Datum und die Uhrzeit der letzten Änderung des Elements. |
Artikelname | Zeichenfolge | Der Elementname. |
ItemSize | Zeichenfolge | Elementgröße |
JustificationText | Zeichenfolge | Die vom Administrator in der Vertraulichkeitsbezeichnungsrichtlinie konfigurierte Begründung nur dann, wenn die Vertraulichkeitsbezeichnung vom Benutzer herabgestuft oder entfernt wird. |
LabelAction | Zeichenfolge | Die von der Bezeichnung angewendete Aktion. |
LabelAppliedDateTime | datetime | Das Datum und die Uhrzeit der Anwendung der Bezeichnung. |
LabelEventType | Zeichenfolge | Der Bezeichnungsvorgang. |
LabelName | Zeichenfolge | Der Bezeichnungsname, der auf das Element angewendet wird. |
LabelVersion | Zeichenfolge | Die von der Richtlinie für die automatische Bezeichnung angewendete Bezeichnungsversion. |
MachineName | Zeichenfolge | Der Computername |
MgtRuleId | Zeichenfolge | Verwaltungsregel-ID. |
ObjectID | Zeichenfolge | Für SharePoint- und OneDrive for Business-Aktivitäten: der vollständige Pfadname der Datei oder des Ordners, auf die/den der Benutzer zugegriffen hat. Bei der Exchange-Administratorüberwachungsprotokollierung der Name des Objekts, das vom Cmdlet geändert wurde. |
OldSensitivityLabelId | Zeichenfolge | Der Bezeichner der Vertraulichkeitsbezeichnung, die zuvor auf das Dokument angewendet wurde, bevor der Vorgang zum Ändern/Entfernen der Bezeichnung ausgelöst wurde. |
OldSensitivityLabelOwnerEmail | Zeichenfolge | Die E-Mail-Adresse des Besitzers der alten Vertraulichkeitsbezeichnung. |
Vorgang | Zeichenfolge | Der Name der Benutzer- oder Administratoraktivität. |
OrganizationId | Zeichenfolge | Die GUID des Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation immer gleich, unabhängig vom Office 365-Dienst, in dem er auftritt. |
OverriddenActions | dynamisch | Aktionen, die von den Regelaktionen überschrieben wurden. |
OverRideReason | Zeichenfolge | Der Grund, warum die Vertraulichkeitsbezeichnung überschrieben wurde. |
OverRideType | Zeichenfolge | Außerkraftsetzungstyp. |
Plattform | Zeichenfolge | Die Plattform, auf der die Aktivität stattgefunden hat. |
PolicyId | Zeichenfolge | Richtlinien-ID. |
PolicyName | Zeichenfolge | Der Richtlinienname. |
PolicyVersion | Zeichenfolge | Version der Richtlinie. |
PreviousProtectionType | dynamisch | Vorherige Schutzereignisinformationen. |
PreviousProtectionTypeName | Zeichenfolge | Vorheriger Schutztyp. |
ProtectionEventData | dynamisch | Azure Information Protection: Schutzereignisdaten. |
ProtectionEventTypeName | Zeichenfolge | Name des Schutzereignistyps. |
Empfänger | dynamisch | Die E-Mail-Adressen der Empfänger. |
RecordType | INT | Der im Eintrag festgehaltene Typ des Vorgangs. |
RecordTypeName | Zeichenfolge | Der Name des Datensatztyps. |
ResultStatus | Zeichenfolge | Gibt an, ob die Aktion (angegeben in der Eigenschaft „Operation“) erfolgreich war oder nicht. Mögliche Werte sind „Succeeded“, „PartiallySucceeded“ oder „Failed“. Bei Exchange-Administratoraktivitäten ist der Wert entweder „True“ oder „False“. |
RuleActions | dynamisch | Aktionen, die durch die Regeln definiert werden. |
RuleMode | Zeichenfolge | Der aktuelle Modus der Regel. |
`Scope` | Zeichenfolge | Wurde dieses Ereignis von einem gehosteten O365-Dienst oder einem lokalen Server erstellt. |
ScopedLocationId | Zeichenfolge | Die Adresse, die die Richtlinienmatches ausgelöst hat. |
Sender | Zeichenfolge | Die E-Mail-Adresse des Absenders. |
SensitiveInfoDetectionIsIncluded | bool | Bestimmt, ob die Erkennung vertraulicher Informationen enthalten ist. |
SensitiveInfoTypeData | dynamisch | Azure Information Protection: Vertrauliche Informationstypen. |
SensitivityLabelId | Zeichenfolge | Der Bezeichner für die empfohlene Vertraulichkeitsbezeichnung gemäß der Richtlinie, die basierend auf dem Inhalt des Dokuments abgeglichen wurde. |
SensitivityLabelOwnerEmail | Zeichenfolge | Die E-Mail-Adresse des Besitzers der Vertraulichkeitsbezeichnung. |
SensitivityLabelPolicyId | Zeichenfolge | Der Bezeichner für die Vertraulichkeitsbezeichnungsrichtlinie, die basierend auf dem Inhalt des Dokuments abgeglichen wurde. |
Schweregrad | Zeichenfolge | Der Schweregrad der Richtlinie für automatische Bezeichnungen entspricht. |
SharePointMetaData | dynamisch | Automatische Beschriftung von Metadaten in SharePoint. |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
TargetLocation | Zeichenfolge | Der Speicherort des Dokuments in Bezug auf das Gerät des Benutzers. |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
TimeGenerated | datetime | Das Datum und die Uhrzeit, zu dem der Benutzer die Aktivität ausgeführt hat. |
type | Zeichenfolge | Der Name der Tabelle. |
UserId | Zeichenfolge | Der UPN (Benutzerprinzipalname) des Benutzers, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu führte, dass der Datensatz protokolliert wurde. |
UserKey | Zeichenfolge | Eine alternative ID für den Benutzer, der in der Eigenschaft „UserId“ identifiziert wird. Diese Eigenschaft wird mit der eindeutigen Pass-ID (PUID) für Ereignisse aufgefüllt, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden. |
UserType | Zeichenfolge | Der Typ des Benutzers, der den Vorgang ausgeführt hat. |
Workload | Zeichenfolge | Der Office 365 Dienst, in dem die Aktivität aufgetreten ist. |
WorkLoadItemId | Zeichenfolge | Die Workloadelement-ID. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für