MicrosoftPurviewInformationProtection
Microsoft Purview Information Protection Überwachungsprotokolle.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit, Überwachung |
| Lösungen | SecurityInsights |
| Standardprotokoll | No |
| Transformation zur Erfassungszeit | Yes |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| ActionSource | Zeichenfolge | Die Quelle der Bezeichnungsaktion. |
| ActionSourceDetail | Zeichenfolge | Weitere Details zur Quelle der Bezeichnungsaktion. |
| AppAccessContext | dynamisch | Der Anwendungskontext für den Benutzer oder Dienstprinzipal, der die Aktion ausgeführt hat. |
| Anwendung | Zeichenfolge | Die Anwendung, in der die Aktivität stattgefunden hat. |
| ApplicationMode | Zeichenfolge | Der Bezeichnungsanwendungsmodus, wie die Bezeichnung angewendet wurde. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| ClientIP | Zeichenfolge | Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im IPv4- oder IPv6-Adressformat angezeigt. |
| Allgemein | dynamisch | Azure Information Protection: allgemeine Ereignisdaten. |
| ConditionMatch | dynamisch | Die Bedingungsbesprechung, die die automatische Bezeichnung ausgelöst hat. |
| ContentType | Zeichenfolge | Inhaltstyp. |
| CorrelationId | Zeichenfolge | Korrelations-ID. |
| CurrentProtectionType | dynamisch | Aktuelle Schutzereignisinformationen. |
| CurrentProtectionTypeName | Zeichenfolge | Der Typ des angewendeten Schutzes. |
| DataState | Zeichenfolge | Azure Information Protection: Datenstatus. |
| DeviceName | Zeichenfolge | Das Gerät, auf dem die Aktivität stattgefunden hat. |
| EmailInfo | dynamisch | Die erforderlichen Informationen, wenn es sich bei internalTarget um eine E-Mail handelt. |
| ExchangeMetaData | dynamisch | Austauschen von Metadaten für die automatische Bezeichnung. |
| ExecutionRuleId | Zeichenfolge | Die ID der regel, die ausgeführt wurde. |
| ExecutionRuleName | Zeichenfolge | Der Name der Regel, die ausgeführt wurde. |
| ExecutionRuleVersion | Zeichenfolge | Die Version der Regel, die ausgeführt wurde. |
| Id | string | Eindeutiger Bezeichner des Eintrags im Überwachungsprotokoll. |
| IrmContentId | Zeichenfolge | Die eindeutige ID, die zum Identifizieren des verschlüsselten Dokuments nach Abschluss des Vorgangs verwendet wird. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| IsViewableByExternalUsers | bool | Kann von externen Benutzern angezeigt werden. |
| ItemCreationTime | datetime | Das Datum und die Uhrzeit der Erstellung des Elements. |
| ItemLastModifiedTime | datetime | Das Datum und die Uhrzeit der letzten Änderung des Elements. |
| Artikelname | Zeichenfolge | Der Elementname. |
| ItemSize | Zeichenfolge | Elementgröße |
| JustificationText | Zeichenfolge | Die vom Administrator in der Vertraulichkeitsbezeichnungsrichtlinie konfigurierte Begründung nur dann, wenn die Vertraulichkeitsbezeichnung vom Benutzer herabgestuft oder entfernt wird. |
| LabelAction | Zeichenfolge | Die von der Bezeichnung angewendete Aktion. |
| LabelAppliedDateTime | datetime | Das Datum und die Uhrzeit der Anwendung der Bezeichnung. |
| LabelEventType | Zeichenfolge | Der Bezeichnungsvorgang. |
| LabelName | Zeichenfolge | Der Bezeichnungsname, der auf das Element angewendet wird. |
| LabelVersion | Zeichenfolge | Die von der Richtlinie für die automatische Bezeichnung angewendete Bezeichnungsversion. |
| MachineName | Zeichenfolge | Der Computername |
| MgtRuleId | Zeichenfolge | Verwaltungsregel-ID. |
| ObjectID | Zeichenfolge | Für SharePoint- und OneDrive for Business-Aktivitäten: der vollständige Pfadname der Datei oder des Ordners, auf die/den der Benutzer zugegriffen hat. Bei der Exchange-Administratorüberwachungsprotokollierung der Name des Objekts, das vom Cmdlet geändert wurde. |
| OldSensitivityLabelId | Zeichenfolge | Der Bezeichner der Vertraulichkeitsbezeichnung, die zuvor auf das Dokument angewendet wurde, bevor der Vorgang zum Ändern/Entfernen der Bezeichnung ausgelöst wurde. |
| OldSensitivityLabelOwnerEmail | Zeichenfolge | Die E-Mail-Adresse des Besitzers der alten Vertraulichkeitsbezeichnung. |
| Vorgang | Zeichenfolge | Der Name der Benutzer- oder Administratoraktivität. |
| OrganizationId | Zeichenfolge | Die GUID des Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation immer gleich, unabhängig vom Office 365-Dienst, in dem er auftritt. |
| OverriddenActions | dynamisch | Aktionen, die von den Regelaktionen überschrieben wurden. |
| OverRideReason | Zeichenfolge | Der Grund, warum die Vertraulichkeitsbezeichnung überschrieben wurde. |
| OverRideType | Zeichenfolge | Außerkraftsetzungstyp. |
| Plattform | Zeichenfolge | Die Plattform, auf der die Aktivität stattgefunden hat. |
| PolicyId | Zeichenfolge | Richtlinien-ID. |
| PolicyName | Zeichenfolge | Der Richtlinienname. |
| PolicyVersion | Zeichenfolge | Version der Richtlinie. |
| PreviousProtectionType | dynamisch | Vorherige Schutzereignisinformationen. |
| PreviousProtectionTypeName | Zeichenfolge | Vorheriger Schutztyp. |
| ProtectionEventData | dynamisch | Azure Information Protection: Schutzereignisdaten. |
| ProtectionEventTypeName | Zeichenfolge | Name des Schutzereignistyps. |
| Empfänger | dynamisch | Die E-Mail-Adressen der Empfänger. |
| RecordType | INT | Der im Eintrag festgehaltene Typ des Vorgangs. |
| RecordTypeName | Zeichenfolge | Der Name des Datensatztyps. |
| ResultStatus | Zeichenfolge | Gibt an, ob die Aktion (angegeben in der Eigenschaft „Operation“) erfolgreich war oder nicht. Mögliche Werte sind „Succeeded“, „PartiallySucceeded“ oder „Failed“. Bei Exchange-Administratoraktivitäten ist der Wert entweder „True“ oder „False“. |
| RuleActions | dynamisch | Aktionen, die durch die Regeln definiert werden. |
| RuleMode | Zeichenfolge | Der aktuelle Modus der Regel. |
| `Scope` | Zeichenfolge | Wurde dieses Ereignis von einem gehosteten O365-Dienst oder einem lokalen Server erstellt. |
| ScopedLocationId | Zeichenfolge | Die Adresse, die die Richtlinienmatches ausgelöst hat. |
| Sender | Zeichenfolge | Die E-Mail-Adresse des Absenders. |
| SensitiveInfoDetectionIsIncluded | bool | Bestimmt, ob die Erkennung vertraulicher Informationen enthalten ist. |
| SensitiveInfoTypeData | dynamisch | Azure Information Protection: Vertrauliche Informationstypen. |
| SensitivityLabelId | Zeichenfolge | Der Bezeichner für die empfohlene Vertraulichkeitsbezeichnung gemäß der Richtlinie, die basierend auf dem Inhalt des Dokuments abgeglichen wurde. |
| SensitivityLabelOwnerEmail | Zeichenfolge | Die E-Mail-Adresse des Besitzers der Vertraulichkeitsbezeichnung. |
| SensitivityLabelPolicyId | Zeichenfolge | Der Bezeichner für die Vertraulichkeitsbezeichnungsrichtlinie, die basierend auf dem Inhalt des Dokuments abgeglichen wurde. |
| Schweregrad | Zeichenfolge | Der Schweregrad der Richtlinie für automatische Bezeichnungen entspricht. |
| SharePointMetaData | dynamisch | Automatische Beschriftung von Metadaten in SharePoint. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| TargetLocation | Zeichenfolge | Der Speicherort des Dokuments in Bezug auf das Gerät des Benutzers. |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Das Datum und die Uhrzeit, zu dem der Benutzer die Aktivität ausgeführt hat. |
| type | Zeichenfolge | Der Name der Tabelle. |
| UserId | Zeichenfolge | Der UPN (Benutzerprinzipalname) des Benutzers, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu führte, dass der Datensatz protokolliert wurde. |
| UserKey | Zeichenfolge | Eine alternative ID für den Benutzer, der in der Eigenschaft „UserId“ identifiziert wird. Diese Eigenschaft wird mit der eindeutigen Pass-ID (PUID) für Ereignisse aufgefüllt, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden. |
| UserType | Zeichenfolge | Der Typ des Benutzers, der den Vorgang ausgeführt hat. |
| Workload | Zeichenfolge | Der Office 365 Dienst, in dem die Aktivität aufgetreten ist. |
| WorkLoadItemId | Zeichenfolge | Die Workloadelement-ID. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für