Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Journaux d’audit pour les locataires d'Office 365 collectés par Azure Sentinel. Y compris les journaux Exchange, SharePoint et Teams.
Attributs de la table
| Attribut | Valeur |
|---|---|
| Types de ressources | - |
| Catégories | Sécurité |
| Solutions | AzureSentinelPrivatePreview, SecurityInsights |
| Journal de base | Non |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| AADGroupId | chaîne | ID de groupe Azure Active Directory |
| AADTarget | chaîne | L’utilisateur sur lequel l’action est exécutée (identifiée par la propriété Opération) |
| Activité | chaîne | Activité effectuée par l’utilisateur. |
| Acteur | chaîne | L'utilisateur ou le principal du service qui a effectué l'action |
| ActorContextId | chaîne | Le GUID de l’organisation à laquelle appartient l’acteur |
| AdresseIPdeL'Acteur | chaîne | Adresse IP de l’acteur au format d’adresse IPV4 ou IPV6 |
| AddOnGuid | chaîne | L’événement a généré l’identificateur unique du module complémentaire. |
| AddonName | chaîne | Nom du module complémentaire qui a généré cet événement |
| AddOnType | chaîne | Type de module complémentaire qui a généré cet événement |
| Éléments affectés | chaîne | Informations sur chaque élément du groupe |
| AppAccessContext | dynamique | Contexte de l’application pour l’utilisateur ou le principal de service qui a effectué l’action. |
| AppDistributionMode | chaîne | Mode de distribution d’application |
| AppId | chaîne | ID de l'application |
| Application | string | Nom de l’application |
| ApplicationId | chaîne | ID d’application SharePoint |
| AppPoolName | chaîne | Nom du pool d’applications |
| ArtifactsShared | dynamique | Artefacts partagés dans la réunion. |
| Attendees | dynamique | Liste des participants à la réunion. |
| AzureActiveDirectory_EventType | chaîne | Type d’événement Azure AD |
| AzureADAppId | string | ID Azure AD de l'application Teams |
| _BilledSize | real | Taille de l’enregistrement en octets |
| ChannelGuid | chaîne | Identificateur unique du canal audité |
| ChannelName | chaîne | Nom du canal audité |
| TypeDeChaîne | chaîne | Type de canal audité (Standard/Privé) |
| ChatName | chaîne | Nom de la conversation |
| ChatThreadId | chaîne | ID du fil de conversation |
| Client | chaîne | Détails sur l’appareil client, le système d’exploitation de l’appareil et le navigateur d’appareil utilisés pour l’événement de connexion de compte |
| Client_IPAddress | chaîne | Adresse IP de l’appareil utilisé lors de la journalisation de l’opération |
| ClientAppId | chaîne | ID d’application cliente |
| ClientInfoString | chaîne | Informations sur le client de messagerie utilisé pour effectuer l’opération |
| ClientIP | chaîne | Adresse IP de l’appareil utilisé lors de la journalisation de l’activité |
| ClientMachineName | chaîne | Nom de l’ordinateur qui héberge le client Outlook |
| ClientProcessName | chaîne | Client de messagerie utilisé pour accéder à la boîte aux lettres |
| ClientVersion | string | Version du client de messagerie |
| Type de communication | chaîne | Type de communications effectuées |
| CrossMailboxOperations | bool | Indique si l’opération implique plusieurs boîtes aux lettres |
| CustomEvent | chaîne | Chaîne facultative pour les événements personnalisés |
| DataCenterSecurityEventType | int | Type d’événement dmdlet dans la zone de verrouillage |
| DestFolder | chaîne | Dossier de destination |
| DestinationFileExtension | chaîne | Extension de fichier d’un fichier copié ou déplacé |
| DestinationFileName | chaîne | Nom du fichier copié ou déplacé |
| DestinationRelativeUrl | chaîne | URL du dossier de destination où un fichier est copié ou déplacé |
| DestMailboxId | chaîne | Définir uniquement si le paramètre CrossMailboxOperations a la valeur True |
| DestMailboxOwnerMasterAccountSid | chaîne | Définir uniquement si le paramètre CrossMailboxOperations a la valeur True |
| DestMailboxOwnerSid | chaîne | Définir uniquement si le paramètre CrossMailboxOperations a la valeur True |
| DestMailboxOwnerUPN | chaîne | Définir uniquement si le paramètre CrossMailboxOperations a la valeur True |
| Informations sur l'appareil | chaîne | Informations sur l’appareil utilisateur. |
| EffectiveOrganization | chaîne | Le nom du client vers lequel l’élévation/l’applet de commande est ciblée |
| ElevationApprovedTime | date et heure | L’horodatage de l’approbation de l’élévation |
| ElevationApprover | chaîne | Nom d’un responsable Microsoft |
| ElevationDuration | int | Durée pendant laquelle l’élévation était active (en heures) |
| ElevationRequestId | chaîne | Identificateur unique de la requête d’élévation |
| ElevationRole | chaîne | Le rôle pour lequel l’élévation a été demandée |
| Temps d'élévation | Date et heure | Heure de début de l’élévation |
| Données_Événement | chaîne | Charge utile facultative pour les événements personnalisés |
| EventSource | chaîne | Identifie qu’un événement s’est produit dans SharePoint. Les valeurs possibles sont SharePoint ou ObjectModel |
| ExtendedProperties | chaîne | Propriétés étendues de l’événement Azure AD |
| Accès Externe | chaîne | Spécifie si l’applet de commande a été exécutée par un utilisateur de votre organisation |
| ExtraProperties | dynamique | Liste des propriétés supplémentaires |
| Dossier | chaîne | Dossier où se trouve un groupe d’éléments |
| Dossiers | chaîne | Informations sur les dossiers sources impliqués dans une opération |
| GenericInfo | chaîne | Utilisé pour les commentaires et d’autres informations génériques |
| InternalLogonType | int | Réservé à une utilisation interne |
| InterSystemsId | chaîne | Le GUID permettant de suivre les actions entre différents composants au sein du service Office 365 |
| IntraSystemId | chaîne | GUID généré par Azure Active Directory pour suivre l’action |
| _IsBillable | chaîne | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| IsJoinedFromLobby | bool | Indique si l’utilisateur rejoint à partir de la salle d’attente. |
| IsManagedDevice | bool | Indique si l’opération a été créée par un appareil géré par l’organisation |
| Élément | chaîne | Représente l’élément sur lequel l’opération a été effectuée |
| ItemName | chaîne | Chaîne dans le champ Objet de l’e-mail |
| Type d'article | chaîne | Le type d’objet qui a été ouvert ou modifié. Pour plus d’informations sur les types d’objets, consultez la table ItemType |
| JoinTime | DATETIME | Heure à laquelle l’utilisateur a rejoint la réunion. |
| Temps de congé | date et heure | Heure à laquelle l’utilisateur a quitté la réunion. |
| LoginStatus | int | Cette propriété est directement issue de OrgIdLogon.LoginStatus. Le mappage de différents échecs d’ouverture de session intéressants peut être effectué par des algorithmes d’alerte |
| Logon_Type | chaîne | Indique le type d’utilisateur qui a accédé à la boîte aux lettres et effectué l’opération enregistrée |
| LogonUserDisplayName | chaîne | Nom convivial de l’utilisateur qui a effectué l’opération |
| LogonUserSid | chaîne | SID de l’utilisateur qui a effectué l’opération |
| MachineDomainInfo | chaîne | Informations sur les opérations de synchronisation des appareils |
| Identifiant de la machine | chaîne | Informations sur les opérations de synchronisation des appareils |
| MailboxGuid | chaîne | Le GUID Exchange de la boîte aux lettres ouverte |
| MailboxOwnerMasterAccountSid | chaîne | SID de compte principal du compte du propriétaire de boîte aux lettres |
| MailboxOwnerSid | chaîne | SID du propriétaire de la boîte aux lettres |
| MailboxOwnerUPN | chaîne | Adresse e-mail de la personne propriétaire de la boîte aux lettres accessible |
| MeetingDetailId | chaîne | ID de détail de la réunion. |
| Membres | dynamique | Liste des utilisateurs au sein d’une équipe |
| MessageId | chaîne | Identificateur d’un message de chat ou de canal |
| ModifiedObjectResolvedName | chaîne | Il s’agit du nom convivial de l’objet modifié par l’applet de commande |
| ModifiedProperties | chaîne | La propriété est incluse pour les événements d’administrateur, tels que l’ajout d’un utilisateur en tant que membre d’un site ou un groupe administrateur de collection de sites |
| Nom | ficelle | Présent uniquement pour les événements de paramètres. Nom du paramètre qui a changé |
| NewValue | chaîne | Présent uniquement pour les événements de paramètres. Nouvelle valeur du paramètre |
| OfficeId | chaîne | Identificateur unique d’un enregistrement d’audit |
| OfficeObjectId | chaîne | Pour les activités liées à SharePoint et OneDrive Entreprise |
| OfficeTenantId | chaîne | ID du locataire de bureau |
| Charge de Travail au Bureau | chaîne | Service Office 365 où l’activité s’est produite |
| OldValue | chaîne | Disponible uniquement pour les événements de configuration. Ancienne valeur du paramètre |
| Operation | chaîne | Nom de l’opération effectuée par l’utilisateur |
| OperationProperties | dynamique | Propriétés d’opération supplémentaires |
| OperationScope | chaîne | L’étendue vers l’emplacement où l’opération a eu lieu. |
| OrganizationId | chaîne | Le GUID pour le client Office 365 de votre organisation. Cette valeur sera toujours la même pour votre organisation. |
| OrganizationName | chaîne | Nom du locataire |
| Serveur d'origine | chaîne | Nom du serveur à partir duquel l’applet de commande a été exécutée |
| Paramètres | chaîne | Le nom et la valeur de tous les paramètres utilisés avec l’applet de commande qui est identifiée dans la propriété Operations |
| Type d'Enregistrement | chaîne | Type d’opération indiqué par l’enregistrement. Pour plus d’informations sur les types d’enregistrements du journal d’audit, consultez la table AuditLogRecordType |
| _ResourceId | chaîne | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| ResultReasonType | chaîne | Motif du résultat signalé dans ResultType |
| ResultStatus | chaîne | Indique si l’action (spécifiée dans la propriété Operation) a réussi ou non |
| SendAsUserMailboxGuid | chaîne | Le GUID Exchange de la boîte aux lettres ouverte pour envoyer un e-mail |
| SendAsUserSmtp (Envoyer en tant qu'utilisateur via SMTP) | chaîne | Adresse SMTP de l’utilisateur qui est imité |
| SendonBehalfOfUserMailboxGuid | ficelle | Le GUID Exchange de la boîte aux lettres ouverte pour envoyer un e-mail au nom de |
| SendOnBehalfOfUserSmtp | chaîne | Adresse SMTP de l’utilisateur au nom duquel l’e-mail est envoyé |
| SharingType | chaîne | Le type d’autorisations de partage attribuées à l’utilisateur avec lequel la ressource a été partagée. Cet utilisateur est identifié par le paramètre UserSharedWith |
| Site_ | chaîne | GUID du site où se trouve le fichier ou le dossier accessible par l’utilisateur |
| Site_Url | chaîne | URL du site où se trouve le fichier ou le dossier accessible par l’utilisateur |
| Source_Name | chaîne | L’entité qui a déclenché l’opération d’audit. Les valeurs possibles sont SharePoint ou ObjectModel |
| SourceFileExtension | chaîne | L’extension de fichier du fichier qui est ouvert par l’utilisateur |
| SourceFileName | chaîne | Nom du fichier ou du dossier accessible par l’utilisateur |
| SourceRecordId | chaîne | Identificateur unique d’un enregistrement d’audit |
| SourceRelativeUrl | chaîne | URL du dossier qui contient le fichier accessible par l’utilisateur |
| SourceSystem | chaîne | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| SRPolicyId | chaîne | ID de stratégie |
| SRPolicyName | string | Nom de stratégie |
| SRRuleMatchDetails | dynamique | Détails de la règle |
| Heure_Début | date et heure | Date et heure à laquelle l’applet de commande a été exécutée |
| _SubscriptionId | chaîne | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| SupportTicketId | chaîne | L’ID du-ticket de support client pour l’action dans les situations de « agir-au-nom-de » |
| TabType | chaîne | Type d’onglet qui a généré cet événement |
| TargetContextId | chaîne | Le GUID de l’organisation à laquelle appartient l’utilisateur cible |
| TargetUserId | chaîne | ID d’utilisateur cible |
| TargetUserOrGroupName | chaîne | Stocke l’UPN ou le nom de l’utilisateur ou du groupe cible avec lequel une ressource a été partagée |
| TargetUserOrGroupType | chaîne | Identifie si l’utilisateur ou le groupe cible est membre, invité, groupe ou partenaire |
| TeamGuid | chaîne | Identificateur unique de l’équipe auditée |
| TeamName | chaîne | Nom de l’équipe auditée |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | date et heure | Date et heure en temps universel coordonné (UTC) lorsque l’utilisateur a effectué l’activité |
| Type | chaîne | Nom de la table |
| UserAgent | chaîne | Agent utilisateur |
| UserDomain | chaîne | Domaine de l’utilisateur |
| ID utilisateur | chaîne | UPN (nom d’utilisateur principal) de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journalisation de l’enregistrement |
| UserKey | chaîne | UN AUTRE ID pour l’utilisateur identifié dans la propriété UserId |
| UserSharedWith | chaîne | Utilisateur avec lequel une ressource a été partagée |
| Type d'utilisateur | chaîne | Le type d’utilisateur qui a effectué l’opération. Pour plus d’informations sur les types d’utilisateurs, consultez la table UserType |