Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Sentinel által gyűjtött Office 365-bérlők auditnaplói. Az Exchange, a SharePoint és a Teams naplóit is beleértve.
Táblatulajdonságok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | - |
| Kategóriák | Biztonság |
| Megoldások | AzureSentinelPrivatePreview, SecurityInsights |
| Alapszintű napló | Nem |
| Feldolgozási idő átalakítás | Igen |
| Mintalekérdezések | Igen |
Oszlopok
| Oszlop | Típus | Leírás |
|---|---|---|
| AADGroupId | húr | Azure Active Directory-csoport azonosítója |
| AADTarget | húr | Az a felhasználó, akin a műveletet hajtották végre (amelyet a Művelet tulajdonság azonosított) |
| Tevékenység | húr | A felhasználó által végrehajtott tevékenység. |
| Színész | húr | A műveletet végrehajtó felhasználó vagy szolgáltatás azonosítója |
| ActorContextId | karakterlánc | Annak a szervezetnek a GUID azonosítója, amelyhez a színész tartozik |
| SzereplőIPcím | húr | A színész IP-címe IPV4- vagy IPV6-címformátumban |
| AddOnGuid | string | Az eseményt létrehozó bővítmény egyedi azonosítója |
| AddonName | karakterlánc | Az eseményt létrehozó bővítmény neve |
| bővítmény típusa | húr | Az eseményt létrehozó bővítmény típusa |
| Érintett tételek | húr / karakterlánc | Információ a csoport egyes elemeiről |
| Alkalmazás-hozzáférési kontextus | dinamikus | A műveletet végrehajtó felhasználó vagy szolgáltatási fő azonosító alkalmazásspecifikus környezete. |
| Alkalmazáselosztási mód | húr | Alkalmazásterjesztési mód |
| AppId | zsinór | Pályázat azonosítója |
| Alkalmazás | karaktersorozat | Az alkalmazás neve |
| ApplicationId | húr | SharePoint-alkalmazásazonosító |
| AppPoolName | húr | Az alkalmazáskészlet neve |
| Megosztott Artifaktumok | dinamikus | Az értekezleten megosztott tárgyak. |
| Résztvevők | dinamikus | Az értekezlet résztvevőinek listája. |
| AzureActiveDirectory_Eseménytípus | húr | Az Azure AD-esemény típusa |
| AzureADAppId | húr | Teams-alkalmazás Azure AD-azonosítója |
| _BilledSize | valódi | A rekord mérete bájtban |
| CsatornaAzonosító | húr | A vizsgált csatorna egyedi azonosítója |
| ChannelName | karakterlánc | Az ellenőrzött csatorna neve |
| ChannelType | húr | A naplózott csatorna típusa (Szabványos/Magán) |
| ChatName | húr | A csevegés neve |
| ChatThreadId | húr | A csevegési szál azonosítója |
| Ügyfél | húr | A fiók bejelentkezési eseményéhez használt ügyféleszköz, operációs rendszer és eszközböngésző adatai |
| Client_IPAddress | karakterlánc | A művelet naplózásakor használt eszköz IP-címe |
| ClientAppId | karakterlánc | Ügyfélalkalmazás azonosítója |
| ClientInfoString | húr | A művelet végrehajtásához használt e-mail-ügyfél adatai |
| Kliens IP-cím | karaktersorozat | A tevékenység naplózásakor használt eszköz IP-címe |
| KliensGépNeve | karakterlánc | Az Outlook-ügyfelet üzemeltető gép neve |
| ClientProcessName | zsinór | A postaláda eléréséhez használt e-mail-ügyfél |
| KliensVerzió | húr | Az e-mail-ügyfél verziója |
| KommunikációTípus | karaktersorozat | Az elvégzett kommunikáció típusa |
| CrossMailboxOperations | bool | Azt jelzi, hogy a művelet több postaládát is érintett-e |
| Egyedi esemény | szál | Választható sztring egyéni eseményekhez |
| AdatközpontBiztonságiEseménytípus | int | A dmdlet esemény típusa a zárdobozban |
| DestFolder | húr | A célmappa |
| DestinationFileExtension | húr | A másolt vagy áthelyezett fájl kiterjesztése |
| CélfájlNév | húr | A másolt vagy áthelyezett fájl neve |
| CélRelatívUrl | húr | Annak a célmappának az URL-címe, amelyben a fájl másolása vagy áthelyezése történik |
| DestMailboxId | zsinór | Csak akkor állítsa be, ha a CrossMailboxOperations paraméter igaz |
| DestMailboxTulajdonosFőFiókSid | húr | Csak akkor állítsa be, ha a CrossMailboxOperations paraméter igaz |
| DestMailboxOwnerSid | karakterlánc | Csak akkor állítsa be, ha a CrossMailboxOperations paraméter igaz |
| DestMailboxOwnerUPN | string | Csak akkor állítsa be, ha a CrossMailboxOperations paraméter igaz |
| Eszközinformáció | húr | A felhasználói eszköz adatai. |
| HatékonySzervezet | zsinór | A bérlő neve, akire a jogosultságszint-emelési/cmdlet irányult |
| EngedélyezettJóváhagyásiIdő | dátum/idő | A jogosultságszint-emelés jóváhagyásának időbélyege |
| Jogosultságjóváhagyó | húr | A Microsoft-kezelő neve |
| MagasságIdőtartam | egész | Az az időtartam, ameddig az emelés aktív volt (órákban) |
| MagasságiKérésAzonosító | karakterlánc | A jogosultságszint-emelési kérelem egyedi azonosítója |
| Magassági Szerepkör | húr | Az a szerepkör, amelynél a jogosultságszint-emelést kérték |
| Emelkedési idő | dátum/idő | A szintemelés kezdő időpontja |
| Esemény_Adat | húr | Választható hasznos adatok egyéni eseményekhez |
| EventSource | szál | Azonosítja, hogy egy esemény történt a SharePointban. Lehetséges értékek a SharePoint vagy az ObjectModel |
| KiterjesztettTulajdonságok | karakterlánc | Az Azure AD-esemény kiterjesztett tulajdonságai |
| Külső Hozzáférés | húr | Megadja, hogy a parancsmagot egy felhasználó futtatta-e a szervezetben |
| TovábbiTulajdonságok | dinamikus | További tulajdonságok listája |
| Mappa | húr | Az a mappa, amelyben egy elemcsoport található |
| Mappák | zsinór | Információk a műveletben érintett forrásmappákról |
| GenericInfo | zsinór | Megjegyzésekhez és egyéb általános információkhoz használható |
| BelsőBejelentkezésiTípus | egész | Belső használatra fenntartva |
| InterSystemsId | húr | Az Office 365 szolgáltatáson belüli összetevők műveleteit nyomon követő GUID |
| IntraSystemId | húr | Az Azure Active Directory által a művelet nyomon követésére létrehozott GUID |
| _IsBillable | karakterlánc | Meghatározza, hogy az adatok feldolgozása számlázható-e. Ha a _IsBillable értéke false, az Azure-fiókjára nem számítanak fel költséget. |
| CsatlakozottAzElőtérből | bool | Azt jelzi, hogy a felhasználó csatlakozik-e az előszobából. |
| FelügyeltEszköz | bool | Jelzi, hogy a műveletet a szervezet által felügyelt eszköz hozta-e létre |
| Elem | zsinór | Azt az elemet jelöli, amelyen a műveletet végrehajtották |
| Termék neve | karakterlánc | Az e-mail Tárgy mezőjének szövege |
| ElemTípus | húr | A megnyitott vagy módosított objektum típusa. Az objektumtípusok részleteiért tekintse meg az ItemType táblát |
| CsatlakozásiIdő | dátum/idő | Az az időpont, amikor a felhasználó csatlakozott az értekezlethez. |
| Szabadságidő | dátum/idő | Az az időpont, amikor a felhasználó elhagyta az értekezletet. |
| BejelentkezésiÁllapot | egész | Ez a tulajdonság közvetlenül az OrgIdLogon.LoginStatus webhelyről származik. A különböző érdekes bejelentkezési hibák leképezése algoritmusok riasztásával végezhető el |
| Bejelentkezés_típus | húr | Azt a felhasználótípust jelzi, aki hozzáfért a postaládához, és végrehajtotta a naplózott műveletet |
| BejelentkezettFelhasználóMegjelenítésiNév | húr | A műveletet végrehajtó felhasználó felhasználóbarát neve |
| LogonUserSid | karakterlánc | A műveletet végrehajtó felhasználó biztonsági azonosítója |
| MachineDomainInfo | húr | Információk az eszközszinkronizálási műveletekről |
| GépAzonosító | karakterlánc | Információk az eszközszinkronizálási műveletekről |
| MailboxGuid | karakterlánc | A megnyitott postaláda Exchange GUID azonosítója |
| PostafiókTulajdonosMesterFiókSID | húr | Postaláda-tulajdonosi fiók főfiókjának SID-címe |
| MailboxOwnerSid | húr | A postaláda tulajdonosának SID-címe |
| MailboxOwnerUPN | húr | A hozzáféréssel rendelkező postaláda tulajdonosának e-mail-címe |
| TalálkozórészletId | húr | Az értekezlet részleteinek azonosítója. |
| Tagok | dinamikus | Csoporton belüli felhasználók listája |
| MessageId (ÜzenetAzonosító) | húr | Csevegőüzenet vagy csatornaüzenet azonosítója |
| MódosítottObjektumFeloldottNév | húr | Ez annak az objektumnak a felhasználóbarát neve, amelyet a parancsmag módosított |
| Módosított tulajdonságok | zsinór | A tulajdonság rendszergazdai eseményekhez tartozik, például egy felhasználó hozzáadása egy webhelyhez vagy egy webhelycsoport felügyeleti csoportjához |
| Név | karakterlánc | Csak beállítási események esetén jelenik meg. A módosított beállítás neve |
| ÚjÉrték | húr | Csak beállítási események esetén jelenik meg. A beállítás új értéke |
| OfficeId | húr | Naplórekord egyedi azonosítója |
| OfficeObjectId | húr | SharePoint és OneDrive Vállalati verziójú tevékenységek esetén |
| IrodaBérlőAzonosító | húr | Az irodabérlő azonosítója |
| Irodai Munkaterhelés | karakterlánc | Az Office 365 szolgáltatás, ahol a tevékenység történt |
| RégiÉrték | húr | Csak beállítási események esetén jelenik meg. A beállítás régi értéke |
| Művelet | húr | A felhasználó által végrehajtott művelet neve |
| OperationProperties | dinamikus | További művelettulajdonságok |
| OperationScope | karakterlánc | A művelet hatóköre |
| Szervezeti azonosító | húr | A szervezet Office 365 bérlőjének GUID azonosítója. Ez az érték mindig ugyanaz lesz a szervezet számára |
| OrganizationName | szál | A bérlő neve |
| OriginatingServer | karakterlánc | Annak a kiszolgálónak a neve, amelyről a parancsmagot végrehajtották |
| Paraméterek | karakterlánc | Az Operations tulajdonságban azonosított parancsmaggal használt összes paraméter neve és értéke |
| Rekordtípus | húr | A rekord által jelzett művelet típusa. Az auditnapló-rekordok típusaival kapcsolatos részletekért tekintse meg az AuditLogRecordType táblát |
| _ResourceId | húr | Annak az erőforrásnak az egyedi azonosítója, amelyhez a rekord társítva van |
| ResultátumOkTípus | húr | A ResultType-ban jelentett eredmény oka |
| EredményÁllapot | húr | Azt jelzi, hogy a művelet (a Művelet tulajdonságban megadva) sikeres volt-e vagy sem |
| SendAsUserMailboxGuid | karakterlánc | Az Exchange GUID azonosítója annak a postaládának, amelyhez hozzáfértek e-mailek küldéséhez. |
| KüldésFelhasználókéntSMTP | húr | A megszemélyesített felhasználó SMTP-címe |
| FelhasználóNevébenKüldésPostafiókAzonosító | húr | Annak a postaládanak az Exchange GUID azonosítója, amelyhez hozzáfértek, hogy leveleket küldjenek valaki nevében. |
| KüldésFelhasználóNevébenSMTP | húr | Annak a felhasználónak az SMTP-címe, akinek nevében az e-mailt küldik |
| MegosztásTípusa | karakterlánc | Az erőforrással megosztott felhasználóhoz rendelt megosztási engedélyek típusa. Ezt a felhasználót a UserSharedWith paraméter azonosítja |
| Webhely_ | szál | Annak a webhelynek a GUID azonosítója, ahol a felhasználó által elért fájl vagy mappa található |
| Site_Url | húr | Annak a webhelynek az URL-címe, ahol a felhasználó által elért fájl vagy mappa található |
| Source_Name | húr | A naplózott műveletet aktiváló entitás. Lehetséges értékek a SharePoint vagy az ObjectModel |
| SourceFileExtension | húr | A felhasználó által elért fájl kiterjesztése |
| Forrásfájlnév | karaktersor | A felhasználó által elért fájl vagy mappa neve |
| ForrásRekordAzonosító | zsinór | Naplórekord egyedi azonosítója |
| SourceRelativeUrl | húr | A felhasználó által elért fájlt tartalmazó mappa URL-címe |
| SourceSystem | húr | Az ügynök típusa, amely által az esemény gyűjtésre került. Például Windows-ügynök esetén OpsManager, lehet közvetlen csatlakozás vagy az Operations Manager, Linux minden Linux-ügynökhöz, vagy Azure az Azure Diagnostics esetében. |
| SRPolicyId (SzabályzatAzonosító) | húr | Szabályzat azonosítója |
| SRPolitikaNév | húr | Irányelv neve |
| SR szabály egyezés részletei | dinamikus | Szabály részletei |
| Kezdési_idő | dátum/idő | A parancsmag végrehajtásának dátuma és időpontja |
| _FeliratkozásiAzonosító | karakterlánc | Annak az előfizetésnek az egyedi azonosítója, amelyhez a rekord társítva van |
| Támogatási Jegy Azonosító | húr | Az ügyféltámogatási jegy azonosítója a művelethez olyan helyzetekben, amikor valaki nevében járnak el. |
| FülTípus | húr | Az eseményt létrehozó lap típusa |
| TargetContextId | húr | Annak a szervezetnek a GUID azonosítója, amelyhez a megcélzott felhasználó tartozik |
| CélFelhasználóAzonosító | karakterlánc | Célfelhasználó azonosítója |
| TargetUserOrGroupName | karakterlánc | Tárolja annak a célfelhasználónak vagy csoportnak az UPN-ét vagy nevét, akivel az erőforrást megosztották |
| CélFelhasználóVagyCsoportTípus | karakterlánc | Meghatározza, hogy a célfelhasználó vagy csoport tag, vendég, csoport vagy partner-e |
| TeamGuid | zsinór | Az auditált csapat egyedi azonosítója |
| TeamName | szál | A könyvvizsgálat alatt álló csapat neve |
| BérlőAzonosító | húr | A Log Analytics-munkaterület azonosítója |
| TimeGenerated | dátum/idő | A felhasználó tevékenységének dátuma és időpontja az egyezményes világidő (UTC) szerint |
| Típus | húr | A tábla neve |
| Felhasználói ügynök | húr | A felhasználói ügynök |
| Felhasználói Tartomány | húr | A felhasználó tartománya |
| UserId | húr | A felhasználói főnév (UPN) annak a felhasználónak, aki a rekorder naplózását eredményező műveletet hajtotta végre (megadva a Művelet tulajdonságban). |
| FelhasználóiKulcs | húr | A UserId tulajdonságban azonosított felhasználó alternatív azonosítója |
| UserSharedWith | húr | Az a felhasználó, akivel megosztottak egy erőforrást |
| Felhasználótípus | húr | A műveletet végrehajtó felhasználó típusa. A felhasználói típusokkal kapcsolatos részletekért tekintse meg a UserType táblát |