OfficeActivity
Log di controllo per i tenant di Office 365 raccolti da Azure Sentinel. Inclusi i log di Exchange, SharePoint e Teams.
Attributi di tabella
Attributo | Valore |
---|---|
Tipi di risorsa | - |
Categorie | Sicurezza |
Soluzioni | AzureSentinelPrivatePreview, SecurityInsights |
Log di base | No |
Trasformazione in fase di inserimento | Sì |
Query di esempio | Sì |
Colonne
Colonna | Tipo | Descrizione |
---|---|---|
AADGroupId | string | ID gruppo di Azure Active Directory |
AADTarget | string | L'utente su cui è stata eseguita l'azione (identificata dalla proprietà Operation) |
Attività | string | Attività eseguita dall'utente. |
Attore | string | Utente o entità servizio che ha eseguito l'azione |
ActorContextId | string | GUID dell'organizzazione a cui appartiene l'attore |
ActorIpAddress | string | Indirizzo IP dell'attore in formato IPV4 o IPV6 |
AddOnGuid | string | Identificatore univoco del componente aggiuntivo generato da questo evento |
AddonName | string | Nome del componente aggiuntivo che ha generato questo evento |
AddOnType | string | Tipo di componente aggiuntivo che ha generato questo evento |
AffectedItems | string | Informazioni su ogni elemento del gruppo |
AppDistributionMode | string | Modalità di distribuzione dell'applicazione |
AppId | string | ID applicazione |
Applicazione | string | Nome dell'applicazione |
ApplicationId | string | ID applicazione SharePoint |
AzureActiveDirectory_EventType | string | Tipo di evento di Azure AD |
AzureADAppId | string | ID azure AD dell'applicazione Teams |
_BilledSize | real | Dimensioni del record in byte |
ChannelGuid | string | Identificatore univoco per il canale controllato |
ChannelName | string | Nome del canale da controllare |
ChannelType | string | Tipo di canale controllato (Standard/Privato) |
ChatName | string | Nome della chat |
ChatThreadId | string | ID del thread di chat |
Client | string | Dettagli sul dispositivo client, sul sistema operativo del dispositivo e sul browser del dispositivo usato per l'evento di accesso dell'account |
Client_IPAddress | string | Indirizzo IP del dispositivo utilizzato durante la registrazione dell'operazione |
ClientAppId | string | ID applicazione client |
ClientInfoString | string | Informazioni sul client di posta elettronica utilizzato per eseguire l'operazione |
ClientIP | string | Indirizzo IP del dispositivo utilizzato durante la registrazione dell'attività |
ClientMachineName | string | Nome del computer che ospita il client outlook |
ClientProcessName | string | Client di posta elettronica utilizzato per accedere alla cassetta postale |
ClientVersion | string | Versione del client di posta elettronica |
CommunicationType | string | Il tipo di comunicazione che è stato condotto |
CrossMailboxOperations | bool | Indica se l'operazione ha coinvolto più cassette postali |
CustomEvent | string | Stringa facoltativa per gli eventi personalizzati |
DataCenterSecurityEventType | INT | Tipo di evento dmdlet nella casella di blocco |
DestFolder | string | Cartella di destinazione |
DestinationFileExtension | string | Estensione di file di un file copiato o spostato |
DestinationFileName | string | Nome del file copiato o spostato |
DestinationRelativeUrl | string | URL della cartella di destinazione in cui viene copiato o spostato un file |
DestMailboxId | string | Impostare solo se il parametro CrossMailboxOperations è True |
DestMailboxOwnerMasterAccountSid | string | Impostare solo se il parametro CrossMailboxOperations è True |
DestMailboxOwnerSid | string | Impostare solo se il parametro CrossMailboxOperations è True |
DestMailboxOwnerUPN | string | Impostare solo se il parametro CrossMailboxOperations è True |
EffectiveOrganization | string | Nome del tenant a cui è stata destinata l'elevazione/cmdlet |
ElevationApprovedTime | Datetime | Timestamp per il momento in cui è stata approvata l'elevazione |
ElevationApprover | string | Nome di un manager Microsoft |
ElevationDuration | INT | Durata dell'elevazione attiva (in ore) |
ElevationRequestId | string | Identificatore univoco per la richiesta di elevazione dei privilegi |
ElevationRole | string | Il ruolo per cui è stata richiesta l'elevazione |
ElevationTime | Datetime | Ora di inizio dell'elevazione |
Event_Data | string | Payload facoltativo per eventi personalizzati |
EventSource | string | Identifica un evento che si è verificato in SharePoint. I valori possibili sono SharePoint o ObjectModel |
ExtendedProperties | string | Proprietà estese dell'evento di Azure AD |
ExternalAccess | string | Specifica se il cmdlet è stato eseguito da un utente dell'organizzazione |
Proprietà aggiuntive | dinamico | Elenco di proprietà aggiuntive |
Cartella | string | Cartella in cui si trova un gruppo di elementi |
Cartelle | string | Informazioni sulle cartelle di origine coinvolte in un'operazione |
GenericInfo | string | Usato per i commenti e altre informazioni generica |
InternalLogonType | INT | Riservato a un uso interno |
InterSystemsId | string | GUID che tiene traccia delle azioni tra i componenti all'interno del servizio Office 365 |
IntraSystemId | string | GUID generato da Azure Active Directory per tenere traccia dell'azione |
_IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
IsManagedDevice | bool | Indica se l'operazione è stata creata da un dispositivo gestito dall'organizzazione |
Elemento | string | Rappresenta l'elemento su cui è stata eseguita l'operazione |
ItemName | string | Stringa nel campo Oggetto del messaggio di posta elettronica |
ItemType | string | Il tipo dell'oggetto a cui è stato effettuato l'accesso o che è stato modificato. Per informazioni dettagliate sui tipi di oggetti, vedere la tabella ItemType |
LoginStatus | INT | Questa proprietà deriva direttamente da OrgIdLogon.LoginStatus. Il mapping di vari errori di accesso interessanti può essere eseguito tramite algoritmi di avviso |
Logon_Type | string | Indica il tipo di utente che ha eseguito l'accesso alla cassetta postale ed ha eseguito l'operazione registrata |
LogonUserDisplayName | string | Nome descrittivo dell'utente che ha eseguito l'operazione |
LogonUserSid | string | SID dell'utente che ha eseguito l'operazione |
MachineDomainInfo | string | Informazioni sulle operazioni di sincronizzazione dei dispositivi |
MachineId | string | Informazioni sulle operazioni di sincronizzazione dei dispositivi |
MailboxGuid | string | GUID di Exchange della cassetta postale a cui è stato eseguito l'accesso |
MailboxOwnerMasterAccountSid | string | SID dell'account master dell'account proprietario della cassetta postale |
MailboxOwnerSid | string | SID del proprietario della cassetta postale |
MailboxOwnerUPN | string | Indirizzo di posta elettronica della persona che possiede la cassetta postale a cui è stato eseguito l'accesso |
Membri | dinamico | Elenco di utenti all'interno di un team |
MessageId | string | Identificatore per un messaggio di chat o canale |
ModifiedObjectResolvedName | string | Si tratta del nome descrittivo dell'oggetto modificato dal cmdlet |
ModifiedProperties | string | La proprietà è inclusa per gli eventi di amministrazione, ad esempio l'aggiunta di un utente come membro di un sito o di un gruppo di amministrazione della raccolta siti |
Nome | stringa | Presente solo per gli eventi delle impostazioni. Nome dell'impostazione modificata |
Newvalue | string | Presente solo per gli eventi delle impostazioni. Nuovo valore dell'impostazione |
OfficeId | string | Identificatore univoco di un record di controllo |
OfficeObjectId | string | Per l'attività sharePoint e OneDrive for Business |
OfficeTenantId | string | ID tenant di Office |
OfficeWorkload | string | Servizio Office 365 in cui si è verificata l'attività |
Oldvalue | string | Presente solo per gli eventi delle impostazioni. Valore precedente dell'impostazione |
Operazione | string | Nome dell'operazione eseguita dall'utente |
Proprietà operazione | dinamico | Proprietà aggiuntive dell'operazione |
OperationScope | string | L'ambito dell'operazione è stato eseguito su |
OrganizationId | string | GUID per il tenant di Office 365 dell'organizzazione. Questo valore sarà sempre lo stesso per l'organizzazione |
OrganizationName | string | Nome del tenant |
OriginatingServer | string | Nome del server da cui è stato eseguito il cmdlet |
Parametri | string | Nome e valore per tutti i parametri usati con il cmdlet identificato nella proprietà Operations |
RecordType | string | Il tipo di operazione indicata dal record. Per informazioni dettagliate sui tipi di record di log di controllo, vedere la tabella AuditLogRecordType |
_ResourceId | string | Identificatore univoco per la risorsa associata al record |
ResultReasonType | string | Motivo del risultato segnalato in ResultType |
ResultStatus | string | Indica se l'azione (specificata nella proprietà Operation) è riuscita o meno |
SendAsUserMailboxGuid | string | GUID di Exchange della cassetta postale a cui è stato eseguito l'accesso per inviare messaggi di posta elettronica come |
SendAsUserSmtp | string | Indirizzo SMTP dell'utente che viene rappresentato |
SendonBehalfOfUserMailboxGuid | string | GUID di Exchange della cassetta postale a cui è stato eseguito l'accesso per inviare posta elettronica per conto di |
SendOnBehalfOfUserSmtp | string | Indirizzo SMTP dell'utente per conto del quale viene inviato il messaggio di posta elettronica |
SharingType | string | Il tipo di autorizzazioni di condivisione che sono state assegnate all'utente con cui è stata condivisa la risorsa. Questo utente viene identificato dal parametro UserSharedWith |
Site_ | string | GUID del sito in cui si trova il file o la cartella a cui si accede dall'utente |
Site_Url | string | URL del sito in cui si trova il file o la cartella a cui si accede dall'utente |
Source_Name | string | L'entità che ha attivato le operazioni di controllo. I valori possibili sono SharePoint o ObjectModel |
SourceFileExtension | string | Estensione del file a cui è stato eseguito l'accesso dall'utente |
SourceFileName | string | Nome del file o della cartella a cui accede l'utente |
SourceRecordId | string | Identificatore univoco di un record di controllo |
SourceRelativeUrl | string | URL della cartella contenente il file a cui si accede dall'utente |
SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
SRPolicyId | string | ID condizione |
SRPolicyName | string | Nome criteri |
SRRuleMatchDetails | dinamico | Dettagli regola |
Start_Time | Datetime | Data e ora in cui è stato eseguito il cmdlet |
_Subscriptionid | string | Identificatore univoco per la sottoscrizione associata al record |
SupportTicketId | string | ID del ticket di supporto clienti per l'azione in situazioni "act-on-behalf-of" |
TabType | string | Tipo di scheda che ha generato questo evento |
TargetContextId | string | GUID dell'organizzazione a cui appartiene l'utente di destinazione |
TargetUserId | string | ID utente di destinazione |
TargetUserOrGroupName | string | Archivia l'UPN o il nome dell'utente o del gruppo di destinazione con cui è stata condivisa una risorsa |
TargetUserOrGroupType | string | Identifica se l'utente o il gruppo di destinazione è membro, guest, gruppo o partner |
TeamGuid | string | Identificatore univoco per il team controllato |
NomeTeam | string | Nome del team da controllare |
TenantId | string | ID area di lavoro Log Analytics |
TimeGenerated | Datetime | Data e ora in utc (Coordinated Universal Time) quando l'utente ha eseguito l'attività |
Type | string | Nome della tabella |
UserAgent | string | Agente utente |
UserDomain | string | Dominio dell'utente |
UserId | string | UPN (Nome dell'entità utente) dell'utente che ha eseguito l'azione (specificata nella proprietà Operation) che ha generato la registrazione del record |
UserKey | string | ID alternativo per l'utente identificato nella proprietà UserId |
UserSharedWith | string | L'utente con cui è stata condivisa una risorsa |
UserType | string | Il tipo di utente che ha eseguito l'operazione. Per informazioni dettagliate sui tipi di utenti, vedere la tabella UserType |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per