OfficeActivity
Log di controllo per i tenant di Office 365 raccolti da Azure Sentinel. Inclusi i log di Exchange, SharePoint e Teams.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | - |
| Categorie | Sicurezza |
| Soluzioni | AzureSentinelPrivatePreview, SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | Sì |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| AADGroupId | string | ID gruppo di Azure Active Directory |
| AADTarget | string | L'utente su cui è stata eseguita l'azione (identificata dalla proprietà Operation) |
| Attività | string | Attività eseguita dall'utente. |
| Attore | string | Utente o entità servizio che ha eseguito l'azione |
| ActorContextId | string | GUID dell'organizzazione a cui appartiene l'attore |
| ActorIpAddress | string | Indirizzo IP dell'attore in formato IPV4 o IPV6 |
| AddOnGuid | string | Identificatore univoco del componente aggiuntivo generato da questo evento |
| AddonName | string | Nome del componente aggiuntivo che ha generato questo evento |
| AddOnType | string | Tipo di componente aggiuntivo che ha generato questo evento |
| AffectedItems | string | Informazioni su ogni elemento del gruppo |
| AppDistributionMode | string | Modalità di distribuzione dell'applicazione |
| AppId | string | ID applicazione |
| Applicazione | string | Nome dell'applicazione |
| ApplicationId | string | ID applicazione SharePoint |
| AzureActiveDirectory_EventType | string | Tipo di evento di Azure AD |
| AzureADAppId | string | ID azure AD dell'applicazione Teams |
| _BilledSize | real | Dimensioni del record in byte |
| ChannelGuid | string | Identificatore univoco per il canale controllato |
| ChannelName | string | Nome del canale da controllare |
| ChannelType | string | Tipo di canale controllato (Standard/Privato) |
| ChatName | string | Nome della chat |
| ChatThreadId | string | ID del thread di chat |
| Client | string | Dettagli sul dispositivo client, sul sistema operativo del dispositivo e sul browser del dispositivo usato per l'evento di accesso dell'account |
| Client_IPAddress | string | Indirizzo IP del dispositivo utilizzato durante la registrazione dell'operazione |
| ClientAppId | string | ID applicazione client |
| ClientInfoString | string | Informazioni sul client di posta elettronica utilizzato per eseguire l'operazione |
| ClientIP | string | Indirizzo IP del dispositivo utilizzato durante la registrazione dell'attività |
| ClientMachineName | string | Nome del computer che ospita il client outlook |
| ClientProcessName | string | Client di posta elettronica utilizzato per accedere alla cassetta postale |
| ClientVersion | string | Versione del client di posta elettronica |
| CommunicationType | string | Il tipo di comunicazione che è stato condotto |
| CrossMailboxOperations | bool | Indica se l'operazione ha coinvolto più cassette postali |
| CustomEvent | string | Stringa facoltativa per gli eventi personalizzati |
| DataCenterSecurityEventType | INT | Tipo di evento dmdlet nella casella di blocco |
| DestFolder | string | Cartella di destinazione |
| DestinationFileExtension | string | Estensione di file di un file copiato o spostato |
| DestinationFileName | string | Nome del file copiato o spostato |
| DestinationRelativeUrl | string | URL della cartella di destinazione in cui viene copiato o spostato un file |
| DestMailboxId | string | Impostare solo se il parametro CrossMailboxOperations è True |
| DestMailboxOwnerMasterAccountSid | string | Impostare solo se il parametro CrossMailboxOperations è True |
| DestMailboxOwnerSid | string | Impostare solo se il parametro CrossMailboxOperations è True |
| DestMailboxOwnerUPN | string | Impostare solo se il parametro CrossMailboxOperations è True |
| EffectiveOrganization | string | Nome del tenant a cui è stata destinata l'elevazione/cmdlet |
| ElevationApprovedTime | Datetime | Timestamp per il momento in cui è stata approvata l'elevazione |
| ElevationApprover | string | Nome di un manager Microsoft |
| ElevationDuration | INT | Durata dell'elevazione attiva (in ore) |
| ElevationRequestId | string | Identificatore univoco per la richiesta di elevazione dei privilegi |
| ElevationRole | string | Il ruolo per cui è stata richiesta l'elevazione |
| ElevationTime | Datetime | Ora di inizio dell'elevazione |
| Event_Data | string | Payload facoltativo per eventi personalizzati |
| EventSource | string | Identifica un evento che si è verificato in SharePoint. I valori possibili sono SharePoint o ObjectModel |
| ExtendedProperties | string | Proprietà estese dell'evento di Azure AD |
| ExternalAccess | string | Specifica se il cmdlet è stato eseguito da un utente dell'organizzazione |
| Proprietà aggiuntive | dinamico | Elenco di proprietà aggiuntive |
| Cartella | string | Cartella in cui si trova un gruppo di elementi |
| Cartelle | string | Informazioni sulle cartelle di origine coinvolte in un'operazione |
| GenericInfo | string | Usato per i commenti e altre informazioni generica |
| InternalLogonType | INT | Riservato a un uso interno |
| InterSystemsId | string | GUID che tiene traccia delle azioni tra i componenti all'interno del servizio Office 365 |
| IntraSystemId | string | GUID generato da Azure Active Directory per tenere traccia dell'azione |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
| IsManagedDevice | bool | Indica se l'operazione è stata creata da un dispositivo gestito dall'organizzazione |
| Elemento | string | Rappresenta l'elemento su cui è stata eseguita l'operazione |
| ItemName | string | Stringa nel campo Oggetto del messaggio di posta elettronica |
| ItemType | string | Il tipo dell'oggetto a cui è stato effettuato l'accesso o che è stato modificato. Per informazioni dettagliate sui tipi di oggetti, vedere la tabella ItemType |
| LoginStatus | INT | Questa proprietà deriva direttamente da OrgIdLogon.LoginStatus. Il mapping di vari errori di accesso interessanti può essere eseguito tramite algoritmi di avviso |
| Logon_Type | string | Indica il tipo di utente che ha eseguito l'accesso alla cassetta postale ed ha eseguito l'operazione registrata |
| LogonUserDisplayName | string | Nome descrittivo dell'utente che ha eseguito l'operazione |
| LogonUserSid | string | SID dell'utente che ha eseguito l'operazione |
| MachineDomainInfo | string | Informazioni sulle operazioni di sincronizzazione dei dispositivi |
| MachineId | string | Informazioni sulle operazioni di sincronizzazione dei dispositivi |
| MailboxGuid | string | GUID di Exchange della cassetta postale a cui è stato eseguito l'accesso |
| MailboxOwnerMasterAccountSid | string | SID dell'account master dell'account proprietario della cassetta postale |
| MailboxOwnerSid | string | SID del proprietario della cassetta postale |
| MailboxOwnerUPN | string | Indirizzo di posta elettronica della persona che possiede la cassetta postale a cui è stato eseguito l'accesso |
| Membri | dinamico | Elenco di utenti all'interno di un team |
| MessageId | string | Identificatore per un messaggio di chat o canale |
| ModifiedObjectResolvedName | string | Si tratta del nome descrittivo dell'oggetto modificato dal cmdlet |
| ModifiedProperties | string | La proprietà è inclusa per gli eventi di amministrazione, ad esempio l'aggiunta di un utente come membro di un sito o di un gruppo di amministrazione della raccolta siti |
| Nome | stringa | Presente solo per gli eventi delle impostazioni. Nome dell'impostazione modificata |
| Newvalue | string | Presente solo per gli eventi delle impostazioni. Nuovo valore dell'impostazione |
| OfficeId | string | Identificatore univoco di un record di controllo |
| OfficeObjectId | string | Per l'attività sharePoint e OneDrive for Business |
| OfficeTenantId | string | ID tenant di Office |
| OfficeWorkload | string | Servizio Office 365 in cui si è verificata l'attività |
| Oldvalue | string | Presente solo per gli eventi delle impostazioni. Valore precedente dell'impostazione |
| Operazione | string | Nome dell'operazione eseguita dall'utente |
| Proprietà operazione | dinamico | Proprietà aggiuntive dell'operazione |
| OperationScope | string | L'ambito dell'operazione è stato eseguito su |
| OrganizationId | string | GUID per il tenant di Office 365 dell'organizzazione. Questo valore sarà sempre lo stesso per l'organizzazione |
| OrganizationName | string | Nome del tenant |
| OriginatingServer | string | Nome del server da cui è stato eseguito il cmdlet |
| Parametri | string | Nome e valore per tutti i parametri usati con il cmdlet identificato nella proprietà Operations |
| RecordType | string | Il tipo di operazione indicata dal record. Per informazioni dettagliate sui tipi di record di log di controllo, vedere la tabella AuditLogRecordType |
| _ResourceId | string | Identificatore univoco per la risorsa associata al record |
| ResultReasonType | string | Motivo del risultato segnalato in ResultType |
| ResultStatus | string | Indica se l'azione (specificata nella proprietà Operation) è riuscita o meno |
| SendAsUserMailboxGuid | string | GUID di Exchange della cassetta postale a cui è stato eseguito l'accesso per inviare messaggi di posta elettronica come |
| SendAsUserSmtp | string | Indirizzo SMTP dell'utente che viene rappresentato |
| SendonBehalfOfUserMailboxGuid | string | GUID di Exchange della cassetta postale a cui è stato eseguito l'accesso per inviare posta elettronica per conto di |
| SendOnBehalfOfUserSmtp | string | Indirizzo SMTP dell'utente per conto del quale viene inviato il messaggio di posta elettronica |
| SharingType | string | Il tipo di autorizzazioni di condivisione che sono state assegnate all'utente con cui è stata condivisa la risorsa. Questo utente viene identificato dal parametro UserSharedWith |
| Site_ | string | GUID del sito in cui si trova il file o la cartella a cui si accede dall'utente |
| Site_Url | string | URL del sito in cui si trova il file o la cartella a cui si accede dall'utente |
| Source_Name | string | L'entità che ha attivato le operazioni di controllo. I valori possibili sono SharePoint o ObjectModel |
| SourceFileExtension | string | Estensione del file a cui è stato eseguito l'accesso dall'utente |
| SourceFileName | string | Nome del file o della cartella a cui accede l'utente |
| SourceRecordId | string | Identificatore univoco di un record di controllo |
| SourceRelativeUrl | string | URL della cartella contenente il file a cui si accede dall'utente |
| SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| SRPolicyId | string | ID condizione |
| SRPolicyName | string | Nome criteri |
| SRRuleMatchDetails | dinamico | Dettagli regola |
| Start_Time | Datetime | Data e ora in cui è stato eseguito il cmdlet |
| _Subscriptionid | string | Identificatore univoco per la sottoscrizione associata al record |
| SupportTicketId | string | ID del ticket di supporto clienti per l'azione in situazioni "act-on-behalf-of" |
| TabType | string | Tipo di scheda che ha generato questo evento |
| TargetContextId | string | GUID dell'organizzazione a cui appartiene l'utente di destinazione |
| TargetUserId | string | ID utente di destinazione |
| TargetUserOrGroupName | string | Archivia l'UPN o il nome dell'utente o del gruppo di destinazione con cui è stata condivisa una risorsa |
| TargetUserOrGroupType | string | Identifica se l'utente o il gruppo di destinazione è membro, guest, gruppo o partner |
| TeamGuid | string | Identificatore univoco per il team controllato |
| NomeTeam | string | Nome del team da controllare |
| TenantId | string | ID area di lavoro Log Analytics |
| TimeGenerated | Datetime | Data e ora in utc (Coordinated Universal Time) quando l'utente ha eseguito l'attività |
| Type | string | Nome della tabella |
| UserAgent | string | Agente utente |
| UserDomain | string | Dominio dell'utente |
| UserId | string | UPN (Nome dell'entità utente) dell'utente che ha eseguito l'azione (specificata nella proprietà Operation) che ha generato la registrazione del record |
| UserKey | string | ID alternativo per l'utente identificato nella proprietà UserId |
| UserSharedWith | string | L'utente con cui è stata condivisa una risorsa |
| UserType | string | Il tipo di utente che ha eseguito l'operazione. Per informazioni dettagliate sui tipi di utenti, vedere la tabella UserType |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per