Бөлісу құралы:


PowerAutomateActivity

Содержит журналы аудита Microsoft Power Automate. Обычно используется для отслеживания действий Power Automate.

Атрибуты таблицы

Атрибут Значение
Типы ресурсов -
Категории Безопасность, аудит
Решения SecurityInsights
Базовый журнал No
Преобразование ingestion-time Да
Примеры запросов Да

Столбцы

Column Type Описание
Имя субъекта строка Имя участника-пользователя (имя участника-пользователя), выполнившего действие (указанное в свойстве Operation), в результате чего запись регистрируется; например, my_name@my_domain_name. Обратите внимание, что записи для действий, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM), также включаются. В SharePoint другое значение, отображаемое в свойстве UserId, app@sharepoint. Это означает, что пользователь, выполняющий действие, был приложением, которое имеет необходимые разрешения в SharePoint для выполнения действий на уровне организации (например, поиска на сайте SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита.
ActorUserId строка Альтернативный идентификатор пользователя, определенного в свойстве UserId. Например, значение этого свойства может заполняться уникальным идентификатором Passport (PUID) для событий, выполняемых пользователями в SharePoint, OneDrive для бизнеса и Exchange. Это свойство также может указать то же значение, что и свойство UserID для событий, происходящих в других службах и событиях, выполняемых системными учетными записями.
ActorUserType строка Тип пользователя, выполнившего операцию. Возможные типы: администратор, система, приложение, субъект-служба и другие.
AdditionalInfo по строкам Дополнительные сведения, например имя среды.
_BilledSize real Размер записи в байтах
EventOriginalType строка Имя действия пользователя или администратора, выполняющего действие. Описание наиболее распространенных операций и действий см. в разделе "Поиск журнала аудита" в Центре защиты Office 365. Для действий администратора Exchange это свойство определяет имя выполняемого командлета. Для событий защиты от потери данных это может быть "DlpRuleMatch", "DlpRuleUndo" или "DlpInfo", которые описаны ниже в разделе "Схема защиты от потери данных".
EventOriginalUid строка Уникальный идентификатор записи аудита.
EventResult строка Указывает, было ли успешным действие (указанное в свойстве Operation). Возможные значения: Succeeded (Успешно), PartiallySucceeded (Выполнено частично) и Failed (Сбой).
FlowConnectorNames строка Имена соединителей, перечисленные в потоке.
FlowDetailsUrl строка Ссылка на страницу сведений о потоке.
_IsBillable строка Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure.
LicenseDisplayName строка Отображаемое имя лицензии.
ObjectId строка Полное имя пути файла или папки, к которым обращается пользователь. Для ведения журнала аудита администратора Exchange имя объекта, измененного командлетом.
OrganizationId строка Идентификатор GUID для клиента Office 365 организации. Это значение для вашей организации всегда будет одинаковым независимо от службы Office 365, в которой оно встречается.
RecipientUpn строка Если разрешение было обновлено, отображает имя участника-пользователя разрешения.
RecordType строка Тип операции, указанной записью. Дополнительные сведения о типах записей журнала аудита см. в таблице AuditLogRecordType.
SharingPermission строка Тип разрешения, доступного другому пользователю (3 = владелец/ReadWrite, 2 = пользователь только для запуска или чтение).
SourceSystem строка Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure
SrcIpAddr строка IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, Office в Интернете приложений), вызывающим службу от имени пользователя, а не IP-адреса устройства, используемого пользователем, который выполнял действие. Кроме того, для событий, связанных с Azure Active Directory, IP-адрес не регистрируется, а значение свойства ClientIP равно NULL.
TenantId строка Идентификатор рабочей области Log Analytics
TimeGenerated datetime Дата и время в формате UTC, когда пользователь выполнил действие.
Тип строка Имя таблицы.
UserUpn строка Уникальный ИД пользователя. Всегда эквивалентен UserKey.
Рабочая нагрузка строка Служба Office 365, в которой произошло действие.