OfficeActivity
Auditlogboeken voor Office 365 tenants die worden verzameld door Azure Sentinel. Inclusief Exchange-, SharePoint- en Teams-logboeken.
Tabelkenmerken
| Kenmerk | Waarde |
|---|---|
| Resourcetypen | - |
| Categorieën | Beveiliging |
| Oplossingen | AzureSentinelPrivatePreview, SecurityInsights |
| Basislogboek | No |
| Opnametijdtransformatie | Yes |
| Voorbeeldquery's | Ja |
Kolommen
| Kolom | Type | Description |
|---|---|---|
| AADGroupId | tekenreeks | Azure Active Directory-groeps-id |
| AADTarget | tekenreeks | De gebruiker waarop de actie (geïdentificeerd door de eigenschap Bewerking) is uitgevoerd |
| Activiteit | tekenreeks | De activiteit die de gebruiker heeft uitgevoerd. |
| Acteur | tekenreeks | De gebruiker of service-principal die de actie heeft uitgevoerd |
| ActorContextId | tekenreeks | De GUID van de organisatie waartoe de actor behoort |
| ActorIpAddress | tekenreeks | Het IP-adres van de actor in IPV4- of IPV6-adresindeling |
| AddOnGuid | tekenreeks | De unieke id van de invoegtoepassing die deze gebeurtenis heeft gegenereerd |
| AddonName | tekenreeks | De naam van de invoegtoepassing die deze gebeurtenis heeft gegenereerd |
| AddOnType | tekenreeks | Het type invoegtoepassing dat deze gebeurtenis heeft gegenereerd |
| AffectedItems | tekenreeks | Informatie over elk item in de groep |
| AppDistributionMode | tekenreeks | Toepassingsdistributiemodus |
| AppId | tekenreeks | Toepassings-id |
| Toepassing | tekenreeks | De naam van de toepassing |
| ApplicationID | tekenreeks | SharePoint-toepassings-id |
| AzureActiveDirectory_EventType | tekenreeks | Het type Azure AD gebeurtenis |
| AzureADAppId | tekenreeks | Azure AD-id van Teams-toepassing |
| _BilledSize | werkelijk | De recordgrootte in bytes |
| ChannelGuid | tekenreeks | Een unieke id voor het kanaal dat wordt gecontroleerd |
| ChannelName | tekenreeks | De naam van het kanaal dat wordt gecontroleerd |
| ChannelType | tekenreeks | Het type kanaal dat wordt gecontroleerd (standaard/privé) |
| ChatName | tekenreeks | De naam van de chat |
| ChatThreadId | tekenreeks | De id van de chatthread |
| Client | tekenreeks | Details over het clientapparaat, het besturingssysteem van het apparaat en de apparaatbrowser die is gebruikt voor de aanmeldingsgebeurtenis van het account |
| Client_IPAddress | tekenreeks | Het IP-adres van het apparaat dat is gebruikt toen de bewerking werd geregistreerd |
| ClientAppId | tekenreeks | Clienttoepassings-id |
| ClientInfoString | tekenreeks | Informatie over de e-mailclient die is gebruikt om de bewerking uit te voeren |
| ClientIP | tekenreeks | Het IP-adres van het apparaat dat is gebruikt toen de activiteit werd geregistreerd |
| ClientMachineName | tekenreeks | De computernaam die als host fungeert voor de Outlook-client |
| ClientProcessName | tekenreeks | De e-mailclient die is gebruikt voor toegang tot het postvak |
| ClientVersion | tekenreeks | De versie van de e-mailclient |
| CommunicationType | tekenreeks | Het type communicatie dat is uitgevoerd |
| CrossMailboxOperations | booleaans | Geeft aan of de bewerking meer dan één postvak betreft |
| CustomEvent | tekenreeks | Optionele tekenreeks voor aangepaste gebeurtenissen |
| DataCenterSecurityEventType | int | Het type dmdlet-gebeurtenis in het vergrendelingsvak |
| DestFolder | tekenreeks | De doelmap |
| DestinationFileExtension | tekenreeks | De bestandsextensie van een bestand dat wordt gekopieerd of verplaatst |
| DestinationFileName | tekenreeks | De naam van het bestand dat wordt gekopieerd of verplaatst |
| DestinationRelativeUrl | tekenreeks | De URL van de doelmap waarin een bestand wordt gekopieerd of verplaatst |
| DestMailboxId | tekenreeks | Alleen instellen als de parameter CrossMailboxOperations True is |
| DestMailboxOwnerMasterAccountsid | tekenreeks | Alleen instellen als de parameter CrossMailboxOperations True is |
| DestMailboxOwnerSid | tekenreeks | Alleen instellen als de parameter CrossMailboxOperations True is |
| DestMailboxOwnerUPN | tekenreeks | Alleen instellen als de parameter CrossMailboxOperations True is |
| EffectiveOrganization | tekenreeks | De naam van de tenant waarop de uitbreiding/cmdlet is gericht |
| ElevationApprovedTime | datum/tijd | Het tijdstempel voor wanneer de uitbreiding is goedgekeurd |
| ElevationApprover | tekenreeks | De naam van een Microsoft-manager |
| ElevationDuration | int | De duur waarvoor de verhoging actief was (in uren) |
| ElevationRequestId | tekenreeks | Een unieke id voor de aanvraag voor benodigde bevoegdheden |
| ElevationRole | tekenreeks | De rol waarvoor de uitbreiding is aangevraagd |
| ElevationTime | datum/tijd | De begintijd van de verhoging |
| Event_Data | tekenreeks | Optionele nettolading voor aangepaste gebeurtenissen |
| EventSource | tekenreeks | Identificeert dat er een gebeurtenis is opgetreden in SharePoint. Mogelijke waarden zijn SharePoint of ObjectModel |
| ExtendedProperties | tekenreeks | De uitgebreide eigenschappen van de gebeurtenis Azure AD |
| ExternalAccess | tekenreeks | Hiermee geeft u op of de cmdlet is uitgevoerd door een gebruiker in uw organisatie |
| ExtraEigenschappen | dynamisch | Een lijst met extra eigenschappen |
| Map | tekenreeks | De map waarin een groep items zich bevindt |
| Mappen | tekenreeks | Informatie over de bronmappen die betrokken zijn bij een bewerking |
| GenericInfo | tekenreeks | Wordt gebruikt voor opmerkingen en andere algemene informatie |
| InternalLogonType | int | Gereserveerd voor intern gebruik |
| InterSystemsId | tekenreeks | De GUID die de acties tussen onderdelen binnen de Office 365-service bijhoudt |
| IntraSystemId | tekenreeks | De GUID die wordt gegenereerd door Azure Active Directory om de actie bij te houden |
| _IsBillable | tekenreeks | Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable is false opgenomen, wordt er geen rekening gehouden met uw Azure-account |
| IsManagedDevice | booleaans | Geeft aan of de bewerking is gemaakt door een apparaat dat wordt beheerd door de organisatie |
| Item | tekenreeks | Vertegenwoordigt het item waarop de bewerking is uitgevoerd |
| ItemName | tekenreeks | De tekenreeks in het veld Onderwerp van het e-mailbericht |
| ItemType | tekenreeks | Het type object dat is geopend of gewijzigd. Zie de tabel ItemType voor meer informatie over de typen objecten |
| LoginStatus | int | Deze eigenschap is rechtstreeks afkomstig van OrgIdLogon.LoginStatus. Het toewijzen van verschillende interessante aanmeldingsfouten kan worden gedaan door waarschuwingsalgoritmen |
| Logon_Type | tekenreeks | Geeft het type gebruiker aan dat het postvak heeft geopend en de bewerking heeft uitgevoerd die is geregistreerd |
| LogonUserDisplayName | tekenreeks | De gebruiksvriendelijke naam van de gebruiker die de bewerking heeft uitgevoerd |
| LogonUserSid | tekenreeks | De SID van de gebruiker die de bewerking heeft uitgevoerd |
| MachineDomainInfo | tekenreeks | Informatie over apparaatsynchronisatiebewerkingen |
| MachineId | tekenreeks | Informatie over apparaatsynchronisatiebewerkingen |
| MailboxGuid | tekenreeks | De Exchange-GUID van het postvak dat is geopend |
| MailboxOwnerMasterAccountsid | tekenreeks | DE SID van het hoofdaccount van de eigenaar van het postvak |
| MailboxOwnerSid | tekenreeks | De SID van de eigenaar van het postvak |
| MailboxOwnerUPN | tekenreeks | Het e-mailadres van de eigenaar van het postvak dat is geopend |
| Leden | dynamisch | Een lijst met gebruikers binnen een team |
| Messageid | tekenreeks | Een id voor een chat- of kanaalbericht |
| ModifiedObjectResolvedName | tekenreeks | Dit is de beschrijvende naam van het object dat is gewijzigd door de cmdlet |
| ModifiedProperties | tekenreeks | De eigenschap is opgenomen voor beheergebeurtenissen, zoals het toevoegen van een gebruiker als lid van een site of een beheerdersgroep voor een siteverzameling |
| Name | tekenreeks | Alleen aanwezig voor instellingen. Naam van de instelling die is gewijzigd |
| Nieuwewaarde | tekenreeks | Alleen aanwezig voor instellingen. Nieuwe waarde van de instelling |
| OfficeId | tekenreeks | Unieke id van een auditrecord |
| OfficeObjectId | tekenreeks | Voor SharePoint- en OneDrive voor Bedrijven-activiteit |
| OfficeTenantId | tekenreeks | De tenant-id van Office |
| OfficeWorkload | tekenreeks | De Office 365-service waar de activiteit heeft plaatsgevonden |
| Oldvalue | tekenreeks | Alleen aanwezig voor instellingen. Oude waarde van de instelling |
| Bewerking | tekenreeks | De naam van de bewerking die de gebruiker uitvoert |
| OperationProperties | dynamisch | Aanvullende bewerkingseigenschappen |
| OperationScope | tekenreeks | Het bereik waarop de bewerking is uitgevoerd |
| OrganizationId | tekenreeks | De GUID voor de Office 365-tenant van uw organisatie. Deze waarde is altijd hetzelfde voor uw organisatie |
| OrganizationName | tekenreeks | De naam van de tenant |
| OriginatingServer | tekenreeks | De naam van de server van waaruit de cmdlet is uitgevoerd |
| Parameters | tekenreeks | De naam en waarde voor alle parameters die zijn gebruikt met de cmdlet die wordt geïdentificeerd in de eigenschap Operations |
| RecordType | tekenreeks | Het type bewerking dat wordt aangegeven door de record. Zie de tabel AuditLogRecordType voor meer informatie over de typen auditlogboekrecords |
| _Resourceid | tekenreeks | Een unieke id voor de resource waaraan de record is gekoppeld |
| ResultReasonType | tekenreeks | Reden voor het resultaat dat is gerapporteerd in ResultType |
| ResultStatus | tekenreeks | Geeft aan of de actie (opgegeven in de eigenschap Bewerking) is geslaagd of niet |
| SendAsUserMailboxGuid | tekenreeks | De Exchange-GUID van het postvak dat is geopend om e-mail te verzenden als |
| SendAsUserSmtp | tekenreeks | SMTP-adres van de gebruiker die wordt geïmiteerd |
| SendonBehalfOfUserMailboxGuid | tekenreeks | De Exchange-GUID van het postvak dat is geopend voor het verzenden van e-mail namens |
| SendOnBehalfOfUserSmtp | tekenreeks | SMTP-adres van de gebruiker namens wie het e-mailbericht wordt verzonden |
| SharingType | tekenreeks | Het type machtigingen voor delen dat is toegewezen aan de gebruiker waarmee de resource is gedeeld. Deze gebruiker wordt geïdentificeerd door de parameter UserSharedWith |
| Site_ | tekenreeks | De GUID van de site waar het bestand of de map die door de gebruiker wordt geopend zich bevindt |
| Site_Url | tekenreeks | De URL van de site waar het bestand of de map die door de gebruiker wordt geopend zich bevindt |
| Source_Name | tekenreeks | De entiteit die de gecontroleerde bewerking heeft geactiveerd. Mogelijke waarden zijn SharePoint of ObjectModel |
| SourceFileExtension | tekenreeks | De bestandsextensie van het bestand dat door de gebruiker is geopend |
| SourceFileName | tekenreeks | De naam van het bestand of de map die door de gebruiker wordt geopend |
| SourceRecordId | tekenreeks | Unieke id van een auditrecord |
| SourceRelativeUrl | tekenreeks | De URL van de map die het bestand bevat dat door de gebruiker is geopend |
| SourceSystem | tekenreeks | Het type agent dat de gebeurtenis heeft verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinden of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics |
| SRPolicyId | tekenreeks | Beleids-id |
| SRPolicyName | tekenreeks | Beleidsnaam |
| SRRuleMatchDetails | dynamisch | Regeldetails |
| Start_Time | datum/tijd | De datum en tijd waarop de cmdlet is uitgevoerd |
| _SubscriptionId | tekenreeks | Een unieke id voor het abonnement waaraan de record is gekoppeld |
| SupportTicketId | tekenreeks | De ticket-id van de klantondersteuning voor de actie in 'act-on-behalf-of'-situaties |
| TabType | tekenreeks | Het type tabblad dat deze gebeurtenis heeft gegenereerd |
| TargetContextId | tekenreeks | De GUID van de organisatie waartoe de doelgebruiker behoort |
| TargetUserId | tekenreeks | Doelgebruikers-id |
| TargetUserOrGroupName | tekenreeks | Slaat de UPN of naam op van de doelgebruiker of -groep waarmee een resource is gedeeld |
| TargetUserOrGroupType | tekenreeks | Identificeert of de doelgebruiker of -groep een lid, gast, groep of partner is |
| TeamGuid | tekenreeks | Een unieke id voor het team dat wordt gecontroleerd |
| TeamName | tekenreeks | De naam van het team dat wordt gecontroleerd |
| TenantId | tekenreeks | De id van de Log Analytics-werkruimte |
| TimeGenerated | datum/tijd | De datum en tijd in Coordinated Universal Time (UTC) waarop de gebruiker de activiteit heeft uitgevoerd |
| Type | tekenreeks | De naam van de tabel |
| Useragent | tekenreeks | De gebruikersagent |
| UserDomain | tekenreeks | Het domein van de gebruiker |
| UserId | tekenreeks | De UPN (User Principal Name) van de gebruiker die de actie heeft uitgevoerd (opgegeven in de eigenschap Bewerking) waardoor de record is geregistreerd |
| UserKey | tekenreeks | Een alternatieve id voor de gebruiker die is geïdentificeerd in de eigenschap UserId |
| UserSharedWith | tekenreeks | De gebruiker met wie een resource is gedeeld |
| UserType | tekenreeks | Het type gebruiker dat de bewerking heeft uitgevoerd. Zie de tabel UserType voor meer informatie over de typen gebruikers |
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor