OfficeActivity
Auditlogboeken voor Office 365 tenants die worden verzameld door Azure Sentinel. Inclusief Exchange-, SharePoint- en Teams-logboeken.
Tabelkenmerken
Kenmerk | Waarde |
---|---|
Resourcetypen | - |
Categorieën | Beveiliging |
Oplossingen | AzureSentinelPrivatePreview, SecurityInsights |
Basislogboek | No |
Opnametijdtransformatie | Yes |
Voorbeeldquery's | Ja |
Kolommen
Kolom | Type | Description |
---|---|---|
AADGroupId | tekenreeks | Azure Active Directory-groeps-id |
AADTarget | tekenreeks | De gebruiker waarop de actie (geïdentificeerd door de eigenschap Bewerking) is uitgevoerd |
Activiteit | tekenreeks | De activiteit die de gebruiker heeft uitgevoerd. |
Acteur | tekenreeks | De gebruiker of service-principal die de actie heeft uitgevoerd |
ActorContextId | tekenreeks | De GUID van de organisatie waartoe de actor behoort |
ActorIpAddress | tekenreeks | Het IP-adres van de actor in IPV4- of IPV6-adresindeling |
AddOnGuid | tekenreeks | De unieke id van de invoegtoepassing die deze gebeurtenis heeft gegenereerd |
AddonName | tekenreeks | De naam van de invoegtoepassing die deze gebeurtenis heeft gegenereerd |
AddOnType | tekenreeks | Het type invoegtoepassing dat deze gebeurtenis heeft gegenereerd |
AffectedItems | tekenreeks | Informatie over elk item in de groep |
AppDistributionMode | tekenreeks | Toepassingsdistributiemodus |
AppId | tekenreeks | Toepassings-id |
Toepassing | tekenreeks | De naam van de toepassing |
ApplicationID | tekenreeks | SharePoint-toepassings-id |
AzureActiveDirectory_EventType | tekenreeks | Het type Azure AD gebeurtenis |
AzureADAppId | tekenreeks | Azure AD-id van Teams-toepassing |
_BilledSize | werkelijk | De recordgrootte in bytes |
ChannelGuid | tekenreeks | Een unieke id voor het kanaal dat wordt gecontroleerd |
ChannelName | tekenreeks | De naam van het kanaal dat wordt gecontroleerd |
ChannelType | tekenreeks | Het type kanaal dat wordt gecontroleerd (standaard/privé) |
ChatName | tekenreeks | De naam van de chat |
ChatThreadId | tekenreeks | De id van de chatthread |
Client | tekenreeks | Details over het clientapparaat, het besturingssysteem van het apparaat en de apparaatbrowser die is gebruikt voor de aanmeldingsgebeurtenis van het account |
Client_IPAddress | tekenreeks | Het IP-adres van het apparaat dat is gebruikt toen de bewerking werd geregistreerd |
ClientAppId | tekenreeks | Clienttoepassings-id |
ClientInfoString | tekenreeks | Informatie over de e-mailclient die is gebruikt om de bewerking uit te voeren |
ClientIP | tekenreeks | Het IP-adres van het apparaat dat is gebruikt toen de activiteit werd geregistreerd |
ClientMachineName | tekenreeks | De computernaam die als host fungeert voor de Outlook-client |
ClientProcessName | tekenreeks | De e-mailclient die is gebruikt voor toegang tot het postvak |
ClientVersion | tekenreeks | De versie van de e-mailclient |
CommunicationType | tekenreeks | Het type communicatie dat is uitgevoerd |
CrossMailboxOperations | booleaans | Geeft aan of de bewerking meer dan één postvak betreft |
CustomEvent | tekenreeks | Optionele tekenreeks voor aangepaste gebeurtenissen |
DataCenterSecurityEventType | int | Het type dmdlet-gebeurtenis in het vergrendelingsvak |
DestFolder | tekenreeks | De doelmap |
DestinationFileExtension | tekenreeks | De bestandsextensie van een bestand dat wordt gekopieerd of verplaatst |
DestinationFileName | tekenreeks | De naam van het bestand dat wordt gekopieerd of verplaatst |
DestinationRelativeUrl | tekenreeks | De URL van de doelmap waarin een bestand wordt gekopieerd of verplaatst |
DestMailboxId | tekenreeks | Alleen instellen als de parameter CrossMailboxOperations True is |
DestMailboxOwnerMasterAccountsid | tekenreeks | Alleen instellen als de parameter CrossMailboxOperations True is |
DestMailboxOwnerSid | tekenreeks | Alleen instellen als de parameter CrossMailboxOperations True is |
DestMailboxOwnerUPN | tekenreeks | Alleen instellen als de parameter CrossMailboxOperations True is |
EffectiveOrganization | tekenreeks | De naam van de tenant waarop de uitbreiding/cmdlet is gericht |
ElevationApprovedTime | datum/tijd | Het tijdstempel voor wanneer de uitbreiding is goedgekeurd |
ElevationApprover | tekenreeks | De naam van een Microsoft-manager |
ElevationDuration | int | De duur waarvoor de verhoging actief was (in uren) |
ElevationRequestId | tekenreeks | Een unieke id voor de aanvraag voor benodigde bevoegdheden |
ElevationRole | tekenreeks | De rol waarvoor de uitbreiding is aangevraagd |
ElevationTime | datum/tijd | De begintijd van de verhoging |
Event_Data | tekenreeks | Optionele nettolading voor aangepaste gebeurtenissen |
EventSource | tekenreeks | Identificeert dat er een gebeurtenis is opgetreden in SharePoint. Mogelijke waarden zijn SharePoint of ObjectModel |
ExtendedProperties | tekenreeks | De uitgebreide eigenschappen van de gebeurtenis Azure AD |
ExternalAccess | tekenreeks | Hiermee geeft u op of de cmdlet is uitgevoerd door een gebruiker in uw organisatie |
ExtraEigenschappen | dynamisch | Een lijst met extra eigenschappen |
Map | tekenreeks | De map waarin een groep items zich bevindt |
Mappen | tekenreeks | Informatie over de bronmappen die betrokken zijn bij een bewerking |
GenericInfo | tekenreeks | Wordt gebruikt voor opmerkingen en andere algemene informatie |
InternalLogonType | int | Gereserveerd voor intern gebruik |
InterSystemsId | tekenreeks | De GUID die de acties tussen onderdelen binnen de Office 365-service bijhoudt |
IntraSystemId | tekenreeks | De GUID die wordt gegenereerd door Azure Active Directory om de actie bij te houden |
_IsBillable | tekenreeks | Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable is false opgenomen, wordt er geen rekening gehouden met uw Azure-account |
IsManagedDevice | booleaans | Geeft aan of de bewerking is gemaakt door een apparaat dat wordt beheerd door de organisatie |
Item | tekenreeks | Vertegenwoordigt het item waarop de bewerking is uitgevoerd |
ItemName | tekenreeks | De tekenreeks in het veld Onderwerp van het e-mailbericht |
ItemType | tekenreeks | Het type object dat is geopend of gewijzigd. Zie de tabel ItemType voor meer informatie over de typen objecten |
LoginStatus | int | Deze eigenschap is rechtstreeks afkomstig van OrgIdLogon.LoginStatus. Het toewijzen van verschillende interessante aanmeldingsfouten kan worden gedaan door waarschuwingsalgoritmen |
Logon_Type | tekenreeks | Geeft het type gebruiker aan dat het postvak heeft geopend en de bewerking heeft uitgevoerd die is geregistreerd |
LogonUserDisplayName | tekenreeks | De gebruiksvriendelijke naam van de gebruiker die de bewerking heeft uitgevoerd |
LogonUserSid | tekenreeks | De SID van de gebruiker die de bewerking heeft uitgevoerd |
MachineDomainInfo | tekenreeks | Informatie over apparaatsynchronisatiebewerkingen |
MachineId | tekenreeks | Informatie over apparaatsynchronisatiebewerkingen |
MailboxGuid | tekenreeks | De Exchange-GUID van het postvak dat is geopend |
MailboxOwnerMasterAccountsid | tekenreeks | DE SID van het hoofdaccount van de eigenaar van het postvak |
MailboxOwnerSid | tekenreeks | De SID van de eigenaar van het postvak |
MailboxOwnerUPN | tekenreeks | Het e-mailadres van de eigenaar van het postvak dat is geopend |
Leden | dynamisch | Een lijst met gebruikers binnen een team |
Messageid | tekenreeks | Een id voor een chat- of kanaalbericht |
ModifiedObjectResolvedName | tekenreeks | Dit is de beschrijvende naam van het object dat is gewijzigd door de cmdlet |
ModifiedProperties | tekenreeks | De eigenschap is opgenomen voor beheergebeurtenissen, zoals het toevoegen van een gebruiker als lid van een site of een beheerdersgroep voor een siteverzameling |
Name | tekenreeks | Alleen aanwezig voor instellingen. Naam van de instelling die is gewijzigd |
Nieuwewaarde | tekenreeks | Alleen aanwezig voor instellingen. Nieuwe waarde van de instelling |
OfficeId | tekenreeks | Unieke id van een auditrecord |
OfficeObjectId | tekenreeks | Voor SharePoint- en OneDrive voor Bedrijven-activiteit |
OfficeTenantId | tekenreeks | De tenant-id van Office |
OfficeWorkload | tekenreeks | De Office 365-service waar de activiteit heeft plaatsgevonden |
Oldvalue | tekenreeks | Alleen aanwezig voor instellingen. Oude waarde van de instelling |
Bewerking | tekenreeks | De naam van de bewerking die de gebruiker uitvoert |
OperationProperties | dynamisch | Aanvullende bewerkingseigenschappen |
OperationScope | tekenreeks | Het bereik waarop de bewerking is uitgevoerd |
OrganizationId | tekenreeks | De GUID voor de Office 365-tenant van uw organisatie. Deze waarde is altijd hetzelfde voor uw organisatie |
OrganizationName | tekenreeks | De naam van de tenant |
OriginatingServer | tekenreeks | De naam van de server van waaruit de cmdlet is uitgevoerd |
Parameters | tekenreeks | De naam en waarde voor alle parameters die zijn gebruikt met de cmdlet die wordt geïdentificeerd in de eigenschap Operations |
RecordType | tekenreeks | Het type bewerking dat wordt aangegeven door de record. Zie de tabel AuditLogRecordType voor meer informatie over de typen auditlogboekrecords |
_Resourceid | tekenreeks | Een unieke id voor de resource waaraan de record is gekoppeld |
ResultReasonType | tekenreeks | Reden voor het resultaat dat is gerapporteerd in ResultType |
ResultStatus | tekenreeks | Geeft aan of de actie (opgegeven in de eigenschap Bewerking) is geslaagd of niet |
SendAsUserMailboxGuid | tekenreeks | De Exchange-GUID van het postvak dat is geopend om e-mail te verzenden als |
SendAsUserSmtp | tekenreeks | SMTP-adres van de gebruiker die wordt geïmiteerd |
SendonBehalfOfUserMailboxGuid | tekenreeks | De Exchange-GUID van het postvak dat is geopend voor het verzenden van e-mail namens |
SendOnBehalfOfUserSmtp | tekenreeks | SMTP-adres van de gebruiker namens wie het e-mailbericht wordt verzonden |
SharingType | tekenreeks | Het type machtigingen voor delen dat is toegewezen aan de gebruiker waarmee de resource is gedeeld. Deze gebruiker wordt geïdentificeerd door de parameter UserSharedWith |
Site_ | tekenreeks | De GUID van de site waar het bestand of de map die door de gebruiker wordt geopend zich bevindt |
Site_Url | tekenreeks | De URL van de site waar het bestand of de map die door de gebruiker wordt geopend zich bevindt |
Source_Name | tekenreeks | De entiteit die de gecontroleerde bewerking heeft geactiveerd. Mogelijke waarden zijn SharePoint of ObjectModel |
SourceFileExtension | tekenreeks | De bestandsextensie van het bestand dat door de gebruiker is geopend |
SourceFileName | tekenreeks | De naam van het bestand of de map die door de gebruiker wordt geopend |
SourceRecordId | tekenreeks | Unieke id van een auditrecord |
SourceRelativeUrl | tekenreeks | De URL van de map die het bestand bevat dat door de gebruiker is geopend |
SourceSystem | tekenreeks | Het type agent dat de gebeurtenis heeft verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinden of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics |
SRPolicyId | tekenreeks | Beleids-id |
SRPolicyName | tekenreeks | Beleidsnaam |
SRRuleMatchDetails | dynamisch | Regeldetails |
Start_Time | datum/tijd | De datum en tijd waarop de cmdlet is uitgevoerd |
_SubscriptionId | tekenreeks | Een unieke id voor het abonnement waaraan de record is gekoppeld |
SupportTicketId | tekenreeks | De ticket-id van de klantondersteuning voor de actie in 'act-on-behalf-of'-situaties |
TabType | tekenreeks | Het type tabblad dat deze gebeurtenis heeft gegenereerd |
TargetContextId | tekenreeks | De GUID van de organisatie waartoe de doelgebruiker behoort |
TargetUserId | tekenreeks | Doelgebruikers-id |
TargetUserOrGroupName | tekenreeks | Slaat de UPN of naam op van de doelgebruiker of -groep waarmee een resource is gedeeld |
TargetUserOrGroupType | tekenreeks | Identificeert of de doelgebruiker of -groep een lid, gast, groep of partner is |
TeamGuid | tekenreeks | Een unieke id voor het team dat wordt gecontroleerd |
TeamName | tekenreeks | De naam van het team dat wordt gecontroleerd |
TenantId | tekenreeks | De id van de Log Analytics-werkruimte |
TimeGenerated | datum/tijd | De datum en tijd in Coordinated Universal Time (UTC) waarop de gebruiker de activiteit heeft uitgevoerd |
Type | tekenreeks | De naam van de tabel |
Useragent | tekenreeks | De gebruikersagent |
UserDomain | tekenreeks | Het domein van de gebruiker |
UserId | tekenreeks | De UPN (User Principal Name) van de gebruiker die de actie heeft uitgevoerd (opgegeven in de eigenschap Bewerking) waardoor de record is geregistreerd |
UserKey | tekenreeks | Een alternatieve id voor de gebruiker die is geïdentificeerd in de eigenschap UserId |
UserSharedWith | tekenreeks | De gebruiker met wie een resource is gedeeld |
UserType | tekenreeks | Het type gebruiker dat de bewerking heeft uitgevoerd. Zie de tabel UserType voor meer informatie over de typen gebruikers |
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor