WzbogaconeMicrosoft365AuditLogs
Ta tabela jest częścią tożsamości i dostępu do sieci, która zawiera wzbogacone dzienniki inspekcji platformy Microsoft 365. Te dzienniki można wykorzystać do zarządzania zasadami, ryzykiem i ruchem, a także do monitorowania środowiska użytkowników.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia, sieć, narzędzia do zarządzania & IT |
| Rozwiązania | Zarządzanie dziennikami |
| Dziennik podstawowy | Nie |
| Przekształcanie w czasie pozyskiwania | Nie |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| ActorUserType | ciąg | Typ użytkownika, który wykonał operację. Możliwe typy obejmują: Administracja, System, Aplikacja, Jednostka usługi i Inne. |
| Dodatkowe właściwości | dynamiczna | Dodatkowe pola działań |
| _BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
| ClientIp | ciąg | Adres IP urządzenia, które było używane podczas zarejestrowania działania. Adres IP jest wyświetlany w formacie IPv4 lub IPv6. W przypadku niektórych usług wartość wyświetlana w tej właściwości może być adresem IP zaufanej aplikacji (na przykład Office w sieci Web aplikacjami) wywołującym usługę w imieniu użytkownika, a nie adresem IP urządzenia używanego przez osobę wykonującą działanie. Ponadto w przypadku zdarzeń związanych z usługą Azure Active Directory adres IP nie jest rejestrowany, a wartość właściwości ClientIP ma wartość null. |
| DeviceId | ciąg | Identyfikator urządzenia źródłowego zgłoszonego w rekordzie. |
| DeviceOperatingSystem | ciąg | Typ systemu operacyjnego łączącego klienta. |
| DeviceOperatingSystemVersion | ciąg | Klient łączący wersję systemu operacyjnego. |
| Id | ciąg | Unikatowy identyfikator rekordu inspekcji. |
| _IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| ObjectId | ciąg | W przypadku działań programu SharePoint i usługi OneDrive dla firm pełna nazwa ścieżki pliku lub folderu, do którego uzyskuje dostęp użytkownik. W przypadku rejestrowania inspekcji administratora programu Exchange nazwa obiektu, który został zmodyfikowany przez polecenie cmdlet . |
| Operacja | ciąg | Nazwa działania użytkownika lub administratora, które wykonało działanie. |
| OrganizationId | ciąg | Identyfikator GUID dla dzierżawy Office 365 organizacji. Ta wartość będzie zawsze taka sama dla twojej organizacji, niezależnie od usługi Office 365, w której występuje. |
| RecordType | int | Typ operacji wskazywanej przez rekord. Zobacz tabelę AuditLogRecordType, aby uzyskać szczegółowe informacje dotyczące typów rekordów dziennika inspekcji. |
| ResultStatus | ciąg | Wskazuje, czy akcja (określona we właściwości Operation) zakończyła się powodzeniem. Możliwe wartości to Succeeded (Powodzenie), PartiallySucceeded (Częściowo) lub Failed (Niepowodzenie). |
| SourceIp | ciąg | Adres IP, z którego pochodzi połączenie lub sesja. |
| SourceSystem | ciąg | Typ agenta, przez którego zostało zebrane zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows bezpośrednie połączenie lub program Operations Manager Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| TimeGenerated | datetime | Data i godzina w formacie UTC, kiedy użytkownik wykonał działanie. |
| Typ | ciąg | Nazwa tabeli |
| UniqueTokenId | ciąg | Unikatowy identyfikator tokenu |
| UserId | ciąg | Nazwa UPN (główna nazwa użytkownika) użytkownika, który wykonał akcję (określoną we właściwości Operation), co spowodowało zarejestrowanie rekordu; na przykład my_name@my_domain_name. Pamiętaj, że rekordy działań wykonywanych przez konta systemowe (takie jak SHAREPOINT\system lub NT AUTHORITY\SYSTEM) są również uwzględniane. W programie SharePoint inna wartość wyświetlana we właściwości UserId jest app@sharepoint. Oznacza to, że "użytkownik", który wykonał działanie, był aplikacją, która ma uprawnienia niezbędne w programie SharePoint do wykonywania akcji dla całej organizacji (takich jak wyszukiwanie witryny programu SharePoint lub konta usługi OneDrive) w imieniu użytkownika, administratora lub usługi. Aby uzyskać więcej informacji, zobacz app@sharepoint użytkownika w rekordach inspekcji. |
| UserKey | ciąg | Alternatywny identyfikator użytkownika zidentyfikowany we właściwości UserId. Na przykład ta właściwość jest wypełniana unikatowym identyfikatorem paszportu (PUID) dla zdarzeń wykonywanych przez użytkowników w programie SharePoint, OneDrive dla Firm i exchange. Ta właściwość może również określać tę samą wartość co właściwość UserID dla zdarzeń występujących w innych usługach i zdarzeniach wykonywanych przez konta systemowe. |
| UserType | ciąg | Typ użytkownika, który wykonał operację. |
| Obciążenie | ciąg | Usługa Office 365, w której wystąpiło działanie. |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla