Создание auditLogQuery

Пространство имен: microsoft.graph.security

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

Создайте объект auditLogQuery .

Этот API доступен в следующих национальных облачных развертываниях.

Глобальная служба	Правительство США L4	Правительство США L5 (DOD)	Китай управляется 21Vianet
✅	❌	❌	❌

Разрешения

Доступ к данным аудита можно получить через API поиска Аудит Microsoft Purview с помощью следующих разрешений, которые классифицируются на уровне службы Microsoft 365. Дополнительные сведения, включая сведения о том, как выбрать разрешения, см. в статье Разрешения.

Служба Microsoft 365	Делегированные (рабочая или учебная учетная запись)	Делегированное (личная учетная запись Майкрософт)	Приложение
Microsoft OneDrive	AuditLogsQuery-OneDrive.Read.All	Не поддерживается	AuditLogsQuery-OneDrive.Read.All
Microsoft Exchange	AuditLogsQuery-Exchange.Read.All	Не поддерживается	AuditLogsQuery-Exchange.Read.All
Microsoft SharePoint	AuditLogsQuery-SharePoint.Read.All	Не поддерживается	AuditLogsQuery-SharePoint.Read.All
Защита от потери данных для конечной точки	AuditLogsQuery-Endpoint.Read.All	Не поддерживается	AuditLogsQuery-Endpoint.Read.All
Microsoft Dynamics CRM	AuditLogsQuery-CRM.Read.All	Не поддерживается	AuditLogsQuery-CRM.Read.All
Microsoft Entra	AuditLogsQuery-Entra.Read.All	Не поддерживается	AuditLogsQuery-Entra.Read.All
Все журналы аудита	AuditLogsQuery.Read.All	Не поддерживается	AuditLogsQuery.Read.All

HTTP-запрос

POST /security/auditLog/queries

Заголовки запросов

Имя	Описание
Авторизация	Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации.
Content-Type	application/json. Обязательно.

Текст запроса

В тексте запроса укажите представление объекта auditLogQuery в формате JSON.

При создании auditLogQuery можно указать следующие свойства.

Свойство	Тип	Описание
displayName	String	Отображаемое имя для сохраненного запроса журнала аудита. Необязательный параметр.
filterStartDateTime	DateTimeOffset	Начальная дата диапазона дат в запросе. Необязательный параметр.
filterEndDateTime	DateTimeOffset	Дата окончания диапазона дат в запросе. Необязательный параметр.
recordTypeFilters	Collection(string) объекта microsoft.graph.security.auditLogRecordType	Тип операции или типы, указанные записью. Возможные значения: exchangeAdmin, , exchangeItemexchangeItemGroup, sharePoint, , syntheticProbesharePointFileOperationoneDriveazureActiveDirectoryazureActiveDirectoryAccountLogondataCenterSecurityCmdletcomplianceDLPSharePointswaycomplianceDLPExchangesharePointSharingOperationazureActiveDirectoryStsLogonskypeForBusinessPSTNUsageskypeForBusinessUsersBlockedsecurityComplianceCenterEOPCmdletexchangeAggregatedOperationpowerBIAuditcrmyammerskypeForBusinessCmdletsdiscoverymicrosoftTeamsthreatIntelligencemailSubmissionmicrosoftFlowaeDmicrosoftStreamcomplianceDLPSharePointClassificationthreatFinderprojectsharePointListOperationsharePointCommentOperationdataGovernancekaizalasecurityComplianceAlertsthreatIntelligenceUrlsecurityComplianceInsightsmipLabelworkplaceAnalyticspowerAppsApppowerAppsPlanthreatIntelligenceAtpContentlabelContentExplorerteamsHealthcareexchangeItemAggregatedhygieneEventdataInsightsRestApiAuditinformationBarrierPolicyApplicationsharePointListItemOperationsharePointContentTypeOperationsharePointFieldOperationmicrosoftTeamsAdminhrSignalmicrosoftTeamsDevicemicrosoftTeamsAnalyticsinformationWorkerProtectioncampaigndlpEndpoint, , quarantineairInvestigation, microsoftForms, applicationAudit, complianceSupervisionExchange, customerKeyServiceEncryption, officeNative, mipAutoLabelSharePointItem, mipAutoLabelSharePointPolicyLocation, , secureScoremicrosoftTeamsShiftsmipAutoLabelExchangeItemcortanaBriefingsearchwdatpAlertspowerPlatformAdminDlppowerPlatformAdminEnvironmentmdatpAuditsensitivityLabelPolicyMatchsensitivityLabelActionsensitivityLabeledFileActionattackSimairManualInvestigationsecurityComplianceRBACuserTrainingairAdminActionInvestigationmsticphysicalBadgingSignalteamsEasyApprovalsaipDiscoveraipSensitivityLabelActionaipProtectionActionaipFileDeletedaipHeartBeatmcasAlertsonPremisesFileShareScannerDlponPremisesSharePointScannerDlpexchangeSearchsharePointSearchprivacyDataMinimizationlabelAnalyticsAggregatemyAnalyticsSettingssecurityComplianceUserChangecomplianceDLPExchangeClassificationcomplianceDLPEndpointmipExactDataMatchmsdeResponseActionsmsdeGeneralSettingsmsdeIndicatorsSettingsms365DCustomDetectionmsdeRolesSettingsmapgAlertsmapgPolicymapgRemediationprivacyRemediationActionprivacyDigestEmailmipAutoLabelSimulationProgressmipAutoLabelSimulationCompletionmipAutoLabelProgressFeedbackdlpSensitiveInformationType, , largeContentMetadatamipAutoLabelSimulationStatistics, microsoft365Group, cdpMlInferencingResult, filteringMailMetadata, cdpClassificationMailItem, cdpClassificationDocument, officeScriptsRunAction, , , tenantAllowBlockListfilteringMailSubmissionfilteringEmailFeaturespowerBIDlpfilteringUrlInfofilteringAttachmentInfocoreReportingSettingsfilteringDocMetadatapowerPlatformLockboxResourceAccessRequestcomplianceConnectorpowerPlatformLockboxResourceCommandcdpPredictiveCodingLabelcdpCompliancePolicyUserFeedbackwebpageActivityEndpointomePortalprivacyDataMatchfilteringUrlClickcmImprovementActionChangealertfilteringTimeTravelDocMetadataalertStatusscorePlatformGenericAuditRecordpowerPlatformServiceActivitymicrosoftManagedServicePlatformalertIncidentlabelExplorerfilteringRuleHitsfilteringEntityEventincidentStatusmipLabelAnalyticsAuditRecordmultiStageDispositioncasedataShareOperationprivacyRemediationcdpDlpSensitiverecordsManagementehrConnectorfilteringMailGradingResultcdpUnifiedFeedbackhealthcareSignalpublicFolderconsumptionResourcedlpImportResultcdpCompliancePolicyExecutioncaseInvestigationfilteringPostMailDeliveryActionprivacyTenantAuditHistoryRecord, , eduDataLakeDownloadOperationaipScannerDiscoverEvent, m365ComplianceConnector, microsoftGraphDataConnectOperation, microsoftPurview, filteringEmailContentFeatures, powerPagesSite, powerAppsResource, , , plannerTaskmdaDataSecuritySignalprojectForTheWebRoadmapItemprojectForTheWebProjectSettingsprojectForTheWebRoadmapSettingsquarantineMetadatamicrosoftTodoAuditprojectForTheWebRoadmapteamsQuarantineMetadatatimeTravelFilteringDocMetadatasharePointAppPermissionOperationmicrosoftTeamsSensitivityLabelActionfilteringTeamsMetadatafilteringTeamsUrlInfofilteringTeamsPostDeliveryActionprojectForTheWebTaskmdcRegulatoryComplianceStandardsmdcAssessmentsprivacyPortalfilteringAtpDetonationInfomanagedTenantsmicrosoftGraphDataConnectConsentattackSimAdminfilteringRuntimeInfounifiedSimulationMatchedItemvivaGoalsmdcSecurityConnectorsmdcRegulatoryComplianceAssessmentsunifiedSimulationSummarymdcRegulatoryComplianceControlsprojectForTheWebProjectupdateQuarantineMetadatairmUserDefinedDetectionSignalfilteringUrlPostClickActionteamsUpdatespurviewDataMapOperationplannerRosterSensitivityLabelms365DIncidentplannerCopyPlanplannerPlanListfilteringDelistingMetadataplannerRosterplannerTaskListplannerTenantSettingsms365DSuppressionRuleplannerPlancomplianceDLPSharePointClassificationExtended, , supervisoryReviewDayXInsightmicrosoftDefenderForIdentityAudit, defenderExpertsforXDRAdmin, cdpEdgeBlockedMessage, hostedRpa, cdpContentExplorerAggregateRecord, , cdpHygieneAttachmentInfo, cdpHygieneSummary, cdpPostMailDeliveryAction, cdpEmailFeatures, , cdpHygieneUrlInfocdpUrlClick, filteringDocScancdpPackageManagerHygieneEvent, timeTravelFilteringDocScan, mapgOnboard, . unknownFutureValue Необязательный параметр.
keywordFilter	String	Свободное текстовое поле для поиска неиндексированных свойств журнала аудита. Необязательный параметр.
serviceFilter	String	Ссылается на свойство рабочей нагрузки в записи аудита. Это служба Майкрософт, в которой произошло действие. Необязательный параметр.
OperationFilters	Коллекция строк	Название действия пользователя или администратора. Описание основных операций и действий см. в статье Поиск в журнале аудита в центре защиты Office 365. Необязательный параметр.
userPrincipalNameFilters	Коллекция строк	Имя участника-пользователя (имя участника-пользователя) пользователя, выполнившего действие (указанное в свойстве операции), которое привело к регистрации записи; например, my_name@my_domain_name. Необязательный параметр.
ipAddressFilters	Коллекция строк	IP-адрес устройства, которое использовалось при регистрации действия в журнале. Необязательный параметр.
ObjectIdFilters	Коллекция строк	Для действий SharePoint и OneDrive для бизнеса этот параметр указывает на полное имя пути к файлу или папке, к которым получает доступ пользователь. Что касается ведения журнала аудита действий администратора Exchange, это имя объекта, измененного командлетом. Необязательный параметр.
administrativeUnitIdFilters	Коллекция строк	Административные единицы, помеченные в записи журнала аудита. Необязательный параметр.
status	microsoft.graph.security.auditLogQueryStatus	Текущее состояние запроса. Допустимые значения: notStarted, running, succeeded, failed, cancelled, unknownFutureValue. Необязательный параметр.

Отклик

В случае успешного выполнения этот метод возвращает код отклика 201 Created и объект auditLogQuery в тексте ответа.

Примеры

Запрос

Ниже показан пример запроса.

HTTP

POST https://graph.microsoft.com/beta/security/auditLog/queries
Content-Type: application/json

{
  "@odata.type": "#microsoft.graph.security.auditLogQuery",
  "displayName": "String",
  "filterStartDateTime": "String (timestamp)",
  "filterEndDateTime": "String (timestamp)",
  "recordTypeFilters": [
    "String"
  ],
  "keywordFilter": "String",
  "serviceFilter": "String",
  "operationFilters": [
    "String"
  ],
  "userPrincipalNameFilters": [
    "String"
  ],
  "ipAddressFilters": [
    "String"
  ],
  "objectIdFilters": [
    "String"
  ],
  "administrativeUnitIdFilters": [
    "String"
  ],
  "status": "String"
}

C#

// Code snippets are only available for the latest version. Current version is 5.x

// Dependencies
using Microsoft.Graph.Beta.Models.Security;

var requestBody = new AuditLogQuery
{
	OdataType = "#microsoft.graph.security.auditLogQuery",
	DisplayName = "String",
	FilterStartDateTime = DateTimeOffset.Parse("String (timestamp)"),
	FilterEndDateTime = DateTimeOffset.Parse("String (timestamp)"),
	RecordTypeFilters = new List<AuditLogRecordType?>
	{
		AuditLogRecordType.ExchangeAdmin,
	},
	KeywordFilter = "String",
	OperationFilters = new List<string>
	{
		"String",
	},
	UserPrincipalNameFilters = new List<string>
	{
		"String",
	},
	IpAddressFilters = new List<string>
	{
		"String",
	},
	ObjectIdFilters = new List<string>
	{
		"String",
	},
	AdministrativeUnitIdFilters = new List<string>
	{
		"String",
	},
	Status = AuditLogQueryStatus.NotStarted,
	AdditionalData = new Dictionary<string, object>
	{
		{
			"serviceFilter" , "String"
		},
	},
};

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Security.AuditLog.Queries.PostAsync(requestBody);

Важно!

Пакеты SDK для Microsoft Graph по умолчанию используют версию API версии 1.0 и поддерживают не все типы, свойства и API, доступные в бета-версии. Дополнительные сведения о доступе к бета-API с помощью SDK см. в статье Использование пакетов Microsoft Graph SDK с бета-API.

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.

Go

// Code snippets are only available for the latest major version. Current major version is $v0.*

// Dependencies
import (
	  "context"
	  "time"
	  msgraphsdk "github.com/microsoftgraph/msgraph-beta-sdk-go"
	  graphmodelssecurity "github.com/microsoftgraph/msgraph-beta-sdk-go/models/security"
	  //other-imports
)

requestBody := graphmodelssecurity.NewAuditLogQuery()
displayName := "String"
requestBody.SetDisplayName(&displayName) 
filterStartDateTime , err := time.Parse(time.RFC3339, "String (timestamp)")
requestBody.SetFilterStartDateTime(&filterStartDateTime) 
filterEndDateTime , err := time.Parse(time.RFC3339, "String (timestamp)")
requestBody.SetFilterEndDateTime(&filterEndDateTime) 
recordTypeFilters := []graphmodelssecurity.AuditLogRecordTypeable {
	auditLogRecordType := graphmodels.STRING_AUDITLOGRECORDTYPE 
	requestBody.SetAuditLogRecordType(&auditLogRecordType)
}
requestBody.SetRecordTypeFilters(recordTypeFilters)
keywordFilter := "String"
requestBody.SetKeywordFilter(&keywordFilter) 
operationFilters := []string {
	"String",
}
requestBody.SetOperationFilters(operationFilters)
userPrincipalNameFilters := []string {
	"String",
}
requestBody.SetUserPrincipalNameFilters(userPrincipalNameFilters)
ipAddressFilters := []string {
	"String",
}
requestBody.SetIpAddressFilters(ipAddressFilters)
objectIdFilters := []string {
	"String",
}
requestBody.SetObjectIdFilters(objectIdFilters)
administrativeUnitIdFilters := []string {
	"String",
}
requestBody.SetAdministrativeUnitIdFilters(administrativeUnitIdFilters)
status := graphmodels.STRING_AUDITLOGQUERYSTATUS 
requestBody.SetStatus(&status) 
additionalData := map[string]interface{}{
	"serviceFilter" : "String", 
}
requestBody.SetAdditionalData(additionalData)

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=go
queries, err := graphClient.Security().AuditLog().Queries().Post(context.Background(), requestBody, nil)

Важно!

Пакеты SDK для Microsoft Graph по умолчанию используют версию API версии 1.0 и поддерживают не все типы, свойства и API, доступные в бета-версии. Дополнительные сведения о доступе к бета-API с помощью SDK см. в статье Использование пакетов Microsoft Graph SDK с бета-API.

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.

Java

// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

com.microsoft.graph.beta.models.security.AuditLogQuery auditLogQuery = new com.microsoft.graph.beta.models.security.AuditLogQuery();
auditLogQuery.setOdataType("#microsoft.graph.security.auditLogQuery");
auditLogQuery.setDisplayName("String");
OffsetDateTime filterStartDateTime = OffsetDateTime.parse("String (timestamp)");
auditLogQuery.setFilterStartDateTime(filterStartDateTime);
OffsetDateTime filterEndDateTime = OffsetDateTime.parse("String (timestamp)");
auditLogQuery.setFilterEndDateTime(filterEndDateTime);
LinkedList<com.microsoft.graph.beta.models.security.com.microsoft.graph.beta.models.security.AuditLogRecordType> recordTypeFilters = new LinkedList<com.microsoft.graph.beta.models.security.com.microsoft.graph.beta.models.security.AuditLogRecordType>();
recordTypeFilters.add(com.microsoft.graph.beta.models.security.AuditLogRecordType.ExchangeAdmin);
auditLogQuery.setRecordTypeFilters(recordTypeFilters);
auditLogQuery.setKeywordFilter("String");
LinkedList<String> operationFilters = new LinkedList<String>();
operationFilters.add("String");
auditLogQuery.setOperationFilters(operationFilters);
LinkedList<String> userPrincipalNameFilters = new LinkedList<String>();
userPrincipalNameFilters.add("String");
auditLogQuery.setUserPrincipalNameFilters(userPrincipalNameFilters);
LinkedList<String> ipAddressFilters = new LinkedList<String>();
ipAddressFilters.add("String");
auditLogQuery.setIpAddressFilters(ipAddressFilters);
LinkedList<String> objectIdFilters = new LinkedList<String>();
objectIdFilters.add("String");
auditLogQuery.setObjectIdFilters(objectIdFilters);
LinkedList<String> administrativeUnitIdFilters = new LinkedList<String>();
administrativeUnitIdFilters.add("String");
auditLogQuery.setAdministrativeUnitIdFilters(administrativeUnitIdFilters);
auditLogQuery.setStatus(com.microsoft.graph.beta.models.security.AuditLogQueryStatus.NotStarted);
HashMap<String, Object> additionalData = new HashMap<String, Object>();
additionalData.put("serviceFilter", "String");
auditLogQuery.setAdditionalData(additionalData);
com.microsoft.graph.models.security.AuditLogQuery result = graphClient.security().auditLog().queries().post(auditLogQuery);

Важно!

Пакеты SDK для Microsoft Graph по умолчанию используют версию API версии 1.0 и поддерживают не все типы, свойства и API, доступные в бета-версии. Дополнительные сведения о доступе к бета-API с помощью SDK см. в статье Использование пакетов Microsoft Graph SDK с бета-API.

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.

JavaScript

const options = {
	authProvider,
};

const client = Client.init(options);

const auditLogQuery = {
  '@odata.type': '#microsoft.graph.security.auditLogQuery',
  displayName: 'String',
  filterStartDateTime: 'String (timestamp)',
  filterEndDateTime: 'String (timestamp)',
  recordTypeFilters: [
    'String'
  ],
  keywordFilter: 'String',
  serviceFilter: 'String',
  operationFilters: [
    'String'
  ],
  userPrincipalNameFilters: [
    'String'
  ],
  ipAddressFilters: [
    'String'
  ],
  objectIdFilters: [
    'String'
  ],
  administrativeUnitIdFilters: [
    'String'
  ],
  status: 'String'
};

await client.api('/security/auditLog/queries')
	.version('beta')
	.post(auditLogQuery);

Важно!

Пакеты SDK для Microsoft Graph по умолчанию используют версию API версии 1.0 и поддерживают не все типы, свойства и API, доступные в бета-версии. Дополнительные сведения о доступе к бета-API с помощью SDK см. в статье Использование пакетов Microsoft Graph SDK с бета-API.

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.

PHP

<?php
use Microsoft\Graph\Beta\GraphServiceClient;
use Microsoft\Graph\Beta\Generated\Models\Security\AuditLogQuery;
use Microsoft\Graph\Beta\Generated\Models\Security\AuditLogRecordType;
use Microsoft\Graph\Beta\Generated\Models\Security\AuditLogQueryStatus;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);

$requestBody = new AuditLogQuery();
$requestBody->setOdataType('#microsoft.graph.security.auditLogQuery');
$requestBody->setDisplayName('String');
$requestBody->setFilterStartDateTime(new \DateTime('String (timestamp)'));
$requestBody->setFilterEndDateTime(new \DateTime('String (timestamp)'));
$requestBody->setRecordTypeFilters([new AuditLogRecordType('string'),	]);
$requestBody->setKeywordFilter('String');
$requestBody->setOperationFilters(['String', 	]);
$requestBody->setUserPrincipalNameFilters(['String', 	]);
$requestBody->setIpAddressFilters(['String', 	]);
$requestBody->setObjectIdFilters(['String', 	]);
$requestBody->setAdministrativeUnitIdFilters(['String', 	]);
$requestBody->setStatus(new AuditLogQueryStatus('string'));
$additionalData = [
	'serviceFilter' => 'String',
];
$requestBody->setAdditionalData($additionalData);

$result = $graphServiceClient->security()->auditLog()->queries()->post($requestBody)->wait();

Важно!

Пакеты SDK для Microsoft Graph по умолчанию используют версию API версии 1.0 и поддерживают не все типы, свойства и API, доступные в бета-версии. Дополнительные сведения о доступе к бета-API с помощью SDK см. в статье Использование пакетов Microsoft Graph SDK с бета-API.

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.

PowerShell

Import-Module Microsoft.Graph.Beta.Security

$params = @{
	"@odata.type" = "#microsoft.graph.security.auditLogQuery"
	displayName = "String"
	filterStartDateTime = [System.DateTime]::Parse("String (timestamp)")
	filterEndDateTime = [System.DateTime]::Parse("String (timestamp)")
	recordTypeFilters = @(
	"String"
)
keywordFilter = "String"
serviceFilter = "String"
operationFilters = @(
"String"
)
userPrincipalNameFilters = @(
"String"
)
ipAddressFilters = @(
"String"
)
objectIdFilters = @(
"String"
)
administrativeUnitIdFilters = @(
"String"
)
status = "String"
}

New-MgBetaSecurityAuditLogQuery -BodyParameter $params

Важно!

Пакеты SDK для Microsoft Graph по умолчанию используют версию API версии 1.0 и поддерживают не все типы, свойства и API, доступные в бета-версии. Дополнительные сведения о доступе к бета-API с помощью SDK см. в статье Использование пакетов Microsoft Graph SDK с бета-API.

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.

Python

# Code snippets are only available for the latest version. Current version is 1.x
from msgraph_beta import GraphServiceClient
from msgraph_beta.generated.models.security.audit_log_query import AuditLogQuery
from msgraph_beta.generated.models.security.audit_log_record_type import AuditLogRecordType
from msgraph_beta.generated.models.audit_log_record_type import AuditLogRecordType
from msgraph_beta.generated.models.audit_log_query_status import AuditLogQueryStatus
# To initialize your graph_client, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=python
request_body = AuditLogQuery(
	odata_type = "#microsoft.graph.security.auditLogQuery",
	display_name = "String",
	filter_start_date_time = "String (timestamp)",
	filter_end_date_time = "String (timestamp)",
	record_type_filters = [
		AuditLogRecordType.ExchangeAdmin,
	],
	keyword_filter = "String",
	operation_filters = [
		"String",
	],
	user_principal_name_filters = [
		"String",
	],
	ip_address_filters = [
		"String",
	],
	object_id_filters = [
		"String",
	],
	administrative_unit_id_filters = [
		"String",
	],
	status = AuditLogQueryStatus.NotStarted,
	additional_data = {
			"service_filter" : "String",
	}
)

result = await graph_client.security.audit_log.queries.post(request_body)

Важно!

Пакеты SDK для Microsoft Graph по умолчанию используют версию API версии 1.0 и поддерживают не все типы, свойства и API, доступные в бета-версии. Дополнительные сведения о доступе к бета-API с помощью SDK см. в статье Использование пакетов Microsoft Graph SDK с бета-API.

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.

Отклик

Ниже показан пример отклика.

Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.

HTTP/1.1 201 Created
Content-Type: application/json

{
  "@odata.type": "#microsoft.graph.security.auditLogQuery",
  "id": "168ec429-084b-a489-90d8-504a87846305",
  "displayName": "String",
  "filterStartDateTime": "String (timestamp)",
  "filterEndDateTime": "String (timestamp)",
  "recordTypeFilters": [
    "String"
  ],
  "keywordFilter": "String",
  "serviceFilter": "String",
  "operationFilters": [
    "String"
  ],
  "userPrincipalNameFilters": [
    "String"
  ],
  "ipAddressFilters": [
    "String"
  ],
  "objectIdFilters": [
    "String"
  ],
  "administrativeUnitIdFilters": [
    "String"
  ],
  "status": "String"
}