通过

网格的审核日志记录

审核日志记录可帮助组织有效地响应安全事件、取证调查、内部调查和合规性义务。 本文总结了如何查询和请求Microsoft网格作和事件的审核日志。 某些作特定于网格,而其他作与其他 M365作相关联,例如 M365:Exchange、SharePoint Microsoft Entra (Azure AD) 作、Microsoft Teams 等。

借助网格的审核日志记录,管理员可以收集与用户活动或作相关的单个或批量作的见解,这些作与 M365 服务交互后产生的Microsoft网格。

可以使用 Microsoft Purview 或 Exchange Online PowerShell 完成网格的审核日志记录。

注意

Microsoft网格为用户提供了两个main产品/服务:Teams 中的沉浸式空间和自定义沉浸式空间。 审核日志记录不会将这些产品/服务视为独立产品/服务,因此审核中的事件可能引用产品/服务或两种产品/服务,具体取决于你查询的事件。

管理员可能对网格感兴趣的用户活动和作示例包括:

  • Teams/网格浏览器中网格中的最终用户 - 加入网格会话。

  • 网格管理员 和用户在网格门户中创建事件。

  • 使用网格工具包 (网格上传程序的内容创建者) 创建和上传项目。

Microsoft网格的可审核事件

下面列出了当前可用的审核事件。 根据网格管理员门户中的用户活动或网格应用程序中的会话/模板自定义活动生成事件。

事件名称 说明
EnvironmentDeleted 删除网格环境。
EnvironmentPublished 发布新版本的网格环境。
ComponentCreated 为给定网格会话创建会话组件。
ComponentDeleted 删除给定网格会话的会话组件。
TemplateCreated 创建新的网格世界/集合模板。
TemplateDeleted 删除网格世界模板内容和元数据。
TemplateUpdated 更新现有的网格世界/集合模板。
WorldCreated 创建网格世界/集合。
WorldDeleted 删除网格世界/集合。
WorldUpdated 更新网格世界/集合。
WorldMembersAdded 将成员添加到网格世界/集合。
WorldOwnersAdded 添加网格世界/集合的所有者。
WorldMembersRemoved 从网格世界/集合中删除成员。
WorldOwnersRemoved 从网格世界/集合中删除所有者。
EnvironmentStorageCreated 为网格环境创建新的存储位置。
SessionMetadataCreated 创建网格世界/集合会话元数据。
SessionMetadataDeleted 删除网格世界/集合会话元数据。
SessionMetadataUpdated 更新网格世界/集合会话元数据。
SessionMetadataTemplateCreated 为 Mesh World/Collection 创建模板自定义项。
SessionEnvironmentSet 设置协作会话的环境。
SessionJoin 网格服务预配了必要的系统资源,并为客户端应用程序提供了加入网格会话所需的信息。

有关这些事件中术语所指的一些说明:

  • 会话:指为环境或会议配置某些内容时的会话。 审核日志捕获了三种类型的会话:

    • 模板自定义会话:当用户自定义事件模板并在网格应用程序中保存更改时,将捕获日志。
    • 事件自定义会话:当用户自定义单个事件并在网格应用程序中保存更改时,将捕获日志。
    • 事件会话:发生网格事件时捕获日志。 通常,配置是不可变的,因为组件不能由用户放置在实时事件中,例如。

  • World :指 Web 上网格中的集合。 集合是一个存储桶,用于保存网格事件中使用的环境的环境和模板。 当用户创建集合、删除集合、将成员添加到集合、将所有者添加到集合或从集合中删除所有者时,审核日志捕获。

  • 组件:指在事件、模板或自定义会话的会话启动时在环境中呈现的对象。 如果用户尝试进入环境,组件日志将加载并捕获该环境中的组件。

Microsoft Purview 审核解决方案提供集成解决方案,以帮助组织有效响应安全事件、取证调查、内部调查和合规责任。

Purview 审核日志记录解决方案的先决条件

了解如何开始使用 Microsoft Purview 审核日志记录解决方案

请参阅如何在 purview Microsoft 中搜索审核日志

导出、配置和查看审核日志记录

如何导出、配置和查看审核日志记录