Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Журналы аудита соответствия требованиям по коммуникации в Office. Используется для мониторинга нарушения соответствия политике.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность, аудит |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время загрузки | Нет |
| Примеры запросов | Да |
Столбцы
| Колонка | Тип | Описание |
|---|---|---|
| Имя актёра | строка | Имя пользователя (User Principal Name, UPN), который выполнил действие (указанное в свойстве Operation), в результате которого запись была зарегистрирована; например, my_name@my_domain_name. Обратите внимание, что записи для действий, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM), также включаются. В SharePoint в свойстве UserId отображается другое значение: app@sharepoint. Это означает, что пользователь, выполняющий действие, был приложением, которое имеет необходимые разрешения в SharePoint для выполнения действий на уровне организации (например, поиска на сайте SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в записях аудита у пользователя app@sharepoint. |
| ActorUserId | строка | Альтернативный идентификатор пользователя, определенного в свойстве UserId. Например, значение этого свойства может заполняться уникальным идентификатором Passport (PUID) для событий, выполняемых пользователями в SharePoint, OneDrive для бизнеса и Exchange. Это свойство также может указать то же значение, что и свойство UserID для событий, происходящих в других службах и событиях, выполняемых системными учетными записями. |
| ТипПользователяАктера | строка | Тип пользователя, выполнившего операцию. Возможные типы включают: Администратор, Система, Приложение, Сервисный принципал и Другие. |
| _BilledSize | реальный | Размер записи в байтах |
| ОригинальныйТипСобытия | строка | Имя пользователя или администратора, выполняющего действие. Описание наиболее распространенных операций и действий см. в разделе "Поиск журнала аудита" в Центре защиты Office 365. Для действий администратора Exchange это свойство определяет имя выполняемого командлета. Для событий DLP это может быть "DlpRuleMatch", "DlpRuleUndo" или "DlpInfo", которые описаны ниже в разделе "Схема DLP". |
| СобытиеOriginalUid | строка | Уникальный идентификатор записи аудита. |
| EventProduct | строка | Имя службы Майкрософт. |
| EventVendor | строка | Имя службы поставщика. |
| _IsBillable | строка | Указывает, является ли поглощение данных платным. Если _IsBillable false, прием данных не оплачивается с вашего счета Azure. |
| IsPolicyHit | bool | Указывает, есть ли попадание в определенную политику. |
| ИдентификаторОбъекта | строка | Для активности в SharePoint и OneDrive для бизнеса полное имя пути файла или папки, к которому обращается пользователь. Для журналов аудита администратора Exchange указывается имя объекта, который был изменён командлетом. |
| ИдентификаторОрганизации | строка | Идентификатор GUID для клиента Office 365 организации. Это значение для вашей организации всегда будет одинаковым независимо от службы Office 365, в которой оно встречается. |
| ТипЗаписи | строка | Тип операции, указанной записью. Дополнительные сведения о типах записей журнала аудита см. в таблице AuditLogRecordType. |
| SourceSystem | строка | Тип агента, который собрал событие. Например, OpsManager для агента Windows прямого подключения или Operations Manager, Linux для всех агентов Linux, или Azure для Azure Diagnostics |
| SRPolicyId | строка | Идентификатор политики. |
| ПолитикаSR | строка | Название политики |
| SRRuleMatchDetails | динамичный | Совпадения политики. |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | дата и время | Дата и время в формате UTC, когда пользователь выполнил действие. |
| Тип | строка | Имя таблицы. |
| ТипПользователя | строка | Тип пользователя, выполнившего операцию. |
| Рабочая нагрузка | строка | Служба Office 365, в которой произошло действие. |