Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Журналы аудита для арендаторов Office 365, собираемые Azure Sentinel. Включая журналы Exchange, SharePoint и Teams.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | Azure Sentinel (частная предварительная версия), Security Insights |
| Базовый журнал | Нет |
| Преобразование во время загрузки | Да |
| Примеры запросов | Да |
Столбцы
| Столбец | Тип | Описание |
|---|---|---|
| AADGroupId | строка | Идентификатор группы Azure Active Directory |
| AADTarget | строка | Пользователь, на который было выполнено действие (определяемое свойством Operation) |
| Действие (Activity) | строка | Действие, которое выполнил пользователь. |
| Субъект | строка | Пользователь или служебный принципал, совершившие действие |
| Идентификатор контекста актера | строка | GUID организации, которой принадлежит участник |
| IP-адрес актора | строка | IP-адрес субъекта в формате IPV4 или IPV6 |
| AddOnGuid | строка | Уникальный идентификатор создаваемой надстройки этого события |
| AddonName | строка | Название дополнения, которое сгенерировало это событие |
| ТипДополнения | строка | Тип надстройки, сгенерировавшей это событие |
| Затронутые элементы | строка | Сведения о каждом элементе в группе |
| Контекст доступа к приложению | динамический | Контекст приложения для пользователя или субъекта-службы, выполняющего действие. |
| Режим распространения приложения | строка | Режим распространения приложений |
| AppId | строка | Идентификатор приложения |
| Приложение | строка | Имя приложения |
| ApplicationId | строка | Идентификатор приложения SharePoint |
| ИмяПулаПриложений | строка | Имя пула приложений |
| ArtifactsShared | динамический | Артефакты, к которым предоставлен доступ в собрании. |
| Участники | динамический | Список участников собрания. |
| AzureActiveDirectory_ТипСобытия | строка | Тип события Azure AD |
| AzureADAppId | строка | Идентификатор Azure AD для приложения Microsoft Teams |
| _BilledSize (Размер счета) | реальный | Размер записи в байтах |
| ChannelGuid | строка | Уникальный идентификатор для проверяемого канала |
| НазваниеКанала | строка | Имя проверяемого канала |
| ТипКанала | строка | Тип аудита канала (стандартный или частный) |
| Имя чата | строка | Имя чата |
| ChatThreadId | строка | Идентификатор потока чата |
| Клиент | строка | Сведения о клиентском устройстве, ОС устройства и браузере устройств, который использовался для события входа учетной записи |
| IP-адрес_клиента | строка | IP-адрес устройства, который использовался при регистрации операции |
| ClientAppId | строка | Идентификатор клиентского приложения |
| ClientInfoString | строка | Сведения о клиенте электронной почты, который использовался для выполнения операции |
| IP клиента | строка | IP-адрес устройства, который использовался при регистрации действия |
| ИмяКлиентскойМашины | строка | Имя компьютера, на котором размещен клиент Outlook |
| ClientProcessName | строка | Клиент электронной почты, используемый для доступа к почтовому ящику |
| Версия клиента | строка | Версия клиента электронной почты |
| Тип коммуникации | строка | Тип коммуникаций, проведенных |
| CrossMailboxOperations | булевая переменная (bool) | Указывает, связана ли операция с несколькими почтовыми ящиками |
| Кастомное событие (CustomEvent) | строка | Необязательная строка для пользовательских событий |
| ТипСобытияБезопасностиЦентраДанных | INT | Тип события dmdlet в поле блокировки |
| DestFolder | строка | Целевая папка |
| DestinationFileExtension | строка | Расширение файла, скопированного или перемещенного |
| Имя файла назначения | строка | Имя файла, скопированного или перемещаемого |
| DestinationRelativeUrl | строка | URL-адрес целевой папки, в которой копируется или перемещается файл. |
| DestMailboxId | строка | Установка только в том случае, если параметр CrossMailboxOperations имеет значение True |
| ДестМейлбоксОунерМастерАккаунтСид | строка | Установка только в том случае, если параметр CrossMailboxOperations имеет значение True |
| DestMailboxOwnerSid | строка | Установка только в том случае, если параметр CrossMailboxOperations имеет значение True |
| DestMailboxOwnerUPN | строка | Установка только в том случае, если параметр CrossMailboxOperations имеет значение True |
| Информация об устройстве | строка | Сведения об устройстве пользователя. |
| Эффективная организация | строка | Имя арендатора, к которому адресованы повышение или командлет. |
| Время_подтверждения_высоты | Дата и время | Метка времени утверждения повышения уровня |
| Диспетчер повышения | строка | Имя руководителя Майкрософт |
| Продолжительность поднятия | INT | Длительность активного периода повышения (в часах) |
| ElevatorRequestId | строка | Уникальный идентификатор запроса на повышение уровня |
| Роль высоты | строка | Роль, для которой было запрошено повышение уровня доступа |
| Время возвышения | Дата и время | Время начала повышения высоты |
| Данные_события | строка | Необязательная нагрузка для пользовательских событий |
| ИсточникСобытий | строка | Указывает, что событие произошло в SharePoint. Возможные значения: SharePoint или ObjectModel |
| РасширенныеСвойства | строка | Расширенные свойства события Azure AD |
| Внешний доступ | строка | Указывает, был ли командлет запущен пользователем в организации. |
| ДополнительныеСвойства | динамический | Список дополнительных свойств |
| Папка | строка | Папка, в которой находится группа элементов |
| Папки | строка | Сведения об исходных папках, участвующих в операции |
| GenericInfo | строка | Используется для комментариев и других универсальных сведений |
| ВнутреннийТипАвторизации | INT | Зарезервировано для внутреннего использования |
| InterSystemsId | строка | GUID, отслеживающий действия между компонентами в службе Office 365 |
| ИнтраСистемныйИдентификатор | строка | GUID, созданный службой Azure Active Directory для отслеживания действия |
| _ЯвляетсяОплачиваемым | строка | Указывает, можно ли выставлять счета за прием данных. Когда _IsBillable false, обработка данных не учитывается в вашей учетной записи Azure. |
| Присоединился из лобби | булевая переменная (bool) | Указывает, присоединяется ли пользователь из лобби. |
| УправляемоеУстройство? | булевая переменная (bool) | Указывает, была ли операция создана устройством, управляемым организацией |
| Товар | строка | Представляет элемент, в отношении которого выполнялась операция. |
| Название товара | строка | Строка в поле темы сообщения электронной почты |
| Тип элемента | строка | Тип объекта, к которому осуществлялся доступ или который был изменен. Дополнительные сведения о типах объектов см. в таблице ItemType |
| JoinTime | Дата и время | Время присоединения пользователя к собранию. |
| Время отпуска | Дата и время | Время, когда пользователь покинул собрание. |
| ListItemUniqueId | строка | GUID уникально идентифицируемого элемента списка. Эта информация представлена только в том случае, если она применима. |
| Статус входа | INT | Это свойство получается непосредственно из параметра OrgIdLogon.LoginStatus. Сопоставление различных интересных сбоев входа можно сделать с помощью алгоритмов оповещения |
| Тип_Входа | строка | Указывает тип пользователя, который получил доступ к почтовому ящику и выполнил операцию, которая была зарегистрирована. |
| ИмяПользователяВхода | строка | Удобочитаемое имя пользователя, выполнившего операцию |
| ЛогонЮзерСид | строка | Идентификатор безопасности пользователя, выполнившего операцию |
| MachineDomainInfo | строка | Сведения об операциях синхронизации устройств |
| Идентификатор машины | строка | Сведения об операциях синхронизации устройств |
| MailboxGuid | строка | GUID Exchange почтового ящика, к которому был доступ |
| MailboxOwnerMasterAccountSid | строка | Идентификатор безопасности главной учетной записи владельца почтового ящика |
| Идентификатор владельца почтового ящика (SID) | строка | Идентификатор безопасности владельца почтового ящика |
| UPN владельца почтового ящика | строка | Адрес электронной почты пользователя, которому принадлежит почтовый ящик, к которому был доступ. |
| ИдентификаторДеталейВстречи | строка | Идентификатор сведений о собрании. |
| Участники | динамический | Список пользователей в команде |
| ИдентификаторСообщения | строка | Идентификатор сообщения чата или канала |
| ИзмененноеИмяРазрешенногоОбъекта | строка | Это понятное имя объекта, измененного командлетом. |
| ИзмененныеСвойства | строка | Свойство включается для событий администратора, таких как добавление пользователя в качестве члена сайта или группы администрирования семейства веб-сайтов. |
| Имя. | строка | Присутствует только для событий параметров. Имя измененного параметра |
| Новое значение | строка | Присутствует только для событий параметров. Новое значение параметра |
| OfficeId | строка | Уникальный идентификатор записи аудита |
| ИдентификаторОбъектаOffice | строка | Для действий в SharePoint и OneDrive для бизнеса |
| Идентификатор арендатора офиса | строка | Идентификатор клиента Office |
| Рабочая нагрузка офиса | строка | Служба Office 365, в которой произошло действие |
| Старое значение | строка | Присутствует только для событий параметров. Старое значение параметра |
| Операция | строка | Имя операции, выполняемой пользователем |
| OperationProperties | динамический | Дополнительные свойства операции |
| Область операции | строка | Область выполнения операции |
| идентификатор организации | строка | Идентификатор GUID для клиента Office 365 организации. Это значение всегда будет одинаковым для вашей организации. |
| Имя организации | строка | Имя клиента |
| Сервер-источник | строка | Имя сервера, с которого был выполнен командлет. |
| Параметры | строка | Имя и значение всех параметров, которые использовались с командлетом, указанным в свойстве Operations |
| Тип записи | строка | Тип операции, указанной записью. Дополнительные сведения о типах записей журнала аудита см. в таблице AuditLogRecordType |
| _ResourceId (идентификатор ресурса) | строка | Уникальный идентификатор ресурса, с которым связана запись. |
| ТипПричиныРезультата | строка | Причина результата, сообщаемого в ResultType |
| СтатусРезультата | строка | Указывает, успешно ли выполнено действие (указанное в свойстве Operation) |
| ОтправитьКакПользовательскийПочтовыйЯщикGuid | строка | GUID Exchange почтового ящика, к которому был доступ для отправки электронной почты в качестве |
| ОтправитьКакПользовательSMTP | строка | SMTP-адрес пользователя, который имитируется |
| ОтправитьОтИмениПользователяПочтовыйЯщикGuid | строка | GUID Exchange почтового ящика, к которому был доступ для отправки почты от имени |
| ОтправкаОтИмениПользователяSMTP | строка | SMTP-адрес пользователя, от имени которого отправляется сообщение электронной почты |
| СенситивитиЛейблАйди | строка | Текущий ID метки конфиденциальности файла. |
| Тип совместного использования | строка | Тип разрешений на совместное использование, назначенных пользователю, которому был предоставлен доступ к ресурсу. Этот пользователь определяется параметром UserSharedWith |
| Сайт_ | строка | GUID сайта, на котором пользователь получил доступ к файлу или папке |
| Адрес_Сайта | строка | URL адрес сайта, на котором находится файл или папка, к которому пользователь получил доступ. |
| Source_Name | строка | Сущность, которая активировала отслеживаемую операцию. Возможные значения: SharePoint или ObjectModel |
| SourceFileExtension | строка | Расширение файла, к которому обращается пользователь |
| ИмяИсходногоФайла | строка | Имя файла или папки, к которым обращается пользователь |
| SourceRecordId | строка | Уникальный идентификатор записи аудита |
| Относительный URL источника | строка | URL-адрес папки, содержащей файл, к которому обращается пользователь. |
| SourceSystem | строка | Тип агента, который собрал событие. Например, OpsManager для агента Windows с прямым подключением или Operations Manager, Linux для всех агентов Linux, либо Azure для Azure Diagnostics. |
| Identifier SRPolicy (Идентификатор SRPolicy) | строка | Идентификатор политики |
| ПолитикаSR | строка | Имя политики |
| SRRuleMatchDetails | динамический | Сведения о правиле |
| Время_начала | Дата и время | Дата и время, когда был выполнен командлет |
| _SubscriptionId (идентификатор подписки) | строка | Уникальный идентификатор подписки, с которой связана запись |
| SupportTicketId | строка | Идентификатор запроса в службу поддержки клиентов для действия в ситуациях "от имени" |
| тип вкладки | строка | Тип вкладки, создающей это событие |
| ИдентификаторЦелевогоКонтекста | строка | GUID организации, к которой принадлежит целевой пользователь |
| ИдентификаторЦелевогоПользователя | строка | Идентификатор целевого пользователя |
| ИмяЦелевогоПользователяИлиГруппы | строка | Сохраняет имя участника-пользователя или группы, с которым был предоставлен общий доступ к ресурсу. |
| ТипЦелиПользователяИлиГруппы | строка | Определяет, является ли целевой пользователь или группа участником, гостем, группой или партнером. |
| ТимГид | строка | Уникальный идентификатор для проверяемой команды |
| Имя команды | строка | Имя проверяемой команды |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| Время генерации | Дата и время | Дата и время в формате UTC, когда пользователь выполнил действие. |
| Тип | строка | Имя таблицы. |
| UniqueSharingId | строка | Уникальный ID общего доступа, связанный с операцией общего доступа. |
| Агент пользователя | строка | Агент пользователя |
| Пользовательский домен | строка | Домен пользователя |
| UserId | строка | Имя участника-пользователя (имя участника-пользователя), выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи. |
| КлючПользователя | строка | Альтернативный идентификатор пользователя, определенный в свойстве UserId |
| UserSharedWith | строка | Пользователь, которому предоставлен общий доступ к ресурсу |
| ТипПользователя | строка | Тип пользователя, выполнившего операцию. Дополнительные сведения о типах пользователей см. в таблице UserType |