ActorName |
Zeichenfolge |
Der UPN (Benutzerprinzipalname) des Benutzers, der die Aktion ausgeführt hat (in der Eigenschaft "Operation" angegeben), die dazu führte, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name. Beachten Sie, dass Datensätze für Aktivitäten, die von Systemkonten (z. B. SHAREPOINT\System oder NT AUTHORITY\SYSTEM) ausgeführt werden, ebenfalls enthalten sind. In SharePoint wird eine weitere Wertanzeige in der UserId-Eigenschaft app@sharepoint. Dies gibt an, dass der "Benutzer", der die Aktivität ausgeführt hat, eine Anwendung war, die über die erforderlichen Berechtigungen in SharePoint verfügt, um organisationsweite Aktionen (z. B. eine SharePoint-Website oder ein OneDrive-Konto zu durchsuchen) im Namen eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie im app@sharepoint Benutzer in Überwachungsdatensätzen. |
ActorUserId |
Zeichenfolge |
Eine alternative ID für den Benutzer, der in der Eigenschaft „UserId“ identifiziert wird. Beispiel: Diese Eigenschaft wird für Ereignisse, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden, mit der eindeutigen Passport-ID (PUID) aufgefüllt. Diese Eigenschaft kann auch denselben Wert wie die UserID-Eigenschaft für Ereignisse angeben, die in anderen Diensten und Ereignissen auftreten, die von Systemkonten ausgeführt werden. |
ActorUserType |
Zeichenfolge |
Der Typ des Benutzers, der den Vorgang ausgeführt hat. Mögliche Typen sind: Administrator, System, Anwendung, Dienstprinzipal und andere. |
_BilledSize |
real |
Die Datensatzgröße in Bytes. |
EventOriginalType |
Zeichenfolge |
Der Name des Benutzers oder Administrators, der die Aktivität ausgeführt hat. Eine Beschreibung der am häufigsten verwendeten Vorgänge/Aktivitäten finden Sie unter "Durchsuchen des Überwachungsprotokolls" im Office 365 Protection Center. Bei Exchange-Administratoraktivitäten identifiziert diese Eigenschaft den Namen des ausgeführten Cmdlets. Bei Dlp-Ereignissen kann dies "DlpRuleMatch", "DlpRuleUndo" oder "DlpInfo" lauten, die unten unter "DLP-Schema" beschrieben werden. |
EventOriginalUid |
Zeichenfolge |
Eindeutiger Bezeichner eines Überwachungsdatensatzes. |
EventProduct |
Zeichenfolge |
Der Name des Microsoft-Diensts. |
EventVendor |
Zeichenfolge |
Der Name des Anbieterdiensts. |
_IsBillable |
Zeichenfolge |
Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
IsPolicyHit |
bool |
Gibt an, ob es einen Treffer für eine definierte Richtlinie gibt. |
ObjectID |
Zeichenfolge |
Für SharePoint- und OneDrive for Business-Aktivitäten ist der vollständige Pfadname der Datei oder des Ordners, auf die der Benutzer zugegriffen hat. Für die Exchange-Administratorüberwachungsprotokollierung der Name des Objekts, das vom Cmdlet geändert wurde. |
OrganizationId |
Zeichenfolge |
Die GUID des Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation immer gleich, unabhängig vom Office 365-Dienst, in dem er auftritt. |
RecordType |
Zeichenfolge |
Der vom Datensatz angegebene Vorgangstyp. Ausführliche Informationen zu den Typen von Überwachungsprotokolldatensätzen finden Sie in der Tabelle "AuditLogRecordType". |
SourceSystem |
Zeichenfolge |
Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
SRPolicyId |
Zeichenfolge |
Richtlinien-ID. |
SRPolicyName |
Zeichenfolge |
Name der Richtlinie. |
SRRuleMatchDetails |
dynamisch |
Richtlinien-Übereinstimmungen. |
TenantId |
Zeichenfolge |
Die ID des Log Analytics-Arbeitsbereichs. |
TimeGenerated |
datetime |
Das Datum und die Uhrzeit in UTC, zu dem der Benutzer die Aktivität ausgeführt hat. |
type |
Zeichenfolge |
Der Name der Tabelle. |
UserType |
Zeichenfolge |
Der Typ des Benutzers, der den Vorgang ausgeführt hat. |
Workload |
Zeichenfolge |
Der Office 365-Dienst, in dem die Aktivität aufgetreten ist. |