Freigeben über


CommunicationComplianceActivity

Überwachungsprotokolle für die Office-Kommunikationscompliance. Wird für die Überwachung von Richtliniencomplianceverstößen verwendet.

Tabellenattribute

attribute Wert
Ressourcentypen -
Kategorien Sicherheit, Überwachung
Lösungen SecurityInsights
Standardprotokoll No
Erfassungszeittransformation No
Beispielabfragen Ja

Spalten

Spalte Type Beschreibung
ActorName Zeichenfolge Der UPN (Benutzerprinzipalname) des Benutzers, der die Aktion ausgeführt hat (in der Eigenschaft "Operation" angegeben), die dazu führte, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name. Beachten Sie, dass Datensätze für Aktivitäten, die von Systemkonten (z. B. SHAREPOINT\System oder NT AUTHORITY\SYSTEM) ausgeführt werden, ebenfalls enthalten sind. In SharePoint wird eine weitere Wertanzeige in der UserId-Eigenschaft app@sharepoint. Dies gibt an, dass der "Benutzer", der die Aktivität ausgeführt hat, eine Anwendung war, die über die erforderlichen Berechtigungen in SharePoint verfügt, um organisationsweite Aktionen (z. B. eine SharePoint-Website oder ein OneDrive-Konto zu durchsuchen) im Namen eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie im app@sharepoint Benutzer in Überwachungsdatensätzen.
ActorUserId Zeichenfolge Eine alternative ID für den Benutzer, der in der Eigenschaft „UserId“ identifiziert wird. Beispiel: Diese Eigenschaft wird für Ereignisse, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden, mit der eindeutigen Passport-ID (PUID) aufgefüllt. Diese Eigenschaft kann auch denselben Wert wie die UserID-Eigenschaft für Ereignisse angeben, die in anderen Diensten und Ereignissen auftreten, die von Systemkonten ausgeführt werden.
ActorUserType Zeichenfolge Der Typ des Benutzers, der den Vorgang ausgeführt hat. Mögliche Typen sind: Administrator, System, Anwendung, Dienstprinzipal und andere.
_BilledSize real Die Datensatzgröße in Bytes.
EventOriginalType Zeichenfolge Der Name des Benutzers oder Administrators, der die Aktivität ausgeführt hat. Eine Beschreibung der am häufigsten verwendeten Vorgänge/Aktivitäten finden Sie unter "Durchsuchen des Überwachungsprotokolls" im Office 365 Protection Center. Bei Exchange-Administratoraktivitäten identifiziert diese Eigenschaft den Namen des ausgeführten Cmdlets. Bei Dlp-Ereignissen kann dies "DlpRuleMatch", "DlpRuleUndo" oder "DlpInfo" lauten, die unten unter "DLP-Schema" beschrieben werden.
EventOriginalUid Zeichenfolge Eindeutiger Bezeichner eines Überwachungsdatensatzes.
EventProduct Zeichenfolge Der Name des Microsoft-Diensts.
EventVendor Zeichenfolge Der Name des Anbieterdiensts.
_IsBillable Zeichenfolge Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt.
IsPolicyHit bool Gibt an, ob es einen Treffer für eine definierte Richtlinie gibt.
ObjectID Zeichenfolge Für SharePoint- und OneDrive for Business-Aktivitäten ist der vollständige Pfadname der Datei oder des Ordners, auf die der Benutzer zugegriffen hat. Für die Exchange-Administratorüberwachungsprotokollierung der Name des Objekts, das vom Cmdlet geändert wurde.
OrganizationId Zeichenfolge Die GUID des Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation immer gleich, unabhängig vom Office 365-Dienst, in dem er auftritt.
RecordType Zeichenfolge Der vom Datensatz angegebene Vorgangstyp. Ausführliche Informationen zu den Typen von Überwachungsprotokolldatensätzen finden Sie in der Tabelle "AuditLogRecordType".
SourceSystem Zeichenfolge Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose
SRPolicyId Zeichenfolge Richtlinien-ID.
SRPolicyName Zeichenfolge Name der Richtlinie.
SRRuleMatchDetails dynamisch Richtlinien-Übereinstimmungen.
TenantId Zeichenfolge Die ID des Log Analytics-Arbeitsbereichs.
TimeGenerated datetime Das Datum und die Uhrzeit in UTC, zu dem der Benutzer die Aktivität ausgeführt hat.
type Zeichenfolge Der Name der Tabelle.
UserType Zeichenfolge Der Typ des Benutzers, der den Vorgang ausgeführt hat.
Workload Zeichenfolge Der Office 365-Dienst, in dem die Aktivität aufgetreten ist.