Freigeben über


EnrichedMicrosoft365AuditLogs

Diese Tabelle ist Teil des Identitäts- und Netzwerkzugriffs, der angereicherte Microsoft 365-Überwachungsprotokolle enthält. Diese Protokolle können sowohl für richtlinien-, risiko- und datenverkehrsverwaltung genutzt werden, als auch um die Benutzerfreundlichkeit zu überwachen.

Tabellenattribute

attribute Wert
Ressourcentypen -
Kategorien Sicherheits-, Netzwerk-, IT- und Verwaltungstools
Lösungen LogManagement
Standardprotokoll No
Erfassungszeittransformation No
Beispielabfragen -

Spalten

Spalte Type Beschreibung
ActorUserType Zeichenfolge Der Typ des Benutzers, der den Vorgang ausgeführt hat. Mögliche Typen sind: Administrator, System, Anwendung, Dienstprinzipal und andere.
AdditionalProperties dynamisch Zusätzliche Aktivitätsfelder
_BilledSize real Die Datensatzgröße in Bytes.
ClientIp Zeichenfolge Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse für eine vertrauenswürdige Anwendung (z. B. Office im Web Apps), die den Dienst im Namen eines Benutzers aufruft und nicht die IP-Adresse des Geräts, das von der Person verwendet wird, die die Aktivität ausgeführt hat. Außerdem wird bei Azure Active Directory-bezogenen Ereignissen die IP-Adresse nicht protokolliert, und der Wert für die ClientIP-Eigenschaft ist NULL.
DeviceId Zeichenfolge Die ID des Quellgeräts, wie im Datensatz angegeben.
DeviceOperatingSystem Zeichenfolge Der Client, der den Betriebssystemtyp verbindet.
DeviceOperatingSystemVersion Zeichenfolge Die Clientverbindung der Betriebssystemversion.
Kennung Zeichenfolge Eindeutiger Bezeichner eines Überwachungsdatensatzes.
_IsBillable Zeichenfolge Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt.
ObjectID Zeichenfolge Für SharePoint- und OneDrive for Business-Aktivitäten ist der vollständige Pfadname der Datei oder des Ordners, auf die der Benutzer zugegriffen hat. Für die Exchange-Administratorüberwachungsprotokollierung der Name des Objekts, das vom Cmdlet geändert wurde.
Vorgang Zeichenfolge Der Name der Benutzer- oder Administratoraktivität, die die Aktivität ausgeführt hat.
OrganizationId Zeichenfolge Die GUID des Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation immer gleich, unabhängig vom Office 365-Dienst, in dem er auftritt.
RecordType int Der vom Datensatz angegebene Vorgangstyp. Ausführliche Informationen zu den Typen von Überwachungsprotokolldatensätzen finden Sie in der Tabelle "AuditLogRecordType".
ResultStatus Zeichenfolge Gibt an, ob die Aktion (angegeben in der Eigenschaft „Operation“) erfolgreich war oder nicht. Mögliche Werte sind „Succeeded“, „PartiallySucceeded“ oder „Failed“.
SourceIp Zeichenfolge Die IP-Adresse, von der die Verbindung oder Sitzung stammt.
SourceSystem Zeichenfolge Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose
TenantId Zeichenfolge Die ID des Log Analytics-Arbeitsbereichs.
TimeGenerated datetime Das Datum und die Uhrzeit in UTC, zu dem der Benutzer die Aktivität ausgeführt hat.
type Zeichenfolge Der Name der Tabelle.
UniqueTokenId Zeichenfolge Der eindeutige Tokenbezeichner
Benutzer-ID Zeichenfolge Der UPN (Benutzerprinzipalname) des Benutzers, der die Aktion ausgeführt hat (in der Eigenschaft "Operation" angegeben), die dazu führte, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name. Beachten Sie, dass Datensätze für Aktivitäten, die von Systemkonten (z. B. SHAREPOINT\System oder NT AUTHORITY\SYSTEM) ausgeführt werden, ebenfalls enthalten sind. In SharePoint wird eine weitere Wertanzeige in der UserId-Eigenschaft app@sharepoint. Dies gibt an, dass der "Benutzer", der die Aktivität ausgeführt hat, eine Anwendung war, die über die erforderlichen Berechtigungen in SharePoint verfügt, um organisationsweite Aktionen (z. B. eine SharePoint-Website oder ein OneDrive-Konto zu durchsuchen) im Namen eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie im app@sharepoint Benutzer in Überwachungsdatensätzen.
UserKey Zeichenfolge Eine alternative ID für den Benutzer, der in der Eigenschaft „UserId“ identifiziert wird. Beispiel: Diese Eigenschaft wird für Ereignisse, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden, mit der eindeutigen Passport-ID (PUID) aufgefüllt. Diese Eigenschaft kann auch denselben Wert wie die UserID-Eigenschaft für Ereignisse angeben, die in anderen Diensten und Ereignissen auftreten, die von Systemkonten ausgeführt werden.
UserType Zeichenfolge Der Typ des Benutzers, der den Vorgang ausgeführt hat.
Workload Zeichenfolge Der Office 365-Dienst, in dem die Aktivität aufgetreten ist.