| AADGroupId |
Zeichenfolge |
Azure Active Directory-Gruppen-ID |
| AADTarget |
Zeichenfolge |
Der Benutzer, für den die Aktion (durch die Operation-Eigenschaft identifiziert) ausgeführt wurde |
| Aktivität |
Zeichenfolge |
Die Aktivität, die der Benutzer ausgeführt hat. |
| Actor (Schauspieler) |
Zeichenfolge |
Der Benutzer oder Dienstprinzipal, der die Aktion ausgeführt hat |
| ActorContextId |
Zeichenfolge |
Die GUID der Organisation, zu der der Akteur gehört |
| ActorIpAddress |
Zeichenfolge |
Die IP-Adresse des Akteurs im IPV4- oder IPV6-Adressformat |
| AddOnGuid |
Zeichenfolge |
Der eindeutige Bezeichner des Add-Ons, das dieses Ereignis generiert hat |
| AddonName |
Zeichenfolge |
Der Name des Add-Ons, das dieses Ereignis generiert hat |
| AddOnType |
Zeichenfolge |
Der Typ des Add-Ons, das dieses Ereignis generiert hat |
| AffectedItems |
Zeichenfolge |
Informationen zu den einzelnen Elementen in der Gruppe |
| AppDistributionMode |
Zeichenfolge |
Anwendungsverteilungsmodus |
| AppId |
Zeichenfolge |
Anwendungs-ID |
| Application |
Zeichenfolge |
Der Anwendungsname |
| ApplicationId |
Zeichenfolge |
SharePoint-Anwendungs-ID |
| AppPoolName |
Zeichenfolge |
Der Name des App-Pools |
| AzureActiveDirectory_EventType |
Zeichenfolge |
Der Typ des Azure AD-Ereignisses |
| AzureADAppId |
Zeichenfolge |
Azure AD-ID der Microsoft Teams-Anwendung |
| _BilledSize |
real |
Die Datensatzgröße in Bytes. |
| ChannelGuid |
Zeichenfolge |
Ein eindeutiger Bezeichner für den überwachten Kanal |
| ChannelName |
Zeichenfolge |
Der Name des überwachten Kanals |
| ChannelType |
Zeichenfolge |
Der Typ des überwachten Kanals (Standard/Privat) |
| ChatName |
Zeichenfolge |
Der Name des Chats |
| ChatThreadId |
Zeichenfolge |
Die ID des Chatthreads |
| Client |
Zeichenfolge |
Details zum Clientgerät, zum Gerätebetriebssystem und zum Gerätebrowser, der für das Kontoanmeldungsereignis verwendet wurde |
| Client_IPAddress |
Zeichenfolge |
Die IP-Adresse des Geräts, das beim Protokollieren des Vorgangs verwendet wurde |
| ClientAppId |
Zeichenfolge |
Clientanwendungskennung |
| ClientInfoString |
Zeichenfolge |
Informationen zum E-Mail-Client, der zum Ausführen des Vorgangs verwendet wurde |
| ClientIP |
Zeichenfolge |
Die IP-Adresse des Geräts, das beim Protokollieren der Aktivität verwendet wurde |
| ClientMachineName |
Zeichenfolge |
Der Computername, der den Outlook-Client hosten soll |
| ClientProcessName |
Zeichenfolge |
Der E-Mail-Client, der für den Zugriff auf das Postfach verwendet wurde |
| ClientVersion |
Zeichenfolge |
Die Version des E-Mail-Clients |
| CommunicationType |
Zeichenfolge |
Die Art der Kommunikation, die durchgeführt wurde |
| CrossMailboxOperations |
bool |
Gibt an, ob der Vorgang mehrere Postfächer umfasst. |
| CustomEvent |
Zeichenfolge |
Optionale Zeichenfolge für benutzerdefinierte Ereignisse |
| DataCenterSecurityEventType |
int |
Der Typ des Dmdlet-Ereignisses im Sperrfeld |
| DestFolder |
Zeichenfolge |
Der Zielordner |
| DestinationFileExtension |
Zeichenfolge |
Die Dateierweiterung einer Datei, die kopiert oder verschoben wird |
| DestinationFileName |
Zeichenfolge |
Der Name der Datei, die kopiert oder verschoben wird |
| DestinationRelativeUrl |
Zeichenfolge |
Die URL des Zielordners, in den eine Datei kopiert oder verschoben wird |
| DestMailboxId |
Zeichenfolge |
Nur festgelegt, wenn der Parameter CrossMailboxOperations true ist |
| DestMailboxOwnerMasterAccountSid |
Zeichenfolge |
Nur festgelegt, wenn der Parameter CrossMailboxOperations true ist |
| DestMailboxOwnerSid |
Zeichenfolge |
Nur festgelegt, wenn der Parameter CrossMailboxOperations true ist |
| DestMailboxOwnerUPN |
Zeichenfolge |
Nur festgelegt, wenn der Parameter CrossMailboxOperations true ist |
| EffectiveOrganization |
Zeichenfolge |
Der Name des Mandanten, auf den die Erhöhung/das Cmdlet ausgerichtet war |
| ElevationApprovedTime |
datetime |
Der Zeitstempel für den Zeitpunkt der Genehmigung der Rechteerweiterung |
| ElevationApprover |
Zeichenfolge |
Der Name eines Microsoft-Managers |
| ElevationDuration |
int |
Die Dauer, für die die Erhöhung aktiv war (in Stunden) |
| ElevationRequestId |
Zeichenfolge |
Ein eindeutiger Bezeichner für die Rechteerweiterungsanforderung |
| ElevationRole |
Zeichenfolge |
Die Rolle, für die die Rechteerweiterung angefordert wurde |
| ElevationTime |
datetime |
Die Startzeit der Erhöhung |
| Event_Data |
Zeichenfolge |
Optionale Nutzlast für benutzerdefinierte Ereignisse |
| EventSource |
Zeichenfolge |
Gibt an, dass in SharePoint ein Ereignis aufgetreten ist. Mögliche Werte sind SharePoint oder ObjectModel |
| ExtendedProperties |
Zeichenfolge |
Die erweiterten Eigenschaften des Azure AD-Ereignisses |
| ExternalAccess |
Zeichenfolge |
Gibt an, ob das Cmdlet von einem Benutzer in Ihrer Organisation ausgeführt wurde. |
| ExtraProperties |
dynamisch |
Eine Liste mit zusätzlichen Eigenschaften |
| Ordner |
Zeichenfolge |
Der Ordner, in dem sich eine Gruppe von Elementen befindet |
| Ordner |
Zeichenfolge |
Informationen zu den Quellordnern, die an einem Vorgang beteiligt sind |
| GenericInfo |
Zeichenfolge |
Wird für Kommentare und andere allgemeine Informationen verwendet |
| InternalLogonType |
int |
Reserviert für die interne Verwendung |
| InterSystemsId |
Zeichenfolge |
Die GUID, die die Aktionen über Komponenten innerhalb des Office 365-Diensts hinweg nachverfolgt |
| IntraSystemId |
Zeichenfolge |
Die GUID, die von Azure Active Directory generiert wird, um die Aktion nachzuverfolgen |
| _IsBillable |
Zeichenfolge |
Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| IsManagedDevice |
bool |
Gibt an, ob der Vorgang von einem Gerät erstellt wurde, das von der Organisation verwaltet wird. |
| IssuedAtTime |
datetime |
"Ausgestellt bei" wird festgelegt, ob das Microsoft Entra-Token für die Anforderung verfügbar ist und angibt, wann die Authentifizierung für dieses Microsoft Entra-Token aufgetreten ist. |
| Artikel |
Zeichenfolge |
Stellt das Element dar, für das der Vorgang ausgeführt wurde. |
| Artikelname |
Zeichenfolge |
Die Zeichenfolge im Feld "Betreff" der E-Mail-Nachricht |
| ItemType |
Zeichenfolge |
Der Typ des Objekts, auf das zugegriffen wurde oder das geändert wurde. Details zu den Objekttypen finden Sie in der ItemType-Tabelle. |
| LoginStatus |
int |
Diese Eigenschaft stammt direkt von „OrgIdLogon.LoginStatus“. Die Zuordnung verschiedener interessanter Anmeldefehler könnte durch Warnungsalgorithmen erfolgen. |
| Logon_Type |
Zeichenfolge |
Gibt den Typ des Benutzers an, der auf das Postfach zugegriffen hat und den protokollierten Vorgang ausgeführt hat. |
| LogonUserDisplayName |
Zeichenfolge |
Der benutzerfreundliche Name des Benutzers, der den Vorgang ausgeführt hat |
| LogonUserSid |
Zeichenfolge |
Die SID des Benutzers, der den Vorgang ausgeführt hat |
| MachineDomainInfo |
Zeichenfolge |
Informationen zu Gerätesynchronisierungsvorgängen |
| MachineId |
Zeichenfolge |
Informationen zu Gerätesynchronisierungsvorgängen |
| MailboxGuid |
Zeichenfolge |
Die Exchange-GUID des Postfachs, auf das zugegriffen wurde |
| MailboxOwnerMasterAccountSid |
Zeichenfolge |
Sid des Hauptkontos des Postfachbesitzerkontos |
| MailboxOwnerSid |
Zeichenfolge |
Die SID des Postfachbesitzers |
| MailboxOwnerUPN |
Zeichenfolge |
Die E-Mail-Adresse der Person, die das Postfach besitzt, auf das zugegriffen wurde |
| Member |
dynamisch |
Eine Liste der Benutzer innerhalb eines Teams |
| MessageId |
Zeichenfolge |
Ein Bezeichner für eine Chat- oder Kanalnachricht |
| ModifiedObjectResolvedName |
Zeichenfolge |
Dies ist der benutzerfreundliche Name des Objekts, das vom Cmdlet geändert wurde. |
| ModifiedProperties |
Zeichenfolge |
Die Eigenschaft ist für Administratorereignisse enthalten, z. B. das Hinzufügen eines Benutzers als Mitglied einer Website oder einer Websitesammlungsadministratorgruppe |
| Name |
Zeichenfolge |
Nur für Einstellungsereignisse vorhanden. Name der geänderten Einstellung |
| NewValue |
Zeichenfolge |
Nur für Einstellungsereignisse vorhanden. Neuer Wert der Einstellung |
| OfficeId |
Zeichenfolge |
Eindeutiger Bezeichner eines Überwachungsdatensatzes |
| OfficeObjectId |
Zeichenfolge |
Für SharePoint- und OneDrive for Business-Aktivitäten |
| OfficeTenantId |
Zeichenfolge |
Die Office-Mandanten-ID |
| OfficeWorkload |
Zeichenfolge |
Der Office 365-Dienst, in dem die Aktivität aufgetreten ist |
| OldValue |
Zeichenfolge |
Nur für Einstellungsereignisse vorhanden. Alter Wert der Einstellung |
| Vorgang |
Zeichenfolge |
Der Name des Vorgangs, den der Benutzer ausführt |
| OperationProperties |
dynamisch |
Zusätzliche Vorgangseigenschaften |
| OperationScope |
Zeichenfolge |
Der Bereich, für den der Vorgang ausgeführt wurde |
| OrganizationId |
Zeichenfolge |
Die GUID des Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation immer gleich. |
| OrganizationName |
Zeichenfolge |
Der Name des Mandanten |
| OriginatingServer |
Zeichenfolge |
Der Name des Servers, von dem das Cmdlet ausgeführt wurde |
| Parameter |
Zeichenfolge |
Der Name und Wert für alle Parameter, die mit dem Cmdlet verwendet wurden, das in der Operations-Eigenschaft identifiziert wird |
| RecordType |
Zeichenfolge |
Der vom Datensatz angegebene Vorgangstyp. Ausführliche Informationen zu den Typen von Überwachungsprotokolldatensätzen finden Sie in der Tabelle "AuditLogRecordType" |
| _ResourceId |
Zeichenfolge |
Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
| ResultReasonType |
Zeichenfolge |
Grund für das in ResultType gemeldete Ergebnis |
| ResultStatus |
Zeichenfolge |
Gibt an, ob die Aktion (in der Eigenschaft "Operation" angegeben) erfolgreich war oder nicht. |
| SendAsUserMailboxGuid |
Zeichenfolge |
Die Exchange-GUID des Postfachs, auf das zugegriffen wurde, um E-Mails zu senden als |
| SendAsUserSmtp |
Zeichenfolge |
SMTP-Adresse des Benutzers, der als Identitätswechsel verwendet wird |
| SendonBehalfOfUserMailboxGuid |
Zeichenfolge |
Die Exchange-GUID des Postfachs, auf das zugegriffen wurde, um E-Mails im Auftrag von |
| SendOnBehalfOfUserSmtp |
Zeichenfolge |
SMTP-Adresse des Benutzers, in dessen Auftrag die E-Mail gesendet wird |
| SharingType |
Zeichenfolge |
Der Typ der Freigabeberechtigungen, die dem Benutzer zugewiesen wurden, für den die Ressource freigegeben wurde. Dieser Benutzer wird durch den Parameter "UserSharedWith" identifiziert. |
| Site_ |
Zeichenfolge |
Die GUID der Website, auf die die Datei oder der Ordner, auf die der Benutzer zugegriffen hat, befindet |
| Site_Url |
Zeichenfolge |
Die URL der Website, auf die die Datei oder der Ordner des Benutzers zugegriffen hat |
| Source_Name |
Zeichenfolge |
Die Entität, die den überwachten Vorgang ausgelöst hat. Mögliche Werte sind SharePoint oder ObjectModel |
| SourceFileExtension |
Zeichenfolge |
Die Dateierweiterung der Datei, auf die der Benutzer zugegriffen hat |
| SourceFileName |
Zeichenfolge |
Der Name der Datei oder des Ordners, auf die der Benutzer zugegriffen hat |
| SourceRecordId |
Zeichenfolge |
Eindeutiger Bezeichner eines Überwachungsdatensatzes |
| SourceRelativeUrl |
Zeichenfolge |
Die URL des Ordners, der die Datei enthält, auf die der Benutzer zugegriffen hat |
| SourceSystem |
Zeichenfolge |
Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| SRPolicyId |
Zeichenfolge |
Richtlinien-ID |
| SRPolicyName |
Zeichenfolge |
Richtlinienname |
| SRRuleMatchDetails |
dynamisch |
Regeldetails |
| Start_Time |
datetime |
Datum und Uhrzeit der Ausführung des Cmdlets |
| _SubscriptionId |
Zeichenfolge |
Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
| SupportTicketId |
Zeichenfolge |
Die Ticket-ID des Kundensupports für die Aktion in "act-on-behalf-of"-Situationen |
| TabType |
Zeichenfolge |
Der Typ der Registerkarte, die dieses Ereignis generiert hat |
| TargetContextId |
Zeichenfolge |
Die GUID der Organisation, zu der der benutzerorientierte Benutzer gehört |
| TargetUserId |
Zeichenfolge |
Zielbenutzer-ID |
| TargetUserOrGroupName |
Zeichenfolge |
Speichert den UPN oder den Namen des Zielbenutzers oder der Gruppe, für den eine Ressource freigegeben wurde. |
| TargetUserOrGroupType |
Zeichenfolge |
Gibt an, ob der Zielbenutzer oder die Zielgruppe Mitglied, Gast, Gruppe oder Partner ist. |
| TeamGuid |
Zeichenfolge |
Ein eindeutiger Bezeichner für das überwachte Team |
| TeamName |
Zeichenfolge |
Der Name des überwachten Teams |
| TenantId |
Zeichenfolge |
Die ID des Log Analytics-Arbeitsbereichs. |
| TimeGenerated |
datetime |
Datum und Uhrzeit in koordinierter Weltzeit (UTC), wenn der Benutzer die Aktivität ausgeführt hat |
| type |
Zeichenfolge |
Der Name der Tabelle. |
| UniqueTokenId |
Zeichenfolge |
UniqueTokenId wird festgelegt, wenn das Microsoft Entra-Token für die Anforderung verfügbar ist. Es handelt sich um einen eindeutigen, pro Tokenbezeichner, bei dem die Groß-/Kleinschreibung beachtet wird. |
| UserAgent |
Zeichenfolge |
Der Benutzer-Agent |
| UserDomain |
Zeichenfolge |
Die Domäne des Benutzers |
| Benutzer-ID |
Zeichenfolge |
UpN (Benutzerprinzipalname) des Benutzers, der die Aktion ausgeführt hat (in der Eigenschaft "Operation" angegeben), die dazu führte, dass der Datensatz protokolliert wurde |
| UserKey |
Zeichenfolge |
Eine alternative ID für den Benutzer, der in der UserId-Eigenschaft identifiziert wurde |
| UserSharedWith |
Zeichenfolge |
Der Benutzer, für den eine Ressource freigegeben wurde |
| UserType |
Zeichenfolge |
Der Typ des Benutzers, der den Vorgang ausgeführt hat. Details zu den Benutzertypen finden Sie in der UserType-Tabelle. |