| ActorName |
Zeichenfolge |
Der UPN (Benutzerprinzipalname) des Benutzers, der die Aktion ausgeführt hat (in der Eigenschaft "Operation" angegeben), die dazu führte, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name. Beachten Sie, dass Datensätze für Aktivitäten, die von Systemkonten (z. B. SHAREPOINT\System oder NT AUTHORITY\SYSTEM) ausgeführt werden, ebenfalls enthalten sind. In SharePoint wird eine weitere Wertanzeige in der UserId-Eigenschaft app@sharepoint. Dies gibt an, dass der "Benutzer", der die Aktivität ausgeführt hat, eine Anwendung war, die über die erforderlichen Berechtigungen in SharePoint verfügt, um organisationsweite Aktionen (z. B. eine SharePoint-Website oder ein OneDrive-Konto zu durchsuchen) im Namen eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie im app@sharepoint Benutzer in Überwachungsdatensätzen. |
| ActorUserId |
Zeichenfolge |
Eine alternative ID für den Benutzer, der in der Eigenschaft „UserId“ identifiziert wird. Beispiel: Diese Eigenschaft wird für Ereignisse, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden, mit der eindeutigen Passport-ID (PUID) aufgefüllt. Diese Eigenschaft kann auch denselben Wert wie die UserID-Eigenschaft für Ereignisse angeben, die in anderen Diensten und Ereignissen auftreten, die von Systemkonten ausgeführt werden. |
| ActorUserType |
Zeichenfolge |
Der Typ des Benutzers, der den Vorgang ausgeführt hat. Mögliche Typen sind: Admin, System, Application, Service Principal und Other. |
| _BilledSize |
real |
Die Datensatzgröße in Bytes. |
| EventOriginalType |
Zeichenfolge |
Der Name der Benutzer- oder Administratoraktivität, die die Aktivität ausgeführt hat. Eine Beschreibung der am häufigsten verwendeten Vorgänge/Aktivitäten finden Sie unter "Durchsuchen des Überwachungsprotokolls" im Office 365 Protection Center. Bei Exchange-Administratoraktivitäten identifiziert diese Eigenschaft den Namen des ausgeführten Cmdlets. Bei Dlp-Ereignissen kann dies "DlpRuleMatch", "DlpRuleUndo" oder "DlpInfo" lauten, die unten unter "DLP-Schema" beschrieben werden. |
| EventOriginalUid |
Zeichenfolge |
Eindeutiger Bezeichner eines Überwachungsdatensatzes. |
| EventProduct |
Zeichenfolge |
Der Name des Microsoft-Diensts. |
| EventResult |
Zeichenfolge |
Gibt an, ob die Aktion (angegeben in der Eigenschaft „Operation“) erfolgreich war oder nicht. Mögliche Werte sind „Succeeded“, „PartiallySucceeded“ oder „Failed“. |
| EventVendor |
Zeichenfolge |
Der Name des Anbieterdiensts. |
| _IsBillable |
Zeichenfolge |
Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| ObjectID |
Zeichenfolge |
Für SharePoint- und OneDrive for Business-Aktivitäten ist der vollständige Pfadname der Datei oder des Ordners, auf die der Benutzer zugegriffen hat. Für die Exchange-Administratorüberwachungsprotokollierung der Name des Objekts, das vom Cmdlet geändert wurde. |
| OnBehalfOfResId |
Zeichenfolge |
Die Ressourcen-ID, für die die Aktion ausgeführt wurde. |
| OrganizationId |
Zeichenfolge |
Die GUID des Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation immer gleich, unabhängig vom Office 365-Dienst, in dem er auftritt. |
| ProjectAction |
Zeichenfolge |
Die ausgeführte Projektaktion. |
| ProjectEntity |
Zeichenfolge |
Die Projektentität, für die die Überwachung durchgeführt wurde. |
| RecordType |
Zeichenfolge |
Der vom Datensatz angegebene Vorgangstyp. Ausführliche Informationen zu den Typen von Überwachungsprotokolldatensätzen finden Sie in der Tabelle "AuditLogRecordType". |
| `Scope` |
Zeichenfolge |
Ereignis kann von einem gehosteten Office 365-Dienst oder einem lokalen Server erstellt werden. Mögliche Werte sind online und onprem. Beachten Sie, dass SharePoint die einzige Arbeitsauslastung ist, die derzeit Ereignisse von der lokalen Bereitstellung an Office 365 sendet. |
| SourceSystem |
Zeichenfolge |
Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| SrcIpAddr |
Zeichenfolge |
Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse für eine vertrauenswürdige Anwendung (z. B. Office im Web Apps), die den Dienst im Namen eines Benutzers aufruft und nicht die IP-Adresse des Geräts, das von der Person verwendet wird, die die Aktivität ausgeführt hat. Außerdem wird bei Azure Active Directory-bezogenen Ereignissen die IP-Adresse nicht protokolliert, und der Wert für die ClientIP-Eigenschaft ist NULL. |
| TenantId |
Zeichenfolge |
Die ID des Log Analytics-Arbeitsbereichs. |
| TimeGenerated |
datetime |
Das Datum und die Uhrzeit in UTC, zu dem der Benutzer die Aktivität ausgeführt hat. |
| type |
Zeichenfolge |
Der Name der Tabelle. |
| UserType |
Zeichenfolge |
Der Typ des Benutzers, der den Vorgang ausgeführt hat. |
| Workload |
Zeichenfolge |
Der Office 365-Dienst, in dem die Aktivität aufgetreten ist. |