Freigeben über


auditLogQuery erstellen

Namespace: microsoft.graph.security

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Erstellen Sie ein neues auditLogQuery-Objekt .

Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.

Weltweiter Service US Government L4 US Government L5 (DOD) China, betrieben von 21Vianet

Berechtigungen

Auf Überwachungsdaten kann über Microsoft Purview Audit Such-API über die folgenden Berechtigungen zugegriffen werden, die auf microsoft 365-Dienstebene klassifiziert sind. Weitere Informationen, unter anderem zur Auswahl von Berechtigungen, finden Sie unter Berechtigungen.

Microsoft 365-Dienst Delegiert (Geschäfts-, Schul- oder Unikonto) Delegiert (persönliches Microsoft-Konto) Anwendung
Microsoft OneDrive AuditLogsQuery-OneDrive.Read.All Nicht unterstützt AuditLogsQuery-OneDrive.Read.All
Microsoft Exchange AuditLogsQuery-Exchange.Read.All Nicht unterstützt AuditLogsQuery-Exchange.Read.All
Microsoft SharePoint AuditLogsQuery-SharePoint.Read.All Nicht unterstützt AuditLogsQuery-SharePoint.Read.All
Schutz vor Datenverlust für Endpunkt AuditLogsQuery-Endpoint.Read.All Nicht unterstützt AuditLogsQuery-Endpoint.Read.All
Microsoft Dynamics CRM AuditLogsQuery-CRM.Read.All Nicht unterstützt AuditLogsQuery-CRM.Read.All
Microsoft Entra AuditLogsQuery-Entra.Read.All Nicht unterstützt AuditLogsQuery-Entra.Read.All
Alle Überwachungsprotokolle AuditLogsQuery.Read.All Nicht unterstützt AuditLogsQuery.Read.All

HTTP-Anforderung

POST /security/auditLog/queries

Anforderungsheader

Name Beschreibung
Authorization Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung.
Content-Type application/json. Erforderlich.

Anforderungstext

Geben Sie im Anforderungstext eine JSON-Darstellung des auditLogQuery-Objekts an.

Sie können die folgenden Eigenschaften angeben, wenn Sie eine auditLogQuery erstellen.

Eigenschaft Typ Beschreibung
displayName Zeichenfolge Anzeigename für die gespeicherte Überwachungsprotokollabfrage. Optional.
filterStartDateTime DateTimeOffset Startdatum des Datumsbereichs in der Abfrage. Optional.
filterEndDateTime DateTimeOffset Enddatum des Datumsbereichs in der Abfrage. Optional.
recordTypeFilters Sammlung(Zeichenfolge) von microsoft.graph.security.auditLogRecordType Der Vorgangstyp oder die typen, die vom Datensatz angegeben werden. Die möglichen Werte sind: exchangeAdmin, exchangeItem, , sharePointexchangeItemGroup, , sharePointFileOperationsyntheticProbeoneDriveazureActiveDirectoryazureActiveDirectoryAccountLogondataCenterSecurityCmdletcomplianceDLPSharePointswaycomplianceDLPExchangesharePointSharingOperationazureActiveDirectoryStsLogonskypeForBusinessPSTNUsageskypeForBusinessUsersBlockedsecurityComplianceCenterEOPCmdletexchangeAggregatedOperationpowerBIAuditcrmyammerskypeForBusinessCmdletsdiscoverymicrosoftTeamsthreatIntelligencemailSubmissionmicrosoftFlowaeDmicrosoftStreamcomplianceDLPSharePointClassificationthreatFinderprojectsharePointListOperationsharePointCommentOperationdataGovernancekaizalasecurityComplianceAlertsthreatIntelligenceUrlsecurityComplianceInsightsmipLabelworkplaceAnalyticspowerAppsApppowerAppsPlanthreatIntelligenceAtpContentlabelContentExplorerteamsHealthcareexchangeItemAggregatedhygieneEventdataInsightsRestApiAuditinformationBarrierPolicyApplicationsharePointListItemOperationsharePointContentTypeOperationsharePointFieldOperationmicrosoftTeamsAdminhrSignalmicrosoftTeamsDevicemicrosoftTeamsAnalyticsinformationWorkerProtectioncampaigndlpEndpoint, airInvestigation, , microsoftFormsquarantine, applicationAudit, complianceSupervisionExchange, onPremisesSharePointScannerDlppowerPlatformAdminDlppowerPlatformAdminEnvironmentwdatpAlertssensitivityLabelPolicyMatchmdatpAuditsensitivityLabelActionsensitivityLabeledFileActionattackSimairManualInvestigationsecurityComplianceRBACsearchairAdminActionInvestigationuserTrainingmsticphysicalBadgingSignalteamsEasyApprovalsaipDiscoveraipSensitivityLabelActioncortanaBriefingaipFileDeletedaipProtectionActionaipHeartBeatmcasAlertsonPremisesFileShareScannerDlpmipExactDataMatchcomplianceDLPEndpointcomplianceDLPExchangeClassificationmsdeResponseActionssecurityComplianceUserChangemyAnalyticsSettingslabelAnalyticsAggregatemsdeGeneralSettingsprivacyDataMinimizationsharePointSearchexchangeSearchmsdeIndicatorsSettingsmipAutoLabelExchangeItemmicrosoftTeamsShiftsmipAutoLabelSimulationCompletionmapgRemediationmipAutoLabelSimulationProgressmsdeRolesSettingsmapgAlertsmapgPolicymipAutoLabelProgressFeedbackmipAutoLabelSharePointPolicyLocationprivacyRemediationActionms365DCustomDetectionsecureScoreprivacyDigestEmailcustomerKeyServiceEncryptionofficeNativemipAutoLabelSharePointItemdlpSensitiveInformationType, mipAutoLabelSimulationStatistics, , microsoft365GrouplargeContentMetadata, cdpMlInferencingResult, filteringMailMetadatacdpClassificationMailItemcdpClassificationDocumentofficeScriptsRunActionfilteringPostMailDeliveryActioncdpUnifiedFeedbacktenantAllowBlockListconsumptionResourcehealthcareSignaldlpImportResultcdpCompliancePolicyExecutionmultiStageDispositionprivacyDataMatchfilteringDocMetadatafilteringEmailFeaturespowerBIDlpfilteringUrlInfofilteringAttachmentInfocoreReportingSettingscomplianceConnectorpowerPlatformLockboxResourceAccessRequestpowerPlatformLockboxResourceCommandcdpPredictiveCodingLabelcdpCompliancePolicyUserFeedbackwebpageActivityEndpointomePortalcmImprovementActionChangefilteringUrlClickmipLabelAnalyticsAuditRecordfilteringEntityEventfilteringRuleHitsfilteringMailSubmissionlabelExplorermicrosoftManagedServicePlatformpowerPlatformServiceActivityscorePlatformGenericAuditRecordfilteringTimeTravelDocMetadataalertalertStatusalertIncidentincidentStatuscasecaseInvestigationrecordsManagementprivacyRemediationdataShareOperationcdpDlpSensitiveehrConnectorfilteringMailGradingResultpublicFolderprivacyTenantAuditHistoryRecord, aipScannerDiscoverEvent, , m365ComplianceConnectoreduDataLakeDownloadOperation, microsoftGraphDataConnectOperation, microsoftPurviewfilteringEmailContentFeaturespowerPagesSitepowerAppsResourceplannerPlanplannerCopyPlanplannerTaskplannerRosterplannerPlanListplannerTaskListplannerTenantSettingsprojectForTheWebProjectprojectForTheWebTaskprojectForTheWebRoadmapprojectForTheWebRoadmapItemprojectForTheWebProjectSettingsprojectForTheWebRoadmapSettingsquarantineMetadatamicrosoftTodoAudittimeTravelFilteringDocMetadatateamsQuarantineMetadatasharePointAppPermissionOperationmicrosoftTeamsSensitivityLabelActionfilteringTeamsMetadatafilteringTeamsUrlInfofilteringTeamsPostDeliveryActionmdcAssessmentsmdcRegulatoryComplianceStandardsmdcRegulatoryComplianceControlsmdcRegulatoryComplianceAssessmentsmdcSecurityConnectorsmdaDataSecuritySignalvivaGoalsfilteringRuntimeInfoattackSimAdminmicrosoftGraphDataConnectConsentfilteringAtpDetonationInfoprivacyPortalmanagedTenantsunifiedSimulationMatchedItemunifiedSimulationSummaryupdateQuarantineMetadatams365DSuppressionRulepurviewDataMapOperationfilteringUrlPostClickActionirmUserDefinedDetectionSignalteamsUpdatesplannerRosterSensitivityLabelms365DIncidentfilteringDelistingMetadatacomplianceDLPSharePointClassificationExtended, microsoftDefenderForIdentityAudit, supervisoryReviewDayXInsight, defenderExpertsforXDRAdmin, cdpEdgeBlockedMessage, hostedRpacdpContentExplorerAggregateRecord, cdpHygieneAttachmentInfo, , cdpHygieneSummary, , cdpPostMailDeliveryAction, cdpEmailFeatures, cdpHygieneUrlInfo, cdpUrlClick, filteringDocScan. timeTravelFilteringDocScanunknownFutureValuecdpPackageManagerHygieneEventmapgOnboard Optional.
keywordFilter Zeichenfolge Freitextfeld zum Durchsuchen von nicht indizierten Eigenschaften des Überwachungsprotokolls. Optional.
serviceFilter Zeichenfolge Verweist auf die Workloadeigenschaft im Überwachungsdatensatz. Dies ist der Microsoft-Dienst, in dem die Aktivität aufgetreten ist. Optional.
operationFilters Zeichenfolgensammlung Der Name der Benutzer- oder Verwaltungsaktivität. Eine Beschreibung der am häufigsten verwendeten Vorgänge und Aktivitäten, finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365-Schutzcenter. Optional.
userPrincipalNameFilters Zeichenfolgensammlung Der UPN (Benutzerprinzipalname) des Benutzers, der die Aktion ausgeführt hat (angegeben in der Vorgangseigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name. Optional.
ipAddressFilters String collection Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Optional.
objectIdFilters String collection Für SharePoint- und OneDrive for Business-Aktivitäten der vollständige Pfadname der Datei oder des Ordners, auf die bzw. den der Benutzer zugegriffen hat. Für Exchange-Verwaltungsüberwachungsprotokolle der Name des Objekts, das vom Cmdlet geändert wurde. Optional.
administrativeUnitIdFilters String collection Verwaltungseinheiten, die mit einem Überwachungsprotokolldatensatz gekennzeichnet sind. Optional.
status microsoft.graph.security.auditLogQueryStatus Aktuelle status der Abfrage. Mögliche Werte sind: notStarted, running, succeeded, failed, cancelled, unknownFutureValue. Optional.

Antwort

Bei erfolgreicher Ausführung gibt die Methode einen 201 Created Antwortcode und ein auditLogQuery-Objekt im Antworttext zurück.

Beispiele

Anforderung

Das folgende Beispiel zeigt eine Anfrage.

POST https://graph.microsoft.com/beta/security/auditLog/queries
Content-Type: application/json

{
  "@odata.type": "#microsoft.graph.security.auditLogQuery",
  "displayName": "String",
  "filterStartDateTime": "String (timestamp)",
  "filterEndDateTime": "String (timestamp)",
  "recordTypeFilters": [
    "String"
  ],
  "keywordFilter": "String",
  "serviceFilter": "String",
  "operationFilters": [
    "String"
  ],
  "userPrincipalNameFilters": [
    "String"
  ],
  "ipAddressFilters": [
    "String"
  ],
  "objectIdFilters": [
    "String"
  ],
  "administrativeUnitIdFilters": [
    "String"
  ],
  "status": "String"
}

Antwort

Das folgende Beispiel zeigt die Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 201 Created
Content-Type: application/json

{
  "@odata.type": "#microsoft.graph.security.auditLogQuery",
  "id": "168ec429-084b-a489-90d8-504a87846305",
  "displayName": "String",
  "filterStartDateTime": "String (timestamp)",
  "filterEndDateTime": "String (timestamp)",
  "recordTypeFilters": [
    "String"
  ],
  "keywordFilter": "String",
  "serviceFilter": "String",
  "operationFilters": [
    "String"
  ],
  "userPrincipalNameFilters": [
    "String"
  ],
  "ipAddressFilters": [
    "String"
  ],
  "objectIdFilters": [
    "String"
  ],
  "administrativeUnitIdFilters": [
    "String"
  ],
  "status": "String"
}