auditLogQuery erstellen
Namespace: microsoft.graph.security
Wichtig
Die APIs unter der /beta
Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Erstellen Sie ein neues auditLogQuery-Objekt .
Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.
Weltweiter Service | US Government L4 | US Government L5 (DOD) | China, betrieben von 21Vianet |
---|---|---|---|
✅ | ❌ | ❌ | ❌ |
Berechtigungen
Auf Überwachungsdaten kann über Microsoft Purview Audit Such-API über die folgenden Berechtigungen zugegriffen werden, die auf microsoft 365-Dienstebene klassifiziert sind. Weitere Informationen, unter anderem zur Auswahl von Berechtigungen, finden Sie unter Berechtigungen.
Microsoft 365-Dienst | Delegiert (Geschäfts-, Schul- oder Unikonto) | Delegiert (persönliches Microsoft-Konto) | Anwendung |
---|---|---|---|
Microsoft OneDrive | AuditLogsQuery-OneDrive.Read.All | Nicht unterstützt | AuditLogsQuery-OneDrive.Read.All |
Microsoft Exchange | AuditLogsQuery-Exchange.Read.All | Nicht unterstützt | AuditLogsQuery-Exchange.Read.All |
Microsoft SharePoint | AuditLogsQuery-SharePoint.Read.All | Nicht unterstützt | AuditLogsQuery-SharePoint.Read.All |
Schutz vor Datenverlust für Endpunkt | AuditLogsQuery-Endpoint.Read.All | Nicht unterstützt | AuditLogsQuery-Endpoint.Read.All |
Microsoft Dynamics CRM | AuditLogsQuery-CRM.Read.All | Nicht unterstützt | AuditLogsQuery-CRM.Read.All |
Microsoft Entra | AuditLogsQuery-Entra.Read.All | Nicht unterstützt | AuditLogsQuery-Entra.Read.All |
Alle Überwachungsprotokolle | AuditLogsQuery.Read.All | Nicht unterstützt | AuditLogsQuery.Read.All |
HTTP-Anforderung
POST /security/auditLog/queries
Anforderungsheader
Name | Beschreibung |
---|---|
Authorization | Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung. |
Content-Type | application/json. Erforderlich. |
Anforderungstext
Geben Sie im Anforderungstext eine JSON-Darstellung des auditLogQuery-Objekts an.
Sie können die folgenden Eigenschaften angeben, wenn Sie eine auditLogQuery erstellen.
Eigenschaft | Typ | Beschreibung |
---|---|---|
displayName | Zeichenfolge | Anzeigename für die gespeicherte Überwachungsprotokollabfrage. Optional. |
filterStartDateTime | DateTimeOffset | Startdatum des Datumsbereichs in der Abfrage. Optional. |
filterEndDateTime | DateTimeOffset | Enddatum des Datumsbereichs in der Abfrage. Optional. |
recordTypeFilters | Sammlung(Zeichenfolge) von microsoft.graph.security.auditLogRecordType | Der Vorgangstyp oder die typen, die vom Datensatz angegeben werden. Die möglichen Werte sind: exchangeAdmin , exchangeItem , , sharePoint exchangeItemGroup , , sharePointFileOperation syntheticProbe oneDrive azureActiveDirectory azureActiveDirectoryAccountLogon dataCenterSecurityCmdlet complianceDLPSharePoint sway complianceDLPExchange sharePointSharingOperation azureActiveDirectoryStsLogon skypeForBusinessPSTNUsage skypeForBusinessUsersBlocked securityComplianceCenterEOPCmdlet exchangeAggregatedOperation powerBIAudit crm yammer skypeForBusinessCmdlets discovery microsoftTeams threatIntelligence mailSubmission microsoftFlow aeD microsoftStream complianceDLPSharePointClassification threatFinder project sharePointListOperation sharePointCommentOperation dataGovernance kaizala securityComplianceAlerts threatIntelligenceUrl securityComplianceInsights mipLabel workplaceAnalytics powerAppsApp powerAppsPlan threatIntelligenceAtpContent labelContentExplorer teamsHealthcare exchangeItemAggregated hygieneEvent dataInsightsRestApiAudit informationBarrierPolicyApplication sharePointListItemOperation sharePointContentTypeOperation sharePointFieldOperation microsoftTeamsAdmin hrSignal microsoftTeamsDevice microsoftTeamsAnalytics informationWorkerProtection campaign dlpEndpoint , airInvestigation , , microsoftForms quarantine , applicationAudit , complianceSupervisionExchange , onPremisesSharePointScannerDlp powerPlatformAdminDlp powerPlatformAdminEnvironment wdatpAlerts sensitivityLabelPolicyMatch mdatpAudit sensitivityLabelAction sensitivityLabeledFileAction attackSim airManualInvestigation securityComplianceRBAC search airAdminActionInvestigation userTraining mstic physicalBadgingSignal teamsEasyApprovals aipDiscover aipSensitivityLabelAction cortanaBriefing aipFileDeleted aipProtectionAction aipHeartBeat mcasAlerts onPremisesFileShareScannerDlp mipExactDataMatch complianceDLPEndpoint complianceDLPExchangeClassification msdeResponseActions securityComplianceUserChange myAnalyticsSettings labelAnalyticsAggregate msdeGeneralSettings privacyDataMinimization sharePointSearch exchangeSearch msdeIndicatorsSettings mipAutoLabelExchangeItem microsoftTeamsShifts mipAutoLabelSimulationCompletion mapgRemediation mipAutoLabelSimulationProgress msdeRolesSettings mapgAlerts mapgPolicy mipAutoLabelProgressFeedback mipAutoLabelSharePointPolicyLocation privacyRemediationAction ms365DCustomDetection secureScore privacyDigestEmail customerKeyServiceEncryption officeNative mipAutoLabelSharePointItem dlpSensitiveInformationType , mipAutoLabelSimulationStatistics , , microsoft365Group largeContentMetadata , cdpMlInferencingResult , filteringMailMetadata cdpClassificationMailItem cdpClassificationDocument officeScriptsRunAction filteringPostMailDeliveryAction cdpUnifiedFeedback tenantAllowBlockList consumptionResource healthcareSignal dlpImportResult cdpCompliancePolicyExecution multiStageDisposition privacyDataMatch filteringDocMetadata filteringEmailFeatures powerBIDlp filteringUrlInfo filteringAttachmentInfo coreReportingSettings complianceConnector powerPlatformLockboxResourceAccessRequest powerPlatformLockboxResourceCommand cdpPredictiveCodingLabel cdpCompliancePolicyUserFeedback webpageActivityEndpoint omePortal cmImprovementActionChange filteringUrlClick mipLabelAnalyticsAuditRecord filteringEntityEvent filteringRuleHits filteringMailSubmission labelExplorer microsoftManagedServicePlatform powerPlatformServiceActivity scorePlatformGenericAuditRecord filteringTimeTravelDocMetadata alert alertStatus alertIncident incidentStatus case caseInvestigation recordsManagement privacyRemediation dataShareOperation cdpDlpSensitive ehrConnector filteringMailGradingResult publicFolder privacyTenantAuditHistoryRecord , aipScannerDiscoverEvent , , m365ComplianceConnector eduDataLakeDownloadOperation , microsoftGraphDataConnectOperation , microsoftPurview filteringEmailContentFeatures powerPagesSite powerAppsResource plannerPlan plannerCopyPlan plannerTask plannerRoster plannerPlanList plannerTaskList plannerTenantSettings projectForTheWebProject projectForTheWebTask projectForTheWebRoadmap projectForTheWebRoadmapItem projectForTheWebProjectSettings projectForTheWebRoadmapSettings quarantineMetadata microsoftTodoAudit timeTravelFilteringDocMetadata teamsQuarantineMetadata sharePointAppPermissionOperation microsoftTeamsSensitivityLabelAction filteringTeamsMetadata filteringTeamsUrlInfo filteringTeamsPostDeliveryAction mdcAssessments mdcRegulatoryComplianceStandards mdcRegulatoryComplianceControls mdcRegulatoryComplianceAssessments mdcSecurityConnectors mdaDataSecuritySignal vivaGoals filteringRuntimeInfo attackSimAdmin microsoftGraphDataConnectConsent filteringAtpDetonationInfo privacyPortal managedTenants unifiedSimulationMatchedItem unifiedSimulationSummary updateQuarantineMetadata ms365DSuppressionRule purviewDataMapOperation filteringUrlPostClickAction irmUserDefinedDetectionSignal teamsUpdates plannerRosterSensitivityLabel ms365DIncident filteringDelistingMetadata complianceDLPSharePointClassificationExtended , microsoftDefenderForIdentityAudit , supervisoryReviewDayXInsight , defenderExpertsforXDRAdmin , cdpEdgeBlockedMessage , hostedRpa cdpContentExplorerAggregateRecord , cdpHygieneAttachmentInfo , , cdpHygieneSummary , , cdpPostMailDeliveryAction , cdpEmailFeatures , cdpHygieneUrlInfo , cdpUrlClick , filteringDocScan . timeTravelFilteringDocScan unknownFutureValue cdpPackageManagerHygieneEvent mapgOnboard Optional. |
keywordFilter | Zeichenfolge | Freitextfeld zum Durchsuchen von nicht indizierten Eigenschaften des Überwachungsprotokolls. Optional. |
serviceFilter | Zeichenfolge | Verweist auf die Workloadeigenschaft im Überwachungsdatensatz. Dies ist der Microsoft-Dienst, in dem die Aktivität aufgetreten ist. Optional. |
operationFilters | Zeichenfolgensammlung | Der Name der Benutzer- oder Verwaltungsaktivität. Eine Beschreibung der am häufigsten verwendeten Vorgänge und Aktivitäten, finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365-Schutzcenter. Optional. |
userPrincipalNameFilters | Zeichenfolgensammlung | Der UPN (Benutzerprinzipalname) des Benutzers, der die Aktion ausgeführt hat (angegeben in der Vorgangseigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name. Optional. |
ipAddressFilters | String collection | Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Optional. |
objectIdFilters | String collection | Für SharePoint- und OneDrive for Business-Aktivitäten der vollständige Pfadname der Datei oder des Ordners, auf die bzw. den der Benutzer zugegriffen hat. Für Exchange-Verwaltungsüberwachungsprotokolle der Name des Objekts, das vom Cmdlet geändert wurde. Optional. |
administrativeUnitIdFilters | String collection | Verwaltungseinheiten, die mit einem Überwachungsprotokolldatensatz gekennzeichnet sind. Optional. |
status | microsoft.graph.security.auditLogQueryStatus | Aktuelle status der Abfrage. Mögliche Werte sind: notStarted , running , succeeded , failed , cancelled , unknownFutureValue . Optional. |
Antwort
Bei erfolgreicher Ausführung gibt die Methode einen 201 Created
Antwortcode und ein auditLogQuery-Objekt im Antworttext zurück.
Beispiele
Anforderung
Das folgende Beispiel zeigt eine Anfrage.
POST https://graph.microsoft.com/beta/security/auditLog/queries
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.security.auditLogQuery",
"displayName": "String",
"filterStartDateTime": "String (timestamp)",
"filterEndDateTime": "String (timestamp)",
"recordTypeFilters": [
"String"
],
"keywordFilter": "String",
"serviceFilter": "String",
"operationFilters": [
"String"
],
"userPrincipalNameFilters": [
"String"
],
"ipAddressFilters": [
"String"
],
"objectIdFilters": [
"String"
],
"administrativeUnitIdFilters": [
"String"
],
"status": "String"
}
Antwort
Das folgende Beispiel zeigt die Antwort.
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.security.auditLogQuery",
"id": "168ec429-084b-a489-90d8-504a87846305",
"displayName": "String",
"filterStartDateTime": "String (timestamp)",
"filterEndDateTime": "String (timestamp)",
"recordTypeFilters": [
"String"
],
"keywordFilter": "String",
"serviceFilter": "String",
"operationFilters": [
"String"
],
"userPrincipalNameFilters": [
"String"
],
"ipAddressFilters": [
"String"
],
"objectIdFilters": [
"String"
],
"administrativeUnitIdFilters": [
"String"
],
"status": "String"
}