Überwachungsprotokollaktivitäten

Artikel
09/17/2024

In den Tabellen in diesem Artikel werden die Aktivitäten beschrieben, die in Microsoft 365 überwacht werden. Sie können nach diesen Aktivitäten suchen, indem Sie das Überwachungsprotokoll im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal durchsuchen.

In diesen Tabellen werden verwandte Aktivitäten oder die Aktivitäten eines bestimmten Diensts gruppiert. Die Tabellen enthalten den Anzeigenamen, der in der Dropdownliste Aktivitäten angezeigt wird (oder die in PowerShell verfügbar sind) und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren. Beschreibungen der detaillierten Informationen finden Sie unter Detaillierte Eigenschaften des Überwachungsprotokolls.

Tipp

Wählen Sie einen der Links in der Liste In diesem Artikel oben in diesem Artikel aus, um direkt zu einer bestimmten Produkttabelle zu gelangen.

Anwendungsverwaltungsaktivitäten

In der folgenden Tabelle sind Anwendungsadministratoraktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator eine Anwendung hinzufügt oder ändert, die in Microsoft Entra ID registriert ist. Jede Anwendung, die auf Microsoft Entra ID für die Authentifizierung basiert, muss im Verzeichnis registriert werden.

Hinweis

Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( . ). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" ") zu setzen.

Anzeigename	Vorgang	Beschreibung
Delegierungseintrag hinzugefügt	Delegierungseintrag hinzufügen.	Eine Authentifizierungsberechtigung wurde für eine Anwendung in Microsoft Entra ID erstellt/erteilt.
Dienstprinzipal hinzugefügt	Dienstprinzipal hinzufügen.	Eine Anwendung wurde in Microsoft Entra ID registriert. Eine Anwendung wird durch einen Dienstprinzipal im Verzeichnis dargestellt.
Anmeldeinformationen für einen Dienstprinzipal hinzugefügt	Dienstprinzipal-Anmeldeinformationen hinzufügen.	Anmeldeinformationen wurden einem Dienstprinzipal in Microsoft Entra ID hinzugefügt. Ein Dienstprinzipal stellt eine Anwendung im Verzeichnis dar.
Delegierungseintrag entfernt	Delegierungseintrag entfernen.	Eine Authentifizierungsberechtigung wurde aus einer Anwendung in Microsoft Entra ID entfernt.
Dienstprinzipal aus dem Verzeichnis entfernt	Dienstprinzipal entfernen.	Eine Anwendung wurde aus Microsoft Entra ID gelöscht/die Registrierung aufgehoben. Eine Anwendung wird durch einen Dienstprinzipal im Verzeichnis dargestellt.
Anmeldeinformationen aus einem Dienstprinzipal entfernt	Dienstprinzipal-Anmeldeinformationen entfernen.	Anmeldeinformationen wurden in Microsoft Entra ID aus einem Dienstprinzipal entfernt. Ein Dienstprinzipal stellt eine Anwendung im Verzeichnis dar.
Delegierungseintrag festgelegt	Delegierungseintrag festlegen.	Eine Authentifizierungsberechtigung wurde für eine Anwendung in Microsoft Entra ID aktualisiert.

Briefing-E-Mail-Aktivitäten

In der folgenden Tabelle sind die Aktivitäten in Briefing-E-Mail aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Briefing-E-Mail finden Sie unter:

Anzeigename	Vorgang	Beschreibung
Aktualisierte Datenschutzeinstellungen der Organisation	UpdatedOrganizationBriefingSettings	Administrator aktualisiert die Datenschutzeinstellungen der Organisation für Briefing-E-Mail.
Aktualisierte Datenschutzeinstellungen der Benutzer	UpdatedUserBriefingSettings	Administrator aktualisiert die Datenschutzeinstellungen der Benutzer für Briefing-E-Mail.

Kommunikationscomplianceaktivitäten

In der folgenden Tabelle sind die Kommunikationscomplianceaktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen finden Sie unter Informationen zu Microsoft Purview-Kommunikationscompliance.

Hinweis

Diese Aktivitäten sind verfügbar, wenn Sie das PowerShell-Cmdlet Search-UnifiedAuditLog verwenden. Diese Aktivitäten sind in der Dropdownliste Aktivitäten nicht verfügbar.

Anzeigename	Vorgang	Beschreibung
Richtlinienupdate	SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted	Ein Kommunikationscomplianceadministrator hat ein Richtlinienupdate ausgeführt.
Richtlinienübereinstimmung	SupervisionRuleMatch	Ein Benutzer hat eine Nachricht gesendet, die der Bedingung einer Richtlinie entspricht.
Auf Nachricht(en) angewendeter Tag	SupervisoryReviewTag	Tags werden auf Nachrichten angewendet, oder Nachrichten werden aufgelöst.

Compliance-Manager-Aktivitäten

In der folgenden Tabelle sind die Vorgänge und Aktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator die Einstellungen im Compliance-Manager verwaltet. Weitere Informationen finden Sie unter Informationen zum Compliance-Manager.

Anzeigename	Vorgang	Beschreibung
Rollenänderung	ComplianceManagerRolesChange	Ein Administrator hat die Rollen für Benutzer geändert.
Änderung der Mandantenautomatisierungsebene	ComplianceManagerAutomationLevelChange	Ein Administrator hat die Automatisierungsebene für den Mandanten für alle Aktionen geändert.
Testen der Änderung der Quellautomatisierung	ComplianceManagerAutomationChange	Ein Administrator hat die Einstellungen für die Automatisierung der Testquellen geändert.

Inhaltsexplorer-Aktivitäten

Die folgende Tabelle enthält die Aktivitäten im Inhaltsexplorer, die im Überwachungsprotokoll protokolliert werden. Inhalts-Explorer, auf den über das Datenklassifizierungstool im Microsoft Purview-Portal und im Complianceportal zugegriffen wird. Weitere Informationen finden Sie unter Verwenden des Daten Inhaltsexplorers zur Datenklassifizierung.

Anzeigename	Vorgang	Beschreibung
Element, auf das zugegriffen wird	LabelContentExplorerAccessedItem	Ein Administrator (oder ein Benutzer, der Mitglied der Rollengruppe "Inhaltsexplorer-Content Viewer" ist) verwendet den Inhaltsexplorer, um eine E-Mail-Nachricht oder ein SharePoint/OneDrive-Dokument anzuzeigen.

Copilot-Aktivitäten

In der folgenden Tabelle sind die Aktivitäten aus Microsoft 365 Copilot und Microsoft Copilot aufgeführt, die im Überwachungsprotokoll protokolliert werden. Auf Copilot kann über Microsoft-Dienste zugegriffen werden. Zu den Aktivitäten gehört, wie und wann Benutzer mit Copilot interagieren. Dies umfasst den Microsoft-Dienst, in dem die Aktivität stattgefunden hat, und Verweise auf die Dateien, auf die während der Interaktion zugegriffen wurde. Weitere Informationen zu Copilot-Interaktionsereignissen und ein Schemabeispiel finden Sie unter Übersicht über Copilot-Interaktionsereignisse.

Informationen zum Zugreifen auf den Text über die Eingabeaufforderung des Benutzers während der Interaktion finden Sie unter Inhaltssuche oder Anzeigen des KI-Interaktionsereignisses im Aktivitäts-Explorer in Microsoft Purview KI-Hub.

Weitere Informationen zur Überwachung und anderen Optionen für die Complianceverwaltung für Copilot finden Sie unter Microsoft Purview unterstützt die Complianceverwaltung für Copilot.

Anzeigename	Vorgang	Beschreibung
Erstellen eines neuen Copilot-Plug-Ins	CreateCopilotPlugin	Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues Copilot-Plug-In erstellt.
Ein neues Copilot-Promptbook erstellt	CreateCopilotPromptBook	Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues Promptbook in Copilot erstellt.
Ein Copilot-Plug-In wurde gelöscht.	DeleteCopilotPlugin	Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In gelöscht.
Ein Copilot-Promptbook wurde gelöscht.	DeleteCopilotPromptBook	Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook gelöscht.
Deaktivieren eines Copilot-Plug-Ins	DisableCopilotPlugin	Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In deaktiviert.
Deaktivieren eines Copilot-Eingabeaufforderungsbuchs	DisableCopilotPromptBook	Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook deaktiviert.
Aktivieren eines Copilot-Plug-Ins	EnableCopilotPlugin	Ein Benutzer (oder ein Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In aktiviert.
Aktivieren eines Copilot-Eingabeaufforderungsbuchs	EnableCopilotPromptBook	Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook aktiviert.
Interagiert mit Copilot	CopilotInteraction	Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat Aufforderungen in Copilot eingegeben.
Einstellung eines Copilot-Plug-Ins aktualisiert	UpdateCopilotPlugin	Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat eine Copilot-Plug-In-Einstellung aktualisiert.
Einstellung eines Copilot-Eingabeaufforderungsbuchs aktualisiert	UpdateCopilotPromptBook	Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat eine Copilot-Promptbook-Einstellung aktualisiert.
Eine Copilot-Einstellung wurde aktualisiert.	UpdateCopilotSettings	Ein Administrator (oder ein System im Namen eines Administrators) hat eine Copilot-Einstellung aktualisiert.

Verzeichnisverwaltungsaktivitäten

In der folgenden Tabelle sind Microsoft Entra Verzeichnis- und domänenbezogene Aktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator seine organization im Microsoft 365 Admin Center oder im Azure-Verwaltungsportal verwaltet.

Hinweis

Anzeigename	Vorgang	Beschreibung
Domäne zu Unternehmen hinzugefügt	Domäne zu Unternehmen hinzufügen.	Es wurde eine Domäne zu Ihrer Organisation hinzugefügt.
Partner zum Verzeichnis hinzugefügt	Partner zu Unternehmen hinzufügen.	Es wurde ein Partner (delegierter Administrator) zu Ihrer Organisation hinzugefügt.
Domäne aus Unternehmen entfernt	Domäne aus Unternehmen entfernen.	Es wurde eine Domäne aus Ihrer Organisation entfernt.
Partner aus dem Verzeichnis entfernt	Partner aus Unternehmen entfernen.	Es wurde ein Partner (delegierter Administrator) aus Ihrer Organisation entfernt.
Unternehmensinformationen festgelegen	Unternehmensinformationen festgelegen.	Die Unternehmensinformationen für Ihre Organisation wurden aktualisiert. Enthält E-Mail-Adressen für abonnementbezogene E-Mails, die von Microsoft 365 gesendet werden, und technische Benachrichtigungen zu Microsoft 365-Diensten.
Domänenauthentifizierung festgelegt	Domänenauthentifizierung festlegen.	Die Einstellung der Domänenauthentifizierung für Ihre Organisation wurde geändert.
Verbundeinstellungen für eine Domäne aktualisiert	Verbundeinstellungen für Domäne festlegen.	Die Verbundeinstellungen (externe Freigabe) für Ihre Organisation wurden geändert.
Kennwortrichtlinie festlegen	Kennwortrichtlinie festlegen.	Die Längen- und Zeicheneinschränkungen für Benutzerkennwörter in Ihrer Organisation wurden geändert.
Azure AD Sync aktiviert	DirSyncEnabled-Flag festlegen.	Die Eigenschaft, die ein Verzeichnis für die Azure AD-Synchronisierungsdienste aktiviert, wurde festgelegt.
Domäne aktualisiert	Domäne aktualisieren.	Die Einstellungen einer Domäne in Ihrer Organisation wurden aktualisiert.
Domäne überprüft	Domäne überprüfen.	Es wurde überprüft, ob Ihre Organisation der Besitzer der Domäne ist.
Domäne mit E-Mail-Prüfung überprüft	Domäne mit E-Mail-Prüfung überprüfen.	Es wurde eine E-Mail-Prüfung verwendet, um zu überprüfen, ob Ihre Organisation der Besitzer der Domäne ist.

Löschungsprüfungsaktivitäten

In der folgenden Tabelle sind die Aktivitäten aufgeführt, die ein Löschungsprüfer ausgeführt hat , wenn ein Element das Ende seines konfigurierten Aufbewahrungszeitraums erreicht hat oder ein Element automatisch in die nächste Löschungsphase verschoben oder aufgrund der automatischen Genehmigung endgültig gelöscht wurde.

Anzeigename	Vorgang	Beschreibung
Genehmigte Entsorgung	ApproveDisposal	Zur manuellen Genehmigung: Ein Dispositionsprüfer hat die Löschung des Elements genehmigt, um es in die nächste Löschungsphase zu verschieben. Wenn sich das Element in der einzigen oder letzten Phase der Löschungsprüfung befand, wurde das Element durch die Löschungsgenehmigung als für die endgültige Löschung berechtigt markiert. Für die automatische Genehmigung: Innerhalb des konfigurierten Zeitraums für die automatische Genehmigung wurde keine manuelle Aktion ausgeführt, sodass das Element automatisch in die nächste Löschungsphase verschoben wurde. Wenn sich das Element in der einzigen oder letzten Phase der Löschungsprüfung befand, wurde das Element automatisch zum endgültigen Löschen berechtigt.
Verlängerter Aufbewahrungszeitraum	ExtendRetention	Ein Löschungsprüfer hat den Aufbewahrungszeitraum des Elements verlängert.
Neu bezeichnetes Element	RelabelItem	Ein Löschungsprüfer hat die Aufbewahrungsbezeichnung neu bezeichnet.
Prüfer hinzugefügt	AddReviewer	Ein Löschungsprüfer hat einen oder mehrere andere Benutzer zur aktuellen Löschungsprüfungsphase hinzugefügt.

eDiscovery-Aktivitäten

Inhaltssuche und eDiscovery-bezogene Aktivitäten (für Microsoft Purview-eDiscovery (Standard) und Microsoft Purview-eDiscovery (Premium)), die im Microsoft Purview-Portal ausgeführt werden, Microsoft Purview-Complianceportal, oder durch Ausführen der entsprechenden PowerShell-Cmdlets werden im Überwachungsprotokoll protokolliert. Ereignisse werden protokolliert, wenn Administratoren oder eDiscovery-Manager (oder benutzerseitig zugewiesene eDiscovery-Berechtigungen) die folgenden Aufgaben für die Inhaltssuche und eDiscovery (Standard) in den Portalen ausführen:

Erstellen und Verwalten von eDiscovery -Fällen (Standard) und eDiscovery (Premium).
Erstellen, Starten und Bearbeiten von Inhaltssuchen.
Ausführen von Suchaktionen, z. B. Vorschau, Exportieren und Löschen von Suchergebnissen.
Verwalten von Verwahrern und Überprüfungssätzen in eDiscovery (Premium).
Konfigurieren der Berechtigungsfilterung für die Inhaltssuche.
Verwalten der Rolle "eDiscovery-Administrator".

Weitere Informationen zum Durchsuchen des Überwachungsprotokolls, den erforderlichen Berechtigungen und zum Exportieren von Suchergebnissen finden Sie unter Durchsuchen des Überwachungsprotokolls.

Hinweis

Es dauert bis zu 30 Minuten, bis Aktivitäten, die sich aus den aktivitäten ergeben, die unter eDiscovery-Aktivitäten und eDiscovery -Aktivitäten (Premium) in der Dropdownliste Aktivitäten aufgeführt sind, in den Suchergebnissen angezeigt werden. Im Gegensatz dazu dauert es bis zu 24 Stunden, bis die entsprechenden Ereignisse aus eDiscovery-Cmdlet-Aktivitäten in der Liste der Suchergebnisse angezeigt werden.

Inhaltssuche und eDiscovery-Aktivitäten (Standard)

In der folgenden Tabelle werden die Aktivitäten inhaltssuche und eDiscovery (Standard) beschrieben, die protokolliert werden, wenn ein Administrator oder eDiscovery-Manager eine eDiscovery-bezogene Aktivität über das Complianceportal ausführt. Einige Aktivitäten, die in eDiscovery (Premium) ausgeführt werden, werden möglicherweise zurückgegeben, wenn Sie in dieser Liste nach Aktivitäten suchen.

Hinweis

Die in diesem Abschnitt beschriebenen eDiscovery-Aktivitäten bieten ähnliche Informationen wie die im nächsten Abschnitt beschriebenen eDiscovery-Cmdlet-Aktivitäten. Es wird empfohlen, die in diesem Abschnitt beschriebenen eDiscovery-Aktivitäten zu verwenden, da sie innerhalb von 30 Minuten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden. Es kann bis zu 24 Stunden dauern, bis eDiscovery-Cmdlet-Aktivitäten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden.

Anzeigename	Vorgang	Entsprechendes Cmdlet	Beschreibung
Mitglied zum eDiscovery-Fall hinzugefügt	CaseMemberAdded	Add-ComplianceCaseMember	Ein Benutzer wurde als Mitglied eines eDiscovery-Falls hinzugefügt. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben ausführen, je nachdem, ob ihm die erforderlichen Berechtigungen zugewiesen wurden.
Inhaltssuche geändert	SearchUpdated	Set-ComplianceSearch	Eine vorhandene Inhaltssuche wurde geändert. Änderungen können das Hinzufügen oder Entfernen von Inhaltsspeicherorten oder das Bearbeiten der Suchabfrage umfassen.
Geänderte eDiscovery-Administratormitgliedschaft	CaseAdminUpdated	Update-eDiscoveryCaseAdmin	Die Liste der eDiscovery-Administratoren in Ihrem organization wurde geändert. Diese Aktivität wird protokolliert, wenn die Liste der eDiscovery-Administratoren durch eine Gruppe neuer Benutzer ersetzt wird. Wenn ein einzelner Benutzer hinzugefügt oder entfernt wird, wird der Vorgang CaseAdminAdded protokolliert.
eDiscovery-Fall geändert	CaseUpdated	Set-ComplianceCase	Ein eDiscovery-Fall wurde geändert. Zu den Änderungen gehören das Schließen eines offenen Falls oder das erneute Öffnen eines geschlossenen Falls.
Geänderte eDiscovery-Fallmitgliedschaft	CaseMemberUpdated	Update-ComplianceCaseMember	Die Mitgliedschaftsliste eines eDiscovery-Falls wurde geändert. Diese Aktivität wird protokolliert, wenn alle Mitglieder durch eine Gruppe neuer Benutzer ersetzt werden. Wenn ein einzelnes Element hinzugefügt oder entfernt wird, wird der Vorgang CaseMemberAdded oder CaseMemberRemoved protokolliert.
Filter für Suchberechtigungen geändert	SearchPermissionUpdated	Set-ComplianceSecurityFilter	Ein Filter für Suchberechtigungen wurde geändert.
Geänderte Suchabfrage für den eDiscovery-Fallspeicher	HoldUpdated	Set-CaseHoldRule	Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Bearbeiten der Abfrage oder des Datumsbereichs für einen abfragebasierten Haltebereich.
Vorschauelement der Inhaltssuche heruntergeladen	PreviewItemDownloaded	Nicht zutreffend	Ein Benutzer hat bei der Vorschau der Suchergebnisse ein Element auf seinen lokalen Computer heruntergeladen (indem er den Link Originalelement herunterladen auswählt).
Vorschauelement der Inhaltssuche aufgelistet	PreviewItemListed	Nicht zutreffend	Ein Benutzer hat Suchergebnisse anzeigen ausgewählt, um die Vorschauseite für Suchergebnisse anzuzeigen, auf der bis zu 1.000 Elemente aus den Ergebnissen einer Suche aufgelistet werden.
Suche nach erstellten Inhalten	SucheCreated	New-ComplianceSearch	Eine neue Inhaltssuche wurde erstellt.
eDiscovery-Administrator erstellt	CaseAdminAdded	Add-eDiscoveryCaseAdmin	Ein Benutzer wurde im organization als eDiscovery-Administrator hinzugefügt.
eDiscovery-Fall erstellt	CaseAdded	New-ComplianceCase	Es wurde ein eDiscovery-Fall erstellt. Wenn ein Fall erstellt wird, müssen Sie ihm nur einen Namen geben. Andere fallbezogene Aufgaben wie das Hinzufügen von Mitgliedern, das Erstellen von Haltebereichen und das Erstellen von Inhaltssuchen, die dem Fall zugeordnet sind, führen dazu, dass zusätzliche Ereignisse protokolliert werden.
Suchberechtigungsfilter erstellt	SearchPermissionCreated	New-ComplianceSecurityFilter	Ein Filter für Suchberechtigungen wurde erstellt.
Suchabfrage für eDiscovery-Fallspeicher erstellt	HoldCreated	New-CaseHoldRule	Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde erstellt.
Suche nach gelöschten Inhalten	SearchRemoved	Remove-ComplianceSearch	Eine vorhandene Inhaltssuche wurde gelöscht.
eDiscovery-Administrator gelöscht	CaseAdminRemoved	Remove-eDiscoveryCaseAdmin	Ein eDiscovery-Administrator wurde aus Ihrem organization gelöscht.
eDiscovery-Fall gelöscht	CaseRemoved	Remove-ComplianceCase	Ein eDiscovery-Fall wurde gelöscht. Jeder mit dem Fall verknüpfte Halteraum muss entfernt werden, bevor der Fall gelöscht werden kann.
Filter für Suchberechtigungen gelöscht	SearchPermissionRemoved	Remove-ComplianceSecurityFilter	Ein Filter für Suchberechtigungen wurde gelöscht.
Gelöschte Suchabfrage für eDiscovery-Fallspeicher	HoldRemoved	Remove-CaseHoldRule	Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Das Entfernen der Abfrage aus dem Halteraum ist häufig das Ergebnis des Löschens eines Halteraums. Wenn eine Halte- oder Halteabfrage gelöscht wird, werden die Inhaltsspeicherorte, die sich im Halteraum befanden, freigegeben.
Heruntergeladener Export der Inhaltssuche	SearchExportDownloaded	Nicht zutreffend	Ein Benutzer hat die Ergebnisse einer Inhaltssuche auf seinen lokalen Computer heruntergeladen. Die Aktivität "Export der Inhaltssuche wurde gestartet" muss initiiert werden, bevor Suchergebnisse heruntergeladen werden können.
Ergebnisse der Inhaltssuche in der Vorschau	SearchPreviewed	Nicht zutreffend	Ein Benutzer hat eine Vorschau der Ergebnisse einer Inhaltssuche angezeigt.
Gelöschte Ergebnisse der Inhaltssuche	SearchResultsPurged	New-ComplianceSearchAction	Ein Benutzer hat die Ergebnisse einer Inhaltssuche gelöscht, indem er den Befehl New-ComplianceSearchAction -Purge ausführt.
Analyse der Inhaltssuche entfernt	RemovedSearchResultsSentToZoom	Remove-ComplianceSearchAction	Eine Vorbereitungsaktion für die Inhaltssuche (zum Vorbereiten von Suchergebnissen für eDiscovery (Premium)) wurde gelöscht. Wenn die Vorbereitungsaktion weniger als zwei Wochen alt war, wurden die Suchergebnisse, die für eDiscovery (Premium) vorbereitet wurden, aus dem Microsoft Azure-Speicherbereich gelöscht. Wenn die Vorbereitungsaktion älter als 2 Wochen war, gibt dieses Ereignis an, dass nur die entsprechende Vorbereitungsaktion gelöscht wurde.
Export der Inhaltssuche entfernt	RemovedSearchExported	Remove-ComplianceSearchAction	Eine Exportaktion für die Inhaltssuche wurde gelöscht. Wenn die Exportaktion weniger als zwei Wochen alt war, wurden die Suchergebnisse, die in den Microsoft Azure-Speicherbereich hochgeladen wurden, gelöscht. Wenn die Exportaktion älter als 2 Wochen war, gibt dieses Ereignis an, dass nur die entsprechende Exportaktion gelöscht wurde.
Mitglied aus eDiscovery-Fall entfernt	CaseMemberRemoved	Remove-ComplianceCaseMember	Ein Benutzer wurde als Mitglied eines eDiscovery-Falls entfernt.
Vorschauergebnisse der Inhaltssuche entfernt	RemovedSearchPreviewed	Remove-ComplianceSearchAction	Eine Vorschauaktion für die Inhaltssuche wurde gelöscht.
Bei der Inhaltssuche ausgeführte Bereinigungsaktion entfernt	RemovedSearchResultsPurged	Remove-ComplianceSearchAction	Eine Aktion zum Löschen der Inhaltssuche wurde gelöscht.
Suchbericht entfernt	SearchReportRemoved	Remove-ComplianceSearchAction	Eine Aktion zum Exportieren eines Berichts für die Inhaltssuche wurde gelöscht.
Analyse der Inhaltssuche gestartet	SearchResultsSentToZoom	New-ComplianceSearchAction	Die Ergebnisse einer Inhaltssuche wurden für die Analyse in eDiscovery (Premium) vorbereitet.
Inhaltssuche gestartet	SucheStarted	Start-ComplianceSearch	Eine Inhaltssuche wurde gestartet. Wenn Sie eine Inhaltssuche über das Complianceportal erstellen oder ändern, wird die Suche automatisch gestartet.
Export der Inhaltssuche gestartet	SearchExported	New-ComplianceSearchAction	Ein Benutzer hat die Ergebnisse einer Inhaltssuche exportiert.
Exportbericht gestartet	SearchReport	New-ComplianceSearchAction	Ein Benutzer hat einen Bericht zur Inhaltssuche exportiert.
Inhaltssuche beendet	SearchStopped	Stop-ComplianceSearch	Ein Benutzer hat eine Inhaltssuche beendet.
(kein)	CaseViewed	Get-ComplianceCase	Ein Benutzer hat einen eDiscovery (Standard)-Fall im Complianceportal angezeigt. Der Überwachungsdatensatz für dieses Ereignis enthält den Namen des angezeigten Falls.
(kein)	SearchViewed	Get-ComplianceSearch	Ein Benutzer hat eine Inhaltssuche im Complianceportal angezeigt, indem er in einem eDiscovery (Standard)-Fall auf der Registerkarte Suchen auf die Suche zugreift oder auf der Seite inhaltssuche darauf zugreift. Der Überwachungsdatensatz für dieses Ereignis enthält die Identität der angezeigten Suche.
(kein)	ViewedSearchExported	Get-ComplianceSearchAction -Export	Ein Benutzer hat einen Export der Inhaltssuche im Complianceportal angezeigt, indem er auf der Seite Inhaltssuche auf der Registerkarte Exporte auf den Export zugreift. Diese Aktivität wird auch protokolliert, wenn ein Benutzer einen Export anzeigt, der einem eDiscovery (Standard)-Fall zugeordnet ist.
(kein)	ViewedSearchPreviewed	Get-ComplianceSearchAction -Preview	Ein Benutzer hat eine Vorschau der Ergebnisse einer Inhaltssuche im Complianceportal angezeigt. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine Vorschau der Ergebnisse einer Suche anzeigt, die einem eDiscovery (Standard)-Fall zugeordnet ist.

eDiscovery (Premium)-Aktivitäten

In der folgenden Tabelle werden die im Überwachungsprotokoll protokollierten eDiscovery -Aktivitäten (Premium) beschrieben. Mithilfe dieser Aktivitäten können Sie den Fortschritt der Aktivität in einem eDiscovery (Premium)-Fall nachverfolgen.

Anzeigename	Vorgang	Beschreibung
Daten zu einem anderen Prüfdateisatz hinzugefügt	AddWorkingSetQueryToWorkingSet	Der Benutzer hat Dokumente eines Prüfdateisatzes einem anderen hinzugefügt.
Daten zu einem Prüfdateisatz hinzugefügt	AddQueryToWorkingSet	Der Benutzer hat die Suchergebnisse aus einer Inhaltssuche, die einem eDiscovery (Premium)-Fall zugeordnet ist, einem Überprüfungssatz hinzugefügt.
Nicht von Microsoft 365 stammende Daten zu Prüfdateisatz hinzugefügt	AddNonOffice365DataToWorkingSet	Ein Benutzer hat nicht von Microsoft 365 stammende Daten zu einem Prüfdateisatz hinzugefügt.
Wiederhergestellte Dokumente zu Prüfdateisatz hinzugefügt	AddRemediatedData	Der Benutzer lädt Dokumente hoch, bei denen Indizierungsfehler aufgetreten sind, die in einem Prüfdateisatz festgehalten worden sind.
Daten im Prüfdateisatz analysiert	RunAlgo	Der Benutzer hat Analysen für die Dokumente in einem Überprüfungssatz ausgeführt.
Dokument im Prüfdateisatz kommentiert	AnnotateDocument	Ein Benutzer hat ein Dokument in einem Prüfdateisatz kommentiert. „Kommentieren“ umfasst auch das Bearbeiten/Redigieren des Dokuments.
Ladesätze verglichen	LoadComparisonJob	Der Benutzer hat zwei verschiedene Ladesätze in einem Prüfdateisatz verglichen. Unter Ladesatz versteht man, dass Daten aus einer Inhaltssuche, die einem Fall zugeordnet sind, einem Prüfdateisatz hinzugefügt werden.
Dokumente in PDF-Dateien konvertiert	BurnJob	Der Benutzer hat alle redigierten Dokumente in einem Prüfdateisatz in PDF-Dateien konvertiert.
Prüfdateisatz erstellt	CreateWorkingSet	Der Benutzer hat einen Prüfdateisatz erstellt.
Prüfdateisatzsuche erstellt	CreateWorkingSetSearch	Der Benutzer hat eine Suchabfrage erstellt, die die Dokumente in einem Prüfdateisatz durchsuchen.
Tag erstellt	CreateTag	Ein Benutzer hat eine Tag-Gruppe in einem Prüfdateisatz erstellt. Eine Tag-Gruppe kann ein oder mehrere untergeordnete Tags enthalten. Diese Tags werden dann zum Taggen von Dokumenten im Prüfdateisatz verwendet.
Prüfdateisatzsuche gelöscht	DeleteWorkingSetSearch	Ein Benutzer hat eine Suchabfrage in einem Prüfdateisatz gelöscht.
Tag gelöscht	DeleteTag	Ein Benutzer hat ein Tag oder eine Tag-Gruppe in einem Prüfdateisatz gelöscht.
Heruntergeladenes Dokument	DownloadDocument	Ein Benutzer hat ein Dokument aus einem Prüfdateisatz heruntergeladen.
Tag bearbeitet	UpdateTag	Ein Benutzer hat ein Tag in einem Prüfdateisatz geändert.
Dokumente aus einem Prüfdateisatz exportiert	ExportJob	Der Benutzer hat Dokumente aus einem Prüfdateisatz exportiert.
Falleinstellungen geändert	UpdateCaseSettings	Der Benutzer hat die Einstellungen für einen Fall geändert. Die Falleinstellungen umfassen Fallinformationen, Zugriffsberechtigungen und Einstellungen, mit denen das Such- und Analyseverhalten gesteuert werden.
Prüfdateisatzsuche geändert	UpdateWorkingSetSearch	Ein Benutzer hat eine Suchabfrage in einem Prüfdateisatz geändert.
Vorschau einer Prüfdateisatzsuche angezeigt	PreviewWorkingSetSearch	Der Benutzer hat die Ergebnisse einer Suchabfrage in einem Prüfdateisatz in einer Vorschau angezeigt.
Fehler in Dokumenten behoben	ErrorRemediationJob	Der Benutzer behebt Dateien mit Indizierungsfehlern.
Dokument getaggt	TagFiles	Ein Benutzer hat ein Dokument in einem Prüfdateisatz mit Tags versehen.
Ergebnisse einer Abfrage getaggt	TagJob	Ein Benutzer hat alle Dokumente getaggt, die den Kriterien einer Suchabfrage in einem Prüfdateisatz entsprechen.
Dokument im Prüfdateisatz angezeigt	ViewDocument	Ein Benutzer hat ein Dokument in einem Prüfdateisatz angezeigt.

eDiscovery-Cmdlet-Aktivitäten

In der folgenden Tabelle sind die Cmdlet-Überwachungsprotokolldatensätze aufgeführt, die protokolliert werden, wenn ein Administrator oder Benutzer eine eDiscovery-bezogene Aktivität über das Complianceportal oder durch Ausführen des entsprechenden Cmdlets in Security & Compliance PowerShell ausführt. Die ausführlichen Informationen im Überwachungsprotokolldatensatz unterscheiden sich für die in dieser Tabelle aufgeführten Cmdlet-Aktivitäten und die im vorherigen Abschnitt beschriebenen eDiscovery-Aktivitäten.

Wie bereits erwähnt, kann es bis zu 24 Stunden dauern, bis eDiscovery-Cmdlet-Aktivitäten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden.

Tipp

Die Cmdlets in der Spalte Operation in der folgenden Tabelle sind mit dem entsprechenden Cmdlet-Hilfethema auf TechNet verknüpft. Eine Beschreibung der verfügbaren Parameter für die einzelnen Cmdlets finden Sie im Hilfethema zu Cmdlets. Der Parameter und der Parameterwert, die mit einem Cmdlet verwendet wurden, sind im Überwachungsprotokolleintrag für jede protokollierte eDiscovery-Cmdlet-Aktivität enthalten.

Anzeigename	Vorgang (Cmdlet)	Beschreibung
Erstellter Halteraum im eDiscovery-Fall	New-CaseHoldPolicy	Für einen eDiscovery-Fall wurde ein Halteraum erstellt. Ein Halteraum kann mit oder ohne Angabe einer Inhaltsquelle erstellt werden. Wenn Inhaltsquellen angegeben sind, werden sie im Überwachungsprotokolleintrag identifiziert.
Gelöschter Halteraum aus eDiscovery-Fall	Remove-CaseHoldPolicy	Ein Halteraum, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Durch das Löschen eines Halteraums werden alle Inhaltsspeicherorte aus dem Halteraum entfernt. Das Löschen des Halteraums führt auch dazu, dass die dem Halteraum zugeordneten Aufbewahrungsregeln gelöscht werden (siehe Remove-CaseHoldRule).
Geänderter Halteraum im eDiscovery-Fall	Set-CaseHoldPolicy	Ein Halteraum, der einer eDiscovery zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Hinzufügen oder Entfernen von Inhaltsspeicherorten oder das Deaktivieren (Deaktivieren) des Halteraums.
Suchabfrage für eDiscovery-Fallspeicher erstellt	New-CaseHoldRule	Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde erstellt.
Gelöschte Suchabfrage für eDiscovery-Fallspeicher	Remove-CaseHoldRule	Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Das Entfernen der Abfrage aus dem Halteraum ist häufig das Ergebnis des Löschens eines Halteraums. Wenn eine Halte- oder Halteabfrage gelöscht wird, werden die Inhaltsspeicherorte, die sich im Halteraum befanden, freigegeben.
Geänderte Suchabfrage für den eDiscovery-Fallspeicher	Set-CaseHoldRule	Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Bearbeiten der Abfrage oder des Datumsbereichs für einen abfragebasierten Haltebereich.
eDiscovery-Fall erstellt	New-ComplianceCase	Es wurde ein eDiscovery-Fall erstellt. Wenn ein Fall erstellt wird, müssen Sie ihm nur einen Namen geben. Andere fallbezogene Aufgaben wie das Hinzufügen von Mitgliedern, das Erstellen von Haltebereichen und das Erstellen von Inhaltssuchen, die dem Fall zugeordnet sind, führen dazu, dass zusätzliche Ereignisse protokolliert werden.
eDiscovery-Fall gelöscht	Remove-ComplianceCase	Ein eDiscovery-Fall wurde gelöscht. Jeder mit dem Fall verknüpfte Halteraum muss entfernt werden, bevor der Fall gelöscht werden kann.
eDiscovery-Fall geändert	Set-ComplianceCase	Ein eDiscovery-Fall wurde geändert. Zu den Änderungen gehören das Schließen eines offenen Falls oder das erneute Öffnen eines geschlossenen Falls.
Mitglied zum eDiscovery-Fall hinzugefügt	Add-ComplianceCaseMember	Ein Benutzer wurde als Mitglied eines eDiscovery-Falls hinzugefügt. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben ausführen, je nachdem, ob ihm die erforderlichen Berechtigungen zugewiesen wurden.
Mitglied aus eDiscovery-Fall entfernt	Remove-ComplianceCaseMember	Ein Benutzer wurde als Mitglied eines eDiscovery-Falls entfernt.
Geänderte eDiscovery-Fallmitgliedschaft	Update-ComplianceCaseMember	Die Mitgliedschaftsliste eines eDiscovery-Falls wurde geändert. Diese Aktivität wird protokolliert, wenn alle Mitglieder durch eine Gruppe neuer Benutzer ersetzt werden. Wenn ein einzelnes Element hinzugefügt oder entfernt wird, wird der Vorgang Add-ComplianceCaseMember oder Remove-ComplianceCaseMember protokolliert.
Suche nach erstellten Inhalten	New-ComplianceSearch	Eine neue Inhaltssuche wurde erstellt.
Suche nach gelöschten Inhalten	Remove-ComplianceSearch	Eine vorhandene Inhaltssuche wurde gelöscht.
Inhaltssuche geändert	Set-ComplianceSearch	Eine vorhandene Inhaltssuche wurde geändert. Änderungen können das Hinzufügen oder Entfernen von Inhaltsspeicherorten, die durchsucht werden, und das Bearbeiten der Suchabfrage umfassen.
Inhaltssuche gestartet	Start-ComplianceSearch	Eine Inhaltssuche wurde gestartet. Wenn Sie eine Inhaltssuche über die GRAFISCHE Benutzeroberfläche des Complianceportals erstellen oder ändern, wird die Suche automatisch gestartet. Wenn Sie eine Suche mit dem Cmdlet New-ComplianceSearch oder Set-ComplianceSearch erstellen oder ändern, müssen Sie das Cmdlet Start-ComplianceSearch ausführen, um die Suche zu starten.
Inhaltssuche beendet	Stop-ComplianceSearch	Eine ausgeführte Inhaltssuche wurde beendet.
Suchaktion für erstellte Inhalte	New-ComplianceSearchAction	Eine Inhaltssuchaktion wurde erstellt. Inhaltssuchaktionen umfassen die Vorschau von Suchergebnissen, das Exportieren von Suchergebnissen, das Vorbereiten von Suchergebnissen für die Analyse in eDiscovery (Premium) und das endgültige Löschen von Elementen, die den Suchkriterien einer Inhaltssuche entsprechen.
Gelöschte Inhaltssuchaktion	Remove-ComplianceSearchAction	Eine Inhaltssucheaktion wurde gelöscht.
Suchberechtigungsfilter erstellt	New-ComplianceSecurityFilter	Ein Filter für Suchberechtigungen wurde erstellt.
Filter für Suchberechtigungen gelöscht	Remove-ComplianceSecurityFilter	Ein Filter für Suchberechtigungen wurde gelöscht.
Filter für Suchberechtigungen geändert	Set-ComplianceSecurityFilter	Ein Filter für Suchberechtigungen wurde geändert.
eDiscovery-Administrator erstellt	Add-eDiscoveryCaseAdmin	In Ihrem organization wurde ein Benutzer als eDiscovery-Administrator hinzugefügt.
eDiscovery-Administrator gelöscht	Remove-eDiscoveryCaseAdmin	Ein eDiscovery-Administrator wurde aus Ihrem organization gelöscht.
Geänderte eDiscovery-Administratormitgliedschaft	Update-eDiscoveryCaseAdmin	Die Liste der eDiscovery-Administratoren in Ihrem organization wurde geändert. Diese Aktivität wird protokolliert, wenn die Liste der eDiscovery-Administratoren durch eine Gruppe neuer Benutzer ersetzt wird. Wenn ein einzelner Benutzer hinzugefügt oder entfernt wird, wird der Vorgang Add-eDiscoveryCaseAdmin oder Remove-eDiscoveryCaseAdmin protokolliert.
(kein)	Get-ComplianceCase	Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von eDiscovery -Fällen (Standard) oder eDiscovery (Premium) angezeigt hat. Diese Aktivität wird auch protokolliert, wenn ein Benutzer einen bestimmten Fall in eDiscovery (Standard) anzeigt. Wenn ein Benutzer einen bestimmten Fall anzeigt, enthält der Überwachungsdatensatz die Identität des angezeigten Falls. Wenn der Benutzer nur eine Liste von Fällen angezeigt hat, enthält der Überwachungsdatensatz keine Fallidentität.
(kein)	Get-ComplianceSearch	Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von Inhaltssuchen oder Suchvorgängen im Zusammenhang mit einem eDiscovery (Standard)-Fall angezeigt hat. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine bestimmte Inhaltssuche oder eine bestimmte Suche anzeigt, die einem eDiscovery (Standard)-Fall zugeordnet ist. Wenn ein Benutzer eine bestimmte Suche anzeigt, enthält der Überwachungsdatensatz die Identität der angezeigten Suche. Wenn der Benutzer nur eine Liste von Suchvorgängen angezeigt hat, enthält der Überwachungsdatensatz keine Suchidentität.
(kein)	Get-ComplianceSearchAction	Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von Compliance-Suchaktionen (z. B. Exporte, Vorschauen oder Bereinigungen) oder Aktionen im Zusammenhang mit einem eDiscovery (Standard)-Fall angezeigt hat. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine bestimmte Konformitätssuchaktion (z. B. einen Export) oder eine bestimmte Aktion anzeigt, die einem eDiscovery (Standard)-Fall zugeordnet ist. Wenn ein Benutzer eine Suchaktion anzeigt, enthält der Überwachungsdatensatz die Identität der angezeigten Suchaktion. Wenn der Benutzer nur eine Liste von Aktionen angezeigt hat, enthält der Überwachungsdatensatz keine Aktionsidentität.

Detaillierte Eigenschaften für eDiscovery-Aktivitäten

In der folgenden Tabelle werden die Eigenschaften beschrieben, die auf der Flyoutseite für eine in den Suchergebnissen aufgeführte eDiscovery-Aktivität enthalten sind. Diese Eigenschaften sind auch in der CSV-Datei enthalten, wenn Sie die Überwachungsprotokollsuchergebnisse exportieren. Ein Überwachungsprotokolldatensatz für eine eDiscovery-Aktivität enthält nicht jede detaillierte Eigenschaft, die in der folgenden Tabelle aufgeführt ist.

Tipp

Wenn Sie die Suchergebnisse exportieren, enthält die CSV-Datei eine Spalte mit dem Namen AudtiData, die die in der folgenden Tabelle beschriebenen detaillierten Eigenschaften in einer mehrwertigen Eigenschaft enthält. Sie können die Power Query-Funktion in Excel verwenden, um diese Spalte in mehrere Spalten aufzuteilen, sodass jede Eigenschaft über eine eigene Spalte verfügt. Dadurch können Sie eine oder mehrere dieser Eigenschaften sortieren und filtern. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls.

Eigenschaft	Beschreibung
Fall	Die Identität (GUID) des eDiscovery-Falls, der erstellt, geändert oder gelöscht wurde.
ClientApplication	eDiscovery-Cmdlet-Aktivitäten haben für diese Eigenschaft den Wert EMC . Dies gibt an, dass die Aktivität mithilfe der GUI des Complianceportals oder mithilfe des Cmdlets in PowerShell ausgeführt wurde.
ClientIP	Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt.
ClientRequestId	Bei eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer.
CmdletVersion	Die Buildnummer für die Version des Complianceportals, das in Ihrem organization ausgeführt wird.
CreationTime	Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), zu dem die eDiscovery-Aktivität abgeschlossen wurde.
EffectiveOrganization	Der Name des Microsoft 365-organization.
ExchangeLocations	Die Exchange Online Postfächer, die in einer Inhaltssuche enthalten oder in einem eDiscovery-Fall im Haltefeld platziert werden.
Ausschlüsse	Postfach- oder Websitespeicherorte, die in einem eDiscovery-Fall von einer Inhaltssuche oder einem Haltefeld ausgeschlossen sind.
ExtendedProperties	Zusätzliche Eigenschaften aus einer Inhaltssuche, einer Inhaltssucheaktion oder halte in einem eDiscovery-Fall, z. B. die Objekt-GUID und die entsprechenden Cmdlet- und Cmdlet-Parameter, die beim Ausführen der Aktivität verwendet wurden.
Id	Die ID des Berichtseintrags. Die ID identifiziert den Überwachungsprotokolleintrag eindeutig.
NonPIIParameters	Eine Liste der Parameter (ohne Werte), die mit dem cmdlet verwendet wurden, das in der Operation-Eigenschaft angegeben ist. Die in dieser Eigenschaft aufgeführten Parameter sind identisch mit denen, die in der Parameters-Eigenschaft aufgeführt sind.
ObjectId	Die GUID oder der Name des Objekts (z. B. eine Inhaltssuche oder ein eDiscovery (Standard)-Fall), auf das von der in der Operation-Eigenschaft aufgeführten Aktivität erstellt, zugegriffen, geändert oder gelöscht wurde. Dieses Objekt wird auch in der Spalte Item in den Suchergebnissen des Überwachungsprotokolls identifiziert.
ObjectType	Der Typ des eDiscovery-Objekts, das der Benutzer erstellt, gelöscht oder geändert hat; Beispielsweise eine Inhaltssuchaktion (Vorschau, Export oder Bereinigung), ein eDiscovery-Fall oder eine Inhaltssuche.
Vorgang	Der Name des Vorgangs, der der ausgeführten eDiscovery-Aktivität entspricht.
OrganizationId	Die GUID für Ihre Microsoft 365-organization.
Parameter	Der Name und Wert für die Parameter, die mit dem entsprechenden Cmdlet verwendet wurden.
PublicFolderLocations	Die Speicherorte öffentlicher Ordner in Exchange Online, die in einer Inhaltssuche enthalten oder in einem eDiscovery-Fall im Haltefeld platziert werden.
Abfrage	Die der Aktivität zugeordnete Suchabfrage, z. B. eine Inhaltssuche oder ein abfragebasierter Halteraum.
RecordType	Der vom Datensatz angegebene Vorgangstyp. Der Wert 18 gibt ein Ereignis im Zusammenhang mit einer Aktivität an, die im Abschnitt eDiscovery-Cmdlet-Aktivitäten aufgeführt ist. Der Wert 24 gibt ein Ereignis im Zusammenhang mit einer Aktivität an, die im Abschnitt eDiscovery-Aktivitäten aufgeführt ist.
ResultStatus	Gibt an, ob die Aktion (in der Eigenschaft "Operation" angegeben) erfolgreich war oder nicht.
SecurityComplianceCenterEventType	Gibt an, dass es sich bei der Aktivität um ein Complianceportalereignis handelt. Alle eDiscovery-Aktivitäten haben für diese Eigenschaft den Wert 0 .
SharepointLocations	Die SharePoint Online-Websites, die in einer Inhaltssuche enthalten sind oder in einem eDiscovery-Fall im Haltefeld platziert werden.
StartTime	Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), als die eDiscovery-Aktivität gestartet wurde.
UserId	Der Benutzer, der die Aktivität ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde. Datensätze für eDiscovery-Aktivitäten, die von Systemkonten (z. B. NT AUTHORITY\SYSTEM) ausgeführt werden, sind ebenfalls im Überwachungsprotokoll enthalten.
UserKey	Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Bei eDiscovery-Aktivitäten ist der Wert für diese Eigenschaft in der Regel mit der UserId-Eigenschaft identisch.
UserServicePlan	Das von Ihrem organization verwendete Abonnement. Bei eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer.
UserType	Der Typ des Benutzers, der den Vorgang ausgeführt hat. Die folgenden Werte geben den Benutzertyp an. 0 Ein normaler Benutzer. 2 Ein Administrator in Ihrem organization. 3 Ein Microsoft-Rechenzentrumsadministrator- oder Rechenzentrumssystemkonto. 4 Ein Systemkonto. 5 Eine Anwendung. 6 Ein Dienstprinzipal.
Version	Gibt die Versionsnummer der aktivität (identifiziert durch die Operation-Eigenschaft) an, die protokolliert wird.
Arbeitslast	Der Dienst, in dem die Aktivität aufgetreten ist. Für eDiscovery-Aktivitäten lautet der Wert SecurityComplianceCenter.

Portalaktivitäten für verschlüsselte Nachrichten

Zugriffsprotokolle sind für verschlüsselte Nachrichten über das Portal für verschlüsselte Nachrichten verfügbar, mit denen Ihre Organisation bestimmen kann, wann Nachrichten gelesen und von ihren externen Empfängern weitergeleitet werden. Weitere Informationen zum Aktivieren und Verwenden von Aktivitätsprotokollen im Portal für verschlüsselte Nachrichten finden Sie unter Aktivitätsprotokoll des Portals für verschlüsselte Nachrichten.

Jeder Überwachungseintrag für eine nachverfolgte Nachricht enthält die folgenden Felder:

MessageID: Enthält die ID der Nachricht, die nachverfolgt wird. Der Schlüsselbezeichner, der verwendet wird, um einer Nachricht durch das System zu folgen.
Empfänger: Liste aller Empfänger-E-Mail-Adressen.
Absender: Die ursprüngliche E-Mail-Adresse.
AuthenticationMethod: Beschreibt die Authentifizierungsmethode für den Zugriff auf die Nachricht, z. B. OTP, Yahoo, Gmail oder Microsoft.
AuthenticationStatus: Enthält einen Wert, der angibt, dass die Authentifizierung erfolgreich war oder fehlgeschlagen ist.
OperationStatus: Gibt an, ob der angegebene Vorgang erfolgreich war oder fehlgeschlagen ist.
AttachmentName: Name der Anlage.
OperationProperties: Eine Liste optionaler Eigenschaften. Beispielsweise die Anzahl der gesendeten OTP-Kennungen oder der E-Mail-Betreff.

Exchange-Administratoraktivitäten

Mit der Exchange-Administratorüberwachungsprotokollierung, die in Microsoft 365 standardmäßig aktiviert ist, wird ein Ereignis im Überwachungsprotokoll erfasst, wenn ein Administrator (oder ein Benutzer, dem Administratorrechte zugewiesen wurden) eine Änderung in Ihrer Exchange Online-Organisation vornimmt. Änderungen, die im Exchange Admin Center oder durch Ausführen eines Cmdlets in der Exchange Online PowerShell vorgenommen werden, werden im Exchange-Administratorüberwachungsprotokoll erfasst. Cmdlets, die mit den Verben Get-, Search- oder Test- beginnen, werden nicht im Überwachungsprotokoll protokolliert. Ausführlichere Informationen zur Administratorüberwachungsprotokollierung in Exchange finden Sie unter Administratorüberwachungsprotokollierung.

Wichtig

Einige Exchange Online-Cmdlets, die nicht im Exchange-administratorüberwachungsprotokoll (oder im Überwachungsprotokoll) protokolliert sind. Viele dieser Cmdlets beziehen sich auf die Verwaltung des Exchange Online-Diensts und werden vom Personal des Microsoft-Rechenzentrums oder Dienstkonten ausgeführt. Diese Cmdlets werden nicht protokolliert, weil die große Anzahl von Überwachungsereignissen zu großem „Rauschen“ führen würde. Wenn ein nicht überwachtes Exchange Online Cmdlet vorhanden ist, übermitteln Sie dem Microsoft-Support bitte eine Entwurfsänderungsanforderung (Design Change Request, DCR).

Nachfolgend finden Sie einige Tipps für die Suche nach Exchange-Administratoraktivitäten beim Durchsuchen des Überwachungsprotokolls:

Verwenden Sie die Felder für Datumsbereiche und die Liste Benutzer, um die Suchergebnisse auf Cmdlets zu begrenzen, die von einem bestimmten Exchange-Administrator innerhalb eines bestimmten Zeitraums ausgeführt wurden.
Um Ereignisse aus dem Exchange-Administratorüberwachungsprotokoll anzuzeigen, wählen Sie die Spalte Aktivität aus, um die Cmdlet-Namen in alphabetischer Reihenfolge zu sortieren.
Um Informationen darüber zu erhalten, welches Cmdlet ausgeführt wurde, welche Parameter und Parameterwerte verwendet wurden und welche Objekte betroffen waren, können Sie die Suchergebnisse exportieren, indem Sie die Option Alle Ergebnisse herunterladen auswählen. Weiter Informationen findn Sie unterExportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen.
Sie können auch den Befehl Search-UnifiedAuditLog -RecordType ExchangeAdmin in der Exchange Online PowerShell verwenden, um nur Überwachungsdatensätze aus dem Exchange-Administratorüberwachungsprotokoll zurückzugeben. Nach der Ausführung eines Exchange-Cmdlet kann es bis zu 30 Minuten dauern, bis der entsprechende Überwachungsprotokolleintrag in den Suchergebnissen zurückgegeben wird. Weitere Informationen finden Sie unter Search-UnifiedAuditLog. Informationen zum Exportieren der vom Search-UnifiedAuditLog-Cmdlet zurückgegebenen Suchergebnisse in eine CSV-Datei finden Sie im Abschnitt „Tipps zum Exportieren, konfigurieren und Anzeigen des Überwachungsprotokolls“ in Exportieren und Anzeigen des Überwachungsprotokolls.

Exchange-Postfachaktivitäten

In der folgenden Tabelle sind die Aktivitäten aufgelistet, die von der Postfachüberwachungsprotokollierung erfasst werden können. Postfachaktivitäten, die vom Postfachbesitzer, einem delegierten Benutzer oder einem Administrator ausgeführt werden, werden bis zu 180 Tage lang automatisch im Überwachungsprotokoll protokolliert. Ein Administrator kann die Postfachüberwachungsprotokollierung für alle Benutzer in Ihrer Organisation deaktivieren. In diesem Fall werden für alle Benutzer Postfachaktivitäten nicht protokolliert. Weitere Informationen finden Sie unter Postfachüberwachungen verwalten.

Wichtig

Der Standardaufbewahrungszeitraum für Audit (Standard) wurde von 90 Tagen auf 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.

Sie können auch mithilfe des Cmdlets Search-MailboxAuditLog in der Exchange Online PowerShell nach Postfachaktivitäten suchen.

Anzeigename	Vorgang	Beschreibung
Zugegriffene Postfachelemente	MailItemsAccessed	Nachrichten wurden gelesen oder es wurde im Postfach darauf zugegriffen. Überwachungsdatensätze für diese Aktivität werden auf eine von zwei Arten ausgelöst: Wenn ein E-Mail-Client (wie z.Bb. Outlook) einen Bindungsvorgang für Nachrichten ausführt oder wenn E-Mail-Protokolle (wie Exchange ActiveSync oder IMAP) Elemente in einem E-Mail-Ordner synchronisieren. Die Analyse von Überwachungsdatensätzen für diese Aktivität ist hilfreich bei der Untersuchung eines kompromittierten E-Mail-Kontos.
Postfachberechtigungen für Stellvertretung hinzugefügt	Add-MailboxPermission	Ein Administrator hat einem Benutzer die Postfachberechtigung „FullAccess“ für das Postfach einer anderen Person zugewiesen (auch „Stellvertretung“ genannt). Die Berechtigung "FullAccess" erlaubt der Stellvertretung, das Postfach der anderen Person zu öffnen sowie den Inhalt des Postfachs zu lesen und zu verwalten. Der Überwachungsdatensatz für diese Aktivität wird auch generiert, wenn ein Systemkonto im Microsoft 365-Dienst regelmäßig Wartungsaufgaben im Auftrag Ihrer Organisation ausführt. Eine gängige Aufgabe, die von einem Systemkonto ausgeführt wird, ist das Aktualisieren der Berechtigungen für Systempostfächer. Weitere Informationen finden Sie unter Systemkonten in Postfachüberwachungsdatensätzen von Exchange.
Benutzer mit Stellvertretungszugriff auf den Kalenderordner hinzugefügt oder entfernt	UpdateCalendarDelegation	Ein Benutzer wurde als Stellvertretung für den Kalender eines anderen Benutzers hinzugefügt oder entfernt. Der Stellvertretungszugriff gibt anderen Personen in der gleichen Organisation die Berechtigung zum Verwalten des Kalenders des Postfachbesitzers.
Berechtigungen für Ordner hinzugefügt	AddFolderPermissions	Eine Ordnerberechtigung wurde hinzugefügt. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden.
Nachrichten in anderen Ordner kopiert	Copy	Eine Nachricht wurde in einen anderen Ordner kopiert.
Erstelltes Postfachelement	Erstellen	Ein Element wird im „Kalender“, in den „Kontakten“, den „Notizen“ oder im „Aufgabenordner“ des Postfachs erstellt. Ein Beispiel: Es wird eine neue Besprechungsanfrage erstellt. Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. Außerdem wird das Erstellen eines Postfachordners nicht überwacht.
Neue Posteingangsregel in der Outlook Web App erstellt	New-InboxRule	Ein Postfachbesitzer oder ein anderer Benutzer mit Zugriff auf das Postfach hat in der Outlook Web App eine Posteingangsregel erstellt.
Nachrichten aus Ordner „Gelöschte Elemente“ gelöscht	SoftDelete	Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Diese Elemente werden in den Ordner "Wiederherstellbare Elemente" verschoben. Nachrichten werden auch in den Ordner „Wiederherstellbare Elemente“ verschoben, wenn ein Benutzer diese auswählt undUMSCHALT+ENTF drückt.
Nachricht als Datensatz klassifiziert	ApplyRecordLabel	Eine Nachricht wurde als Datensatz klassifiziert. Tritt auf, wenn eine Aufbewahrungsbezeichnung, die Inhalte als Datensatz klassifiziert, manuell oder automatisch auf eine Nachricht angewendet wird.
Nachrichten in anderen Ordner verschoben	Move	Eine Nachricht wurde in einen anderen Ordner verschoben.
Nachrichten in Ordner "Gelöschte Elemente" verschoben	MoveToDeletedItems	Eine Nachricht wurde gelöscht und in den Ordner "Gelöschte Elemente" verschoben.
Ordnerberechtigung geändert	UpdateFolderPermissions	Eine Ordnerberechtigung wurde geändert. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Postfachordner und die Nachrichten in diesen Ordnern zugreifen können.
Posteingangsregel in Outlook Web App geändert	Set-InboxRule	Ein Postfachbesitzer oder ein anderer Benutzer mit Zugriff auf das Postfach hat in der Outlook Web App eine Posteingangsregel geändert.
Nachrichten aus Postfach gelöscht	HardDelete	Eine Nachricht wurde aus dem Ordner "Wiederherstellbare Elemente" gelöscht (dauerhaft aus dem Postfach entfernt).
Postfachberechtigungen für Stellvertretung entfernt	Remove-MailboxPermission	Ein Administrator hat die Berechtigung „FullAccess“ (die einer Stellvertretung zugewiesen wurde) aus dem Postfach einer Person entfernt. Nachdem die Berechtigung „FullAccess“ entfernt wurde, kann die Stellvertretung das Postfach der anderen Person nicht mehr öffnen und nicht mehr auf Inhalte in dem Postfach zugreifen.
Ordnerberechtigung entfernt	RemoveFolderPermissions	Eine Ordnerberechtigung wurde entfernt. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden.
Gesendete Nachricht	Senden	Eine Nachricht wurde gesendet, beantwortet oder weitergeleitet.
Nachricht mit Berechtigungen vom Typ "Senden als" gesendet	SendAs	Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, dass sie vom Postfachbesitzer zu kommen scheint.
Nachricht mit Berechtigungen vom Typ "Senden im Auftrag von" gesendet	SendOnBehalf	Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Namen des Postfachbesitzers gesendet hat. Bei der Nachricht ist für den Empfänger angegeben, in wessen Auftrag die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat.
Posteingangsregeln des Outlook-Clients aktualisiert	UpdateInboxRules	Ein Postfachbesitzer oder ein anderer Benutzer mit Zugriff auf das Postfach hat unter Verwendung des Outlook-Clients eine Posteingangsregel erstellt, geändert oder entfernt.
Nachricht aktualisiert	Update	Eine Nachricht oder ihre Eigenschaften wurden geändert.
Benutzer am Postfach angemeldet	MailboxLogin	Der Benutzer hat sich bei seinem Postfach angemeldet.
Nachricht als Datensatz bezeichnen		Ein Benutzer hat eine Aufbewahrungsbezeichnung auf eine E-Mail-Nachricht angewendet, und diese Bezeichnung ist so konfiguriert, dass das Element als Datensatz gekennzeichnet wird.

Systemkonten in Postfachüberwachungsdatensätzen von Exchange

In „Überwachungsdatensätzen für einige Postfachaktivitäten“ (insbesondere Add-MailboxPermissions) fällt Ihnen möglicherweise auf, dass der Benutzer, der die Aktivität ausgeführt hat (und in den Feldern „Benutzer“ und „Benutzer-ID“ angegeben ist), NT AUTHORITY\SYSTEM oder NT AUTHORITY\SYSTEM(Microsoft.Exchange ist. Servicehost). Dies weist darauf hin, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um ein Systemkonto im Exchange-Dienst in der Microsoft-Cloud handelte. Dieses Systemkonto führt häufig geplante Wartungsaufgaben im Auftrag Ihrer Organisation aus. Beispielsweise eine allgemeine überwachte Aktivität, die vom Konto NT AUTHORITY\SYSTEM(Microsoft.Exchange. ServiceHost) durchgeführt wird, ist das Aktualisieren der Berechtigungen für DiscoverySearchMailbox, bei der es sich um ein Systempostfach handelt. Mit diesem Update soll überprüft werden, ob die FullAccess-Berechtigung (die als Standardeinstellung gilt) der Rollengruppe "Discoveryverwaltung" für DiscoverySearchMailbox zugewiesen ist. Stellt sicher, dass eDiscovery-Administratoren die erforderlichen Aufgaben in ihren organization ausführen können.

Ein weiteres Systembenutzerkonto, das in einem Überwachungsdatensatz für Add-MailboxPermission identifiziert werden kann, ist Administrator@apcprd03.prod.outlook.com. Dieses Dienstkonto ist auch in Postfachüberwachungsdatensätzen enthalten, die sich auf die Überprüfung und Aktualisierung der FullAccess-Berechtigung beziehen, die der Rollengruppe "Discoveryverwaltung" für das DiscoverySearchMailbox-Systempostfach zugewiesen ist. Insbesondere Überwachungsdatensätze, die das Konto identifizieren, werden in der Administrator@apcprd03.prod.outlook.com Regel ausgelöst, wenn Microsoft-Supportmitarbeiter ein diagnosetool für die rollenbasierte Zugriffssteuerung im Namen Ihrer organization ausführen.

Datei- und Seitenaktivitäten

In der folgenden Tabelle sind die Datei- und Seitenaktivitäten in SharePoint Online und OneDrive for Business beschrieben.

Anzeigename	Vorgang	Beschreibung
Dateizugriff	FileAccessed	Der Benutzer oder das Systemkonto greift auf eine Datei zu. Sobald ein Benutzer auf eine Datei zugreift, wird das FileAccessed-Ereignis für denselben Benutzer für dieselbe Datei für die nächsten fünf Minuten nicht erneut protokolliert.
(kein)	FileAccessedExtended	Dies bezieht sich auf die Aktivität "Dateizugriff" (FileAccessed). Wenn dieselbe Person während eines längeren Zeitraums (bis zu drei Stunden) ständig auf eine Datei zugreift, wird ein FileAccessedExtended-Ereignis protokolliert. Die Protokollierung von FileAccessedExtended-Ereignissen dient dazu, die Anzahl von FileAccessed-Ereignissen zu verringern, die beim ständigen Zugriff auf eine Datei protokolliert werden. Auf diese Weise lässt sich der Stördatenverkehr von mehreren FileAccessed-Einträgen besser reduzieren, bei denen die Benutzeraktivität im Wesentlichen identisch ist, sodass Sie sich auf das ursprüngliche (und wichtigere) FileAccessed-Ereignis konzentrieren können.
Geänderte Aufbewahrungsbezeichnung für eine Datei	ComplianceSettingChanged	Eine Aufbewahrungsbezeichnung wurde auf ein Dokument angewendet oder daraus entfernt. Dieses Ereignis wird ausgelöst, wenn eine Aufbewahrungsbezeichnung manuell oder automatisch auf eine Nachricht angewendet wird.
Datensatzstatus in "gesperrt" geändert	LockRecord	Der Datensatzstatus einer Aufbewahrungsbezeichnung, die ein Dokument als Datensatz klassifiziert, wurde gesperrt. Dies bedeutet, dass das Dokument nicht geändert oder gelöscht werden kann. Nur Benutzer, denen mindestens die Berechtigung „Mitwirkender“ für eine Website zugewiesen ist, können den Datensatzstatus eines Dokuments ändern.
Datensatzstatus in "nicht gesperrt" geändert	UnlockRecord	Der Datensatzstatus einer Aufbewahrungsbezeichnung, die ein Dokument als Datensatz klassifiziert, wurde entsperrt. Dies bedeutet, dass das Dokument geändert oder gelöscht werden kann. Nur Benutzer, denen mindestens die Berechtigung „Mitwirkender“ für eine Website zugewiesen ist, können den Datensatzstatus eines Dokuments ändern.
Datei eingecheckt	FileCheckedIn	Der Benutzer checkt ein Dokument ein, das er aus einer Dokumentbibliothek ausgecheckt hat.
Datei ausgecheckt	FileCheckedOut	Der Benutzer checkt ein Dokument aus, das sich in einer Dokumentbibliothek befindet. Benutzer können alle Dokumente, die für sie freigegeben wurden, auschecken oder ändern.
Datei kopiert	FileCopied	Der Benutzer kopiert ein Dokument von einer Website. Die kopierte Datei kann in einem anderen Ordner auf der Website gespeichert werden.
Datei gelöscht	FileDeleted	Der Benutzer löscht ein Dokument von einer Website.
Datei aus Papierkorb gelöscht	FileDeletedFirstStageRecycleBin	Der Benutzer löscht eine Datei aus dem Papierkorb einer Website.
Datei aus endgültigem Papierkorb gelöscht	FileDeletedSecondStageRecycleBin	Der Benutzer löscht eine Datei aus dem endgültigen Papierkorb einer Website.
Gelöschte Datei als Datensatz gekennzeichnet	RecordDelete	Ein als Datensatz gekennzeichnetes Dokument oder eine als Datensatz gekennzeichnete E-Mail wurde gelöscht. Ein Element wird als Datensatz betrachtet, wenn eine Aufbewahrungsbezeichnung, die Elemente als Datensatz kennzeichnet, auf das Element angewendet wird.
Konflikt in Bezug auf die Vertraulichkeitskennzeichnung eines Dokuments	DocumentSensitivityMismatchDetected	Der Benutzer lädt ein Dokument auf eine Website hoch, die mit einer Vertraulichkeitsbezeichnung geschützt ist, und das Dokument weist eine Vertraulichkeitsbezeichnung mit höherer Priorität als die Vertraulichkeitsbezeichnung der Website auf. So wird beispielsweise ein Dokument, das als vertraulich bezeichnet wird, auf eine Website hochgeladen, die mit "Allgemein" bezeichnet ist. Dieses Ereignis wird nicht ausgelöst, wenn die auf ein Dokument angewendete Vertraulichkeitsbezeichnung eine niedrigere Priorität hat als die auf die Website angewendete Vertraulichkeitsbezeichnung. So wird beispielsweise ein Dokument, das als Allgemein bezeichnet wird, auf eine Website hochgeladen, die mit Vertraulich bezeichnet ist. Weitere Informationen über die Priorität von Vertraulichkeitsbezeichnungen finden Sie unter Priorität der Bezeichnungen (Reihenfolge wesentlich).
Malware in einer Datei erkannt	FileMalwareDetected	Der SharePoint-Virenschutz erkennt Schadsoftware in einer Datei.
Auschecken einer Datei verworfen	FileCheckOutDiscarded	Der Benutzer verwirft (oder rückgängig) eine ausgecheckte Datei. Das bedeutet, dass alle Änderungen, die beim Auschecken an der Datei vorgenommen wurden, verworfen und nicht in der Version des Dokuments in der Dokumentbibliothek gespeichert werden.
Datei heruntergeladen	FileDownloaded	Der Benutzer lädt ein Dokument von einer Website herunter.
Datei geändert	FileModified	Der Benutzer oder das Systemkonto ändert den Inhalt oder die Eigenschaften eines Dokuments auf einer Website. Das System wartet fünf Minuten, bevor ein anderes FileModified-Ereignis protokolliert wird, wenn derselbe Benutzer den Inhalt oder die Eigenschaften desselben Dokuments ändert.
(keine)	FileModifiedExtended	Dies bezieht sich auf die Aktivität "Datei geändert" (FileModified). Wenn dieselbe Person während eines längeren Zeitraums (bis zu 3 Stunden) eine Datei ständig ändert, wird ein FileModifiedExtended-Ereignis protokolliert. Die Protokollierung von FileModifiedExtended-Ereignissen dient dazu, die Anzahl von FileModified-Ereignissen zu verringern, die bei ständiger Änderung einer Datei protokolliert werden. Auf diese Weise lässt sich der Stördatenverkehr von mehreren FileModified-Einträgen besser reduzieren, bei denen die Benutzeraktivität im Wesentlichen identisch ist, sodass Sie sich auf das ursprüngliche (und wichtigere) FileModified-Ereignis konzentrieren können.
Datei verschoben	FileMoved	Der Benutzer verschiebt ein Dokument von seinem aktuellen Speicherort auf einer Website an einen neuen Speicherort.
(keine)	FilePreviewed	Ein Benutzer zeigt eine Vorschau einer Datei auf einer SharePoint- oder OneDrive for Business-Website an. Diese Ereignisse treten in der Regel in großem Umfang basierend auf einer einzelnen Aktivität auf, z. B. der Anzeige einer Bildergalerie.
Suchabfrage durchgeführt	SearchQueryPerformed	Der Benutzer oder das Systemkonto nimmt eine Suche auf einer SharePoint- oder OneDrive for Business-Website vor. Zu den gängigen Szenarien, in denen ein Dienstkonto eine Suchabfrage ausführt, gehören das Anwenden einer eDiscovery-Aufbewahrungs- und Aufbewahrungsrichtlinie auf Websites und OneDrive-Konten sowie das automatische Anwenden von Aufbewahrungs- oder Vertraulichkeitsbezeichnungen auf Websiteinhalte. Informationen zum Aktivieren der Protokollierung für diese Aktivität finden Sie unter Erste Schritte mit Überwachungslösungen.
Eine Datei in den Papierkorb verschoben	FileRecycled	Der Benutzer verschiebt eine Datei in den SharePoint-Papierkorb.
Ein Ordner in den Papierkorb verschoben	FolderRecycled	Der Benutzer verschiebt einen Ordner in den SharePoint-Papierkorb.
Alle Nebenversionen einer Datei in den Papierkorb verschoben	FileVersionsAllMinorsRecycled	Benutzer löscht alle Nebenversionen aus dem Versionsverlauf einer Datei. Die gelöschten Versionen werden in den Papierkorb der Website verschoben.
Alle Versionen der Datei in den Papierkorb	FileVersionsAllRecycled	Benutzer löscht alle Versionen aus dem Versionsverlauf einer Datei. Die gelöschten Versionen werden in den Papierkorb der Website verschoben.
Dateiversion in den Papierkorb	FileVersionRecycled	Benutzer löscht eine Version aus dem Versionsverlauf einer Datei. Die gelöschte Version wird in den Papierkorb der Website verschoben.
Datei umbenannt	FileRenamed	Der Benutzer benennt ein Dokument um.
Datei wiederhergestellt	FileRestored	Der Benutzer stellt ein Dokument aus dem Papierkorb einer Website wieder her.
Datei hochgeladen	FileUploaded	Der Benutzer lädt ein Dokument in einen Ordner auf einer Website hoch.
Seite angezeigt	PageViewed	Der Benutzer zeigt eine Seite auf einer Website an. Dieser Vorgang schließt nicht das Verwenden eines Webbrowsers zum Anzeigen von in Dokumentbibliotheken gespeicherten Dateien ein. Sobald ein Benutzer eine Seite anzeigt, wird das PageViewed-Ereignis für denselben Benutzer für dieselbe Seite für die nächsten fünf Minuten nicht erneut protokolliert.
(keine)	PageViewedExtended	Dies bezieht sich auf die Aktivität "Seite angezeigt" (PageViewed). Wenn dieselbe Person während eines längeren Zeitraums (bis zu 3 Stunden) eine Webseite ständig anzeigt, wird ein PageViewedExtended-Ereignis protokolliert. Die Protokollierung von PageViewedExtended-Ereignissen dient dazu, die Anzahl von PageViewed-Ereignissen zu verringern, die beim ständigen Anzeigen einer Seite protokolliert werden. Auf diese Weise lässt sich der Stördatenverkehr von mehreren PageViewed-Einträgen besser reduzieren, bei denen die Benutzeraktivität im Wesentlichen identisch ist, sodass Sie sich auf das ursprüngliche (und wichtigere) PageViewed-Ereignis konzentrieren können.
Aufruf wird vom Client signalisiert	ClientViewSignaled	Ein Benutzerclient (z. B. eine Website oder einer mobile App) hat signalisiert, dass die angegebene Seite vom Benutzer aufgerufen wurde. Diese Aktivität wird häufig nach einem PagePrefetched-Ereignis für eine Seite protokolliert. Hinweis: Da ClientViewSignaled-Ereignisse vom Client und nicht vom Server signalisiert werden, ist es möglich, dass das Ereignis nicht vom Server protokolliert wird und daher im Überwachungsprotokoll nicht auftaucht. Es ist auch möglich, dass die Informationen im Überwachungsdatensatz möglicherweise nicht zuverlässig sind. Da die Identität des Benutzers aber durch das Token überprüft wird, mit dem das Signal erstellt wurde, ist die im entsprechenden Überwachungsdatensatz aufgelistete Identität des Benutzers korrekt. Das System wartet fünf Minuten, bevor es dasselbe Ereignis protokolliert, wenn der Client desselben Benutzers signalisiert, dass die Seite erneut vom Benutzer angezeigt wurde.
(keine)	PagePrefetched	Der Client eines Benutzers (beispielsweise eine Website oder eine Mobile App) hat die angegebene Seite angefordert, um die Leistung zu verbessern, wenn der Benutzer zu ihr navigiert. Dieses Ereignis wird protokolliert, um anzugeben, dass der Seiteninhalt für den Client des Benutzers bereitgestellt wurden. Dieses Ereignis ist kein definitiver Hinweis darauf, dass der Benutzer zu der Seite navigiert ist. Wenn der Seiteninhalt vom Client (gemäß der Anforderung des Benutzers) gerendert wird, sollte ein ClientViewSignaled-Ereignis generiert werden. Nicht alle Clients unterstützen die Angabe eines Vorabrufs, und daher können einige vorab abgerufene Aktivitäten stattdessen als PageViewed-Ereignisse protokolliert werden.

Häufig gestellte Fragen zu den Ereignissen „FileAccessed“ und „FilePreviewed“

Könnten Nicht-Benutzer-Aktivitäten FilePreviewed-Überwachungsdatensätze auslösen, die einen Benutzer-Agent wie „OneDriveMpc-Transform_Thumbnail“ enthalten?

Szenarien, in denen Nichtbenutzeraktionen Ereignisse wie diese generieren, sind uns nicht bekannt. Benutzeraktionen wie das Öffnen eines Benutzerprofils Karte (durch Auswählen des Namens oder der E-Mail-Adresse in einer Nachricht in Outlook im Web) würden ähnliche Ereignisse generieren.

Werden Aufrufe von „OneDriveMpc-Transform_Thumbnail“ immer absichtlich vom Benutzer ausgelöst?

Nein. Ähnliche Ereignisse können jedoch als Ergebnis des Browser-Vorabrufs protokolliert werden.

Wenn wir ein FilePreviewed-Ereignis sehen, das von einer bei Microsoft registrierten IP-Adresse stammt, bedeutet dies, dass die Vorschau auf dem Bildschirm des Benutzergeräts angezeigt wurde?

Nein. Das Ereignis wurde möglicherweise als Ergebnis des Vorabrufs des Browsers protokolliert.

Gibt es Szenarien, in denen ein Benutzer, der die Vorschau eines Dokuments anzeigt, FileAccessed-Ereignisse generiert?

Sowohl das „FilePreviewed“- als auch das „FileAccessed“-Ereignis weist darauf hin, dass der Aufruf eines Benutzers das Lesen der Datei ausgelöst hat (oder das Lesen des Renderings einer Miniaturansicht der Datei). Diese Ereignisse sind zwar dazu gedacht, sich an der Vorschau- bzw. Zugriffs-Absicht zu orientieren, doch die Ereignisunterscheidung ist keine Garantie für die Absicht des Benutzers.

Der app@sharepoint Benutzer in Überwachungsdatensätzen

Ihnen ist möglicherweise aufgefallen, dass in Überwachungsdatensätzen für einige Dateiaktivitäten (und andere SharePoint-bezogene Aktivitäten) der Benutzer, der die Aktivität ausgeführt hat (in den Feldern "Benutzer" und "Benutzer-ID" aufgeführt), als "app@sharepoint" angegeben ist. Dies weist darauf hin, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt. In diesem Fall hatte die Anwendung in SharePoint die Berechtigung erhalten, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Dienstes auszuführen. Dieser Vorgang zur Erteilung von Berechtigungen für eine Anwendung heißt "Nur SharePoint-App-Zugriff". Dies weist darauf hin, dass die Authentifizierung, die SharePoint zum Ausführen einer Aktion präsentiert wurde, von einer Anwendung anstelle eines Benutzers vorgenommen wurde. Dies ist der Grund, warum in manchen Überwachungsdatensätzen der "app@sharepoint"-Benutzer angegeben wird. Weitere Informationen finden Sie unter Gewähren des "Nur SharePoint-App"-Zugriffs.

"app@sharepoint" wird beispielsweise häufig als Benutzer bei Ereignissen wie ausgeführte Suchabfragen und Dateizugriffe angegeben. Der Grund dafür ist, dass eine Anwendung mit "Nur SharePoint-App"-Zugriff in Ihrer Organisation Suchabfragen ausführt und auf Dateien zugreift, wenn Aufbewahrungsrichtlinien auf Websites und OneDrive-Konten angewendet werden.

Nachstehend sind einige weitere Szenarien aufgeführt, in denen "app@sharepoint" als Benutzer, der eine Aktivität ausgeführt hat, in einem Überwachungsprotokoll angegeben werden kann:

Microsoft 365-Gruppen. Wenn ein Benutzer oder Administrator eine neue Gruppe erstellt, werden Überwachungsdatensätze für die Erstellung einer Websitesammlung, das Aktualisieren von Listen und das Hinzufügen von Mitgliedern zu einer SharePoint-Gruppe generiert. Diese Aufgaben werden von einer Anwendung im Namen des Benutzers ausgeführt, der die Gruppe erstellt hat.
Microsoft Teams: Bei der Erstellung eines Teams werden ähnlich wie bei Microsoft 365-Gruppen Überwachungsdatensätze für die Erstellung einer Websitesammlung, das Aktualisieren von Listen und das Hinzufügen von Mitgliedern zu einer SharePoint-Gruppe generiert.
Kompatibilitätsfeatures. Wenn ein Administrator Compliancefeatures implementiert, z. B. Aufbewahrungsrichtlinien, eDiscovery-Haltebereiche und automatisches Anwenden von Vertraulichkeitsbezeichnungen.

In diesen und weiteren Szenarios werden Sie außerdem feststellen, dass mehrere Überwachungsdatensätze mit "app@sharepoint" als angegebenen Benutzer innerhalb eines sehr kurzen Zeitrahmens erstellt wurden, häufig innerhalb weniger Sekunden. Dies bedeutet ebenfalls, dass sie wahrscheinlich von demselben vom benutzerinitiierten Vorgang ausgelöst wurden. Die Felder "ApplicationDisplayName" und "EventData" im Überwachungsdatensatz helfen Ihnen möglicherweise, das Szenario oder den Dienst zu ermitteln, durch das/den dieses Ereignis ausgelöst wurde.

Ordneraktivitäten

In der folgenden Tabelle sind die Ordneraktivitäten in SharePoint Online und OneDrive for Business beschrieben. Wie bereits erläutert, geben Überwachungsdatensätze für einige SharePoint-Aktivitäten an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.

Anzeigename	Vorgang	Beschreibung
Ordner kopiert	FolderCopied	Ein Benutzer in SharePoint oder OneDrive for Business kopiert einen Ordner von einer Website zu einer anderen.
Ordner erstellt	FolderCreated	Der Benutzer erstellt einen Ordner auf einer Website.
Ordner gelöscht	FolderDeleted	Der Benutzer löscht einen Ordner von einer Website.
Ordner aus Papierkorb gelöscht	FolderDeletedFirstStageRecycleBin	Der Benutzer löscht einen Ordner aus dem Papierkorb auf einer Website.
Ordner aus endgültigem Papierkorb gelöscht	FolderDeletedSecondStageRecycleBin	Der Benutzer löscht einen Ordner aus dem endgültigen Papierkorb auf einer Website.
Ordner geändert	FolderModified	Der Benutzer ändert einen Ordner auf einer Website. Dies schließt das Ändern der Ordnermetadaten, beispielsweise das Ändern von Tags und Eigenschaften, ein.
Ordner verschoben	FolderMoved	Der Benutzer verschiebt einen Ordner an eine andere Position auf einer Website.
Ordner umbenannt	FolderRenamed	Der Benutzer benennt einen Ordner auf einer Website um.
Ordner wiederhergestellt	FolderRestored	Der Benutzer stellt einen gelöschten Ordner aus dem Papierkorb auf einer Website wieder her.

Informationsbarrierenaktivitäten

In der folgenden Tabelle sind die Aktivitäten in Informationsbarrieren aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Informationsbarrieren finden Sie unter Weitere Informationen zu Informationsbarrieren in Microsoft 365.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Anzeigename	Vorgang	Beschreibung
AppBypassInformationBarrier-Einstellung für den Mandanten geändert	AppBypassInformationBarrier	Ein SharePoint- oder globaler Administrator hat den Zugriff auf Apps für SharePoint-Websites geändert.
Angewendeter Informationsbarrieremodus auf die Website	SiteIBModeSet	Ein SharePoint- oder globaler Administrator hat einen Modus auf die Website angewendet.
Angewendete Segmente auf die Website	SiteIBSegmentsSet	Ein SharePoint-Administrator, ein globaler Administrator oder ein Websitebesitzer hat einer Website ein oder mehrere Informationsbarrierensegmente hinzugefügt.
Geänderter Informationsbarrieremodus der Website	SiteIBModeChanged	Ein SharePoint- oder globaler Administrator hat den Modus der Website aktualisiert.
Geänderte Segmente der Website	SiteIBSegmentsChanged	Ein SharePoint-Administrator oder ein globaler Administrator hat ein oder mehrere Informationsbarrierensegmente für eine Website geändert.
Deaktivierte Informationsbarrieren für SharePoint und OneDrive	SPOIBIsDisabled	Ein SharePoint- oder globaler Administrator hat Informationsbarrieren für SharePoint und OneDrive im organization deaktiviert.
Aktivierte Informationsbarrieren für SharePoint und OneDrive	SPOIBIsEnabled	Ein SharePoint- oder globaler Administrator hat Informationsbarrieren für SharePoint und OneDrive im organization deaktiviert.
Bericht zu Erkenntnissen zu Informationsbarrieren abgeschlossen	InformationBarriersInsightsReportCompleted	Das System schließt die Erstellung des Berichts zu Erkenntnissen zu Informationsbarrieren ab.
OneDrive-Abschnitt "Informationsbarrieren–Erkenntnisse" abgefragt	InformationBarriersInsightsReportOneDriveSectionQueried	Ein Administrator fragt den Bericht zu Erkenntnissen zu Informationsbarrieren für OneDrive-Konten ab.
Bericht zu Erkenntnissen zu Informationsbarrieren geplant	InformationBarriersInsightsReportSchedule	Ein Administrator plant den Bericht zu Erkenntnissen zu Informationsbarrieren.
SharePoint-Abschnitt des Berichts "Erkenntnisse zu Informationsbarrieren" abgefragt	InformationBarriersInsightsReportSharePointSectionQueried	Ein Administrator fragt den Bericht zu Erkenntnissen zu Informationsbarrieren für SharePoint-Websites ab.
Segment vom Standort entfernt	SiteIBSegmentsRemoved	Ein SharePoint-Administrator oder ein globaler Administrator hat ein oder mehrere Informationsbarrierensegmente aus einer Website gelöscht.

Microsoft Defender for Endpoint allgemeine Einstellungsaktivitäten

In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint allgemeinen Einstellungen aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu den Einstellungen Microsoft Defender for Endpoint finden Sie unter Konfigurieren allgemeiner Defender für Endpunkt-Einstellungen.

Um Microsoft Defender for Endpoint Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.

Anzeigename	Vorgang	Beschreibung
Heruntergeladenes Offboardingpaket	DownloadOffboardingPkg	Das Paket zum Entfernen von Geräten aus Defender für Endpunkt wurde heruntergeladen.
Heruntergeladenes Onboardingpaket	DownloadOnboardingPkg	Das Paket für das Onboarding von Geräten in Defender für Endpunkt wurde heruntergeladen.
Geänderte Datenaufbewahrung	ChangeDataRetention	Die Datenaufbewahrungseinstellungen für Defender für Endpunkt wurden bearbeitet.
Festlegen erweiterter Features	SetAdvancedFeatures	Erweiterte Features in Defender für Endpunkt wurden geändert, sodass während eines Incidents präzisere Kontrollen möglich sind. Nur Einstellungen für erweiterte Features, die allgemein verfügbar sind, werden im Microsoft 365-Überwachungsprotokoll protokolliert.

Aktivitäten für Microsoft Defender for Endpoint Indikatoreinstellungen

In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint Indikatoreinstellungen aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Microsoft Defender for Endpoint Indikatoren finden Sie unter Verwalten von Indikatoren.

Anzeigename	Vorgang	Beschreibung
Indikator hinzugefügt	AddIndicator	Es wurde ein neuer Gefährdungsindikator erstellt, den Sie zum Nachverfolgen von Angriffen und Ereignissen verwenden können.
Bearbeiteter Indikator	EditIndicator	Es wurde ein Indikator für Gefährdung bearbeitet.
Gelöschter Indikator	DeleteIndicator	Ein Indikator der Kompromittierung wurde entfernt.

Aktivitäten für Microsoft Defender for Endpoint-Reaktionsaktionen

In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint-Antwortaktionen aufgeführt, einschließlich Liveantworten, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Microsoft Defender for Endpoint Antwortaktionen finden Sie unter Ausführen von Antwortaktionen auf einem Gerät.

Anzeigename	Vorgang	Beschreibung
Gesammeltes Untersuchungspaket	CollectInvestigationPackage	Gesammelte Informationen zu einem Gerät, das verwendet wird, um Angriffstools und -techniken zu verstehen.
Antivirusscan ausgeführt	RunAntiVirusScan	Microsoft Defender Antivirus-Überprüfung auf einem Gerät ausgeführt.
Eingeschränkte App-Ausführung	RestrictAppExecution	Verhindern, dass eine schädliche App ausgeführt wird.
App-Einschränkungen entfernt	RemoveAppRestrictions	Zulassen, dass eine App ausgeführt wird.
Isoliertes Gerät	IsolateDevice	Isolierte ein Gerät aus dem Netzwerk, um die Ausbreitung von Angriffen zu verhindern.
Aus der Isolation freigegeben	ReleaseFromIsolation	Ein isoliertes Gerät wurde dem Netzwerk wieder hinzugefügt.
Beendete und unter Quarantäne gestellte Datei	StopAndQuarantineFile	Verdächtige Datei zur weiteren Analyse unter Quarantäne stellen.
Datei heruntergeladen	DownloadFile	Eine verdächtige Datei zur weiteren Untersuchung heruntergeladen.
Offboarded device (Offboarded Device)	DeviceOffBoarding	Ein Gerät wurde aus Defender für Endpunkt entfernt.
Ausgeführte Liveantwort-API	RunLiveResponseApi	Öffnete eine Liveantwortsitzung über einen API-Aufruf und öffnete eine Remoteshell auf einem Gerät.
Gesammelte Protokolle	LogsCollection	Gesammelte Protokollinformationen zu Defender für Endpunkt.
Link "Liveantwortdatei abrufen" ausgeführt	LiveResponseGetFile	Öffnete eine Liveantwortsitzung und öffnete eine Remoteshell auf einem Gerät.
Liveantwortsitzung ausgeführt	RunLiveResponseSession	Führte eine Liveantwortsitzung aus und öffnete eine Remoteshell auf einem Gerät.

Microsoft Defender for Endpoint von Einstellungen für Rollen

In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint Rolleneinstellungen aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Rollen in Microsoft Defender for Endpoint finden Sie unter Erstellen und Verwalten von Rollen für die rollenbasierte Zugriffssteuerung.

Anzeigename	Vorgang	Beschreibung
AddRole	Rolle hinzugefügt	Neue Sicherheitsrolle und -berechtigungen hinzugefügt.
EditRole	Bearbeitete Rolle	Bearbeitete Sicherheitsrollen und Berechtigungen.
DeleteRole	Gelöschte Rolle	Sicherheitsrollen und -berechtigungen wurden entfernt.

aktivitäten von Microsoft Defender for Experts

In der folgenden Tabelle sind die Aktivitäten in Microsoft Defender Experts aufgeführt, die im Microsoft 365-Überwachungsprotokoll angemeldet sind. Weitere Informationen zu Microsoft Defender Experts finden Sie unter Weitere Informationen zu Microsoft Defender Experts for XDR und Informationen zu Microsoft Defender Experten für Bedrohungssuche

Anzeigename	Vorgang	Beschreibung
Erstellte Defender Experts-Analystenberechtigung	DefenderExpertsAnalystPermissionCreated	Ein Administrator hat Defender Experts-Analysten mindestens eine Rollenberechtigung erteilt, um Vorfälle zu untersuchen oder Bedrohungen zu beheben.
Defender Experts-Analystenberechtigung geändert	DefenderExpertsAnalystPermissionModified	Ein Administrator hat die Rollenberechtigungen für Defender Experts-Analysten geändert, um Vorfälle zu untersuchen oder Bedrohungen zu beheben.

Microsoft Defender for Identity Aktivitäten

In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Identity aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden.

Um Microsoft Defender for Identity Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.

Anzeigename	Vorgang	Beschreibung
Aktualisierte Entitätstags	TaggingConfigurationUpdated	Ein Tag wurde einer Entität hinzugefügt oder daraus entfernt.
Konfiguration von Ausschlüssen hinzugefügt	ExclusionConfigurationAdded	Ein globaler Ausschluss wurde für eine Warnung oder für eine Entität hinzugefügt.
Konfiguration von Ausschlüssen aktualisiert	ExclusionConfigurationUpdated	Ein globaler Ausschluss wurde für eine Warnung oder für eine Entität aktualisiert.
Konfiguration gelöschter Ausschlüsse	ExclusionConfigurationDeleted	Ein globaler Ausschluss wurde für eine Warnung oder für eine Entität gelöscht.
Konfiguration des Warnungsschwellenwerts aktualisiert	WorkspaceAlertThresholdLevelUpdated	Die Konfiguration der Schwellenwerte für Warnungen wurde aktualisiert.
Heruntergeladene Sicherheitswarnung Excel	AlertExcelDownloaded	Die detaillierte Excel-Datei einer Warnung wurde heruntergeladen.
Wartungsaktion hinzugefügt	RemediationActionAdded	Der Warteschlange wurde eine Korrekturaktion hinzugefügt.
Aktualisierte Wartungsaktion	RemediationActionUpdated	Eine Korrekturaktion wurde abgeschlossen.
Aktualisierte Sensorkonfiguration	SensorConfigurationUpdated	Die Konfiguration eines Sensors wurde aktualisiert.
Sensor hinzugefügt	SensorCreated	Ein neuer Sensor wurde hinzugefügt.
Sensor entfernt	SensorDeleted	Ein Sensor wurde gelöscht.
Abgerufener Sensorbereitstellungsschlüssel	SensorDeploymentAccessKeyReceived	Der Zugriffsschlüssel der Sensoren wurde abgerufen.
Bereitstellungsschlüssel für den neu generierten Sensor	SensorDeploymentAccessKeyUpdated	Der Sensorzugriffsschlüssel wurde neu generiert.
Heruntergeladene Domänencontrollerabdeckung in Excel	DomainControllerCoverageExcelDownloaded	Die Excel-Datei für die Domänencontrollerabdeckung wurde heruntergeladen.
Konfiguration des Verzeichnisdienstkontos aktualisiert	DirectoryServicesAccountConfigurationUpdated	Die festgelegten Verzeichnisdienstkonten wurden geändert.
Konfiguration der Wartungsaktion aktualisiert	RemediationActionConfigurationUpdated	Der Festgelegte Aktionskonten verwalten wurde geändert.
Aktualisierte Entitätswartungskonfiguration	EntityRemediatorConfigurationUpdated	Der Modus Aktionskonten verwalten wurde geändert.
Aktualisiertes Integritätsproblem	MonitoringAlertUpdated	Ein Integritätsproblem wurde geändert.
Bericht heruntergeladen	BerichtHerunterladen	Ein Bericht wurde heruntergeladen.
Aktualisierte Reporterkonfiguration	ReporterConfigurationUpdated	Die Planung eines Berichts wurde geändert.
Aktualisierte Syslog-Weiterleitungskonfiguration	SyslogServiceConfigurationUpdated	Die Syslog-Weiterleitungskonfiguration wurde geändert.
Aktualisierte Sicherheitsbenachrichtigungskonfiguration	NotificationConfigurationUpdated	Die Benachrichtigungskonfiguration für Sicherheitswarnungen oder Integritätsprobleme wurde geändert.
Empfänger von Warnungsbenachrichtigungen hinzugefügt	AlertNotificationsRecipientAdded	Der Benachrichtigungskonfiguration für Sicherheitswarnungen wurde ein Empfänger hinzugefügt.
Empfänger von Benachrichtigungen für gelöschte Warnungen	AlertNotificationsRecipientDeleted	Ein Empfänger wurde aus der Benachrichtigungskonfiguration für Sicherheitswarnungen entfernt.
Empfänger der Benachrichtigung über Integritätsprobleme hinzugefügt	MonitoringAlertNotificationRecipientAdded	Der Benachrichtigungskonfiguration für Integritätsprobleme wurde ein Empfänger hinzugefügt.
Benachrichtigungsempfänger für gelöschte Integritätsprobleme	MonitoringAlertNotificationRecipientDeleted	Ein Empfänger wurde aus der Benachrichtigungskonfiguration für Integritätsprobleme entfernt.
Aktualisierte VPN-Konfiguration	VpnConfigurationUpdated	Die VPN-Konfiguration (Radius-Buchhaltung) wurde geändert.
Aktualisierte Einheitliche RBAC-Konfiguration	URbacAuthorizationStatusChanged	Die Konfiguration der einheitlichen rollenbasierten Access Control wurde geändert.
Erstellter Arbeitsbereich	WorkspaceCreated	Der Arbeitsbereich wurde erstellt.
Gelöschter Arbeitsbereich	Arbeitsbereich Gelöscht	Der Arbeitsbereich wurde gelöscht.

Microsoft Defender XDR benutzerdefinierter Erkennungsaktivitäten

In der folgenden Tabelle sind die benutzerdefinierten Erkennungsaktivitäten für Microsoft Defender XDR aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Microsoft Defender XDR benutzerdefinierten Erkennungen finden Sie unter Erstellen und Verwalten benutzerdefinierter Erkennungsregeln.

Um Microsoft Defender XDR Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.

Anzeigename	Vorgang	Beschreibung
Benutzerdefinierte Erkennungsregel erstellt	CreateCustomDetection	Eine neue benutzerdefinierte Erkennungsregel wurde erstellt.
Bearbeitete benutzerdefinierte Erkennungsregel	EditCustomDetection	Eine benutzerdefinierte Erkennungsregel wurde geändert.
Geänderte benutzerdefinierte Erkennungsregel status	ChangeCustomDetectionRuleStatus	Eine benutzerdefinierte Erkennungsregel wurde deaktiviert oder aktiviert.
Benutzerdefinierte Erkennungsregel ausgeführt	RunCustomDetection	Eine benutzerdefinierte Erkennungsregel wurde manuell ausgeführt.
Benutzerdefinierte Erkennungsregel wurde gelöscht.	DeleteCustomDetection	Eine benutzerdefinierte Erkennungsregel wurde entfernt.

Microsoft Defender XDR Incidentaktivitäten

In der folgenden Tabelle sind die Incidentaktivitäten für Microsoft Defender XDR aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Incidents in Microsoft Defender XDR finden Sie unter Übersicht über Vorfälle.

Anzeigename	Vorgang	Beschreibung
Kommentar zu Incident hinzugefügt	AddCommentToIncident.	Kommentar zum Incident hinzugefügt.
Dem Incident zugewiesener Benutzer	AssignUserToIncident	Dem Incident zugewiesener Benutzer.
Nicht zugewiesener Benutzer zum Incident	UnAssignUserFromIncident	Nicht zugewiesener Benutzer zum Incident.
Aktualisierte incidents status	UpdateIncidentStatus	Aktualisierte incidents status.
Bearbeiten der Incidentklassifizierung	EditIncidentClassification	Bearbeiten der Incidentklassifizierung.
Tags zu Incident hinzugefügt	AddTagsToIncident	Dem Incident wurden Tags hinzugefügt.
Tags aus Incident entfernt	RemoveTagsFromIncident	Tags aus incident entfernt.

Aktivitäten von Microsoft Defender XDR Unterdrückungsregeln

In der folgenden Tabelle sind die Aktivitäten für Unterdrückungsregeln für Microsoft Defender XDR aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Unterdrückungsregeln in Microsoft Defender XDR finden Sie unter Verwalten von Unterdrückungsregeln.

Anzeigename	Vorgang	Beschreibung
Erstellte Unterdrückungsregel	CreateSuppressionRule	Warnungsunterdrückungsregel wurde erstellt.
Bearbeitete Unterdrückungsregel	EditSuppressionRule	Warnungsunterdrückungsregel gelöscht.
Aktivierte Unterdrückungsregel	EnableSuppressionRule	Warnungsunterdrückungsregel aktiviert.
Unterdrückungsregel deaktiviert	DisableSuppressionRule	Warnungsunterdrückungsregel deaktiviert.
Gelöschte Unterdrückungsregel	DeleteSuppressionRule	Warnungsunterdrückungsregel gelöscht.

gruppenverwaltungsaktivitäten Microsoft Entra

In der folgenden Tabelle sind Gruppenverwaltungsaktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator oder ein Benutzer eine Microsoft 365-Gruppe erstellt oder ändert oder wenn ein Administrator eine Sicherheitsgruppe mithilfe des Microsoft 365 Admin Center oder des Azure-Verwaltungsportals erstellt. Weitere Informationen zu Gruppen in Microsoft 365 finden Sie unter Anzeigen, Erstellen und Löschen von Gruppen im Microsoft 365 Admin Center.

Hinweis

Anzeigename	Vorgang	Beschreibung
Gruppe hinzugefügt	Gruppe hinzufügen.	Eine Gruppe wurde erstellt.
Mitglied zur Gruppe hinzugefügt	Mitglied zu Gruppe hinzufügen.	Ein Mitglied wurde zu einer Gruppe hinzugefügt.
Gruppe gelöscht	Gruppe löschen.	Eine Gruppe wurde gelöscht.
Mitglied aus Gruppe entfernt	Mitglied aus Gruppe entfernen.	Ein Mitglied wurde aus einer Gruppe entfernt.
Gruppe aktualisiert	Gruppe aktualisieren.	Eine Eigenschaft einer Gruppe wurde geändert.

Microsoft Fabric-Aktivitäten

Sie können das Überwachungsprotokoll nach Aktivitäten in Power BI durchsuchen. Informationen zu Überwachungseinstellungen finden Sie unter Überwachungs- und Nutzungsmandanteneinstellungen.

Die Überwachungsprotokollierung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Wenn die Überwachung für Ihre organization nicht aktiviert ist, wird ein Banner angezeigt, das Sie auffordert, mit der Aufzeichnung von Benutzer- und Administratoraktivitäten zu beginnen. Anweisungen finden Sie unter Aktivieren der Überwachung.

Microsoft Forms-Aktivitäten

In den Tabellen in diesem Abschnitt sind die in Microsoft Forms von Benutzern und Administratoren ausgeführten Aktivitäten aufgelistet, die im Überwachungsprotokoll protokolliert werden. Microsoft Forms ist ein Formular-/Quiz-/Umfrage-Tool zum Sammeln von Daten für Analysen. Wo nachstehend in den Beschreibungen erwähnt, enthalten einige Vorgänge zusätzliche Aktivitätsparameter.

Wenn eine Forms Aktivität von einem Mitautor oder einem anonymen Antwortenden ausgeführt wird, wird sie etwas anders protokolliert. Weitere Informationen hierzu finden Sie im Abschnitt Forms-Aktivitäten, die von Mitautoren und anonymen Antwortenden durchgeführt werden.

Anzeigename	Vorgang	Beschreibung
Ersteller Kommentar	CreateComment	Der Formularbesitzer fügt Kommentare oder Bewertungen zu einem Quiz hinzu.
Erstelltes Formular	CreateForm	Der Besitzer erstellt ein neues Formular. Eigenschaft DataMode:string gibt an, dass das aktuelle Formular so eingestellt ist, dass es mit einer neuen oder vorhandenen Excel-Arbeitsmappe synchronisiert wird, wenn der Eigenschaftswert DataSync entspricht. Die Eigenschaft ExcelWorkbookLink:string gibt die zugehörige Excel-Arbeitsmappen-ID des aktuellen Formulars an.
Bearbeitetes Formular	EditForm	Der Formularbesitzer bearbeitet ein Formular, z. B. das Erstellen, Entfernen oder Bearbeiten einer Frage. Die Eigenschaft EditOperation:string gibt den Namen des Bearbeitungsvorgangs an. Mögliche Vorgänge sind: – CreateQuestion – CreateQuestionChoice – DeleteQuestion – DeleteQuestionChoice – DeleteFormImage – DeleteQuestionImage – UpdateQuestion – UpdateQuestionChoice – UploadFormImage/Bing/Onedrive – UploadQuestionImage – ChangeTheme FormImage enthält jede Stelle in Formularen, an der Benutzer ein Bild hochladen können, z. B. in einer Abfrage oder als Hintergrunddesign.
Formular verschoben	MoveForm	Der Formularbesitzer verschiebt ein Formular. Eigenschaft DestinationUserId: Zeichenfolge gibt die Benutzer-ID der Person an, die das Formular verschoben hat. Eigenschafts NewFormId: Zeichenfolge ist die neue ID für das neu kopierte Formular. Die Eigenschaft IsDelegateAccess:boolean gibt an, dass die aktuelle Aktion zum Verschieben des Formulars über die Seite der Administrator-Stellvertretung ausgeführt wird.
Gelöschtes Formular	DeleteForm	Der Formularbesitzer löscht ein Formular. Dazu gehören SoftDelete (Löschoption wird verwendet, Formular wird in den Papierkorb verschoben) und HardDelete (Papierkorb wird geleert).
Angezeigtes Formular (Entwurfszeit)	ViewForm	Der Formularbesitzer öffnet ein vorhandenes Formular für die Bearbeitung. Die Eigenschaft AccessDenied:boolean gibt an, dass der Zugriff auf das aktuelle Formular aufgrund einer Berechtigungsprüfung verweigert wurde. Die Eigenschaft FromSummaryLink:boolean gibt an, dass die aktuelle Anforderung von der Zusammenfassungs-Linkseite stammt.
Formular in der Vorschau	PreviewForm	Der Formularbesitzer zeigt ein Formular mit der Vorschaufunktion an.
Exportiertes Formular	ExportForm	Der Formularbesitzer exportiert Ergebnisse nach Excel. Eigenschaft ExportFormat: Zeichenfolge gibt an, ob die Excel-Datei heruntergeladen wurde oder online verfügbar ist.
Freigabe von Formularkopie zulassen	AllowShareFormForCopy	Der Formularbesitzer erstellt einen Vorlagen-Link, um das Formular für andere Benutzer freizugeben. Dieses Ereignis wird protokolliert, wenn der Formularbesitzer auswählt, die Vorlagen-URL zu generieren.
Freigabe von Formularkopie nicht zulassen	DisallowShareFormForCopy	Der Formularbesitzer löscht den Vorlagen-Link.
Formular-Koautor hinzugefügt	AddFormCoauthor	Ein Benutzer verwendet einen Link für die Zusammenarbeit, um beim Entwerfen/Anzeigen von Antworten zu helfen. Dieses Ereignis wird protokolliert, wenn ein Benutzer eine URL für die Zusammenarbeit verwendet (nicht, wenn die URL für die Zusammenarbeit zum ersten Mal generiert wird).
Formular-Koautor entfernt	RemoveFormCoauthor	Der Formularbesitzer löscht einen Link für die Zusammenarbeit.
Angezeigte Antwortseite	ViewRuntimeForm	Der Benutzer hat eine Antwortseite für die Anzeige geöffnet. Dieses Ereignis wird protokolliert, und zwar unabhängig davon, ob der Benutzer eine Antwort absendet oder nicht.
Erstellte Antwort	CreateResponse	Ähnlich wie beim Empfang einer neuen Antwort. Ein Benutzer hat eine Antwort auf ein Formular gesendet. Eigenschaft ResponseId: Zeichenfolge und Eigenschaft ResponderId: Zeichenfolge gibt an, welches Ergebnis angezeigt wird. Für einen anonymen Antwortgeber ist die ResponderId-Eigenschaft NULL.
Aktualisierte Antwort	UpdateResponse	Der Formularbesitzer hat einen Kommentar oder eine Bewertung für ein Quiz aktualisiert. Eigenschaft ResponseId: Zeichenfolge und Eigenschaft ResponderId: Zeichenfolge gibt an, welches Ergebnis angezeigt wird. Für einen anonymen Antwortgeber ist die ResponderId-Eigenschaft NULL.
Alle Antworten gelöscht	DeleteAllResponses	Der Formularbesitzer löscht alle Antwortdaten.
Gelöschte Antwort	DeleteResponse	Der Formularbesitzer löscht eine Antwort. Eigenschaft ResponseId: Zeichenfolge gibt die gelöschte Antwort an.
Angezeigte Antworten	ViewResponses	Der Formularbesitzer zeigt die aggregierte Liste der Antworten an. Property ViewType: Zeichenfolge gibt an, ob der Formularbesitzer das Detail oder Aggregat anzeigt.
Angezeigte Antwort	ViewResponse	Der Formularbesitzer zeigt eine bestimmte Antwort an. Eigenschaft ResponseId: Zeichenfolge und Eigenschaft ResponderId: Zeichenfolge gibt an, welches Ergebnis angezeigt wird. Für einen anonymen Antwortgeber ist die ResponderId-Eigenschaft NULL.
Erstellter Zusammenfassungs-Link	GetSummaryLink	Der Formularbesitzer erstellt einen Zusammenfassungs-Link, um Ergebnisse freizugeben.
Gelöschte Zusammenfassungs-Link	DeleteSummaryLink	Der Formularbesitzer löscht den Link für die Zusammenfassungsergebnisse.
Aktualisierter Phishing-Status von Formularen	UpdatePhishingStatus	Dieses Ereignis wird protokolliert, wenn der detaillierte Wert des internen Sicherheitsstatus geändert wurde, und zwar unabhängig davon, ob dadurch der endgültige Sicherheitsstatus geändert wurde (z. B. Formular ist nun geschlossen oder geöffnet). Dies bedeutet, dass Ihnen möglicherweise doppelte Ereignisse ohne eine endgültige Sicherheitsstatusänderung angezeigt werden. Zu den möglichen Statuswerten für dieses Ereignis gehören: – Take Down – Take Down by Admin – Admin Unblocked – Auto Blocked – Auto Unblocked – Customer Reported – Reset Customer Reported
Updated user phishing status	UpdateUserPhishingStatus	Dieses Ereignis wird protokolliert, wenn der Wert für den Sicherheitsstatus des Benutzers geändert wurde. Der Wert des Benutzerstatus im Überwachungsdatensatz ist Confirmed as Phisher, wenn der Benutzer ein Phishing-Formular erstellt hat, das vom Microsoft Online Safety-Team heruntergenommen wurde. Wenn ein Administrator die Sperrung des Benutzers aufhebt, wird der Wert des Benutzerstatus auf Reset as Normal Userfestgelegt.
Versendete Forms-Pro-Einladung	ProInvitation	Der Benutzer wählt aus, eine Pro-Testversion zu aktivieren.
Aktualisierte Formulareinstellung	UpdateFormSetting	Der Formularbesitzer aktualisiert eine oder mehrere Formulareinstellungen. Die Eigenschaft FormSettingName:string gibt den Namen der aktualisierten vertraulichen Einstellungen an. Die Eigenschaft NewFormSettings:string gibt den Namen und den neuen Wert der aktualisierten Einstellungen an. Die Eigenschaft „thankYouMessageContainsLink:boolean“ gibt an, dass die aktualisierte Dankesnachricht einen URL-Link enthält.
Aktualisierte Benutzereinstellung	UpdateUserSetting	Der Formularbesitzer aktualisiert eine Benutzereinstellung. Eigenschaft UserSettingName: Zeichenfolge gibt den Namen und neuen Wert der Einstellung an.
Aufgelistete Formulare	ListForms	Der Formularbesitzer zeigt eine Liste der Formulare an. Property ViewType: Zeichenfolge gibt an, welche Ansicht der Besitzer betrachtet: Alle Formulare, Mit mir geteilt oder Gruppenformulare.
Gesendete Antwort	SubmitResponse	Ein Benutzer sendet eine Antwort auf ein Formular. Eigenschaft IsInternalForm: Boolescher Wert gibt an, ob der Responder der gleichen Organisation angehört wie der Formularbesitzer.
Einstellung für "Jeder kann antworten" aktiviert	AllowAnonymousResponse	Der Formularbesitzer aktiviert die Einstellung, die es jedem ermöglicht, auf das Formular zu antworten.
Einstellung für "Jeder kann antworten" deaktiviert	DisallowAnonymousResponse	Der Formularbesitzer deaktiviert die Einstellung, die es jedem ermöglicht, auf das Formular zu antworten.
Einstellung für "Bestimmte Personen können antworten" aktiviert	EnableSpecificResponse	Der Formularbesitzer aktiviert die Einstellung, die es nur bestimmten Personen oder bestimmten Gruppen in der aktuellen Organisation erlaubt, auf das Formular zu antworten.
Einstellung für "Bestimmte Personen können antworten" deaktiviert	DisableSpecificResponse	Der Formularbesitzer deaktiviert die Einstellung, die es nur bestimmten Personen oder bestimmten Gruppen in der aktuellen Organisation erlaubt, auf das Formular zu antworten.
Spezifischer Antwortender hinzugefügt	AddSpecificResponder	Der Formularbesitzer fügt der Liste der spezifischen Antwortenden einen neuen Benutzer oder eine neue Gruppe hinzu.
Bestimmter Antwortender entfernt	RemoveSpecificResponder	Der Formularbesitzer entfernt einen Benutzer oder eine Gruppe aus der Liste der spezifischen Antwortenden.
"Zusammenarbeit" deaktiviert	DisableCollaboration	Der Formularbesitzer deaktiviert die Einstellung der Zusammenarbeit im Formular.
"Zusammenarbeit mit Office 365-Arbeits- oder Schulkonten" aktiviert	EnableWorkOrSchoolCollaboration	Der Formularbesitzer aktiviert die Einstellung, die es Benutzern mit einem Microsoft 365-Geschäfts- oder Schulkonto ermöglicht, das Formular anzuzeigen und zu bearbeiten.
"Zusammenarbeit von Personen in meiner Organisation" aktiviert	EnableSameOrgCollaboration	Der Formularbesitzer aktiviert die Einstellung, die es Benutzern in der aktuellen Organisation ermöglicht, das Formular anzuzeigen und zu bearbeiten.
"Zusammenarbeit bestimmter Personen" aktiviert	EnableSpecificCollaboaration	Der Formularbesitzer aktiviert die Einstellung, die es nur bestimmten Personen oder bestimmten Gruppen in der aktuellen Organisation erlaubt, das Formular anzuzeigen und zu bearbeiten.
Mit Excel-Arbeitsmappe verbunden	ConnectToExcelWorkbook	Das Formular wurde mit einer Excel-Arbeitsmappe verbunden. Die Eigenschaft ExcelWorkbookLink:string gibt die zugehörige Excel-Arbeitsmappen-ID des aktuellen Formulars an.
Eine Sammlung wurde erstellt	CollectionCreated	Der Formularbesitzer hat eine Sammlung erstellt.
Eine Sammlung wurde aktualisiert	CollectionUpdated	Der Formularbesitzer hat eine Sammlungseigenschaft aktualisiert.
Die Sammlung wurde aus dem Papierkorb gelöscht	CollectionHardDeleted	Der Formularbesitzer hat eine Sammlung aus dem Papierkorb endgültig gelöscht.
Die Sammlung wurde in den Papierkorb verschoben	CollectionSoftDeleted	Der Formularbesitzer hat eine Sammlung in den Papierkorb verschoben.
Eine Sammlung wurde umbenannt	CollectionRenamed	Der Formularbesitzer hat den Namen einer Sammlung geändert.
Ein Formular wurde in die Sammlung verschoben	MovedFormIntoCollection	Der Formularbesitzer hat ein Formular in eine Sammlung verschoben.
Ein Formular wurde aus der Sammlung verschoben	MovedFormOutofCollection	Der Formularbesitzer hat ein Formular aus einer Sammlung verschoben.

Formular-Aktivitäten, die von Koautoren und anonym Antwortenden durchgeführt werden

Forms unterstützt die Zusammenarbeit beim Entwerfen von Formularen und dem Analysieren der Antworten. Ein Mitwirkender an einem Formular wird als Koautor bezeichnet. Koautoren können alles erledigen, was der Besitzer eines Formulars tun kann, außer das Löschen oder Verschieben eines Formulars. Forms ermöglichen Ihnen außerdem, ein Formular zu erstellen, auf das anonym geantwortet werden kann. Dies bedeutet, dass der Antwortende nicht bei Ihrer Organisation angemeldet sein muss, um auf ein Formular zu antworten.

In der folgenden Tabelle sind die Überwachungsaktivitäten und die Informationen im Überwachungsdatensatz für Aktivitäten beschrieben, die von Koautoren und anonym Antwortenden ausgeführt wurden.

Aktivitätstyp	Interner oder externer Benutzer	Protokollierte Benutzer-ID	Angemeldet bei Organisation	Forms-Benutzertyp
Gemeinsame Dokumenterstellung	Intern	UPN	Organisation des Formularbesitzers	Koautor
Gemeinsame Dokumenterstellung	Extern	UPN	Organisation des Koautors	Koautor
Gemeinsame Dokumenterstellung	Extern	`urn:forms:coauthor#a0b1c2d3@forms.office.com` (Der zweite Teil der ID ist ein Hash, der sich für unterschiedliche Benutzer unterscheidet.)	Organisation des Formularbesitzers	Koautor
Antwortaktivitäten	Extern	UPN	Organisation des Antwortenden	Responder
Antwortaktivitäten	Extern	`urn:forms:external#a0b1c2d3@forms.office.com` (Der zweite Teil der Benutzer-ID ist ein Hash, der sich für unterschiedliche Benutzer unterscheidet.)	Organisation des Formularbesitzers	Antwortender
Antwortaktivitäten	Anonym	`urn:forms:anonymous#a0b1c2d3@forms.office.com` (Der zweite Teil der Benutzer-ID ist ein Hash, der sich für unterschiedliche Benutzer unterscheidet.)	Organisation des Formularbesitzers	Antwortender

Microsoft Graph Data Connect

In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Microsoft Graph Data Connect aufgeführt, die für die Überwachung protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.

Anzeigename	Vorgang	Beschreibung
Genehmigt oder verweigert eine App	ConsentModificationRequest	Ein Benutzer hat eine Zustimmungsänderungsanforderung ausgeführt.
Extraktion ausgeführt	DataAccessRequestOperation	Ein Benutzer hat eine Extraktion ausgeführt. Partnerdatasets und ISV-Ausführungen sind ausgeschlossen.

Microsoft Planner Aktivitäten

In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Microsoft Planner aufgeführt, die für die Überwachung protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.

Hinweis

Die Portfolioaktivität in Planner wird mit der Microsoft Project für Web-Roadmap-Aktivität protokolliert. Weitere Informationen finden Sie im Abschnitt Microsoft Project für das Web-Aktivitäten.

Anzeigename	Vorgang	Beschreibung
Lesen eines Plans	PlanRead	Ein Plan wird von einem Benutzer oder einer App gelesen. Wenn der Lesevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ContainerType ContainerType.Invalid und ContainerId null an.
Erstellen eines Plans	PlanCreated	Ein Plan wird von einem Benutzer oder einer App erstellt. Wenn der Erstellungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ObjectId null an, ContainerType gibt ContainerType.Invalid und ContainerId null an.
Ändern eines Plans	PlanModified	Ein Plan wird von einem Benutzer oder einer App geändert.
Einen Plan gelöscht	PlanDeleted	Ein Plan wird von einem Benutzer oder einer App gelöscht.
Kopiert einen Plan	PlanKopiert	Ein Plan wird von einem Benutzer oder einer App kopiert. Wenn der Kopiervorgang ein ResultStatus.Failure oder ResultStatus.Failure ist, gibt newPlanId NULL an, newContainerType gibt ContainerType.Invalid und newContainerId null an.
Lesen einer Aufgabe	TaskRead	Eine Aufgabe wird von einem Benutzer oder einer App gelesen. Wenn der Lesevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt PlanId null an.
Erstellen einer Aufgabe	TaskCreated	Eine Aufgabe wird von einem Benutzer oder einer App erstellt. Wenn der Erstellungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ObjectId null und PlanId null an.
Ändern einer Aufgabe	TaskModified	Eine Aufgabe wird von einem Benutzer oder einer App geändert.
Eine Aufgabe wurde gelöscht.	TaskDeleted	Eine Aufgabe wird von einem Benutzer oder einer App gelöscht.
Aufgabe zugewiesen	TaskAssigned	Der zugewiesene Benutzer einer Aufgabe wird von einem Benutzer oder einer App geändert. Dies kann eine nicht zugewiesene Aufgabe sein, die zugewiesen wird, oder eine zugewiesene Aufgabe hat einen neuen Zugewiesenen.
Abgeschlossen einer Aufgabe	TaskCompleted	Eine Aufgabe wird von einem Benutzer oder einer App als abgeschlossen markiert.
Erstellen einer Liste	RosterCreated	Eine Liste wird von einem Benutzer oder einer App erstellt. Wenn der Erstellungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ObjectId null und MemberIds eine leere Zeichenfolge an.
Eine Liste wurde gelöscht.	RosterDeleted	Eine Liste wird von einem Benutzer oder einer App gelöscht.
Mitglied(en) zu einer Liste hinzugefügt	RosterMemberAdded	Ein Element(en) wird einer Liste hinzugefügt. Wenn der Add-Vorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt MemberIds die Liste der versuchten Member-IDs an.
Ein/n Mitglied(en) in einer Liste entfernt	RosterMemberDeleted	Ein(e) Mitglied(en) wird aus einer Liste entfernt. Wenn der Entfernungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt MemberIds die Liste der versuchten Member-IDs an.
Lesen einer Liste von Plänen	PlanListRead	Eine Liste von Plänen wird von einem Benutzer oder einer App abgefragt. Wenn der Abfragevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt PlanList eine leere Zeichenfolge an.
Lesen einer Liste von Aufgaben	TaskListRead	Eine Liste von Aufgaben wird von einem Benutzer oder einer App abgefragt. Wenn der Abfragevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt TaskList eine leere Zeichenfolge an.
Aktualisierte Mandanteneinstellungen	TenantSettingsUpdated	Mandanteneinstellungen werden von einem Mandantenadministrator aktualisiert. Wenn der Aktualisierungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ObjectId die ursprünglichen Einstellungen an, und TenantSettings gibt die versuchten Mandanteneinstellungen an.
Vertraulichkeitsbezeichnung einer Liste aktualisiert	RosterSensitivityLabelUpdated	Ein Benutzer oder eine App aktualisiert die Vertraulichkeitsbezeichnung einer Liste.

Microsoft Power Apps-Aktivitäten

Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Power Apps durchsuchen. Diese Aktivitäten umfassen das Erstellen, Starten und Veröffentlichen einer App. Das Zuweisen von Berechtigungen zu Apps wird ebenfalls überwacht. Eine Beschreibung aller Power Apps-Aktivitäten finden Sie unter Aktivitätsprotokollierung für Power Apps.

Hinweis

Überwachungsereignisse von Warnungsrichtlinien (Schutzwarnung) (RecordType:45) werden derzeit für PowerApps nicht unterstützt.

Microsoft Power Automate-Aktivitäten

Sie können das Überwachungsprotokoll nach Aktivitäten in Power Automate (früher Microsoft Flow) durchsuchen. Diese Aktivitäten umfassen das Erstellen, Bearbeiten und Löschen von Flows sowie das Ändern von Flow-Berechtigungen. Informationen zur Überwachung für Power Automate-Aktivitäten finden Sie im Blog Power Automate-Überwachungsereignisse jetzt im Complianceportal verfügbar.

Microsoft Project für das Web-Aktivitäten

Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Project für das Web durchsuchen. Microsoft Project für das Web basiert auf Microsoft Dataverse und verfügt über eine zugeordnete Project Power App. Informationen zum Aktivieren der Überwachung für Szenarien, in denen der Benutzer Microsoft Dataverse oder project Power App verwendet, finden Sie unter Anleitung zur Überwachung der Systemeinstellungen . Eine Liste der Entitäten im Zusammenhang mit Project für das Web finden Sie im Leitfaden Exportieren von Benutzerdaten aus Project für das Web.

Informationen zu Microsoft Project für das Web finden Sie unter Microsoft Project für das Web.

Hinweis

Die Überwachung von Ereignissen für Microsoft Project für das Web-Aktivitäten erfordert eine kostenpflichtige Project Plan 1-Lizenz (oder höher).

Anzeigename	Vorgang	Beschreibung
Projekt erstellt	ProjectCreated	Ein Projekt wird von einem Benutzer oder einer App erstellt.
Roadmap erstellt	RoadmapCreated	Eine Roadmap oder ein Portfolio wird von einem Benutzer oder einer App erstellt.
Erstelltes Roadmapelement	RoadmapItemCreated	Eine Roadmap oder ein Portfolioelement wird von einem Benutzer oder einer App erstellt.
Erstellte Aufgabe	TaskCreated	Eine Aufgabe wird von einem Benutzer oder einer App erstellt.
Gelöschtes Projekt	ProjectDeleted	Ein Projekt wird von einem Benutzer oder einer App gelöscht.
Gelöschte Roadmap	RoadmapDeleted	Eine Roadmap oder ein Portfolio wird von einem Benutzer oder einer App gelöscht.
Gelöschtes Roadmapelement	RoadmapItemDeleted	Ein Roadmap- oder Portfolioelement wird von einem Benutzer oder einer App gelöscht.
Gelöschte Aufgabe	TaskDeleted	Eine Aufgabe wird von einem Benutzer oder einer App gelöscht.
Zugriff auf Projekt	ProjectAccessed	Ein Projekt wird gelesen oder app verwendet.
Zugriff auf die Projektstartstarts	ProjectListAccessed	Eine Liste von Projekten und/oder Roadmaps wird von einem Benutzer abgefragt.
Zugriff auf die Roadmap	RoadmapAccessed	Eine Roadmap oder ein Portfolio wird von einem Benutzer oder einer App gelesen.
Zugriff auf Roadmap-Element	RoadmapItemAccessed	Ein Roadmap- oder Portfolioelement wird von einem Benutzer oder einer App gelesen.
Zugriff auf die Aufgabe	TaskAccessed	Eine Aufgabe wird von einem Benutzer oder einer App gelesen.
Aktualisierte Projekteinstellungen	ProjectForTheWebProjectSettings	Projekteinstellungen werden von einem Administrator aktualisiert.
Aktualisierte Roadmap	RoadmapUpdated	Eine Roadmap oder ein Portfolio wird von einem Benutzer oder einer App geändert.
Aktualisiertes Roadmapelement	RoadmapItemUpdated	Eine Roadmap oder ein Portfolioelement wird von einem Benutzer oder einer App geändert.
Aktualisierte Roadmapeinstellungen	ProjectForTheWebRoadmaptSettings	Roadmap- oder Portfolioeinstellungen werden von einem Administrator aktualisiert.
Aktualisierte Aufgabe	TaskUpdated	Eine Aufgabe wird von einem Benutzer oder einer App geändert.
Aktualisiertes Projekt	ProjectUpdated	Ein Projekt wird von einem Benutzer oder einer App geändert.

Microsoft Purview Audit Von Lösungsaktivitäten

In der folgenden Tabelle sind Aktivitäten im Zusammenhang mit Überwachungslösungen im Microsoft Purview-Portal, im Microsoft Purview-Complianceportal und im Graph-API für die Überwachungssuche aufgeführt. Diese Aktivitäten werden unter der Workload SecurityComplianceCenter überwacht. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls.

Überwachungs-Such- und Exportaktivitäten, die mit Search-UnifiedAuditLog ausgeführt werden, werden nicht überwacht.

Anzeigename	Vorgang	Beschreibung
Überwachungssuche erstellt	AuditSearchCreated	Eine neue Überwachungssuchanforderung wird übermittelt.
Überwachungssuche abgeschlossen	AuditSearchCompleted	Ein Überwachungssuchauftrag ist abgeschlossen.
Überwachen der Suche abgebrochen	AuditSearchCancelled	Ein Überwachungssuchauftrag wird abgebrochen.
Überwachungssuche gelöscht	AuditSearchDeleted	Ein Überwachungssuchauftrag wird gelöscht.
Überwachen des erstellten Exportauftrags für die Suche	AuditSearchExportJobCreated	Ein Exportauftrag wird erstellt, um die Suchergebnisse einer Überwachungssuchabfrage zu exportieren.
Überwachen des Abgeschlossenen Exportauftrags für die Suche	AuditSearchExportJobCompleted	Der Exportauftrag zum Exportieren der Suchergebnisse einer Überwachungssuchabfrage ist abgeschlossen.
Heruntergeladene Suchergebnisse überwachen	AuditSearchExportResultsDownloaded	Die Suchergebnisse aus einer Überwachungssuchabfrage wurden heruntergeladen.

Microsoft Purview-Governanceaktivitäten

In der folgenden Tabelle sind Microsoft Purview-Governanceaktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen finden Sie unter Microsoft Purview-Governancelösungen.

Anzeigename	Vorgang	Beschreibung
Ressource oder Entität erstellt	EntityCreated	Ein neues Medienobjekt oder eine neue Entität wird erstellt oder einer vorhandenen Ressource hinzugefügt.
Klassifizierung hinzugefügt	KlassifizierungHinzuadded	Fügen Sie Klassifizierungen zur Ressourcenentität hinzu.
Klassifizierungsdefinition erstellt	ClassificationDefinitionCreated	Erstellen Sie einen Klassifizierungstyp.
Klassifizierungsdefinition gelöscht	ClassificationDefinitionDeleted	Löschen eines Klassifizierungstyps.
Klassifizierungsdefinition aktualisiert	ClassificationDefinitionUpdated	Aktualisieren eines Klassifizierungstyps.
Klassifizierung gelöscht	ClassificationDeleted	Löscht Klassifizierungen aus der Ressourcenentität.
Klassifizierung aktualisiert	ClassificationUpdated	Aktualisieren sie Klassifizierungen für die Assetentität.
Entität gelöscht	EntityDeleted	Ein Medienobjekt oder eine Entität wird aus einem vorhandenen Medienobjekt gelöscht.
Entität aktualisiert	EntityUpdated	Umfasst: Attributaktualisierung, Geschäftsattributaktualisierung, Sammlungsinformationen (nur Sammlungs-ID enthalten), Kontakte aktualisieren, customAttributes, hierarchy, homeId, Bezeichnungen, sourceDetails
Glossarbegriff zugewiesen	GlossarTermAssigned	Weisen Sie Begriffe der Ressourcenentität zu.
Glossarbegriff erstellt	GlossaryTermCreated	Erstellen Sie einen Begriff.
Glossarbegriff gelöscht	GlossarTermDeleted	Löschen eines Begriffs.
Glossarbegriff getrennt	GlossarTermDisassociated	Heben Sie die Zuordnung von Begriffen zur Objektentität auf.
Glossarbegriff aktualisiert	GlossarTermUpdated	Aktualisieren eines Begriffs.
Vertraulichkeitsbezeichnung geändert	SensitivityLabelChanged	Vertraulichkeitsbezeichnung wird hinzugefügt/aktualisiert/gelöscht.

Microsoft Stream-Aktivitäten

Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Stream durchsuchen. Diese Aktivitäten umfassen Videoaktivitäten, die von Benutzern ausgeführt werden, Gruppenkanalaktivitäten und Administratoraktivitäten, beispielsweisedas Verwalten von Benutzern und Organisationseinstellungen sowie das Exportieren von Berichten. Eine Beschreibung dieser Aktivitäten finden Sie im Abschnitt "Aktionen, die in Stream protokolliert werden" in den Überwachungsprotokollen in Microsoft Stream.

Microsoft Teams-Aktivitäten

In der folgenden Tabelle sind Microsoft Teams-Aktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Teams durchsuchen. Microsoft Teams ist ein Arbeitsbereich in Microsoft 365, der das Chatten ermöglicht. Hier werden die Unterhaltungen, Besprechungen, Dateien und Notizen eines Teams an einem Ort zusammengeführt. Ausführlichere Suchanleitungen finden Sie unter Durchsuchen des Überwachungsprotokolls nach Ereignissen in Microsoft Teams.

Wichtig

Anzeigename	Vorgang	Beschreibung
Bot zum Team hinzugefügt	BotAddedToTeam	Ein Benutzer fügt einem Team einen Bot hinzu.
Kanal hinzugefügt	ChannelAdded	Ein Benutzer fügt einem Team einen Kanal hinzu.
Connector hinzugefügt	ConnectorAdded	Ein Benutzer fügt einen Connector zu einem Kanal hinzu.
Details zu Teams-Besprechung ⁹ hinzugefügt	MeetingDetail	Teams hat Informationen zu einer Besprechung hinzugefügt, einschließlich der Startzeit, der Endzeit und der URL für die Teilnahme an der Besprechung.
Informationen zu Besprechungsteilnehmern ^{hinzugefügt 9}	MeetingParticipantDetail	Teams hat Informationen zu den Teilnehmern einer Besprechung hinzugefügt, einschließlich der Benutzer-ID jedes Teilnehmers, der Zeit, zu der ein Teilnehmer an der Besprechung teilnimmt und die Zeit, zu der ein Teilnehmer die Besprechung verlassen hat.
Mitglieder ^{hinzugefügt 6, 8}	MemberAdded	Ein Teambesitzer fügt Mitglieder zu einem Team-, Kanal- oder Gruppenchat hinzu.
Registerkarte hinzugefügt	TabAdded	Ein Benutzer fügt einem Kanal eine Registerkarte hinzu.
Angewendete Vertraulichkeitsbezeichnung	SensitivityLabelApplied	Ein Benutzer oder Besprechungsorganisator hat eine Vertraulichkeitsbezeichnung auf eine Teams-Besprechung angewendet.
Kanaleinstellung geändert	ChannelSettingChanged	Der Vorgang "ChannelSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teammitglied ausgeführt werden. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt. Ändert den Namen eines Teamkanals (Kanalname) Ändert die Beschreibung eines Teamkanals (Kanalbeschreibung)
Organisationseinstellung geändert	TeamsTenantSettingChanged	Der Vorgang TeamsTenantSettingChanged wird protokolliert, wenn die folgenden Aktivitäten von einem globalen Administrator im Microsoft 365 Admin Center ausgeführt werden. Diese Aktivitäten wirken sich auf organisationsweite Teams-Einstellungen aus. Weitere Informationen finden Sie unter Verwalten von Teams-Einstellungen für Ihre organization. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt. Aktiviert oder deaktiviert Teams für die organization (Microsoft Teams). Aktiviert oder deaktiviert die Interoperabilität zwischen Microsoft Teams und Skype for Business für die organization (Skype for Business Interoperabilität). Aktiviert oder deaktiviert die Organigrammansicht in Microsoft Teams-Clients (Organigrammansicht). Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, private Besprechungen zu planen (Private Besprechungsplanung). Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, Kanalbesprechungen zu planen (Kanalbesprechungsplanung). Aktiviert oder deaktiviert Videoanrufe in Teams-Besprechungen (Video für Skype-Besprechungen). Aktiviert oder deaktiviert die Bildschirmfreigabe in Microsoft Teams-Besprechungen für die organization (Bildschirmfreigabe für Skype-Besprechungen). Aktiviert oder deaktiviert diese Möglichkeit, animierte Bilder (giphys genannt) zu Teams-Unterhaltungen (animierte Bilder) hinzuzufügen. Ändert die Inhaltsbewertungseinstellung für die organization (Inhaltsbewertung). Die Inhaltsbewertung beschränkt, welche Arten animierter Bilder in Unterhaltungen angezeigt werden können. Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, anpassbare Bilder (als benutzerdefinierte Memes bezeichnet) aus dem Internet zu Teamunterhaltungen hinzuzufügen (anpassbare Bilder aus dem Internet). Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, bearbeitbare Bilder (als Aufkleber bezeichnet) zu Teamunterhaltungen hinzuzufügen (bearbeitbare Bilder). Aktiviert oder deaktiviert diese Möglichkeit für Teammitglieder, Bots in Microsoft Teams-Chats und -Kanälen (organisationsweite Bots) zu verwenden. Aktiviert bestimmte Bots für Microsoft Teams. Davon ausgenommen ist der Teams-Hilfebot „T-Bot“, der verfügbar ist, wenn Bots für die Organisation aktiviert sind (Einzelne Bots). Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, Erweiterungen oder Registerkarten (Erweiterungen oder Registerkarten) hinzuzufügen. Aktiviert oder deaktiviert das Querladen proprietärer Bots für Microsoft Teams (Querladen von Bots). Aktiviert oder deaktiviert die Möglichkeit für Benutzer, E-Mail-Nachrichten an einen Microsoft Teams-Kanal (Kanal-E-Mail) zu senden.
Rolle von Mitgliedern im Team geändert	MemberRoleChanged	Ein Teambesitzer ändert die Rolle der Mitglieder in einem Team. Die folgenden Werte geben den Rollentyp an, der dem Benutzer zugewiesen ist. 1 – Gibt die Memberrolle an. 2 – Gibt die Rolle Besitzer an. 3 - Gibt die Gastrolle an. Die Members-Eigenschaft enthält auch den Namen Ihres organization und die E-Mail-Adresse des Mitglieds.
Teameinstellung geändert	TeamSettingChanged	Der Vorgang "TeamSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teambesitzer ausgeführt werden. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt. Ändert den Zugriffstyp für ein Team. Teams können als privat oder öffentlich (Teamzugriffstyp) festgelegt werden. Wenn ein Team privat ist (Standardeinstellung), haben Benutzer nur nach Einladung Zugriff auf das Team. Wenn ein Team öffentlich ist, kann es von allen Benutzern gefunden werden. Ändert die Informationsklassifizierung eines Teams (Teamklassifizierung). Teamdaten können beispielsweise als mit hohen, mittleren oder niedrigen geschäftlichen Auswirkungen klassifiziert werden. Ändert den Namen eines Teams (Teamname). Ändert die Teambeschreibung (Teambeschreibung). Änderungen an Teameinstellungen. Um auf diese Einstellungen zuzugreifen, kann ein Teambesitzer mit der rechten Maustaste auf ein Team klicken, Team verwalten und dann die Registerkarte Einstellungen auswählen. Für diese Aktivitäten wird der Name der geänderten Einstellung in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
Geänderte Vertraulichkeitsbezeichnung	SensitivityLabelChanged	Ein Benutzer hat eine Vertraulichkeitsbezeichnung in einer Teams-Besprechung geändert.
Erstellen eines ^{Chats 1}	ChatCreated	Ein Teams-Chat wurde erstellt.
Team erstellt	TeamCreated	Ein Benutzer erstellt ein Team.
Nachricht gelöscht ²	MessageDeleted	Eine Nachricht in einem Chat oder Kanal wurde gelöscht.
Alle organization-Apps gelöscht	DeletedAllOrganizationApps	Alle organization Apps aus dem Katalog gelöscht.
Gelöschte App	AppDeletedFromCatalog	Eine App wurde aus dem Katalog gelöscht.
Kanal gelöscht	ChannelDeleted	Ein Benutzer löscht einen Kanal aus einem Team.
Team gelöscht	TeamDeleted	Ein Teambesitzer löscht ein Team.
Bearbeiten einer Nachricht mit einem URL-Link in Teams	MessageEditedHasLink	Ein Benutzer bearbeitet eine Nachricht und fügt ihr in Teams einen URL-Link hinzu.
Exportierte Nachrichten ^1,2	MessagesExported	Chat- oder Kanalnachrichten wurden exportiert.
Exportierte Aufzeichnungen ¹	RecordingExported	Chataufzeichnungen wurden exportiert.
Exportierte Transkripte ¹	TranscriptsExported	Chattranskripte wurden exportiert.
Fehler beim Überprüfen der Einladung an den freigegebenen Kanal ³	FailedValidation	Ein Benutzer antwortet auf eine Einladung zu einem freigegebenen Kanal, aber die Überprüfung der Einladung ist fehlgeschlagen.
Abgerufener Chat ¹	ChatRetrieved	Ein Microsoft Teams-Chat wurde abgerufen.
Alle gehosteten Inhalte einer Nachricht^{abgerufen 1}	MessageHostedContentsListed	Alle gehosteten Inhalte in einer Nachricht, z. B. Bilder oder Codeausschnitte, wurden abgerufen.
App installiert	AppInstalled	Eine App wurde installiert.
Aktion für Karte ausgeführt	PerformenCardAction	Ein Benutzer hat eine Aktion für eine adaptive Karte innerhalb eines Chats ausgeführt. Adaptive Karten werden in der Regel von Bots verwendet, um die umfassende Anzeige von Informationen und Interaktionen in Chats zu ermöglichen. Anmerkung: Nur Inlineeingabeaktionen für eine adaptive Karte innerhalb eines Chats sind im Überwachungsprotokoll verfügbar. Beispielsweise, wenn ein Benutzer eine Umfrageantwort in einer Kanalunterhaltung auf einer adaptiven Karte übermittelt, die von einem Umfragebot generiert wird. Benutzeraktionen wie "Ergebnis anzeigen", durch die ein Dialogfeld geöffnet wird, oder Benutzeraktionen innerhalb von Dialogfeldern sind im Überwachungsprotokoll nicht verfügbar.
Neue Nachricht ^{veröffentlicht 1, 6, 8}	MessageSent	Eine neue Nachricht wurde in einem Chat oder Kanal veröffentlicht.
Veröffentlichte App	AppPublishedToCatalog	Dem Katalog wurde eine App hinzugefügt.
Lesen einer Nachricht ¹	MessageRead	Eine Nachricht eines Chats oder Kanals wurde abgerufen.
Lesen des gehosteten Inhalts einer Nachricht ¹	MessageHostedContentRead	Gehostete Inhalte in einer Nachricht, z. B. ein Bild oder ein Codeausschnitt, wurden abgerufen.
Bot aus Team entfernt	BotRemovedFromTeam	Ein Benutzer entfernt einen Bot aus einem Team.
Connector entfernt	ConnectorRemoved	Ein Benutzer entfernt einen Connector aus einem Kanal.
Entfernte Mitglieder ⁸	MemberRemoved	Ein Teambesitzer entfernt Mitglieder aus einem Team-, Kanal- oder Gruppenchat.
Vertraulichkeitsbezeichnung entfernt	SensitivityLabelRemoved	Ein Benutzer hat eine Vertraulichkeitsbezeichnung aus einer Teams-Besprechung entfernt.
Freigabe von Teamkanal ³ entfernt	TerminatedSharing	Ein Team- oder Kanalbesitzer hat die Freigabe für einen freigegebenen Kanal deaktiviert.
Freigabe von Teamkanal ³ wiederhergestellt	SharingRestored	Ein Team- oder Kanalbesitzer hat die Freigabe für einen freigegebenen Kanal erneut aktiviert.
Registerkarte entfernt	TabRemoved	Ein Benutzer entfernt eine Registerkarte aus einem Kanal.
Auf Einladung für den freigegebenen Kanal ³ geantwortet	EingeladeneAntworten	Ein Benutzer hat auf eine Einladung über einen freigegebenen Kanal geantwortet.
Antwort der eingeladenen Person auf freigegebenen Kanal ³	ChannelOwnerResponded	Ein Kanalbesitzer hat auf eine Antwort eines Benutzers geantwortet, der auf eine Einladung für einen freigegebenen Kanal geantwortet hat.
Abgerufene Nachrichten ¹	MessagesListed	Nachrichten aus einem Chat oder Kanal wurden abgerufen.
Senden einer Nachricht mit einem URL-Link in Teams	MessageCreatedHasLink	Ein Benutzer sendet eine Nachricht mit einem URL-Link in Teams.
Gesendete Änderungsbenachrichtigung zur Nachrichtenerstellung ¹	MessageCreatedNotification	Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine neue Nachricht zu benachrichtigen.
Gesendete Änderungsbenachrichtigung zum Löschen von Nachrichten ¹	MessageDeletedNotification	Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine gelöschte Nachricht zu benachrichtigen.
Gesendete Änderungsbenachrichtigung für Meldungsupdate ¹	MessageUpdatedNotification	Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine aktualisierte Nachricht zu benachrichtigen.
Gesendete Einladung für den freigegebenen Kanal ³	InviteSent	Ein Kanalbesitzer oder -mitglied sendet eine Einladung an einen freigegebenen Kanal. Einladungen zu freigegebenen Kanälen können an Personen außerhalb Ihres organization gesendet werden, wenn die Kanalrichtlinie für die Freigabe des Kanals für externe Benutzer konfiguriert ist.
Nachrichtenänderungsbenachrichtigungen ^{abonniert 1}	SubscribedToMessages	Ein Abonnement wurde von einer Listeneranwendung erstellt, um Änderungsbenachrichtigungen für Nachrichten zu empfangen.
Deinstallierte App	AppUninstalled	Eine App wurde deinstalliert.
Aktualisierte App	AppUpdatedInCatalog	Eine App wurde im Katalog aktualisiert.
Chat aktualisiert ¹	ChatUpdated	Ein Teams-Chat wurde aktualisiert.
Nachricht ^{aktualisiert 1}	MessageUpdated	Eine Nachricht eines Chats oder Kanals wurde aktualisiert.
Connector aktualisiert	ConnectorUpdated	Ein Benutzer hat in einem Kanal einen Connector geändert.
Registerkarte aktualisiert	TabUpdated	Ein Benutzer hat in einem Kanal eine Registerkarte geändert.
Aktualisierte App	AppUpgradeed	Eine App wurde im Katalog auf die neueste Version aktualisiert.
Benutzer bei Teams angemeldet	TeamsSessionStarted	Ein Benutzer meldet sich bei einem Microsoft Teams-Client an. Dieses Ereignis erfasst keine Tokenaktualisierungsaktivitäten.
Veröffentlicht Neue Nachricht ^3,4,6^{, 8}	MessageSent	Eine neue Nachricht wurde in einem Chat oder Kanal gepostet.

Hinweis

¹ Ein Überwachungsdatensatz für dieses Ereignis wird nur protokolliert, wenn der Vorgang durch Aufrufen einer Microsoft Graph-API ausgeführt wird. Wenn der Vorgang im Teams-Client ausgeführt wird, wird kein Überwachungsdatensatz protokolliert.
² Dieses Ereignis ist nur in Audit (Premium) verfügbar. Das bedeutet, dass Benutzern die entsprechende Lizenz zugewiesen werden muss, bevor diese Ereignisse im Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Aktivitäten, die nur in Audit (Premium) verfügbar sind, finden Sie unter Audit (Premium) in Microsoft Purview. Informationen zu Lizenzanforderungen für die Überwachung (Premium) finden Sie unter Überwachungslösungen in Microsoft 365.
³ Dieses Ereignis befindet sich in der öffentlichen Vorschau.
⁴Dieses Ereignis wird nur für Den Chat generiert, wenn Gäste, Verbundbenutzer und/oder anonyme Benutzer vorhanden sind.
⁵ Dieses Ereignis ist derzeit nicht in Den Organisationen Government Community Cloud (GCC), Government Community Cloud High (GCC-High) und Department of Defense (DoD) verfügbar.
⁶ Dieses Ereignis ist in allen teilnehmenden Mandanten für Verbundchats enthalten.
⁷ Dieses Ereignis enthält Domäneninformationen für 1:1-Verbundchats.
⁸ Dieses Ereignis ist in allen Chatunterhaltungen zwischen externen Teams-Benutzern enthalten, die von einem organization verwaltet werden, und externen Teams-Benutzern, die nicht von einem organization verwaltet werden.
⁹ Dieses Ereignis ist derzeit in Organisationen der Government Community Cloud (GCC) und des Verteidigungsministeriums (Department of Defense, DoD) nicht verfügbar.

Microsoft Teams-Aktivitäten im Gesundheitswesen

Wenn Ihre Organisation die Patientenanwendung in Microsoft Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der Patienten-App durchsuchen. Wenn Ihre Umgebung so konfiguriert ist, dass die Patienten-App unterstützt wird, steht in der Auswahlliste Aktivitäten eine weitere Aktivitätsgruppe für diese Aktivitäten zur Verfügung.

Microsoft Teams-Aktivitäten im Gesundheitswesen in der Auswahlliste „Aktivitäten“.

Eine Beschreibung der Patienten-App-Aktivitäten finden Sie unter Überwachungsprotokolle für die Patienten-App.

Microsoft Teams Schichten-Aktivitäten

In der folgenden Tabelle sind die Im Microsoft 365-Überwachungsprotokoll protokollierten Aktivitäten der Shift-App in Microsoft Teams aufgeführt. Wenn Ihre Organisation die App Schichten in Microsoft Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der Schichten-App durchsuchen. Wenn Ihre Umgebung so konfiguriert ist, dass die Schichten-App unterstützt wird, steht in der Auswahlliste Aktivitäten eine weitere Aktivitätsgruppe für diese Aktivitäten zur Verfügung.

Anzeigename	Vorgang	Beschreibung
Planungsgruppe hinzugefügt	ScheduleGroupAdded	Ein Benutzer fügt dem Zeitplan erfolgreich eine neue Planungsgruppe hinzu.
Bearbeitete Zeitplanungsgruppe	ScheduleGroupEdited	Ein Benutzer bearbeitet erfolgreich eine Planungsgruppe.
Gelöschte Zeitplanungsgruppe	ScheduleGroupDeleted	Ein Benutzer löscht erfolgreich eine Zeitplanungsgruppe aus dem Zeitplan.
Zeitplan zurückgezogen	ScheduleWithdrawn	Ein Benutzer zieht erfolgreich einen veröffentlichten Zeitplan zurück.
Hinzugefügte Verschiebung	ShiftAdded	Ein Benutzer fügt erfolgreich eine Schicht hinzu.
Bearbeitete Schicht	ShiftEdited	Ein Benutzer bearbeitet erfolgreich eine Schicht.
Gelöschte Schicht	SHIFTDeleted	Ein Benutzer löscht erfolgreich eine Schicht.
Hinzugefügte Freizeit	TimeOffAdded	Ein Benutzer fügt dem Zeitplan erfolgreich freizeitmäßige Zeit hinzu.
Bearbeitete Freizeit	TimeOffEdited	Ein Benutzer bearbeitet die Freizeit erfolgreich.
Löschzeit	TimeOffDeleted	Ein Benutzer löscht die Freizeit erfolgreich.
Offene Schicht hinzugefügt	OpenShiftAdded	Ein Benutzer fügt einer Zeitplanungsgruppe erfolgreich eine offene Schicht hinzu.
Bearbeitete offene Schicht	OpenShiftEdited	Ein Benutzer bearbeitet erfolgreich eine offene Schicht in einer Planungsgruppe.
Geöffnete Schicht gelöscht	OpenShiftDeleted	Ein Benutzer löscht erfolgreich eine offene Schicht aus einer Zeitplanungsgruppe.
Freigegebener Zeitplan	ScheduleShared	Ein Benutzer hat erfolgreich einen Teamzeitplan für einen Datumsbereich freigegeben.
Getaktet mithilfe der Zeituhr	ClockedIn	Ein Benutzer hat erfolgreich zeitgesteuert die Zeituhr verwendet.
Ausgetaktet mithilfe der Zeituhr	ClockedOut	Ein Benutzer hat die Zeituhr erfolgreich verwendet.
Pause mithilfe der Zeituhr gestartet	BreakStarted	Ein Benutzer startet erfolgreich eine Pause während einer aktiven Time Clock-Sitzung.
Beendigung der Pause mithilfe der Zeituhr	BreakEnded	Ein Benutzer beendet eine Pause während einer aktiven Time Clock-Sitzung erfolgreich.
Zeituhreintrag hinzugefügt	TimeClockEntryAdded	Ein Benutzer fügt erfolgreich einen neuen manuellen Zeituhreintrag auf der Arbeitszeittabelle hinzu.
Bearbeiteter Zeituhreintrag	TimeClockEntryEdited	Ein Benutzer bearbeitet erfolgreich einen Zeituhreintrag auf der Arbeitszeittabelle.
Gelöschter Zeituhreintrag	TimeClockEntryDeleted	Ein Benutzer löscht erfolgreich einen Zeituhreintrag auf der Arbeitszeittabelle.
Schichtanforderung hinzugefügt	RequestAdded	Ein Benutzer hat eine Schichtanforderung hinzugefügt.
Antwort auf Schichtanforderung	RequestRespondedTo	Ein Benutzer hat auf eine Schichtanforderung geantwortet.
Abgebrochene Schichtanforderung	RequestCancelled	Ein Benutzer hat eine Schichtanforderung abgebrochen.
Geänderte Zeitplaneinstellung	ScheduleSettingChanged	Ein Benutzer ändert eine Einstellung in den Einstellungen für Schichten.
Mitarbeiterintegration hinzugefügt	WorkforceIntegrationAdded	Die Schichten-App ist in ein Drittanbietersystem integriert.
Meldung "Außerhalb der Schicht akzeptiert"	OffShiftDialogAccepted	Ein Benutzer bestätigt die Meldung außerhalb der Schicht, nach der Schicht auf Teams zuzugreifen.

Microsoft Teams Updates-Aktivitäten

In der folgenden Tabelle sind Updates-App in Microsoft Teams-Aktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Wenn Ihr organization die Updates-App in Microsoft Teams verwendet, können Sie das Überwachungsprotokoll mithilfe der Updates-App nach Aktivitäten im Zusammenhang mit durchsuchen. Wenn Ihre Umgebung für die Unterstützung von Updates-Apps konfiguriert ist, ist eine zusätzliche Aktivitätsgruppe für diese Aktivitäten in der Auswahlliste Aktivitäten verfügbar.

Anzeigename	Vorgang	Beschreibung
Erstellen einer Updateanforderung	CreateUpdateRequest	Ein Benutzer erstellt erfolgreich eine Updateanforderung.
Bearbeiten einer Updateanforderung	EditUpdateRequest	Ein Benutzer öffnet den Assistenten für die Bearbeitung von Anforderungen und wählt Speichern aus, um Änderungen zu bestätigen und zu speichern, oder aktiviert oder deaktiviert die Updateanforderung direkt.
Übermitteln eines Updates	SubmitUpdate	Ein Benutzer übermittelt erfolgreich ein Update.
Anzeigen der Details eines Updates	ViewUpdate	Ein Benutzer zeigt die Details des Updates an.

Microsoft To Do-Aktivitäten

In der folgenden Tabelle sind die Aktivitäten in Microsoft To Do aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Microsoft To Do finden Sie unter Support für Microsoft To Do.

Hinweis

Die Überwachung von Ereignissen für Microsoft To Do-Aktivitäten erfordert zusätzlich zur relevanten Microsoft 365-Lizenz, die Berechtigungen auf Audit (Premium) enthält, eine kostenpflichtige Project Plan 1-Lizenz (oder höher).

Anzeigename	Vorgang	Beschreibung
Akzeptierter Freigabelink im Ordner	AcceptedSharingLinkOnFolder	Akzeptierter Freigabelink für einen Ordner.
Anlage erstellt	AttachmentCreated	Für eine Aufgabe wurde eine Anlage erstellt.
Anlage aktualisiert	AttachmentUpdated	Eine Anlage wurde aktualisiert.
Anlage gelöscht	AttachmentDeleted	Eine Anlage wurde gelöscht.
Ordnerfreigabelink freigegeben	FolderSharingLinkShared	Es wurde ein Freigabelink für einen Ordner erstellt.
Verknüpfte Entität gelöscht	LinkedEntityDeleted	Eine verknüpfte Entität wurde gelöscht.
Verknüpfte Entität aktualisiert	LinkedEntityUpdated	Eine verknüpfte Entität wurde aktualisiert.
Verknüpfte Entität erstellt	LinkedEntityCreated	Eine verknüpfte Entität der Aufgabe wurde erstellt.
SubTask erstellt	SubTaskCreated	Ein Teilvorgang wurde erstellt.
SubTask gelöscht	SubTaskDeleted	Ein Teilvorgang wurde gelöscht.
SubTask aktualisiert	SubTaskUpdated	Ein Teilvorgang wurde aktualisiert.
Aufgabe erstellt	TaskCreated	Eine Aufgabe wurde erstellt.
Aufgabe gelöscht	TaskDeleted	Eine Aufgabe wurde gelöscht.
Aufgabenlesevorgang	TaskRead	Eine Aufgabe wurde gelesen.
Aufgabe aktualisiert	TaskUpdated	Eine Aufgabe wurde aktualisiert.
TaskList erstellt	TaskListCreated	Eine Aufgabenliste wurde erstellt.
TaskList lesen	TaskListRead	Eine Aufgabenliste wurde gelesen.
TaskList aktualisiert	TaskListUpdated	Eine Aufgabenliste wurde aktualisiert.
Eingeladener Benutzer	UserInvited	Eingeladener Benutzer in einen Ordner.

Microsoft Viva Insights Aktivitäten

Viva Insights bietet Einblicke in die Zusammenarbeit von Gruppen in Ihren organization. In der folgenden Tabelle sind Aktivitäten aufgeführt, die von Benutzern ausgeführt werden, denen die Rolle "Administrator" oder "Analyst" in Viva Insights zugewiesen ist. Benutzern, denen die Rolle des Analysten zugewiesen ist, haben Vollzugriff auf alle Dienstfunktionen und können das Produkt für Analysen verwenden. Benutzer, denen die Administratorrolle zugewiesen ist, können Datenschutzeinstellungen und Systemstandardeinstellungen konfigurieren und Organisationsdaten in Viva Insights vorbereiten, hochladen und überprüfen. Weitere Informationen finden Sie unter Einführung in Microsoft Viva Insights.

Anzeigename	Vorgang	Beschreibung
Auf OData-Link zugegriffen	AccessedOdataLink	Analyst hat auf für eine Abfrage auf den OData-Link zugegriffen.
Delegatzugriff hinzugefügt	AddDelegates	Ein Benutzer hat Stellvertretungszugriff für organization Insights oder Copilot Dashboard hinzugefügt.
Abfrage abgebrochen	CanceledQuery	Ein Analyst hat eine laufende Abfrage abgebrochen.
Besprechungsausschluss erstellt	MeetingExclusionCreated	Ein Analytiker hat eine Ausschlussregel Besprechungen erstellt.
Ergebnis gelöscht	DeletedResult	Ein Analyst hat ein Abfrageergebnis gelöscht.
Bericht heruntergeladen	DownloadedReport	Ein Analyst hat eine Abfrageergebnisdatei heruntergeladen.
Abfrage ausgeführt	ExecutedQuery	Ein Analyst hat eine Abfrage ausgeführt.
Delegatzugriff entfernt	RemoveDelegates	Ein Benutzer hat den Stellvertretungszugriff für organization Insights oder Copilot Dashboard entfernt.
Datenzugriffseinstellungen aktualisiert	UpdatedDataAccessSetting	Ein Administrator hat die Datenzugriffseinstellungen aktualisiert.
Datenschutzeinstellung aktualisiert	UpdatedPrivacySetting	Admin aktualisierten Datenschutzeinstellungen, z. B. minimale Gruppengröße.
Organisationsdaten hochgeladen	UploadedOrgData	Ein Administrator hat eine Organisationsdatendatei hochgeladen.
Angemeldeter Benutzer^*	UserLoggedIn	Ein Benutzer, der bei seinem Microsoft 365 Benutzerkonto angemeldet ist.
Benutzer abgemeldet^*	UserLoggedOff	Ein Benutzer, der bei seinem Microsoft 365 Benutzerkonto abgemeldet ist.
Explore angezeigt	ViewedExplore	Ein Analyst hat Visualisierungen in einer oder mehreren Explore-Registerkarten angezeigt.

Hinweis

^*Ein Microsoft Entra Anmelde- und Abmeldeaktivitätsereignis wird erstellt, wenn sich ein Benutzer anmeldet. Diese Aktivität wird auch dann protokolliert, wenn Sie Viva Insights in Ihrem organization nicht aktiviert haben. Weitere Informationen zu Benutzeranmeldungsaktivitäten finden Sie unter Anmeldeprotokolle in Microsoft Entra ID.

Persönliche Insights-Aktivitäten

In der folgenden Tabelle sind die Aktivitäten in persönlichen Erkenntnissen aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu persönlichen Erkenntnissen finden Sie unter Admin Leitfaden für persönliche Einblicke.

Anzeigename	Vorgang	Beschreibung
Aktualisierte MyAnalytics-Einstellungen für die Organisation	UpdatedOrganizationMyAnalyticsSettings	Admin organization Einstellungen für persönliche Erkenntnisse aktualisiert.
Aktualisierte MyAnalytics-Einstellungen für Benutzer	UpdatedUserMyAnalyticsSettings	Admin aktualisiert die Benutzereinstellungen für persönliche Erkenntnisse.

Quarantäneaktivitäten

In der nachstehenden Tabelle sind die Quarantäneaktivitäten aufgeführt, nach denen Sie im Überwachungsprotokoll suchen können. Weitere Informationen zur Quarantäne finden Sie unter Isolierte E-Mail-Nachrichten.

Anzeigename	Vorgang	Beschreibung
Gelöschte Quarantänenachricht	QuarantineDeleteMessage	Ein Administrator oder Benutzer hat eine E-Mail-Nachricht gelöscht, die als schädlich eingestuft wurde.
Anforderung zur Freigabe von Nachrichten unter Quarantäne verweigert	QuarantineReleaseRequestDeny	Ein Administrator verweigert eine Freigabeanforderung eines Benutzers für eine E-Mail-Nachricht, die als schädlich eingestuft wurde.
Exportierte Quarantänenachricht	QuarantineExport	Ein Administrator oder Benutzer hat eine E-Mail-Nachricht exportiert, die als schädlich eingestuft wurde.
In der Vorschau angezeigte Quarantänenachricht	QuarantinePreview	Ein Administrator oder Benutzer hat eine Vorschau einer E-Mail-Nachricht angezeigt, die als schädlich eingestuft wurde.
Veröffentlichte Quarantänenachricht	QuarantineRelease	Ein Administrator oder Benutzer hat eine E-Mail-Nachricht aus der Quarantäne freigegeben, die als schädlich eingestuft wurde.
Releaseanforderungsquarantänenachricht	QuarantineReleaseRequest	Ein Benutzer hat die Freigabe einer E-Mail-Nachricht angefordert, die als schädlich eingestuft wurde.
Angezeigte Kopfzeile einer Nachricht in der Quarantäne	QuarantineViewHeader	Ein Administrator oder Benutzer hat in der Kopfzeile eine E-Mail-Nachricht angezeigt, die als schädlich eingestuft wurde.

Berichtsaktivitäten

In der folgenden Tabelle sind die Aktivitäten für Nutzungsberichte aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden.

Anzeigename	Vorgang	Beschreibung
Datenschutzeinstellungen für Nutzungsberichte aktualisiert	UpdateUsageReportsPrivacySetting	Der Administrator hat die Datenschutzeinstellungen für Nutzungsberichte aktualisiert.

Aufbewahrungsrichtlinie und Aufbewahrungsbezeichnungsaktivitäten

In der folgenden Tabelle werden die Konfigurationsaktivitäten für Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen bei deren Erstellung, Neukonfiguration oder Löschung beschrieben.

Anzeigename	Vorgang	Beschreibung
Mitgliedschaft im adaptiven Bereich geändert	ApplicableAdaptiveScopeChange	Benutzer, Websites oder Gruppen wurden dem adaptiven Bereich hinzugefügt oder daraus entfernt. Diese Änderungen sind das Ergebnis der Ausführung der Bereichsabfrage. Da die Änderungen vom System initiiert werden, wird der gemeldete Benutzer als GUID und nicht als Benutzerkonto angezeigt.
Einstellungen für eine Aufbewahrungsrichtlinie konfiguriert	NewRetentionComplianceRule	Der Administrator hat die Aufbewahrungseinstellungen für eine neue Aufbewahrungsrichtlinie konfiguriert. Die Aufbewahrungseinstellungen umfassen, wie lange Elemente aufbewahrt werden und was mit Elementen geschieht, wenn die Aufbewahrungsfrist abläuft (z. B. Elemente löschen, Elemente aufbewahren oder Elemente aufbewahren und anschließend löschen). Diese Aktivität entspricht auch dem Ausführen des Cmdlets New-RetentionComplianceRule.
Adaptiver Bereich erstellt	NewAdaptiveScope	Der Administrator hat einen adaptiven Bereich erstellt.
Aufbewahrungsbezeichnung erstellt	NewComplianceTag	Der Administrator hat eine neue Aufbewahrungsbezeichnung erstellt.
Aufbewahrungsrichtlinie erstellt	NewRetentionCompliancePolicy	Der Administrator hat eine neue Aufbewahrungsrichtlinie erstellt.
Adaptiver Bereich gelöscht	RemoveAdaptiveScope	Der Administrator hat einen adaptiven Bereich gelöscht.
Einstellungen für eine Aufbewahrungsrichtlinie gelöscht	RemoveRetentionComplianceRule	Der Administrator hat die Konfigurationseinstellungen einer Aufbewahrungsrichtlinie gelöscht. Höchstwahrscheinlich wird diese Aktivität protokolliert, wenn ein Administrator eine Aufbewahrungsrichtlinie löscht oder das Cmdlet Remove-RetentionComplianceRule ausführt.
Aufbewahrungsbezeichnung gelöscht	RemoveComplianceTag	Der Administrator hat eine Aufbewahrungsbezeichnung gelöscht.
Aufbewahrungsrichtlinie gelöscht	RemoveRetentionCompliancePolicy	Der Administrator hat eine Aufbewahrungsrichtlinie gelöscht.
Option "Regulatorischer Datensatz" für Aufbewahrungsbezeichnungen aktiviert	SetRestrictiveRetentionUI	Der Administrator hat das Cmdlet Set-RegulatoryComplianceUI ausgeführt, sodass ein Administrator die Option für die Benutzeroberflächenkonfiguration für eine Aufbewahrungsbezeichnung auswählen kann, um Inhalte als regulatorischen Datensatz zu kennzeichnen.
Proaktiv beibehaltenes E-Mail-Element	ExchangeDataProactivelyPreserved	Der adaptive Schutz hat automatisch eine Aufbewahrungsbezeichnung angewendet, um ein Element in Exchange beizubehalten.
Proaktiv beibehaltene Datei	SharePointDataProactivelyPreserved	Der adaptive Schutz hat automatisch eine Aufbewahrungsbezeichnung angewendet, um ein Element in SharePoint oder OneDrive beizubehalten.
Adaptiver Bereich aktualisiert	SetAdaptiveScope	Der Administrator hat die Beschreibung oder Abfrage für einen vorhandenen adaptiven Bereich geändert.
Einstellungen für eine Aufbewahrungsrichtlinie aktualisiert	SetRetentionComplianceRule	Der Administrator hat die Aufbewahrungseinstellungen für eine vorhandene Aufbewahrungsrichtlinie geändert. Die Aufbewahrungseinstellungen umfassen, wie lange Elemente aufbewahrt werden und was mit Elementen geschieht, wenn die Aufbewahrungsfrist abläuft (z. B. Elemente löschen, Elemente aufbewahren oder Elemente aufbewahren und anschließend löschen). Diese Aktivität entspricht auch dem Ausführen des Cmdlets Set-RetentionComplianceRule.
Aufbewahrungsbezeichnung aktualisiert	SetComplianceTag	Der Administrator hat eine vorhandene Aufbewahrungsbezeichnung aktualisiert.
Aufbewahrungsrichtlinie aktualisiert	SetRetentionCompliancePolicy	Der Administrator hat eine vorhandene Aufbewahrungsrichtlinie aktualisiert. Updates, die dieses Ereignis auslösen, sind beispielsweise das Hinzufügen oder Ausschließen von Inhaltsspeicherorten, auf die die Aufbewahrungsrichtlinie angewendet ist.

Rollenverwaltungsaktivitäten

In der folgenden Tabelle sind Microsoft Entra Aktivitäten zur Rollenverwaltung aufgeführt, die protokolliert werden, wenn ein Administrator Administratorrollen im Microsoft 365 Admin Center oder im Azure-Verwaltungsportal verwaltet.

Hinweis

Anzeigename	Vorgang	Beschreibung
Mitglied zu Rolle hinzugefügt	Mitglied zu Rolle hinzufügen.	Ein Benutzer wurde einer Administratorrolle in Microsoft 365 hinzugefügt.
Benutzer aus einer Directory-Rolle entfernt	Mitglied aus Rolle entfernen.	Ein Benutzer wurde aus einer Administratorrolle in Microsoft 365 entfernt.
Kontaktinformationen für Unternehmen festgelegt	Kontaktinformationen für Unternehmen festlegen.	Die Kontakteinstellungen auf Unternehmensebene für Ihre Organisation wurden aktualisiert. Dies umfasst E-Mail-Adressen für Nachrichten in Bezug auf Abonnements, die von Microsoft 365 gesendet werden, sowie technische Benachrichtigungen zu Diensten.

Aktivitäten vertraulicher Informationstypen

In der folgenden Tabelle werden die Überwachungsereignisse für Aktivitäten beschrieben, die das Erstellen und Aktualisieren vertraulicher Informationstypen betreffen.

Anzeigename	Vorgang	Beschreibung
Neuer vertraulicher Informationstyp erstellt	CreateRulePackage/EditRulePackage*	Ein neuer vertraulicher Informationstyp wurde erstellt. Dies schließt alle SITs ein, die durch Kopieren eines standardmäßigen SIT erstellt werden. Hinweis: Diese Aktivität wird unter den Überwachungsaktivitäten "Erstelltes Regelpaket" oder "Bearbeitetes Regelpaket" angezeigt.
Bearbeiten eines vertraulichen Informationstyps	EditRulePackage	Ein vorhandener vertraulicher Informationstyp wurde bearbeitet. Dies kann Vorgänge wie das Hinzufügen/Entfernen eines Musters und das Bearbeiten des regex/Schlüsselwort (keyword) umfassen, der dem Typ vertraulicher Informationen zugeordnet ist. Anmerkung: Diese Aktivität wird unter der Überwachungsaktivität "Bearbeitetes Regelpaket" angezeigt.
Ein vertraulicher Informationstyp wurde gelöscht.	EditRulePackage/RemoveRulePackage	Ein vorhandener vertraulicher Informationstyp wurde gelöscht. Anmerkung: Diese Aktivität wird unter der Überwachungsaktivität "Bearbeitetes Regelpaket" oder "Regelpaket entfernt" angezeigt.

Vertraulichkeitsbezeichnungsaktivitäten

In der folgenden Tabelle sind Ereignisse aufgeführt, die sich aus der Verwendung von Vertraulichkeitsbezeichnungen mit Websites und Elementen ergeben, die von Microsoft Purview verwaltet werden. Zu den Elementen gehören Dokumente, E-Mails und Kalenderereignisse. Für Richtlinien zur automatischen Bezeichnung enthalten Elemente auch Dateien und schematisierte Datenressourcen in Microsoft Purview Data Map.

Anzeigename	Vorgang	Beschreibung
Vertraulichkeitsbezeichnung wurde auf Website angewendet	SiteSensitivityLabelApplied	Eine Vertraulichkeitsbezeichnung wurde auf eine SharePoint-Website oder Teams-Website angewendet, die nicht mit einer Gruppe verbunden ist.
Vertraulichkeitsbezeichnung wurde von Website entfernt	SiteSensitivityLabelRemoved	Eine Vertraulichkeitsbezeichnung wurde von einer SharePoint-Website oder Teams-Website entfernt, die nicht mit einer Gruppe verbunden ist.
Vertraulichkeitsbezeichnung wurde auf Datei angewendet	FileSensitivityLabelApplied SensitivityLabelApplied	Eine Vertraulichkeitsbezeichnung wurde mithilfe von Microsoft 365-Apps, Office für das Web oder einer Richtlinie für automatische Bezeichnungen auf ein Element angewendet. Die Vorgänge für diese Aktivität unterscheiden sich je nachdem, wie die Bezeichnung angewendet wurde: – Office für das Web oder eine Richtlinie für automatische Bezeichnungen (FileSensitivityLabelApplied) – Microsoft 365-Apps (SensitivityLabelApplied)
Auf Datei angewendete Vertraulichkeitsbezeichnung wurde geändert	FileSensitivityLabelChanged SensitivityLabelUpdated	Auf ein Element wurde eine andere Vertraulichkeitsbezeichnung angewendet. Die Vorgänge für diese Aktivität unterscheiden sich abhängig davon, wie die Bezeichnung geändert wurde: – Office für das Web oder eine Richtlinie für automatische Bezeichnungen (FileSensitivityLabelChanged) – Microsoft 365-Apps (SensitivityLabelUpdated)
Vertraulichkeitsbezeichnung auf einer Website geändert	SiteSensitivityLabelChanged	Eine andere Vertraulichkeitsbezeichnung wurde auf eine SharePoint-Website oder Teams-Website angewendet, die nicht mit einer Gruppe verbunden ist.
Vertraulichkeitsbezeichnung wurde von Datei entfernt	FileSensitivityLabelRemoved SensitivityLabelRemoved	Eine Vertraulichkeitsbezeichnung wurde mithilfe von Microsoft 365-Apps, Office für das Web, einer Richtlinie für automatische Bezeichnungen oder dem Cmdlet Unlock-SPOSensitivityLabelEncryptedFile aus einem Element entfernt. Die Vorgänge für diese Aktivität unterscheiden sich je nachdem, wie die Bezeichnung entfernt wurde: – Office für das Web oder eine Richtlinie für automatische Bezeichnungen (FileSensitivityLabelRemoved) – Microsoft 365-Apps (SensitivityLabelRemoved)

Zusätzliche Überwachungsinformationen für Vertraulichkeitsbezeichnungen:

Wenn Sie Vertraulichkeitsbezeichnungen für Microsoft 365-Gruppen und daher Teams-Websites verwenden, die mit einer Gruppe verbunden sind, werden die Bezeichnungen mit der Gruppenverwaltung in Microsoft Entra ID überwacht. Weitere Informationen finden Sie unter Überwachungsprotokolle in Microsoft Entra ID.
Wenn Sie Vertraulichkeitsbezeichnungen für Teams-Besprechungseinladungen und Teams-Besprechungsoptionen und Chats verwenden, finden Sie weitere Informationen unter Durchsuchen des Überwachungsprotokolls nach Ereignissen in Microsoft Teams.
Wenn Sie Vertraulichkeitsbezeichnungen mit Power BI verwenden, finden Sie weitere Informationen unter Überwachen des Schemas für Vertraulichkeitsbezeichnungen in Power BI.
Wenn Sie Vertraulichkeitsbezeichnungen mit Microsoft Defender für Cloud-Apps verwenden, lesen Sie Steuern verbundener Apps und die Bezeichnungsinformationen für Dateigovernanceaktionen.
Wenn Sie Vertraulichkeitsbezeichnungen mithilfe des Microsoft Purview Information Protection-Clients oder Scanners oder des Microsoft Information Protection SDK (MIP) anwenden, finden Sie weitere Informationen unter Azure Information Protection Überwachungsprotokollreferenz.

SharePoint-Listen Aktivitäten

In der folgenden Tabelle sind die Aktivitäten im Zusammenhang mit der Interaktion zwischen Benutzern und Listenelementen in SharePoint Online beschrieben. Überwachungsdatensätze für einige SharePoint-Aktivitäten geben an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.

Anzeigename	Vorgang	Beschreibung
Liste erstellt	ListCreated	Ein Benutzer hat eine SharePoint-Liste erstellt.
Listenspalte erstellt	ListColumnCreated	Ein Benutzer hat eine Listenspalte in einer SharePoint-Liste erstellt. Eine Listenspalte ist eine Spalte, die mit einer oder mehreren SharePoint-Listen verbunden ist.
Listeninhaltstyp erstellt	ListContentTypeCreated	Ein Benutzer hat einen Listeninhaltstyp erstellt. Eine Listeninhaltstyp ist ein Inhaltstyp, der mit einer oder mehreren SharePoint-Listen verbunden ist.
Listenelement erstellt	ListItemCreated	Ein Benutzer hat ein Element in einer vorhandenen SharePoint-Liste erstellt.
Websitespalte erstellt	SiteColumnCreated	Ein Benutzer hat eine Websitespalte in einer SharePoint-Liste erstellt. Eine Websitespalte ist eine Spalte, die keiner Liste angefügt ist. Eine Websitespalte ist auch eine Metadatenstruktur, die von jeder Liste in einem bestimmten Web verwendet werden kann.
Websiteinhaltstyp erstellt	Site ContentTypeCreated	Ein Benutzer hat einen Websiteinhaltstyp erstellt. Bei einem Websiteinhaltstyp handelt es sich um einen Inhaltstyp, der mit der übergeordneten Website verknüpft ist.
Liste gelöscht	ListDeleted	Ein Benutzer hat eine SharePoint-Liste gelöscht.
Listenspalte gelöscht	ListColumnDeleted	Ein Benutzer hat eine SharePoint-Listenspalte gelöscht.
Listeninhaltstyp gelöscht	ListContentTypeDeleted	Ein Benutzer hat einen Listeninhaltstyp gelöscht.
Listenelement gelöscht	ListItemDeleted	Ein Benutzer hat ein Listenelement einer SharePoint-Liste gelöscht.
Websitespalte gelöscht	SiteColumnDeleted	Ein Benutzer hat eine Websitespalte in einer SharePoint-Liste gelöscht.
Websiteinhaltstyp gelöscht	SiteContentTypeDeleted	Ein Benutzer hat einen Websiteinhaltstyp gelöscht.
Listenelement in den Papierkorb verschoben	ListItemRecycled	Ein Benutzer hat ein SharePoint-Listenelement in den Papierkorb verschoben.
Liste wiederhergestellt	ListRestored	Ein Benutzer hat eine SharePoint-Liste aus dem Papierkorb wiederhergestellt.
Listenelement wiederhergestellt	ListItemRestored	Ein Benutzer hat ein SharePoint-Listenelement aus dem Papierkorb wiederhergestellt.
Liste aktualisiert	ListUpdated	Ein Benutzer hat eine SharePoint-Liste aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat.
Listenspalte aktualisiert	ListColumnUpdated	Ein Benutzer hat eine SharePoint-Listenspalte durch Ändern einer oder mehrerer Eigenschaften aktualisiert.
Listeninhaltstyp aktualisiert	ListContentTypeUpdated	Ein Benutzer hat einen Listeninhaltstyp aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat.
Listenelement aktualisiert	ListItemUpdated	Ein Benutzer hat ein SharePoint-Listenelement aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat.
Aktualisierte Listenansicht	ListViewUpdated	Ein Benutzer hat eine SharePoint-Listenansicht durch Ändern einer oder mehrerer Eigenschaften aktualisiert.
Websitespalte aktualisiert	SiteColumnUpdated	Ein Benutzer hat eine SharePoint-Websitespalte durch Ändern einer oder mehrerer Eigenschaften aktualisiert.
Websiteinhaltstyp aktualisiert	SiteContentTypeUpdated	Ein Benutzer hat einen Websiteinhaltstyp aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat.

In der folgenden Tabelle sind die Freigabe- und Zugriffsanforderungsaktivitäten in SharePoint Online und OneDrive for Business beschrieben. Bei Freigabeereignissen gibt die Spalte Details unter Ergebnisse den Namen des Benutzers oder der Gruppe an, für den oder die das Element freigegeben wurde. Außerdem wird angegeben, ob dieser Benutzer oder diese Gruppe Mitglied oder Gast in Ihrer Organisation ist. Weitere Informationen finden Sie unter Verwenden der Freigabeüberwachung im Überwachungsprotokoll.

Hinweis

Benutzer können entweder Mitglieder oder Gäste sein, basierend auf der UserType-Eigenschaft des Benutzerobjekts. Ein Mitglied ist normalerweise ein Mitarbeiter, ein Gast ist ein Kooperationspartner außerhalb der Organisation. Wenn ein Benutzer eine Freigabeeinladung akzeptiert (und nicht bereits Mitglied Ihrer Organisation ist), wird im Verzeichnis Ihrer Organisation ein Gastkonto für diesen Benutzer erstellt. Nachdem der Gastbenutzer über ein Konto in Ihrem Verzeichnis verfügt, können Ressourcen unmittelbar mit ihm geteilt werden (ohne vorherige Einladung).

Anzeigename	Vorgang	Beschreibung
Berechtigungsstufe zu Websitesammlung hinzugefügt	PermissionLevelAdded	Eine Berechtigungsstufe wurde zu einer Websitesammlung hinzugefügt.
Zugriffsanforderung akzeptiert	AccessRequestAccepted	Eine Zugriffsanforderung für eine Website, einen Ordner oder ein Dokument wurde akzeptiert, und dem anfordernden Benutzer wurde der Zugriff gewährt.
Akzeptierte Freigabeeinladung	SharingInvitationAccepted	Der Benutzer (Mitglied oder Gast) hat eine Freigabeeinladung akzeptiert, und der Zugriff auf die Ressource wurde gewährt. Dieses Ereignis enthält Informationen zu dem eingeladenen Benutzer sowie die E-Mail-Adresse, die für die Annahme der Einladung verwendet wurde (bei Adressen können unterschiedlich sein). Diese Aktivität wird häufig von einem zweiten Ereignis begleitet, das beschreibt, in welcher Weise dem Benutzer der Zugriff auf die Ressource gewährt wurde, beispielsweise in dem der Benutzer einer Gruppe hinzugefügt wurde, die Zugriff auf die Ressource hat.
Freigabeeinladung gesperrt	SharingInvitationBlocked	Eine von einem Benutzer in Ihrer Organisation gesendete Freigabeeinladung wird aufgrund einer Richtlinie für externe Freigabe blockiert, die die externe Freigabe auf Basis der Domäne des Empfängers zulässt oder verweigert. In diesem Fall wurde die Freigabeeinladung blockiert, weil: Die Domäne des Zielbenutzers nicht in der Liste der zulässigen Domänen enthalten ist. Oder: Die Domäne des Zielbenutzers in der Liste der blockierten Domänen enthalten ist. Weitere Informationen zum Zulassen oder Blockieren externer Freigaben basierend auf Domänen finden Sie unter Eingeschränkte Domänenfreigabe in SharePoint Online und OneDrive for Business.
Zugriffsanforderung erstellt	AccessRequestCreated	Der Benutzer fordert Zugriff auf eine Website, einen Ordner oder ein Dokument an, für deren Zugriff er über keine Berechtigungen verfügt.
Unternehmensweit teilbarer Link erstellt	CompanyLinkCreated	Ein Benutzer hat einen unternehmensweit teilbaren Link zu einer Ressource erstellt. Unternehmensweite Links können nur von Mitgliedern Ihrer Organisation verwendet werden. Sie können nicht von Gästen genutzt werden.
Anonymer Link erstellt	AnonymousLinkCreated	Ein Benutzer hat einen anonymen Link zu eine Ressource erstellt. Jeder, der über diesen Link verfügt, kann auf die Ressource zugreifen, ohne sich authentifizieren zu müssen.
Sicherer Link erstellt	SecureLinkCreated	Für dieses Element wurde ein sicherer Freigabelink erstellt.
Freigabeeinladung erstellt	SharingInvitationCreated	Ein Benutzer hat eine Ressource in SharePoint Online oder OneDrive for Business mit einem Benutzer geteilt, der sich nicht im Verzeichnis Ihrer Organisation befindet.
Sicherer Link gelöscht	SecureLinkDeleted	Ein sicherer Freigabelink wurde gelöscht.
Zugriffsanforderung verweigert	AccessRequestDenied	Eine Zugriffsanforderung auf eine Website, einen Ordner oder ein Dokument wurde verweigert.
Unternehmensweit teilbarer Link entfernt	CompanyLinkRemoved	Ein Benutzer hat einen unternehmensweit teilbaren zu einer Ressource entfernt. Der Link kann nicht mehr für den Zugriff auf die Ressource verwendet werden.
Anonymer Link entfernt	AnonymousLinkRemoved	Ein Benutzer hat einen anonymen Link zu eine Ressource entfernt. Der Link kann nicht mehr für den Zugriff auf die Ressource verwendet werden.
Datei, Ordner oder Website freigegeben	SharingSet	Ein Benutzer (Mitglied oder Gast) hat eine Datei, einen Ordner oder eine Website in SharePoint oder OneDrive for Business mit einem Benutzer im Verzeichnis Ihrer Organisation geteilt. Der Wert in der Spalte Detail für diese Aktivität gibt den Namen des Benutzers an, mit dem die Ressource geteilt wurde, und ob es sich bei diesem Benutzer um ein Mitglied oder einen Gast handelt. Diese Aktivität wird häufig von einem zweiten Ereignis begleitet, das beschreibt, in welcher Weise dem Benutzer der Zugriff auf die Ressource gewährt wurde. So kann beispielsweise der Benutzer einer Gruppe hinzugefügt werden, die Zugriff auf die Ressource hat.
Zugriffsanforderung aktualisiert	AccessRequestUpdated	Eine Zugriffsanforderung für ein Element wurde aktualisiert.
Anonymer Link aktualisiert	AnonymousLinkUpdated	Ein Benutzer hat einen anonymen Link zu eine Ressource aktualisiert. Das aktualisierte Feld wird beim Exportieren der Suchergebnisse in die EventData-Eigenschaft eingeschlossen.
Freigabeeinladung aktualisiert	SharingInvitationUpdated	Eine externe Freigabeeinladung wurde aktualisiert.
Anonymer Link verwendet	AnonymousLinkUsed	Ein anonymer Benutzer hat über einen anonymen Link auf eine Ressource zugegriffen. Die Identität des Benutzers ist möglicherweise nicht bekannt, Sie können jedoch andere Details wie die IP-Adresse des Benutzers anzeigen.
Freigabe von Datei, Ordner oder Website aufgehoben	SharingRevoked	Ein Benutzer (Mitglied oder Gast) hat die Freigabe einer Datei, eines Ordners oder einer Website aufgehoben, die oder der zuvor mit einem anderen Benutzer geteilt wurde.
Unternehmensweit teilbarer Link verwendet	CompanyLinkUsed	Ein Benutzer hat über einen unternehmensweit teilbaren Link auf eine Ressource zugegriffen.
Sicherer Link verwendet	SecureLinkUsed	Ein Benutzer hat einen sicheren Link verwendet.
Benutzer zu sicherem Link hinzugefügt	AddedToSecureLink	Ein Benutzer wurde der Liste der Entitäten hinzugefügt, die einen sicheren Freigabelink verwenden können.
Benutzer wurde aus „sicherer Link“ entfernt	RemovedFromSecureLink	Ein Benutzer wurde von der Liste der Entitäten entfernt, die einen sicheren Freigabelink verwenden können.
Freigabeeinladung zurückgezogen	SharingInvitationRevoked	Ein Benutzer hat eine Freigabeeinladung zu einer Ressource zurückgezogen.

Websiteverwaltungsaktivitäten

Die folgende Tabelle enthält die Ereignisse, die aus Websiteverwaltungsaufgaben in SharePoint Online resultieren. Wie bereits erläutert, geben Überwachungsdatensätze für einige SharePoint-Aktivitäten an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.

Wichtig

Anzeigename	Vorgang	Beschreibung
Zulässigen Datenspeicherort festgelegt	AllowedDataLocationAdded	Ein SharePoint- oder globaler Administrator hat einen zulässigen Datenspeicherort in einer Multi-Geo-Umgebung hinzugefügt.
Ausgenommener Benutzer-Agent hinzugefügt	ExemptUserAgentSet	Ein SharePoint- oder globaler Administrator hat einen Benutzer-Agent zu der Liste der ausgenommenen Benutzer-Agents im SharePoint Admin Center hinzugefügt.
Geografischer Standort-Administrator hinzugefügt	GeoAdminAdded	Ein SharePoint- oder globaler Administrator hat einen Benutzer als Geo-Administrator eines Standorts hinzugefügt.
Benutzer das Erstellen von Gruppen gestattet	AllowGroupCreationSet	Der Websiteadministrator oder -besitzer fügt eine Berechtigungsstufe zu einer Website hinzu, die einem Benutzer, dem diese Berechtigung zugewiesen wird, das Erstellen einer Gruppe für diese Website gestattet.
Verschiebung der Websitegeografie abgebrochen	SiteGeoMoveCancelled	Ein SharePoint- oder globaler Administrator bricht erfolgreich eine Verschiebung der SharePoint-oder OneDrive-Websitegeografie ab. Mit der Multi-Geo-Funktion kann eine Organisation mehrere Microsoft-Rechenzentrumregionen, so genannte Geos, umfassen. Weitere Informationen finden Sie unter Multi-Geo-Funktionen in OneDrive und SharePoint Online.
Freigaberichtlinie geändert	SharingPolicyChanged	Ein SharePoint- oder globaler Administrator hat eine SharePoint-Freigaberichtlinie mithilfe des Microsoft 365 Admin Center, des SharePoint Online Admin Center oder der SharePoint Online-Verwaltungsshell geändert. Alle Änderungen an den Einstellungen der Freigaberichtlinie in Ihrer Organisation werden protokolliert. Die geänderte Richtlinie wird im Feld ModifiedProperties in den Detailinformationen des Ereignisdatensatzes aufgeführt.
Zugriffsrichtlinie des Geräts geändert	DeviceAccessPolicyChanged	Ein SharePoint- oder globaler Administrator hat die Richtlinie für nicht verwaltete Geräte in Ihrer Organisation geändert. Diese Richtlinie steuert den Zugriff auf SharePoint, OneDrive und Microsoft 365 von Geräten, die Ihrer Organisation nicht beigetreten sind. Zum Konfigurieren dieser Richtlinie ist ein Enterprise Mobility + Security-Abonnement erforderlich. Weitere Informationen finden Sie unter Steuern des Zugriffs von nicht verwalteten Geräten.
Ausgenommene Benutzer-Agents geändert	CustomizeExemptUsers	Ein SharePoint- oder globaler Administrator hat die Liste der ausgenommenen Benutzer-Agents im SharePoint Admin Center angepasst. Sie können festlegen, welche Benutzer-Agents vom Empfangen einer gesamten Webseite zum Indizieren ausgenommen werden sollen. Dies bedeutet, dass das Formular als XML-Datei und nicht als gesamte Webseite zurückgegeben wird, wenn ein Benutzer-Agent, den Sie als Ausnahme angegeben haben, auf ein InfoPath-Formular trifft. Dadurch wird die Indizierung von InfoPath-Formularen beschleunigt.
Netzwerkzugriffsrichtlinie geändert	NetworkAccessPolicyChanged	Ein SharePoint- oder globaler Administrator hat die standortbasierte Zugriffsrichtlinie (auch als „Grenze des vertrauenswürdigen Netzwerks“ bezeichnet) im SharePoint Admin Center oder mithilfe der SharePoint PowerShell geändert. Dieser Richtlinientyp steuert, wer basierend auf von Ihnen festgelegten autorisierten IP-Adressbereichen Zugriff auf SharePoint- und OneDrive-Ressourcen in Ihrer Organisation hat. Weitere Informationen finden Sie unter Steuern des Zugriffs auf SharePoint Online- und OneDrive-Daten auf der Grundlage von definierten Netzwerkspeicherorten.
Abgeschlossener Migrationsauftrag	MigrationJobCompleted	Ein Migrationsauftrag wurde erfolgreich abgeschlossen.
Verschiebung der Websitegeografie abgeschlossen	SiteGeoMoveCompleted	Eine von einem globalen Administrator in Ihrer Organisation angesetzte Verschiebung der Websitegeografie wurde erfolgreich abgeschlossen. Mit der Multi-Geo-Funktion kann eine Organisation mehrere Microsoft-Rechenzentrumregionen, so genannte Geos, umfassen. Weitere Informationen finden Sie unter Multi-Geo-Funktionen in OneDrive und SharePoint Online.
Senden-an-Verbindung erstellt	SendToConnectionAdded	Ein SharePoint- oder globaler Administrator erstellt eine neue Senden-an-Verbindung auf der Verwaltungsseite für Datensätze im SharePoint Admin Center. Mit einer Senden-an-Verbindung werden die Einstellungen für ein Dokumentrepository oder ein Datenarchiv festgelegt. Wenn Sie eine Senden-an-Verbindung erstellen, kann eine Inhaltsorganisation Dokumente an den angegebenen Speicherort übermitteln.
Websitesammlung erstellt	SiteCollectionCreated	Ein SharePoint- oder globaler Administrator erstellt eine Websitesammlung in Ihrer SharePoint Online-Organisation, oder ein Benutzer stellt seine OneDrive for Business-Website bereit.
Verwaiste Hub-Website gelöscht	HubSiteOrphanHubDeleted	Ein SharePoint- oder globaler Administrator hat eine verwaiste Hub-Website gelöscht. Es handelt sich dabei um eine Hub-Website, der keine Websites zugeordnet sind. Ein verwaister Hub ist wahrscheinlich durch den Löschvorgang der ursprünglichen Hub-Website entstanden.
Senden-an-Verbindung gelöscht	SendToConnectionRemoved	Ein SharePoint- oder globaler Administrator löscht eine Senden-an-Verbindung auf der Verwaltungsseite für Datensätze im SharePoint Admin Center.
Website gelöscht	SiteDeleted	Der Websiteadministrator löscht eine Website.
Dokumentvorschau aktiviert	PreviewModeEnabledSet	Der Websiteadministrator aktiviert die Dokumentvorschau für eine Website.
Älterer Workflow aktiviert	LegacyWorkflowEnabledSet	Der Websiteadministrator oder -besitzer fügt den SharePoint 2013-Workflowaufgaben-Inhaltstyp zur Website hinzu. Globale Administratoren können ebenfalls Workflows für die gesamte Organisation im SharePoint Admin Center aktivieren.
Office on Demand aktiviert	OfficeOnDemandSet	Der Websiteadministrator aktiviert Office on Demand, wodurch Benutzer auf die neueste Version von Office-Desktopanwendungen zugreifen können. Office on Demand wird im SharePoint Admin Center aktiviert und erfordert ein Microsoft 365-Abonnement, bei dem alle Office-Anwendungen installiert werden.
Ergebnisquelle für Personensuchen aktiviert	PeopleResultsScopeSet	Der Websiteadministrator erstellt die Ergebnisquelle für Personensuchen für eine Website.
RSS-Feeds aktiviert	NewsFeedEnabledSet	Der Websiteadministrator oder -besitzer aktiviert RSS-Feeds für eine Website. Globale Administratoren können RSS-Feeds für die gesamte Organisation im SharePoint Admin Center aktivieren.
Website mit Hub-Website verbunden	HubSiteJoined	Der Besitzer einer Website verknüpft seine Website mit einer Hub-Website.
Websitesammlungskontingent geändert	SiteCollectionQuotaModified	Der Websiteadministrator ändert das Kontingent für eine Websitesammlung.
Hub-Website registriert	HubSiteRegistered	Ein SharePoint- oder globaler Administrator erstellt eine Hub-Website. Das Ergebnis: Die Website ist als Hub-Website registriert.
Zulässigen Datenspeicherort entfernt	AllowedDataLocationDeleted	Ein SharePoint- oder globaler Administrator hat einen zulässigen Datenspeicherort aus einer Multi-Geo-Umgebung entfernt.
Geografischer Standort-Administrator entfernt	GeoAdminDeleted	Ein SharePoint- oder globaler Administrator hat einen Benutzer als Geo-Administrator eines Standorts entfernt.
Website umbenannt	SiteRenamed	Der Websiteadministrator oder -besitzer benennt eine Website um.
Verschiebung der Websitegeografie geplant	SiteGeoMoveScheduled	Ein SharePoint- oder globaler Administrator plant erfolgreich eine Verschiebung der SharePoint-oder OneDrive-Websitegeografie. Mit der Multi-Geo-Funktion kann eine Organisation mehrere Microsoft-Rechenzentrumregionen, so genannte Geos, umfassen. Weitere Informationen finden Sie unter Multi-Geo-Funktionen in OneDrive und SharePoint Online.
Hostwebsite festgelegt	HostSiteSet	Ein SharePoint- oder globaler Administrator ändert die vorgesehene Website zum Hosten persönlicher oder OneDrive for Business-Websites.
Ein Speicherkontingent für einen geografischen Standort wurde konfiguriert	GeoQuotaAllocated	Ein SharePoint- oder globaler Administrator hat einen zulässigen Datenspeicherort in einer Multi-Geo-Umgebung konfiguriert.
Website von der Hub-Website gelöst	HubSiteUnjoined	Der Besitzer einer Website löst seine Website von einer Hub-Website.
Registrierung einer Hub-Website entfernt	HubSiteUnregistered	Ein SharePoint- oder globaler Administrator hat die Registrierung seiner Website als Hub-Website entfernt. Wenn die Registrierung einer Hub-Website aufgehoben wird, funktioniert sie nicht mehr als Hub-Website.

Websiteberechtigungsaktivitäten

In der folgenden Tabelle sind die Ereignisse im Zusammenhang mit dem Zuweisen von Berechtigungen in SharePoint und der Verwendung von Gruppen zum Gewähren (und Widerrufen) des Zugriffs auf Websites aufgelistet. Wie bereits erläutert, geben Überwachungsdatensätze für einige SharePoint-Aktivitäten an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.

Anzeigename	Vorgang	Beschreibung
Websitesammlungsadministrator hinzugefügt	SiteCollectionAdminAdded	Der Websitesammlungsadministrator oder -besitzer fügt eine Person als Websitesammlungsadministrator für eine Website hinzu. Websitesammlungsadministratoren verfügen über Vollzugriff für die Websitesammlung und alle Unterwebsites. Diese Aktivität wird ebenfalls protokolliert, wenn ein Administrator sich selbst Zugriff auf das OneDrive-Konto eines Benutzers gewährt (durch Bearbeiten des Benutzerprofils im SharePoint Admin Center oder mithilfe des Microsoft 365 Admin Centers).
Benutzer oder Gruppe zu SharePoint-Gruppe hinzugefügt	AddedToGroup	Ein Benutzer hat ein Mitglied oder einen Gast zu einer SharePoint-Gruppe hinzugefügt. Dies kann eine beabsichtigte Aktion oder das Ergebnis einer anderen Aktivität wie eines Freigabeereignisses gewesen sein.
Vererbung der Berechtigungsstufe unterbrochen	PermissionLevelsInheritanceBroken	Ein Element wurde geändert, sodass es die Berechtigungsstufen nicht mehr vom übergeordneten Element erbt.
Vererbung der Freigabe unterbrochen	SharingInheritanceBroken	Ein Element wurde geändert, sodass es die Freigabeberechtigung nicht mehr vom übergeordneten Element erbt.
Gruppe erstellt	GroupAdded	Der Websiteadministrator oder -besitzer erstellt eine Gruppe für eine Website oder führt eine Aufgabe aus, die zur Erstellung einer Gruppe führt. Wenn ein Benutzer beispielsweise zum ersten Mal einen Link zum Freigeben einer Datei erstellt, wird eine Systemgruppe zur OneDrive for Business-Website hinzugefügt. Dieses Ereignis kann auch dadurch entstehen, dass ein Benutzer einen Link mit Bearbeitungsberechtigungen für eine freigegebene Datei erstellt.
Gruppe gelöscht	GroupRemoved	Der Benutzer löscht eine Gruppe von einer Website.
Zugriffsanforderungseinstellungen geändert	WebRequestAccessModified	Die Einstellungen für die Zugriffsanforderungseinstellungen wurden auf einer-Website geändert.
Einstellung „Mitglieder können teilen“ geändert	WebMembersCanShareModified	Die Einstellung Mitglieder können freigeben wurde auf einer Website geändert.
Berechtigungsstufe in Websitesammlung geändert	PermissionLevelModified	Eine Berechtigungsstufe in einer Websitesammlung wurde geändert.
Websiteberechtigungen geändert	SitePermissionsModified	Der Websiteadministrator oder -besitzer (oder das Systemkonto) ändert die Berechtigungsstufe, die einer Gruppe auf einer Website zugeordnet ist. Diese Aktivität wird ebenfalls protokolliert, wenn alle Berechtigungen für eine Gruppe entfernt werden. Hinweis: Dieser Vorgang ist in SharePoint Online veraltet. Um verwandte Ereignisse zu finden, können Sie nach anderen Aktivitäten im Zusammenhang mit Berechtigungen suchen, z. B. Websitesammlungsadministrator hinzugefügt, Benutzer oder Gruppe zu SharePoint-Gruppe hinzugefügt, Benutzer darf Gruppen erstellen, Gruppe erstellt oder Gruppe gelöscht.
Berechtigungsstufe aus einer Websitesammlung gelöscht	PermissionLevelRemoved	Eine Berechtigungsstufe wurde aus einer Websitesammlung gelöscht.
Websitesammlungsadministrator entfernt	SiteCollectionAdminRemoved	Der Websitesammlungsadministrator oder -besitzer entfernt eine Person als Websitesammlungsadministrator für eine Website. Diese Aktivität wird ebenfalls protokolliert, wenn ein Administrator sich selbst von der Liste der Websitesammlungsadministratoren eines OneDrive-Kontos eines Benutzers entfernt (durch Bearbeiten des Benutzerprofils im SharePoint Admin Center). Um diese Aktivität in den Suchergebnissen des Überwachungsprotokolls zurückzugeben, müssen Sie nach allen Aktivitäten suchen.
Benutzer oder Gruppe aus SharePoint-Gruppe entfernt	RemovedFromGroup	Ein Benutzer hat ein Mitglied oder einen Gast aus einer SharePoint-Gruppe entfernt. Dies kann eine beabsichtigte Aktion oder das Ergebnis einer anderen Aktivität wie dem Aufheben einer Freigabe gewesen sein.
Website-Administratorberechtigungen angefordert	SiteAdminChangeRequest	Der Benutzer fordert an, als Websitesammlungsadministrator für eine Websitesammlung hinzugefügt zu werden. Websitesammlungsadministratoren verfügen über Vollzugriff für die Websitesammlung und alle Unterwebsites.
Vererbung der Freigabe wiederhergestellt	SharingInheritanceReset	Eine Änderung wurde vorgenommen, sodass ein Element die Freigabeberechtigung vom übergeordneten Element erbt.
Gruppe aktualisiert	GroupUpdated	Der Websiteadministrator oder -besitzer ändert die Einstellungen einer Gruppe für eine Website. Dazu kann das Ändern des Gruppennamens, das Anzeigen oder Bearbeiten der Gruppenmitgliedschaft und die Art der Verarbeitung von Mitgliedsanträgen gehören.

Synchronisierungsaktivitäten

In der folgenden Tabelle sind die Dateisychronisierungsaktivitäten in SharePoint Online und OneDrive for Business beschrieben.

Anzeigename	Vorgang	Beschreibung
Computer zum Synchronisieren von Dateien zugelassen	ManagedSyncClientAllowed	Der Benutzer richtet erfolgreich eine Synchronisierungsbeziehung mit einer Website ein. Die Synchronisierungsbeziehung ist erfolgreich, da der Computer des Benutzers Mitglied einer Domäne ist, die zur Liste der Domänen, die in Ihrer Organisation auf Dokumentbibliotheken zugreifen können (auch Liste der sicheren Empfänger genannt), hinzugefügt wurde. Weitere Informationen zu dieser Funktion finden Sie unter Verwenden von PowerShell-Cmdlets zum Aktivieren der OneDrive-Synchronisierung für Domänen, die in der Liste sicherer Empfänger enthalten sind.
Computer für Synchronisieren von Dateien blockiert	UnmanagedSyncClientBlocked	Der Benutzer versucht, eine Synchronisierungsbeziehung mit einer Website von einem Computer aus herzustellen, der nicht Mitglied der Domäne Ihres organization ist oder Mitglied einer Domäne ist, die nicht der Liste der Domänen (liste der sicheren Empfänger) hinzugefügt wurde, die auf Dokumentbibliotheken in Ihrem organization zugreifen können. Die Synchronisierungsbeziehung ist nicht zulässig, und der Computer des Benutzers wird daran gehindert, Dateien in einer Dokumentbibliothek zu synchronisieren, herunterzuladen oder hochzuladen. Informationen zu dieser Funktion finden Sie unter Verwenden von PowerShell-Cmdlets zum Aktivieren der OneDrive-Synchronisierung für Domänen, die in der Liste sicherer Empfänger enthalten sind.
Dateien auf Computer heruntergeladen	FileSyncDownloadedFull	Eine Datei aus einer SharePoint Dokumentbibliothek oder aus OneDrive for Business wird von einem Benutzer mithilfe der OneDrive-Synchronisierungs-App (OneDrive.exe) auf seinen Computer heruntergeladen.
Dateiänderungen auf Computer heruntergeladen	FileSyncDownloadedPartial	Dieses Ereignis ist zusammen mit der alten OneDrive for Business-Synchronisierungs-App (Groove.exe) veraltet.
Dateien in Dokumentbibliothek hochgeladen	FileSyncUploadedFull	Eine Datei aus der SharePoint Dokumentbibliothek oder aus OneDrive for Business wird von einem Benutzer mithilfe der OneDrive-Synchronisierungs-App (OneDrive.exe) auf seinen Computer hochgeladen oder geändert.
Dateiänderungen in Dokumentbibliothek hochgeladen	FileSyncUploadedPartial	Dieses Ereignis ist zusammen mit der alten OneDrive for Business-Synchronisierungs-App (Groove.exe) veraltet.

SystemSync-Aktivitäten

In der folgenden Tabelle sind die Aktivitäten für SystemSync aufgeführt, die im Microsoft 365-Auditprotokoll protokolliert werden.

Anzeigename	Vorgang	Beschreibung
Data Share erstellt	DataShareCreated	Wenn der Datenexport vom Benutzer erstellt wird.
Data Share gelöscht	DataShareDeleted	Wenn der Datenexport vom Benutzer gelöscht wird.
Generieren einer Kopie von Lake Data	GenerateCopyOfLakeData	Wenn die Kopie von Lake Data generiert wird.
Kopie von Lake Data herunterladen	DownloadCopyOfLakeData	Wenn die Kopie von Lake Data heruntergeladen wird.

Benutzerverwaltungsaktivitäten

In der folgenden Tabelle sind Benutzerverwaltungsaktivitäten aufgelistet, die protokolliert werden, wenn ein Administrator ein Benutzerkonto über das Microsoft 365 Admin Center oder das Azure-Verwaltungsportal hinzufügt oder ändert.

Hinweis

Aktivität	Vorgang	Beschreibung
Benutzer hinzugefügt	Benutzer hinzufügen.	Ein Benutzerkonto wurde erstellt.
Benutzerlizenz geändert	Benutzerlizenz ändern.	Die einem Benutzer zugewiesene Lizenz wurde geändert. Wenn Sie feststellen möchten, welche Lizenzen geändert wurden, sehen Sie sich die entsprechende Aktivität Benutzer aktualisiert an.
Benutzerkennwort geändert	Benutzerkennwort ändern.	Ein Benutzer ändert sein Kennwort. Das Zurücksetzen von Kennwörtern durch den Benutzer muss (für alle oder ausgewählte Benutzer) in Ihrer Organisation aktiviert sein, damit Benutzer ihr Kennwort zurücksetzen können. Sie können auch die Self-Service-Kennwortzurücksetzungsaktivität in Microsoft Entra ID nachverfolgen. Weitere Informationen finden Sie unter Berichterstellungsoptionen für Microsoft Entra Kennwortverwaltung.
Benutzer gelöscht	Benutzer löschen.	Ein Benutzerkonto wurde gelöscht.
Benutzerkennwort zurücksetzen	Benutzerkennwort zurücksetzen.	Der Administrator setzt das Kennwort für einen Benutzer zurück.
Eigenschaft festgelegt, die einen Benutzer zur Kennwortänderung zwingt	Erzwungene Änderung des Benutzerkennworts festlegen.	Der Administrator hat die Eigenschaft festgelegt, die einen Benutzer dazu zwingt, sein Kennwort bei der nächsten Anmeldung bei Microsoft 365 zu ändern.
Lizenzeigenschaften festgelegt	Lizenzeigenschaften festlegen.	Der Administrator ändert die Eigenschaften einer Lizenz, die einem Benutzer zugewiesen ist.
Benutzer aktualisiert	Benutzer aktualisieren.	Ein Administrator ändert eine oder mehrere Eigenschaften eines Benutzerkontos. Eine Liste der Benutzereigenschaften, die aktualisiert werden können, finden Sie im Abschnitt "Aktualisieren von Benutzerattributen" in Microsoft Entra Überwachungsberichtsereignissen.

Viva Goals Aktivitäten

In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Viva Goals aufgeführt, die für die Überwachung protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.

Durchsuchen Sie die Überwachungsprotokolldetails , wie Sie im Microsoft Purview-Portal und im Complianceportal nach den Überwachungsprotokollen suchen können. Der Benutzer muss ein globaler Administrator sein oder über Leseberechtigungen für die Überwachung verfügen, um auf Überwachungsprotokolle zuzugreifen. Sie können den Filter Aktivitäten verwenden, um nach bestimmten Aktivitäten zu suchen und alle Viva Goals Aktivitäten aufzulisten, die Sie im Filter Datensatztyp "VivaGoals" auswählen können. Sie können auch die Datumsbereichsfelder und die Liste Benutzer verwenden, um die Suchergebnisse weiter einzugrenzen.

Wichtig

Anzeigename	Vorgang	Beschreibung
Organisation erstellt	Organisation erstellt	Admin oder der Benutzer hat eine neue organization auf Viva Goals erstellt.
Benutzer hinzugefügt	Benutzer hinzugefügt	Ein neuer Benutzer wurde einem organization auf Viva Goals hinzugefügt.
Benutzer deaktiviert	Benutzer deaktiviert	Ein Benutzer wurde in einem organization deaktiviert.
Benutzer gelöscht	Benutzer gelöscht	Ein Benutzer wurde aus einem organization am Viva Goals gelöscht.
Angemeldeter Benutzer	Angemeldeter Benutzer	Der Benutzer hat sich bei Viva Goals angemeldet.
Team hinzugefügt	Team hinzugefügt	Innerhalb eines organization am Viva Goals wurde ein neues Team erstellt.
Team aktualisiert	Team aktualisiert	Ein Team innerhalb eines organization auf Viva Goals wurde geändert oder aktualisiert.
Team gelöscht	Team gelöscht	Ein Team innerhalb eines organization auf Viva Goals wurde vom Benutzer gelöscht.
Exportierte Daten	Exportierte Daten	Ein Benutzer hat eine Liste von OKRs oder eine Liste von Benutzern in einem organization auf Viva Goals exportiert.
Goals Richtlinie aktualisiert	Goals Richtlinie aktualisiert	Der globale Administrator hat die Richtlinie oder Einstellungen auf Mandantenebene auf Viva Goals geändert. Der globale Administrator hat beispielsweise konfiguriert, wer Organisationen auf Viva Goals erstellen kann.
Organisationseinstellungen aktualisiert	Organisationseinstellungen aktualisiert	Der Benutzer (in der Regel Organisationsbesitzer oder Administratoren) hat organization spezifischen Einstellungen auf Viva Goals aktualisiert.
Organisationsintegrationen aktualisiert	Organisationsintegrationen aktualisiert	Der Benutzer (in der Regel Organisationsbesitzer oder Administratoren) hat eine Integration eines Drittanbieters konfiguriert oder eine vorhandene Drittanbieterintegration für eine organization auf Viva Goals aktualisiert.
OKR oder Projekt erstellt	OKR oder Projekt erstellt	Der Benutzer hat ein OKR oder Project auf Viva Goals erstellt.
OKR oder Projekt aktualisiert	OKR oder Projekt aktualisiert	Ein OKR/Projekt wurde geändert oder ein Check-In vom Benutzer oder eine Integration auf Viva Goals vorgenommen.
OKR oder Projekt gelöscht	OKR oder Projekt gelöscht	Der Benutzer hat ein OKR- oder Project-Element gelöscht.
Dashboard erstellt	Dashboard erstellt	Der Benutzer hat auf Viva Goals eine neue Dashboard erstellt.
Dashboard aktualisiert	Dashboard aktualisiert	Der Benutzer hat eine Dashboard auf Viva Goals aktualisiert.
Dashboard gelöscht	Dashboard gelöscht	Der Benutzer hat eine Dashboard auf Viva Goals gelöscht.

Viva Engage Aktivitäten

In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Viva Engage aufgeführt, die im Überwachungsprotokoll protokolliert werden. Um Viva Engage bezogene Aktivitäten aus dem Überwachungsprotokoll zurückzugeben, müssen Sie in der Liste Aktivitätendie Option Ergebnisse für alle Aktivitäten anzeigen auswählen. Verwenden Sie die Datumsbereichsfelder und die Liste Benutzer, um die Suchergebnisse einzuschränken.

Hinweis

Einige Viva Engage Überwachungsaktivitäten sind nur in Audit (Premium) verfügbar. Das bedeutet, dass Benutzern die entsprechende Lizenz zugewiesen werden muss, bevor diese Aktivitäten im Überwachungsprotokoll protokolliert werden. Weitere Informationen finden Sie unter Audit (Premium).For more information, see Audit (Premium). Informationen zu Lizenzanforderungen für die Überwachung (Premium) finden Sie unter Überwachungslösungen in Microsoft 365.

In der folgenden Tabelle sind Überwachungsaktivitäten (Premium) mit einem Sternchen (*) hervorgehoben.

Anzeigename	Vorgang	Beschreibung
Datenaufbewahrungsrichtlinie geändert	SoftDeleteSettingsUpdated	Ein bestätigter Administrator ändert die Einstellung der Aufbewahrungsrichtlinie für Netzwerkdaten in "Endgültig Löschen" oder "Vorläufig Löschen". Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden.
Netzwerkkonfiguration geändert	NetworkConfigurationUpdated	Netzwerk oder verifizierter Administrator ändert die Konfiguration des Viva Engage Netzwerks. Dies schließt das Festlegen des Intervalls zum Exportieren von Daten und das Aktivieren von Chats ein.
Netzwerkprofileinstellungen geändert	ProcessProfileFields	Ein Netzwerk- oder bestätigter Administrator ändert die Informationen, die für die Netzwerkbenutzer in den Mitgliedsprofilen angezeigt werden.
Modus für private Inhalte geändert	SupervisorAdminToggled	Der überprüfte Administrator aktiviert oder deaktiviert den Modus für private Inhalte . In diesem Modus kann ein Administrator die Beiträge in privaten Gruppen und die zwischen einzelnen Benutzern (oder Benutzergruppen) ausgetauschten privaten Nachrichten anzeigen. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden.
Sicherheitskonfiguration geändert	NetworkSecurityConfigurationUpdated	Der überprüfte Administrator aktualisiert die Sicherheitskonfiguration des Viva Engage Netzwerks. Dies schließt das Festlegen von Kennwortablaufrichtlinien und Einschränkungen für IP-Adressen ein. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden.
Datei erstellt	FileCreated	Ein Benutzer lädt eine Datei hoch.
Gruppe erstellt	GroupCreation	Der Benutzer erstellt eine Gruppe.
Nachricht erstellt	MessageCreation	Der Benutzer erstellt eine Nachricht.
Gruppe gelöscht	GroupDeletion	Eine Gruppe wird aus Viva Engage gelöscht.
Nachricht gelöscht	MessageDeleted	Ein Benutzer löscht eine Nachricht.
Datei heruntergeladen	FileDownloaded	Ein Benutzer lädt eine Datei herunter.
Daten exportiert	DataExport	Überprüfter Administrator exportiert Viva Engage Netzwerkdaten. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden.
Fehler beim Zugriff auf Community	CommunityAccessFailure	Der Benutzer konnte nicht auf eine Community zugreifen.
Fehler beim Zugriff auf Datei	FileAccessFailure	Der Benutzer konnte nicht auf eine Datei zugreifen.
Fehler beim Zugriff auf Nachricht	MessageAccessFailure	Der Benutzer konnte nicht auf eine Nachricht zugreifen.
Auf Nachricht reagiert	MarkedMessageChanged	Der Benutzer hat auf eine Nachricht reagiert.
Kuratiertes Thema entfernen*	RemoveCuratedTopic	Der Benutzer entfernt ein kuratiertes Thema.
Datei freigegeben	FileShared	Ein Benutzer gibt eine Datei für einen anderen Benutzer frei.
Netzwerkbenutzer gesperrt	NetworkUserSuspended	Ein Netzwerkadministrator oder ein überprüfter Administrator hält einen Benutzer von Viva Engage an (deaktiviert).
Benutzer gesperrt	UserSuspension	Ein Benutzerkonto wird gesperrt (deaktiviert).
Dateibeschreibung aktualisiert	FileUpdateDescription	Ein Benutzer ändert die Beschreibung einer Datei.
Dateiname aktualisiert	FileUpdateName	Ein Benutzer ändert den Namen einer Datei.
Nachricht aktualisiert	MessageUpdated	Der Benutzer aktualisiert eine Nachricht.
Datei angezeigt	FileVisited	Ein Benutzer zeigt eine Datei an.
Nachricht angezeigt	MessageViewed	Der Benutzer zeigt eine Nachricht an.

Viva Pulse-Aktivitäten

In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Viva Pulse aufgeführt, die für die Überwachung protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.

Durchsuchen Sie die Überwachungsprotokolldetails , wie Sie im Microsoft Purview-Portal und im Complianceportal nach den Überwachungsprotokollen suchen können. Der Benutzer muss ein globaler Administrator sein oder über Leseberechtigungen für die Überwachung verfügen, um auf Überwachungsprotokolle zuzugreifen. Sie können den Filter Aktivitäten verwenden, um nach bestimmten Aktivitäten zu suchen und alle Viva Pulse-Aktivitäten aufzulisten, die Sie im FilterDatensatztyp auswählen können. Sie können auch die Datumsbereichsfelder und die Liste Benutzer verwenden, um die Suchergebnisse weiter einzugrenzen.

Wichtig

Anzeigename	Vorgang	Beschreibung
Vom Benutzer übermittelte Antwort auf eine Pulsumfrage	PulseSubmit	Admin oder Benutzer haben Feedback zu einer Viva Pulse-Feedbackanfrage bereitgestellt.
Der Benutzer hat eine Pulse-Umfrage erstellt.	PulseCreate	Es wird eine neue Viva Pulse-Feedbackanforderung erstellt.
Benutzer hat seine Frist für die Pulsumfrage verlängert	PulseExtendDeadline	Die Frist für die bestehende Viva Pulse-Feedbackanfrage wurde verlängert.
Benutzer hat zusätzliche Benutzer zur Pulse-Umfrage eingeladen	PulseInvite	Weitere Benutzer wurden zu einer vorhandenen Viva Pulse-Feedbackanfrage eingeladen.
Der Benutzer hat eine Pulse-Umfrage abgebrochen.	PulseCancel	Der Benutzer hat eine Pulse-Umfrage abgebrochen.
Ein Benutzer hat einen Pulsbericht geteilt	PulseShareResults	Viva Pulse-Feedbackergebnis wurde für Benutzer freigegeben.
Der Benutzer hat einen Pulse-Entwurf erstellt.	PulseCreateDraft	Der Benutzer hat einen Pulse-Entwurf erstellt.
Der Benutzer hat einen Pulse-Entwurf gelöscht.	PulseDeleteDraft	Der Benutzer hat einen Pulse-Entwurf gelöscht.
Admin die Daten eines Benutzers gelöscht	PulseDeleteUserData	Admin die Daten eines Benutzers gelöscht.
Admin aktualisierten Mandanteneinstellungen	PulseTenantSettingsUpdate	Admin eine organization-Einstellung für Viva Pulse aktualisiert.

Windows 365 Kunden-Lockbox-Aktivitäten

In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Windows 365 Kunden-Lockbox aufgeführt, die im Überwachungsprotokoll protokolliert werden. Wählen Sie windows365CustomerLockbox unter Datensatztypen aus, um Windows 365 Kunden-Lockbox-bezogene Aktivitäten aus dem Überwachungsprotokoll zurückzugeben. Verwenden Sie die Datumsbereichsfelder und die Liste Benutzer, um die Suchergebnisse einzuschränken.

Anzeigename	Vorgang	Beschreibung
Auslösen der Gerätewartung	Auslösen der Gerätewartung	Lösen Sie die Gerätewartung aus.
Hochladen des Ordners in ein Blob	Hochladen des Ordners in ein Blob	Komprimieren Sie den Ordner des Kundengeräts, und laden Sie diesen in ein Blob hoch.
Überprüfen der PowerShell-Ausführungsrichtlinie	Überprüfen der PowerShell-Ausführungsrichtlinie	Überprüfen Sie die PowerShell-Ausführungsrichtlinie.
Installieren des RD-Agents	Installieren des RD-Agents	Installieren Sie den RD-Agent auf dem Gerät des Benutzers.
Ausführen einer hybriden AADJ-Erweiterung	Ausführen einer hybriden AADJ-Erweiterung	Führen Sie die hybride AADJ-Erweiterung auf dem Gerät des Benutzers aus.
Erstellen einer VmExtension-Anforderung	Erstellen einer VmExtention-Anforderung	Erstellt VM-Erweiterungsanforderungen zum Ausführen der VM-Erweiterung, um benutzerdefinierte Skripts auf dem Kundengerät auszuführen.
Triggerorchestrator	Triggerorchestrator	Triggerorchestrator für den Benutzer.
Auslösen einer generischen Aktion durch SaaF	Auslösen einer generischen Aktion durch SaaF	Auslösen einer Geräteaktion (Retargeting, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) für den Benutzer.
Generische Aktion auslösen	Generische Aktion auslösen	Lösen Sie die Geräteaktion für den Benutzer aus.
Auslösen einer generischen Aktion mit Optionen	Auslösen einer generischen Aktion mit Optionen	Auslösen einer Geräteaktion mit Optionsparametern, die leistungsfähiger sind als die generische Triggeraktion.
Erstellen neuer Arbeitselemente (Scheduler)	Erstellen neuer Arbeitselemente (Scheduler)	Erstellen Sie neue Arbeitselemente, z. B. Bereitstellen, Aufheben der Bereitstellung, Erneute Bereitstellung usw.
Remoteaktionsvorgang nach der Remoteaktion	Remoteaktionsvorgang nach der Remoteaktion	Nach der Remoteaktion plus Abrufen des Ergebnisses per GetActions-Vorgang.
OCE-Ausführungsbefehle auf einem virtuellen Computer	OCE-Ausführungsbefehle auf einem virtuellen Computer	Führen Sie Befehle nach tenantID, deviceID list und script aus.
LogCollection-Anforderung erstellen	LogCollection-Anforderung erstellen	Erstellen Sie eine Protokollsammlungsanforderung für Cloud-PC.
Auslösen der Canary-Überprüfung des CMD-Agents.	Auslösen der Canary-Überprüfung des CMD-Agents.	Auslösen der Canary-Überprüfung des CMD-Agents auf einem bestimmten Gerät.
Ausführen von AppHealthPlugin	Ausführen von AppHealthPlugin	Führen Sie AppHealthPlugin aus.
Backfill CMD-Agent	AddDevicesToBackfill-Vorgang	Backfill CMD-Agent auf Cloud-PC.
Erneutes Installieren des CMD-Agents	AddDevicesToReinstall-Vorgang	Installieren Sie den CMD-Agent bei Bedarf neu.
Masseninstallation des CMD-Agents	TriggerClientAgentCheckBulkAction-Vorgang	Masseninstallation des CMD-Agents bei Bedarf.
Erstellen eines Remoteaktionsvorgangs in ActionModeratorService	Erstellen eines Remoteaktionsvorgangs in ActionModeratorService	Erstellen Sie eine Remoteaktion nach tenantID, workspaceID, actionType, actionParameters.

Freigeben über

Überwachungsprotokollaktivitäten

Anwendungsverwaltungsaktivitäten

Briefing-E-Mail-Aktivitäten

Kommunikationscomplianceaktivitäten

Compliance-Manager-Aktivitäten

Inhaltsexplorer-Aktivitäten

Copilot-Aktivitäten

Verzeichnisverwaltungsaktivitäten

Löschungsprüfungsaktivitäten

eDiscovery-Aktivitäten

Inhaltssuche und eDiscovery-Aktivitäten (Standard)

eDiscovery (Premium)-Aktivitäten

eDiscovery-Cmdlet-Aktivitäten

Detaillierte Eigenschaften für eDiscovery-Aktivitäten

Portalaktivitäten für verschlüsselte Nachrichten

Exchange-Administratoraktivitäten

Exchange-Postfachaktivitäten

Systemkonten in Postfachüberwachungsdatensätzen von Exchange

Datei- und Seitenaktivitäten

Häufig gestellte Fragen zu den Ereignissen „FileAccessed“ und „FilePreviewed“

Der app@sharepoint Benutzer in Überwachungsdatensätzen

Ordneraktivitäten

Informationsbarrierenaktivitäten

Microsoft Defender for Endpoint allgemeine Einstellungsaktivitäten

Aktivitäten für Microsoft Defender for Endpoint Indikatoreinstellungen

Aktivitäten für Microsoft Defender for Endpoint-Reaktionsaktionen

Microsoft Defender for Endpoint von Einstellungen für Rollen

aktivitäten von Microsoft Defender for Experts

Microsoft Defender for Identity Aktivitäten

Microsoft Defender XDR benutzerdefinierter Erkennungsaktivitäten

Microsoft Defender XDR Incidentaktivitäten

Aktivitäten von Microsoft Defender XDR Unterdrückungsregeln

gruppenverwaltungsaktivitäten Microsoft Entra

Microsoft Fabric-Aktivitäten

Microsoft Forms-Aktivitäten

Formular-Aktivitäten, die von Koautoren und anonym Antwortenden durchgeführt werden

Microsoft Graph Data Connect

Microsoft Planner Aktivitäten

Microsoft Power Apps-Aktivitäten

Microsoft Power Automate-Aktivitäten

Microsoft Project für das Web-Aktivitäten

Microsoft Purview Audit Von Lösungsaktivitäten

Microsoft Purview-Governanceaktivitäten

Microsoft Stream-Aktivitäten

Microsoft Teams-Aktivitäten

Microsoft Teams-Aktivitäten im Gesundheitswesen

Microsoft Teams Schichten-Aktivitäten

Microsoft Teams Updates-Aktivitäten

Microsoft To Do-Aktivitäten

Microsoft Viva Insights Aktivitäten

Persönliche Insights-Aktivitäten

Quarantäneaktivitäten

Berichtsaktivitäten

Aufbewahrungsrichtlinie und Aufbewahrungsbezeichnungsaktivitäten

Rollenverwaltungsaktivitäten

Aktivitäten vertraulicher Informationstypen

Vertraulichkeitsbezeichnungsaktivitäten

SharePoint-Listen Aktivitäten

Freigabe- und Zugriffsanforderungsaktivitäten

Websiteverwaltungsaktivitäten

Websiteberechtigungsaktivitäten

Synchronisierungsaktivitäten

SystemSync-Aktivitäten

Benutzerverwaltungsaktivitäten

Viva Goals Aktivitäten

Viva Engage Aktivitäten

Viva Pulse-Aktivitäten

Windows 365 Kunden-Lockbox-Aktivitäten

Feedback

Zusätzliche Ressourcen