Detaillierte Aktivitätseigenschaften im Überwachungsprotokoll
Wenn Sie die Ergebnisse einer Überwachungsprotokollsuche aus dem Microsoft Purview-Portal oder aus dem Microsoft Purview-Complianceportal exportieren, können Sie alle Ergebnisse herunterladen, die Ihren Suchkriterien entsprechen. Sie können diese Informationen exportieren, indem Sie auf der Seite Überwachungsprotokollsuche die Option Ergebnisse> exportierenAlle Ergebnisse herunterladen auswählen. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls.
Wenn Sie alle Ergebnisse für eine Überwachungsprotokollsuche exportieren, werden die Rohdaten aus dem einheitlichen Überwachungsprotokoll in eine CSV-Datei (Comma-Separated Value) kopiert, die auf Ihren lokalen Computer heruntergeladen wird. Diese Datei enthält zusätzliche Eigenschafteninformationen aus jedem Überwachungsaktivitätsdatensatz in einer Spalte mit dem Namen AuditData. Diese Spalte enthält eine mehrwertige Eigenschaft für mehrere Eigenschaften aus dem Überwachungsprotokolldatensatz. Jedes der Eigenschafts-:-Wertpaare in dieser mehrwertigen Eigenschaft wird durch ein Komma getrennt.
In der folgenden Tabelle werden die Aktivitätseigenschaften beschrieben, die (abhängig vom Dienst, in dem eine Aktivität auftritt) in der AuditData-Spalte mit mehreren Eigenschaften enthalten sind. Der Microsoft-Dienst mit dieser Eigenschaftsspalte gibt den Dienst und den Typ der Aktivität (Benutzer oder Administrator) an, die die Eigenschaft enthält. Ausführlichere Informationen zu diesen Eigenschaften oder eigenschaften, die in diesem Artikel möglicherweise nicht aufgeführt sind, finden Sie unter Schema der Verwaltungsaktivitäts-API.
Tipp
Sie können die JSON-Transformationsfunktion in Power Query in Excel verwenden, um die Spalte AuditData in mehrere Spalten aufzuteilen, sodass jede Eigenschaft über eine eigene Spalte verfügt. Dadurch können Sie nach einer oder mehreren dieser Eigenschaften sortieren und filtern. Informationen dazu finden Sie unter Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokolldatensätzen.
| Eigenschaft | Beschreibung | Microsoft-Dienst mit dieser Eigenschaft |
|---|---|---|
| Akteur | Das Benutzer- oder Dienstkonto, das die Aktion ausgeführt hat. | Azure Active Directory |
| AddOnName | Der Name eines Add-Ons, das in einem Team hinzugefügt, entfernt oder aktualisiert wurde. Der Typ von Add-Ons in Microsoft Teams ist ein Bot, ein Connector oder eine Registerkarte. | Microsoft Teams |
| AddOnType | Der Typ eines Add-Ons, das in einem Team hinzugefügt, entfernt oder aktualisiert wurde. Die folgenden Werte geben den Typ des Add-Ons an. 1 – Gibt einen Bot an. 2 – Gibt einen Connector an. 3 – Gibt eine Registerkarte an. |
Microsoft Teams |
| AppAccessContext | Der Anwendungskontext für den Benutzer oder Dienstprinzipal, der die Aktion ausgeführt hat. | Microsoft Teams |
| ArtifactShared | Dateien oder Inhalte, die vom Benutzer freigegeben werden. | Microsoft Teams |
| AzureActiveDirectoryEventType | Der Typ der Azure Active Directory-Aktivität. Die folgenden Werte geben den Typ der Aktivität an. 0 – Gibt eine Kontoanmeldungsaktivität an. 1 – Gibt eine Azure-Anwendungssicherheitsaktivität an. |
Azure Active Directory |
| ChannelGuid | Die ID eines Microsoft Teams-Kanals. Das Team, in dem sich der Kanal befindet, wird durch die Eigenschaften TeamName und TeamGuid identifiziert. | Microsoft Teams |
| ChannelName | Der Name eines Microsoft Teams-Kanals. Das Team, in dem sich der Kanal befindet, wird durch die Eigenschaften TeamName und TeamGuid identifiziert. | Microsoft Teams |
| Client | Das Clientgerät, das Gerätebetriebssystem und der Gerätebrowser, der für die Anmeldeaktivität verwendet wird (z. B. Nokia Lumia 920; Windows Phone 8; IE Mobile 11). | Azure Active Directory |
| ClientInfoString | Informationen zum E-Mail-Client, der zum Ausführen des Vorgangs verwendet wurde, z. B. browserversion, Outlook-Version und Informationen zu mobilen Geräten | Exchange (Postfachaktivität) |
| ClientIP | Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse einer vertrauenswürdigen Anwendung (z.B. Office in den Web-Apps), die anstelle eines Benutzers in den Dienst einruft und nicht die IP-Adresse des Geräts, das von der Person, die die Aktivität ausgeführt hat, verwendet wird. Außerdem wird bei Administratoraktivitäten (oder aktivitäten, die von einem Systemkonto ausgeführt werden) für Azure Active Directory-bezogene Aktivitäten die IP-Adresse nicht protokolliert, und der Wert für die ClientIP-Eigenschaft lautet null. |
Azure Active Directory, Exchange, SharePoint |
| CreationTime | Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), wann der Überwachungsprotokolldatensatz generiert wird. | Alle |
| CurrentProtectionType | Ein komplexer Eigenschaftentyp, der Felder enthält, um den aktuellen Schutzstatus eines Dokuments zu beschreiben. Umfasst Folgendes: ProtectionType: Listet den Schutztyp auf, der auf das Dokument angewendet wird. Diese Werte und ihre Bedeutung gelten: 0 (kein Schutz), 1 (vorlagenbasierter Schutz), 2 (nicht weiterleiten, für E-Mail), 3 (nur verschlüsseln) und 4 (benutzerdefinierter, vom Benutzer konfigurierter Schutz) Besitzer: Die E-Mail-Adresse des Benutzers, der den Schutz konfiguriert hat. TemplateId: Wenn ProtectionType auf 1 (Vorlage) festgelegt ist, enthält dieses Feld die GUID der Vorlage, die auf das Dokument angewendet wird. Wenn der Wert von ProtectionType nicht gleich 1 ist, ist dieses Feld leer. DocumentEncrypted: Boolesches Flag, das angibt, ob eine Art von Verschlüsselung auf das Dokument angewendet wird. Die Werte sind True oder False. |
Alle |
| DestinationFileExtension | Der Erweiterung der Datei, die kopiert oder verschoben wurde. Diese Eigenschaft wird nur für die Benutzeraktivitäten FileCopied und FileMoved angezeigt. | SharePoint |
| DestinationFileName | Der Name der Datei wird kopiert oder verschoben. Diese Eigenschaft wird nur für die Aktionen FileCopied und FileMoved angezeigt. | SharePoint |
| DestinationRelativeUrl | Die URL des Zielordners, in den eine Datei kopiert oder verschoben wurde. Die Kombination der Werte für die SiteURL, die DestinationRelativeURL und die DestinationFileName-Eigenschaft ist identisch mit dem Wert für die ObjectID-Eigenschaft , die den vollständigen Pfadnamen für die kopierte Datei darstellt. Diese Eigenschaft wird nur für die Benutzeraktivitäten FileCopied und FileMoved angezeigt. | SharePoint |
| EventSource | Gibt an, dass eine Aktivität in SharePoint aufgetreten ist. Mögliche Werte sind SharePoint und ObjectModel. | SharePoint |
| ExternalAccess | Gibt für Exchange-Administratoraktivitäten an, ob das Cmdlet von einem Benutzer in Ihrer Organisation, von Microsoft-Rechenzentrumsmitarbeitern oder einem Rechenzentrumsdienstkonto oder von einem delegierten Administrator ausgeführt wurde. Der Wert False gibt an, dass das Cmdlet von einer Person in Ihrer Organisation ausgeführt wurde. Der Wert True gibt an, dass das Cmdlet von Mitarbeiter des Rechenzentrums, einem Rechenzentrum-Dienstkonto oder einem delegierten Administrator ausgeführt wurde. Gibt für Exchange-Postfachaktivitäten an, ob ein Benutzer außerhalb Ihrer Organisation auf ein Postfach zugreift. |
Exchange |
| ExtendedProperties | Die erweiterten Eigenschaften für eine Azure Active Directory-Aktivität. | Azure Active Directory |
| ID | Die ID des Berichtseintrags. Die ID identifiziert den Berichtseintrag eindeutig. | Alle |
| InternalLogonType | Für die interne Verwendung reserviert. | Exchange (Postfachaktivität) |
| ItemType | Der Typ des Objekts, auf das zugegriffen bzw. das geändert wurde. Mögliche Werte sind File, Folder, Web, Site, Tenant und DocumentLibrary. | SharePoint |
| IsJoinedFromLobby | Gibt an, ob der Benutzer über den Wartebereich einer Teams-Sitzung beigetreten ist oder nicht. | Microsoft Teams |
| LoginStatus | Identifiziert Anmeldefehler, die möglicherweise aufgetreten sind. | Azure Active Directory |
| LogonType | Der Typ des Postfachzugriffs. Die folgenden Werte geben den Typ des Benutzers an, der auf das Postfach zugegriffen hat. 0 – Gibt einen Postfachbesitzer an. 1 – Gibt einen Administrator an. 2 – Gibt einen Delegaten an. 3 – Gibt den Transportdienst im Microsoft-Rechenzentrum an. 4 – Gibt ein Dienstkonto im Microsoft-Rechenzentrum an. 6 – Gibt einen delegierten Administrator an. |
Exchange (Postfachaktivität) |
| MailboxGuid | Die Exchange-GUID des Postfachs, auf das zugegriffen wurde. | Exchange (Postfachaktivität) |
| MailboxOwnerUPN | Die E-Mail-Adresse der Person, die das Postfach besitzt, auf das zugegriffen wurde. | Exchange (Postfachaktivität) |
| Members | Listet die Benutzer auf, die einem Team hinzugefügt oder entfernt wurden. Die folgenden Werte geben den Rollentyp an, der dem Benutzer zugewiesen wurde. 1 - Gibt die Besitzerrolle an. 2 - Gibt die Mitgliedsrolle an. 3 - Gibt die Gastrolle an. Die Eigenschaft „Mitglieder“ enthält auch den Namen Ihrer Organisation und die E-Mail-Adresse des Mitglieds. |
Microsoft Teams |
| ModifiedProperties (Name, NewValue, OldValue) | Die -Eigenschaft ist für Administratoraktivitäten enthalten, z. B. das Hinzufügen eines Benutzers als Mitglied einer Website oder einer Websitesammlungsadministratorgruppe. Die Eigenschaft enthält den Namen der Eigenschaft, die geändert wurde (z. B. die Gruppe Websiteadministrator), den neuen Wert der geänderten Eigenschaft (z. B. den Benutzer, der als Websiteadministrator hinzugefügt wurde, und den vorherigen Wert des geänderten Objekts). | Alle (Administratoraktivität) |
| ObjectFullyQualifiedName | Der vollqualifizierte Name für eine Entität. | Microsoft Purview (Governance) |
| ObjectId | Für Exchange-Verwaltungsüberwachungsprotokolle der Name des Objekts, das vom Cmdlet geändert wurde. Bei SharePoint-Aktivitäten der vollständige URL-Pfadname der Datei oder des Ordners, auf die ein Benutzer zugreift. Bei Azure AD-Aktivitäten der Name des Benutzerkontos, das geändert wurde. |
Alle |
| ObjectName | Der Name der Hauptentität. | Microsoft Purview (Governance) |
| ObjectType | Der Entitätstyp. | Microsoft Purview (Governance) |
| OldValue | Der Wert vor einer Änderung enthält alle aktualisierten oder gelöschten Eigenschaften. | Microsoft Purview (Governance) |
| Vorgang | Der Name der Benutzer- oder Verwaltungsaktivität. Der Wert dieser Eigenschaft entspricht dem Wert, der in der Dropdownliste Aktivitäten ausgewählt wurde. Wenn Ergebnisse für alle Aktivitäten anzeigen ausgewählt wurde, enthält der Bericht Einträge für alle Benutzer- und Administratoraktivitäten für alle Dienste. Eine Beschreibung der Vorgänge/Aktivitäten, die im Überwachungsprotokoll protokolliert werden, finden Sie auf der Registerkarte Überwachte Aktivitäten unter Durchsuchen des Überwachungsprotokolls in Office 365. Für Exchange-Administratoraktivitäten gibt diese Eigenschaft den Namen des Cmdlets an, das ausgeführt wurde. |
Alle |
| OrganizationId | Die GUID für Ihre Organisation. | Alle |
| NewValue | Der Wert nach einer Änderung enthält alle aktualisierten oder gelöschten Eigenschaften. | Microsoft Purview (Governance) |
| Pfad | Der Name des Postfachordners, in dem sich die Nachricht, auf die zugegriffen wurde, befindet. Diese Eigenschaft identifiziert auch den Ordner a, in dem eine Nachricht erstellt oder kopiert/verschoben wird. | Exchange (Postfachaktivität) |
| Parameter | Bei Exchange-Administratoraktivitäten der Name und der Wert für alle Parameter, die mit dem Cmdlet verwendet wurden, das in der Operation-Eigenschaft identifiziert wird. | Exchange (Administratoraktivität) |
| ParticipantInfo | Zusätzliche Eigenschaften zur Teilnehmeridentität. | Microsoft Teams |
| ParticipatingDomainInformation | Domäneninformationen zum Teilnehmer. | Microsoft Teams |
| PreviousProtectionType | Ein komplexer Eigenschaftentyp, der Felder enthält, um den vorherigen Schutzstatus eines Dokuments zu beschreiben. Umfasst Folgendes: ProtectionType: Listet den Schutztyp auf, der auf das Dokument angewendet wird. Diese Werte und ihre Bedeutung gelten: 0 (kein Schutz), 1 (vorlagenbasierter Schutz), 2 (nicht weiterleiten, für E-Mail), 3 (nur verschlüsseln) und 4 (benutzerdefinierter, vom Benutzer konfigurierter Schutz) Besitzer: Die E-Mail-Adresse des Benutzers, der den Schutz konfiguriert hat. TemplateId: Wenn ProtectionType auf 1 (Vorlage) festgelegt ist, enthält dieses Feld die GUID der Vorlage, die auf das Dokument angewendet wird. Wenn der Wert von ProtectionType nicht gleich 1 ist, ist dieses Feld leer. DocumentEncrypted: Boolesches Flag, das angibt, ob eine Art von Verschlüsselung auf das Dokument angewendet wird. Die Werte sind True oder False. |
Alle |
| ProtectionEventType | Listet auf, wie der Schutz durch den überwachten Vorgang geändert wurde. Es gelten die folgenden Werte und Bedeutungen: 0 – Gibt unverändert an. 1 – Gibt an, dass hinzugefügt wurde. 2 – Gibt an, dass geändert wurde. 3 – Gibt an, dass entfernt wurde. |
Alle |
| RecordType | Der vom Datensatz angegebene Vorgangstyp. Diese Eigenschaft gibt den Dienst oder das Feature an, in dem der Vorgang ausgelöst wurde. Eine Liste der Datensatztypen und ihren entsprechenden ENUM-Wert (der in der RecordType-Eigenschaft in einem Überwachungsdatensatz angezeigte Wert) finden Sie unter Überwachungsprotokolldatensatztyp. | |
| ResultStatus | Gibt an, ob die Aktion (in der Operation-Eigenschaft angegeben) erfolgreich war oder nicht. Für Exchange-Administratoraktivitäten ist der Wert entweder True (erfolgreich) oder False (Fehler). |
Alle |
| SecurityComplianceCenterEventType | Gibt an, dass es sich bei der Aktivität um eine Microsoft Purview-Portal- und Complianceportalaktivität handelt. Alle Aktivitäten des Microsoft Purview-Portals und des Complianceportals weisen für diese Eigenschaft den Wert 0 auf. | Microsoft Purview-Portal Microsoft Purview-Complianceportal |
| SensitivityLabel | Die Vertraulichkeitsbezeichnung, die einem bestimmten E-Mail-Element zugewiesen ist. | Exchange |
| SharingType | Der Typ der Freigabeberechtigungen, die dem Benutzer zugewiesen wurden, für den die Ressource freigegeben wurde. Dieser Benutzer wird in der UserSharedWith-Eigenschaft identifiziert. | SharePoint |
| Website | Die GUID der Website, auf der sich die Datei oder der Ordner, auf die bzw. den der Benutzer zugegriffen hat, befindet. | SharePoint |
| SiteUrl | Die URL der Website, auf der sich die Datei oder der Ordner, auf die bzw. den der Benutzer zugegriffen hat, befindet. | SharePoint |
| SourceFileExtension | Die Erweiterung der Datei, auf die der Benutzer zugegriffen hat. Diese Eigenschaft ist leer, wenn das Objekt, auf das zugegriffen wurde, ein Ordner ist. | SharePoint |
| SourceFileName | Der Name der Datei oder des Ordners, auf die der Benutzer zugegriffen hat. | SharePoint |
| SourceRelativeUrl | Die URL des Ordners, der die Datei enthält, auf die der Benutzer zugegriffen hat. Die Kombination der Werte für die SiteURL, die SourceRelativeURL und die SourceFileName-Eigenschaft ist identisch mit dem Wert für die ObjectID-Eigenschaft , die den vollständigen Pfadnamen für die Datei darstellt, auf die der Benutzer zugreift. | SharePoint |
| Betreff | Die Betreffzeile der Nachricht, auf die zugegriffen wurde. | Exchange (Postfachaktivität) |
| TabType | Der Typ der Registerkarte, die in einem Team hinzugefügt, entfernt oder aktualisiert wurde. Gültige Werte für diese Eigenschaft sind: Excel-Pin : Eine Excel-Registerkarte. Erweiterung : Alle Erst- und Drittanbieter-Apps; z. B. Klassenzeitplan, VSTS und Formulare. Notizen : OneNote-Registerkarte. Pdfpin : Eine PDF-Registerkarte. Powerbi : Eine Power BI-Registerkarte. Powerpointpin : Eine PowerPoint-Registerkarte. Sharepointfiles : Eine SharePoint-Registerkarte. Webseite : Eine angeheftete Websiteregisterkarte. Wiki-Registerkarte: Eine Wiki-Registerkarte . Wordpin : Eine Word-Registerkarte. |
Microsoft Teams |
| Ziel | Der Benutzer, für den die Aktion (identifiziert in der Operation-Eigenschaft ) ausgeführt wurde. Wenn beispielsweise ein Gast zu SharePoint oder einem Microsoft-Team hinzugefügt wird, wird dieser Benutzer in dieser Eigenschaft aufgeführt. | Azure Active Directory |
| TeamGuid | Die ID eines Teams in Microsoft Teams. | Microsoft Teams |
| TeamName | Der Name eines Teams in Microsoft Teams. | Microsoft Teams |
| UserAgent | Informationen zum Browser des Benutzers. Diese Informationen werden vom Browser bereitgestellt. | SharePoint |
| UserDomain | Identitätsinformationen zur Mandantenorganisation des Benutzers (Akteurs), der die Aktion ausgeführt hat. | Azure Active Directory |
| UserId | Der Benutzer, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft ), die dazu geführt hat, dass der Datensatz protokolliert wurde. Überwachungsdatensätze für Aktivitäten, die von Systemkonten (z. B. SHAREPOINT\system oder NT AUTHORITY\SYSTEM) ausgeführt werden, sind ebenfalls im Überwachungsprotokoll enthalten. Ein weiterer allgemeiner Wert für die UserId-Eigenschaft ist app@sharepoint. Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter: Der app@sharepoint Benutzer in Überwachungsdatensätzen oder Systemkonten in Exchange-Postfachüberwachungsdatensätzen. |
Alle |
| UserKey | Enthält eine gültige Azure Active Directory-Objekt-ID im GUID- oder Hexax-Format. In Szenarien, in denen der primäre Akteur kein Benutzer ist, ist userKey eine leere Zeichenfolge. Ausführliche Informationen zu verschiedenen UserKey-Szenarien finden Sie unter UserType- und UserKey-Szenarien. | Alle |
| UserType | Der Typ des Benutzers, der den Vorgang ausgeführt hat. Ausführliche Informationen zu verschiedenen UserType-Szenarien finden Sie unter UserType- und UserKey-Szenarien. | Alle |
| Version | Gibt die Versionsnummer der aktivität (identifiziert durch die Operation-Eigenschaft ) an, die protokolliert wird. | Alle |
| Arbeitslast | Der Microsoft 365-Dienst, in dem die Aktivität aufgetreten ist. | Alle |
UserType- und UserKey-Szenarien
Die folgende Tabelle enthält Details zu UserType - und UserKey-Szenarien :
| Wert | UserType-Membername | Beschreibung | UserKey |
|---|---|---|---|
| 0 | Regular | Ein regulärer Benutzer ohne Administratorberechtigungen. | Microsoft Entra-Objekt-ID im GUID-Format |
| 2 | Administrator | Ein Administrator in Ihrer Microsoft 365-Organisation. 1 | Microsoft Entra-Objekt-ID im GUID-Format |
| 3 | DCAdmin | Ein Microsoft-Rechenzentrumsadministrator- oder Rechenzentrumssystemkonto. | Microsoft Entra-Objekt-ID im GUID-Format |
| 4 | System | Ein Überwachungsereignis, das von serverseitiger Logik ausgelöst wird. Beispielsweise Windows-Dienste oder Hintergrundprozesse. | Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000) |
| 5 | Anwendung | Ein Überwachungsereignis, das von einer Microsoft Entra-Anwendung ausgelöst wird. | Microsoft Entra-Anwendungsname oder Anwendungs-ID (sofern verfügbar). Andernfalls eine leere Zeichenfolge. |
| 6 | ServicePrincipal | Ein Dienstprinzipal. | Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000) |
| 7 | CustomPolicy | Eine vom Kunden erstellte oder verwaltete Richtlinie. | Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000) |
| 8 | SystemPolicy | Eine von Microsoft verwaltete Oder Systemrichtlinie. | Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000) |
| 9 | PartnerTechniker | Der Benutzer eines Partnermandanten, der im Namen des Kundenmandanten (in GDAP-Szenarien ) arbeitet. | Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000) |
| 10 | Gast | Ein Gast oder anonymer Benutzer. | Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000) |
Hinweis
1 Bei Microsoft Entra-bezogenen Ereignissen wird der Wert für einen Administrator nicht in einem Überwachungsdatensatz verwendet. Überwachungsdatensätze für Aktivitäten, die von Administratoren ausgeführt werden, geben an, dass ein normaler Benutzer (z. B . UserType: 0) die Aktivität ausgeführt hat. Die UserID-Eigenschaft identifiziert die Person (regulärer Benutzer oder Administrator), die die Aktivität ausgeführt hat.