Creación de auditLogQuery
Espacio de nombres: microsoft.graph.security
Cree un nuevo objeto auditLogQuery .
Esta API está disponible en las siguientes implementaciones nacionales de nube.
| Servicio global | Gobierno de EE. UU. L4 | Us Government L5 (DOD) | China operada por 21Vianet |
|---|---|---|---|
| ✅ | ❌ | ❌ | ❌ |
Permissions
Se puede acceder a los datos de auditoría a través de Auditoría de Microsoft Purview Search API mediante los siguientes permisos, que se clasifican en un nivel de servicio de Microsoft 365. Para obtener más información, incluido cómo elegir permisos, vea Permisos.
| Tipo de permiso | Permisos con privilegios mínimos | Permisos con privilegios más altos |
|---|---|---|
| Delegado (cuenta profesional o educativa) | AuditLogsQuery-Entra.Read.All | AuditLogsQuery-CRM.Read.All, AuditLogsQuery-Endpoint.Read.All, AuditLogsQuery-Exchange.Read.All, AuditLogsQuery-OneDrive.Read.All, AuditLogsQuery-SharePoint.Read.All, AuditLogsQuery.Read.All |
| Delegado (cuenta personal de Microsoft) | No admitida. | No admitida. |
| Aplicación | AuditLogsQuery-Entra.Read.All | AuditLogsQuery-CRM.Read.All, AuditLogsQuery-Endpoint.Read.All, AuditLogsQuery-Exchange.Read.All, AuditLogsQuery-OneDrive.Read.All, AuditLogsQuery-SharePoint.Read.All, AuditLogsQuery.Read.All |
Solicitud HTTP
POST /security/auditLog/queries
Encabezados de solicitud
| Nombre | Descripción |
|---|---|
| Authorization | {token} de portador. Obligatorio. Obtenga más información sobre la autenticación y la autorización. |
| Content-Type | application/json. Obligatorio. |
Cuerpo de la solicitud
En el cuerpo de la solicitud, proporcione una representación JSON del objeto auditLogQuery .
Puede especificar las siguientes propiedades al crear una auditLogQuery.
| Propiedad | Tipo | Descripción |
|---|---|---|
| displayName | Cadena | Nombre para mostrar de la consulta de registro de auditoría guardada. Opcional. |
| filterStartDateTime | DateTimeOffset | Fecha de inicio del intervalo de fechas de la consulta. Opcional. |
| filterEndDateTime | DateTimeOffset | Fecha de finalización del intervalo de fechas de la consulta. Opcional. |
| recordTypeFilters | Collection(string) de microsoft.graph.security.auditLogRecordType | Tipo de operación o tipos indicados por el registro. Los valores posibles son: exchangeAdmin, exchangeItem, , sharePoint, syntheticProbecampaignexchangeItemGroupsharePointFileOperationoneDriveazureActiveDirectoryazureActiveDirectoryAccountLogondataCenterSecurityCmdletcomplianceDLPSharePointswaycomplianceDLPExchangesharePointSharingOperationazureActiveDirectoryStsLogonskypeForBusinessPSTNUsageskypeForBusinessUsersBlockedsecurityComplianceCenterEOPCmdletexchangeAggregatedOperationpowerBIAuditcrmyammerskypeForBusinessCmdletsdiscoverymicrosoftTeamsthreatIntelligencemailSubmissionmicrosoftFlowaeDmicrosoftStreamcomplianceDLPSharePointClassificationthreatFinderprojectsharePointListOperationsharePointCommentOperationdataGovernancekaizalasecurityComplianceAlertsthreatIntelligenceUrlsecurityComplianceInsightsmipLabelworkplaceAnalyticspowerAppsApppowerAppsPlanthreatIntelligenceAtpContentlabelContentExplorerteamsHealthcareexchangeItemAggregatedhygieneEventdataInsightsRestApiAuditinformationBarrierPolicyApplicationsharePointListItemOperationsharePointContentTypeOperationsharePointFieldOperationmicrosoftTeamsAdminhrSignalmicrosoftTeamsDevicemicrosoftTeamsAnalyticsinformationWorkerProtectiondlpEndpoint, airInvestigation, quarantine, microsoftForms, applicationAudit, complianceSupervisionExchange, customerKeyServiceEncryption, , officeNative, mipAutoLabelSharePointItem, microsoftTeamsShiftsexchangeSearchcortanaBriefingsearchwdatpAlertsmipAutoLabelExchangeItempowerPlatformAdminEnvironmentpowerPlatformAdminDlpmdatpAuditsensitivityLabelPolicyMatchsensitivityLabelActionsensitivityLabeledFileActionattackSimsecureScoresecurityComplianceRBACairManualInvestigationuserTrainingairAdminActionInvestigationmsticphysicalBadgingSignalteamsEasyApprovalsmipAutoLabelSharePointPolicyLocationprivacyDataMinimizationsharePointSearchonPremisesSharePointScannerDlponPremisesFileShareScannerDlplabelAnalyticsAggregatemcasAlertsaipHeartBeataipFileDeletedmyAnalyticsSettingsaipProtectionActionaipSensitivityLabelActionaipDiscoversecurityComplianceUserChangecomplianceDLPExchangeClassificationms365DCustomDetectionmsdeIndicatorsSettingsmsdeRolesSettingsmsdeGeneralSettingsmapgAlertsmsdeResponseActionsmapgPolicymapgRemediationmipExactDataMatchcomplianceDLPEndpointprivacyDigestEmailmipAutoLabelSimulationProgressprivacyRemediationActionmipAutoLabelSimulationCompletiony , mipAutoLabelProgressFeedbackdlpSensitiveInformationType, mipAutoLabelSimulationStatistics, largeContentMetadata, microsoft365Group, cdpMlInferencingResult, filteringMailMetadata, cdpClassificationMailItem, , cdpClassificationDocument, officeScriptsRunAction, cdpUnifiedFeedbackfilteringRuleHitsconsumptionResourcehealthcareSignaldlpImportResultcdpCompliancePolicyExecutionmultiStageDispositionprivacyDataMatchtenantAllowBlockListfilteringEmailFeaturesfilteringDocMetadatapowerBIDlpfilteringUrlInfofilteringAttachmentInfocoreReportingSettingscomplianceConnectorfilteringPostMailDeliveryActionfilteringEntityEventmipLabelAnalyticsAuditRecordfilteringUrlClickcmImprovementActionChangefilteringMailSubmissionomePortalwebpageActivityEndpointcdpCompliancePolicyUserFeedbacklabelExplorercdpPredictiveCodingLabelpowerPlatformLockboxResourceCommandpowerPlatformLockboxResourceAccessRequestmicrosoftManagedServicePlatformpowerPlatformServiceActivityincidentStatusalertIncidentcasealertStatuscaseInvestigationalertrecordsManagementprivacyRemediationfilteringTimeTravelDocMetadatascorePlatformGenericAuditRecordcdpDlpSensitiveehrConnectordataShareOperationfilteringMailGradingResult, , publicFolderprivacyTenantAuditHistoryRecord, aipScannerDiscoverEvent, eduDataLakeDownloadOperation, m365ComplianceConnector, microsoftGraphDataConnectOperation, microsoftPurview, filteringEmailContentFeatures, , powerPagesSite, powerAppsResource, plannerCopyPlanmdcSecurityConnectorsplannerRosterplannerPlanListplannerTaskListplannerTenantSettingsprojectForTheWebProjectprojectForTheWebTaskplannerTaskprojectForTheWebRoadmapItemprojectForTheWebRoadmapprojectForTheWebProjectSettingsprojectForTheWebRoadmapSettingsquarantineMetadatamicrosoftTodoAudittimeTravelFilteringDocMetadataplannerPlanmdcRegulatoryComplianceAssessmentsmdcRegulatoryComplianceControlsmdcRegulatoryComplianceStandardsmdcAssessmentsmdaDataSecuritySignalfilteringTeamsPostDeliveryActionfilteringTeamsUrlInfofilteringTeamsMetadatavivaGoalsmicrosoftTeamsSensitivityLabelActionsharePointAppPermissionOperationteamsQuarantineMetadatafilteringRuntimeInfoattackSimAdminunifiedSimulationSummaryunifiedSimulationMatchedItemupdateQuarantineMetadatamanagedTenantsms365DSuppressionRuleprivacyPortalpurviewDataMapOperationfilteringUrlPostClickActionfilteringAtpDetonationInfomicrosoftGraphDataConnectConsentteamsUpdatesplannerRosterSensitivityLabelirmUserDefinedDetectionSignalms365DIncident, , filteringDelistingMetadatacomplianceDLPSharePointClassificationExtended, microsoftDefenderForIdentityAudit, supervisoryReviewDayXInsight, defenderExpertsforXDRAdmin, cdpEdgeBlockedMessage, hostedRpa, cdpContentExplorerAggregateRecord, , cdpHygieneAttachmentInfo, cdpHygieneSummary, cdpPostMailDeliveryAction, cdpEmailFeatures, , cdpHygieneUrlInfo, cdpUrlClick, cdpPackageManagerHygieneEvent, filteringDocScan, timeTravelFilteringDocScan, mapgOnboard, unknownFutureValue. Opcional. |
| keywordFilter | Cadena | Campo de texto libre para buscar propiedades no indexadas del registro de auditoría. Opcional. |
| serviceFilter | Cadena | Hace referencia a la propiedad workload en el registro de auditoría. Este es el servicio de Microsoft donde se produjo la actividad. Opcional. |
| operationFilters | Colección string | El nombre de la actividad de usuario o administrador. Para obtener una descripción de las operaciones o actividades más comunes, vea Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365. Opcional. |
| userPrincipalNameFilters | Colección string | UPN (nombre principal de usuario) del usuario que realizó la acción (especificada en la propiedad operation) que provocó que se registrara el registro; por ejemplo, my_name@my_domain_name. Opcional. |
| ipAddressFilters | Colección string | La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. Opcional. |
| objectIdFilters | Colección string | Para la actividad de SharePoint y OneDrive para la Empresa, el nombre de la ruta de acceso completo del archivo o carpeta al que obtuvo acceso el usuario. Para el registro de auditoría de Exchange, el nombre del objeto modificado por el cmdlet. Opcional. |
| administrativeUnitIdFilters | Colección string | Unidades administrativas etiquetadas en un registro de auditoría. Opcional. |
| status | microsoft.graph.security.auditLogQueryStatus | Estado actual de la consulta. Los valores posibles son: notStarted, running, succeeded, failed, cancelled, unknownFutureValue. Opcional. |
Respuesta
Si se ejecuta correctamente, este método devuelve un 201 Created código de respuesta y un objeto auditLogQuery en el cuerpo de la respuesta.
Ejemplos
Solicitud
En el ejemplo siguiente se muestra la solicitud.
POST https://graph.microsoft.com/v1.0/security/auditLog/queries
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.security.auditLogQuery",
"displayName": "String",
"filterStartDateTime": "String (timestamp)",
"filterEndDateTime": "String (timestamp)",
"recordTypeFilters": [
"String"
],
"keywordFilter": "String",
"serviceFilter": "String",
"operationFilters": [
"String"
],
"userPrincipalNameFilters": [
"String"
],
"ipAddressFilters": [
"String"
],
"objectIdFilters": [
"String"
],
"administrativeUnitIdFilters": [
"String"
],
"status": "String"
}
Respuesta
En el ejemplo siguiente se muestra la respuesta.
Nota: Se puede acortar el objeto de respuesta que se muestra aquí para mejorar la legibilidad.
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.security.auditLogQuery",
"id": "168ec429-084b-a489-90d8-504a87846305",
"displayName": "String",
"filterStartDateTime": "String (timestamp)",
"filterEndDateTime": "String (timestamp)",
"recordTypeFilters": [
"String"
],
"keywordFilter": "String",
"serviceFilter": "String",
"operationFilters": [
"String"
],
"userPrincipalNameFilters": [
"String"
],
"ipAddressFilters": [
"String"
],
"objectIdFilters": [
"String"
],
"administrativeUnitIdFilters": [
"String"
],
"status": "String"
}