次の方法で共有


OfficeActivity

Azure Sentinel によって収集された Office 365 テナントの監査ログ。 Exchange、SharePoint、および Teams のログを含みます。

テーブル属性

属性 Value
リソースの種類 -
Categories (カテゴリ) セキュリティ
ソリューション AzureSentinelPrivatePreview、SecurityInsights
基本的なログ いいえ
インジェスト時間変換 はい
サンプル クエリ はい

タイプ 説明
AADGroupId string Azure Active Directory グループ ID
AADTarget string アクション (Operation プロパティで識別) が実行されたユーザー
アクティビティ string ユーザーが実行したアクティビティ。
俳優 string アクションを実行したユーザーまたはサービス プリンシパルです
ActorContextId string アクターが属する組織の GUID
ActorIpAddress string アクターの IP アドレス (IPV4 または IPV6 アドレス形式)
AddOnGuid string このイベントを生成したアドオンの一意識別子
AddonName string このイベントを生成したアドオンの名前
AddOnType string このイベントを生成したアドオンの種類
AffectedItems string グループ内の各項目に関する情報
AppDistributionMode string アプリケーション配布モード
AppId string アプリケーション ID
アプリケーション string アプリケーション名
ApplicationId string SharePoint アプリケーション ID
AppPoolName string アプリ プール名
AzureActiveDirectory_EventType string Azure AD イベントの種類
AzureADAppId string Teams アプリケーションの Azure AD ID
_BilledSize real レコード サイズ (バイト単位)
ChannelGuid string 監査対象のチャネルの一意の識別子
ChannelName string 監査対象のチャネルの名前
ChannelType string 監査対象のチャネルの種類 (Standard/Private)
ChatName string チャットの名前
ChatThreadId string チャット スレッドの ID
クライアント string アカウント ログイン イベントに使用されたクライアント デバイス、デバイス OS、デバイス ブラウザーの詳細
Client_IPAddress string 操作のログ記録時に使用されたデバイスの IP アドレス
ClientAppId string クライアント アプリケーション ID
ClientInfoString string 操作の実行に使用された電子メール クライアントに関する情報
ClientIP string アクティビティがログに記録されたときに使用されたデバイスの IP アドレス
ClientMachineName string Outlook クライアントをホストするコンピューター名
ClientProcessName string メールボックスへのアクセスに使用された電子メール クライアント
ClientVersion string 電子メール クライアントのバージョン
CommunicationType string 実行された通信の種類
CrossMailboxOperations [bool] 操作が複数のメールボックスに関係するかどうかを示します
CustomEvent string カスタム イベントの省略可能な文字列
DataCenterSecurityEventType int ロック ボックス内の dmdlet イベントの種類
DestFolder string 移動先フォルダー
DestinationFileExtension string コピーまたは移動されるファイルのファイル拡張子
DestinationFileName string コピーまたは移動されるファイルの名前
DestinationRelativeUrl string ファイルのコピーまたは移動先フォルダーの URL
DestMailboxId string CrossMailboxOperations パラメーターが True の場合にのみ設定します
DestMailboxOwnerMasterAccountSid string CrossMailboxOperations パラメーターが True の場合にのみ設定します
DestMailboxOwnerSid string CrossMailboxOperations パラメーターが True の場合にのみ設定します
DestMailboxOwnerUPN string CrossMailboxOperations パラメーターが True の場合にのみ設定します
EffectiveOrganization string 昇格/コマンドレットの対象となったテナントの名前
ElevationApprovedTime datetime 昇格が承認された日時のタイムスタンプ
ElevationApprover string Microsoft マネージャーの名前
ElevationDuration int 標高がアクティブだった期間 (時間単位)
ElevationRequestId string 昇格要求の一意識別子
ElevationRole string 昇格が要求されたロール
ElevationTime datetime 標高の開始時刻
Event_Data string カスタム イベントの省略可能なペイロード
EventSource string SharePoint で発生したイベントを識別します。 指定できる値は SharePoint または ObjectModel です
ExtendedProperties string Azure AD イベントの拡張プロパティ
ExternalAccess string コマンドレットが組織内のユーザーによって実行されたかどうかを指定します
ExtraProperties 動的 追加のプロパティの一覧
フォルダー string 項目のグループが配置されているフォルダー
Folders string 操作に関係するソース フォルダーに関する情報
GenericInfo string コメントやその他の一般的な情報に使用されます
InternalLogonType int 内部使用のために予約済み
InterSystemsId string Office 365 サービス内のコンポーネント全体のアクションを追跡する GUID
IntraSystemId string アクションを追跡するために Azure Active Directory によって生成される GUID
_IsBillable string データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません
IsManagedDevice [bool] 組織が管理するデバイスによって操作が作成されたかどうかを示します
IssuedAtTime datetime 要求に対して Microsoft Entra トークンが使用可能であり、この Microsoft Entra トークンの認証がいつ発生したかを示す場合は、発行先が設定されます。
項目 string 操作が実行された対象の項目を表します。
ItemName string 電子メール メッセージの [件名] フィールドの文字列
アイテムの種類 string アクセスまたは変更されたオブジェクトの種類。 オブジェクトの種類の詳細については、ItemType テーブルを参照してください。
LoginStatus int このプロパティは OrgIdLogon.LoginStatus に直接由来します。 さまざまな興味深いログオン エラーのマッピングは、アラート アルゴリズムによって実行できます
Logon_Type string メールボックスにアクセスし、ログに記録された操作を実行したユーザーの種類を示します
LogonUserDisplayName string 操作を実行したユーザーのわかりやすい名前
LogonUserSid string 操作を実行したユーザーの SID
MachineDomainInfo string デバイス同期操作に関する情報
MachineId string デバイス同期操作に関する情報
MailboxGuid string アクセスされたメールボックスの Exchange GUID
MailboxOwnerMasterAccountSid string メールボックス所有者アカウントのマスター アカウント SID
MailboxOwnerSid string メールボックス所有者の SID
MailboxOwnerUPN string アクセスされたメールボックスを所有しているユーザーのメール アドレス
メンバー 動的 チーム内のユーザーの一覧
MessageId string チャットまたはチャネル メッセージの識別子
ModifiedObjectResolvedName string これは、コマンドレットによって変更されたオブジェクトのユーザー フレンドリ名です。
ModifiedProperties string このプロパティは、サイトまたはサイト コレクション管理グループのメンバーとしてユーザーを追加するなど、管理者イベントに含まれます。
Name string 設定イベントにのみ存在します。 変更された設定の名前
NewValue string 設定イベントにのみ存在します。 設定の新しい値
OfficeId string 監査レコードの一意識別子
OfficeObjectId string SharePoint および OneDrive for Business アクティビティの場合
OfficeTenantId string Office テナント ID
OfficeWorkload string アクティビティが発生した Office 365 サービス
OldValue string 設定イベントにのみ存在します。 設定の古い値
操作 string ユーザーが実行している操作の名前
OperationProperties 動的 その他の操作プロパティ
OperationScope string 操作が実行されたスコープ
OrganizationId string 組織の Office 365 テナントの GUID。 この値は、組織で常に同じになります
OrganizationName string テナントの名前
OriginatingServer string コマンドレットの実行元サーバーの名前
パラメーター string Operations プロパティで識別されるコマンドレットで使用されたすべてのパラメーターの名前と値
RecordType string レコードによって示される操作の種類。 監査ログ レコードの種類の詳細については、AuditLogRecordType テーブルを参照してください。
_ResourceId string レコードが関連付けられているリソースの一意識別子
ResultReasonType string ResultType で報告された結果の理由
ResultStatus string (Operation プロパティで指定された) アクションが成功したかどうかを示します。
SendAsUserMailboxGuid string 電子メールを送信するためにアクセスされたメールボックスの Exchange GUID
SendAsUserSmtp string 偽装されているユーザーの SMTP アドレス
SendonBehalfOfUserMailboxGuid string 代理でメールを送信するためにアクセスされたメールボックスの Exchange GUID
SendOnBehalfOfUserSmtp string 電子メールが送信されたユーザーの SMTP アドレス
SharingType string リソースの共有相手だったユーザーに割り当てられていた共有アクセス許可の種類。 このユーザーは UserSharedWith パラメーターによって識別されます
Site_ string ユーザーがアクセスするファイルまたはフォルダーが配置されているサイトの GUID
Site_Url string ユーザーがアクセスしたファイルまたはフォルダーが配置されているサイトの URL
Source_Name string 監査対象の操作をトリガーしたエンティティ。 指定できる値は SharePoint または ObjectModel です
SourceFileExtension string ユーザーがアクセスしたファイルのファイル拡張子
SourceFileName string ユーザーがアクセスするファイルまたはフォルダーの名前
SourceRecordId string 監査レコードの一意識別子
SourceRelativeUrl string ユーザーがアクセスしたファイルを含むフォルダーの URL
SourceSystem string イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です
SRPolicyId string ポリシー ID
SRPolicyName string ポリシー名
SRRuleMatchDetails 動的 ルールの詳細
Start_Time datetime コマンドレットが実行された日時
_SubscriptionId string レコードが関連付けられているサブスクリプションの一意識別子
SupportTicketId string "代理アクション" の状況でのアクションのカスタマー サポート チケット ID
TabType string このイベントを生成したタブの種類
TargetContextId string 対象ユーザーが属している組織の GUID
TargetUserId string ターゲット ユーザー ID
TargetUserOrGroupName string リソースが共有されたターゲット ユーザーまたはグループの UPN または名前を格納します。
TargetUserOrGroupType string ターゲット ユーザーまたはグループがメンバー、ゲスト、グループ、またはパートナーであるかどうかを識別します
TeamGuid string 監査対象のチームの一意識別子
TeamName string 監査対象のチームの名前
TenantId string Log Analytics ワークスペース ID
TimeGenerated datetime ユーザーがアクティビティを実行したときの世界協定時刻 (UTC) の日付と時刻
種類 string テーブルの名前
UniqueTokenId string 要求に対して Microsoft Entra トークンが使用可能な場合、UniqueTokenId が設定されます。 大文字と小文字が区別される一意のトークンごとの識別子です。
UserAgent string ユーザー エージェント
UserDomain string ユーザーのドメイン
UserId string レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーの UPN (ユーザー プリンシパル名)
UserKey string UserId プロパティで識別されたユーザーの代替 ID
UserSharedWith string リソースが共有されたユーザー
UserType string 操作を実行したユーザーの種類。 ユーザーの種類の詳細については、UserType テーブルを参照してください。