Действия в журнале аудита
В таблицах этой статьи описаны действия, которые проверяются в Microsoft 365. Эти действия можно найти в журнале аудита на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview.
В этих таблицах группируются связанные действия или действия определенной службы. Таблицы содержат понятное имя, которое отображается в раскрывающемся списке Действия (или доступно в PowerShell), а также имя соответствующей операции, которая отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска. Подробные сведения см. в разделе Подробные свойства журнала аудита.
Совет
Выберите одну из ссылок в списке В этой статье в верхней части этой статьи, чтобы перейти непосредственно к определенной таблице продуктов.
Действия, связанные с администрированием приложений
В следующей таблице перечислены действия администратора приложений, которые регистрируются при добавлении или изменении приложения, зарегистрированного в Microsoft Entra ID. Любое приложение, использующее Microsoft Entra ID для проверки подлинности, должно быть зарегистрировано в каталоге.
Примечание.
Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( .
). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" "
).
Понятное имя | Операция | Описание |
---|---|---|
Добавлена запись делегирования | Добавление записи делегирования. | Разрешение на проверку подлинности было создано или предоставлено приложению в Microsoft Entra ID. |
Добавлен субъект-служба | Добавление субъекта-службы. | Приложение зарегистрировано в Microsoft Entra ID. Приложение представлено в каталоге субъектом-службой. |
Добавлены учетные данные для субъекта-службы | Добавление учетных данных субъекта-службы. | Учетные данные были добавлены в субъект-службу в Microsoft Entra ID. Приложение представлено в каталоге субъектом-службой. |
Удалена запись делегирования | Удаление записи делегирования. | Разрешение на проверку подлинности было удалено из приложения в Microsoft Entra ID. |
Из каталога удален субъект-служба | Удаление субъекта-службы. | Приложение было удалено или отменено из Microsoft Entra ID. Приложение представлено в каталоге субъектом-службой. |
Учетные данные удалены из субъекта-службы | Удаление учетных данных субъекта-службы. | Учетные данные были удалены из субъекта-службы в Microsoft Entra ID. Приложение представлено в каталоге субъектом-службой. |
Задана запись делегирования | Настройка записи делегирования. | Для приложения в Microsoft Entra ID обновлено разрешение на проверку подлинности. |
Действия с письмом сводки дел
В следующей таблице перечислены действия в сообщении о брифинге, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о письме со сводкой дел см. в перечисленных ниже статьях.
Понятное имя | Операция | Описание |
---|---|---|
Обновлены параметры конфиденциальности организации | UpdatedOrganizationBriefingSettings | Администратор обновляет параметры конфиденциальности организации для письма со сводкой дел. |
Обновлены параметры конфиденциальности пользователей | UpdatedUserBriefingSettings | Администратор обновляет параметры конфиденциальности пользователей для письма со сводкой дел. |
Действия по обеспечению соответствия требованиям к обмену данными
В таблице ниже перечислены действия по обеспечению соответствия требованиям к обмену данными, зарегистрированные в журнале аудита Microsoft 365. Дополнительные сведения см. в статье Сведения о Соответствие требованиям к обмену данными Microsoft Purview.
Примечание.
Эти действия доступны при использовании командлета PowerShell Search-UnifiedAuditLog . Эти действия недоступны в раскрывающемся списке Действия .
Понятное имя | Операция | Описание |
---|---|---|
Обновление политики | SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted | Администратор соответствия требованиям к обмену данными обновил политику. |
Соответствие политике | SupervisionRuleMatch | Пользователь отправил сообщение, которое соответствует условию политики. |
Применен тег к сообщениям | SupervisoryReviewTag | К сообщениям применены теги или сообщения разрешены. |
Действия диспетчера соответствия требованиям
В следующей таблице перечислены операции и действия, которые регистрируются, когда администратор управляет параметрами в диспетчере соответствия требованиям. Дополнительные сведения см. в статье Сведения о диспетчере соответствия требованиям.
Понятное имя | Операция | Описание |
---|---|---|
Изменение ролей | ComplianceManagerRolesChange | Администратор изменил роли для пользователей. |
Изменение уровня автоматизации клиента | ComplianceManagerAutomationLevelChange | Администратор изменил уровень автоматизации для клиента во всех действиях. |
Тестирование изменений в службе автоматизации источника | ComplianceManagerAutomationChange | Администратор изменил параметры автоматизации источника тестирования. |
Действия, связанные с обозревателем содержимого
В следующей таблице перечислены действия в проводнике контента, которые зарегистрированы в журнале аудита. Обозреватель содержимого, доступ к которому осуществляется с помощью средства классификации данных на портале Microsoft Purview и на портале соответствия требованиям. Дополнительные сведения см. в статье Использование обозревателя содержимого с классификацией данных
Понятное имя | Операция | Описание |
---|---|---|
Получен доступ к элементу | LabelContentExplorerAccessedItem | Администратор (или пользователь, который является участником группы с ролью Читателя содержимого в обозревателе содержимого) использует обозреватель содержимого для просмотра сообщения электронной почты или документа SharePoint/OneDrive. |
Мероприятия Copilot
В следующей таблице перечислены действия Microsoft 365 Copilot и Microsoft Copilot, зарегистрированные в журнале аудита. Доступ к Copilot можно получить в службах Майкрософт. Действия включают, как и когда пользователи взаимодействуют с Copilot. К ним относятся служба Майкрософт, в которой произошло действие, и ссылки на файлы, к которому был доступ во время взаимодействия. Дополнительные сведения о событиях взаимодействия Copilot и примере схемы см. в статье Обзор событий взаимодействия с Copilot.
Чтобы получить доступ к тексту из запроса пользователя во время взаимодействия, см. раздел Поиск контента или просмотр события взаимодействия СИ из обозревателя действий в разделе Управление состоянием безопасности данных для ИИ.
Дополнительные сведения об аудите и других вариантах управления соответствием для Copilot см. в статье Microsoft Purview поддерживает управление соответствием для Copilot.
Понятное имя | Операция | Описание |
---|---|---|
Создан новый подключаемый модуль Copilot | CreateCopilotPlugin | Пользователь (или администратор или система от имени пользователя) создал новый подключаемый модуль Copilot. |
Создан новый сборник подсказок Copilot | CreateCopilotPromptBook | Пользователь (или администратор или система от имени пользователя) создал новую книгу подсказок в Copilot. |
Удален подключаемый модуль Copilot | DeleteCopilotPlugin | Пользователь (или администратор или система от имени пользователя) удалил подключаемый модуль Copilot. |
Удалена книга подсказок Copilot | DeleteCopilotPromptBook | Пользователь (администратор или система от имени пользователя) удалил книгу подсказок Copilot. |
Отключен подключаемый модуль Copilot | DisableCopilotPlugin | Пользователь (администратор или система от имени пользователя) отключил подключаемый модуль Copilot. |
Отключение модуля командной строки Copilot | DisableCopilotPromptBook | Пользователь (или администратор или система от имени пользователя) отключил сборник подсказок Copilot. |
Включен подключаемый модуль Copilot | EnableCopilotPlugin | Пользователь (администратор или система от имени пользователя) включил подключаемый модуль Copilot. |
Включен модуль командной строки Copilot | EnableCopilotPromptBook | Пользователь (администратор или система от имени пользователя) включил сборник подсказок Copilot. |
Взаимодействие с Copilot | CopilotInteraction | Пользователь (или администратор или система от имени пользователя) ввел запросы в Copilot. |
Обновлен параметр подключаемого модуля Copilot | UpdateCopilotPlugin | Пользователь (администратор или система от имени пользователя) обновил параметр подключаемого модуля Copilot. |
Обновлен параметр модуля командной строки Copilot | UpdateCopilotPromptBook | Пользователь (или администратор или система от имени пользователя) обновил параметр модуля командной строки Copilot. |
Обновлен параметр Copilot | UpdateCopilotSettings | Администратор (или система от имени администратора) обновил параметр Copilot. |
Действия, связанные с администрированием каталогов
В следующей таблице перечислены Microsoft Entra действия, связанные с каталогом и доменом, которые регистрируются, когда администратор управляет своей организацией в Центр администрирования Microsoft 365 или на портале управления Azure.
Примечание.
Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( .
). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" "
).
Понятное имя | Операция | Описание |
---|---|---|
В компанию добавлен домен | Добавление домена в компанию. | Добавлен домен в вашу организацию. |
В каталог добавлен партнер | Добавление партнера компании. | Добавил партнера (делегированного администратора) в вашу организацию. |
Домен удален из компании | Удаление домена из компании. | Удален домен из вашей организации. |
Партнер удален из каталога | Удаление партнера из компании. | Удален партнер (делегированный администратор) из вашей организации. |
Настройка сведений о компании | Настройка сведений о компании. | Обновлена информация о компании для вашей организации. Включает адреса электронной почты, связанные с подпиской, отправляемые Microsoft 365, и технические уведомления о службах Microsoft 365. |
Установка проверки подлинности домена | Установка проверки подлинности домена. | Изменены настройки проверки подлинности домена для вашей организации. |
Обновлены параметры федерации для домена | Настройка параметров федерации для домена. | Изменены параметры федерации (внешнего обмена) для вашей организации. |
Настройка политики паролей | Настройка политики паролей. | Изменены ограничения длины и символов для пользовательских паролей в вашей организации. |
Включена Azure AD Sync | Настройка флага DirSyncEnabled для компании. | Настроено свойство, включающее синхронизацию Azure AD для каталога. |
Обновлен домен | Обновление домена. | Обновлены настройки домена в вашей организации. |
Проверен домен | Проверка домена. | Выполнена проверка того, является ли ваша организация владельцем домена. |
Проверены почта и домен | Проверка домена, проверенного по электронной почте. | Выполнена проверка по электронной почте, чтобы выяснить, является ли ваша организация владельцем домена. |
Действия по проверке перед ликвидацией
В следующей таблице перечислены действия, которые рецензент ликвидации выполнял , когда элемент достиг окончания настроенного срока хранения или элемент был автоматически перемещен на следующий этап ликвидации или окончательно удален в результате автоматического утверждения.
Понятное имя | Операция | Описание |
---|---|---|
Одобренная ликвидация | ApproveDisposal | Для утверждения вручную. Рецензент ликвидации утвердил ликвидацию элемента, чтобы переместить его на следующий этап ликвидации. Если элемент находился в единственной или последней стадии проверки перед ликвидацией, утверждение ликвидации помечает элемент как подходящий для окончательного удаления. Для автоматического утверждения: в течение настроенного периода времени автоматического утверждения не было выполнено никаких действий вручную, поэтому элемент автоматически переместился на следующий этап ликвидации. Если элемент находился на единственном или заключительном этапе проверки ликвидации, он автоматически становился право на окончательное удаление. |
Продленный период хранения | ExtendRetention | Проверяющий ликвидации продлил период хранения элемента. |
Элемент с переназначенной меткой | RelabelItem | Проверяющий ликвидации переназначил метку хранения. |
Добавленные проверяющие | AddReviewer | Проверяющий ликвидации добавил одного или несколько других пользователей в текущую стадию проверки перед ликвидацией. |
Действия, связанные с обнаружением электронных данных
Действия, связанные с поиском контента и обнаружением электронных данных (для Microsoft Purview eDiscovery (Standard) и Microsoft Purview eDiscovery (премиум)), выполняемые на портале Microsoft Purview, Портал соответствия требованиям Microsoft Purview или выполнив соответствующие командлеты PowerShell, регистрируются в журнале аудита. События регистрируются, когда администраторы или менеджеры по обнаружению электронных данных (или любые назначенные пользователем разрешения на обнаружение электронных данных) выполняют следующие задачи поиска контента и обнаружения электронных данных (Standard) на порталах:
- Создание случаев обнаружения электронных данных (Standard) и eDiscovery (premium) и управление ими.
- Создание, запуск и редактирование поиска контента.
- Выполнение действий поиска, таких как предварительный просмотр, экспорт и удаление результатов поиска.
- Управление хранителями и наборами проверки в eDiscovery (премиум).
- Настройка фильтрации разрешений для поиска контента.
- Управление ролью администратора обнаружения электронных данных.
Дополнительные сведения о поиске в журнале аудита, необходимых разрешениях и экспорте результатов поиска см. в разделе Поиск в журнале аудита.
Примечание.
Действия, которые отображаются в результатах поиска в разделе Действия обнаружения электронных данных и Действия eDiscovery (премиум) в раскрывающемся списке Действия , занимает до 30 минут. В то же время для отображения в результатах поиска соответствующих событий из действий командлета eDiscovery требуется 24 часа.
Действия поиска контента и обнаружения электронных данных (Standard)
В следующей таблице описаны действия поиска контента и обнаружения электронных данных (Standard), которые регистрируются при выполнении администратором или менеджером eDiscovery действий, связанных с обнаружением электронных данных, с помощью портала соответствия требованиям. Некоторые действия, выполненные в eDiscovery (Премиум), могут возвращаться при поиске действий в этом списке.
Примечание.
Действия обнаружения электронных данных, описанные в этом разделе, содержат аналогичную информацию действиям командлета eDiscovery, описанным в следующем разделе. Мы рекомендуем использовать действия обнаружения электронных данных, описанные в этом разделе, так как они появятся в результатах поиска по журналу аудита в течение 30 минут. Действия командлета eDiscovery могут отображаться в результатах поиска в журнале аудита до 24 часов.
Понятное имя | Операция | Соответствующий командлет | Описание |
---|---|---|---|
Добавлен член в дело обнаружения электронных данных |
CaseMemberAdded |
Add-ComplianceCaseMember |
Пользователь был добавлен в качестве участника дела обнаружения электронных данных. Как участник дела пользователь может выполнять различные задачи, связанные с делом, в зависимости от того, назначены ли ему необходимые разрешения. |
Изменен поиск содержимого |
SearchUpdated |
Set-ComplianceSearch |
Существующий поиск контента был изменен. Изменения могут включать добавление или удаление расположений содержимого или изменение поискового запроса. |
Изменено членство администратора обнаружения электронных данных |
CaseAdminUpdated |
Update-eDiscoveryCaseAdmin |
Список администраторов обнаружения электронных данных в организации был изменен. Это действие регистрируется, когда список администраторов обнаружения электронных данных заменяется группой новых пользователей. При добавлении или удалении одного пользователя регистрируется операция CaseAdminAdded. |
Изменен случай обнаружения электронных данных |
CaseUpdated |
Set-ComplianceCase |
Был изменен случай обнаружения электронных данных. Изменения включают закрытие открытого дела или повторное открытие закрытого дела. |
Изменено членство в деле обнаружения электронных данных |
CaseMemberUpdated |
Update-ComplianceCaseMember |
Список участников дела обнаружения электронных данных был изменен. Это действие регистрируется, когда все члены заменяются группой новых пользователей. При добавлении или удалении одного элемента регистрируется операция CaseMemberAdded или CaseMemberRemoved. |
Изменен фильтр разрешений для поиска |
SearchPermissionUpdated |
Set-ComplianceSecurityFilter |
Изменен фильтр разрешений для поиска. |
Изменен поисковый запрос для хранения дела обнаружения электронных данных |
HoldUpdated |
Set-CaseHoldRule |
Удержание на основе запроса, связанное с делом обнаружения электронных данных, было изменено. Возможные изменения включают изменение запроса или диапазона дат для удержания на основе запроса. |
Скачан элемент предварительного просмотра поиска контента |
PreviewItemСкачать |
Н/Д |
Пользователь скачал элемент на локальный компьютер (щелкнув ссылку Скачать исходный элемент ) при просмотре результатов поиска. |
Элемент предварительного просмотра поиска контента |
PreviewItemListed |
Недоступно |
Пользователь выбрал предварительный просмотр результатов поиска , чтобы отобразить страницу предварительных результатов поиска, на которой перечислены до 1000 элементов из результатов поиска. |
Поиск созданного содержимого |
SearchCreated |
New-ComplianceSearch |
Создан новый поиск контента. |
Создан администратор обнаружения электронных данных |
CaseAdminAdded |
Add-eDiscoveryCaseAdmin |
Пользователь был добавлен в качестве администратора обнаружения электронных данных в организации. |
Созданный случай обнаружения электронных данных |
CaseAdded |
New-ComplianceCase |
Был создан случай обнаружения электронных данных. При создании дела необходимо только присвоить ему имя. Другие задачи, связанные с делом, такие как добавление членов, создание удержаний и создание поиска контента, связанных с делом, приводят к регистрации дополнительных событий. |
Фильтр разрешений для созданного поиска |
SearchPermissionCreated |
New-ComplianceSecurityFilter |
Создан фильтр разрешений для поиска. |
Созданный поисковый запрос для удержания дела обнаружения электронных данных |
HoldCreated |
New-CaseHoldRule |
Создано удержание на основе запроса, связанное с делом обнаружения электронных данных. |
Поиск удаленного содержимого |
Поиск Удалено |
Remove-ComplianceSearch |
Существующий поиск контента удален. |
Удаленный администратор обнаружения электронных данных |
CaseAdminRemoved |
Remove-eDiscoveryCaseAdmin |
Администратор обнаружения электронных данных был удален из вашей организации. |
Удаленный случай обнаружения электронных данных |
Удаление регистра |
Remove-ComplianceCase |
Удален случай обнаружения электронных данных. Все удержания, связанные с делом, должны быть удалены, прежде чем дело можно будет удалить. |
Фильтр разрешений для удаленного поиска |
SearchPermissionRemoved |
Remove-ComplianceSecurityFilter |
Фильтр разрешений для поиска удален. |
Удаленный поисковый запрос для удержания дела обнаружения электронных данных |
Удержание |
Remove-CaseHoldRule |
Удалено удержание на основе запроса, связанное с делом обнаружения электронных данных. Удаление запроса из удержания часто является результатом удаления удержания. Когда запрос на удержание или запрос на удержание удаляется, расположения содержимого, которые находились на удержании, освобождаются. |
Скачанный экспорт поиска контента |
SearchExportDownloaded |
Н/Д |
Пользователь скачал результаты поиска контента на локальный компьютер. Чтобы скачать результаты поиска, необходимо инициировать запущенный экспорт действия поиска контента . |
Предварительные результаты поиска контента |
SearchPreviewed |
Недоступно |
Пользователь просматривает результаты поиска контента. |
Очищенные результаты поиска контента |
SearchResultsPurged |
New-ComplianceSearchAction |
Пользователь очистил результаты поиска контента, выполнив команду New-ComplianceSearchAction -Purge . |
Удален анализ поиска контента |
RemovedSearchResultsSentToZoom |
Remove-ComplianceSearchAction |
Действие подготовки поиска контента (для подготовки результатов поиска для обнаружения электронных данных (премиум)) было удалено. Если действие подготовки прошло менее двух недель, результаты поиска, подготовленные для обнаружения электронных данных (премиум), были удалены из области хранилища Microsoft Azure. Если действие подготовки было старше 2 недель, то это событие указывает на то, что было удалено только соответствующее действие подготовки. |
Удален экспорт поиска контента |
RemovedSearchExported |
Remove-ComplianceSearchAction |
Действие экспорта поиска контента было удалено. Если действие экспорта было менее двух недель назад, результаты поиска, отправленные в область хранения Microsoft Azure, были удалены. Если действие экспорта было старше 2 недель, то это событие указывает на то, что было удалено только соответствующее действие экспорта. |
Удаленный член из дела eDiscovery |
CaseMemberRemoved |
Remove-ComplianceCaseMember |
Пользователь был удален как участник дела обнаружения электронных данных. |
Удалены результаты предварительного просмотра поиска контента |
RemovedSearchPreviewed |
Remove-ComplianceSearchAction |
Действие предварительного просмотра поиска контента было удалено. |
Удалено действие очистки, выполненное при поиске контента |
RemovedSearchResultsPurged |
Remove-ComplianceSearchAction |
Удалено действие очистки поиска контента. |
Удаленный отчет о поиске |
SearchReportRemoved |
Remove-ComplianceSearchAction |
Действие отчета об экспорте поиска контента было удалено. |
Запущен анализ поиска контента |
SearchResultsSentToZoom |
New-ComplianceSearchAction |
Результаты поиска контента были подготовлены для анализа в eDiscovery (Премиум). |
Запущен поиск содержимого |
SearchStarted |
Start-ComplianceSearch |
Был запущен поиск содержимого. При создании или изменении поиска контента с помощью портала соответствия требованиям поиск запускается автоматически. |
Начало экспорта поиска контента |
SearchExported |
New-ComplianceSearchAction |
Пользователь экспортировал результаты поиска контента. |
Отчет о начале экспорта |
SearchReport |
New-ComplianceSearchAction |
Пользователь экспортировал отчет о поиске контента. |
Остановлен поиск содержимого |
SearchStopped |
Stop-ComplianceSearch |
Пользователь остановил поиск контента. |
(нет) | CaseViewed | Get-ComplianceCase | Пользователь просматривал дело обнаружения электронных данных (Standard) на портале соответствия требованиям. Запись аудита для этого события включает имя просматриваемого дела. |
(нет) | SearchViewed | Get-ComplianceSearch | Пользователь просматривал поиск контента на портале соответствия требованиям, открыв поиск на вкладке Поиск в случае обнаружения электронных данных (Standard) или открыв его на странице Поиск контента. Запись аудита для этого события включает удостоверение просматриваемого поиска. |
(нет) | ПросмотреSearchExported | Get-ComplianceSearchAction -Export | Пользователь просматривал экспорт поиска контента на портале соответствия требованиям, перейдя к экспорту на вкладке Экспорты на странице Поиск контента . Это действие также регистрируется, когда пользователь просматривает экспорт, связанный с делом обнаружения электронных данных (Standard). |
(нет) | Просмотрпоискпределение | Get-ComplianceSearchAction -Preview | Пользователь просмотрил результаты поиска контента на портале соответствия требованиям. Это действие также регистрируется, когда пользователь просматривает результаты поиска, связанного с делом обнаружения электронных данных (Standard). |
Действия обнаружения электронных данных (премиум)
В следующей таблице описаны действия обнаружения электронных данных (premium), зарегистрированные в журнале аудита. Эти действия можно использовать для отслеживания хода выполнения действий в случае обнаружения электронных данных (премиум).
Понятное имя | Операция | Описание |
---|---|---|
Добавлены данные в другой набор для проверки | AddWorkingSetQueryToWorkingSet | Пользователь добавил документы из одного набора для проверки в другой. |
Добавлены данные в набор для проверки | AddQueryToWorkingSet | Пользователь добавил результаты поиска из поиска контента, связанного с делом eDiscovery (Премиум), в набор для проверки. |
Добавлены данные Microsoft 365 для просмотра. | AddNonOffice365DataToWorkingSet | Пользователь добавил данные Microsoft 365 в набор обзоров. |
Добавлены исправленные документы в набор для проверки | AddRemediatedData | Пользователь отправляет документы с ошибками индексирования, исправленными для набора проверки. |
Проанализированы данные в наборе для проверки | RunAlgo | Пользователь выполнил аналитику документов в наборе для проверки. |
К документу в наборе для проверки добавлены заметки | AnnotateDocument | Пользователь добавил заметки к документу в наборе для проверки. Добавление заметок включает правку содержимого в документе. |
Сравнены загруженные наборы | LoadComparisonJob | Пользователь сравнил два разных загруженных набора в наборе для проверки. Загруженный набор — это добавление в набор для проверки данных из средства поиска контента, связанных с делом. |
Преобразованы документы со сделанными купюрами в PDF | BurnJob | Пользователь преобразует все документы с купюрами в наборе для проверки в PDF-файлы. |
Создан набор для проверки | CreateWorkingSet | Пользователь создал набор для проверки. |
Создан поиск в наборе для проверки | CreateWorkingSetSearch | Пользователь создал поисковый запрос, выполняющий поиск документов в наборе для проверки. |
Создан тег | CreateTag | Пользователь создал группу тегов в наборе для проверки. Группа тегов может содержать один или несколько дочерних тегов. Эти теги затем используются для пометки документов в наборе для проверки. |
Удален поиск в наборе для проверки | DeleteWorkingSetSearch | Пользователь удалил поисковый запрос в наборе для проверки. |
Удален тег | DeleteTag | Пользователь удалил тег или группу тегов в наборе для проверки. |
Скачан документ | DownloadDocument | Пользователь скачал документ из набора для проверки. |
Изменен тег | UpdateTag | Пользователь изменил тег в наборе для проверки. |
Экспортированы документы из набора для проверки | ExportJob | Пользователь экспортировал документы из набора для проверки. |
Изменены параметры дела | UpdateCaseSettings | Пользователь изменил параметры дела. Параметры дела включают сведения о деле, разрешения на доступ и параметры, управляющие поведением поиска и анализа. |
Изменен поиск в наборе для проверки | UpdateWorkingSetSearch | Пользователь изменил поисковый запрос в наборе для проверки. |
Предварительно просмотрен поиск в наборе для проверки | PreviewWorkingSetSearch | Пользователь предварительно просмотрел результаты поискового запроса в наборе для проверки. |
Исправлены документы с ошибками | ErrorRemediationJob | Пользователь исправляет файлы, содержащие ошибки индексирования. |
Документ помечен тегом | TagFiles | Пользователь пометил тегом документ в наборе для проверки. |
Результаты запроса помечены тегом | TagJob | Пользователь помечает все документы, удовлетворяющие условиям поискового запроса в наборе для проверки. |
Просмотрен документ в наборе для проверки | ViewDocument | Пользователь просмотрел документ в наборе для проверки. |
Действия командлетов eDiscovery
В следующей таблице перечислены записи журнала аудита командлетов, которые регистрируются при выполнении администратором или пользователем действий, связанных с обнаружением электронных данных, с помощью портала соответствия требованиям или при выполнении соответствующего командлета в PowerShell для обеспечения соответствия требованиям безопасности &. Подробные сведения в записи журнала аудита отличаются для действий командлетов, перечисленных в этой таблице, и действий обнаружения электронных данных, описанных в предыдущем разделе.
Как упоминалось ранее, действия командлета eDiscovery могут отображаться в результатах поиска в журнале аудита до 24 часов.
Совет
Командлеты в столбце Operation в следующей таблице связаны с соответствующим разделом справки по командлетам в TechNet. Описание доступных параметров для каждого командлета см. в разделе справки по командлетам. Параметр и значение параметра, которые использовались с командлетом, включаются в запись журнала аудита для каждого зарегистрированного действия командлета eDiscovery.
Понятное имя | Операция (командлет) | Описание |
---|---|---|
Создано удержание в случае обнаружения электронных данных |
New-CaseHoldPolicy |
Для дела обнаружения электронных данных создано удержание. Удержание можно создать с указанием источника контента или без нее. Если указаны источники контента, они определяются в записи журнала аудита. |
Удалено удержание из дела обнаружения электронных данных |
Remove-CaseHoldPolicy |
Удержание, связанное с делом обнаружения электронных данных, удалено. Удаление удержания освобождает все расположения содержимого из удержания. Удаление удержания также приводит к удалению правил удержания дела, связанных с удержанием (см . раздел Remove-CaseHoldRule). |
Изменена удержание в случае обнаружения электронных данных |
Set-CaseHoldPolicy |
Удержание, связанное с обнаружением электронных данных, было изменено. Возможные изменения включают добавление или удаление расположений содержимого или отключение (отключение) удержания. |
Созданный поисковый запрос для удержания дела обнаружения электронных данных |
New-CaseHoldRule |
Создано удержание на основе запроса, связанное с делом обнаружения электронных данных. |
Удаленный поисковый запрос для удержания дела обнаружения электронных данных |
Remove-CaseHoldRule |
Удалено удержание на основе запроса, связанное с делом обнаружения электронных данных. Удаление запроса из удержания часто является результатом удаления удержания. Когда запрос на удержание или запрос на удержание удаляется, расположения содержимого, которые находились на удержании, освобождаются. |
Изменен поисковый запрос для хранения дела обнаружения электронных данных |
Set-CaseHoldRule |
Удержание на основе запроса, связанное с делом обнаружения электронных данных, было изменено. Возможные изменения включают изменение запроса или диапазона дат для удержания на основе запроса. |
Созданный случай обнаружения электронных данных |
New-ComplianceCase |
Был создан случай обнаружения электронных данных. При создании дела необходимо только присвоить ему имя. Другие задачи, связанные с делом, такие как добавление членов, создание удержаний и создание поиска контента, связанных с делом, приводят к регистрации дополнительных событий. |
Удаленный случай обнаружения электронных данных |
Remove-ComplianceCase |
Удален случай обнаружения электронных данных. Все удержания, связанные с делом, должны быть удалены, прежде чем дело можно будет удалить. |
Изменен случай обнаружения электронных данных |
Set-ComplianceCase |
Был изменен случай обнаружения электронных данных. Изменения включают закрытие открытого дела или повторное открытие закрытого дела. |
Добавлен член в дело обнаружения электронных данных |
Add-ComplianceCaseMember |
Пользователь был добавлен в качестве участника дела обнаружения электронных данных. Как участник дела пользователь может выполнять различные задачи, связанные с делом, в зависимости от того, назначены ли ему необходимые разрешения. |
Удаленный член из дела eDiscovery |
Remove-ComplianceCaseMember |
Пользователь был удален как участник дела обнаружения электронных данных. |
Изменено членство в деле обнаружения электронных данных |
Update-ComplianceCaseMember |
Список участников дела обнаружения электронных данных был изменен. Это действие регистрируется, когда все члены заменяются группой новых пользователей. Если добавляется или удаляется один член, регистрируется операция Add-ComplianceCaseMember или Remove-ComplianceCaseMember . |
Поиск созданного содержимого |
New-ComplianceSearch |
Создан новый поиск контента. |
Поиск удаленного содержимого |
Remove-ComplianceSearch |
Существующий поиск контента удален. |
Изменен поиск содержимого |
Set-ComplianceSearch |
Существующий поиск контента был изменен. Изменения могут включать добавление или удаление расположений контента, в которых выполняется поиск, и редактирование поискового запроса. |
Запущен поиск содержимого |
Start-ComplianceSearch |
Был запущен поиск содержимого. При создании или изменении поиска контента с помощью графического интерфейса портала соответствия поиск запускается автоматически. При создании или изменении поиска с помощью командлета New-ComplianceSearch или Set-ComplianceSearch необходимо запустить командлет Start-ComplianceSearch , чтобы начать поиск. |
Остановлен поиск содержимого |
Stop-ComplianceSearch |
Поиск контента, выполняющийся, был остановлен. |
Созданное действие поиска контента |
New-ComplianceSearchAction |
Было создано действие поиска контента. Действия по поиску контента включают предварительный просмотр результатов поиска, экспорт результатов поиска, подготовку результатов поиска для анализа в eDiscovery (премиум) и окончательное удаление элементов, соответствующих условиям поиска контента. |
Действие поиска удаленного содержимого |
Remove-ComplianceSearchAction |
Действие поиска контента было удалено. |
Фильтр разрешений для созданного поиска |
New-ComplianceSecurityFilter |
Создан фильтр разрешений для поиска. |
Фильтр разрешений для удаленного поиска |
Remove-ComplianceSecurityFilter |
Фильтр разрешений для поиска удален. |
Изменен фильтр разрешений для поиска |
Set-ComplianceSecurityFilter |
Изменен фильтр разрешений для поиска. |
Создан администратор обнаружения электронных данных |
Add-eDiscoveryCaseAdmin |
Пользователь был добавлен в качестве администратора обнаружения электронных данных в вашей организации. |
Удаленный администратор обнаружения электронных данных |
Remove-eDiscoveryCaseAdmin |
Администратор обнаружения электронных данных был удален из вашей организации. |
Изменено членство администратора обнаружения электронных данных |
Update-eDiscoveryCaseAdmin |
Список администраторов обнаружения электронных данных в организации был изменен. Это действие регистрируется, когда список администраторов обнаружения электронных данных заменяется группой новых пользователей. Если один пользователь добавлен или удален, регистрируется операция Add-eDiscoveryCaseAdmin или Remove-eDiscoveryCaseAdmin . |
(нет) |
Get-ComplianceCase |
Это действие регистрируется, когда пользователь просматривает список случаев обнаружения электронных данных (Standard) или eDiscovery (премиум). Это действие также регистрируется, когда пользователь просматривает конкретный случай в обнаружении электронных данных (Standard). Когда пользователь просматривает конкретный случай, запись аудита включает удостоверение просматриваемого дела. Если пользователь просматривал только список случаев, запись аудита не содержит идентификатора обращения. |
(нет) | Get-ComplianceSearch | Это действие регистрируется, когда пользователь просматривает список поисковых запросов по содержимому или поисков, связанных с делом обнаружения электронных данных (Standard). Это действие также регистрируется, когда пользователь просматривает определенный поиск контента или конкретный поиск, связанный с делом обнаружения электронных данных (Standard). Когда пользователь просматривает определенный поиск, запись аудита включает идентификатор просматриваемого поиска. Если пользователь просматривал только список поисковых запросов, запись аудита не содержит идентификатор поиска. |
(нет) | Get-ComplianceSearchAction | Это действие регистрируется, когда пользователь просматривает список действий по поиску соответствия (например, экспорт, предварительные просмотры или очистки) или действий, связанных с делом обнаружения электронных данных (Standard). Это действие также регистрируется, когда пользователь просматривает определенное действие поиска соответствия (например, экспорт) или просматривает определенное действие, связанное с делом обнаружения электронных данных (Standard). Когда пользователь просматривает действие поиска, запись аудита включает удостоверение просматриваемого действия поиска. Если пользователь просматривал только список действий, запись аудита не содержит удостоверение действия. |
Подробные свойства для действий обнаружения электронных данных
В следующей таблице описаны свойства, которые включены на всплывающей странице для действия обнаружения электронных данных, указанного в результатах поиска. Эти свойства также включаются в CSV-файл при экспорте результатов поиска в журнале аудита. Запись журнала аудита для действия обнаружения электронных данных не будет включать все подробные свойства, перечисленные в следующей таблице.
Совет
При экспорте результатов поиска CSV-файл содержит столбец с именем AudtiData, который содержит подробные свойства, описанные в следующей таблице в свойстве с несколькими значениями. Вы можете использовать функцию Power Query в Excel, чтобы разделить этот столбец на несколько столбцов, чтобы у каждого свойства был свой собственный столбец. Это позволит выполнить сортировку и фильтрацию по одному или нескольким из этих свойств. Дополнительные сведения см. в разделе Поиск в журнале аудита.
Свойство | Описание |
---|---|
Ситуация |
Удостоверение (GUID) дела обнаружения электронных данных, которое было создано, изменено или удалено. |
ClientApplication |
Действия командлета eDiscovery имеют значение EMC для этого свойства. Это означает, что действие было выполнено с помощью графического интерфейса портала соответствия требованиям или командлета в PowerShell. |
ClientIP |
IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. |
ClientRequestId |
Для действий обнаружения электронных данных это свойство обычно пустое. |
CmdletVersion |
Номер сборки для версии портала соответствия требованиям, работающего в вашей организации. |
CreationTime |
Дата и время в формате UTC, когда было завершено действие обнаружения электронных данных. |
EffectiveOrganization |
Название организации Microsoft 365. |
ExchangeLocations |
Exchange Online почтовые ящики, включенные в поиск контента или помещенные на удержание в случае обнаружения электронных данных. |
Исключения |
Расположения почтовых ящиков или сайтов, исключенные из поиска контента или удержания в случае обнаружения электронных данных. |
ExtendedProperties |
Дополнительные свойства из поиска контента, действия поиска контента или удержания в случае обнаружения электронных данных, такие как GUID объекта и соответствующие параметры командлета и командлета, которые использовались при выполнении действия. |
Id |
Идентификатор записи отчета. Идентификатор уникально идентифицирует запись журнала аудита. |
NonPIIParameters |
Список параметров (без каких-либо значений), которые использовались с командлетом, указанным в свойстве Operation. Параметры, перечисленные в этом свойстве, совпадают с параметрами, указанными в свойстве Parameters. |
ObjectId |
Guid или имя объекта (например, поиск контента или случай обнаружения электронных данных (Standard), который был создан, доступ к которому был изменен или удален действием, перечисленным в свойстве Operation. Этот объект также идентифицируется в столбце Элемент в результатах поиска по журналу аудита. |
ObjectType |
Тип объекта eDiscovery, который пользователь создал, удалил или изменил; например, действие поиска контента (предварительный просмотр, экспорт или очистка), дело обнаружения электронных данных или поиск контента. |
Operation |
Имя операции, которая соответствует выполненной операции обнаружения электронных данных. |
OrganizationId |
GUID для организации Microsoft 365. |
Параметры |
Имя и значение параметров, которые использовались с соответствующим командлетом. |
PublicFolderLocations |
Общедоступные папки находятся в Exchange Online, которые включены в поиск контента или помещены на удержание в случае обнаружения электронных данных. |
Запрос |
Поисковый запрос, связанный с действием, например поиск контента или удержание на основе запроса. |
RecordType |
Тип операции, указанный в записи. Значение 18 указывает на событие, связанное с действием, перечисленным в разделе Действия командлета eDiscovery . Значение 24 указывает на событие, связанное с действием, перечисленным в разделе Действия обнаружения электронных данных. |
ResultStatus |
Указывает, успешно ли выполнено действие (указанное в свойстве Operation). |
SecurityComplianceCenterEventType |
Указывает, что действие было событием портала соответствия. Все действия обнаружения электронных данных будут иметь значение 0 для этого свойства. |
SharepointLocations |
Сайты SharePoint Online, включенные в поиск контента или помещенные на удержание в случае обнаружения электронных данных. |
StartTime |
Дата и время в формате UTC, когда было запущено действие обнаружения электронных данных. |
UserId |
Пользователь, выполнивший действие (указанное в свойстве Operation), которое привело к регистрации записи. Записи о действиях обнаружения электронных данных, выполняемых системными учетными записями (например, NT AUTHORITY\SYSTEM), также включаются в журнал аудита. |
UserKey |
Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Для действий обнаружения электронных данных значение этого свойства обычно совпадает со значением свойства UserId. |
UserServicePlan |
Подписка, используемая вашей организацией. Для действий обнаружения электронных данных это свойство обычно пустое. |
UserType |
Тип пользователя, который выполнил операцию. Следующие значения указывают тип пользователя. 0 Обычный пользователь. 2 Администратор в вашей организации. 3 Учетная запись администратора центра обработки данных Майкрософт или системная учетная запись центра обработки данных. 4 Системная учетная запись. 5 Приложение. 6 Субъект-служба. |
Версия |
Указывает номер версии действия (определяемого свойством Operation), которое регистрируется в журнале. |
Workload |
Служба, в которой произошло действие. Для действий обнаружения электронных данных значением является SecurityComplianceCenter. |
Действия на портале зашифрованных сообщений
Журналы доступа доступны для зашифрованных сообщений через портал зашифрованных сообщений, который позволяет вашей организации определять, когда следует читать и перенаправлять сообщения внешними получателями. Дополнительные сведения о включении и использовании журналов действий портала зашифрованных сообщений см. в статье Журнал действий портала зашифрованных сообщений.
Каждая запись аудита для отслеживаемого сообщения содержит следующие поля:
- MessageID: содержит идентификатор отслеживаемого сообщения. Идентификатор ключа, используемый для следовать за сообщением через систему.
- Получатель: список всех адресов электронной почты получателей.
- Отправитель: исходный адрес электронной почты.
- AuthenticationMethod. Описывает метод проверки подлинности для доступа к сообщению, например OTP, Yahoo, Gmail или Майкрософт.
- AuthenticationStatus: содержит значение, указывающее, что проверка подлинности выполнена успешно или неудачно.
- OperationStatus: указывает, была ли указанная операция успешной или неудачной.
- AttachmentName: имя вложения.
- OperationProperties: список необязательных свойств. Например, количество отправленных секретных кодов OTP или тема сообщения электронной почты.
Действия администратора Exchange
Журнал аудита администратора Exchange (который по умолчанию включен в Microsoft 365) регистрирует событие в журнале аудита, когда администратор (или пользователь, которому были назначены административные разрешения) вносит изменения в организацию Exchange Online. Изменения, вносимые с помощью Центра администрирования Exchange или командлета в Exchange Online PowerShell, записываются в журнал аудита действий администратора Exchange. Командлеты, начинающиеся с команд Get-, Search- или Test- , не регистрируются в журнале аудита. Более подробную информацию о ведении журнала аудита действий администратора в Exchange см. в статье Ведение журнала аудита действий администратора.
Важно!
Некоторые командлеты Exchange Online, которые не зарегистрированы в журнале аудита администратора Exchange (или в журнале аудита). Многие из этих командлетов связаны с работой службы Exchange Online и выполняются сотрудниками центра обработки данных Майкрософт или учетными записями служб. Эти командлеты не регистрируются в журнале, потому что это привело бы к большому числу "шумных" событий аудита. Если существует командлет Exchange Online, не подвергающийся аудиту, отправьте запрос на изменение дизайна (DCR) в службу поддержки Microsoft.
Вот несколько советов по поиску действий администратора Exchange при поиске в журнале аудита:
- Используйте поля дат и список Пользователи, чтобы ограничить результаты поиска командлетами, выполнявшимися определенным администратором Exchange в указанный период времени.
- Чтобы отобразить события из журнала аудита администратора Exchange, выберите столбец Действие , чтобы отсортировать имена командлетов в алфавитном порядке.
- Чтобы узнать, какой командлет был выполнен, какие параметры и значения параметров использовались и какие объекты были затронуты, вы можете экспортировать результаты поиска, выбрав вариант Скачать все результаты. Дополнительные сведения см. в статье Экспорт, настройка и просмотр записей журнала аудита.
- Кроме того, вы можете использовать команду
Search-UnifiedAuditLog -RecordType ExchangeAdmin
в Exchange Online PowerShell, чтобы вернуть только записи аудита из журнала аудита действий администратора Exchange. После выполнения командлета Exchange может потребоваться до 30 минут, чтобы соответствующая запись журнала аудита возвращалась в результатах поиска. Дополнительные сведения см. в статье Search-UnifiedAuditLog. Сведения об экспорте результатов поиска, возвращаемых командлетом Search-UnifiedAuditLog в CSV-файл, см. в разделе "Советы по экспорту и просмотру журнала аудита" статьи Экспорт, настройка и просмотр записей журнала аудита.
Действия, связанные с почтовыми ящиками Exchange
В приведенной ниже таблице перечислены действия, которые могут записываться в журнал аудита почтовых ящиков. Действия почтового ящика, выполняемые владельцем почтового ящика, делегированным пользователем или администратором, автоматически регистрируются в журнале аудита на срок до 180 дней. Администратор может отключить ведение журнала аудита почтовых ящиков для всех пользователей в организации. В этом случае в журнал не записываются никакие действия с почтовыми ящиками пользователей. Дополнительные сведения см. в статье Управление аудитом почтовых ящиков.
Важно!
Срок хранения по умолчанию для аудита (Standard) изменился с 90 до 180 дней. Журналы аудита (Standard), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (Standard), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.
Вы также можете искать действия с почтовыми ящиками с помощью командлета Search-MailboxAuditLog в PowerShell в Exchange Online.
Понятное имя | Операция | Описание |
---|---|---|
Получен доступ к элементам почтового ящика | MailItemsAccessed | Прочитаны или открыты сообщения в почтовом ящике. Записи аудита для этого действия инициируются одним из двух способов: когда почтовый клиент (например, Outlook) выполняет привязку к сообщениям или когда почтовые протоколы (например, Exchange ActiveSync или IMAP) синхронизируют элементы в почтовой папке. Анализ записей аудита для этого действия полезен при исследовании скомпрометированных учетных записей электронной почты. |
Добавлены разрешения почтового ящика-делегата | Add-MailboxPermission | Администратор назначил пользователю (называемому представителем) разрешение на полный доступ (FullAccess) к почтовому ящику другого пользователя. Разрешение на полный доступ позволяет представителю открывать почтовый ящик другого пользователя, а также читать его содержимое и управлять им. Запись аудита для этого действия также создается, когда системная учетная запись в службе Microsoft 365 периодически выполняет задачи обслуживания от имени организации. Обычной задачей, выполняемой системной учетной записью, является обновление разрешений для системных почтовых ящиков. Дополнительные сведения см. в разделе Системные учетные записи в записях аудита почтовых ящиков Exchange. |
Добавлен или удален пользователь с делегированным доступом к папке календаря. | UpdateCalendarDelegation | Пользователь был добавлен или удален в качестве представителя для календаря почтового ящика другого пользователя. Делегирование календаря означает, что другой пользователь из этой же организации предоставляет разрешения на управление календарем владельца почтового ящика. |
Добавлены разрешения для папки | AddFolderPermissions | Были добавлены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям. |
Сообщения скопированы в другую папку | Copy | Сообщение было скопировано в другую папку. |
Создан элемент почтового ящика | Create | В папке "Календарь", "Контакты", "Заметки" или "Задачи" почтового ящика создан элемент. Например, создано новое приглашение на собрание. Создание, отправка и получение сообщений не подлежат аудиту. Кроме того, при создании папки почтового ящика не выполняется аудит. |
Создано новое правило для папки "Входящие" в Outlook Web App | New-InboxRule | Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, создал правило для папки "Входящие" в Outlook Web App. |
Сообщения удалены из папки "Удаленные" | SoftDelete | Сообщение было удалено окончательно или из папки "Удаленные". Такие элементы перемещаются в папку "Элементы с возможностью восстановления". Сообщение также перемещается в папку "Элементы с возможностью восстановления", когда пользователь выбирает его и нажимает клавиши SHIFT+DELETE. |
Сообщение помечено как запись | ApplyRecordLabel | Сообщение было классифицировано как запись. Происходит, когда метка хранения, которая классифицирует содержимое как запись, вручную или автоматически применяется к сообщению. |
Сообщения перемещены в другую папку | Move | Сообщение было перемещено в другую папку. |
Сообщения перемещены в папку "Удаленные" | MoveToDeletedItems | Сообщение было удалено и перемещено в папку "Удаленные". |
Изменены разрешения для папки | UpdateFolderPermissions | Изменены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям. |
Изменено правило для папки "Входящие" из Outlook Web App | Set-InboxRule | Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, изменил правило для папки "Входящие" с помощью Outlook Web App. |
Сообщения удалены из почтового ящика | HardDelete | Сообщение было очищено из папки "Элементы с возможностью восстановления" (удалено из почтового ящика безвозвратно). |
Удалены разрешения почтового ящика с делегированным доступом | Remove-MailboxPermission | Администратор удалил разрешение на полный доступ (FullAccess) к почтовому ящику другого пользователя (которое было назначено представителю). После удаления разрешения на полный доступ представитель не может открыть почтовый ящик другого пользователя или получить доступ к его содержимому. |
Удалены разрешения для папки | RemoveFolderPermissions | Были удалены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям. |
Отправленное сообщение | Send | Сообщение отправлено, переадресовано или на него получен ответ. |
Отправить сообщение с использованием разрешений "Отправить как" | SendAs | Сообщение было отправлено с использованием разрешения SendAs. Это означает, что другой пользователь отправил сообщение от лица владельца почтового ящика. |
Отправлено сообщение с разрешениями "Отправить от имени" | SendOnBehalf | Сообщение было отправлено с использованием разрешения SendOnBehalf. Это означает, что другой пользователь отправил сообщение от имени владельца почтового ящика. Для получателя в сообщении указывается, от имени кого было отправлено сообщение и кто отправил его на самом деле. |
Обновлены правила для папки "Входящие" из клиента Outlook | UpdateInboxRules | Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, создал, изменил или удалил правило для папки "Входящие" при помощи клиента Outlook. |
Обновлено сообщение | Update | Сообщение или его свойства были изменены. |
Пользователь вошел в почтовый ящик | MailboxLogin | Пользователь выполнил вход в свой почтовый ящик. |
Пометка сообщения как записи | Пользователь применил к сообщению электронной почты метку хранения, которая настроена, чтобы пометить элемент как запись. |
Системные учетные записи в записях аудита почтовых ящиков Exchange
В записях аудита для некоторых действий почтовых ящиков (особенно Add-MailboxPermissions) можно заметить, что пользователем, выполнившим действие (и идентифицированным в полях User и UserId), является NT AUTHORITY\SYSTEM или NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost). Это указывает на то, что "пользователем", выполнившим действие, была системная учетная запись в службе Exchange облака Майкрософт. Эта системная учетная запись часто выполняет запланированные задачи обслуживания от имени организации. Например, распространенным проверяемым действием, выполняемым учетной записью NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost), является обновление разрешений в объекте DiscoverySearchMailbox, который является системным почтовым ящиком. Целью этого обновления является проверка того, что разрешение FullAccess (предоставляемое по умолчанию) назначено группе ролей управления обнаружением для DiscoverySearchMailbox. Гарантирует, что администраторы обнаружения электронных данных могут выполнять необходимые задачи в своей организации.
Другая системная учетная запись пользователя, которая может быть определена в записи аудита для Add-MailboxPermission, — .Administrator@apcprd03.prod.outlook.com Эта учетная запись службы также включается в записи аудита почтовых ящиков, связанные с проверкой и обновлением разрешения FullAccess, назначенного группе ролей управления обнаружением для системного почтового ящика DiscoverySearchMailbox. В частности, записи аудита, которые идентифицируют Administrator@apcprd03.prod.outlook.com учетную запись, обычно активируются, когда сотрудники службы поддержки Майкрософт запускают средство диагностики управления доступом на основе ролей от имени вашей организации.
Действия, связанные с файлами и страницами
В таблице ниже описаны действия, связанные с файлами и страницами в SharePoint Online и OneDrive для бизнеса.
Понятное имя | Операция | Описание |
---|---|---|
Получен доступ к файлу | FileAccessed | Учетная запись пользователя или системы обращается к файлу. Когда пользователь обращается к файлу, событие FileAccessed больше не регистрируется для того же пользователя для того же файла в течение следующих пяти минут. |
(нет) | FileAccessedExtended | Эта операция связана с действием "Получен доступ к файлу" (FileAccessed). Событие FileAccessedExtended регистрируется, когда один и тот же пользователь постоянно обращается к файлу в течение длительного периода (до 3 часов). События FileAccessedExtended позволяют уменьшить число событий FileAccessed, регистрируемых при постоянном обращении к файлу. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей FileAccessed, и обратить внимание на исходное (более важное) событие FileAccessed. |
Изменена метка хранения файла | ComplianceSettingChanged | Метка хранения была применена к документу или удалена из него. Это событие инициируется, когда метка хранения вручную или автоматически применяется к сообщению. |
Для записи установлено новое состояние: "заблокирована" | LockRecord | Состояние записи для метки хранения, классифицирующей документ как запись, было заблокировано. Это означает, что документ невозможно изменить или удалить. Только пользователи, которым назначено разрешение участника (как минимум) для сайта, могут изменять состояние записи документа. |
Для записи установлено новое состояние: "разблокирована" | UnlockRecord | Состояние записи для метки хранения, классифицирующей документ как запись, было разблокировано. Это означает, что документ можно изменить или удалить. Только пользователи, которым назначено разрешение участника (как минимум) для сайта, могут изменять состояние записи документа. |
Файл записан после изменения | FileCheckedIn | Пользователь записывает после изменения документ, извлеченный из библиотеки документов. |
Извлечен файл | FileCheckedOut | Пользователь получает для изменения документ, находящийся в библиотеке документов. Пользователи могут извлекать документы, к которым им предоставлен общий доступ, и вносить в них изменения. |
Скопирован файл | FileCopied | Пользователь копирует файл с сайта. Скопированный файл можно сохранить в другой папке на сайте. |
Удален файл | FileDeleted | Пользователь удаляет документ с сайта. |
Файл удален из корзины | FileDeletedFirstStageRecycleBin | Пользователь удаляет файл из корзины сайта. |
Файл удален из корзины второго уровня | FileDeletedSecondStageRecycleBin | Пользователь удаляет файл из корзины второго уровня на сайте. |
Удаленный файл, помеченный как запись | RecordDelete | Документ или электронное сообщение, помеченное как запись, было удалено. Элемент считается записью, если к содержимому применяется метка хранения, которая помечает элементы как запись. |
Обнаружено несоответствие конфиденциальности документа | DocumentSensitivityMismatchDetected | Пользователь отправляет документ на сайт, защищенный с помощью метки конфиденциальности, и метка конфиденциальности документа имеет более высокий приоритет, чем метка конфиденциальности, примененная к сайту. Например, документ с меткой "Конфиденциально" отправляется на сайт с меткой "Общее". Это событие не инициируется, если метка конфиденциальности документа имеет более низкий приоритет, чем метка конфиденциальности, примененная к сайту. Например, документ с меткой "Общее" отправляется на сайт с меткой "Конфиденциально". Дополнительные сведения о приоритете меток конфиденциальности см. в разделе Приоритет метки (важен порядок). |
Обнаружена вредоносная программа в файле | FileMalwareDetected | Антивирусная подсистема SharePoint обнаружила вредоносную программу в файле. |
Отменено извлечение файла | FileCheckOutDiscarded | Пользователь удаляет или отменяет файл, полученный для изменения. Это означает, что все изменения, внесенные в полученный файл, отменяются и не сохраняются в версии документа в библиотеке документов. |
Скачан файл | FileDownloaded | Пользователь скачивает документ с сайта. |
Изменен файл | FileModified | Учетная запись пользователя или системы изменяет содержимое или свойства документа на сайте. Система ждет пять минут, прежде чем зарегистрировать другое событие FileModified, когда тот же пользователь изменяет содержимое или свойства того же документа. |
(нет) | FileModifiedExtended | Эта операция связана с действием "Изменен файл" (FileModified). Событие FileModifiedExtended регистрируется, когда один и тот же пользователь постоянно изменяет файл в течение длительного периода (до 3 часов). События FileModifiedExtended позволяют уменьшить число событий FileModified, регистрируемых при постоянном изменении файла. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей FileModified, и обратить внимание на исходное (более важное) событие FileModified. |
Перемещен файл | FileMoved | Пользователь перемещает документ из текущего места на сайте в новое. |
(нет) | FilePreviewed | Пользователь предварительно просматривает файл на сайте SharePoint или OneDrive для бизнеса. Такие события обычно происходят в больших количествах в на основе одного действия, например при просмотре коллекции изображений. |
Выполнен поисковый запрос | SearchQueryPerformed | Пользователь или системная учетная запись выполняет поиск в SharePoint или OneDrive для бизнеса. Некоторые распространенные сценарии, в которых учетная запись службы выполняет поисковый запрос, включают применение политики удержания и хранения электронных данных к сайтам и учетным записям OneDrive, а также автоматическое применение меток хранения или конфиденциальности к содержимому сайта. Чтобы включить ведение журнала для этого действия, см. статью Начало работы с решениями аудита. |
Помещен в корзину файл | FileRecycled | Пользователь перемещает файл в корзину SharePoint. |
Помещена в корзину папка | FolderRecycled | Пользователь перемещает папку в корзину SharePoint. |
Помещены в корзину все промежуточные версии файла | FileVersionsAllMinorsRecycled | Пользователь удаляет все промежуточные версии файла из журнала версий. Удаленные версии перемещаются в корзину сайта. |
Помещены в корзину все версии файла | FileVersionsAllRecycled | Пользователь удаляет все версии файла из журнала версий. Удаленные версии перемещаются в корзину сайта. |
Помещена в корзину версия файла | FileVersionRecycled | Пользователь удаляет версию файла из журнала версий. Удаленная версия перемещается в корзину сайта. |
Переименован файл | FileRenamed | Пользователь переименовывает документ. |
Восстановлен файл | FileRestored | Пользователь восстанавливает документ из корзины на сайте. |
Выложен файл | FileUploaded | Пользователь отправляет документ в папку на сайте. |
Просмотрена страница | PageViewed | Пользователь просматривает страницу на сайте. К этому не относится использование веб-браузера для просмотра файлов, размещенных в библиотеке документов. Когда пользователь просматривает страницу, событие PageViewed не регистрируется повторно для того же пользователя для той же страницы в течение следующих пяти минут. |
(нет) | PageViewedExtended | Эта операция связана с действием "Просмотрена страница" (PageViewed). Событие PageViewedExtended регистрируется, когда один и тот же пользователь постоянно просматривает веб-страницу в течение длительного периода (до 3 часов). События PageViewedExtended позволяют уменьшить число событий PageViewed, регистрируемых при постоянном просмотре страницы. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей PageViewed, и обратить внимание на исходное (более важное) событие PageViewed. |
Клиент просигнализировал о просмотре | ClientViewSignaled | Клиент пользователя (например, веб-сайт или мобильное приложение) просигнализировал, что указанная страница была просмотрена пользователем. Это действие часто записывается в журнал после события PagePrefetched для страницы. ПРИМЕЧАНИЕ. Так как события ClientViewSignaled сигнализируются клиентом, а не сервером, событие может не регистрироваться сервером, поэтому оно может не отображаться в журнале аудита. Также возможно, что информация в записи аудита недостоверна. Но так как удостоверение пользователя проверяется с помощью маркера, использованного для создания сигнала, удостоверение пользователя, указанное в соответствующей записи аудита, является правильным. Система ждет пять минут, прежде чем зарегистрировать то же событие, когда клиент того же пользователя сообщает о том, что пользователь снова просмотрел страницу. |
(нет) | PagePrefetched | Клиент пользователя (например, веб-сайт или мобильное приложение) запросил указанную страницу, чтобы повысить производительность на случай ее просмотра пользователем. Это событие записывается в журнал, чтобы указать, что содержимое страницы было предоставлено клиенту пользователя. Это событие не является точным индикатором, что пользователь переходил на страницу. Когда содержимое страницы отображается клиентом (по запросу пользователя), должно создаваться событие ClientViewSignaled. Не все клиенты поддерживают предварительную выборку, поэтому некоторые предварительно подготовленные действия могут регистрироваться как события PageViewed. |
Часто задаваемые вопросы о событиях FileAccessed и FilePreviewed
Могут ли какие-либо действия, не связанные с пользователем, запустить записи аудита FilePreviewed, содержащие агент пользователя типа "OneDriveMpc-Transform_Thumbnail"?
Мы не знаем о сценариях, в которых действия, не являющиеся пользователями, создают такие события. Действия пользователей, такие как открытие карта профиля пользователя (путем выбора имени или адреса электронной почты в сообщении в Outlook в Интернете), будут создавать аналогичные события.
Всегда ли вызовы OneDriveMpc-Transform_Thumbnail намеренно выполняются пользователем?
Нет. Но подобные события могут быть зарегистрированы в результате предварительной выборки браузера.
Если событие FilePreviewed исходит из IP-адреса, зарегистрированного корпорацией Майкрософт, означает ли это, что предварительная версия отображалась на экране устройства пользователя?
Нет. Событие могло быть зарегистрировано в результате предварительной выборки браузера.
Существуют ли сценарии, в которых пользователь предварительно просматривающий документ, вызывает события FileAccessed?
События FilePreviewed и FileAccessed указывают, что вызов пользователя привел к чтению файла (или чтению эскиза, воспроизводящего файл). Хотя эти события должны соответствовать намерению предварительного просмотра и намерению доступа, отличие событий не гарантирует намерение пользователя.
Пользователь app@sharepoint в записях аудита
В записях аудита для некоторых действий с файлами (и других действий, связанных с SharePoint) вы можете заметить, что пользователем, выполнившим действие (указывается в полях User и UserId), является app@sharepoint. Это означает, что "пользователем", выполнившим действие, было приложение. В этом случае приложению были предоставлены разрешения в SharePoint для выполнения действий на уровне организации (например, поиск сайта SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. Этот процесс предоставления разрешений для приложения называется доступом с помощью контекста приложения SharePoint. Это означает, что проверка подлинности, представленная для SharePoint с целью выполнения действия, была осуществлена приложением, а не пользователем. Поэтому пользователь app@sharepoint указывается в определенных записях аудита. Дополнительные сведения см. в статье Предоставление доступа с помощью контекста приложения SharePoint.
Например, app@sharepoint часто указывается в качестве пользователя для событий "Выполнен поисковый запрос" и "Получен доступ к файлу". Это связано с тем, что приложение с доступом только в контексте приложения SharePoint в вашей организации выполняет поисковые запросы и обращается к файлам при применении политик хранения к сайтам и учетным записям OneDrive.
Ниже представлено несколько других сценариев, в которых app@sharepoint может быть идентифицирован в записи аудита в качестве пользователя, выполнившего действие:
- Группы Microsoft 365. Когда пользователь или администратор создает группу, создаются записи аудита для создания семейства веб-сайтов, обновления списков и добавления участников в группу SharePoint. Эти задачи выполняются в приложении от имени пользователя, создавшего группу.
- Microsoft Teams. Подобно группам Microsoft 365, записи аудита создаются для создания семейства сайтов, обновления списков и добавления участников в группу SharePoint при создании группы.
- Функции соответствия требованиям. Когда администратор реализует функции соответствия, такие как политики хранения, хранение электронных данных и автоматическое применение меток конфиденциальности.
В этих и других сценариях вы также заметите, что в течение короткого промежутка времени (часто с промежутком в несколько секунд) создается несколько записей аудита с указанием app@sharepoint в качестве пользователя. Это также означает, что они, вероятно, были инициированы той же задачей, выполненной пользователем. Кроме того, поля ApplicationDisplayName и EventData в записи аудита могут помочь определить сценарий или приложение, запустившее событие.
Действия, связанные с папками
В таблице ниже описаны действия, связанные с папками в SharePoint Online и OneDrive для бизнеса. Как упоминалось ранее, записи аудита для некоторых действий SharePoint указывают на то, app@sharepoint пользователь выполнил действия от имени пользователя или администратора, который инициировал действие. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.
Понятное имя | Операция | Описание |
---|---|---|
Скопирована папка | FolderCopied | Пользователь копирует папку из сайта в другое расположение в SharePoint или OneDrive для бизнеса. |
Создана папка | FolderCreated | Пользователь создает папку на сайте. |
Удалена папка | FolderDeleted | Пользователь удаляет папку с сайта. |
Папка удалена из корзины | FolderDeletedFirstStageRecycleBin | Пользователь удаляет папку из корзины на сайте. |
Папка удалена из корзины второго уровня | FolderDeletedSecondStageRecycleBin | Пользователь удаляет папку из корзины второго уровня на сайте. |
Изменена папка | FolderModified | Пользователь изменяет папку на сайте. Это включает изменение метаданных папки, например тегов и свойств. |
Перемещена папка | FolderMoved | Пользователь перемещает папку в другое расположение на сайте. |
Переименована папка | FolderRenamed | Пользователь переименовывает папку на сайте. |
Восстановлена папка | FolderRestored | Пользователь восстанавливает удаленную папку из корзины на сайте. |
Действия с информационными барьерами
В таблице ниже перечислены действия, связанные с информационными барьерами, зарегистрированные в журнале аудита Microsoft 365. Дополнительные сведения об информационных барьерах см. в статье Сведения об информационных барьерах в Microsoft 365.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
Понятное имя | Операция | Описание |
---|---|---|
Изменен параметр AppBypassInformationBarrier для клиента | AppBypassInformationBarrier | SharePoint или глобальный администратор изменил доступ к приложениям для сайтов SharePoint. |
Режим примененного информационного барьера к сайту | SiteIBModeSet | SharePoint или глобальный администратор применил режим к сайту. |
Примененные сегменты к сайту | SiteIBSegmentsSet | Администратор SharePoint, глобальный администратор или владелец сайта добавил один или несколько сегментов информационных барьеров на сайт. |
Изменен режим информационного барьера сайта | SiteIBModeChanged | SharePoint или глобальный администратор обновил режим сайта. |
Измененные сегменты сайта | SiteIBSegmentsChanged | Администратор SharePoint или глобальный администратор изменил один или несколько сегментов информационных барьеров для сайта. |
Отключенные информационные барьеры для SharePoint и OneDrive | SPOIBIsDisabled | SharePoint или глобальный администратор отключил информационные барьеры для SharePoint и OneDrive в организации. |
Включенные информационные барьеры для SharePoint и OneDrive | SPOIBIsEnabled | SharePoint или глобальный администратор отключил информационные барьеры для SharePoint и OneDrive в организации. |
Отчет аналитики информационных барьеров завершен | InformationBarriersInsightsReportCompleted | Система завершает создание отчета аналитики информационных барьеров. |
Аналитические сведения о информационных барьерах, запросил раздел OneDrive | InformationBarriersInsightsReportOneDriveSectionQueried | Администратор запрашивает отчет аналитики информационных барьеров для учетных записей OneDrive. |
Отчет аналитики информационных барьеров запланирован | InformationBarriersInsightsReportSchedule | Администратор запланирует отчет аналитики информационных барьеров. |
Запрос отчета аналитики информационных барьеров SharePoint | InformationBarriersInsightsReportSharePointSectionQueried | Администратор запрашивает отчет аналитики информационных барьеров для сайтов SharePoint. |
Удален сегмент с сайта | SiteIBSegmentsRemoved | Администратор SharePoint или глобальный администратор удалил один или несколько сегментов информационных барьеров с сайта. |
Действия по обновлению облака служб Приложения Microsoft 365 Администратор
В следующей таблице перечислены действия для изменения конфигурации и активируемые действия в службе облачных обновлений , которые записываются в журнал аудита Microsoft 365.
Понятное имя | Операция | Описание |
---|---|---|
Обновлена конфигурация устройства | updateddeviceconfiguration | Активировано действие для устройства, управляемого Облачным обновлением. Сюда входит запуск отката, возобновление отката устройства или изменение канала обновления. |
Обновлена конфигурация профиля | updatedprofileconfiguration | Конфигурация профиля облачного обновления изменилась. Сюда входят изменения в состоянии профиля, установка крайнего срока, включение проверки обновлений, а также настроенные волны и задержка волн. |
Обновлена конфигурация клиента | updatedtenantconfiguration | Конфигурация на уровне клиента в облачном обновлении изменилась. Это включает в себя изменение исключений, окон исключений и создание нового ключа ассоциации клиентов (TAK). |
действия облачной политики служб Приложения Microsoft 365 Администратор
В следующей таблице перечислены действия для изменения конфигурации политики в службе облачной политики , которые записываются в журнал аудита Microsoft 365.
Понятное имя | Операция | Описание |
---|---|---|
Конфигурация созданной политики | CreatedPolicyConfig | Создана новая конфигурация политики. |
Конфигурация удаленной политики | DeletedPolicyConfig | Конфигурация политики удалена. |
Обновленная конфигурация политики | UpdatedPolicyConfig | Существующая конфигурация политики была обновлена, например путем добавления, изменения или удаления параметров политики либо путем изменения имени, описания или область конфигурации политики. |
Обновленный приоритет конфигурации политики | UpdatedPolicyConfigPriority | Приоритет конфигурации политики был изменен. |
действия Резервное копирование Microsoft 365
В следующей таблице перечислены действия в Резервное копирование Microsoft 365, которые регистрируются в журнале аудита Microsoft 365. Резервное копирование Microsoft 365 предназначена для обеспечения постоянной защиты и легкого восстановления данных вашей организации. Дополнительные сведения о Резервное копирование Microsoft 365 см. в статье Обзор Резервное копирование Microsoft 365.
Понятное имя | Операция | Описание |
---|---|---|
Активирована политика резервного копирования | BackupPolicyActivated | Политика Резервное копирование Microsoft 365 активируется из неактивного состояния. |
Активированная задача восстановления черновика | RestoreTaskActivated | Активируется задача восстановления черновика для Резервное копирование Microsoft 365. Это длительная операция. |
Элемент резервного копирования создан | BackupItemAdded | Один или несколько элементов резервной копии добавляются в политику Резервное копирование Microsoft 365. |
Элемент резервного копирования удален | BackupItemRemoved | Один или несколько элементов резервной копии удаляются из политики Резервное копирование Microsoft 365. |
Завершенная задача восстановления | RestoreTaskCompleted | Задача восстановления выполняется в Резервное копирование Microsoft 365. |
Созданная задача восстановления черновика | DraftRestoreTaskCreated | Задача восстановления создается в Резервное копирование Microsoft 365. По умолчанию задача восстановления создается как черновик. |
Создана новая политика резервного копирования | NewBackupPolicyCreated | Глобальная Администратор создала новую политику Резервное копирование Microsoft 365. По умолчанию политика резервного копирования создается в неактивном состоянии. |
Удалена политика резервного копирования | BackupPolicyDeleted | Политика Резервное копирование Microsoft 365 удаляется. |
Задача восстановления удаленных черновиков | DraftRestoreTaskDeleted | Задача восстановления черновика удаляется в Резервное копирование Microsoft 365. |
Изменена политика резервного копирования | BackupPolicyEdited | Обновлена политика Резервное копирование Microsoft 365. Политики резервного копирования обновляются с помощью любого из следующих действий: 1. Переименование политики. 2. Добавьте один или несколько блоков защиты. 3. Удаление одного или нескольких блоков защиты. |
Измененная задача восстановления черновика | DraftRestoreTaskEdited | Задача восстановления черновика редактируется в Резервное копирование Microsoft 365. |
Приостановлена политика резервного копирования | BackupPolicyPaused | Политика Резервное копирование Microsoft 365 приостановлена из активного состояния. |
Программный элемент резервного копирования | GetBackupItem | Пользователь запрашивает резервную копию блока защиты, используя Резервное копирование Microsoft 365 программным способом. |
Программное получение сведений о политике резервного копирования | ViewBackupPolicyDetails | Доступ к сведениям о политике Резервное копирование Microsoft 365 выполняется программным способом. |
Программное получение сведений о задаче восстановления | GetRestoreTaskDetails | Пользователь запрашивает сведения о задаче восстановления по ее идентификатору в Резервное копирование Microsoft 365. |
Программный список всех политик резервного копирования | ListAllBackupPolicies | Пользователь программно получает список всех политик резервного копирования, резервные копии с помощью Резервное копирование Microsoft 365. |
Программный список элементов резервного копирования в политиках резервного копирования | ListAllBackupItemsInPolicies | Список всех единиц защиты, присутствующих в политике резервного копирования в Резервное копирование Microsoft 365, запрашивается программным способом. |
Программный список элементов резервного копирования в клиенте | ListAllBackupItemsInTenant | Пользователь программно получает список всех подразделений защиты в организации, резервные копии с помощью Резервное копирование Microsoft 365. |
Программный список элементов резервного копирования в рабочей нагрузке | ListAllBackupItemsInWorkload | Пользователь программно получает список всех блоков защиты в рабочей нагрузке (SharePoint, OneDrive или Exchange), резервные копии с помощью Резервное копирование Microsoft 365. |
Программный список элементов восстановления в задаче восстановления | GetAllRestoreArtifactsInTask | Пользователь программно получает все артефакты в задаче восстановления в Резервное копирование Microsoft 365. |
Программный список точек восстановления | ListAllRestorePoints | Пользователь программно получает все точки восстановления в Резервное копирование Microsoft 365. Точки восстановления представляют метку времени, когда артефакт защищен (по политике защиты). Доступ имеют только глобальные администраторы. |
Программный список задач восстановления | ListAllRestoreTasks | Пользователь программно получает список существующих сеансов восстановления в Резервное копирование Microsoft 365. Сюда входит сеанс восстановления, созданный для каждого типа службы, зарегистрированного в организации. |
Восстановление элементов восстановления завершено | BackupItemRestoreCompleted | Восстановление элемента, резервная копия Резервное копирование Microsoft 365 завершена. |
Восстановление элемента активируется | BackupItemRestoreTriggered | Восстановление активируется для элемента, резервного копирования Резервное копирование Microsoft 365. |
действия общих параметров Microsoft Defender для конечной точки
В следующей таблице перечислены действия для Microsoft Defender для конечной точки общих параметров, зарегистрированных в журнале аудита Microsoft 365. Дополнительные сведения о параметрах Microsoft Defender для конечной точки см. в разделе Настройка общих параметров Defender для конечной точки.
Чтобы просмотреть действия Microsoft Defender для конечной точки, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.
Понятное имя | Операция | Описание |
---|---|---|
Скачанный пакет отключения | DownloadOffboardingPkg | Скачан пакет, используемый для удаления устройств из Defender для конечной точки. |
Скачанный пакет подключения | DownloadOnboardingPkg | Скачан пакет, используемый для подключения устройств к Defender для конечной точки. |
Изменено хранение данных | ChangeDataRetention | Изменены параметры хранения данных для Defender для конечной точки. |
Настройка дополнительных функций | SetAdvancedFeatures | Изменены расширенные функции в Defender для конечной точки, что позволяет более точно управлять инцидентом. В журнале аудита Microsoft 365 регистрируются только параметры для расширенных функций, которые являются общедоступными. |
действия параметров индикатора Microsoft Defender для конечной точки
В следующей таблице перечислены действия для Microsoft Defender для конечной точки параметров индикатора, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о индикаторах Microsoft Defender для конечной точки см. в разделе Управление индикаторами.
Чтобы просмотреть действия Microsoft Defender для конечной точки, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.
Понятное имя | Операция | Описание |
---|---|---|
Добавлен индикатор | AddIndicator | Создан новый индикатор компрометации, который можно использовать для отслеживания атак и событий. |
Измененный индикатор | EditIndicator | Изменен индикатор компрометации. |
Удаленный индикатор | DeleteIndicator | Удален индикатор компрометации. |
действия по реагированию Microsoft Defender для конечной точки
В следующей таблице перечислены действия для действий Microsoft Defender для конечной точки реагирования, включая динамический ответ, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о действиях реагирования Microsoft Defender для конечной точки см. в разделе Действия ответа на устройстве.
Чтобы просмотреть действия Microsoft Defender для конечной точки, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.
Понятное имя | Операция | Описание |
---|---|---|
Собранный пакет исследования | CollectInvestigationPackage | Собранные сведения об устройстве, используемом для понимания средств и методов атак. |
Запущена антивирусная проверка | RunAntiVirusScan | Выполнена Microsoft Defender антивирусная проверка на устройстве. |
Выполнение ограниченного приложения | RestrictAppExecution | Предотвращение запуска вредоносного приложения. |
Удалены ограничения приложений | RemoveAppRestrictions | Разрешить запуск приложения. |
Изолированное устройство | IsolateDevice | Изолировано устройство от сети, что помогает предотвратить распространение атак. |
Освобождено от изоляции | ReleaseFromIsolation | Добавлено изолированное устройство обратно в сеть. |
Файл остановлен и помещен в карантин | StopAndQuarantineFile | Помещен в карантин подозрительный файл для дальнейшего анализа. |
Скачан файл | DownloadFile | Скачан подозрительный файл для дальнейшего изучения. |
Отключенное устройство | DeviceOffBoarding | Удалено устройство из Defender для конечной точки. |
API ответа в режиме реального времени запуска | RunLiveResponseApi | Открыл сеанс динамического ответа с помощью вызова API, открыв удаленную оболочку на устройстве. |
Собранные журналы | LogsCollection | Собранные сведения журнала о Defender для конечной точки. |
Запуск получения файла ответа в реальном времени | LiveResponseGetFile | Открытие сеанса динамического ответа, открытие удаленной оболочки на устройстве. |
Сеанс ответа в реальном времени | RunLiveResponseSession | Запуск сеанса динамического ответа, открыв удаленную оболочку на устройстве. |
действия параметров ролей Microsoft Defender для конечной точки
В следующей таблице перечислены действия для параметров роли Microsoft Defender для конечной точки, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о ролях в Microsoft Defender для конечной точки см. в статье Создание ролей и управление ими для управления доступом на основе ролей.
Чтобы просмотреть действия Microsoft Defender для конечной точки, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.
Понятное имя | Операция | Описание |
---|---|---|
AddRole | Добавленная роль | Добавлены новая роль безопасности и разрешения. |
EditRole | Измененная роль | Измененные роли безопасности и разрешения. |
DeleteRole | Удаленная роль | Удалены роли безопасности и разрешения. |
Microsoft Defender для деятельности экспертов
В следующей таблице перечислены действия экспертов Microsoft Defender, которые вошли в журнал аудита Microsoft 365. Дополнительные сведения об экспертах по Microsoft Defender см. в разделах Сведения об Эксперты по Microsoft Defender для XDR и Сведения о Эксперты Microsoft Defender по охоте на угрозы
Понятное имя | Операция | Описание |
---|---|---|
Создано разрешение аналитика Defender Experts | DefenderExpertsAnalystPermissionCreated | Администратор предоставил аналитикам экспертов Defender одно или несколько разрешений на роль для расследования инцидентов или устранения угроз. |
Изменено разрешение аналитика Defender Experts | DefenderExpertsAnalystPermissionModified | Администратор изменил разрешения роли для аналитиков экспертов Defender для расследования инцидентов или устранения угроз. |
действия Microsoft Defender для удостоверений
В следующей таблице перечислены действия для Microsoft Defender для удостоверений, которые регистрируются в журнале аудита Microsoft 365.
Чтобы просмотреть действия Microsoft Defender для удостоверений, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.
Понятное имя | Операция | Описание |
---|---|---|
Обновленные теги сущностей | TaggingConfigurationUpdated | Тег был добавлен или удален из сущности. |
Добавлена конфигурация исключений | ExclusionConfigurationAdded | Для оповещения или сущности было добавлено глобальное исключение. |
Обновленная конфигурация исключений | ExclusionConfigurationUpdated | Глобальное исключение было обновлено для оповещения или для сущности. |
Конфигурация удаленных исключений | ExclusionConfigurationDeleted | Глобальное исключение было удалено для оповещения или для сущности. |
Обновлена конфигурация порога оповещений | WorkspaceAlertThresholdLevelUpdated | Обновлена конфигурация пороговых значений оповещений. |
Скачанные оповещения системы безопасности Excel | AlertExcelDownloaded | Скачан подробный файл оповещений Excel. |
Добавлено действие по исправлению | RemediationActionAdded | В очередь добавлено действие исправления. |
Обновлено действие по исправлению | ИсправлениеActionUpdated | Выполнено действие по исправлению. |
Обновленная конфигурация датчика | SensorConfigurationUpdated | Обновлена конфигурация датчика. |
Добавлен датчик | SensorCreated | Добавлен новый датчик. |
Удален датчик | SensorDeleted | Датчик был удален. |
Получен ключ развертывания датчика | SensorDeploymentAccessKeyReceived | Получен ключ доступа датчиков. |
Ключ развертывания повторного датчика | SensorDeploymentAccessKeyUpdated | Ключ доступа датчиков был повторно создан. |
Обновленный режим активации датчиков | SensorActivationMethodConfigurationUpdated | Режим активации датчиков изменен. |
Скачанный excel для покрытия контроллера домена | DomainControllerCoverageExcelDownloaded | Скачан файл Excel для покрытия контроллера домена. |
Обновлена конфигурация учетной записи служб каталогов | DirectoryServicesAccountConfigurationUpdated | Набор учетных записей служб каталогов был изменен. |
Обновлена конфигурация действий по исправлению | RemediationActionConfigurationUpdated | Набор учетных записей действий "Управление действиями" был изменен. |
Обновлена конфигурация исправления сущностей | EntityRemediatorConfigurationUpdated | Изменен режим управления учетными записями действий. |
Обновлена проблема работоспособности | MonitoringAlertUpdated | Проблема работоспособности была изменена. |
Скачан отчет | ОтчетСкачать | Был скачан отчет. |
Обновленная конфигурация репортера | ReporterConfigurationUpdated | Расписание отчета было изменено. |
Обновлена конфигурация переадресации системного журнала | SyslogServiceConfigurationUpdated | Конфигурация переадресации системного журнала была изменена. |
Обновленная конфигурация уведомлений системы безопасности | NotificationConfigurationUpdated | Изменена конфигурация уведомлений об оповещениях системы безопасности или проблемах работоспособности. |
Добавлен получатель уведомления об оповещении | AlertNotificationsRecipientAdded | Получатель был добавлен в конфигурацию уведомлений об оповещениях системы безопасности. |
Удаленный получатель уведомления об оповещении | AlertNotificationsRecipientDeleted | Получатель был удален из конфигурации уведомлений об оповещениях системы безопасности. |
Добавлен получатель уведомления о проблемах работоспособности | MonitoringAlertNotificationRecipientAdded | Получатель был добавлен в конфигурацию уведомлений о проблемах работоспособности. |
Получатель уведомления об удаленных проблемах работоспособности | MonitoringAlertNotificationRecipientDeleted | Получатель был удален из конфигурации уведомлений о проблемах. |
Обновленная конфигурация VPN | VpnConfigurationUpdated | Конфигурация VPN (учет радиуса) была изменена. |
Обновлена унифицированная конфигурация RBAC | URbacAuthorizationStatusChanged | Конфигурация единой контроль доступа на основе ролей была изменена. |
Созданная рабочая область | WorkspaceCreated | Рабочая область создана. |
Удаленная рабочая область | WorkspaceDeleted | Рабочая область удалена. |
Microsoft Defender XDR настраиваемые действия обнаружения
В следующей таблице перечислены настраиваемые действия обнаружения для Microsoft Defender XDR, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о Microsoft Defender XDR пользовательских обнаружениях см. в статье Создание настраиваемых правил обнаружения и управление ими.
Чтобы просмотреть действия Microsoft Defender XDR, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.
Понятное имя | Операция | Описание |
---|---|---|
Созданное пользовательское правило обнаружения | CreateCustomDetection | Создано новое пользовательское правило обнаружения. |
Измененное пользовательское правило обнаружения | EditCustomDetection | Пользовательское правило обнаружения было изменено. |
Изменено состояние настраиваемого правила обнаружения | ChangeCustomDetectionRuleStatus | Пользовательское правило обнаружения было отключено или включено. |
Выполнено настраиваемое правило обнаружения | RunCustomDetection | Пользовательское правило обнаружения было выполнено вручную. |
Удаленное пользовательское правило обнаружения | DeleteCustomDetection | Пользовательское правило обнаружения удалено. |
действия Microsoft Defender XDR инцидентов
В следующей таблице перечислены действия по инцидентам для Microsoft Defender XDR, зарегистрированных в журнале аудита Microsoft 365. Дополнительные сведения об инцидентах в Microsoft Defender XDR см. в статье Общие сведения об инцидентах.
Чтобы просмотреть действия Microsoft Defender XDR, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.
Понятное имя | Операция | Описание |
---|---|---|
Добавлен комментарий к инциденту | AddCommentToIncident. | Добавлен комментарий к инциденту. |
Назначенный пользователь инциденту | AssignUserToIncident | Назначен пользователь инциденту. |
Неназначаемый пользователь в инцидент | UnAssignUserFromIncident | Неназначаемый пользователь к инциденту. |
Обновлено состояние инцидентов | UpdateIncidentStatus | Обновлено состояние инцидентов. |
Изменение классификации инцидентов | EditIncidentClassification | Изменение классификации инцидентов. |
Добавлены теги к инциденту | AddTagsToIncident | Добавлены теги к инциденту. |
Удалены теги из инцидента | RemoveTagsFromIncident | Удалены теги из инцидента. |
действия правил подавления Microsoft Defender XDR
В следующей таблице перечислены действия для правил подавления для Microsoft Defender XDR, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о правилах подавления в Microsoft Defender XDR см. в разделе Управление правилами подавления.
Чтобы просмотреть действия Microsoft Defender XDR, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.
Понятное имя | Операция | Описание |
---|---|---|
Созданное правило подавления | CreateSuppressionRule | Создано правило подавления оповещений. |
Измененное правило подавления | EditSuppressionRule | Удалено правило подавления оповещений. |
Включено правило подавления | EnableSuppressionRule | Включено правило подавления оповещений. |
Отключенное правило подавления | DisableSuppressionRule | Отключено правило подавления оповещений. |
Удаленное правило подавления | DeleteSuppressionRule | Удалено правило подавления оповещений. |
действия Microsoft Entra администрирования группы
В следующей таблице перечислены действия по администрированию группы, которые регистрируются, когда администратор или пользователь создает или изменяет группу Microsoft 365 или когда администратор создает группу безопасности с помощью Центра администрирования Microsoft 365 или портала управления Azure. Дополнительные сведения о группах в Microsoft 365 см. в статье Просмотр, создание и удаление групп в Центре администрирования Microsoft 365.
Примечание.
Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( .
). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" "
).
Понятное имя | Операция | Описание |
---|---|---|
Добавлена группа | Добавление группы. | Создана группа. |
В группу добавлен участник | Добавление участника в группу. | В группу был добавлен участник. |
Удалена группа | Удаление группы. | Группа была удалена. |
Участник удален из группы | Удаление участника из группы. | Из группы удален участник. |
Обновлена группа | Обновление группы. | Свойство группы изменилось. |
Действия Microsoft Fabric
В журнале аудита можно искать действия, выполненные в Power BI. Сведения о параметрах аудита см. в разделе Параметры клиента аудита и использования.
Ведение журнала аудита включено по умолчанию для организаций Microsoft 365. Если аудит не включен для вашей организации, появится баннер с предложением начать запись действий пользователей и администраторов. Инструкции см . в разделе Включение аудита.
Действия Microsoft Forms
В таблицах этого раздела перечислены действия пользователя и администратора в Microsoft Forms, которые зарегистрированы в журнале аудита. Microsoft Forms — это средство для работы с формами, тестами и опросами, используемое для сбора данных с целью анализа. Некоторые операции содержат дополнительные параметры действий, если это указано в описаниях ниже.
Если действие Forms выполняется соавтором или анонимным респондентом, оно регистрируется немного иначе. Дополнительные сведения см. в разделе Действия в Forms, выполняемые соавторами и анонимными респондентами.
Понятное имя | Операция | Описание |
---|---|---|
Создан комментарий | CreateComment | Владелец формы добавляет к тесту комментарий или оценку. |
Создана форма | CreateForm | Владелец формы создает форму. Свойство DataMode:string указывает, что текущая форма настроена на синхронизацию с новой или существующей книгой Excel, если значение свойства равно DataSync. Свойство ExcelWorkbookLink:string указывает на связанный ИД книги Excel текущей формы. |
Изменена форма | EditForm | Владелец формы изменяет форму, например создает, удаляет или редактирует вопрос. Свойство EditOperation:string указывает название операции изменения. Возможны следующие операции: - CreateQuestion - CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice -DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice - UploadFormImage/Bing/Onedrive - UploadQuestionImage - ChangeTheme FormImage включает любое место в Forms, куда пользователь может добавить изображение, например в запрос или в качестве фона. |
Перемещена форма | MoveForm | Владелец формы перемещает форму. Свойство DestinationUserId:string указывает идентификатор пользователя, переместившего форму. Свойство NewFormId:string — это новый идентификатор скопированной формы. Свойство IsDelegateAccess:boolean указывает, что текущее действие перемещения формы выполняется через страницу делегирования администратора. |
Удалена форма | DeleteForm | Владелец формы удаляет ее. Включает операцию SoftDelete (использован параметр удаления, и форма перемещена в корзину) и HardDelete (корзина очищена). |
Просмотрена форма (время разработки) | ViewForm | Владелец формы открывает существующую форму для изменения. Свойство AccessDenied:boolean указывает, что доступ к текущей форме запрещен из-за проверки разрешений. Свойство FromSummaryLink:boolean указывает, что текущий запрос поступает со страницы ссылки сводки. |
Выполнен предварительный просмотр формы | PreviewForm | Владелец формы предварительно просматривает форму с помощью функции предварительного просмотра. |
Экспортирована форма | ExportForm | Владелец формы экспортирует результаты в Excel. Свойство ExportFormat:string указывает, скачивается ли файл Excel или располагается в Интернете. |
Разрешен общий доступ к форме для копирования | AllowShareFormForCopy | Владелец формы создает ссылку на шаблон, чтобы поделиться формой с другими пользователями. Это событие регистрируется, когда владелец формы выбирает для создания URL-адреса шаблона. |
Запрещен общий доступ к форме для копирования | DisallowShareFormForCopy | Владелец формы удаляет ссылку на шаблон. |
Добавлен соавтор формы | AddFormCoauthor | Пользователь использует ссылку для совместной работы, чтобы помочь в создании или просмотре ответов. Это событие записывается в журнал, когда пользователь использует URL-адрес для совместной работы (а не при первом создании URL-адреса для совместной работы). |
Удален соавтор формы | RemoveFormCoauthor | Владелец формы удаляет ссылку для совместной работы. |
Просмотрена страница ответов | ViewRuntimeForm | Пользователь открыл страницу ответов для просмотра. Это событие записывается в журнал независимо от того, отправляет ли пользователь ответ или нет. |
Создан ответ | CreateResponse | Аналогично получению нового ответа. Пользователь отправил ответ в форму. Свойство ResponseId:string и ResponderId:string указывает, какой результат просматривается. Для анонимного респондента свойство ResponderId имеет значение NULL. |
Обновлен ответ | UpdateResponse | Владелец формы обновил комментарий или оценку в тесте. Свойство ResponseId:string и ResponderId:string указывает, какой результат просматривается. Для анонимного респондента свойство ResponderId имеет значение NULL. |
Удалены все ответы | DeleteAllResponses | Владелец формы удаляет все данные ответов. |
Удален ответ | DeleteResponse | Владелец формы удаляет один ответ. Свойство ResponseId:string указывает удаляемый ответ. |
Просмотрены ответы | ViewResponses | Владелец формы просматривает обобщенный список ответов. Свойство ViewType:string указывает, какое представление просматривает владелец формы: подробное или обобщенное |
Просмотрен ответ | ViewResponse | Владелец формы просматривает определенный ответ. Свойство ResponseId:string и ResponderId:string указывает, какой результат просматривается. Для анонимного респондента свойство ResponderId имеет значение NULL. |
Создана ссылка на сводку | GetSummaryLink | Владелец формы создает ссылку на сводку результатов для предоставления к ним общего доступа. |
Удалена ссылка на сводку | DeleteSummaryLink | Владелец формы удаляет ссылку на сводку результатов. |
Обновлено состояние фишинга формы | UpdatePhishingStatus | Это событие записывается в журнал при каждом изменении подробного значения состояния внутренней безопасности, независимо от того, изменяется ли итоговое состояние защиты (например, форма стала закрытой или открытой). Это означает, что могут отображаться дубликаты событий без изменения итогового состояния защиты. Возможные значения состояния для этого события: - Зафиксировать - Зафиксировать администратором - Администратор разблокировал - Заблокировано автоматически - Разблокировано автоматически - Сообщено клиентом - Сброс сообщений клиента |
Обновлено состояние фишинга пользователя | UpdateUserPhishingStatus | Это событие записывается в журнал при каждом изменении значения состояния безопасности пользователя. Значение состояния пользователя в записи аудита назначается как Подтвержден как фишер, когда пользователь создал форму фишинга, которая была зафиксирована группой безопасности в Интернете корпорации Майкрософт. Если администратор разблокирует пользователя, то пользователю присваивается значение состояния Восстановить в качестве обычного пользователя. |
Отправлено приглашение в Forms Pro | ProInvitation | Пользователь выбирает активацию пробной версии Pro. |
Обновлен параметр формы | UpdateFormSetting | Владелец формы обновляет один или несколько параметров формы. Свойство FormSettingName:string указывает на обновленное имя конфиденциальных параметров. Свойство NewFormSettings:string указывает на имя и новое значение обновленных параметров. Свойство thankYouMessageContainsLink:boolean указывает, что обновленное сообщение с благодарностью содержит URL-ссылку. |
Обновлен параметр пользователя | UpdateUserSetting | Владелец формы обновляет параметр пользователя. Свойство UserSettingName:string указывает название и новое значение параметра |
Получен список форм | ListForms | Владелец формы просматривает список форм. Свойство ViewType:string указывает, какое представление просматривает владелец формы: "Все формы", "Мне представлен доступ" или "Формы группы" |
Отправлен ответ | SubmitResponse | Пользователь отправляет ответ в форму. Свойство IsInternalForm:boolean указывает, находится ли отвечающий в той же организации, что и владелец формы. |
Включен параметр "Любой пользователь может ответить" | AllowAnonymousResponse | Владелец формы включает параметр, позволяющий любому пользователю отвечать на форму. |
Отключен параметр "Любой пользователь может ответить" | DisallowAnonymousResponse | Владелец формы отключает параметр, позволяющий любому пользователю отвечать на форму. |
Включен параметр "Определенные пользователи могут отвечать" | EnableSpecificResponse | Владелец формы включает параметр, позволяющий отвечать на форму только определенным пользователям или группам в текущей организации. |
Отключен параметр "Определенные пользователи могут отвечать" | DisableSpecificResponse | Владелец формы отключает параметр, позволяющий отвечать на форму только определенным пользователям или группам в текущей организации. |
Добавлен определенный ответчик | AddSpecificResponder | Владелец формы добавляет нового пользователя или группу в список определенных ответчиков. |
Удален определенный ответчик | RemoveSpecificResponder | Владелец формы удаляет нового пользователя или группу из списка определенных ответчиков. |
Отключена совместная работа | DisableCollaboration | Владелец формы отключает параметр совместной работы над формой. |
Включена совместная работа для рабочей или учебной учетной записи Office 365 | EnableWorkOrSchoolCollaboration | Владелец формы включает параметр, позволяющий пользователям с рабочей или учебной учетной записью Microsoft 365 просматривать и редактировать форму. |
Включена совместная работа пользователей в моей организации | EnableSameOrgCollaboration | Владелец формы включает параметр, позволяющий пользователям в текущей организации просматривать и редактировать форму. |
Включена совместная работа для определенных пользователей | EnableSpecificCollaboaration | Владелец формы включает параметр, позволяющий просматривать и редактировать форму только определенным пользователям или группам в текущей организации. |
Подключено к книге Excel | ConnectToExcelWorkbook | Форма подключена к книге Excel. Свойство ExcelWorkbookLink:string указывает на связанный ИД книги Excel текущей формы. |
Коллекция создана | CollectionCreated | Владелец формы создал коллекцию. |
Коллекция обновлена | CollectionUpdated | Владелец формы обновил свойство коллекции. |
Коллекция удалена из корзины | CollectionHardDeleted | Владелец формы безвозвратно удалил коллекцию из корзины. |
Коллекция перемещена в корзину | CollectionSoftDeleted | Владелец формы переместил коллекцию в корзину. |
Коллекция переименована | CollectionRenamed | Владелец формы изменил имя коллекции. |
Форма перемещена в коллекцию | MovedFormIntoCollection | Владелец формы переместил форму в коллекцию. |
Форма перемещена из коллекции | MovedFormOutofCollection | Владелец формы переместил форму из коллекции. |
Действия в Forms, выполняемые соавторами и анонимными респондентами
Forms поддерживает совместную работу при создании форм и анализе откликов. Участник совместной работы по созданию форм называется соавтором. Соавторы могут выполнять такие же действия, что и владелец формы, за исключением удаления и перемещения формы. Кроме того, Forms позволяет создать форму, на которую можно ответить анонимно. Это означает, что респонденту не нужно входить в организацию, чтобы ответить на форму.
В таблице ниже описаны действия по аудиту и сведения в записи аудита в отношении действий, выполняемых соавторами и анонимными респондентами.
Тип действия | Внутренний или внешний пользователь | ИД пользователя, который выполнил вход | Организация, в которую выполнен вход | Тип пользователя Forms |
---|---|---|---|---|
Совместное редактирование | Внутренний | Имя участника-пользователя | Организация владельца формы | Соавтор |
Совместное редактирование | Внешний | Имя участника-пользователя |
Организация соавтора |
Соавтор |
Совместное редактирование | Внешний | urn:forms:coauthor#a0b1c2d3@forms.office.com (Вторая часть идентификатора — это хэш-код, уникальный для каждого пользователя) |
Организация владельца формы |
Соавтор |
Действия ответа | Внешний | Имя участника-пользователя |
Организация респондента |
Респондент |
Действия ответа | Внешний | urn:forms:external#a0b1c2d3@forms.office.com (Вторая часть ИД пользователя — это хэш-код, уникальный для каждого пользователя) |
Организация владельца формы | Респондент |
Действия ответа | Анонимный | urn:forms:anonymous#a0b1c2d3@forms.office.com (Вторая часть ИД пользователя — это хэш-код, уникальный для каждого пользователя) |
Организация владельца формы | Респондент |
Microsoft Graph Data Connect
В следующей таблице перечислены действия пользователей и администраторов в Microsoft Graph Data Connect , зарегистрированные для аудита. Таблица содержит понятное имя, отображаемое в столбце Действия , и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.
Понятное имя | Операция | Описание |
---|---|---|
Приложение утверждено или запрещено | ConsentModificationRequest | Пользователь выполнил запрос на изменение согласия. |
Извлечение выполнено | DataAccessRequestOperation | Пользователь выполнил извлечение. Наборы данных партнеров и запуски независимого поставщика программного обеспечения исключаются. |
действия Планировщик (Майкрософт)
В следующей таблице перечислены действия пользователей и администраторов в Планировщик (Майкрософт), которые регистрируются для аудита. Таблица содержит понятное имя, отображаемое в столбце Действия , и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.
Примечание.
Действия с портфелем в Планировщик регистрируются в Microsoft Project для действий веб-плана. Дополнительные сведения см. в разделе Действия microsoft Project в Интернете.
Понятное имя | Операция | Описание |
---|---|---|
Чтение плана | PlanRead | План считывается пользователем или приложением. Если операция чтения является ResultStatus.Failure или ResultStatus.AuthorizationFailure, ContainerType указывает ContainerType.Invalid, а ContainerId — null. |
Создан план | PlanCreated | План создается пользователем или приложением. Если операция создания имеет значение ResultStatus.Failure или ResultStatus.AuthorizationFailure, ObjectId указывает null, ContainerType — ContainerType.Invalid, а ContainerId — null. |
Изменение плана | PlanModified | План изменяется пользователем или приложением. |
Удален план | PlanDeleted | План удаляется пользователем или приложением. |
Скопирован план | PlanCopied | План копируется пользователем или приложением. Если операция копирования — ResultStatus.Failure или ResultStatus.Failure, newPlanId указывает null, newContainerType — ContainerType.Invalid, а newContainerId — null. |
Чтение задачи | TaskRead | Задача считывается пользователем или приложением. Если операция чтения имеет значение ResultStatus.Failure или ResultStatus.AuthorizationFailure, PlanId указывает null. |
Создание задачи | TaskCreated | Задача создается пользователем или приложением. Если операция создания является ResultStatus.Failure или ResultStatus.AuthorizationFailure, ObjectId указывает null, а PlanId — null. |
Изменение задачи | TaskModified | Задача изменяется пользователем или приложением. |
Удалена задача | TaskDeleted | Задача удаляется пользователем или приложением. |
Назначена задача | TaskAssigned | Назначение задачи изменяется пользователем или приложением. Это может быть неназначаемая задача, назначаемая или назначенная задача имеет нового назначенного. |
Выполнена задача | TaskCompleted | Задача помечается выполненной пользователем или приложением. |
Создан список | РеестрСоздать | Список создается пользователем или приложением. Если операция создания является ResultStatus.Failure или ResultStatus.AuthorizationFailure, ObjectId указывает null, MemberId — пустую строку. |
Удален список | RosterDeleted | Список удаляется пользователем или приложением. |
Добавлены члены в реестр | RosterMemberAdded | Члены добавляются в реестр. Если операция добавления является ResultStatus.Failure или ResultStatus.AuthorizationFailure, MemberIds указывает на список пытаемых идентификаторов элементов. |
Удалены члены списка | RosterMemberDeleted | Член (члены) удаляется из списка. Если операция удаления является ResultStatus.Failure или ResultStatus.AuthorizationFailure, MemberIds указывает список идентификаторов участников, которые пытались выполнить. |
Чтение списка планов | PlanListRead | Список планов запрашивается пользователем или приложением. Если операция запроса — ResultStatus.Failure или ResultStatus.AuthorizationFailure, PlanList указывает пустую строку. |
Чтение списка задач | TaskListRead | Список задач запрашивается пользователем или приложением. Если операция запроса является ResultStatus.Failure или ResultStatus.AuthorizationFailure, TaskList указывает пустую строку. |
Обновлены параметры клиента | TenantSettingsUpdated | Параметры клиента обновляются администратором клиента. Если операция обновления является ResultStatus.Failure или ResultStatus.AuthorizationFailure, ObjectId указывает исходные параметры, а TenantSettings — на выполненную попытку параметров клиента. |
Обновлена метка конфиденциальности списка | РеестрSensitivityLabelUpdated | Пользователь или приложение обновляет метку конфиденциальности реестра. |
Действия, связанные с Microsoft Power Apps
В журнале аудита можно искать связанные с приложениями действия, выполненные в Power Apps. К таким действиям относятся создание, запуск и публикация приложений. Назначение разрешений для приложений также подлежит аудиту. Описание всех действий в Power Apps см. в статье Ведение журнала действий для Power Apps.
Примечание.
События аудита политик оповещений (Оповещение защиты) (RecordType:45) в настоящее время не поддерживаются для PowerApps.
Действия, связанные с Microsoft Power Automate
В журнале аудита можно искать действия, выполненные в Power Automate (прежнее название — Microsoft Flow). К таким действиям относятся создание, изменение и удаление потоков, а также изменение разрешений потока. Сведения об аудите действий Power Automate см. в блоге События аудита Power Automate, доступные на портале соответствия требованиям.
Действия Microsoft Project в Интернете
Вы можете искать действия в журнале аудита в Microsoft Project в Интернете. Microsoft Project в Интернете основана на Microsoft Dataverse и связана с Project Power App. Сведения о включении аудита для сценариев, в которых пользователь использует Microsoft Dataverse или Project Power App, см. в руководстве по аудиту параметров системы . Список сущностей, связанных с Project в Интернете, см. в руководстве по экспорту данных пользователей из Project в Интернете.
Сведения о microsoft Project в Интернете см. в разделе Microsoft Project в Интернете.
Примечание.
Для аудита событий для действий Microsoft Project в Интернете требуется платная лицензия Project, план 1 (или выше).
Понятное имя | Операция | Описание |
---|---|---|
Созданный проект | ProjectCreated | Проект создается пользователем или приложением. |
Созданная дорожная карта | Дорожная картаСоздать | Стратегия или портфель создаются пользователем или приложением. |
Созданный элемент дорожной карты | RoadmapItemCreated | Элемент стратегии или портфеля создается пользователем или приложением. |
Созданная задача | TaskCreated | Задача создается пользователем или приложением. |
Удаленный проект | ProjectDeleted | Проект удаляется пользователем или приложением. |
Удаленная дорожная карта | Дорожная картаDeleted | Стратегия или портфель удаляются пользователем или приложением. |
Удаленный элемент дорожной карты | RoadmapItemDeleted | Элемент стратегии или портфеля удаляется пользователем или приложением. |
Удаленная задача | TaskDeleted | Задача удаляется пользователем или приложением. |
Доступ к проекту | ProjectAccessed | Проект считывается или приложение. |
Доступ к домашней странице проекта | ProjectListAccessed | Пользователь запрашивает список проектов и (или) дорожных карт. |
Доступ к дорожной карте | Дорожная картаДоступ | План развития или портфель считывается пользователем или приложением. |
Доступ к элементу дорожной карты | RoadmapItemAccessed | Элемент стратегии или портфеля считывается пользователем или приложением. |
Задача, доступ к ней | TaskAccessed | Задача считывается пользователем или приложением. |
Обновлены параметры проекта | ProjectForTheWebProjectSettings | Параметры проекта обновляются администратором. |
Обновленная дорожная карта | Дорожная картаОбдуется | Стратегия или портфель изменяются пользователем или приложением. |
Обновленный элемент дорожной карты | RoadmapItemUpdated | Элемент стратегии или портфеля изменяется пользователем или приложением. |
Обновленные параметры дорожной карты | ProjectForTheWebRoadmaptSettings | Параметры стратегии или портфеля обновляются администратором. |
Обновленная задача | TaskUpdated | Задача изменяется пользователем или приложением. |
Обновленный проект | ProjectUpdated | Проект изменяется пользователем или приложением. |
действия Аудит Microsoft Purview решения
В следующей таблице перечислены действия, связанные с решениями аудита на портале Microsoft Purview, Портал соответствия требованиям Microsoft Purview и API Graph аудита поиска. Эти действия проверяются в рамках рабочей нагрузки SecurityComplianceCenter . Дополнительные сведения см. в разделе Поиск в журнале аудита.
Аудит действий поиска и экспорта, выполняемых с помощью Search-UnifiedAuditLog , не выполняется.
Понятное имя | Операция | Описание |
---|---|---|
Создан поиск аудита | AuditSearchCreated | Отправляется новый запрос на поиск аудита. |
Поиск аудита завершен | AuditSearchCompleted | Задание поиска аудита завершено. |
Аудит поиска отменен | AuditSearchCancelled | Задание поиска аудита отменяется. |
Аудит поиска удален | AuditSearchDeleted | Задание поиска аудита удаляется. |
Аудит созданного задания экспорта поиска | AuditSearchExportJobCreated | Задание экспорта создается для экспорта результатов поиска в поисковом запросе аудита. |
Аудит задания экспорта поиска завершено | AuditSearchExportJobCompleted | Задание экспорта для экспорта результатов поиска запроса аудита завершено. |
Скачанные результаты экспорта аудита поиска | AuditSearchExportResultsСкачать | Результаты поиска из поискового запроса аудита были загружены. |
Действия по управлению Microsoft Purview
В следующей таблице перечислены действия системы управления Microsoft Purview, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения см. в статье Решения для управления Microsoft Purview.
Понятное имя | Операция | Описание |
---|---|---|
Созданный ресурс или сущность | EntityCreated | Новый ресурс или сущность создается или добавляется в существующий ресурс. |
Добавлена классификация | КлассификацияДобавлено | Добавление классификаций в сущность актива. |
Создано определение классификации | ClassificationDefinitionCreated | Создайте тип классификации. |
Определение классификации удалено | ClassificationDefinitionDeleted | Удаление типа классификации. |
Обновлено определение классификации | ClassificationDefinitionUpdated | Обновление типа классификации. |
Удалена классификация | ClassificationDeleted | Удаление классификаций из сущности актива. |
Классификация обновлена | ClassificationUpdated | Обновление классификаций для сущности актива. |
Сущность удалена | EntityDeleted | Ресурс или сущность удаляются из существующего ресурса. |
Сущность обновлена | EntityUpdated | Включает: обновление атрибута, обновление бизнес-атрибута, сведения о коллекции (включая только идентификатор коллекции), обновление контактов, customAttributes, иерархия, homeId, метки, sourceDetails |
Назначенный термин глоссария | GlossaryTermAssigned | Назначьте термины сущности актива. |
Созданный термин глоссария | GlossaryTermCreated | Создайте термин. |
Термин глоссария удален | GlossaryTermDeleted | Удаление термина. |
Термин глоссария не связан | GlossaryTermDisassociated | Отмена связи терминов с сущностью актива. |
Термин глоссария обновлен | GlossaryTermUpdated | Обновление термина. |
Метка конфиденциальности изменена | SensitivityLabelChanged | Метка конфиденциальности добавляется, обновляется или удаляется. |
Действия, связанные с Microsoft Stream
В журнале аудита можно искать действия, выполненные в Microsoft Stream. К этим действиям относятся связанные с видео действия, выполняемые пользователями, действия в канале группы и действия администраторов, такие как управление пользователями, управление параметрами организации и экспорт отчетов. Описание этих действий см. в разделе "Действия, регистрируемые в Microsoft Stream" статьи Журналы аудита в Microsoft Stream.
Действия, связанные с Microsoft Teams
В следующей таблице перечислены действия Microsoft Teams, которые регистрируются в журнале аудита Microsoft 365. В журнале аудита можно искать действия пользователей и администраторов, выполненные в Microsoft Teams. Teams — это рабочее пространство на основе чата в Microsoft 365. Это место, в котором собраны все беседы, собрания, файлы и заметки команды. Более подробное руководство по поиску см. в разделе Поиск событий в Microsoft Teams в журнале аудита.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
Понятное имя | Операция | Описание |
---|---|---|
Бот добавлен в группу | BotAddedToTeam | Пользователь добавляет бот в группу. |
Добавлен канал | ChannelAdded | Пользователь добавляет канал в группу. |
Соединитель добавлен | ConnectorAdded | Пользователь добавляет соединитель в канал. |
Добавлены сведения о собрании Teams 9 | MeetingDetail | Teams добавила сведения о собрании, включая время начала, время окончания и URL-адрес для присоединения к собранию. |
Добавлены сведения об участниках собрания 9 | MeetingParticipantDetail | Teams добавили сведения об участниках собрания, включая идентификатор пользователя каждого участника, время присоединения участника к собранию и время, когда участник покинул собрание. |
Добавлены члены 6, 8 | MemberAdded | Владелец команды добавляет участников в команду, канал или групповой чат. |
Вкладка добавлена | TabAdded | Пользователь добавляет вкладку в канал. |
Примененная метка конфиденциальности | SensitivityLabelApplied | Пользователь или организатор собрания применил метку конфиденциальности к собранию Teams. |
Изменен параметр канала | ChannelSettingChanged | Операция ChannelSettingChanged записывается в журнал при выполнении участником команды следующих действий. Для каждого из этих действий в столбце Элемент в результатах поиска по журналу аудита отображается описание измененного параметра (показано в скобках).
|
Изменен параметр организации | TeamsTenantSettingChanged | Операция TeamsTenantSettingChanged регистрируется, когда глобальный администратор в Центр администрирования Microsoft 365 выполняет следующие действия. Эти действия влияют на параметры Teams для всей организации. Дополнительные сведения см. в статье Управление параметрами Teams для вашей организации. Для каждого из этих действий в столбце Элемент в результатах поиска по журналу аудита отображается описание измененного параметра (показано в скобках).
|
Изменена роль участников в команде | MemberRoleChanged | Владелец команды изменяет роль участников в команде. Следующие значения указывают тип роли, назначенный пользователю. 1 — указывает роль участника. 2 — указывает роль владельца. 3 — указывает на роль "Гость". Свойство Members также включает имя вашей организации и адрес электронной почты участника. |
Изменен параметр группы | TeamSettingChanged | Операция TeamSettingChanged записывается в журнал при выполнении владельцем команды следующих действий. Для каждого из этих действий в столбце Элемент в результатах поиска по журналу аудита отображается описание измененного параметра (показано в скобках).
|
Изменена метка конфиденциальности | SensitivityLabelChanged | Пользователь изменил метку конфиденциальности на собрании Teams. |
Создан чат 1, 6 | ChatCreated | Создан чат Teams. |
Создана группа | TeamCreated | Пользователь создает команду. |
Удалено сообщение 2 | MessageDeleted | Сообщение в чате или канале было удалено. |
Удалены все приложения организации | DeletedAllOrganizationApps | Удалены все приложения организации из каталога. |
Удаленное приложение | AppDeletedFromCatalog | Приложение удалено из каталога. |
Удален канал | ChannelDeleted | Пользователь удаляет канал из группы. |
Удалена группа | TeamDeleted | Владелец команды удаляет ее. |
Изменено сообщение со ссылкой НА URL-адрес в Teams | MessageEditedHasLink | Пользователь изменяет сообщение и добавляет к нему ССЫЛКу НА URL-адрес в Teams. |
Экспортированные сообщения 1,2 | MessagesExported | Сообщения чата или канала экспортированы. |
Экспортированные записи 1 | RecordingExported | Записи чата экспортированы. |
Экспортированные расшифровки 1 | TranscriptsExported | Стенограммы чата экспортированы. |
Не удалось проверить приглашение на общий канал 3 | FailedValidation | Пользователь отвечает на приглашение на общий канал, но его проверка не пройдена. |
Чат с выборкой 1 | ChatRetrieved | Получен чат Microsoft Teams. |
Получено все размещенное содержимое сообщения1 | MessageHostedContentsListed | Все размещенное в сообщении содержимое, например изображения или фрагменты кода, было извлечено. |
Приложение установлено | AppInstalled | Установлено приложение. |
Выполнено действие для карта | PerformedCardAction | Пользователь выполнил действия с адаптивным карта в чате. Адаптивные карточки обычно используются ботами для эффективного отображения информации и взаимодействия в чатах. Заметка: В журнале аудита будут доступны только встроенные входные действия для адаптивного карта внутри чата. Например, когда пользователь отправляет ответ на опрос в беседе канала на адаптивном карта, созданном ботом опроса. Действия пользователя, такие как "Просмотр результата", при котором открывается диалоговое окно, или действия пользователя внутри диалогов, не будут доступны в журнале аудита. |
Опубликовано новое сообщение 1, 6, 8 | MessageSent | Новое сообщение было опубликовано в чате или канале. |
Заполнение созданных ИИ заметок в чате | AINotesUpdate | Созданные ИИ заметки были заполнены для группового чата. |
Заполнение заметок, созданных ИИ, в собраниях в режиме реального времени | LiveNotesUpdate | Заметки, созданные ИИ, заполняются для собрания в режиме реального времени. |
Опубликованное приложение | AppPublishedToCatalog | Приложение было добавлено в каталог. |
Чтение сообщения 1 | MessageRead | Получено сообщение чата или канала. |
Чтение размещенного содержимого сообщения 1 | MessageHostedContentRead | Было извлечено размещенное в сообщении содержимое, например изображение или фрагмент кода. |
Бот удален из группы | BotRemovedFromTeam | Пользователь удаляет бот из группы. |
Соединитель удален | ConnectorRemoved | Пользователь удаляет соединитель из канала. |
Удаленные члены 6, 8 | MemberRemoved | Владелец команды удаляет участников из команды, канала или группового чата. |
Удалена метка конфиденциальности | SensitivityLabelRemoved | Пользователь удалил метку конфиденциальности из собрания Teams. |
Удален общий доступ к каналу 3 команды | TerminatedSharing | Команда или владелец канала отключили общий доступ к общему каналу. |
Восстановлен общий доступ к каналу 3 команды | SharingRestored | Команда или владелец канала повторно включил общий доступ для общего канала. |
Вкладка удалена | TabRemoved | Пользователь удаляет вкладку из канала. |
Ответ на приглашение для общего канала 3 | InviteeResponded | Пользователь ответил на приглашение общего канала. |
Ответ на ответ приглашенного на общий канал 3 | ChannelOwnerResponded | Владелец канала ответил на ответ пользователя, который ответил на приглашение общего канала. |
Полученные сообщения 1 | MessagesListed | Сообщения из чата или канала были получены. |
Отправлено сообщение со ссылкой НА URL-адрес в Teams | MessageCreatedHasLink | Пользователь отправляет сообщение, содержащее URL-ссылку в Teams. |
Уведомление об отправленных изменениях для создания сообщения 1 | MessageCreatedNotification | Было отправлено уведомление об изменении, чтобы уведомить приложение прослушивателя с подпиской о новом сообщении. |
Отправленное уведомление об изменении для удаления сообщения 1 | MessageDeletedNotification | Было отправлено уведомление об изменениях, чтобы уведомить приложение прослушивателя с подпиской об удаленном сообщении. |
Уведомление об изменении сообщения об обновлении 1 | MessageUpdatedNotification | Было отправлено уведомление об изменении, чтобы уведомить приложение прослушивателя с подпиской об обновленном сообщении. |
Отправленное приглашение для общего канала 3 | InviteSent | Владелец канала или участник отправляет приглашение на общий канал. Приглашения на общие каналы можно отправлять пользователям за пределами организации, если политика канала настроена для предоставления доступа к каналу внешним пользователям. |
Подписка на уведомления об изменении сообщений 1 | SubscribedToMessages | Подписка была создана приложением-прослушивателем для получения уведомлений об изменениях сообщений. |
Удалено приложение | AppUninstalled | Приложение было удалено. |
Обновленное приложение | AppUpdatedInCatalog | Приложение было обновлено в каталоге. |
Обновлен чат 1 | ChatUpdated | Обновлен чат Teams. |
Обновлено сообщение 1 | MessageUpdated | Обновлено сообщение чата или канала. |
Обновлен соединитель | ConnectorUpdated | Пользователь изменил соединитель в канале. |
Вкладка обновлена | TabUpdated | Пользователь изменил вкладку в канале. |
Обновленное приложение | AppUpgraded | Приложение обновлено до последней версии в каталоге. |
Пользователь вошел в Teams | TeamsSessionStarted | Пользователь входит в клиент Microsoft Teams. Это событие не фиксирует действия по обновлению маркера. |
Опубликовано новое сообщение 3,4,6, 8 | MessageSent | Новое сообщение было опубликовано в чате или канале. |
Примечание.
1 Запись аудита для этого события регистрируется только при выполнении операции путем вызова API Graph Майкрософт. Если операция выполняется в клиенте Teams, запись аудита не регистрируется.
2 Это событие доступно только в audit (Premium). Это означает, что пользователям должна быть назначена соответствующая лицензия, прежде чем эти события будут зарегистрированы в журнале аудита. Дополнительные сведения о действиях, доступных только в audit (Premium), см. в разделе Аудит (премиум) в Microsoft Purview. Требования к лицензированию для функции "Аудит" (премиум) см. в статье Решения для аудита в Microsoft 365.
3 Это событие находится в общедоступной предварительной версии.
4Это событие создается для чата только при наличии гостей, федеративных и (или) анонимных пользователей.
5 Это событие в настоящее время недоступно в облаке сообщества для государственных организаций (GCC), облаке сообщества для государственных организаций (GCC-High) и Министерстве обороны (DoD).
6 Это событие включается во всех участвующих клиентах для федеративных чатов.
7 Это событие содержит сведения о домене участника для федеративных чатов 1:1.
8 Это событие включается во все беседы чата между внешними пользователями Teams, управляемыми организацией, и внешними пользователями Teams, не управляемыми организацией.
9 Это событие в настоящее время недоступно в облаке сообщества для государственных организаций (GCC), но доступно в организациях Облака сообщества государственных организаций (GCC-High) и Министерства обороны (DOD).
Действия в сфере здравоохранения, связанные с Microsoft Teams
Если в вашей организации используется приложение "Пациенты" в Microsoft Teams, вы можете выполнять в журнале аудита поиск действий, связанных с использованием приложения "Пациенты". Если ваша среда настроена для поддержки приложения "Пациенты", в списке выбора Действия доступна дополнительная группа действий.
Описания действий приложения "Пациенты" см. в статье Журналы аудита приложения "Пациенты".
Действия, связанные с приложением "Смены" в Microsoft Teams
В следующей таблице перечислены действия приложения Shift в Microsoft Teams, которые регистрируются в журнале аудита Microsoft 365. Если в вашей организации используется приложение "Смены" в Microsoft Teams, вы можете выполнять в журнале аудита поиск действий, связанных с использованием приложения "Смены". Если ваша среда настроена для поддержки приложения "Смены", в списке выбора Действия доступна дополнительная группа действий.
Понятное имя | Операция | Описание |
---|---|---|
Добавлена группа планирования | ScheduleGroupAdded | Пользователь успешно добавляет в расписание новую группу планирования. |
Измененная группа планирования | ScheduleGroupEdited | Пользователь успешно изменяет группу планирования. |
Удаленная группа планирования | ScheduleGroupDeleted | Пользователь успешно удаляет группу планирования из расписания. |
Отозвали расписание | ScheduleWithdrawn | Пользователь успешно отзывает опубликованное расписание. |
Добавлена смена | ShiftДобавлено | Пользователь успешно добавляет смену. |
Измененная смена | ShiftEdited | Пользователь успешно изменяет смену. |
Удаленная смена | ShiftDeleted | Пользователь успешно удаляет смену. |
Добавлено время отгула | TimeOffAdded | Пользователь успешно добавляет время отгула по расписанию. |
Измененное время отгула | TimeOffEdited | Пользователь успешно изменяет время отгула. |
Удалено время отгула | TimeOffDeleted | Пользователь успешно удаляет время отгула. |
Добавлена открытая смена | OpenShiftAdded | Пользователь успешно добавляет открытую смену в группу планирования. |
Измененная открытая смена | OpenShiftEdited | Пользователь успешно изменяет открытую смену в группе планирования. |
Удалена открытая смена | OpenShiftDeleted | Пользователь успешно удаляет открытую смену из группы планирования. |
Общее расписание | ScheduleShared | Пользователь успешно предоставил общий доступ к расписанию команды для диапазона дат. |
Синхронизация с использованием часов времени | ClockedIn | Пользователь успешно выполняет часы с помощью часов времени. |
Время ожидания с помощью часов | ClockedOut | Пользователь успешно выполняет синхронизацию с помощью часов времени. |
Запуск перерыва с помощью часов времени | BreakStarted | Пользователь успешно запускает перерыв во время активного сеанса часов времени. |
Окончание перерыва с помощью часов времени | BreakEnded | Пользователь успешно завершает перерыв во время активного сеанса часов времени. |
Добавлена запись time clock | TimeClockEntryAdded | Пользователь успешно добавляет новую запись часов времени вручную в time sheet. |
Запись измененных часов времени | TimeClockEntryEdited | Пользователь успешно изменяет запись часов в таблице времени. |
Запись "Удаленные часы времени" | TimeClockEntryDeleted | Пользователь успешно удаляет запись time clock в time sheet. |
Добавлен запрос на смену | RequestAdded | Пользователь добавил запрос на смену. |
Ответ на запрос на смену | RequestRespondedTo | Пользователь ответил на запрос смены. |
Отмененный запрос на смену | RequestCancelled | Пользователь отменил запрос на смену. |
Изменен параметр расписания | ScheduleSettingChanged | Пользователь изменяет параметр в параметрах shifts. |
Добавлена интеграция с персоналом | WorkforceIntegrationДобавлено | Приложение Shifts интегрировано со сторонней системой. |
Сообщение о принятом отключении смены | OffShiftDialogAccepted | Пользователь подтверждает сообщение вне смены для доступа к Teams после смены. |
Действия microsoft Teams Обновления
В следующей таблице перечислены Обновления приложения в Microsoft Teams, которые регистрируются в журнале аудита Microsoft 365. Если ваша организация использует приложение Обновления в Microsoft Teams, вы можете найти в журнале аудита действия, связанные с , с помощью приложения Обновления. Если ваша среда настроена для поддержки Обновления приложений, в списке Средства выбора действий доступна дополнительная группа действий для этих действий.
Понятное имя | Операция | Описание |
---|---|---|
Создание запроса на обновление | CreateUpdateRequest | Пользователь успешно создает запрос на обновление. |
Изменение запроса на обновление | EditUpdateRequest | Пользователь открывает мастер редактирования запросов и нажимает кнопку Сохранить , чтобы подтвердить и сохранить любые изменения, либо включает или отключает запрос на обновление напрямую. |
Отправка обновления | SubmitUpdate | Пользователь успешно отправляет обновление. |
Просмотр сведений об одном обновлении | ViewUpdate | Пользователь просматривает сведения об обновлении. |
Действия Microsoft To Do
В следующей таблице перечислены действия в Microsoft To Do, зарегистрированные в журнале аудита Microsoft 365. Дополнительные сведения о Microsoft To Do см. в разделе Поддержка Microsoft To Do.
Примечание.
События аудита для действий Microsoft To Do требуют платной лицензии Project, план 1 (или выше) в дополнение к соответствующей лицензии Microsoft 365, которая включает права на аудит (премиум).
Понятное имя | Операция | Описание |
---|---|---|
Ссылка для общего доступа к папке | AcceptedSharingLinkOnFolder | Принятая ссылка общего доступа для папки. |
Вложение создано | ВложениеСоздать | Для задачи было создано вложение. |
Вложение обновлено | AttachmentUpdated | Вложение обновлено. |
Вложение удалено | AttachmentDeleted | Вложение удалено. |
Общий доступ к папке | FolderSharingLinkShared | Создал ссылку для общего доступа к папке. |
Связанная сущность удалена | LinkedEntityDeleted | Связанная сущность удалена. |
Связанная сущность обновлена | LinkedEntityUpdated | Связанная сущность обновлена. |
Созданная связанная сущность | LinkedEntityCreated | Создана связанная сущность задачи. |
Созданная подзадака | SubTaskCreated | Создана подзадада. |
Удалена подзадака | SubTaskDeleted | Удалена подзадаче. |
Обновлена подзадака | SubTaskUpdated | Обновлена подзадада. |
Созданная задача | TaskCreated | Задача создана. |
Задача удалена | TaskDeleted | Задача удалена. |
Чтение задачи | TaskRead | Задача была прочитана. |
Задача обновлена | TaskUpdated | Задача обновлена. |
Создан список задач | TaskListCreated | Был создан список задач. |
Чтение списка задач | TaskListRead | Был прочитан список задач. |
Список задач обновлен | TaskListUpdated | Список задач обновлен. |
Приглашенный пользователь | UserInvited | Приглашенный пользователь в папку. |
действия Microsoft Viva Insights
Viva Insights дает представление о том, как группы работают в вашей организации. В следующей таблице перечислены действия, выполняемые пользователями, которым назначена роль администратора или аналитика в Viva Insights. Пользователям с назначенной ролью аналитика полностью доступны все функции службы и возможность применения продукта для выполнения анализа. Пользователи, которым назначена роль администратора, могут настраивать параметры конфиденциальности и системные значения по умолчанию, а также могут подготавливать, передавать и проверять данные организации в Viva Insights. Дополнительные сведения см. в разделе Знакомство с Microsoft Viva Insights.
Понятное имя | Операция | Описание |
---|---|---|
Посещена ссылка OData | AccessedOdataLink | Аналитик посетил ссылку OData для запроса. |
Добавлен делегированный доступ | AddDelegates | Пользователь добавил делегированный доступ для аналитики организации или панели мониторинга Copilot. |
Отменен запрос | CanceledQuery | Аналитик отменил выполняемый запрос. |
Создано исключение из собрания | MeetingExclusionCreated | Аналитик создал правило исключения из собрания. |
Удален результат | DeletedResult | Аналитик удалил результат запроса. |
Скачан отчет | DownloadedReport | Аналитик скачал файл результата запроса. |
Выполнен запрос | ExecutedQuery | Аналитик выполнил запрос. |
Удален доступ к делегатам | RemoveDelegates | Пользователь удалил делегированный доступ для аналитики организации или панели мониторинга Copilot. |
Изменен параметр доступа к данным | UpdatedDataAccessSetting | Администратор обновил параметры доступа к данным. |
Изменен параметр конфиденциальности | UpdatedPrivacySetting | Администратор обновленные параметры конфиденциальности, например минимальный размер группы. |
Отправлены данные организации | UploadedOrgData | Администратор отправил файл данных организации. |
Пользователь вошел в систему* | UserLoggedIn | Пользователь выполнил вход в свою учетную запись Microsoft 365. |
Пользователь вышел из системы* | UserLoggedOff | Пользователь вышел из своей учетной записи Microsoft 365. |
Просмотрено | ViewedExplore | Аналитик просмотрел визуализации на одной или нескольких вкладках страницы просмотра. |
Примечание.
*событие действия Microsoft Entra входа и выхода создается при входе пользователя. Это действие регистрируется в журнале, даже если в вашей организации не включено Viva Insights. Дополнительные сведения о действиях входа пользователей см. в статье Журналы входа в Microsoft Entra ID.
Действия личной аналитики
В следующей таблице перечислены действия в личной аналитике, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о личной аналитике см. в Администратор руководстве по личной аналитике.
Понятное имя | Операция | Описание |
---|---|---|
Обновлены параметры MyAnalytics для организации | UpdatedOrganizationMyAnalyticsSettings | Администратор обновляет параметры уровня организации для личных аналитических сведений. |
Обновлены параметры MyAnalytics для пользователей | UpdatedUserMyAnalyticsSettings | Администратор обновляет параметры пользователей для личной аналитики. |
Карантинная деятельность
В следующей таблице перечислены действия на карантине, которые можно найти в журнале аудита. Дополнительные сведения о карантине см. в разделе Сообщения электронной почты на карантине.
Понятное имя | Операция | Описание |
---|---|---|
Удаленное карантинное сообщение | QuarantineDeleteMessage | Администратор или пользователь удалили сообщение электронной почты, которое было сочтено вредоносным. |
Отклонен запрос на выпуск сообщения карантина | QuarantineReleaseRequestDeny | Отказ администратора в запросе на выпуск от пользователя для сообщения электронной почты, которое было признано вредоносным. |
Экспортированное сообщение карантина | QuarantineExport | Администратор или пользователь экспортировал сообщение электронной почты, которое было сочтено вредоносным. |
Предварительно просмотренное сообщение на карантине | QuarantinePreview | Администратор или пользователь предварительно просмотрил сообщение электронной почты, которое было признано вредоносным. |
Выпущенное карантинное сообщение | QuarantineRelease | Администратор или пользователь выпустил сообщение электронной почты из карантина, которое было признано вредным. |
Сообщение о карантине запроса на выпуск | QuarantineReleaseRequest | Пользователь запросил освобождение сообщения электронной почты, которое было признано вредоносным. |
Просмотренный заголовок сообщения карантина | QuarantineViewHeader | Администратор или пользователь просмотрел заголовок сообщения электронной почты, которое было сочтено вредоносным. |
Действия отчетов
В таблице ниже перечислены действия для отчетов об использовании, которые регистрируются в журнале аудита Microsoft 365.
Понятное имя | Операция | Описание |
---|---|---|
Обновлены параметры конфиденциальности отчета об использовании | UpdateUsageReportsPrivacySetting | Администратор обновил параметры конфиденциальности для отчетов об использовании. |
Действия, связанные с политикой хранения и метками хранения
В следующей таблице описываются действия настройки политик хранения и меток хранения при их создании, перенастройке или удалении.
Понятное имя | Операция | Описание |
---|---|---|
Изменено членство в адаптивной области | ApplicableAdaptiveScopeChange | Пользователи, сайты или группы добавлены в адаптивную область или удалены из нее. Эти изменения являются результатами выполнения запроса области. Эти изменения были инициированы системой, поэтому в качестве имени пользователя отображается GUID, а не учетная запись пользователя. |
Настроены параметры политики хранения | NewRetentionComplianceRule | Администратор настроил параметры хранения для новой политики хранения. Параметры хранения включают срок хранения элементов и действия в отношении элементов по истечении срока хранения (например, удаление, хранение или хранение и последующее удаление элементов). Это действие также соответствует выполнению командлета New-RetentionComplianceRule. |
Адаптивная область создана | NewAdaptiveScope | Администратор создал адаптивную область. |
Создана метка хранения | NewComplianceTag | Администратор создал новую метку хранения. |
Создана политика хранения | NewRetentionCompliancePolicy | Администратор создал новую политику хранения. |
Адаптивная область удалена | RemoveAdaptiveScope | Администратор удалил адаптивную область. |
Удалены параметры из политики хранения | RemoveRetentionComplianceRule |
Администратор удалил параметры конфигурации политики хранения. Скорее всего, это действие регистрируется, когда администратор удаляет политику хранения или запускает командлет Remove-RetentionComplianceRule. |
Удалена метка хранения | RemoveComplianceTag | Администратор удалил метку хранения. |
Удалена политика хранения | RemoveRetentionCompliancePolicy |
Администратор удалил политику хранения. |
Включен параметр записи, отвечающей нормативным требованиям, для меток хранения |
SetRestrictiveRetentionUI | Администратор запустил командлет Set-RegulatoryComplianceUI, чтобы иметь возможность выбрать параметр конфигурации пользовательского интерфейса, позволяющий пометить содержимое как запись, отвечающую нормативным требованиям, с помощью метки хранения. |
Упреждающее хранение элемента электронной почты | ExchangeDataProactivelyPreserved | Адаптивная защита автоматически применила метку хранения для хранения элемента в Exchange. |
Упреждающее хранение файла | SharePointDataProactivelyPreserved | Адаптивная защита автоматически применила метку хранения для хранения элемента в SharePoint или OneDrive. |
Адаптивная область обновлена | SetAdaptiveScope | Администратор изменил описание или запрос для существующей адаптивной области. |
Обновлены параметры политики хранения | SetRetentionComplianceRule | Администратор изменил параметры хранения для существующей политики хранения. Параметры хранения включают срок хранения элементов и действия в отношении элементов по истечении срока хранения (например, удаление, хранение или хранение и последующее удаление элементов). Это действие также соответствует выполнению командлета Set-RetentionComplianceRule. |
Обновлена метка хранения | SetComplianceTag | Администратор обновил существующую метку хранения. |
Обновлена политика хранения | SetRetentionCompliancePolicy | Администратор обновил существующую политику хранения. К обновлениям, запускающим это событие, относятся добавление и исключение расположений контента, к которым применяется политика хранения. |
Действия, связанные с администрированием ролей
В следующей таблице перечислены Microsoft Entra действия администрирования ролей, которые регистрируются, когда администратор управляет ролями администратора в Центр администрирования Microsoft 365 или на портале управления Azure.
Примечание.
Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( .
). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" "
).
Понятное имя | Операция | Описание |
---|---|---|
В роль добавлен участник | В роль добавлен участник. | Добавил пользователя к роли администратора в Microsoft 365. |
Из роли каталога удален пользователь | Удаление участника из роли. | Удален пользователь из роли администратора в Microsoft 365. |
Настройка контактных данных компании | Настройка контактных данных компании. | Обновлены параметры контактов на уровне компании для вашей организации. Сюда входят адреса электронной почты для подписки, отправляемой Microsoft 365, и технические уведомления об услугах. |
Действия типов конфиденциальной информации
В следующей таблице описаны события аудита для действий, связанных с созданием и обновлением типов конфиденциальной информации.
Понятное имя | Операция | Описание |
---|---|---|
Создан новый тип конфиденциальной информации | CreateRulePackage / EditRulePackage* |
Создан новый тип конфиденциальной информации. Сюда входят все SIT,созданные путем копирования из коробки SIT. Примечание. Это действие показано в действиях аудита "Созданный пакет правил" или "Измененный пакет правил". |
Изменен тип конфиденциальной информации | EditRulePackage | Изменен существующий тип конфиденциальной информации. Сюда могут входить такие операции, как добавление или удаление шаблона и редактирование регулярного выражения или ключевое слово, связанных с типом конфиденциальной информации. Заметка: Это действие всплывает в действии аудита "Измененный пакет правил". |
Удален тип конфиденциальной информации | EditRulePackage / RemoveRulePackage | Существующий тип конфиденциальной информации удален. Заметка: Это действие будет отображаться в действии аудита "Измененный пакет правил" или "Удаленный пакет правил". |
Действия с метками конфиденциальности
В следующей таблице перечислены события, которые возникают в результате использования меток конфиденциальности с сайтами и элементами, управляемыми Microsoft Purview. К элементам относятся документы, сообщения электронной почты и события календаря. Для политик автоматической маркировки элементы также включают файлы и схематизированные ресурсы данных в Схема данных Microsoft Purview.
Понятное имя | Операция | Описание |
---|---|---|
Метка конфиденциальности применена к сайту | SiteSensitivityLabelApplied | Метка конфиденциальности была применена к сайту SharePoint или сайту Teams, который не подключен к группе. |
Метка конфиденциальности, примененная к сайту, удалена | SiteSensitivityLabelRemoved | Метка конфиденциальности была удалена с сайта SharePoint или сайта Teams, который не подключен к группе. |
Метка конфиденциальности применена к файлу | FileSensitivityLabelApplied SensitivityLabelApplied |
Метка конфиденциальности была применена к элементу с помощью приложений Microsoft 365, Office для Интернета или политики автоматической маркировки. Операции для этого действия различаются в зависимости от того, как была применена метка: — Office для Интернета или политики автоматической маркировки (FileSensitivityLabelApplied) — Приложения Microsoft 365 (SensitivityLabelApplied) |
Метка конфиденциальности, примененная к файлу, изменена | FileSensitivityLabelChanged SensitivityLabelUpdated |
К элементу применена другая метка конфиденциальности. Операции для этого действия отличаются в зависимости от изменения метки: — Office для Интернета или политики автоматической маркировки (FileSensitivityLabelChanged) - Приложения Microsoft 365 (SensitivityLabelUpdated) |
На сайте изменена метка конфиденциальности | SiteSensitivityLabelChanged | К сайту SharePoint или сайту Teams, который не подключен к группе, применена другая метка конфиденциальности. |
Метка конфиденциальности, примененная к файлу, удалена | FileSensitivityLabelRemoved SensitivityLabelRemoved |
Метка конфиденциальности была удалена из элемента с помощью приложений Microsoft 365, Office для Интернета, политики автоматической маркировки или командлета Unlock-SPOSensitivityLabelEncryptedFile. Операции для этого действия различаются в зависимости от того, как была удалена метка: — Office для Интернета или политики автоматической маркировки (FileSensitivityLabelRemoved) — Приложения Microsoft 365 (SensitivityLabelRemoved) |
Дополнительные сведения об аудите меток конфиденциальности:
- При использовании меток конфиденциальности для Группы Microsoft 365 и, следовательно, сайтов Teams, подключенных к группам, эти метки проверяются с помощью управления группами в Microsoft Entra ID. Дополнительные сведения см. в разделе Журналы аудита в Microsoft Entra ID.
- При использовании меток конфиденциальности для приглашений на собрания Teams, параметров собраний и чата Teams см. статью Поиск событий в Microsoft Teams в журнале аудита.
- При использовании меток конфиденциальности в Power BI см. статью Аудит схемы меток конфиденциальности в Power BI.
- При использовании меток конфиденциальности с Microsoft Defender для облачных приложений см. статью Управление подключенными приложениями и сведения о метках для действий по управлению файлами.
- При применении меток конфиденциальности с помощью клиента или сканера Защита информации Microsoft Purview или пакета SDK microsoft Information Protection (MIP) см. статью Справочник по журналу аудита Information Protection Azure.
Действия, связанные со списками SharePoint
В таблице ниже описаны действия, относящиеся к взаимодействию пользователей со списками и элементами списков в SharePoint Online. Записи аудита для некоторых действий SharePoint указывают, app@sharepoint пользователь выполнил действие от имени пользователя или администратора, который инициировал действие. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.
Понятное имя | Операция | Описание |
---|---|---|
Создан список | ListCreated | Пользователь создал список SharePoint. |
Создан столбец списка | ListColumnCreated | Пользователь создал столбец списка SharePoint. Столбец списка — это столбец, прикрепленный к одному или нескольким спискам SharePoint. |
Создан тип контента списка | ListContentTypeCreated | Пользователь создал тип контента списка. Тип контента списка — это тип контента, прикрепленный к одному или нескольким спискам SharePoint. |
Создан элемент списка | ListItemCreated | Пользователь создал элемент в существующем списке SharePoint. |
Создан столбец сайта | SiteColumnCreated | Пользователь создал столбец сайта SharePoint. Столбец сайта — это столбец, не прикрепленный к списку. Столбец сайта также является структурой метаданных, которую можно использовать в любом списке на определенном веб-сайте. |
Создан тип контента сайта | Создан объект ContentType сайта | Пользователь создал тип контента сайта. Тип контента сайта — это тип контента, прикрепленный к родительскому сайту. |
Удален список | ListDeleted | Пользователь удалил список SharePoint. |
Удален столбец списка | Столбец списка удален | Пользователь удалил столбец списка SharePoint. |
Удален тип контента списка | ListContentTypeDeleted | Пользователь удалил тип контента списка. |
Удален элемент списка | Элемент списка удален | Пользователь удалил элемент списка SharePoint. |
Удален столбец сайта | SiteColumnDeleted | Пользователь удалил столбец сайта SharePoint. |
Удален тип контента сайта | SiteContentTypeDeleted | Пользователь удалил тип контента сайта. |
Перемещен в корзину элемент списка | ListItemRecycled | Пользователь переместил элемент списка SharePoint в корзину. |
Восстановлен список | ListRestored | Пользователь восстановил список SharePoint из корзины. |
Восстановлен элемент списка | ListItemRestored | Пользователь восстановил элемент списка SharePoint из корзины. |
Обновлен список | ListUpdated | Пользователь обновил список SharePoint, изменив одно или несколько свойств. |
Обновлен столбец списка | ListColumnUpdated | Пользователь обновил столбец списка SharePoint, изменив одно или несколько свойств. |
Обновлен тип контента списка | ListContentTypeUpdated | Пользователь обновил тип контента списка, изменив одно или несколько свойств. |
Обновлен элемент списка | ListItemUpdated | Пользователь обновил элемент списка SharePoint, изменив одно или несколько свойств. |
Обновленное представление списка | ListViewUpdated | Пользователь обновил представление списка SharePoint, изменив одно или несколько свойств. |
Обновлен столбец сайта | SiteColumnUpdated | Пользователь обновил столбец сайта SharePoint, изменив одно или несколько свойств. |
Обновлен тип контента сайта | SiteContentTypeUpdated | Пользователь обновил тип контента сайта, изменив одно или несколько свойств. |
Действия, связанные с общим доступом и запросами на доступ
В таблице ниже описаны действия, связанные с общим доступом и запросами на доступ пользователей в SharePoint Online и OneDrive для бизнеса. Для совместного доступа к событиям столбец Сведения в разделе Результаты определяет имя пользователя или группы, которым предоставлен общий доступ к элементу, а также их тип (участник или гость организации). Для получения дополнительной информации см. раздел Использование аудита совместного использования в журнале аудита.
Примечание.
Пользователи могут быть членами или гостями на основе свойства UserType объекта пользователя. Как правило, участник — это сотрудник, а гость — подрядчик за пределами организации. Когда пользователь принимает приглашение к общему доступу (и при этом еще не входит в состав организации), для него создается гостевая учетная запись в каталоге организации. После того как для гостевого пользователя будет создана учетная запись в каталоге, ему можно будет напрямую предоставлять общий доступ к ресурсам (без приглашения).
Понятное имя | Операция | Описание |
---|---|---|
Добавлен уровень разрешений для семейства веб-сайтов | PermissionLevelAdded | Для семейства веб-сайтов добавлен уровень разрешений. |
Запрос на доступ принят | AccessRequestAccepted | Запрос на доступ к сайту, папке или документу принят, и запросившему пользователю предоставлен доступ. |
Приглашение к совместному использованию принято | SharingInvitationAccepted | Пользователь (участник или гость) принял приглашение на общий доступ и получил доступ к ресурсу. Это событие содержит сведения о пользователе, который был приглашен, и адресе электронной почты, который использовался для принятия приглашения (они могут различаться). Это действие зачастую сопровождается вторым событием, которое описывает способ предоставления пользователю доступа к ресурсу, например его добавление в группу, у которой есть такой доступ. |
Заблокировано приглашение к совместному использованию | SharingInvitationBlocked | Приглашение к общему доступу, отправленное пользователем вашей организации, заблокировано из-за политики внешнего общего доступа, которая разрешает или запрещает внешний доступ, исходя из домена целевого пользователя. В данном случае приглашение к общему доступу было заблокировано по одной из следующих причин: Домен целевого пользователя не входит в список разрешенных доменов. ИЛИ Домен целевого пользователя включен в список блокируемых доменов. Дополнительные сведения о разрешении и блокировании внешнего общего доступа в зависимости от домена см. в статье Ограничение общего доступа для доменов в SharePoint Online и OneDrive для бизнеса. |
Создан запрос на доступ | AccessRequestCreated | Пользователь запрашивает доступ к сайту, папке или документу, на доступ к которым у него нет разрешений. |
Создана ссылка общего доступа для компании | CompanyLinkCreated | Пользователь создал на уровне организации ссылку на ресурс. Ссылки на уровне организации могут использовать только участники вашей организации. Их не могут использовать гости. |
Создана анонимная ссылка | AnonymousLinkCreated | Пользователь создал анонимную ссылку на ресурс. По этой ссылке любой пользователь может получить доступ к ресурсу без проверки подлинности. |
Создана безопасная ссылка | SecureLinkCreated | Для элемента создана безопасная ссылка общего доступа. |
Приглашение к совместному использованию создано | SharingInvitationCreated | Пользователь предоставил общий доступ к ресурсу в SharePoint Online или OneDrive для бизнеса другому пользователю, отсутствующему в каталоге организации. |
Удалена безопасная ссылка | SecureLinkDeleted | Безопасная ссылка общего доступа была удалена. |
Отклонен запрос на доступ | AccessRequestDenied | Запрос на доступ к сайту, папке или документу отклонен. |
Удалена корпоративная ссылка для общего доступа | CompanyLinkRemoved | Пользователь удалил корпоративную ссылку на ресурс. Эту ссылку больше нельзя использовать для доступа к ресурсу. |
Удалена анонимная ссылка | AnonymousLinkRemoved | Пользователь удалил анонимную ссылку на ресурс. Эту ссылку больше нельзя использовать для доступа к ресурсу. |
Предоставлен общий доступ к файлу, папке или сайту | SharingSet | Пользователь (участник или гость) предоставил общий доступ к файлу, папке или сайту в SharePoint или OneDrive для бизнеса другому пользователю, присутствующему в каталоге организации. Значение в столбце Сведения для этого действия определяет имя пользователя, которому был предоставлен общий доступ к ресурсу, и его тип (участник или гость). Это действие зачастую сопровождается вторым событием, описывающим способ предоставления пользователю доступа к ресурсу. Например, его добавление в группу, у которой есть такой доступ. |
Обновлен запрос на доступ | AccessRequestUpdated | Запрос на доступ к элементу был обновлен. |
Обновлена анонимная ссылка | AnonymousLinkUpdated | Пользователь обновил анонимную ссылку на ресурс. При экспорте результатов поиска обновленное поле добавляется в свойство EventData. |
Обновлено приглашение к совместному использованию | SharingInvitationUpdated | Приглашение к внешнему общему доступу было обновлено. |
Использована анонимная ссылка | AnonymousLinkUsed | Анонимный пользователь обратился к ресурсу по анонимной ссылке. Личность пользователя может быть неизвестна, однако можно получить другие сведения, такие как его IP-адрес. |
Отменен общий доступ к файлу, папке или сайту | SharingRevoked | Пользователь (участник или гость) отменил общий доступ к файлу, папке или сайту, к которым ранее был предоставлен общий доступ другому пользователю. |
Использована ссылка общего доступа для компании | CompanyLinkUsed | Пользователь обратился к ресурсу по ссылке на уровне организации. |
Использована безопасная ссылка | SecureLinkUsed | Пользователь использовал безопасную ссылку. |
Пользователь добавлен в безопасную ссылку | AddedToSecureLink | Пользователь был добавлен в список объектов, которые могут использовать безопасную ссылку для общего доступа. |
Пользователь удален из безопасной ссылки | RemovedFromSecureLink | Пользователь был удален из списка объектов, которые могут использовать безопасную ссылку для общего доступа. |
Приглашение к совместному использованию отозвано | SharingInvitationRevoked | Пользователь отозвал приглашение на общий доступ к ресурсу. |
Действия, связанные с администрированием сайта
В таблице ниже перечислены события, возникающие в результате действий по администрированию сайта в SharePoint Online. Как упоминалось ранее, записи аудита для некоторых действий SharePoint указывают на то, app@sharepoint пользователь выполнил действия от имени пользователя или администратора, который инициировал действие. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
Понятное имя | Операция | Описание |
---|---|---|
Добавлено разрешенное расположение данных | AllowedDataLocationAdded | Администратор SharePoint или глобальный администратор добавил разрешенное расположение данных в среду с поддержкой нескольких регионов. |
Добавлен исключаемый агент пользователя | ExemptUserAgentSet | Администратор SharePoint или глобальный администратор добавил агента пользователя в список исключаемых агентов пользователя в Центре администрирования SharePoint. |
Добавлен администратор географического расположения | GeoAdminAdded | Администратор SharePoint или глобальный администратор добавил пользователя в качестве администратора географического расположения. |
Пользователю разрешено создавать группы | AllowGroupCreationSet | Администратор или владелец сайта добавляет уровень разрешений для сайта, позволяющий пользователю создавать группы на этом сайте. |
Отменено географическое перемещение сайта | SiteGeoMoveCancelled | Администратор SharePoint или глобальный администратор успешно отменяет географические перемещения сайта SharePoint или OneDrive. Возможность Multi-Geo позволяет организации охватывать несколько географических центров Microsoft, которые называются geos. Дополнительную информацию см. в разделе Многофункциональные возможности в OneDrive и SharePoint Online. |
Изменена политика общего доступа | SharingPolicyChanged | Администратор SharePoint или глобальный администратор изменил политику общего доступа SharePoint с помощью Центра администрирования Microsoft 365, Центра администрирования SharePoint или командной консоли SharePoint Online. Любое изменение параметров политики общего доступа в организации регистрируется в журнале. Измененная политика указывается в поле ModifiedProperties подробных свойств записи о событии. |
Изменена политика доступа к устройству | DeviceAccessPolicyChanged | Администратор SharePoint или глобальный администратор изменил политику неуправляемых устройств для организации. Эта политика контролирует доступ к SharePoint, OneDrive и Microsoft 365 с устройств, которые не подключены к вашей организации. Для настройки этой политики необходима подписка на Enterprise Mobility + Security. Дополнительные сведения см. в статье Управление доступом с неуправляемых устройств. |
Изменены исключаемые агенты пользователя | CustomizeExemptUsers | Администратор SharePoint или глобальный администратор настроил список исключаемых агентов пользователя в Центре администрирования SharePoint. Вы можете указать, какие агенты пользователя не должны получать веб-страницы полностью для индексации. Это означает, что когда агент пользователя, указанный как исключение, сталкивается с формой InfoPath, форма возвращается в виде XML-файла, а не всей веб-страницы. Это позволяет ускорить индексацию форм InfoPath. |
Изменена политика доступа к сети | NetworkAccessPolicyChanged | Администратор SharePoint или глобальный администратор изменил политику доступа по расположению (также называемую границей надежной сети) в Центре администрирования SharePoint или с помощью SharePoint Online PowerShell. Политика этого типа регулирует доступ к ресурсам SharePoint и OneDrive в организации на основе указанных вами диапазонов авторизованных IP-адресов. Дополнительные сведения см. в статье Управление доступом к данным SharePoint Online и OneDrive на основе сетевых расположений. |
Завершенное задание миграции | MigrationJobCompleted | Задание миграции успешно завершено. |
Завершено географическое перемещение сайта | SiteGeoMoveCompleted | Географическое перемещение сайта, запланированное глобальным администратором организации, успешно выполнено. Возможность Multi-Geo позволяет организации охватывать несколько географических центров Microsoft, которые называются geos. Дополнительную информацию см. в разделе Многофункциональные возможности в OneDrive и SharePoint Online. |
Создано подключение "Отправить пользователю" | SendToConnectionAdded | Администратор SharePoint или глобальный администратор создает подключение для отправки на странице управления записями в Центре администрирования SharePoint. Подключение для отправки определяет параметры для репозитория документов или центра записей. После создания подключения отправки организатор контента может отправлять документы в указанное расположение. |
Создано семейство веб-сайтов | SiteCollectionCreated | Администратор SharePoint или глобальный администратор создает семейство веб-сайтов в организации SharePoint Online или пользователь подготавливает свой сайт OneDrive для бизнеса. |
Удален потерянный центральный сайт | HubSiteOrphanHubDeleted | Администратор SharePoint или глобальный администратор удалил потерянный центральный сайт, у которого отсутствуют связанные с ним сайты. Возникновение потерянного центрального сайта, скорее всего, вызвано удалением исходного центрального сайта. |
Удалены подключения "Отправить пользователю" | SendToConnectionRemoved | Администратор SharePoint или глобальный администратор удаляет подключение для отправки на странице управления записями в Центре администрирования SharePoint. |
Удален сайт | SiteDeleted | Администратор сайта удаляет сайт. |
Включен предварительный просмотр документов | PreviewModeEnabledSet | Администратор сайта включает предварительный просмотр документов для сайта. |
Включен устаревший рабочий процесс | LegacyWorkflowEnabledSet | Администратор или владелец сайта добавляет тип контента задачи рабочего процесса SharePoint 2013 на сайт. Глобальные администраторы также могут включить рабочие процессы для всей организации в Центре администрирования SharePoint. |
Включен Office по запросу | OfficeOnDemandSet | Администратор сайта включает функцию "Office по запросу", с помощью которой пользователи могут получать доступ к последней версии классических приложений Office. Office on Demand включен в центре администрирования SharePoint и требует подписку Microsoft 365, которая включает в себя полные установленные приложения Office. |
Включен источник результатов для поиска людей | PeopleResultsScopeSet | Администратор сайта создает источник результатов для функции "Поиск людей" на сайте. |
Включены RSS-каналы | NewsFeedEnabledSet | Администратор или владелец сайта включает RSS-каналы для сайта. Глобальные администраторы могут включить RSS-каналы для всей организации в Центре администрирования SharePoint. |
Сайт присоединен к центральному сайту | HubSiteJoined | Владелец сайта связывает свой сайт с центральным сайтом. |
Изменена квота семейства веб-сайтов | SiteCollectionQuotaModified | Администратор сайта изменяет квоту для семейства веб-сайтов. |
Зарегистрирован центральный сайт | HubSiteRegistered | Администратор SharePoint или глобальный администратор создает центральный сайт. В результате сайт будет зарегистрирован как центральный сайт. |
Удалено разрешенное расположение данных | AllowedDataLocationDeleted | Администратор SharePoint или глобальный администратор удалил разрешенное расположение данных из среды с поддержкой нескольких регионов. |
Удален администратор географического расположения | GeoAdminDeleted | Администратор SharePoint или глобальный администратор удалил пользователя из роли администратора географического расположения. |
Переименован сайт | SiteRenamed | Администратор или владелец сайта переименовывает сайт. |
Запланировано географическое перемещение сайта | SiteGeoMoveScheduled | Администратор SharePoint или глобальный администратор успешно планирует географическое перемещение сайта SharePoint или OneDrive. Возможность Multi-Geo позволяет организации охватывать несколько географических центров Microsoft, которые называются geos. Дополнительную информацию см. в разделе Многофункциональные возможности в OneDrive и SharePoint Online. |
Настроен сайт узла | HostSiteSet | Администратор SharePoint или глобальный администратор изменяет сайт, назначенный для размещения личных сайтов или сайтов OneDrive для бизнеса. |
Задана квота хранилища для географического расположения | GeoQuotaAllocated | Администратор SharePoint или глобальный администратор настроил квоту хранилища для географического расположения в среде с поддержкой нескольких регионов. |
Сайт отсоединен от центрального сайта | HubSiteUnjoined | Владелец сайта отсоединяет свой сайт от центрального сайта. |
Отменена регистрация центрального сайта | HubSiteUnregistered | Администратор SharePoint или глобальный администратор отменяет регистрацию сайта в качестве центрального сайта. При отмене регистрации центрального сайта он перестает выполнять функции центрального сайта. |
Действия, связанные с разрешениями для сайтов
В таблице ниже перечислены события, связанные с назначением разрешений в SharePoint и использованием групп для предоставления (и отзыва) доступа к сайтам. Как упоминалось ранее, записи аудита для некоторых действий SharePoint указывают на то, app@sharepoint пользователь выполнил действия от имени пользователя или администратора, который инициировал действие. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.
Понятное имя | Операция | Описание |
---|---|---|
Добавлен администратор семейства веб-сайтов | SiteCollectionAdminAdded | Администратор или владелец семейства веб-сайтов добавляет пользователя в качестве администратора семейства веб-сайтов для сайта. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам. Это действие также записывается в журнал, когда администратор предоставляет себе доступ к учетной записи OneDrive пользователя (путем изменения профиля пользователя в Центре администрирования SharePoint или с помощью Центра администрирования Microsoft 365). |
В группу SharePoint добавлен пользователь или группа | AddedToGroup | Пользователь добавил участника или гостя в группу SharePoint. Это может быть как намеренным действием, так и результатом другого действия, например события предоставления общего доступа. |
Нарушено наследование уровня разрешений | PermissionLevelsInheritanceBroken | В результате изменения элемент больше не наследует уровни разрешений от родительского элемента. |
Нарушено наследование общего доступа | SharingInheritanceBroken | В результате изменения элемент больше не наследует разрешения на общий доступ от родительского элемента. |
Создана группа | GroupAdded | Администратор или владелец сайта создает группу для сайта или выполняет задачу, приводящую к созданию группы. Например, когда пользователь впервые создает ссылку на общий доступ к файлу, на сайт OneDrive для бизнеса этого пользователя добавляется системная группа. Это событие также может возникнуть, если пользователь создал ссылку с разрешениями на внесение изменений в общий файл. |
Удалена группа | GroupRemoved | Пользователь удаляет группу с сайта. |
Изменен параметр запроса доступа | WebRequestAccessModified | Параметры запросов на доступ изменились на сайте. |
Изменен параметр "Участники могут предоставлять доступ" | WebMembersCanShareModified | Параметр Участники могут предоставлять доступ был изменен на сайте. |
Изменен уровень разрешений для семейства веб-сайтов | PermissionLevelModified | В семействе веб-сайтов изменен уровень разрешений. |
Изменены разрешения сайта | SitePermissionsModified | Администратор или владелец сайта (либо системная учетная запись) изменяет уровень разрешений, назначенный группе на сайте. Это действие также записывается в журнал при удалении всех разрешений, назначенных группе. ПРИМЕЧАНИЕ. Эту операцию не рекомендуется использовать в SharePoint Online. Чтобы обнаружить связанные события, можно найти другие действия, связанные с разрешениями, например Добавлен администратор семейства веб-сайтов, В группу SharePoint добавлен пользователь или группа, Пользователю разрешено создавать группы, Создана группа и Удалена группа. |
Удален уровень разрешений для семейства веб-сайтов | PermissionLevelRemoved | Из семейства веб-сайтов удален уровень разрешений. |
Удален администратор семейства веб-сайтов | SiteCollectionAdminRemoved | Администратор или владелец семейства веб-сайтов удаляет пользователя из роли администратора семейства веб-сайтов для сайта. Это действие также записывается в журнал, когда администратор удаляет себя из списка администраторов семейства веб-сайтов для учетной записи OneDrive пользователя (путем изменения профиля пользователя в Центре администрирования SharePoint). Чтобы вернуть это действие в результатах поиска по журналу аудита, необходимо выполнить поиск по всем действиям. |
Из группы SharePoint удален пользователь или группа | RemovedFromGroup | Пользователь удалил участника или гостя из группы SharePoint. Это может быть как намеренным действием, так и результатом другого действия, например события отмены общего доступа. |
Запрошены разрешения администратора сайта | SiteAdminChangeRequest | Пользователь отправил запрос на добавление себя в качестве администратора семейства веб-сайтов. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам. |
Восстановлено наследование общего доступа | SharingInheritanceReset | Выполнено изменение, в результате которого элемент снова наследует разрешения общего доступа от родительского элемента. |
Обновлена группа | GroupUpdated | Администратор или владелец сайта изменяет параметры группы для сайта. Это может быть изменение имени группы, списка пользователей, которые могут просматривать или изменять состав группы, а также способа обработки запросов на вступление в группу. |
Действия, связанные с синхронизацией
В таблице ниже перечислены действия, связанные с синхронизацией файлов в SharePoint Online и OneDrive для бизнеса.
Понятное имя | Операция | Описание |
---|---|---|
Компьютеру разрешено синхронизировать файлы | ManagedSyncClientAllowed | Пользователь успешно устанавливает отношение синхронизации с сайтом. Отношение синхронизации установлено успешно, так как компьютер пользователя входит в домен, добавленный в список доменов (так называемый список надежных получателей) и позволяющий получить доступ к библиотекам документов в вашей организации. Подробнее об этой функции см. в статье Использование командлетов Windows PowerShell для обеспечения синхронизации OneDrive для доменов, включенных в список надежных получателей. |
На компьютере заблокирована синхронизация файлов | UnmanagedSyncClientBlocked | Пользователь пытается установить связь синхронизации с сайтом с компьютера, который не является членом домена вашей организации или членом домена, который не был добавлен в список доменов (список надежных получателей), который может получить доступ к библиотекам документов в вашей организации. Связь синхронизации запрещена, и компьютер пользователя блокирует синхронизацию, скачивание или отправку файлов в библиотеку документов. Подробнее об этой функции см. в статье Использование командлетов Windows PowerShell для включения синхронизации OneDrive для доменов, включенных в список надежных получателей. |
На компьютер скачаны файлы | FileSyncDownloadedFull | Пользователь скачивает файл на свой компьютер из библиотеки документов SharePoint или OneDrive для бизнеса с помощью приложения синхронизации OneDrive (OneDrive.exe). |
На компьютер скачаны изменения в файле | FileSyncDownloadedPartial | Это событие, а также старое приложение синхронизации OneDrive для бизнеса (Groove.exe) больше не поддерживаются. |
Файлы выложены в библиотеку документов | FileSyncUploadedFull | Пользователь отправляет новый файл или изменения файла в библиотеку документов SharePoint или OneDrive для бизнеса с помощью приложения синхронизации OneDrive (OneDrive.exe). |
Изменения в файле выложены в библиотеку документов | FileSyncUploadedPartial | Это событие, а также старое приложение синхронизации OneDrive для бизнеса (Groove.exe) больше не поддерживаются. |
Действия SystemSync
В таблице ниже перечислены действия SystemSync, зарегистрированные в журнале аудита Microsoft 365.
Понятное имя | Операция | Описание |
---|---|---|
Создан общий ресурс данных | DataShareCreated | При создании экспорта данных пользователем. |
Удален общий ресурс данных | DataShareDeleted | При удалении экспорта данных пользователем. |
Создание копии данных озера | GenerateCopyOfLakeData | При создании копии данных озера. |
Скачивание копии данных озера | DownloadCopyOfLakeData | При скачивании копии данных озера. |
Действия, связанные с администрированием пользователей
В таблице ниже перечислены действия по администрированию пользователей, которые регистрируются, когда администратор добавляет или изменяет учетную запись пользователя в Центре администрирования Microsoft 365 или на портале управления Azure.
Примечание.
Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( .
). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" "
).
Действие | Операция | Описание |
---|---|---|
Добавлен пользователь | Добавление пользователя. | Учетная запись пользователя была создана. |
Изменена лицензия пользователя | Изменение лицензии пользователя. | Лицензия, назначенная пользователю, изменилась. Чтобы узнать, какие лицензии изменились, просмотрите соответствующее действие Обновлен пользователь. |
Изменен пароль пользователя | Смена пароля пользователя. | Пользователь изменяет пароль. В организации необходимо включить самостоятельный сброс пароля (для всех или для выбранных пользователей), чтобы пользователи могли сбрасывать пароль. Вы также можете отслеживать действия самостоятельного сброса пароля в Microsoft Entra ID. Дополнительные сведения см. в разделе Параметры отчетов для управления паролями Microsoft Entra. |
Удален пользователь | Удаление пользователя. | Учетная запись пользователя была удалена. |
Сброшен пароль пользователя | Сброс пароля пользователя. | Администратор сбрасывает пароль пользователя. |
Назначено свойство, которое заставляет пользователей изменить пароль | Установка принудительной смены пароля пользователя. | Администратор установил свойство, предписывающее пользователю сменить пароль при следующем входе в Microsoft 365. |
Настроить свойства лицензии | Настройка свойств лицензии. | Администратор изменяет свойства лицензии, назначенной пользователю. |
Обновлен пользователь | Обновление пользователя. | Администратор изменяет одно или несколько свойств учетной записи пользователя. Список свойств пользователя, которые можно обновить, см. в разделе "Обновление атрибутов пользователя" статьи Microsoft Entra событиях отчета аудита. |
действия Viva Goals
В следующей таблице перечислены действия пользователей и администраторов в Viva Goals, которые регистрируются для аудита. Таблица содержит понятное имя, отображаемое в столбце Действия, и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.
Выполните поиск в журнале аудита , как найти журналы аудита на портале Microsoft Purview и на портале соответствия требованиям. Пользователь должен быть глобальным администратором или иметь разрешения на чтение аудита для доступа к журналам аудита. С помощью фильтра Действия можно искать определенные действия и выводить список всех Viva Goals действий, которые можно выбрать "VivaGoals" в фильтре типа записи. Вы также можете использовать поля диапазона дат и список Пользователи, чтобы еще больше сузить результаты поиска.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
Понятное имя | Операция | Описание |
---|---|---|
Организация создана | Организация создана | Администратор или пользователь создал новую организацию на Viva Goals. |
Пользователь добавлен | Пользователь добавлен | Новый пользователь был добавлен в организацию на Viva Goals. |
Пользователь отключен | Пользователь отключен | Пользователь отключен в организации. |
Пользователь удален | Пользователь удален | Пользователь был удален из организации Viva Goals. |
Пользователь вошел в систему | Пользователь вошел в систему | Пользователь вошел в Viva Goals. |
Добавлена команда | Добавлена команда | В Viva Goals в организации создана новая команда. |
Команда обновлена | Команда обновлена | Команда в организации на Viva Goals была изменена или обновлена. |
Команда удалена | Команда удалена | Команда в организации на Viva Goals была удалена пользователем. |
Экспортированные данные | Экспортированные данные | Пользователь экспортировал список OKR или список пользователей в организации на Viva Goals. |
Goals политика обновлена | Goals политика обновлена | Глобальный администратор изменил политику или параметры на уровне клиента на Viva Goals. Например, глобальный администратор настроил, кто может создавать организации на Viva Goals. |
Обновлены параметры организации | Обновлены параметры организации | Пользователь (обычно владельцы или администраторы организации) обновил параметры организации в Viva Goals. |
Обновлены интеграции организации | Обновлены интеграции организации | Пользователь (обычно владельцы или администраторы организации) настроил стороннюю интеграцию или обновил существующую стороннюю интеграцию для организации на Viva Goals. |
OKR или project created | OKR или project created | Пользователь создал OKR или Project на Viva Goals. |
OkR или Project обновлены | OkR или Project обновлены | OkR/Project был изменен или пользователь включил проверка или интеграцию с Viva Goals. |
OkR или Project удалены | OkR или Project удалены | Пользователь удалил OKR или Project. |
Созданная панель мониторинга | Созданная панель мониторинга | Пользователь создал новую панель мониторинга на Viva Goals |
Обновлена панель мониторинга | Обновлена панель мониторинга | Пользователь обновил панель мониторинга на Viva Goals |
Удалена панель мониторинга | Удалена панель мониторинга | Пользователь удалил панель мониторинга на Viva Goals. |
действия Viva Engage
В следующей таблице перечислены действия пользователей и администраторов в Viva Engage, зарегистрированные в журнале аудита. Чтобы вернуть действия, связанные с Viva Engage, из журнала аудита необходимо выбрать Пункт Показать результаты для всех действий в списке Действия. Уточнить результаты поиска можно с помощью полей диапазона дат и списка Пользователи.
Примечание.
Некоторые Viva Engage действия аудита доступны только в разделе Аудит (Премиум). Это означает, что пользователям необходимо назначить соответствующую лицензию, прежде чем эти действия будут зарегистрированы в журнале аудита. Дополнительные сведения см. в разделе Аудит (премиум). Требования к лицензированию для функции "Аудит" (премиум) см. в статье Решения для аудита в Microsoft 365.
В следующей таблице действия, доступные в функции "Аудит" (премиум), выделены звездочкой (*).
Понятное имя | Операция | Описание |
---|---|---|
Добавлен корпоративный коммуникатор | AddUserRole | Пользователь назначается в качестве корпоративного коммуникатора. |
Изменена настраиваемая политика использования | UsagePolicyUpdated | Администратор клиента обновляет настраиваемую политику использования. |
Changed data retention policy (Изменена политика хранения данных) | SoftDeleteSettingsUpdated | Проверенный администратор изменяет значение параметра сетевой политики хранения данных — задает необратимое или обратимое удаление. Это действие могут выполнять только проверенные администраторы. |
Изменена конфигурация сети | NetworkConfigurationUpdated | Сетевой или проверенный администратор изменяет конфигурацию сети Viva Engage. Операция включает настройку интервала для экспорта данных и включение чата. |
Изменены параметры сетевого профиля | ProcessProfileFields | Администратор сети или проверенный администратор изменяет информацию, отображаемую в профилях участников для сетевых пользователей. |
Changed private content mode (Изменен режим личного содержимого) | SupervisorAdminToggled | Проверенный администратор включает или выключает режим частного содержимого . Этот режим позволяет администратору просматривать записи в закрытых группах и личную переписку между отдельными пользователями (или группами пользователей). Это действие могут выполнять только проверенные администраторы. |
Changed security configuration (Изменена конфигурация безопасности) | NetworkSecurityConfigurationUpdated | Проверенный администратор обновляет конфигурацию безопасности сети Viva Engage. Операция включает настройку политик времени прекращения действия и ограничений для IP-адресов. Это действие могут выполнять только проверенные администраторы. |
Беседа закрыта | CloseConversation | Поток Viva Engage закрыт, что не позволяет пользователям отвечать на него. Это действие может выполняться администратором, корпоративным коммуникатором или делегатом пользователя. |
Беседа открыта | OpenConversation | Открыта беседа Viva Engage потока, которая позволяет пользователям отвечать на поток. Это действие может выполняться администратором, корпоративными коммуникациями или делегатом пользователя. |
Created file (Создан файл) | FileCreated | Пользователь добавляет файл. |
Создана группа | GroupCreation | Пользователь создает группу. |
Создано сообщение | Создание сообщения | Пользователь создает сообщение. |
Удалена группа | GroupDeletion | Группа удаляется из Viva Engage. |
Deleted message (Удалено сообщение) | MessageDeleted | Пользователь удаляет сообщение. |
Скачан файл | FileDownloaded | Пользователь скачивает файл. |
Exported data (Экспортированы данные) | DataExport | Проверенный администратор экспортирует Viva Engage сетевые данные. Это действие могут выполнять только проверенные администраторы. |
Не удалось получить доступ к файлу | FileAccessFailure | Пользователю не удалось получить доступ к файлу. |
Не удалось получить доступ к группе | GroupAccessFailure | Пользователю не удалось получить доступ к группе. |
Не удалось получить доступ к потоку | ThreadAccessFailure | Пользователю не удалось получить доступ к потоку сообщений. |
Реагировал на сообщение | MarkedMessageChanged | Пользователь отреагировал на сообщение. |
Удален корпоративный коммуникатор | RemoveUserRole | Пользователь удаляется из роли "Корпоративный коммуникатор". |
Удалить курируемый раздел* | RemoveCuratedTopic | Пользователь удаляет курируемый раздел. |
Пользователь поделился файлом | FileShared | Пользователь делится файлом с другим пользователем. |
Suspended network user (Приостановлен пользователь сети) | NetworkUserSuspended | Сетевой или проверенный администратор приостанавливает (деактивирует) пользователя от Viva Engage. |
Suspended user (Приостановлен пользователь) | UserSuspension | Активность учетной записи пользователя приостановлена (деактивирована). |
Принятие политики использования клиента | UsagePolicyAcceptance | Пользователь принимает политику использования для конкретного клиента. |
Поток отключен | AdminThreadMuted | Поток отключен администратором или watch оповещением (системным пользователем). Оповещение watch возникает, когда поток помечается для определенной темы (заданной администратором) и автоматически отключен системой. |
Поток без перемотки | AdminThreadUnmuted | Администратор размыкать поток. |
Updated file description (Обновлено описание файла) | FileUpdateDescription | Пользователь изменяет описание файла. |
Updated file name (Обновлено имя файла) | FileUpdateName | Пользователь изменяет имя файла. |
Обновлено сообщение | MessageUpdated | Пользователь обновляет сообщение. |
Обновлено назначение ролей для сетевых Администратор | NetworkAdminUpdated | Пользователь либо повышен, либо понижен до роли сетевого Администратор. |
Обновлено назначение ролей для проверенных Администратор | NetworkVerifiedAdminUpdated | Пользователь либо повышен, либо понижен до роли проверенного Администратор. |
Viewed file (Просмотрен файл) | FileVisited | Пользователь просматривает файл. |
Просмотр потока | ThreadViewed | Пользователь просматривает поток сообщений. |
Viva активности Pulse
В следующей таблице перечислены действия пользователей и администраторов в Viva Pulse, зарегистрированные для аудита. Таблица содержит понятное имя, отображаемое в столбце Действия, и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.
Выполните поиск в журнале аудита , как найти журналы аудита на портале Microsoft Purview и на портале соответствия требованиям. Пользователь должен быть глобальным администратором или иметь разрешения на чтение аудита для доступа к журналам аудита. Фильтр Действия можно использовать для поиска определенных действий и для перечисления всех действий Viva Pulse можно выбрать VivaPulse в фильтре Типа записи. Вы также можете использовать поля диапазона дат и список Пользователи, чтобы еще больше сузить результаты поиска.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
Понятное имя | Операция | Описание |
---|---|---|
Пользователь отправил ответ на опрос пульса | PulseSubmit | Администратор или пользователь предоставили отзыв для запроса обратной связи Viva Pulse. |
Пользователь создал опрос Pulse | PulseCreate | Создается новый запрос обратной связи Viva Pulse. |
Пользователь продлил крайний срок опроса пульса | PulseExtendDeadline | Крайний срок для существующего запроса обратной связи Viva Pulse был продлен. |
Пользователь пригласил дополнительных пользователей в опрос Pulse | PulseInvite | Дополнительные пользователи были приглашены на существующий запрос обратной связи Viva Pulse. |
Пользователь отменил опрос Pulse | PulseCancel | Пользователь отменил опрос Pulse. |
Пользователь предоставил общий доступ к отчету pulse | PulseShareResults | Viva результат обратной связи Pulse был предоставлен пользователям. |
Пользователь создал черновик Pulse | PulseCreateDraft | Пользователь создал черновик Pulse. |
Пользователь удалил черновик Pulse | PulseDeleteDraft | Пользователь удалил черновик Pulse. |
Администратор удалены данные пользователя | PulseDeleteUserData | Администратор удалены данные пользователя. |
Администратор обновлены параметры клиента | PulseTenantSettingsUpdate | Администратор обновлен параметр организации для Viva Pulse. |
Windows 365 действия с хранилищем для клиентов
В следующей таблице перечислены действия пользователей и администраторов в Windows 365 customer Lockbox, зарегистрированные в журнале аудита. Чтобы вернуть Windows 365 действий, связанных с защищенной папкой клиента, из журнала аудита выберите Windows365CustomerLockbox в разделе Типы записей. Уточнить результаты поиска можно с помощью полей диапазона дат и списка Пользователи.
Понятное имя | Операция | Описание |
---|---|---|
Активация исправления устройства | Активация исправления устройства | Активируйте исправление устройства. |
Отправка папки в BLOB-объект | Отправка папки в BLOB-объект | Сжать и передать папку устройства клиента в большой двоичный объект. |
Проверка политики выполнения PowerShell | Проверка политики выполнения PowerShell | Проверьте политику выполнения PowerShell. |
Установка агента RD | Установка агента RD | Установите агент RD на устройстве пользователя. |
Запуск гибридного расширения AADJ | Запуск гибридного расширения AADJ | Запустите гибридное расширение AADJ на устройстве пользователя. |
Создание запроса VmExtension | Создание запроса VmExtention | Создает запросы на расширение виртуальной машины для выполнения расширения виртуальной машины для выполнения пользовательских сценариев на устройстве клиента. |
Триггер оркестратора | Триггер оркестратора | Активировать оркестратор для пользователя. |
Активация универсального действия SaaF | Активация универсального действия SaaF | Активировать действие устройства (retargeting, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) для пользователя. |
Универсальное действие триггера | Универсальное действие триггера | Активировать действие устройства для пользователя. |
Активация универсального действия с параметрами | Активация универсального действия с параметрами | Активируйте действие устройства с параметрами параметров, более мощными, чем при универсальном действии триггера. |
Создание новых рабочих элементов (планировщик) | Создание новых рабочих элементов (планировщик) | Создание новых рабочих элементов, например подготовка, отзыв, повторная подготовка и т. д. |
Операция после удаленного действия | Операция после удаленного действия | Опубликуйте удаленное действие, а также опрашиваете результат с помощью операции GetActions. |
Выполнение команд OCE на виртуальной машине | Выполнение команд OCE на виртуальной машине | Выполните команды по идентификатору клиента, списку идентификаторов устройств и скрипту. |
Создание запроса LogCollection | Создание запроса LogCollection | Создайте запрос на сбор журналов на облачный компьютер. |
Запуск агента CMD Canary проверка. | Запуск агента CMD Canary проверка. | Запуск проверка агента CMD на определенном устройстве. |
Выполнение AppHealthPlugin | Выполнение AppHealthPlugin | Выполните AppHealthPlugin. |
Агент CMD backfill | Операция AddDevicesToBackfill | Резервное заполнение агента CMD на облачном компьютере. |
Переустановка агента CMD | Операция AddDevicesToReinstall | Переустановите агент CMD по запросу. |
Массовая переустановка агента CMD | Операция TriggerClientAgentCheckBulkAction | Массовая переустановка агента CMD по запросу. |
Создание удаленной операции действия в ActionModeratorService | Создание удаленной операции действия в ActionModeratorService | Создание удаленного действия по идентификаторам клиента, workspaceID, actionType, actionParameters. |