Detaljerede egenskaber i Office 365-overvågningslogfilen

Bemærk!:  Vi vil gerne give dig den mest opdaterede hjælp, så hurtigt vi kan, på dit eget sprog. Denne side er oversat ved hjælp af automatisering og kan indeholde grammatiske fejl og unøjagtigheder. Det er vores hensigt, at dette indhold skal være nyttigt for dig. Vil du fortælle os, om oplysningerne var nyttige for dig, nederst på denne side? Her er artiklen på engelsk så du kan sammenligne.

Når du eksporterer resultaterne af en overvågningslog log søgning fra Sikkerheds- og overholdelsescenter til Office 365, har du mulighed for at hente alle de resultater, der opfylder dine søgekriterier. Det gør du ved at vælge Eksporter resultater > hente alle resultater på siden overvågningsindstillinger log søgning i Sikkerheds- og overholdelsescenter. Yderligere oplysninger finder du se søge audit log på Office 365-sikkerhed og overholdelse af angivne standarder Centrer.

Når du eksporterer alle resultater for en søgning i overvågningsloggen, kopieres de rå data fra den samlede Office 365-overvågningslog til en fil med kommaseparerede værdier (CSV-fil), som overføres til din lokale computer. Denne fil indeholder yderligere oplysninger fra overvågningslogposten i en kolonne med navnet Detaljer. Denne kolonne indeholder en egenskab med flere værdier for flere egenskaber fra overvågningslogposten. Hvert af parrene property:value i denne egenskab med flere værdier er adskilt med et komma.

I følgende tabel beskrives de egenskaber, der er inkluderet – afhængigt af den Office 365 tjeneste, hvor en hændelse indtræffer – i kolonnen med flere egenskab Detaljer. Kolonnen Office 365 tjeneste, der har denne egenskab    angiver tjenesten og type aktivitet (bruger eller administrator), der indeholder egenskaben. Du kan finde mere detaljerede oplysninger om disse egenskaber eller egenskaber, der ikke kan være angivet i dette emne, Office 365 administration aktivitet API skemaet.

Tip!: Du kan bruge Power-forespørgsel i Excel til at opdele denne kolonne i flere kolonner, så hver egenskab har sin egen kolonne. Dette giver dig mulighed for at sortere og filtrere efter en eller flere af disse egenskaber. Hvis du vil lære, hvordan du gør dette, skal du se afsnittet "Opdel en kolonne efter afgrænser" i Opdel en tekstkolonne (Power-forespørgsel).

Egenskab

Beskrivelse

Office 365-tjeneste, der har denne egenskab

Agent

Den bruger eller tjeneste konto, der udføres handlingen. Den

Azure Active Directory

AddOnName

Navnet på et tilføjelsesprogram, der er tilføjet, fjernes eller opdateret i et team. Typen tilføjelsesprogrammer i Microsoft teams er en bot, en forbindelse eller en fane.

Microsoft teams

AddOnType

Typen af et tilføjelsesprogram, der er tilføjet, fjernes eller opdateret i et team. Følgende værdier angiver typen af tilføjelsesprogram.

1    angiver en bot.

2    angiver en forbindelse.

3    angiver en fane.

Microsoft teams

AzureActiveDirectoryEventType

Typen af Azure Active Directory-hændelse. Følgende værdier angiver typen af hændelse.

0      Angiver en kontologonhændelse.

1      Angiver en Azure-programsikkerhedshændelse.

Azure Active Directory

ChannelGuid

ID for en Microsoft teams kanal. Den gruppe, der er placeret kanalen i er identificeret med egenskaberne TeamName og TeamGuid .

Microsoft teams

ChannelName

Navnet på en Microsoft teams kanal. Den gruppe, der er placeret kanalen i er identificeret med egenskaberne TeamName og TeamGuid .

Microsoft teams

Klient

Klientenheden, enhedens operativsystem og enhedsbrowseren, der bruges til logonhændelsen (f.eks. Nokia Lumnia 920, Windows Phone 8, IE Mobile 11).

Azure Active Directory

ClientInfoString

Oplysninger om den mailklient, der blev brugt til at udføre handlingen, f.eks. en browserversion, version af Outlook og oplysninger om mobilenhed

Exchange (postkasseaktivitet)

ClientIP

IP-adressen på den enhed, der blev brugt, da aktiviteten blev logført. IP-adressen vises i enten et IPv4- eller IPv6-adresseformat.

Exchange og Azure Active Directory

ClientIPAddress

Det samme som ClientIP.

SharePoint

CreationTime

Dato og klokkeslæt i UTC-tid (Coordinated Universal Time) hvor brugeren udførte aktiviteten.

Alle

DestinationFileExtension

Filtypenavnet for en fil, der kopieres eller flyttes. Denne egenskab vises kun for brugeraktiviteterne FileCopied og FileMoved.

SharePoint

DestinationFileName

Navnet på fil, der kopieres eller flyttes. Denne egenskab vises kun for handlingerne FileCopied og FileMoved.

SharePoint

DestinationRelativeUrl

URL-adressen på destinationsmappen, hvortil en fil kopieres eller flyttes. En kombination af værdierne for egenskaberne SiteURL, DestinationRelativeURL og DestinationFileName er det samme som værdien af egenskaben ObjectID, som er det fulde stinavn for den fil, der blev kopieret. Denne egenskab vises kun for brugeraktiviteterne FileCopied og FileMoved.

SharePoint

EventSource

Identificerer, at der skete en hændelse i SharePoint. Mulige værdier er SharePoint og ObjectModel.

SharePoint

ExternalAccess

For Exchange-administratoraktivitet angiver det, om cmdlet'en blev kørt af en bruger i organisationen, af en medarbejder eller en tjenestekonto i Microsofts datacenter eller af en delegeret administrator. Værdien Falsk indikerer, at cmdlet'en blev kørt af en person i organisationen. Værdien Sand indikerer, at cmdlet'en blev kørt af en datacentermedarbejder, en datacentertjenestekonto eller en delegeret administrator.

For Exchange-postkasseaktivitet angiver det, om en postkasse blev åbnet af en bruger uden for organisationen.

Exchange

ExtendedProperties

De udvidede egenskaber for en Azure Active Directory-hændelse.

Azure Active Directory

Id

Id for rapportposten. Id'et identificerer rapportposten entydigt.

Alle

InternalLogonType

Reserveret til intern brug.

Exchange (postkasseaktivitet)

ItemType

Den type objekt, der blev åbnet eller redigeret. Mulige værdier omfatter Fil, Mappe, Web, Websted, Lejer og DocumentLibrary.

SharePoint

LoginStatus

Identificerer logonfejl, der eventuelt er opstået.

Azure Active Directory

LogonType

Typen af postkasseadgang. Følgende værdier angiver typen af bruger, der har åbnet postkassen.

0      Angiver en postkasseejer.

1      Angiver en administrator.

2      Angiver en stedfortræder (delegeret).

3      Angiver transporttjenesten i Microsofts datacenter.

4      Angiver en tjenestekonto i Microsofts datacenter.

6      Angiver en delegeret administrator.

Exchange (postkasseaktivitet)

MailboxGuid

Exchange-GUID for den postkasse, der blev åbnet.

Exchange (postkasseaktivitet)

MailboxOwnerUPN

Mailadressen på den person, der ejer postkassen, som blev åbnet.

Exchange (postkasseaktivitet)

Medlemmer

Viser de brugere, der er blevet tilføjet eller fjernet fra en gruppe. Følgende værdier angiver typen rolle, der er tildelt til brugeren.

1      Angiver rollen Ejer.

2      Angiver rollen Medlem.

3      Angiver rollen Gæst.

Egenskaben Medlemmer omfatter også navnet på organisationen og medlemmets mailadresse.

Microsoft teams

ModifiedProperties (Name, NewValue, OldValue)

Egenskaben er inkluderet for administratorbegivenheder, f.eks. at tilføje en bruger som medlem af administratorgruppen for et websted eller en gruppe af websteder. Egenskaben indeholder navnet på den egenskab, der er blevet ændret (f.eks. webstedsadministratorgruppen), den nye værdi for den ændrede egenskab (f.eks. den bruger, der blev tilføjet som webstedsadministrator) og den tidligere værdi for det ændrede objekt.

Alle (administratoraktivitet)

ObjectID

For Exchange-administratorovervågningslog: navnet på det objekt, der blev ændret af cmdlet'en.

For SharePoint-aktivitet: det fulde URL-stinavn på filen eller mappen, der blev åbnet af en bruger.

For Azure AD-aktivitet: navnet på den brugerkonto, der blev ændret.

Alle

Handling

Navnet på bruger eller administrator aktiviteten. Værdien af denne egenskab svarer til den værdi, der blev valgt i aktiviteter Rul ned på listen. Hvis Vis resultaterne til alle aktiviteter, der er valgt, medtages rapporten elementer for alle brugere og administratorer aktiviteter for alle tjenester. En beskrivelse af de handlinger/aktiviteter, der er logget på Office 365 overvåge log, skal du se fanen Audited aktiviteter i Søg audit log på Office 365-sikkerhed og overholdelse af angivne standarder Centrer.

For Exchange-administratoraktivitet identificerer denne egenskab navnet på den cmdlet, der blev kørt.

Alle

OrganizationID

GUID for din Office 365-organisation.

Alle

Sti

Navnet på postkassemappen, hvor den meddelelse, der blev åbnet, er placeret. Denne egenskab identificerer også den mappe, hvor en meddelelse oprettes eller kopieres/flyttes til.

Exchange (postkasseaktivitet)

Parametre

For Exchange-administratoraktivitet indeholder dette navn og værdi for alle parametre, der blev brugt sammen med cmdlet'en, som er identificeret i handlingen Egenskab.

Exchange (administratoraktivitet)

RecordType

Den type handling, der er angivet af posten. Følgende værdier angiver posttypen.

1      Angiver en post fra Exchange-administratorovervågningsloggen.

2      Angiver en post fra Exchange-postkasseovervågningsloggen for en handling, der blev udført på et enkelt postkasseelement.

3      Angiver også en post fra Exchange-postkasseovervågningsloggen. Denne posttype angiver, at handlingen blev udført på flere elementer i kildepostkassen (f.eks. flytning af flere elementer til mappen Slettet post eller permanent sletning af flere elementer).

4      Angiver en webstedsadministratorhandling i SharePoint, f.eks. at en administrator eller bruger udsteder tilladelser til et websted.

6      Angiver en fil- eller mapperelateret handling i SharePoint, f.eks. at en bruger åbner eller redigerer en fil.

8      Angiver, at der udføres en administratorhandling i Azure Active Directory.

9      Angiver OrgId-logonhændelser i Azure Active Directory. Denne posttype frarådes.

10      Angiver sikkerhedmæssige cmdlet-hændelser, der blev udført af Microsoft-medarbejdere i datacenteret.

11      Angiver hændelser til forebyggelse af datatab (DLP) i SharePoint.

12      Angiver Sway-hændelser.

14      Angiver delehændelser i SharePoint.

15      Angiver STS-logonhændelser (sikkerhedstokentjeneste) i Azure Active Directory.

18      Angiver Sikkerheds- og overholdelsescenter-hændelser.

20      Angiver Power BI-hændelser.

22      Angiver Yammer-hændelser.

24    angiver eDiscovery begivenheder. Denne posttype angiver aktiviteter, der blev udført ved at køre indhold søgninger og administrere eDiscovery-sager i Sikkerheds- og overholdelsescenter. Se søge efter eDiscovery aktiviteter i Office 365 overvåge logkan finde flere oplysninger.

25, 26 eller 27      Angiver Microsoft teams begivenheder.

Alle

ResultStatus

Angiver, om handlingen (angivet i handlingens egenskab) blev gennemført eller ej.

For Exchange-administratoraktivitet er værdien enten Sand (vellykket) eller Falsk (mislykket).

Alle

SecurityComplianceCenterEventType

Angiver, at aktiviteten var en Sikkerheds- og overholdelsescenter-hændelse. Alle Sikkerheds- og overholdelsescenter-aktiviteter har en værdi af 0 for denne egenskab.

Sikkerheds- og overholdelsescenter til Office 365

SharingType

Den type tilladelser for deling, der blev tildelt til den bruger, som ressourcen blev delt med. Denne bruger er identificeret i egenskaben UserSharedWith.

SharePoint

Websted

GUID for det websted, hvor filen eller mappen, der blev åbnet af brugeren, er placeret.

SharePoint

SiteUrl

Webadressen på det websted, hvor filen eller mappen, der blev åbnet af brugeren, er placeret.

SharePoint

SourceFileExtension

Filtypenavnet på den fil, der blev åbnet af brugeren. Denne egenskab er tom, hvis det objekt, der blev åbnet, er en mappe.

SharePoint

SourceFileName

Navnet på den fil eller mappe, som blev åbnet af brugeren.

SharePoint

SourceRelativeUrl

Webadressen på den mappe, der indeholder den fil, der blev åbnet af brugeren. En kombination af værdierne for egenskaberne SiteURL, SourceRelativeURL og SourceFileName er det samme som værdien af egenskaben ObjectID, som er det fulde stinavn for den fil, der blev åbnet af brugeren.

SharePoint

Emne

Emnelinjen i den meddelelse, der blev åbnet.

Exchange (postkasseaktivitet)

TabType

Typen tabulatorstop tilføjes, fjernes eller opdateret i et team. De mulige værdier for denne egenskab er:

  • Excelpin    En Excel-fane.

  • Filtypenavn    Alle oprindeligt og tredjeparts-apps som teamplanlægning, VSTS og formularer.

  • Noter    Under fanen OneNote.

  • Pdfpin    En PDF-fane.

  • Powerbi    En PowerBI fane.

  • Powerpointpin    En PowerPoint-fanen.

  • Sharepointfiles    En SharePoint-fane.

  • Webside    En fastgjorte websted-fane.

  • Fanen Wiki    Fanen en wiki.

  • Wordpin    En Word-fane.

Microsoft teams

Destination

Den bruger, der blev udført handlingen (identificeret i egenskaben Operation ) på. Eksempelvis hvis en gæstebruger er føjet til SharePoint eller en Microsoft-teamet, vil der være angivet pågældende bruger i denne egenskab.

Azure Active Directory

TeamGuid

ID for en gruppe i Microsoft teams.

Microsoft teams

TeamName

Navnet på en gruppe i Microsoft teams.

Microsoft teams

UserAgent

Oplysninger om brugerens browser. Disse oplysninger leveres af browseren.

SharePoint

UserDomain

Identitetsoplysninger om lejerorganisationen for den bruger (agent), der udførte handlingen.

Azure Active Directory

UserID

Den bruger, der udførte handlingen (angivet i egenskaben Operation), som resulterede i den post, der blev logført. Bemærk, at poster for aktiviteter, der udføres af systemkonti (f.eks. SHAREPOINT\system eller NT AUTHORITY\SYSTEM), også er inkluderet i overvågningsloggen.

Alle

UserKey

Et alternativt id for den bruger, der er defineret i egenskaben UserID. Eksempelvis er denne egenskab udfyldt med et entydigt passport-id (PUID) for hændelser, der udføres af brugere i SharePoint. Denne egenskab kan også angive den samme værdi som egenskaben UserID for hændelser, der forekommer i andre tjenester, og hændelser, der udføres af systemkonti.

Alle

UserSharedWith

Den bruger, som en ressource blev delt med. Denne egenskab er inkluderet, hvis værdien for egenskaben Operation er SharingSet. Denne bruger også er angivet i kolonnen Delt med i rapporten.

SharePoint

UserType

Den type bruger, der udførte handlingen. Følgende værdier angiver brugertypen.

0      En almindelig bruger.

2      En administrator i din Office 365-organisation.

3      En Microsoft-datacenteradministrator eller datacentersystemkonto.

4      En systemkonto.

5      Et program.

6      En tjenesteprincipal.

Alle

Version

Angiver versionsnummeret for den aktivitet (identificeres ved hjælp af egenskaben Operation), der logføres.

Alle

Arbejdsbelastning

Den Office 365-tjeneste, hvor aktiviteten forekom. De mulige værdier for denne egenskab er:

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

Overholdelse af angivne standarder

Sway

SecurityComplianceCenter

PowerBI

MicrosoftTeams

Alle

Bemærk, at egenskaberne, der er beskrevet ovenfor vises også, når du klikker på Få mere at vide, når du får vist detaljerne for en bestemt hændelse.

Klik på flere oplysninger for at få vist de detaljerede egenskaber for overvågningsloggens hændelsespost

Tilbage til toppen

Udvid dine Office-færdigheder
Gå på opdagelse i kurser
Få nye funktioner først
Bliv Office Insider

Var disse oplysninger nyttige?

Tak for din feedback!

Tak for din feedback! Det lyder, som om det vil kunne hjælpe, hvis du bliver sat i forbindelse med en af vores Office-supportteknikere.

×