Detaljerede egenskaber i Office 365-overvågningslogfilen

Vigtigt: Denne artikel er maskinoversat. Se ansvarsfraskrivelsen. Du kan finde den engelske version af denne artikel her til din orientering.

Når du eksporterer resultaterne af en overvågningslog log søgning fra Sikkerheds- og overholdelsescenter til Office 365, har du mulighed for at hente alle de resultater, der opfylder dine søgekriterier. Det gør du ved at vælge Eksporter resultater > hente alle resultater på siden overvågningsindstillinger log søgning i Sikkerheds- og overholdelsescenter. Yderligere oplysninger finder du se søge audit log på Office 365-sikkerhed og overholdelse af angivne standarder Centrer.

Når du eksporterer alle resultater for en søgning i overvågningsloggen, kopieres de rå data fra den samlede Office 365-overvågningslog til en fil med kommaseparerede værdier (CSV-fil), som overføres til din lokale computer. Denne fil indeholder yderligere oplysninger fra overvågningslogposten i en kolonne med navnet Detaljer. Denne kolonne indeholder en egenskab med flere værdier for flere egenskaber fra overvågningslogposten. Hvert af parrene property:value i denne egenskab med flere værdier er adskilt med et komma.

I følgende tabel beskrives de egenskaber, der er inkluderet – afhængigt af den Office 365 tjeneste, hvor en hændelse indtræffer – i kolonnen med flere egenskab Detaljer. Kolonnen Office 365 tjeneste, der har denne egenskab    angiver tjenesten og type aktivitet (bruger eller administrator), der indeholder egenskaben. Du kan finde mere detaljerede oplysninger om disse egenskaber eller egenskaber, der ikke kan være angivet i dette emne, Office 365 administration aktivitet API skema.

Tip: Du kan bruge Power-forespørgsel i Excel til at opdele denne kolonne i flere kolonner, så hver egenskab har sin egen kolonne. Dette giver dig mulighed for at sortere og filtrere efter en eller flere af disse egenskaber. Hvis du vil lære, hvordan du gør dette, skal du se afsnittet "Opdel en kolonne efter afgrænser" i Opdel en tekstkolonne (Power-forespørgsel).

Egenskab

Beskrivelse

Office 365-tjeneste, der har denne egenskab

Agent

Den bruger eller tjenestekonto, der udfører handlingen.

Azure Active Directory

AzureActiveDirectoryEventType

Typen af Azure Active Directory-hændelse. Følgende værdier angiver typen af hændelse.

0      Angiver en kontologonhændelse.

1      Angiver en Azure-programsikkerhedshændelse.

Azure Active Directory

ChannelGuid

ID for en Microsoft teams kanal. Den gruppe, der er placeret kanalen i er identificeret med egenskaberne TeamName og TeamGuid .

Microsoft teams

ChannelName

Navnet på en Microsoft teams kanal. Den gruppe, der er placeret kanalen i er identificeret med egenskaberne TeamName og TeamGuid .

Microsoft teams

Klient

Klientenheden, enhedens operativsystem og enhedsbrowseren, der bruges til logonhændelsen (f.eks. Nokia Lumnia 920, Windows Phone 8, IE Mobile 11).

Azure Active Directory

ClientInfoString

Oplysninger om den mailklient, der blev brugt til at udføre handlingen, f.eks. en browserversion, version af Outlook og oplysninger om mobilenhed

Exchange (postkasseaktivitet)

ClientIP

IP-adressen på den enhed, der blev brugt, da aktiviteten blev logført. IP-adressen vises i enten et IPv4- eller IPv6-adresseformat.

Exchange og Azure Active Directory

ClientIPAddress

Det samme som ClientIP.

SharePoint

CreationTime

Dato og klokkeslæt i UTC-tid (Coordinated Universal Time) hvor brugeren udførte aktiviteten.

Alle

DestinationFileExtension

Filtypenavnet for en fil, der kopieres eller flyttes. Denne egenskab vises kun for brugeraktiviteterne FileCopied og FileMoved.

SharePoint

DestinationFileName

Navnet på fil, der kopieres eller flyttes. Denne egenskab vises kun for handlingerne FileCopied og FileMoved.

SharePoint

DestinationRelativeUrl

URL-adressen på destinationsmappen, hvortil en fil kopieres eller flyttes. En kombination af værdierne for egenskaberne SiteURL, DestinationRelativeURL og DestinationFileName er det samme som værdien af egenskaben ObjectID, som er det fulde stinavn for den fil, der blev kopieret. Denne egenskab vises kun for brugeraktiviteterne FileCopied og FileMoved.

SharePoint

EventSource

Identificerer, at der skete en hændelse i SharePoint. Mulige værdier er SharePoint og ObjectModel.

SharePoint

ExternalAccess

For Exchange-administratoraktivitet angiver det, om cmdlet'en blev kørt af en bruger i organisationen, af en medarbejder eller en tjenestekonto i Microsofts datacenter eller af en delegeret administrator. Værdien Falsk indikerer, at cmdlet'en blev kørt af en person i organisationen. Værdien Sand indikerer, at cmdlet'en blev kørt af en datacentermedarbejder, en datacentertjenestekonto eller en delegeret administrator.

For Exchange-postkasseaktivitet angiver det, om en postkasse blev åbnet af en bruger uden for organisationen.

Exchange

ExtendedProperties

De udvidede egenskaber for en Azure Active Directory-hændelse.

Azure Active Directory

Id

Id for rapportposten. Id'et identificerer rapportposten entydigt.

Alle

InternalLogonType

Reserveret til intern brug.

Exchange (postkasseaktivitet)

ItemType

Den type objekt, der blev åbnet eller redigeret. Mulige værdier omfatter Fil, Mappe, Web, Websted, Lejer og DocumentLibrary.

SharePoint

LoginStatus

Identificerer logonfejl, der eventuelt er opstået.

Azure Active Directory

LogonType

Typen af postkasseadgang. Følgende værdier angiver typen af bruger, der har åbnet postkassen.

0      Angiver en postkasseejer.

1      Angiver en administrator.

2      Angiver en stedfortræder (delegeret).

3      Angiver transporttjenesten i Microsofts datacenter.

4      Angiver en tjenestekonto i Microsofts datacenter.

6      Angiver en delegeret administrator.

Exchange (postkasseaktivitet)

MailboxGuid

Exchange-GUID for den postkasse, der blev åbnet.

Exchange (postkasseaktivitet)

MailboxOwnerUPN

Mailadressen på den person, der ejer postkassen, som blev åbnet.

Exchange (postkasseaktivitet)

ModifiedProperties (Name, NewValue, OldValue)

Egenskaben er inkluderet for administratorbegivenheder, f.eks. at tilføje en bruger som medlem af administratorgruppen for et websted eller en gruppe af websteder. Egenskaben indeholder navnet på den egenskab, der er blevet ændret (f.eks. webstedsadministratorgruppen), den nye værdi for den ændrede egenskab (f.eks. den bruger, der blev tilføjet som webstedsadministrator) og den tidligere værdi for det ændrede objekt.

Alle (administratoraktivitet)

ObjectID

For Exchange-administratorovervågningslog: navnet på det objekt, der blev ændret af cmdlet'en.

For SharePoint-aktivitet: det fulde URL-stinavn på filen eller mappen, der blev åbnet af en bruger.

For Azure AD-aktivitet: navnet på den brugerkonto, der blev ændret.

Alle

Handling

Navnet på bruger eller administrator aktiviteten. Værdien af denne egenskab svarer til den værdi, der blev valgt i aktiviteter Rul ned på listen. Hvis Vis resultaterne til alle aktiviteter, der er valgt, medtages rapporten elementer for alle brugere og administratorer aktiviteter for alle tjenester. En beskrivelse af de handlinger/aktiviteter, der er logget på Office 365 overvåge log, skal du se fanen Audited aktiviteter i Søg audit log på Office 365-sikkerhed og overholdelse af angivne standarder Centrer.

For Exchange-administratoraktivitet identificerer denne egenskab navnet på den cmdlet, der blev kørt.

Alle

OrganizationID

GUID for din Office 365-organisation.

Alle

Sti

Navnet på postkassemappen, hvor den meddelelse, der blev åbnet, er placeret. Denne egenskab identificerer også den mappe, hvor en meddelelse oprettes eller kopieres/flyttes til.

Exchange (postkasseaktivitet)

Parametre

For Exchange-administratoraktivitet indeholder dette navn og værdi for alle parametre, der blev brugt sammen med cmdlet'en, som er identificeret i handlingen Egenskab.

Exchange (administratoraktivitet)

RecordType

Den type handling, der er angivet af posten. Følgende værdier angiver posttypen.

1      Angiver en post fra Exchange-administratorovervågningsloggen.

2      Angiver en post fra Exchange-postkasseovervågningsloggen for en handling, der blev udført på et enkelt postkasseelement.

3      Angiver også en post fra Exchange-postkasseovervågningsloggen. Denne posttype angiver, at handlingen blev udført på flere elementer i kildepostkassen (f.eks. flytning af flere elementer til mappen Slettet post eller permanent sletning af flere elementer).

4      Angiver en webstedsadministratorhandling i SharePoint, f.eks. at en administrator eller bruger udsteder tilladelser til et websted.

6      Angiver en fil- eller mapperelateret handling i SharePoint, f.eks. at en bruger åbner eller redigerer en fil.

8      Angiver, at der udføres en administratorhandling i Azure Active Directory.

9      Angiver OrgId-logonhændelser i Azure Active Directory. Denne posttype frarådes.

10      Angiver sikkerhedmæssige cmdlet-hændelser, der blev udført af Microsoft-medarbejdere i datacenteret.

11      Angiver hændelser til forebyggelse af datatab (DLP) i SharePoint.

12      Angiver Sway-hændelser.

14      Angiver delehændelser i SharePoint.

15      Angiver STS-logonhændelser (sikkerhedstokentjeneste) i Azure Active Directory.

18      Angiver Sikkerheds- og overholdelsescenter-hændelser.

20      Angiver Power BI-hændelser.

22      Angiver Yammer-hændelser.

24    angiver eDiscovery begivenheder. Denne posttype angiver aktiviteter, der blev udført ved at køre indhold søgninger og administrere eDiscovery-sager i Sikkerheds- og overholdelsescenter. Se søge efter eDiscovery aktiviteter i Office 365 overvåge logkan finde flere oplysninger.

25, 26 eller 27      Angiver Microsoft teams begivenheder.

Alle

ResultStatus

Angiver, om handlingen (angivet i handlingens egenskab) blev gennemført eller ej.

For Exchange-administratoraktivitet er værdien enten Sand (vellykket) eller Falsk (mislykket).

Alle

SecurityComplianceCenterEventType

Angiver, at aktiviteten var en Sikkerheds- og overholdelsescenter-hændelse. Alle Sikkerheds- og overholdelsescenter-aktiviteter har en værdi af 0 for denne egenskab.

Sikkerheds- og overholdelsescenter til Office 365

SharingType

Den type tilladelser for deling, der blev tildelt til den bruger, som ressourcen blev delt med. Denne bruger er identificeret i egenskaben UserSharedWith.

SharePoint

Websted

GUID for det websted, hvor filen eller mappen, der blev åbnet af brugeren, er placeret.

SharePoint

SiteUrl

Webadressen på det websted, hvor filen eller mappen, der blev åbnet af brugeren, er placeret.

SharePoint

SourceFileExtension

Filtypenavnet på den fil, der blev åbnet af brugeren. Denne egenskab er tom, hvis det objekt, der blev åbnet, er en mappe.

SharePoint

SourceFileName

Navnet på den fil eller mappe, som blev åbnet af brugeren.

SharePoint

SourceRelativeUrl

Webadressen på den mappe, der indeholder den fil, der blev åbnet af brugeren. En kombination af værdierne for egenskaberne SiteURL, SourceRelativeURL og SourceFileName er det samme som værdien af egenskaben ObjectID, som er det fulde stinavn for den fil, der blev åbnet af brugeren.

SharePoint

Emne

Emnelinjen i den meddelelse, der blev åbnet.

Exchange (postkasseaktivitet)

Mål

Den bruger, der blev udført handlingen (identificeret i egenskaben Operation ) på. Eksempelvis hvis en gæstebruger er føjet til SharePoint eller en Microsoft-teamet, vil der være angivet pågældende bruger i denne egenskab.

Azure Active Directory

TeamGuid

ID for en gruppe i Microsoft teams.

Microsoft teams

TeamName

Navnet på en gruppe i Microsoft teams.

Microsoft teams

UserAgent

Oplysninger om brugerens browser. Disse oplysninger leveres af browseren.

SharePoint

UserDomain

Identitetsoplysninger om lejerorganisationen for den bruger (agent), der udførte handlingen.

Azure Active Directory

UserID

Den bruger, der udførte handlingen (angivet i egenskaben Operation), som resulterede i den post, der blev logført. Bemærk, at poster for aktiviteter, der udføres af systemkonti (f.eks. SHAREPOINT\system eller NT AUTHORITY\SYSTEM), også er inkluderet i overvågningsloggen.

Alle

UserKey

Et alternativt id for den bruger, der er defineret i egenskaben UserID. Eksempelvis er denne egenskab udfyldt med et entydigt passport-id (PUID) for hændelser, der udføres af brugere i SharePoint. Denne egenskab kan også angive den samme værdi som egenskaben UserID for hændelser, der forekommer i andre tjenester, og hændelser, der udføres af systemkonti.

Alle

UserSharedWith

Den bruger, som en ressource blev delt med. Denne egenskab er inkluderet, hvis værdien for egenskaben Operation er SharingSet. Denne bruger også er angivet i kolonnen Delt med i rapporten.

SharePoint

UserType

Den type bruger, der udførte handlingen. Følgende værdier angiver brugertypen.

0      En almindelig bruger.

2      En administrator i din Office 365-organisation.

3      En Microsoft-datacenteradministrator eller datacentersystemkonto.

4      En systemkonto.

5      Et program.

6      En tjenesteprincipal.

Alle

Version

Angiver versionsnummeret for den aktivitet (identificeres ved hjælp af egenskaben Operation), der logføres.

Alle

Arbejdsbelastning

Den Office 365-tjeneste, hvor aktiviteten forekom. De mulige værdier for denne egenskab er:

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

Overholdelse af angivne standarder

Sway

SecurityComplianceCenter

PowerBI

MicrosoftTeams

Alle

Bemærk, at egenskaberne, der er beskrevet ovenfor vises også, når du klikker på Få mere at vide, når du får vist detaljerne for en bestemt hændelse.

Klik på mere for at få vist detaljerede egenskaberne for posten overvågningslog log begivenhed

Tilbage til toppen

Bemærk: Ansvarsfraskrivelse for maskinoversættelse: Denne artikel er blevet oversat af et computersystem uden menneskelig indgriben. Microsoft tilbyder disse maskinoversættelse for at hjælpe ikke-engelsktalende brugere til at kunne nyde indhold om Microsofts produkter, tjenester og teknologier. Da artiklen er maskinoversat, kan den indeholde forkerte ord eller syntaks- eller grammatikfejl.

Udvid dine færdigheder
Gå på opdagelse i kurser
Få nye funktioner først
Bliv Office Insider

Var disse oplysninger nyttige?

Tak for din feedback!

Tak for din feedback! Det lyder, som om det vil kunne hjælpe, hvis du bliver sat i forbindelse med en af vores Office-supportteknikere.

×