Søg i overvågningslogfilen i Sikkerheds- og overholdelsescenteret til Office 365

Har du brug for at finde ud af, om en bruger har set et bestemt dokument eller slettet et element fra vedkommendes postkasse? Hvis det er tilfældet, kan du bruge Sikkerheds- og overholdelsescenter til Office 365 til at søge i den samlede overvågningslog for at få vist bruger- og administratoraktivitet i din Office 365-organisation. Hvorfor en samlet overvågningslog? Fordi du kan søge efter følgende typer bruger- og administratoraktivitet i Office 365:

  • Brugeraktivitet i SharePoint Online og OneDrive for Business

  • Brugeraktivitet i Exchange Online (overvågningslogføring for Exchange-postkasse)

    Vigtigt: Overvågningslogføring for postkasse skal være aktiveret for hver brugerpostkasse, før brugeraktivitet i Exchange Online logføres. Se Aktiviteter for Exchange-postkasse.

  • Administratoraktivitet i SharePoint Online.

  • Administratoraktivitet i Azure Active Directory (katalogtjenesten for Office 365).

  • Administratoraktivitet i Exchange Online (Overvågningslogføring for Exchange-administrator)

  • Bruger- og administratoraktivitet i Sway.

  • Bruger- og administratoraktivitet i Power BI til Office 365.

  • Bruger- og administratoraktivitet i Yammer.

Her er fremgangsmåden til søgning i overvågningsloggen i Office 365.

Trin 1: Kør en søgning i overvågningsloggen

Trin 2: Vis søgeresultaterne

Trin 3: Filtrer søgeresultaterne

Trin 4: Eksportér søgeresultaterne til en fil

Inden du begynder

  • Se afsnittet Overvågede aktiviteter i Office 365 i dette emne for at få en beskrivelse af de bruger- og administratoraktiviteter, der er logført i Office 365.

  • Du (eller en anden administrator) skal først aktivere overvågningslogføring, før du kan begynde at søge i Office 365-overvågningsloggen. For at aktivere den skal du blot klikke på Start optagelse af bruger- og administratoraktivitet på siden Søgning i overvågningslogfil i Sikkerheds- og overholdelsescenter. (Hvis du ikke kan se dette link, er overvågning allerede aktiveret for din organisation). Når du aktiverer det, vises en meddelelse om, at overvågningsloggen klargøres, og at du kan køre en søgning om et par timer, efter at klargøringen er fuldført. Det behøver du kun at gøre én gang.

    Bemærk: Vi er i gang med at aktivere overvågning som standard. Indtil videre, kan du aktivere det som beskrevet ovenfor.

  • Du skal have tildelt rollen Skrivebeskyttede overvågningslogger eller Overvågningslogger i Exchange Online for at søge i Office 365-overvågningsloggen. Disse roller er som standard tildelt rollegrupperne Styring af overholdelse og Organisationsadministration på siden Tilladelser i Exchange Administration. Du kan give en bruger adgang til at søge i Office 365-overvågningsloggen med det mindste niveau af rettigheder ved at oprette en brugerdefineret rollegruppe i Exchange Online, tilføje rollen Skrivebeskyttede overvågningslogger eller Overvågningslogger og derefter tilføje brugeren som medlem af den nye rollegruppe. Se Administrere rollegrupper i Exchange Online (webstedet/siden er evt. på engelsk) for at få flere oplysninger.

    Vigtigt: Hvis du tildeler en bruger rollen Skrivebeskyttede overvågningslogge eller Overvågningslogge på siden Tilladelser i Sikkerheds- og overholdelsescenter, vil vedkommende ikke kunne søge i Office 365-overvågningsloggen. Du skal tildele tilladelserne in Exchange Online. Det skyldes, at den underliggende cmdlet, der bruges til at søge i overvågningsloggen, er en Exchange Online-cmdlet.

  • Du kan søge i Office 365-overvågningsloggen efter aktiviteter, der blev udført inden for de seneste 90 dage.

  • Det kan tage op til 30 minutter eller 24 timer, efter en hændelse forekommer, før den tilsvarende post i overvågningsloggen vises i søgeresultaterne. Den følgende tabel viser den tid, det tager for de forskellige tjenester i Office 365.

    Office 365-tjeneste

    30 minutter

    24 timer

    SharePoint Online og OneDrive for Business

    Markering

    Exchange Online

    Markering

    Azure Active Directory (brugerlogonhændelser)

    Markering

    Azure Active Directory (adminhændelser)

    Markering

    Sway

    Markering

    Power BI

    Markering

    Yammer

    Markering

    Sikkerheds- og overholdelsescenter

    Markering

  • Som tidligere nævnt er Azure Active Directory (Azure AD) katalogtjenesten for Office 365. Den samlede overvågningslog indeholder bruger-, gruppe-, program-, domæne- og katalogaktiviteter, der er udført i Office 365 Administration eller i Azure-administrationsportalen. Se Hændelser i Azure Active Directory-overvågningsrapport (webstedet/siden er evt. på engelsk) for at få en komplet liste over Azure AD-hændelser.

  • Hvis du vil deaktivere søgning i overvågningslog i Office 365 for organisationen, kan du køre følgende kommando i en PowerShell-fjernsession med forbindelse til din Exchange Online-organisation:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    Få mere at vide under Deaktiver søgning i overvågningslog i Office 365.

  • Som nævnt tidligere er den underliggende cmdlet, der bruges til at søge i overvågningsloggen, en Exchange Online-cmdlet, som er Search-UnifiedAuditLog. Det betyder, at du kan bruge denne cmdlet til at søge i Office 365-overvågningsloggen i stedet for at bruge siden Søgning i overvågningslogfil i Sikkerheds- og overholdelsescenter. Du skal køre denne cmdlet i en ekstern PowerShell-forbindelse til din Exchange Online-organisation. Få mere at vide under Search-UnifiedAuditLog.

Trin 1: Kør en søgning i overvågningslog

  1. Gå til https://protection.office.com.

  2. Log på Office 365 med din arbejds- eller skolekonto.

  3. Klik på Søgning og undersøgelse i venstre rude, og klik derefter på Søgning i overvågningslogfil.

    Siden Søgning i overvågningslogfil åbnes.

    Konfigurer kriterier, og klik derefter på Søg for at køre rapport

    Bemærk: Som tidligere forklaret skal du først aktivere overvågningslogføring, før du kan køre en søgning i overvågningsloggen. Hvis linket Start optagelse af bruger- og administratoraktivitet vises, skal du klikke på det for at aktivere overvågning. Hvis du ikke kan se dette link, er overvågning allerede aktiveret for din organisation.

  4. Konfigurere følgende søgekriterier:

    1. Aktiviteter   Klik på rullelisten for at få vist de aktiviteter, som du kan søge efter. Bruger- og administratoraktiviteter er inddelt i grupper af relaterede aktiviteter. Du kan vælge bestemte aktiviteter, eller du kan klikke på aktivitetens gruppenavn for at markere alle aktiviteter i gruppen. Du kan også klikke på en markeret aktivitet for at fjerne markeringen. Når du har kørt søgningen, vises kun posterne i overvågningsloggen for de valgte aktiviteter. Hvis du vælger Vis resultater for alle aktiviteter, vises resultaterne for alle de aktiviteter, der er udført af den valgte bruger eller gruppe af brugere.

      Mere end 100 bruger- og administratoraktiviteter er logført i Office 365-overvågningsloggen. Se afsnittet Overvågede aktiviteter i Office 365 i dette emne for at få en beskrivelse af hver aktivitet.

    2. Startdato og Slutdato    De sidste syv dage er valgt som standard. Markér en dato og et tidsinterval for at få vist de hændelser, der er opstået inden for den pågældende periode. Dato og klokkeslæt vises i formatet UTC (Coordinated Universal Time). Det maksimale datointerval, du kan angive, er 90 dage. Der vises en fejlmeddelelse, hvis det valgte datointerval er større end 90 dage.

      Tip: Hvis du bruger det maksimale datointerval på 90 dage, skal du markere det aktuelle klokkeslæt som Startdato. Ellers vises en fejlmeddelelse om, at startdatoen ligger tidligere end slutdatoen. Hvis du har aktiveret overvågning inden for de seneste 90 dage, kan det maksimale datointerval ikke starte før den dato, hvor overvågning blev aktiveret.

    3. Brugere  Klik i dette felt, og vælg derefter en eller flere brugere, der skal vises søgeresultater for. Posterne i overvågningsloggen for den valgte aktivitet, der er udført af de brugere, du vælger i dette felt, vises på listen over resultater. Lad dette felt være tomt for at returnere poster for alle brugere (og tjenestekonti) i din organisation.

    4. Fil, mappe eller websted Skriv en del af eller hele fil- eller mappenavnet for at søge efter en aktivitet knyttet til den fil eller mappe, der indeholder det angivne nøgleord. Du kan også angive en URL-adresse eller en del af en URL-adresse for at få vist poster for en aktivitet på et vilkårligt objekt i den angivne URL-sti. Bemærk, at specialtegn som f.eks. skråstreger (/), omvendte skråstreger (\), tankestreger (-) og understregningstegn (_) ikke understøttes i søgestrengen. Sørg for at erstatte specialtegn med et mellemrum. Hvis du f.eks. vil søge efter aktivitet på et OneDrive for Business-websted, f.eks https://contoso-mysharepoint.com/personal/sarad_contoso_onmicrosoft_com, kan du skrive følgende i søgefeltet: personal sarad contoso.

      Lad dette felt være tomt for at returnere poster for alle filer, mapper og URL-adresser i organisationen.

  5. Klik på Søg for at køre søgningen ved hjælp af dine søgekriterier.

    Søgeresultaterne indlæses, og efter et øjeblik vises de under Resultater. Antallet af fundne resultater vises, når søgningen er færdig. Bemærk, at der maksimalt vises 1000 hændelser. Hvis mere end 1000 hændelser opfylder søgekriterierne, vises de nyeste 1000 hændelser.

    Antallet af resultater vises, når du er færdig med søgningen

Tilbage til toppen

Tip til søgning i overvågningsloggen

  • Du kan vælge bestemte aktiviteter, der skal søges efter, ved at klikke på aktivitetens navn. Eller du kan søge efter alle aktiviteter i en gruppe (f.eks Fil- og mappeaktiviteter) ved at klikke på gruppenavnet. Hvis en aktivitet er markeret, kan du klikke på den for at annullere markeringen. Du kan også bruge søgefeltet til at vise de aktiviteter, der indeholder det nøgleord, du skriver.

    Klik på aktivitetens gruppenavn for at markere alle aktiviteter
  • Du skal markere Vis resultater for alle aktiviteter på listen Aktiviteter for at få vist poster fra Exchange-administratorovervågningsloggen. Hændelser fra denne overvågningslog viser et cmdlet-navn (for eksempel Set-Mailbox) i kolonnen Aktivitet i resultaterne. Se afsnittet Overvågningslog for Exchange-administrator i dette emne for at få flere oplysninger.

  • Klik på Ryd for at fjerne de aktuelle søgekriterier. Datointervallet vender tilbage til standarden med de seneste syv dage. Du kan også klikke på Ryd alle for at vise resultater for alle aktiviteter for at annullere alle markerede aktiviteter.

  • Hvis der findes 1000 resultater, kan du sandsynligvis antage, at mere end 1000 hændelser opfylder søgekriterierne. Du kan enten begrænse søgekriterierne og køre søgningen igen for at returnere færre resultater, eller du kan eksportere alle søgeresultaterne ved at vælge Eksportér resultater > Hent alle resultater.

Tilbage til toppen

Trin 2: Vis søgeresultaterne

Resultaterne af en søgning i overvågningsloggen vises under Resultater på siden Søgning i overvågningslogfil. Der vises højst 1000 (nyeste) hændelser. Resultaterne indeholder følgende oplysninger om hver enkelt hændelse, der returneres af søgningen.

  • Dato    Datoen og klokkeslættet (i UTC-format), da hændelsen indtraf.

  • IP-adresse    IP-adressen på den enhed, der blev brugt, da aktiviteten blev logført. IP-adressen vises i enten et IPv4- eller IPv6-adresseformat.

  • Bruger    Den bruger (eller tjenestekonto), der udførte den handling, som udløste hændelsen.

  • Aktivitet   Den aktivitet, der er udført af brugeren. Denne værdi svarer til de aktiviteter, som du har valgt på rullelisten Aktiviteter . For en hændelse fra Exchange-administratorovervågningsloggen er værdien i denne kolonne en Exchange-cmdlet.

  • Element    Det objekt, der blev oprettet eller redigeret som et resultat af den tilsvarende aktivitet. For eksempel den fil, der blev vist eller ændret, eller den brugerkonto, der blev opdateret. Ikke alle aktiviteter har en værdi i denne kolonne.

  • Detalje   Yderligere detaljer om en aktivitet. Igen har ikke alle aktiviteter en værdi.

Tip: Klik på en kolonneoverskrift under Resultater for at sortere resultaterne. Du kan sortere resultaterne fra A til Å eller Å til A. Klik på overskriften Dato for at sortere resultaterne fra ældste til nyeste eller nyeste til ældste.

Tilbage til toppen

Vise detaljerne for en bestemt hændelse

Du kan få vist flere detaljer om en hændelse ved at klikke på hændelsesposten på listen over søgeresultater. Der åbnes en side med navnet Detaljer, som indeholder de detaljerede egenskaber fra hændelsesposten. De egenskaber, der vises, afhænger af den Office 365-tjeneste, som hændelsen forekommer i. Hvis du vil have vist flere detaljer, skal du klikke på Flere oplysninger.

Tilbage til toppen

Trin 3: Filtrer søgeresultaterne

Ud over sortering kan du også filtrere resultaterne af en søgning i overvågningsloggen. Dette er en praktisk funktion, som kan hjælpe dig med hurtigt at filtrere resultaterne for en bestemt bruger eller aktivitet. Du kan til at begynde med oprette en bred søgning og derefter hurtigt filtrere resultaterne for at få vist bestemte hændelser. Du kan derefter begrænse søgekriterierne og køre søgningen igen for at returnere et mindre, mere præcist sæt af resultater.

Sådan filtreres resultaterne:

  1. Kør en søgning i overvågningsloggen.

  2. Klik på Filtrer resultater, når resultaterne vises.

    Felter til nøgleord vises under hver kolonneoverskrift.

  3. Klik på et af felterne under en kolonneoverskrift, og skriv et ord eller en vending, afhængigt af den kolonne, du filtrerer på. Resultaterne justeres dynamisk for at vise de hændelser, der passer til filteret.

    Skriv et ord i filteret for at få vist hændelser, der svarer til filteret
  4. Hvis du vil fjerne et filter, skal du klikke på X i filterfeltet eller bare klikke på Skjul filtrering.

Tip: Hvis du vil have vist hændelser fra Exchange-administratorovervågningsloggen, skal du skrive en (streg) i filterfeltet Aktivitet. Derved vises cmdlet-navne, der vises i kolonnen Aktivitet for Exchange-administratorhændelser. Du kan derefter sortere cmdlet-navnene i alfabetisk rækkefølge.

Tilbage til toppen

Trin 4: Eksportér søgeresultaterne til en fil

Du kan eksportere resultaterne af en søgning i overvågningsloggen til en fil med kommaseparerede værdier (CSV) på din lokale computer. Du kan åbne denne fil i Microsoft Excel og bruge funktioner som f.eks søgning, sortering, filtrering og opdeling af en enkelt kolonne (som indeholder celler med flere værdier) i flere kolonner.

  1. Kør en søgning i overvågningsloggen, og revider derefter søgekriterierne, indtil du har de ønskede resultater.

  2. Klik på Eksportér resultater, og vælg en af følgende indstillinger:

    • Gem indlæste resultater    Vælg denne indstilling for kun at eksportere de poster, der vises under Resultater på siden Søgning i overvågningslogfil. Den CSV-fil, der er hentet, indeholder de samme kolonner (og data), der er vist på siden (Dato, Bruger, Aktivitet, Element og Detaljer). En ekstra kolonne (med navnet Flere) er medtaget i CSV-filen, der indeholder flere oplysninger fra overvågningslogposten. Eftersom du eksporterer de samme resultater, der er indlæst (og kan ses) på siden Søgning i overvågningslogfil, eksporteres der maksimalt 1000 poster.

    • Hent alle resultater    Vælg denne indstilling for at eksportere alle poster fra Office 365-overvågningsloggen, der opfylder søgekriterierne. Hvis der er tale om en stor mængde søgeresultater, kan du vælge denne indstilling for at hente alle poster fra overvågningsloggen ud over de 1000 resultater, der vises på siden Søgning i overvågningslog. Denne indstilling henter de rå data fra overvågningsloggen til en CSV-fil og indeholder flere oplysninger fra overvågningslogposten i en kolonne med navnet Detaljer. Det kan tage længere tid at hente filen, hvis du vælger denne eksportindstilling, fordi filen kan være meget større end den, der hentes, hvis du vælger den anden mulighed.

      Vigtigt: Du kan hente maksimalt 50.000 elementer til en CSV-fil fra en enkelt søgning i overvågningsloggen. Hvis der hentes 50.000 poster til CSV-filen, kan du sandsynligvis antage, at flere end 50.000 hændelser opfylder søgekriterierne. Hvis du vil eksportere mere end denne grænse, kan du prøve at bruge et datointerval for at reducere antallet af overvågningslogposter. Du skal muligvis køre flere søgninger med mindre datointervaller for at eksportere flere end 50.000 poster.

  3. Når du har valgt en eksportindstilling, vises der en meddelelse nederst i vinduet, der beder dig om at åbne CSV-filen, gemme den i mappen Overførsler eller gemme den i en bestemt mappe.

Tilbage til toppen

Flere oplysninger om eksport af søgeresultater fra overvågningsloggen

  • Indstillingen Hent alle resultater henter de rå data fra Office 365-overvågningsloggen til en CSV-fil. Denne fil indeholder andre kolonnenavne (Tid, Bruger, Handling, Detaljer) end den fil, der er hentet, hvis du vælger indstillingen Gem indlæste resultater. Værdierne i de to forskellige CSV-filer for den samme aktivitet kan også være forskellige. Aktiviteten i kolonnen Handling i CSV-filen kan for eksempel have en anden værdi end den "brugervenlige" version, der vises i kolonnen Aktivitet på siden Søgning i overvågningslogfil, for eksempel MailboxLogin vs. Bruger logget på postkasse.

  • Hvis du henter alle resultater, indeholder CSV-filen en kolonne med navnet Detaljer, som indeholder flere oplysninger om hver enkelt hændelse. Som tidligere nævnt, indeholder denne kolonne en egenskab med flere værdier for flere egenskaber fra overvågningslogposten. Hver af parrene property:value i denne egenskab med flere værdier er adskilt med et komma. Du kan bruge Power-forespørgsel i Excel til at opdele denne kolonne i flere kolonner, så hver egenskab får sin egen kolonne. Du kan så sortere og filtrere på en eller flere af disse egenskaber. Hvis du vil lære, hvordan du gør dette, skal du se afsnittet "Opdele en kolonne med afgrænser" i Opdele en tekstkolonne (Power-forespørgsel).

    Når du opdeler kolonnen Detaljer, kan du filtrere på kolonnen Handling for at få vist de detaljerede egenskaber for en bestemt type aktivitet.

  • Når du henter alle resultater fra en søgeforespørgsel, der indeholder hændelser fra forskellige Office 365-tjenester, indeholder kolonnen Detaljer i CSV-filen forskellige egenskaber, afhængigt af hvilken tjeneste handlingen blev udført i. Poster fra Exchange- og Azure AD-overvågningslogge indeholder for eksempel en egenskab med navnet ResultStatus, der angiver, om handlingen blev gennemført eller ej. Denne egenskab er ikke medtaget for hændelser i SharePoint. På samme måde har SharePoint-hændelser en egenskab, der identificerer webstedets URL-adresse for fil- og mapperelaterede aktiviteter. For at reducere dette problem kan du overveje at bruge forskellige søgninger for at eksportere resultaterne for aktiviteter fra en enkelt tjeneste.

    En beskrivelse af de egenskaber, der er angivet i kolonnen Detaljer i CSV-filen, når du henter alle resultater, og den tjenesten, hver enkelt af dem gælder for, findes i Detaljerede egenskaber i Office 365-overvågningsloggen (webstedet/siden er evt. på engelsk).

Tilbage til toppen

Overvågede aktiviteter i Office 365

I følgende tabel beskrives de aktiviteter, der er overvåget i Office 365. Du kan søge efter disse hændelser ved at søge i overvågningsloggen i Sikkerheds- og overholdelsescenter. Disse tabeller er organiseret i samme rækkefølge som på rullelisten Aktiviteter på siden Søgning i overvågningslogfil. Tabellerne indeholder det fulde navn, der vises på rullelisten Aktiviteter, og navnet på den hændelse, der vises i feltet Handling i Office 365-administrations-API’ens skema og i CSV-filen, når du eksporterer søgeresultaterne.

Fil- og mappeaktiviteter

Aktiviteter for anmodning om deling og adgang

Synkroniseringsaktiviteter

Aktiviteter for webstedsadministration

Aktiviteter for Exchange-postkasse

Sway-aktiviteter

Aktiviteter for brugeradministration

Azure AD – Gruppeadministrationsaktiviteter

Aktiviteter for programadministration

Aktiviteter for rolleadministration

Aktiviteter for katalogadministration

eDiscovery-aktiviteter

Power BI-aktiviteter

Yammer-aktiviteter

Se afsnittet Overvågningslog for Exchange-administrator i dette emne for at få oplysninger om Exchange-administratoraktiviteter.

Tilbage til toppen

Fil- og mappeaktiviteter

I følgende tabel beskrives fil- og mappeaktiviteterne i SharePoint Online og OneDrive for Business. Værdien i kolonnen Brugervenligt navn er det aktivitetsnavn, der vises på rullelisten Aktiviteter på siden Søgning i overvågningslogfil og i resultaterne. Værdien i kolonnen Handling er aktivitetsnavnet fra administrations-API’ens skema i Office 365.

Brugervenligt navn

Handling

Beskrivelse

Åbnet fil

FileAccessed

En bruger eller systemkonto åbner en fil.

Fil tjekket ind

FileCheckedIn

En bruger tjekker et dokument ind, der er tjekket ud fra et dokumentbibliotek.

Fil tjekket ud

FileCheckedOut

En bruger tjekker et dokument ud, der er placeret i et dokumentbibliotek. Brugere kan tjekke dokumenter ud og foretage ændringer i dokumenter, der er blevet delt med dem.

Kopieret fil

FileCopied

Brugeren kopierer et dokument fra et websted. Den kopierede fil kan gemmes i en anden mappe på webstedet.

Slettet fil

FileDeleted

Brugeren sletter et dokument fra et websted.

Udtjekning af fil kasseret

FileCheckOutDiscarded

Brugeren kasserer (eller fortryder) en fil, der er tjekket ud. Det betyder, at de ændringer, de har foretaget i filen, da den var tjekket ud, kasseres og ikke gemmes i versionen af dokumentet i dokumentbiblioteket.

Downloadet fil

FileDownloaded

Brugeren henter et dokument fra et websted.

Ændret fil

FileModified

En bruger eller systemkonto ændrer indholdet eller egenskaberne for et dokument, der er placeret på et websted.

Flyttet fil

FileMoved

Brugeren flytter et dokument fra den aktuelle placering på et websted til en ny placering.

Omdøbt fil

FileRenamed

Brugeren omdøber et dokument på et websted.

Gendannet fil

FileRestored

Brugeren gendanner et dokument fra papirkurven på et websted.

Sendt fil

FileUploaded

Brugeren sender et dokument til en mappe på et websted.

Tilbage til Overvågede aktiviteter i Office 365

Aktiviteter for anmodning om deling og adgang

I følgende tabel beskrives aktiviteter for anmodning om deling og adgang i SharePoint Online og OneDrive for Business. Ved delingshændelser identificerer kolonnen Detaljer under Resultater navnet på den bruger eller gruppe, som elementet blev delt med, og om den pågældende bruger eller gruppe er medlem af eller gæst i organisationen. Se Bruge delingsovervågning i Office 365-overvågningsloggen (webstedet/siden er evt. på engelsk) for at få flere oplysninger.

Bemærk: Brugere kan enten være medlemmer eller gæster baseret på egenskaben UserType for brugerobjektet. Et medlem er som regel en medarbejder, og en gæst er som regel en samarbejdspartner uden for organisationen. Når en bruger accepterer en invitation til deling (og ikke allerede er en del af organisationen), oprettes en gæstekonto til vedkommende i organisationens katalog. Når gæstebrugeren har en konto i kataloget, kan ressourcer deles direkte med vedkommende (uden krav om en invitation).

Brugervenligt navn

Handling

Beskrivelse

Anmodning om adgang accepteret

AccessRequestAccepted

En anmodning om adgang til et websted, en mappe eller et dokument blev accepteret, og brugeren har fået tildelt adgang.

Invitation til deling accepteret

SharingInvitationAccepted

Brugeren (medlem eller gæst) har accepteret en invitation til deling og har fået tildelt adgang til en ressource. Denne hændelse indeholder oplysninger om den bruger, der blev inviteret, og den mailadresse, der blev brugt til at acceptere invitationen (de kan være forskellige). Denne aktivitet ledsages ofte af en anden hændelse, der beskriver, hvordan brugeren blev tildelt adgang til ressourcen, for eksempel tilføjelse af brugeren til en gruppe, der har adgang til ressourcen.

Link, der kan deles af virksomhed, oprettet

CompanyLinkCreated

Brugeren oprettede et link til en ressource for hele virksomheden. Links for hele virksomheden kan kun bruges af medlemmer af organisationen. De kan ikke bruges af gæster.

Anmodning om adgang oprettet

AccessRequestCreated

Brugeren anmoder om adgang til et websted, en mappe eller et dokument, vedkommende ikke kan få adgang til.

Et anonymt link oprettet

AnonymousLinkCreated

Brugeren har oprettet et anonymt link til en ressource. Alle med dette link kan få adgang til ressourcen uden at skulle godkendes.

Invitation til deling oprettet

SharingInvitationCreated

Brugeren har delt en ressource i SharePoint Online eller OneDrive for Business med en bruger, der ikke findes i organisationens katalog.

Anmodning om adgang afvist

AccessRequestDenied

En anmodning om adgang til et websted, en mappe eller et dokument blev afvist.

Link, der kan deles af virksomhed, fjernet

CompanyLinkRemoved

Brugeren har fjernet et link til en ressource for hele virksomheden. Linket kan ikke længere bruges til at få adgang til ressourcen.

Et anonymt link fjernet

AnonymousLinkRemoved

Brugeren har fjernet et anonymt link til en ressource. Linket kan ikke længere bruges til at få adgang til ressourcen.

Delt fil, mappe eller websted

SharingSet

Brugeren (medlem eller gæst) har delt en fil, en mappe eller et websted i SharePoint eller OneDrive for Business med en bruger i organisationens katalog. Værdien i kolonnen Detaljer for denne aktivitet identificerer navnet på den bruger, ressourcen blev delt med, og om brugeren er medlem eller gæst. Denne aktivitet ledsages ofte af en anden hændelse, der beskriver, hvordan brugeren fik tildelt adgang til ressourcen, for eksempel tilføjelse af brugeren til en gruppe, der har adgang til ressourcen.

Et anonymt link opdateret

AnonymousLinkUpdated

Brugeren har opdateret et anonymt link til en ressource. Det opdaterede felt er medtaget i egenskaben EventData, når du eksporterer søgeresultaterne.

Et anonymt link brugt

AnonymousLinkUsed

En anonym bruger fik adgang til en ressource ved hjælp af et anonymt link. Brugerens identitet kan være ukendt, men du kan finde andre oplysninger som for eksempel brugerens IP-adresse.

Deling af fil, mappe eller websted annulleret

SharingRevoked

Brugeren (medlem eller gæst) har annulleret delingen af en fil, mappe eller websted, der tidligere var delt med en anden bruger.

Et link, der kan deles af virksomhed, brugt

CompanyLinkUsed

Brugeren fik adgang til en ressource ved hjælp af et link for hele virksomheden.

Invitation til deling trukket tilbage

SharingInvitationRevoked

Brugeren har trukket en invitation til deling af en ressource tilbage.

Tilbage til Overvågede aktiviteter i Office 365

Synkroniseringsaktiviteter

I følgende tabel vises filsynkroniseringsaktiviteter i SharePoint Online og OneDrive for Business.

Brugervenligt navn

Handling

Beskrivelse

Computer tilladt at synkronisere filer

ManagedSyncClientAllowed

Brugeren opretter en synkroniseringsrelation til et websted. Synkroniseringsrelationen er udført, fordi brugerens computer er medlem af et domæne, som er blevet føjet til listen over domæner (kaldet liste over modtagere, der er tillid til), der har adgang til dokumentbiblioteker i organisationen.

Se Bruge Windows PowerShell-cmdletter til at aktivere OneDrive-synkronisering for domæner, som findes på listen over modtagere, der er tillid til (webstedet/siden er evt. på engelsk) for at få flere oplysninger om denne funktion .

Computer blokeret fra at synkronisere filer

UnmanagedSyncClientBlocked

Brugeren forsøger at etablere en synkroniseringsrelation til et websted fra en computer, der ikke er medlem af din organisations domæne eller er medlem af et domæne, som ikke er blevet føjet til listen over domæner (kaldet liste over modtagere, der er tillid til), der har adgang til dokumentbiblioteker i organisationen. Synkroniseringsrelationen er ikke tilladt, og brugerens computer er blokeret fra at synkronisere, hente eller sende filer på et dokumentbibliotek.

Se Bruge Windows PowerShell-cmdletter til at aktivere OneDrive-synkronisering for domæner, som findes på listen over modtagere, der er tillid til (webstedet/siden er evt. på engelsk) for at få oplysninger om denne funktion .

Filer hentet til computer

FileSyncDownloadedFull

Brugeren etablerer en synkroniseringsrelation og henter korrekt filer for første gang til sin computer fra et dokumentbibliotek.

Filændringer hentet til computer

FileSyncDownloadedPartial

Brugeren henter korrekt ændringer af filer fra et dokumentbibliotek. Denne aktivitet angiver, at de ændringer, der er foretaget af filer i dokumentbiblioteket, er blevet hentet til brugerens computer. Kun ændringer blev hentet, fordi dokumentbiblioteket tidligere er blevet hentet af brugeren (som angivet af aktiviteten Filer hentet til computer).

Filer sendt til dokumentbibliotek

FileSyncUploadedFull

Brugeren etablerer en synkroniseringsrelation og sender korrekt filer for første gang fra sin computer til et dokumentbibliotek.

Filændringer sendt til dokumentbibliotek

FileSyncUploadedPartial

Brugeren sender korrekt ændringer af filer til et dokumentbibliotek. Denne hændelse angiver, at de ændringer, der er foretaget af den lokale version af en fil fra et dokumentbibliotek, er blevet sendt til dokumentbiblioteket. Kun ændringer blev sendt, fordi disse filer tidligere er blevet sendt af brugeren (som angivet af aktiviteten Filer sendt til dokumentbibliotek).

Tilbage til Overvågede aktiviteter i Office 365

Aktiviteter for webstedsadministration

I følgende tabel vises de hændelser, der forekommer som følge af webstedsadministrationsopgaver i SharePoint Online.

Brugervenligt navn

Handling

Beskrivelse

Undtaget brugeragent tilføjet

ExemptUserAgentSet

Den globale administrator føjer en brugeragent til listen over undtagne brugeragenter i SharePoint Administration.

Administrator for gruppe af websteder tilføjet

SiteCollectionAdminAdded

Administratoren eller ejeren af gruppen af websteder tilføjer en person som administrator for en gruppe af websteder for et websted. Administratorer af grupper af websteder har alle kontroltilladelser til gruppen af websteder og alle underordnede websteder.

Bruger eller gruppe føjet til SharePoint-gruppe

AddedToGroup

Brugeren har føjet et medlem eller gæst til en SharePoint-gruppe. Dette kan have været en bevidst handling eller resultatet af en anden aktivitet, for eksempel en delingshændelse.

Bruger tilladt at oprette grupper

AllowGroupCreationSet

Webstedets administrator eller ejer føjer et tilladelsesniveau til et websted, så en bruger tildelt den pågældende tilladelse kan oprette en gruppe for det pågældende websted.

Undtaget brugeragenter ændret

CustomizeExemptUsers

Den globale administrator tilpassede listen over undtagne brugeragenter i SharePoint Administration. Du kan angive, hvilke brugeragenter der skal fritages fra at modtage en hel webside, som skal indekseres. Det betyder, at når en brugeragent, du har angivet som undtaget, støder på en InfoPath-formular, skal formularen returneres som en XML-fil i stedet for en hel webside. Det gør indeksering af InfoPath-formularer hurtigere.

En delingspolitik ændret

SharingPolicyChanged

En administrator har ændret en SharePoint-delingspolitik ved hjælp af Office 365-administrationsportalen, SharePoint-administrationsportalen eller shell til SharePoint Online-administration. Enhver ændring af indstillingerne i delingspolitikken i organisationen bliver logført. Politikken, som er blevet ændret, er identificeret i feltegenskaben ModifiedProperty, når du eksporterer søgeresultaterne.

Gruppe oprettet

GroupAdded

Webstedets administrator eller ejer opretter en gruppe for et websted eller udfører en opgave, der resulterer i oprettelse af en gruppe. Første gang en bruger opretter et link for at dele en fil, føjes en systemgruppe for eksempel til brugerens OneDrive for Business-websted. Hændelsen kan også være et resultat af en bruger, der opretter et link med redigeringstilladelser til en delt fil.

Send til-forbindelse oprettet

SendToConnectionAdded

Den globale administrator opretter en ny send til-forbindelse på siden til administration af poster i SharePoint Administration. En send til-forbindelse angiver indstillinger for et dokumentlager eller et datacenter. Når du opretter en send til-forbindelse, kan en indholdsstyring sende dokumenter til den angivne placering.

Gruppe af websteder oprettet

SiteCollectionCreated

Den globale administrator opretter en ny gruppe af websteder i din SharePoint Online-organisation.

Gruppe slettet

GroupRemoved

Brugeren sletter en gruppe fra et websted.

Send til-forbindelse slettet

SendToConnectionRemoved

Den globale administrator sletter en send til-forbindelse på siden til administration af poster i SharePoint Administration.

Dokumenteksempel aktiveret

PreviewModeEnabledSet

Webstedets administrator aktiverer dokumenteksempel for et websted.

Ældre arbejdsproces aktiveret

LegacyWorkflowEnabledSet

Webstedets administrator eller ejer føjer indholdstypen SharePoint 2013-arbejdsprocesopgave til webstedet. Globale administratorer kan også aktivere arbejdsgange for hele organisationen i SharePoint Administration.

Office on Demand aktiveret

OfficeOnDemandSet

Webstedets administrator aktiverer Office on Demand, hvilket giver brugere adgang til den nyeste version af Office-programmerne. Office on Demand er aktiveret i SharePoint Administration og kræver et abonnement på Office 365, der omfatter komplette, installerede Office-programmer.

RSS-feeds aktiveret

NewsFeedEnabledSet

Webstedets administrator eller ejer aktiverer RSS-feeds for et websted. Globale administratorer kan aktivere RSS-feeds for hele organisationen i SharePoint Administration.

Resultatkilde til søgninger efter personer aktiveret

PeopleResultsScopeSet

Webstedets administrator opretter eller ændrer resultatkilden til søgninger efter personer for et websted.

Webstedstilladelser ændret

SitePermissionsModified

Webstedets administrator eller ejer (eller systemkonto) ændrer det tilladelsesniveau, der er tildelt en gruppe på et websted. Denne aktivitet logføres også, hvis alle tilladelser fjernes fra en gruppe.

Bemærk: Denne handling frarådes i SharePoint Online. For at finde relaterede begivenheder kan du søge efter andre tilladelsesrelaterede aktiviteter, som f.eks. Administrator for gruppe af websteder, Bruger eller gruppe føjet til SharePoint-gruppe, Bruger har tilladelse til at oprette grupper, Oprettet gruppe og Slettet gruppe.

Bruger eller gruppe fjernet fra SharePoint-gruppe

RemovedFromGroup

Brugeren har fjernet et medlem eller en gæst fra en SharePoint-gruppe. Dette kan have været en bevidst handling eller resultatet af en anden aktivitet, for eksempel en hændelse med annullering af deling.

Websted omdøbt

SiteRenamed

Webstedets administrator eller ejer omdøber et websted

Administratortilladelser til websted ønsket

SiteAdminChangeRequest

Brugeren anmoder om at blive tilføjet som webstedsadministrator for en gruppe af websteder. Administratorer af grupper af websteder har alle kontroltilladelser til gruppen af websteder og alle underordnede websteder.

Værtswebsted indstillet

HostSiteSet

Den globale administrator ændrer det angivne websted til at være vært for personlige websteder eller OneDrive for Business-websteder.

Gruppe opdateret

GroupUpdated

Webstedets administrator eller ejer ændrer indstillingerne for en gruppe for et websted. Dette kan omfatte en ændring af gruppens navn, hvem der kan se eller redigere gruppemedlemskabet, og hvordan anmodninger om medlemskab håndteres.

Tilbage til Overvågede aktiviteter i Office 365

Aktiviteter for Exchange-postkasse

I følgende tabel vises de aktiviteter, som kan logføres ved logføring af postkasseovervågning. Postkasseaktiviteter udført af postkasseejeren, en delegeret bruger eller en administrator logføres. Som standard er postkasseovervågning i Office 365 ikke aktiveret. Logføring af postkasseovervågning skal være aktiveret for hver postkasse, før postkasseaktivitet logføres. Se Aktivere overvågning af postkasse i Office 365 (webstedet/siden er evt. på engelsk) for at få flere oplysninger.

Brugervenligt navn

Handling

Beskrivelse

Meddelelse kopieret til en anden mappe.

Copy

En meddelelse blev kopieret til en anden mappe.

Meddelelser oprettet eller modtaget

Create

Der oprettes et element i mappen Kalender, Kontaktpersoner, Noter eller Opgaver i postkassen, der oprettes for eksempel en ny mødeindkaldelse. Vær opmærksom på, at oprettelse af meddelelser eller mapper ikke overvåges.

Meddelelser slettet fra mappen Slettet post

SoftDelete

En meddelelse blev permanent slettet eller slettet fra mappen Slettet post. Disse elementer flyttes til mappen Genoprettelige elementer. Meddelelser flyttes også til mappen Genoprettelige elementer, når en bruger vælger det og trykker på Skift + Delete.

Meddelelser flyttet til en anden mappe.

Move

En meddelelse blev flyttet til en anden mappe.

Meddelelser flyttet til mappen Slettet post

MoveToDeletedItems

En meddelelse blev slettet og flyttet til mappen Slettet post.

Meddelelser slettet fra postkassen

HardDelete

En meddelelse blev slettet fra mappen Genoprettelige elementer (slettet permanent fra postkassen).

Meddelelse sendt ved hjælp af Send som-tilladelser

SendAs

En meddelelse blev sendt ved hjælp af SendAs-tilladelsen. Det betyder, at en anden bruger har sendt meddelelsen, som om den kom fra postkasseejeren.

Meddelelse sendt ved hjælp af Send på vegne af-tilladelser

SendOnBehalf

En meddelelse blev sendt ved hjælp af SendOnBehalf-tilladelsen. Det betyder, at en anden bruger har sendt meddelelsen på vegne af postkasseejeren. Meddelelsen angiver over for modtageren, hvem meddelelsen blev sendt på vegne af, og hvem der rent faktisk har sendt meddelelsen.

Meddelelse opdateret

Update

En meddelelse eller dens egenskaber blev ændret.

Bruger logget på postkasse

MailboxLogin

Brugeren er logget på sin postkasse.

Tilbage til Overvågede aktiviteter i Office 365

Sway-aktiviteter

Bemærk: Vi er stadig i gang med at rulle overvågningslogføring i Sway ud til Office 365-organisationer.

I følgende tabel vises bruger- og administratoraktiviteter i Sway. Sway er en Office 365-app, der hjælper brugere med at indsamle, formatere og dele ideer, historier og præsentationer på et interaktivt, webbaseret lærred. Se Ofte stillede spørgsmål om Sway – Hjælp til administratorer for at få flere oplysninger.

Brugervenligt navn

Handling

Beskrivelse

Sway-delingsniveau ændret

SwayChangeShareLevel

Brugeren ændrer delingsniveauet for en Sway. Denne hændelse registrerer, at brugeren ændrer det delingsomfang, der er knyttet til en Sway, for eksempel offentlig kontra inden i organisationen.

Sway oprettet

SwayCreate

Brugeren opretter en Sway.

Sway slettet

SwayDelete

Brugeren sletter en Sway.

Duplikering af Sway deaktiveret

SwayDisableDuplication

Brugeren deaktiverer duplikering af en Sway.

Sway duplikeret

SwayDuplicate

Brugeren duplikerer en Sway.

Sway redigeret

SwayEdit

Brugeren redigerer en Sway.

Duplikering af Sway aktiveret

EnableDuplication

Brugeren aktiverer duplikering af en Sway. En brugers mulighed for at aktivere duplikering af en Sway er aktiveret som standard.

Deling af Sway tilbagekaldt

SwayRevokeShare

Brugeren stopper deling af en Sway ved at tilbagekalde adgangen til den. Tilbagekaldelse af adgangen ændrer de links, der er knyttet til en Sway.

Sway delt

SwayShare

Brugeren har til hensigt at dele en Sway. Denne hændelse registrerer brugerens handling med at klikke på en bestemt delingsdestination i Sway-delingsmenuen. Hændelsen angiver ikke, om brugeren har fuldført delingshandlingen.

Ekstern deling af Sway deaktiveret

SwayExternalSharingOff

Administratoren deaktiverer ekstern deling af Sway for hele organisationen ved hjælp af Office 365 Administration.

Ekstern deling af Sway aktiveret

SwayExternalSharingOn

Administratoren aktiverer ekstern deling af Sway for hele organisationen ved hjælp af Office 365 Administration.

Sway-tjeneste deaktiveret

SwayServiceOff

Administratoren deaktiverer Sway for hele organisationen ved hjælp af Office 365 Administration.

Sway-tjeneste aktiveret

SwayServiceOn

Administratoren aktiverer Sway for hele organisationen ved hjælp af Office 365 Administration (Sway-tjenesten er aktiveret som standard).

Sway vist

SwayView

Brugeren får vist en Sway.

Tilbage til Overvågede aktiviteter i Office 365

Aktiviteter for brugeradministration

I følgende tabel vises brugeradministrationsaktiviteter, der logføres, når en administrator tilføjer eller ændrer en brugerkonto ved hjælp af Office 365 Administration eller Azure-administrationsportalen.

Aktivitet

Handling

Beskrivelse

Bruger tilføjet

Tilføj bruger

En Office 365-brugerkonto blev oprettet.

Brugerlicens ændret

Skift brugerlicens

Den licens, der er tildelt en bruger, blev ændret. Se den tilsvarende aktivitet Bruger opdateret for at finde ud af, hvilke licenser der blev ændret.

Brugers adgangskode ændret

Skift brugerens adgangskode

Administrator har ændret adgangskoden for en bruger.

Bruger slettet

Slette bruger

En Office 365-brugerkonto blev slettet.

Nulstil brugerens adgangskode

Nulstil brugerens adgangskode

Administrator har nulstillet adgangskoden for en bruger.

Angiv egenskab, der tvinger brugeren til at ændre adgangskode

Indstil tvungen ændring af brugerens adgangskode

Administrator har indstillet den egenskab, der tvinger en bruger til at ændre sin adgangskode, næste gang brugeren logger på Office 365.

Indstil licensegenskaber

Indstil licensegenskaber

Administrator ændrer egenskaberne for en licens tildelt en bruger.

Bruger opdateret

Opdater bruger

Administrator ændrer en eller flere egenskaber for en brugerkonto. Se afsnittet "Opdatere brugerattributter" i Hændelser i Azure Active Directory-overvågningsrapport (webstedet/siden er evt. på engelsk) for at finde en liste over de brugeregenskaber, der kan opdateres.

Tilbage til Overvågede aktiviteter i Office 365

Azure AD – Gruppeadministrationsaktiviteter

I følgende tabel vises gruppeadministrationsaktiviteter, der logføres, når en administrator eller bruger opretter eller ændrer en Office 365-gruppe, eller når en administrator opretter en sikkerhedsgruppe ved hjælp af Office 365 Administration eller Azure-administrationsportalen. Se Få vist, oprett og slet grupper i Office 365 Administration for at få flere oplysninger om grupper i Office 365.

Brugervenligt navn

Handling

Beskrivelse

Gruppe tilføjet

Tilføj gruppe

En gruppe blev oprettet.

Medlem føjet til gruppe

Føj medlem til gruppe

Et medlem blev føjet til en gruppe.

Gruppe slettet

Slet gruppe

En gruppe blev slettet.

Medlem fjernet fra gruppe

Fjern medlem fra gruppe

Et medlem blev fjernet fra en gruppe.

Gruppe opdateret

Opdater gruppe

En egenskab for en gruppe blev ændret.

Tilbage til Overvågede aktiviteter i Office 365

Aktiviteter for programadministration

I følgende tabel vises programadministrationsaktiviteter, som logføres, når en administrator tilføjer eller ændrer et program, der er registreret i Azure AD. Programmer, der er afhængige af Azure AD til godkendelse, skal registreres i kataloget.

Brugervenligt navn

Handling

Beskrivelse

Delegeringspost tilføjet

Tilføj delegeringspost

En godkendelsestilladelse blev oprettet/tildelt et program i Azure AD.

Tjenesteprincipal tilføjet

Tilføj tjenesteprincipal

Et program blev registreret i Azure AD. Et program er repræsenteret af en tjenesteprincipal i kataloget.

Legitimationsoplysninger føjet til en tjenesteprincipal

Tilføj legitimationsoplysninger for tjenesteprincipal

Legitimationsoplysninger blev føjet til en tjenesteprincipal i Azure AD. En tjenesteprincipal repræsenterer et program i kataloget.

Delegeringspost fjernet

Fjern delegeringspost

En godkendelsestilladelse blev fjernet fra et program i Azure AD.

En tjenesteprincipal fjernet fra kataloget

Fjern tjenesteprincipal

Et program blev slettet/afregistreret fra Azure AD. Et program er repræsenteret af en tjenesteprincipal i kataloget.

Legitimationsoplysninger fjernet fra en tjenesteprincipal

Fjern legitimationsoplysninger for tjenesteprincipal

Legitimationsoplysninger blev fjernet fra en tjenesteprincipal i Azure AD. En tjenesteprincipal repræsenterer et program i kataloget.

Indstil delegeringspost

Indstil delegeringspost

En godkendelsestilladelse blev opdateret for et program i Azure AD.

Tilbage til Overvågede aktiviteter i Office 365

Aktiviteter for rolleadministration

I følgende tabel vises Azure AD-rolleadministrationsaktiviteter, der logføres, når en administrator styrer administratorroller i Office 365 Administration eller Azure-administrationsportalen.

Brugervenligt navn

Handling

Beskrivelse

Føj medlem til rolle

Føj rollemedlem til rolle

En bruger blev føjet til en administratorrolle i Office 365.

En bruger fjernet fra en katalogrolle

Fjern rollemedlem fra rolle

En bruger blev fjernet fra en administratorrolle i Office 365.

Angiv firmaets kontaktoplysninger

Angiv firmaets kontaktoplysninger

Kontaktindstillinger for din Office 365-organisation på virksomhedsniveau blev opdateret. Dette omfatter mailadresser for abonnementsrelaterede mails, der sendes af Office 365, samt tekniske beskeder om Office 365-tjenester.

Tilbage til Overvågede aktiviteter i Office 365

Aktiviteter for katalogadministration

I følgende tabel vises aktiviteter relateret til Azure AD-kataloger og -domæner, der logføres, når en administrator styrer sin Office 365-organisation i Office 365 Administration eller Azure-administrationsportalen.

Brugervenligt navn

Handling

Beskrivelse

Domæne føjet til virksomhed

Føj domæne til virksomhed

Et domæne blev føjet til din Office 365-organisation.

En partner føjet til kataloget

Føj partner til virksomhed

En partner (delegeret administrator) blev føjet til din Office 365-organisation.

Domænet fjernet fra virksomhed

Fjern domæne fra virksomhed

Et domæne blev fjernet fra til din Office 365-organisation.

En partner fjernet fra kataloget

Fjern partner fra virksomhed

En partner (delegeret administrator) blev fjernet fra til din Office 365-organisation.

Angiv firmaoplysninger

Angiv firmaoplysninger

Firmaoplysninger blev opdateret for din Office 365-organisation. Dette omfatter mailadresser for abonnementsrelaterede mails, der sendes af Office 365, samt tekniske beskeder om Office 365-tjenester.

Angiv domænegodkendelse

Angiv domænegodkendelse

Indstillingen for godkendelse af domæne blev ændret for din Office 365-organisation.

Indstillingerne for sammenslutning opdateret for et domæne

Angiv indstillinger for sammenslutning på et domæne

Indstillingerne for sammenslutning (ekstern deling) blev ændret for din Office 365-organisation.

Angiv adgangskodepolitik

Angiv adgangskodepolitik

Længde- og tegnbegrænsningerne blev ændret for brugeradgangskoder i din Office 365-organisation.

Azure AD-synkronisering aktiveret

Indstil DirSyncEnabled-flag på virksomhed

Angiv den egenskab, der aktiverer et katalog til Azure AD-synkronisering.

Domæne opdateret

Opdater domæne

Indstillingerne for et domæne blev opdateret i din Office 365-organisation.

Domæne godkendt

Godkend domæne

Bekræftet, at din organisation er ejeren af et domæne.

Godkendt domæne bekræftet via mail

Bekræft godkendt domæne via mail

Mailbekræftelsen blev brugt til at bekræfte, at din organisation er ejeren af et domæne.

Tilbage til Overvågede aktiviteter i Office 365

eDiscovery-aktiviteter

Indholdssøgning og eDiscovery-relaterede aktiviteter, der udføres i Sikkerheds- og overholdelsescenter til Office 365 eller ved at køre de tilhørende Windows PowerShell-cmdletter, logføres i Office 365-overvågningsloggen. Dette omfatter følgende aktiviteter:

  • Oprette og administrere eDiscovery-sager

  • Oprette, starte og redigere indholdssøgninger

  • Udføre handlinger til indholdssøgning, f.eks vise, eksportere og slette søgeresultater

  • Konfigurere filtrering af tilladelser for indholdssøgning

  • Administrere eDiscovery-administratorrolle

Se Søge efter eDiscovery-aktiviteter i Office 365-overvågningsloggen (webstedet/siden er evt. på engelsk) for at få en liste over og en detaljeret beskrivelse af de eDiscovery-aktiviteter, der logføres.

Tilbage til Overvågede aktiviteter i Office 365

Power BI-aktiviteter

I følgende tabel vises brugerens og administratorens aktiviteter i Power BI, der er logget i Office 365-overvågningsloggen.

Brugervenligt navn

Handling

Beskrivelse

Tilføjede Power BI-gruppemedlemmer

AddGroupMembers

Et medlem føjes til en Power BI-gruppes arbejdsområde.

Oprettede Power BI-dashboard

CreateDashboard

Der oprettes et nyt dashboard.

Oprettede Power BI-gruppe

CreateGroup

En gruppe oprettes.

Oprettede organisatorisk Power BI-indholdspakke

CreateOrgApp

En organisatorisk indholdspakke oprettes.

Slettede Power BI-dashboard

DeleteDashboard

Et dashboard slettes.

Slettede Power BI-datasæt

DeleteDataset

Et datasæt slettes.

Slettede Power BI-rapport

DeleteReport

En rapport slettes.

Downloadede Power BI-rapport

DownloadReport

En bruger downloader en Power BI-rapport fra tjenesten til sin computer.

Redigerede Power BI-dashboard

Redigere et dashboard

Et dashboard omdøbes.

Eksporterede visuelle data for Power BI-rapport

ExportReport

Data eksporteres fra et rapportfelt.

Eksporterede data fra Power BI-feltet

ExportTile

Data eksporteres fra et dashboardfelt.

Udskrev Power BI-dashboard

PrintDashboard

Et dashboard udskrives.

Udskrev Power BI-rapportside

PrintReport

En rapport udskrives.

Udgav Power BI-rapport på internettet

PublishToWebReport

En rapport udgives på internettet.

Delte Power BI-dashboard

ShareDashboard

Et dashboard deles.

Startede Power BI-prøveversion

OptInForProTrial

En bruger starter et Power BI Pro-prøveabonnement.

Opdaterede organisationens Power BI-indstillinger

UpdatedAdminFeatureSwitch

En administrator har ændret en organisatorisk indstilling i Power BI-administrationsportalen.

Viste Power BI-dashboard

ViewDashboard

Et dashboard vises.

Viste Power BI-rapport

ViewReport

En rapport vises.

Tilbage til Overvågede aktiviteter i Office 365

Yammer-aktiviteter

I følgende tabel vises brugerens og administratorens aktiviteter i Yammer, der er logget i Office 365-overvågningsloggen. For at se Yammer-relaterede aktiviteter fra Office 365-overvågningsloggen skal du vælge Vis resultater for alle aktiviteter i listenAktiviteter. Brug felterne for datoområde og listen Brugere for at indsnævre søgeresultaterne.

Brugervenligt navn

Handling

Beskrivelse

Accepterede politik for brug af netværk

UsagePolicyAcceptance

Bruger accepterer politik for brug for Yammer-netværket.

Aktiverede konto

UserActivation

Ny bruger aktiverer sin konto.

Tilføjede eller fjernede netværksadministrator

NetworkAdminUpdated

Netværksadministrator eller bekræftet administrator tildeler eller tilbagekalder netværksadministratortilladelser til en bruger.

Tilføjede eller fjernede bekræftet administrator

NetworkVerifiedAdminUpdated

Bekræftet administrator tildeler eller tilbagekalder bekræftede administratortilladelser til en bruger. Kun bekræftede administratorer kan udføre denne handling.

Tilføjede bruger til gruppe

GroupJoined

Bruger føjer en anden bruger til en gruppe.

Masseoprettede nye brugere

CsvUserImport

Bekræftet administrator bruger en CSV-fil til at oprette flere brugerkonti. Kun bekræftede administratorer kan udføre denne handling.

Ændrede dataopbevaringspolitik

SoftDeleteSettingsUpdated

Bekræftet administrator opdaterer indstillingen for netværkets dataopbevaringspolitik til enten hård sletning eller blød sletning. Kun bekræftede administratorer kan udføre denne handling.

Ændret indstilling for beskyttelse af personlige oplysninger for grupper

GroupPrivacyToggled

Gruppeadministratoren ændrer indstillingen for beskyttelse af personlige oplysninger for en gruppe til Privat adgang eller Offentlig adgang.

Ændrede netværkskonfiguration

NetworkConfigurationUpdated

Netværksadministrator eller bekræftet administrator ændrer konfiguration for Yammer-netværket. Dette omfatter indstillingen for intervallet for eksport af data og aktivering af chat.

Ændrede indstillinger for netværksprofil

ProcessProfileFields

Netværksadministrator eller bekræftet administrator ændrer de oplysninger, der vises på medlemsprofiler for brugerne i dit netværk.

Ændrede politik for brug af netværk

UsagePolicyUpdated

Bruger opdaterer politik for brug af Yammer-netværk.

Ændrede privat indholdstilstand

SupervisorAdminToggled

Bekræftet administrator aktiverer eller deaktiverer Privat indholdstilstand. Med denne tilstand kan en administrator få vist indlæg i private grupper og få vist private meddelelser mellem individuelle brugere (eller grupper af brugere). Kun bekræftede administratorer kan udføre denne handling.

Ændrede sikkerhedskonfiguration

NetworkSecurityConfigurationUpdated

Bekræftet administrator opdaterer sikkerhedskonfigurationen for Yammer-netværket. Dette omfatter indstilling af adgangskode, udløbspolitikker og restriktioner på IP-adresser. Kun bekræftede administratorer kan udføre denne handling.

Oprettede fil

FileCreated

Bruger overfører en fil.

Gruppe oprettet

GroupCreation

Bruger opretter en ny gruppe.

Slettet fil

FileDeleted

Brugeren sletter en fil.

Gruppe slettet

GroupDeletion

En gruppe er slettet fra Yammer.

Slettet meddelelse

MessageDeleted

Bruger sletter en meddelelse.

Slettet netværksbruger

NetworkUserDeleted

Netværksadministrator eller bekræftet administrator sletter en bruger fra Yammer.

Bemærk: En netværksadministrator kan ikke slette en bekræftet administrator.

Bruger slettet

UserDeletion

Brugerkonto er slettet.

Downloadet fil

FileDownloaded

Bruger henter en fil.

Eksporterede data

DataExport

Bekræftet administrator eksporterer Yammer-netværksdata. Kun bekræftede administratorer kan udføre denne handling.

Tvang alle brugere til at logge af

LogoutUsers

Bekræftet administrator tvinger alle brugere til at logge af på tværs af alle Yammer-klienter. Kun bekræftede administratorer kan udføre denne handling.

Fjernede medlem fra gruppe

GroupMemberDeletion

Bruger fjerner et medlem fra en gruppe.

Delte fil

FileShared

Bruger deler en fil med en anden bruger.

Suspenderede netværksbruger

NetworkUserSuspended

Netværksadministrator eller bekræftet administrator suspenderer (deaktiverer) en bruger fra Yammer.

Suspenderede bruger

UserSuspension

Brugerkonto er suspenderet (deaktiveret).

Opdaterede filbeskrivelse

FileUpdateDescription

Bruger ændrer beskrivelsen af en fil.

Opdaterede filnavn

FileUpdateName

Bruger ændrer navnet på en fil.

Viste fil

FileVisited

Brugeren får vist en fil.

Tilbage til Overvågede aktiviteter i Office 365

Overvågningslog for Exchange-administrator

Overvågningslogføring for Exchange-administrator – der er aktiveret som standard i Office 365 – logfører en hændelse i Office 365- overvågningsloggen, når en administrator (eller en bruger, der har fået tildelt administrative rettigheder) foretager en ændring i din Exchange Online-organisation. Ændringer foretaget ved hjælp af Exchange Administration eller ved at køre en cmdlet i Windows PowerShell, logføres i overvågningsloggen for Exchange-administratoren. Se Overvågningslogføring for administrator (webstedet/siden er evt. på engelsk) for at få mere detaljerede oplysninger om overvågningslogføring for administratorer i Exchange. Her er nogle tip til at søge efter aktiviteter i overvågningsloggen for Exchange-administrator:

  • Du skal markere Vis resultater for alle aktiviteter på listen Aktiviteter for at returnere poster fra overvågningsloggen for Exchange-administrator. Brug felterne til datointerval og listen Brugere for at begrænse søgeresultaterne for cmdletter, der køres af en bestemt Exchange- administrator inden for et bestemt datointerval.

  • Hvis du vil have vist hændelser fra Exchange-administratorens overvågningslog, skal du filtrere søgeresultaterne og indtaste en (streg) i filterboksen Aktivitet. Derved vises cmdlet-navne, der vises i kolonnen Aktivitet for Exchange-administratorhændelser. Du kan derefter sortere cmdlet-navnene i alfabetisk rækkefølge.

    Skriv en bindestreg i boksen Aktiviteter for at filtrere Exchange Administration-hændelser
  • For at få oplysninger om, hvilken cmdlet der blev kørt, hvilke parametre og parameterværdier der blev brugt, og hvilke objekter der blev berørt, skal du eksportere søgeresultaterne og vælge indstillingen Hent alle resultater.

Tilbage til toppen

Var disse oplysninger nyttige?

Fantastisk! Har du mere feedback?

Hvordan kan vi forbedre det?

Tak for din feedback!

×