Detaillierte Eigenschaften im Office 365-Überwachungsprotokoll

Wenn Sie die Ergebnisse einer Überwachungsprotokollsuche im Office 365 Security & Compliance Center exportieren, haben Sie die Möglichkeit, alle Ergebnisse herunterzuladen, die Ihren Suchkriterien entsprechen. Wählen Sie hierzu im Security & Compliance Center auf der Seite Überwachungsprotokollsuche die Befehle Ergebnisse exportieren > Alle Ergebnisse herunterladen aus. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365-Schutzcenter.

Wenn Sie alle Ergebnisse einer Überwachungsprotokollsuche exportieren, werden die Rohdaten aus dem einheitlichen Office 365-Überwachungsprotokoll in eine CSV-Datei (kommagetrennt) kopiert, die auf den lokalen Computer heruntergeladen wird. Diese Datei enthält zusätzliche Informationen aus dem Überwachungsprotokolleintrag in einer Spalte mit Namen Detail. Diese Spalte enthält eine mehrwertige Eigenschaft für mehrere Eigenschaften aus dem Überwachungsprotokolldatensatz. Die einzelnen property:value-Paare in dieser mehrwertigen Eigenschaft sind durch Kommas getrennt.

Die folgende Tabelle beschreibt je nach Office 365-Dienst, in dem ein Ereignis auftritt, die in der Spalte mehrwertigen Detail aufgeführten Eigenschaften. Die Spalte Office 365-Dienst mit dieser Eigenschaft    gibt den Dienst und den Aktivitätstyp (Benutzer oder Administrator) an, der die Eigenschaft aufweist. Ausführlichere Informationen zu diese Eigenschaften oder zu Eigenschaften, die in diesem Thema nicht behandelt werden, finden Sie unter Office 365 Management Activity API Schema.

Tipp : Mithilfe von Power Query in Excel können Sie diese Spalte in mehrere Spalten aufteilen, sodass jede Eigenschaft über eine eigene Spalte verfügt. Dadurch können Sie nach einer oder mehreren dieser Eigenschaften sortieren und filtern. Informationen dazu finden Sie im Abschnitt "Aufteilen einer Spalte anhand eines Trennzeichens" unter Aufteilen einer Spalte mit Text (Power Query).

Eigenschaft

Beschreibung

Office 365-Dienst mit dieser Eigenschaft

Actor

Das Benutzer- oder Dienstkonto, das die Aktion durchgeführt hat.

Azure Active Directory

AzureActiveDirectoryEventType

Der Typ des Azure Active Directory-Ereignisses. Die folgenden Werte geben den Ereignistyp an.

0      Steht für ein Kontoanmeldeereignis.

1      Steht für ein Ereignis der Azure-Anwendungssicherheit an.

Azure Active Directory

Client

Das Clientgerät, das Betriebssystem des Geräts und der Browser des Geräts, der für das Anmeldeereignis verwendet wurde (z. B. Nokia Lumnia 920,Windows Phone 8, Internet Explorer Mobile 11).

Azure Active Directory

ClientInfoString

Informationen zum E-Mail-Client, der für die Durchführung der Aktion verwendet wurde, wie die Browserversion, die Outlook-Version und Informationen zum mobilen Gerät

Exchange (Postfachaktivität)

ClientIP

Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird entweder im Format IPv4 oder im Format IPv6 angezeigt.

Exchange und Azure Active Directory

ClientIPAddress

Identisch mit ClientIP.

SharePoint

CreationTime

Das Datum und die Uhrzeit in UTC (koordinierte Weltzeit), zu dem/der der Benutzer die Aktivität durchgeführt hat.

Alle

DestinationFileExtension

Die Dateierweiterung einer Datei, die kopiert oder verschoben wurde. Diese Eigenschaft wird nur für die Benutzeraktivitäten "FileCopied" und "FileMoved" angezeigt.

SharePoint

DestinationFileName

Der Name der kopierten oder verschobenen Datei. Diese Eigenschaft wird nur für die Aktionen "FileCopied" und "FileMoved" angezeigt.

SharePoint

DestinationRelativeUrl

Die URL des Zielordners, in den eine Datei kopiert oder verschoben wurde. Die Kombination der Werte der Eigenschaften SiteURL, DestinationRelativeURL und DestinationFileName entspricht dem Wert der Eigenschaft ObjectID, d. h. dem vollständigen Pfadnamen der kopierten Datei. Diese Eigenschaft wird nur für die Benutzeraktivitäten "FileCopied" und "FileMoved" angezeigt.

SharePoint

EventSource

Gibt an, dass in SharePoint ein Ereignis eingetreten ist. Mögliche Werte sind SharePoint und ObjectModel.

SharePoint

ExternalAccess

Gibt für Exchange-Administratoraktivitäten an, ob das Cmdlet von einem Benutzer in Ihrer Organisation, von einem Mitarbeiter des Microsoft-Rechenzentrums oder einem Dienstkonto des Rechenzentrums oder von einem delegierten Administrator ausgeführt wurde. Der Wert False (Falsch) gibt an, dass das Cmdlet von einer Person aus Ihrer Organisation ausgeführt wurde. Der Wert True (Wahr) gibt an, dass das Cmdlet von einem Mitarbeiter des Rechenzentrums, einem Dienstkonto des Rechenzentrums oder einem delegierten Administrator ausgeführt wurde.

Gibt bei Exchange-Postfachaktivitäten an, ob von einem Benutzer außerhalb Ihrer Organisation auf ein Postfach zugegriffen wurde.

Exchange

ExtendedProperties

Die erweiterten Eigenschaften für das Azure Active Directory-Ereignis.

Azure Active Directory

ID

Die ID des Berichtseintrags. Mit dieser ID wird der Berichtseintrag eindeutig identifiziert.

Alle

InternalLogonType

Nur zur internen Verwendung

Exchange (Postfachaktivität)

ItemType

Der Typ des Objekts, auf das zugegriffen oder das geändert wurde. Mögliche Werte sind File, Folder, Web, Site, Tenant und DocumentLibrary.

SharePoint

LoginStatus

Gibt möglicherweise aufgetretene Anmeldefehler an.

Azure Active Directory

LogonType

Die Art des Postfachzugriffs. Die folgenden Werte geben den Benutzertyp an, der auf das Postfach zugegriffen hat.

0      Ein Postfachbesitzer.

1      Ein Administrator.

2      Ein Stellvertreter.

3      Der Transportdienst im Microsoft-Rechenzentrum.

4      Ein Dienstkonto im Microsoft-Rechenzentrum.

6      Ein delegierter Administrator.

Exchange (Postfachaktivität)

MailboxGuid

Die Exchange-GUID des Postfachs, auf das zugegriffen wurde.

Exchange (Postfachaktivität)

MailboxOwnerUPN

Die E-Mail-Adresse des Besitzers des Postfachs, auf das zugegriffen wurde.

Exchange (Postfachaktivität)

ModifiedProperties (Name, NewValue, OldValue)

Diese Eigenschaft wurde für Administratorereignisse wie das Hinzufügen eines Benutzers als Mitglied der Administratorengruppe einer Website oder einer Websitesammlung. Die Eigenschaft enthält den Namen der Eigenschaft, die geändert wurde (z. B. der Website-Administratorengruppe), den neuen Wert der geänderten Eigenschaft (wie den Benutzer, der als Websiteadministrator hinzugefügt wurde) und den vorherigen Wert des geänderten Objekts.

Alle (Administratoraktivität)

ObjectID

Beim Überwachungsprotokoll für Exchange-Administratoren den Namen des Objekts, das von dem Cmdlet geändert wurde.

Bei einer SharePoint-Aktivität den vollständigen URL-Pfadnamen der Datei oder des Ordners, auf die oder den ein Benutzer zugegriffen hat.

Bei einer Azure AD-Aktivität der Name des Benutzerkontos, das geändert wurde.

Alle

Operation

Der Name der Benutzer- oder Administratoraktivität. Der Wert dieser Eigenschaft entspricht dem Wert, der in der Dropdownliste Aktivitäten ausgewählt wurde. Wenn Ergebnisse für alle Aktivitäten anzeigen ausgewählt wurde, enthält der Bericht Einträge für alle Benutzer- und Administratoraktivitäten für alle Dienste. Eine Beschreibung der Vorgänge und Aktivitäten, die im Office 365-Überwachungsprotokoll aufgezeichnet werden, finden Sie unter Überwachte Aktivitäten in Office 365.

Bei Exchange-Administratoraktivitäten gibt diese Eigenschaft den Namen des ausgeführten Cmdlets an.

Alle

OrganizationID

Die GUID für Ihre Office 365-Organisation.

Alle

Path

Der Name des Postfachordners, in dem sich die Nachricht befindet, auf die zugegriffen wurde. Diese Eigenschaft gibt zudem den Ordner an, in dem eine Nachricht erstellt oder ihn den sie kopiert/verschoben wurde.

Exchange (Postfachaktivität)

Parameters

Bei einer Exchange-Administratoraktivität der Name und Wert aller Parameter, die in Verbindung mit dem Cmdlet verwendet wurden, das in der Eigenschaft "Operation" bezeichnet wurde.

Exchange (Administratoraktivität)

RecordType

Der vom Datensatz angegebene Vorgangstyp. Die folgende Werte geben den Datensatztyp an.

1      Steht für einen Datensatz aus dem Überwachungsprotokoll für Exchange-Administratoren.

2      Steht für einen Datensatz aus dem Überwachungsprotokoll für Exchange-Postfächer und kennzeichnet einen Vorgang, der für ein einzelnes Postfachelement ausgeführt wurde.

3      Steht ebenfalls für einen Datensatz aus dem Überwachungsprotokoll für Exchange-Postfächer. Dieser Datensatztyp gibt an, dass der Vorgang für mehrere Elemente im Quellpostfach durchgeführt wurde (wie das Verschieben mehrerer Elemente in den Ordner "Gelöschte Elemente" oder das dauerhafte Löschen von mehreren Elementen).

4      Steht für den Vorgang eines Websiteadministrators in SharePoint, wie das Zuweisen von Berechtigungen für eine Website durch einen Administrator oder Benutzer.

6      Steht für einen eine Datei oder einen Ordner betreffenden Vorgang in SharePoint, wie einen Benutzer, der eine Datei anzeigt oder ändert.

8      Steht für einen in Azure Active Directory durchgeführten Administratorvorgang.

9      Steht für OrgId-Anmeldeereignisse in Azure Active Directory. Dieser Berichtstyp wird nicht mehr unterstützt.

10      Steht für Ereignisse des Sicherheits-Cmdlet, die von Microsoft-Mitarbeitern im Rechenzentrum ausgeführt wurden.

11      Steht für DLP-Ereignisse (Schutz vor Datenverlust) in SharePoint.

12      Steht für Sway-Ereignisse.

14      Steht für die Freigabe von Ereignissen in SharePoint.

15      Steht für STS-Anmeldeereignisse (Secure Token Service) in Azure Active Directory.

18      Steht für Security & Compliance Center-Ereignisse.

20      Steht für Power BI-Ereignisse.

22      Steht für Yammer-Ereignisse.

Alle

ResultStatus

Gibt an, ob die (in der Eigenschaft Operation angegebene) Aktion erfolgreich war.

Bei einer Exchange-Administratoraktivität lautet der Wert entweder True (Wahr, erfolgreich) oder False (Falsch, fehlgeschlagen).

Alle

SecurityComplianceCenterEventType

Gibt an, dass es sich bei der Aktivität um ein Security & Compliance Center-Ereignis handelt. Alle Security & Compliance Center-Aktivitäten weisen für diese Eigenschaft den Wert 0 auf.

Office 365 Security & Compliance Center

SharingType

Der Typ der Freigabeberechtigung, die dem Benutzer zugewiesen wurde, für den die Ressource freigegeben wurde. Dieser Benutzer wird in der Eigenschaft UserSharedWith angegeben.

SharePoint

Site

Die GUID der Website, auf der sich die Datei oder der Ordner befinden, auf die oder den der Benutzer zugegriffen hat.

SharePoint

SiteUrl

Die URL der Website, auf der sich die Datei oder der Ordner befinden, auf die oder den der Benutzer zugegriffen hat.

SharePoint

SourceFileExtension

Die Erweiterung der Datei, auf die der Benutzer zugegriffen hat. Die Eigenschaft ist leer, wenn es sich bei dem Objekt, auf das zugegriffen wurde, um einen Ordner handelt.

SharePoint

SourceFileName

Der Name der Datei oder des Ordners, auf die oder den der Benutzer zugegriffen hat.

SharePoint

SourceRelativeUrl

Die URL des Ordners, der die Datei enthält, auf die der Benutzer zugegriffen hat. Die Kombination der Werte der Eigenschaften SiteURL, SourceRelativeURL und SourceFileName entspricht dem Wert der Eigenschaft ObjectID, d. h. dem vollständigen Pfadnamen der Datei, auf die der Benutzer zugegriffen hat.

SharePoint

Subject

Die Betreffzeile der Nachricht, auf die zugegriffen wurde.

Exchange (Postfachaktivität)

Target

Der Benutzer (wie angegeben in der Eigenschaft Operation) der von der Aktion betroffen ist.

Azure Active Directory

UserAgent

Informationen zum Browser des Benutzers. Diese Informationen werden vom Browser übermittelt.

SharePoint

UserDomain

Identitätsinformationen zur Mandantenorganisation des Benutzers (Akteur), der die Aktion ausgeführt hat.

Azure Active Directory

UserID

Der Benutzer (angegeben in der Eigenschaft Operation), der die Aktion durchgeführt hat, die zu dem Eintrag im Überwachungsprotokoll geführt hat. Beachten Sie, dass Aktivitäten, die von Systemkonten (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) ausgeführt werden, ebenfalls als Einträge im Überwachungsprotokoll erscheinen.

Alle

UserKey

Eine alternative ID für den Benutzer, der in der Eigenschaft UserID angegeben wird. Diese Eigenschaft wird beispielsweise bei Ereignissen, die von Benutzern in SharePoint ausgelöst werden, mit der PUID (Passport Unique ID) ausgefüllt. Diese Eigenschaft enthält möglicherweise denselben Wert wie die Eigenschaft UserID für Ereignisse, die in anderen Systemen auftreten und für Ereignisse, die von Systemkonten ausgelöst werden.

Alle

UserSharedWith

Der Benutzer, für den eine Ressource freigegeben wurde. Diese Eigenschaft wird eingeschlossen, wenn SharingSet der Wert der Eigenschaft Operation ist. Der Benutzer wird zudem in der Spalte Freigegeben für des Berichts angegeben.

SharePoint

UserType

Der Typ des Benutzers, der den Vorgang ausgeführt hat. Die folgende Werte geben den Benutzertyp an.

0      Ein normaler Benutzer.

2      Ein Administrator in Ihrer Office 365-Organisation.

3      Ein Administrator in einem Microsoft-Rechenzentrum oder ein Systemkonto eines Rechenzentrums.

4      Ein Systemkonto.

5      Eine Anwendung.

6      Ein Dienstprinzipal.

Alle

Version

Gibt die Versionsnummer der (in der Eigenschaft Operation bezeichneten) Aktivität an, die protokolliert wird.

Alle

Workload

Der Office 365-Dienst, in dem die Aktivität aufgetreten ist. Mögliche Werte für die Eigenschaft sind:

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

Sway

SecurityComplianceCenter

PowerBI

Yammer

Alle

Seitenanfang

Teilen Facebook Facebook Twitter Twitter E-Mail E-Mail

War diese Information hilfreich?

Sehr gut. Noch anderes Feedback?

Was können wir verbessern?

Vielen Dank für Ihr Feedback!

×