Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center

Nachfolgend ist der Prozess zum Durchsuchen des Überwachungsprotokolls in Office 365 angegeben.

Schritt 1: Durchführen einer Überwachungsprotokollsuche

Schritt 2: Anzeigen der Suchergebnisse

Schritt 3: Filtern der Suchergebnisse

Schritt 4: Exportieren der Suchergebnisse in eine Datei

Informationen zu den Voraussetzungen, die für die Suche nach dem Office 365-Überwachungsprotokoll erforderlich sind, finden Sie im Abschnitt Bevor Sie beginnen.

Schritt 1: Durchführen einer Überwachungsprotokollsuche

  1. Wechseln Sie zu https://protection.office.com.

  2. Melden Sie sich bei Office 365 mit Ihrem Geschäfts-, Schul- oder Unikonto an.

  3. Klicken Sie im linken Bereich auf Suche und Untersuchung, und klicken Sie dann auf Überwachungsprotokollsuche.

    Die Seite Überwachungsprotokollsuche wird angezeigt.

    Konfigurieren Sie die Kriterien, und klicken Sie dann auf "Suchen", um den Bericht auszuführen.

    Hinweis : Sie müssen zuerst die Überwachungsprotokollierung aktivieren, bevor Sie eine Überwachungsprotokollsuche durchführen können. Wenn der Link zu Aufzeichnung von Benutzer- und Administratoraktivitäten starten angezeigt wird, klicken Sie darauf, um die Überwachung zu aktivieren. Wird dieser Link nicht angezeigt, wurde die Überprüfung für Ihre Organisation bereits aktiviert.

  4. Konfigurieren Sie die folgenden Suchkriterien:

    1. Aktivitäten   Klicken Sie auf die Dropdownliste, um die Aktivitäten anzuzeigen, nach denen Sie suchen können. Benutzer- und Administratoraktivitäten sind in Gruppen verwandter Aktivitäten angeordnet. Sie können bestimmte Aktivitäten auswählen oder auf den Namen der Aktivitätsgruppe klicken, um alle Aktivitäten in der Gruppe auszuwählen. Sie können auch auf eine ausgewählte Aktivität klicken, um die Auswahl aufzuheben. Nachdem Sie die Suche ausgeführt haben, werden nur die Überwachungsprotokolleinträge für die ausgewählten Aktivitäten angezeigt. Durch Auswahl von Ergebnisse für alle Aktivitäten anzeigen werden Ergebnisse für alle Aktivitäten angezeigt, die von dem ausgewählten Benutzer oder der ausgewählten Benutzergruppe ausgeführt wurden.

      Es werden mehr als 100 Benutzer- und Administratoraktivitäten im Office 365-Überwachungsprotokoll erfasst. Klicken Sie beim Thema dieses Artikels auf die Registerkarte Überwachte Aktivitäten, um die Beschreibungen der einzelnen Aktivitäten in den verschiedenen Office 365-Diensten anzuzeigen.

    2. Startdatum und Enddatum    Standardmäßig sind die letzten sieben Tage ausgewählt. Wählen Sie einen Datums- und Uhrzeitbereich aus, um die Ereignisse anzuzeigen, die innerhalb dieses Zeitraums aufgetreten sind. Das Datum und die Uhrzeit werden im UTC-Format (Coordinated Universal Time) angezeigt. Der maximale Datumsbereich, den Sie angeben können, umfasst 90 Tage. Es wird ein Fehler angezeigt, wenn der ausgewählte Datumsbereich mehr als 90 Tage umfasst.

      Tipp : Wenn Sie den maximalen Datumsbereich von 90 Tagen verwenden, wählen Sie den aktuellen Zeitpunkt für das Startdatum aus. Andernfalls wird eine Fehlermeldung angezeigt, in der mitgeteilt wird, dass das Startdatum vor dem Enddatum liegt. Wenn Sie die Überwachung innerhalb der letzten 90 Tage aktiviert haben, kann der maximale Datumsbereich nicht vor dem Datum beginnen, an dem die Überwachung aktiviert wurde.

    3. Benutzer  Klicken Sie in dieses Feld, und wählen Sie dann einen oder mehrere Benutzer aus, für die Suchergebnisse angezeigt werden sollen. In der Liste der Ergebnisse werden die Überwachungsprotokolleinträge für die ausgewählte Aktivität angezeigt, die von den Benutzern ausgeführt wurde, die Sie in diesem Feld ausgewählt haben. Lassen Sie dieses Feld leer, um die Einträge für alle Benutzer (und Dienstkonten) in Ihrer Organisation zurückzugeben.

    4. Datei, Ordner oder Website Geben Sie einen Datei- oder Ordnernamen ganz oder teilweise ein, um nach Aktivitäten für die Datei oder den Ordner zu suchen, die bzw. der das angegebene Schlüsselwort enthält. Sie können auch eine URL oder einen Teil einer URL angeben, um Einträge für Aktivitäten für jedes Objekt im angegebenen URL-Pfad anzuzeigen. Beachten Sie, dass Sonderzeichen wie Schrägstriche (/), umgekehrte Schrägstriche (\), Gedankenstriche (-) und Unterstriche (_) in der Suchabfrage nicht unterstützt werden. Achten Sie darauf, Sonderzeichen durch ein Leerzeichen zu ersetzen. Wenn Sie beispielsweise auf einer OneDrive for Business-Website wie https://contoso-mysharepoint.com/personal/sarad_contoso_onmicrosoft_com nach einer Aktivität suchen, könnten Sie im Suchfeld Folgendes eingeben: personal sarad contoso.

      Lassen Sie dieses Feld leer, um Einträge für alle Dateien, Ordner und URLs in Ihrer Organisation zurückzugeben.

  5. Klicken Sie auf Suchen, um die Suche anhand der Suchkriterien auszuführen.

    Die Suchergebnisse werden geladen und nach wenigen Augenblicken unter Ergebnisse angezeigt. Nach Abschluss der Suche wird die Anzahl der gefundenen Ergebnisse angezeigt. Es werden maximal 1.000 Ereignisse angezeigt. Entsprechen mehr als 1.000 Ereignisse den Suchkriterien, werden die neuesten 1.000 Ereignisse angezeigt.

    Die Anzahl der Ergebnisse wird nach Abschluss der Suche angezeigt.

Seitenanfang

Tipps zum Suchen im Überwachungsprotokoll

  • Durch Klicken auf den Aktivitätsnamen können Sie bestimmte Aktivitäten auswählen, nach denen gesucht werden soll. Sie können auch auf den Gruppennamen klicken, um nach allen Aktivitäten in einer Gruppe (z.B. Datei- und Ordneraktivitäten) zu suchen. Wenn eine Aktivität ausgewählt ist, können Sie darauf klicken, um die Auswahl aufzuheben. Sie können auch das Suchfeld verwenden, um die Aktivitäten anzuzeigen, die das von Ihnen eingegebene Schlüsselwort enthalten.

    Klicken Sie auf den Namen der Aktivitätsgruppe, um alle Aktivitäten auszuwählen.
  • Sie müssen Ergebnisse für alle Aktivitäten anzeigen in der Liste Aktivitäten auswählen, um Einträge aus dem Exchange-Administratorüberwachungsprotokoll anzuzeigen. Bei Ereignissen aus diesem Überwachungsprotokoll wird der Name eines Cmdlets (z.B. Set-Mailbox) in der Spalte Aktivität unter den Ergebnissen angezeigt. Weitere Informationen finden Sie in diesem Thema im Abschnitt Überwachte Aktivitäten auf Exchange-Administratoraktivitäten klicken.

  • Klicken Sie auf Auswahl aufheben, um die aktuelle Auswahl von Suchkriterien aufzuheben. Der Datumsbereich wird auf die Standardeinstellung für die letzten sieben Tage zurückgesetzt. Sie können auch auf Gesamte Auswahl aufheben, um Ergebnisse für alle Aktivitäten anzuzeigen klicken, um die getroffene Auswahl von Aktivitäten aufzuheben.

  • Wenn 1.000 Ergebnisse gefunden werden, können Sie wahrscheinlich davon ausgehen, dass mehr als 1.000 Ereignisse die Suchkriterien erfüllen. Sie können entweder die Suchkriterien verfeinern und die Suche erneut durchführen, damit weniger Ergebnisse zurückgegeben werden, oder Sie können alle Suchergebnisse exportieren, indem Sie Ergebnisse exportieren > Alle Ergebnisse herunterladen auswählen.

Seitenanfang

Schritt 2: Anzeigen der Suchergebnisse

Die Ergebnisse einer Überwachungsprotokollsuche werden unter Ergebnisse auf der Seite Überwachungsprotokollsuche angezeigt. Es werden maximal 1.000 (neueste) Ereignisse angezeigt. Die Ergebnisse enthalten die folgenden Informationen zu den einzelnen Ereignissen, die bei der Suche zurückgegeben werden.

  • Datum    Das Datum und die Uhrzeit (in UTC-Format), zu der das Ereignis auftrat.

  • IP-Adresse    Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird entweder im Format IPv4 oder im Format IPv6 angezeigt.

  • Benutzer    Der Benutzer (oder das Dienstkonto), der die Aktion ausführte, durch die das Ereignis ausgelöst wurde.

  • Aktivität   Die vom Benutzer ausgeführte Aktivität. Dieser Wert entspricht den Aktivitäten, die Sie in der Dropdownliste Aktivitäten ausgewählt haben. Bei einem Ereignis aus dem Exchange-Administratorüberwachungsprotokoll ist der Wert in dieser Spalte ein Exchange-Cmdlet.

  • Element    Das Objekt, das als Ergebnis der entsprechenden Aktivität erstellt oder geändert wurde. Dies kann z. B. die Datei sein, die angezeigt oder geändert wurde, oder das Benutzerkonto, das aktualisiert wurde. Nicht alle Aktivitäten weisen einen Wert in dieser Spalte auf.

  • Detail   Zusätzliches Detail zu einer Aktivität. Auch hier weisen nicht alle Aktivitäten einen Wert auf.

Tipp : Klicken Sie unter Ergebnisse auf eine Spaltenüberschrift, um die Ergebnisse zu sortieren. Sie können die Ergebnisse von A nach Z oder von Z nach A sortieren. Klicken Sie auf die Überschrift Datum, um die Ergebnisse vom ältesten zum neuesten oder vom neuesten zum ältesten zu sortieren.

Anzeigen der Details zu einem bestimmten Ereignis

Sie können weitere Details zu einem Ereignis anzeigen, indem Sie in der Liste der Suchergebnisse auf den Ereigniseintrag klicken. Nun wird eine Detailseite mit detaillierten Eigenschaften des Ereigniseintrags angezeigt. Die angezeigten Eigenschaften sind von dem Office 365-Dienst abhängig, in dem das Ereignis eintritt. Zum Anzeigen dieser Details klicken Sie auf Weitere Informationen. Beschreibungen finden Sie unter Detaillierte Eigenschaften im Office 365-Überwachungsprotokoll.

Klicken Sie auf "Weitere Informationen", um die genauen Eigenschaften des Datensatzes für das Überwachungsprotokollereignis anzuzeigen

Seitenanfang

Schritt 3: Filtern der Suchergebnisse

Zusätzlich zur Sortierung können Sie die Ergebnisse einer Überwachungsprotokollsuche auch filtern. Dies ist eine großartige Funktion, mit der Sie schnell die Ergebnisse für einen bestimmten Benutzer oder eine bestimmte Aktivität filtern können. Sie können zuerst eine breitgefächerte Suche erstellen und dann die Ergebnisse schnell filtern, um bestimmte Ereignisse anzuzeigen. Anschließend können Sie die Suchkriterien einschränken und die Suche erneut durchführen, um eine kleinere, kompaktere Gruppe von Ergebnissen zurückzugeben.

So filtern Sie die Ergebnisse

  1. Führen Sie eine Überwachungsprotokollsuche aus.

  2. Sobald die Ergebnisse angezeigt werden, klicken Sie auf Ergebnisse filtern.

    Unter den einzelnen Spaltenüberschriften werden Felder für Schlüsselwörter angezeigt.

  3. Klicken Sie auf eines der Felder unter einer Spaltenüberschrift, und geben Sie ein Wort oder einen Ausdruck ein, je nach Spalte, nach der Sie filtern möchten. Die Ergebnisse werden dynamisch angepasst und die Ereignisse angezeigt, die den Filterkriterien entsprechen.

    Geben Sie unter "Filtern" ein Wort ein, um Ereignisse anzuzeigen, die dem Filter entsprechen.
  4. Zum Löschen eines Filters klicken Sie auf das X im Filterfeld oder einfach auf Filterung ausblenden.

Tipp : Zum Anzeigen von Ereignissen aus dem Exchange-Administratorüberwachungsprotokoll geben Sie einen Bindestrich () in das Filterfeld Aktivität ein. Dadurch werden Cmdlet-Namen angezeigt, die in der Spalte Aktivität für Exchange-Administratorereignisse angegeben sind. Anschließend können Sie die Cmdlet-Namen alphabetisch sortieren.

Seitenanfang

Schritt 4: Exportieren der Suchergebnisse in eine Datei

Sie können die Ergebnisse einer Überwachungsprotokollsuche in eine Datei mit durch Trennzeichen getrennten Werten (CSV) auf dem lokalen Computer exportieren. Sie können diese Datei in Microsoft Excel öffnen und Funktionen wie das Suchen, Sortieren, Filtern und Teilen einer einzelnen Spalte (die Zellen mit mehreren Werte enthält) in mehrere Spalten verwenden.

  1. Führen Sie eine Überwachungsprotokollsuche aus, und bearbeiten Sie dann die Suchkriterien, bis Sie die gewünschten Ergebnisse erhalten.

  2. Klicken Sie auf Ergebnisse exportieren, und wählen Sie eine der folgenden Optionen aus:

    • Geladene Ergebnisse speichern    Wählen Sie diese Option aus, um nur die Einträge zu exportieren, die unter Ergebnisse auf der Seite Überwachungsprotokollsuche angezeigt werden. Die heruntergeladene CSV-Datei enthält dieselben Spalten (und Daten), die auch auf der Seite angezeigt werden (Datum, Benutzer, Aktivität, Element und Detail). Eine zusätzliche Spalte (mit dem Namen Mehr) wird in die CSV-Datei aufgenommen und enthält weitere Informationen aus dem Überwachungsprotokolleintrag. Da Sie dieselben Ergebnisse exportieren, die auf der Seite Überwachungsprotokollsuche geladen werden (und angezeigt werden können), werden maximal 1000 Einträge exportiert.

    • Alle Ergebnisse herunterladen    Wählen Sie diese Option aus, um alle Einträge aus dem Office 365-Überwachungsprotokoll zu exportieren, die den Suchkriterien entsprechen. Wenn Sie eine große Menge von Suchergebnissen exportieren möchten, wählen Sie diese Option aus, um zusätzlich zu den 1.000 Ergebnissen, die auf der Seite Überwachungsprotokollsuche angezeigt werden, alle Einträge aus dem Überwachungsprotokoll herunterzuladen. Mit dieser Option werden die unformatierten Daten aus dem Überwachungsprotokoll in eine CSV-Datei heruntergeladen, und es sind zusätzliche Informationen aus dem Überwachungsprotokolleintrag in einer Spalte mit dem Namen Detail enthalten. Bei Auswahl dieser Exportoption kann das Herunterladen der Datei etwas länger dauern, da die Datei möglicherweise wesentlich größer als diejenige ist, die bei Auswahl einer anderen Option heruntergeladen wird.

      Wichtig : Aus seiner einzigen Suche in einer Protokolldatei können Sie maximal 50.000 Einträge in eine CSV-Datei herunterladen. Wenn 50.000 Einträge in die CSV-Datei heruntergeladen werden, können Sie wahrscheinlich davon ausgehen, dass mehr als 50.000 Ereignisse die Suchkriterien erfüllen. Wenn Sie mehr als diesen Grenzwert exportieren möchten, versuchen Sie es mit einem Datenbereich, um die Anzahl der Einträge im Überwachungsprotokoll zu verringern. Möglicherweise müssen Sie mehrere Suchläufe mit kleineren Datumsbereichen durchführen, um mehr als 50.000 Einträge zu exportieren.

  3. Nachdem Sie eine Exportoption ausgewählt haben, wird eine Meldung am unteren Rand des Fensters angezeigt, in der Sie aufgefordert werden, die CSV-Datei zu öffnen, sie im Ordner "Downloads" oder in einem bestimmten Ordner zu speichern.

Seitenanfang

Weitere Informationen zum Exportieren von Ergebnissen der Überwachungsprotokollsuche

  • Mit der Option Alle Ergebnisse herunterladen werden die unformatierten Daten aus dem Office 365-Überwachungsprotokoll in eine CSV-Datei heruntergeladen. Diese Datei enthält andere Spaltennamen (Zeit, Benutzer, Aktion, Detail) als die Datei, die bei Auswahl der Option Geladene Ergebnisse speichern heruntergeladen wird. Die Werte in den beiden verschiedenen CSV-Dateien für dieselbe Aktivität können ebenfalls unterschiedlich sein. So kann die Aktivität in der Spalte Aktion in der CSV-Datei einen anderen Wert als die "benutzerfreundliche" Version aufweisen, die in der Spalte Aktivität auf der Seite Überwachungsprotokollsuche angezeigt wird, z. B. MailboxLogin gegenüber Benutzer am Postfach angemeldet.

  • Wenn Sie alle Ergebnisse herunterladen, enthält die CSV-Datei eine Spalte mit dem Namen Detail, die zusätzliche Informationen zu jedem Ereignis enthält. Wie bereits erwähnt, enthält diese Spalte eine mehrwertige Eigenschaft für mehrere Eigenschaften aus dem Überwachungsprotokolleintrag. Die einzelnen property:value-Paare in dieser mehrwertigen Eigenschaft sind durch Kommas getrennt. Mithilfe von Power Query in Excel können Sie diese Spalte in mehrere Spalten aufteilen, sodass jede Eigenschaft über eine eigene Spalte verfügt. Dadurch können Sie nach einer oder mehreren dieser Eigenschaften sortieren und filtern. Informationen dazu finden Sie im Abschnitt "Aufteilen einer Spalte nach Trennzeichen" unter Aufteilen einer Textspalte (Power Query).

    Nachdem Sie die Spalte Details aufgeteilt haben, können Sie die Spalte Aktion filtern, um die detaillierten Eigenschaften eines bestimmten Aktivitätstyps anzuzeigen.

  • Wenn Sie alle Ergebnisse einer Suchabfrage herunterladen, die Ereignisse aus verschiedenen Office 365-Diensten umfasst, enthält die Spalte Detail in der CSV-Datei unterschiedliche Eigenschaften, je nachdem, in welchem Dienst die Aktion ausgeführt wurde. Beispielsweise umfassen Einträge aus Exchange- und Azure AD-Überwachungsprotokollen eine Eigenschaft namens ResultStatus, die angibt, ob die Aktion erfolgreich war. Diese Eigenschaft ist bei Ereignissen in SharePoint nicht enthalten. SharePoint-Ereignisse weisen hingegen eine Eigenschaft auf, die die Website-URL für Aktivitäten im Zusammenhang mit Dateien und Ordnern angibt. Um diese Abweichungen möglichst gering zu halten, sollten Sie verschiedene Suchen verwenden, um die Ergebnisse für Aktivitäten aus einzelnen Diensten zu exportieren.

    Eine Beschreibung der Eigenschaften, die in der Spalte Detail in der CSV-Datei aufgelistet sind, wenn Sie alle Ergebnisse herunterladen, sowie Informationen zu den Diensten, bei denen die einzelnen Eigenschaften verwendet werden, finden Sie unter Detaillierte Eigenschaften im Office 365-Überwachungsprotokoll.

Seitenanfang

Lesen Sie die folgenden Punkte, bevor Sie mit dem Durchsuchen des Überwachungsprotokolls von Office 365 beginnen.

  • Sie (oder ein anderer Administrator) müssen zuerst die Überwachungsprotokollierung aktivieren, bevor Sie mit dem Durchsuchen des Office 365-Überwachungsprotokolls beginnen können. Zum Aktivieren klicken Sie einfach im Security & Compliance Center auf der Seite Durchsuchen des Überwachungsprotokolls auf Aufzeichnung von Benutzer- und Administratoraktivitäten starten. (Wenn dieser Link nicht angezeigt wird, wurde die Überwachung für Ihre Organisation bereits aktiviert.) Daraufhin teilt Ihnen eine Meldung mit, dass das Überwachungsprotokoll vorbereitet wird und Sie in ein paar Stunden nach Abschluss der Vorbereitung eine Suche durchführen können. Dieser Vorgang ist nur einmal erforderlich.

    Hinweis : Wir sind dabei, die Überwachung standardmäßig zu aktivieren. Bis dahin können Sie diese Option gemäß der obigen Beschreibung aktivieren.

  • Ihnen wurde in Exchange Online entweder die Rolle "Überwachungsprotokolle nur anzeigen" oder die Rolle "Überwachungsprotokolle" zum Durchsuchen des Office 365-Überwachungsprotokolls zugewiesen. Standardmäßig werden diese Rollen im Exchange Admin Center auf der Seite Berechtigungen den Rollengruppen "Complianceverwaltung" und "Organisationsverwaltung" zugewiesen. Damit ein Benutzer die Möglichkeit hat, das Office 365-Überwachungsprotokoll mit minimalen Rechten zu durchsuchen, können Sie in Exchange Online eine benutzerdefinierte Rollengruppe erstellen, die Rolle "Überwachungsprotokolle nur anzeigen" oder "Überwachungsprotokolle" hinzufügen und den Benutzer dann als Mitglied der neuen Rollengruppe hinzufügen. Weitere Informationen finden Sie unter Verwalten von Rollengruppen in Exchange Online.

    Wichtig : Wenn Sie einem Benutzer auf der Seite Berechtigungen im Security & Compliance Center die Rolle "Überwachungsprotokolle nur anzeigen" oder "Überwachungsprotokolle" zuweisen, kann er das Office 365-Überwachungsprotokoll nicht durchsuchen. Sie müssen die Berechtigungen in Exchange Online Dies liegt daran, dass es sich bei dem Cmdlet zum Durchsuchen des Überwachungsprotokolls um ein Exchange Online-Cmdlet handelt.

  • Wenn Sie die Überwachungsprotokollsuche in Office 365 für Ihre Organisation deaktivieren möchten, können Sie in der mit Ihrer Exchange Online-Organisation verbundenen Remote-PowerShell den folgenden Befehl ausführen:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    Um die Überwachungssuche wieder zu aktivieren, können Sie den folgenden Befehl in Exchange Online-PowerShell ausführen:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Weitere Informationen finden Sie unter Deaktivieren der Überwachungsprotokollsuche in Office 365.

  • Wie bereits gesagt, handelt es sich bei dem zugrundeliegenden Cmdlet zum Durchsuchen des Überwachungsprotokolls um ein Exchange Online-Cmdlet namens Search-UnifiedAuditLog. Das bedeutet, dass Sie anstelle der Seite Überwachungsprotokollsuche im Security & Compliance Center dieses Cmdlet zum Durchsuchen des Office 365-Überwachungsprotokolls verwenden können. Sie müssen dieses Cmdlet in der Remote-PowerShell ausführen, die mit Ihrer Exchange Online-Organisation verbunden ist. Weitere Informationen finden Sie unter Search-UnifiedAuditLog.

  • Wenn Sie programmgesteuert Daten aus dem Office 365-Überwachungsprotokoll herunterladen möchten, empfehlen wir die Verwendung der Office 365-API für Verwaltungsaktivitäten anstelle eines PowerShell-Skripts. Die Office 365-API für Verwaltungsaktivitäten ist ein REST-Webdienst, den Sie verwenden können, um Betriebs-, Sicherheits- und Complianceüberwachungslösungen für Ihre Organisation zu entwickeln. Weitere Informationen finden Sie in der Referenz der Office 365-API für Verwaltungsaktivitäten.

  • Sie können das Office 365-Überwachungsprotokoll nach Aktivitäten durchsuchen, die innerhalb der letzten 90 Tage ausgeführt wurden.

  • Nach dem Auftreten eines Ereignisses kann es bis zu 30 Minuten oder sogar bis zu 24 Stunden dauern, bis der entsprechende Überwachungsprotokolleintrag in den Suchergebnissen angezeigt wird. Aus der folgenden Tabelle geht die Zeit hervor, die für die unterschiedlichen Dienste in Office 365 benötigt wird.

    Office 365-Dienst

    30 Minuten

    24 Stunden

    Azure Active Directory (Administratorereignisse)

    Häkchen

    Azure Active Directory (Benutzeranmeldeereignisse)

    Häkchen

    Exchange Online

    Häkchen

    Microsoft Teams

    Häkchen

    Power BI

    Häkchen

    Security & Compliance Center

    Häkchen

    SharePoint Online und OneDrive for Business

    Häkchen

    Sway

    Häkchen

    Yammer

    Häkchen

  • Azure Active Directory (Azure AD) ist der Verzeichnisdienst für Office 365. Das vereinheitlichte Überwachungsprotokoll enthält Benutzer-, Gruppen-, Anwendungs-, Domänen- und Verzeichnisaktivitäten, die im Office 365 Admin Center oder im Azure-Verwaltungsportal ausgeführt wurden. Eine vollständige Liste der Azure AD-Ereignisse finden Sie unter Azure Active Directory-Überwachungsberichtsereignisse.

Seitenanfang

In den Tabellen in diesem Abschnitt sind die Aktivitäten beschrieben, die in Office 365 überwacht werden. Sie können nach diesen Ereignissen suchen, indem Sie das Überwachungsprotokoll im Security & Compliance Center durchsuchen. Klicken Sie auf die Registerkarte Überwachungsprotokoll durchsuchen, um detaillierte Anweisungen zu erhalten.

In diesen Tabellen werden verwandte Aktivitäten oder die Aktivitäten eines bestimmten Office 365-Diensts gruppiert. Die Tabellen enthalten den Anzeigenamen, der in der Dropdownliste Aktivitäten angezeigt wird, sowie den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren. Klicken Sie auf einen der folgenden Links, um zu einer bestimmten Tabelle zu gelangen.

Datei- und Seitenaktivitäten

Ordneraktivitäten

Freigabe- und Zugriffsanforderungsaktivitäten

Synchronisierungsaktivitäten

Websiteverwaltungsaktivitäten

Exchange-Postfachaktivitäten

Sway-Aktivitäten

Benutzerverwaltungsaktivitäten

Azure Active Directory-Gruppenverwaltungsaktivitäten

Anwendungsverwaltungsaktivitäten

Rollenverwaltungsaktivitäten

Verzeichnisverwaltungsaktivitäten

eDiscovery-Aktivitäten

Power BI-Aktivitäten

Microsoft-Teams Aktivitäten

Yammer-Aktivitäten

Exchange-Administratoraktivitäten

Datei- und Seitenaktivitäten

In der folgenden Tabelle sind die Datei- und Seitenaktivitäten in SharePoint Online und OneDrive for Business beschrieben.

Anzeigename

Vorgang

Beschreibung

Dateizugriff

FileAccessed

Der Benutzer oder das Systemkonto greift auf eine Datei zu.

(kein)

FileAccessedExtended

Dies bezieht sich auf die Aktivität "Dateizugriff" (FileAccessed). Wenn dieselbe Person während eines längeren Zeitraums (bis zu 3 Stunden) ständig auf eine Datei zugreift, wird ein FileAccessedExtended-Ereignis protokolliert. Die Protokollierung von FileAccessedExtended-Ereignissen dient dazu, die Anzahl von FileAccessed-Ereignissen zu verringern, die beim ständigen Zugriff auf eine Datei protokolliert werden. Auf diese Weise lässt sich der Stördatenverkehr von mehreren FileAccessed-Einträgen besser reduzieren, bei denen die Benutzeraktivität im Wesentlichen identisch ist, sodass Sie sich auf das ursprüngliche (und wichtigere) FileAccessed-Ereignis konzentrieren können.

Datei eingecheckt

FileCheckedIn

Der Benutzer checkt ein Dokument ein, das er aus einer Dokumentbibliothek ausgecheckt hat.

Datei ausgecheckt

FileCheckedOut

Der Benutzer checkt ein Dokument aus, das sich in einer Dokumentbibliothek befindet. Benutzer können Dokumente, die für sie freigegeben wurden, auschecken und Änderungen daran vornehmen.

Datei kopiert

FileCopied

Der Benutzer kopiert ein Dokument von einer Website. Die kopierte Datei kann in einem anderen Ordner auf der Website gespeichert werden.

Datei gelöscht

FileDeleted

Der Benutzer löscht ein Dokument von einer Website.

Datei aus Papierkorb gelöscht

FileDeletedFirstStageRecycleBin

Der Benutzer löscht eine Datei aus dem Papierkorb auf einer Website.

Datei aus endgültigem Papierkorb gelöscht

FileDeletedSecondStageRecycleBin

Der Benutzer löscht eine Datei aus dem endgültigen Papierkorb auf einer Website.

Auschecken einer Datei verworfen

FileCheckOutDiscarded

Der Benutzer verwirft eine ausgecheckte Datei. Das bedeutet, dass alle Änderungen, die an der Datei vorgenommen wurden, während sie ausgecheckt war, verworfen und nicht in der Version des Dokuments in der Dokumentbibliothek gespeichert werden.

Datei heruntergeladen

FileDownloaded

Der Benutzer lädt ein Dokument von einer Website herunter.

Datei geändert

FileModified

Der Benutzer oder das Systemkonto ändert den Inhalt oder die Eigenschaften eines Dokuments, das sich auf einer Website befindet.

(kein)

FileModifiedExtended

Dies bezieht sich auf die Aktivität "Datei geändert" (FileModified). Wenn dieselbe Person während eines längeren Zeitraums (bis zu 3 Stunden) eine Datei ständig ändert, wird ein FileModifiedExtended-Ereignis protokolliert. Die Protokollierung von FileModifiedExtended-Ereignissen dient dazu, die Anzahl von FileModified-Ereignissen zu verringern, die bei ständiger Änderung einer Datei protokolliert werden. Auf diese Weise lässt sich der Stördatenverkehr von mehreren FileModified-Einträgen besser reduzieren, bei denen die Benutzeraktivität im Wesentlichen identisch ist, sodass Sie sich auf das ursprüngliche (und wichtigere) FileModified-Ereignis konzentrieren können.

Datei verschoben

FileMoved

Der Benutzer verschiebt ein Dokument von seinem aktuellen Speicherort auf einer Website an einen neuen Speicherort.

Datei umbenannt

FileRenamed

Der Benutzer benennt ein Dokument auf einer Website um.

Datei wiederhergestellt

FileRestored

Der Benutzer stellt ein Dokument aus dem Papierkorb einer Website wieder her.

Datei hochgeladen

FileUploaded

Der Benutzer lädt ein Dokument in einen Ordner auf einer Website hoch.

Seite angezeigt

PageViewed

Der Benutzer zeigt eine Seite auf einer Website an. Dieser Vorgang schließt nicht das Verwenden eines Webbrowsers zum Anzeigen von in Dokumentbibliotheken gespeicherten Dateien ein.

(kein)

PageViewedExtended

Dies bezieht sich auf die Aktivität "Seite angezeigt" (PageViewed). Wenn dieselbe Person während eines längeren Zeitraums (bis zu 3 Stunden) eine Webseite ständig anzeigt, wird ein PageViewedExtended-Ereignis protokolliert. Die Protokollierung von PageViewedExtended-Ereignissen dient dazu, die Anzahl von PageViewed-Ereignissen zu verringern, die beim ständigen Anzeigen einer Seite protokolliert werden. Auf diese Weise lässt sich der Stördatenverkehr von mehreren PageViewed-Einträgen besser reduzieren, bei denen die Benutzeraktivität im Wesentlichen identisch ist, sodass Sie sich auf das ursprüngliche (und wichtigere) PageViewed-Ereignis konzentrieren können.

Seitenanfang

Ordneraktivitäten

In der folgenden Tabelle sind die Ordneraktivitäten in SharePoint Online und OneDrive for Business beschrieben.

Anzeigename

Vorgang

Beschreibung

Ordner kopiert

FolderCopied

Der Benutzer kopiert einen Ordner von einer Website an einen anderen Speicherort in SharePoint oder auf OneDrive for Business.

Ordner erstellt

FolderCreated

Der Benutzer erstellt einen Ordner auf einer Website.

Ordner gelöscht

FolderDeleted

Der Benutzer löscht einen Ordner von einer Website.

Ordner aus Papierkorb gelöscht

FolderDeletedFirstStageRecycleBin

Der Benutzer löscht einen Ordner aus dem Papierkorb auf einer Website.

Ordner aus endgültigem Papierkorb gelöscht

FolderDeletedSecondStageRecycleBin

Der Benutzer löscht einen Ordner aus dem endgültigen Papierkorb auf einer Website.

Ordner geändert

FolderModified

Der Benutzer ändert einen Ordner auf einer Website. Dies schließt das Ändern der Ordnermetadaten, beispielsweise das Ändern von Tags und Eigenschaften, ein.

Ordner verschoben

FolderMoved

Der Benutzer verschiebt einen Ordner an eine andere Position auf einer Website.

Ordner umbenannt

FolderRenamed

Der Benutzer benennt einen Ordner auf einer Website um.

Ordner wiederhergestellt

FolderRestored

Der Benutzer stellt einen gelöschten Ordner aus dem Papierkorb auf einer Website wieder her.

Seitenanfang

Freigabe- und Zugriffsanforderungsaktivitäten

In der folgenden Tabelle sind die Benutzerfreigabe- und Zugriffsanforderungsaktivitäten in SharePoint Online und OneDrive for Business beschrieben. Bei Freigabeereignissen gibt die Spalte Details unter Ergebnisse den Namen des Benutzers oder der Gruppe an, für den oder die das Element freigegeben wurde. Außerdem wird angegeben, ob dieser Benutzer oder diese Gruppe Mitglied oder Gast in Ihrer Organisation sind. Weitere Informationen finden Sie unter Verwenden der Freigabeüberwachung im Office 365-Überwachungsprotokoll

Hinweis : Benutzer können je nach der Eigenschaft "UserType" des Benutzerobjekts entweder Mitglieder oder Gäste sein. Ein Mitglied ist normalerweise ein Mitarbeiter, ein Gast ist ein Kooperationspartner von außerhalb der Organisation. Wenn ein Benutzer eine Freigabeeinladung akzeptiert (und nicht bereits Mitglied Ihrer Organisation ist), wird im Verzeichnis Ihrer Organisation ein Gastkonto für diesen Benutzer erstellt. Nachdem der Gastbenutzer über ein Konto in Ihrem Verzeichnis verfügt, können Ressourcen unmittelbar mit ihm geteilt werden (ohne vorherige Einladung).

Anzeigename

Vorgang

Beschreibung

Akzeptierte Zugriffsanforderung

AccessRequestAccepted

Eine Zugriffsanforderung für eine Website, einen Ordner oder ein Dokument wurde akzeptiert, und dem anfordernden Benutzer wurde der Zugriff gewährt.

Akzeptierte Freigabeeinladung

SharingInvitationAccepted

Der Benutzer (Mitglied oder Gast) hat eine Freigabeeinladung akzeptiert, und der Zugriff auf die Ressource wurde gewährt. Dieses Ereignis enthält Informationen zu dem eingeladenen Benutzer sowie die E-Mail-Adresse, die für die Annahme der Einladung verwendet wurde (bei Adressen können unterschiedlich sein). Diese Aktivität wird häufig von einem zweiten Ereignis begleitet, das beschreibt, in welcher Weise dem Benutzer der Zugriff auf die Ressource gewährt wurde, beispielsweise in dem der Benutzer einer Gruppe hinzugefügt wurde, die Zugriff auf die Ressource hat.

Freigabeeinladung gesperrt

SharingInvitationBlocked

TBD

Unternehmensweit teilbarer Link erstellt

CompanyLinkCreated

Ein Benutzer hat einen unternehmensweiten Link zu einer Ressource erstellt. Unternehmensweite Links können nur von Mitgliedern Ihrer Organisation genutzt werden. Sie können nicht von Gästen genutzt werden.

Zugriffsanforderung erstellt

AccessRequestCreated

Der Benutzer fordert Zugriff auf eine Website, einen Ordner oder ein Dokument an, für deren Zugriff er über keine Berechtigungen verfügt.

Anonymer Link erstellt

AnonymousLinkCreated

Ein Benutzer hat einen anonymen Link zu eine Ressource erstellt. Jeder, der über diesen Link verfügt, kann auf die Ressource zugreifen, ohne sich authentifizieren zu müssen.

Freigabeeinladung erstellt

SharingInvitationCreated

Ein Benutzer hat eine Ressource in SharePoint Online oder OneDrive for Business mit einem Benutzer geteilt, der sich nicht im Verzeichnis Ihrer Organisation befindet.

Zugriffsanforderung verweigert

AccessRequestDenied

Eine Zugriffsanforderung auf eine Website, einen Ordner oder ein Dokument wurde verweigert.

Unternehmensweit teilbarer Link entfernt

CompanyLinkRemoved

Ein Benutzer hat einen unternehmensweit teilbaren zu einer Ressource entfernt. Der Link kann nicht mehr für den Zugriff auf die Ressource verwendet werden.

Anonymer Link entfernt

AnonymousLinkRemoved

Ein Benutzer hat einen anonymen Link zu eine Ressource entfernt. Der Link kann nicht mehr für den Zugriff auf die Ressource verwendet werden.

Datei, Ordner oder Website freigegeben

SharingSet

Ein Benutzer (Mitglied oder Gast) hat eine Datei, einen Ordner oder eine Website in SharePoint oder OneDrive for Business mit einem Benutzer im Verzeichnis Ihrer Organisation geteilt. Der Wert in der Spalte Detail für diese Aktivität gibt den Namen des Benutzers an, mit dem die Ressource geteilt wurde, und ob es sich bei diesem Benutzer um ein Mitglied oder einen Gast handelt. Diese Aktivität wird häufig von einem zweiten Ereignis begleitet, das beschreibt, in welcher Weise dem Benutzer der Zugriff auf die Ressource gewährt wurde, beispielsweise in dem der Benutzer einer Gruppe hinzugefügt wurde, die Zugriff auf die Ressource hat.

Anonymer Link aktualisiert

AnonymousLinkUpdated

Ein Benutzer hat einen anonymen Link zu eine Ressource aktualisiert. Das aktualisierte Feld wird beim Exportieren der Suchergebnisse in die EventData-Eigenschaft eingeschlossen.

Anonymer Link verwendet

AnonymousLinkUsed

Ein anonymer Benutzer hat über einen anonymen Link auf eine Ressource zugegriffen. Die Identität des Benutzers ist möglicherweise nicht bekannt, Sie können jedoch andere Details wie die IP-Adresse des Benutzers anzeigen.

Freigabe von Datei, Ordner oder Website aufgehoben

SharingRevoked

Ein Benutzer (Mitglied oder Gast) hat die Freigabe einer Datei, eines Ordners oder einer Website aufgehoben, die oder der zuvor mit einem anderen Benutzer geteilt wurde.

Unternehmensweit teilbarer Link verwendet

CompanyLinkUsed

Ein Benutzer hat über einen unternehmensweit teilbaren Link auf eine Ressource zugegriffen.

Freigabeeinladung zurückgezogen

SharingInvitationRevoked

Ein Benutzer hat eine Freigabeeinladung zu einer Ressource zurückgezogen.

Seitenanfang

Synchronisierungsaktivitäten

In der folgenden Tabelle sind Dateisynchronisierungsaktivitäten in SharePoint Online und OneDrive for Business aufgelistet.

Anzeigename

Vorgang

Beschreibung

Computer zum Synchronisieren von Dateien zugelassen

ManagedSyncClientAllowed

Der Benutzer richtet erfolgreich eine Synchronisierungsbeziehung mit einer Website ein. Die Synchronisierungsbeziehung ist erfolgreich, da der Computer des Benutzers ein Mitglied einer Domäne ist, die der Liste der Domänen (Liste der sicheren Empfänger genannt), die auf Dokumentbibliotheken in Ihrer Organisation zugreifen können, hinzugefügt wurde.

Weitere Informationen zu diesem Feature finden Sie unter Verwenden von Windows PowerShell-Cmdlets zum Aktivieren der OneDrive-Synchronisierung für Domänen, die in der Liste der sicheren Empfänger enthalten sind.

Computer für Synchronisieren von Dateien blockiert

UnmanagedSyncClientBlocked

Der Benutzer versucht, eine Synchronisierungsbeziehung mit einer Website von einem Computer aus einzurichten, der kein Mitglied der Domäne Ihrer Organisation oder ein Mitglied einer Domäne ist, die nicht zur Liste der Domänen (Liste der sicheren Empfänger genannt), die auf Dokumentbibliotheken in Ihrer Organisation zugreifen können, hinzugefügt wurde. Die Synchronisierungsbeziehung ist nicht zulässig, und der Computer des Benutzers ist für das Synchronisieren, Herunterladen oder Hochladen von Dateien in eine Dokumentbibliothek blockiert.

Informationen zu diesem Feature finden Sie unter Verwenden von Windows PowerShell-Cmdlets zum Aktivieren der OneDrive-Synchronisierung für Domänen, die in der Liste der sicheren Empfänger enthalten sind.

Dateien auf Computer heruntergeladen

FileSyncDownloadedFull

Der Benutzer richtet eine Synchronisierungsbeziehung ein und lädt zum ersten Mal erfolgreich Dateien aus einer Dokumentbibliothek auf seinen Computer herunter.

Dateiänderungen auf Computer heruntergeladen

FileSyncDownloadedPartial

Der Benutzer lädt erfolgreich alle Änderungen an Dateien aus einer Dokumentbibliothek herunter. Diese Aktivität gibt an, dass alle Änderungen, die an Dateien in der Dokumentbibliothek vorgenommen wurden, auf den Computer des Benutzers heruntergeladen wurden. Es wurden nur Änderungen heruntergeladen, da die Dokumentbibliothek zuvor vom Benutzer heruntergeladen wurde (wie durch die Aktivität Dateien auf Computer heruntergeladen angegeben).

Dateien in Dokumentbibliothek hochgeladen

FileSyncUploadedFull

Der Benutzer richtet eine Synchronisierungsbeziehung ein und lädt zum ersten Mal erfolgreich Dateien von seinem Computer in eine Dokumentbibliothek hoch.

Dateiänderungen in Dokumentbibliothek hochgeladen

FileSyncUploadedPartial

Der Benutzer lädt erfolgreich Änderungen an Dateien in eine Dokumentbibliothek hoch. Dieses Ereignis gibt an, dass alle Änderungen, die an der lokalen Version einer Datei aus einer Dokumentbibliothek vorgenommen wurden, erfolgreich in die Dokumentbibliothek hochgeladen werden. Es werden nur Änderungen hochgeladen, da diese Dateien zuvor vom Benutzer hochgeladen wurden (wie durch die Aktivität Dateien in Dokumentbibliothek hochgeladen angegeben).

Seitenanfang

Websiteverwaltungsaktivitäten

In der folgenden Tabelle sind die Ereignisse aufgelistet, die sich durch Websiteverwaltungsaufgaben in SharePoint Online ergeben.

Anzeigename

Vorgang

Beschreibung

Ausgenommener Benutzer-Agent hinzugefügt

ExemptUserAgentSet

Der globale Administrator fügt einen Benutzer-Agent zur Liste der ausgenommenen Benutzer-Agents im SharePoint Admin Center hinzu.

Websitesammlungsadministrator hinzugefügt

SiteCollectionAdminAdded

Der Websitesammlungsadministrator oder -besitzer fügt eine Person als Websitesammlungsadministrator für eine Website hinzu. Websitesammlungsadministratoren verfügen über Vollzugriff für die Websitesammlung und alle Unterwebsites.

Benutzer oder Gruppe zu SharePoint-Gruppe hinzugefügt

AddedToGroup

Ein Benutzer hat ein Mitglied oder einen Gast zu einer SharePoint-Gruppe hinzugefügt. Dies kann eine beabsichtigte Aktion oder das Ergebnis einer anderen Aktivität wie eines Freigabeereignisses gewesen sein.

Benutzer das Erstellen von Gruppen gestattet

AllowGroupCreationSet

Der Websiteadministrator oder -besitzer fügt eine Berechtigungsstufe zu einer Website hinzu, die einem Benutzer, dem diese Berechtigung zugewiesen wird, das Erstellen einer Gruppe für diese Website gestattet.

Ausgenommene Benutzer-Agents geändert

CustomizeExemptUsers

Der globale Administrator hat die Liste der ausgenommenen Benutzer-Agents im SharePoint Admin Center angepasst. Sie können angeben, welche Benutzer-Agents vom Empfangen einer gesamten Webseite zum Indizieren ausgenommen werden sollen. Das bedeutet: Wenn ein Benutzer-Agent, den Sie als ausgenommen festgelegt haben, auf ein InfoPath-Formular trifft, wird das Formular als eine XML-Datei und nicht als eine gesamte Webseite zurückgegeben. Dadurch werden InfoPath-Formulare schneller indiziert.

Freigaberichtlinie geändert

SharingPolicyChanged

Ein Administrator hat eine SharePoint-Freigaberichtlinie im Office 365-Administratorportal, im SharePoint-Administratorportal oder über die SharePoint Online-Verwaltungsshell geändert. Alle Änderungen an den Einstellung der Freigaberichtlinie in der Organisation werden protokolliert. Die Richtlinie, die geändert wurde, kann anhand der Feldeigenschaft ModifiedProperty identifiziert werden, wenn Sie die Suchergebnisse exportieren.

Gruppe erstellt

GroupAdded

Der Websiteadministrator oder -besitzer erstellt eine Gruppe für eine Website oder führt eine Aufgabe aus, die zur Erstellung einer Gruppe führt. Wenn ein Benutzer beispielsweise zum ersten Mal einen Link zum Freigeben einer Datei erstellt, wird eine Systemgruppe zur OneDrive for Business-Website des Benutzers hinzugefügt. Dieses Ereignis kann sich auch dadurch ergeben, dass ein Benutzer einen Link mit Bearbeitungsberechtigungen für eine freigegebene Datei erstellt.

Senden-an-Verbindung erstellt

SendToConnectionAdded

Der globale Administrator erstellt eine neue Senden-an-Verbindung auf der Verwaltungsseite für Datensätze im SharePoint Admin Center. Eine Senden-an-Verbindung legt Einstellungen für ein Dokumentrepository oder ein Datenarchiv fest. Wenn Sie eine Senden-an-Verbindung erstellen, kann eine Inhaltsorganisation Dokumente an den angegebenen Speicherort übermitteln.

Websitesammlung erstellt

SiteCollectionCreated

Ein Administrator erstellt eine neue Websitesammlung in Ihrer SharePoint Online-Organisation oder ein Benutzer stellt seine OneDrive for Business-Website bereit.

Gruppe gelöscht

GroupRemoved

Der Benutzer löscht eine Gruppe von einer Website.

Senden-an-Verbindung gelöscht

SendToConnectionRemoved

Der globale Administrator löscht eine Senden-an-Verbindung auf der Verwaltungsseite für Datensätze im SharePoint Admin Center.

Website gelöscht

SiteDeleted

Der Websiteadministrator löscht eine Website.

Dokumentvorschau aktiviert

PreviewModeEnabledSet

Der Websiteadministrator aktiviert die Dokumentvorschau für eine Website.

Älterer Workflow aktiviert

LegacyWorkflowEnabledSet

Der Websiteadministrator oder -besitzer fügt den Inhaltstyp einer SharePoint 2013-Workflowaufgabe zur Website hinzu. Globale Administratoren können auch Workflows für die gesamte Organisation im SharePoint Admin Center aktivieren.

Office on Demand aktiviert

OfficeOnDemandSet

Der Websiteadministrator aktiviert Office on Demand, wodurch Benutzer auf die neueste Version von Office-Desktopanwendungen zugreifen können. Office on Demand wird im SharePoint Admin Center aktiviert und erfordert ein Office 365-Abonnement, das vollständige, installierte Office-Anwendungen umfasst.

RSS-Feeds aktiviert

NewsFeedEnabledSet

Der Websiteadministrator oder -besitzer aktiviert RSS-Feeds für eine Website. Globale Administratoren können RSS-Feeds für die gesamte Organisation im SharePoint Admin Center aktivieren.

Websiteberechtigungen geändert

SitePermissionsModified

Der Websiteadministrator oder -besitzer (oder das Systemkonto) ändert die Berechtigungsstufe, die einer Gruppe auf einer Website zugeordnet ist. Diese Aktivität wird ebenfalls protokolliert, wenn alle Berechtigungen für eine Gruppe entfernt werden.

Hinweis : Dieser Vorgang ist in SharePoint Online veraltet. Um verwandte Ereignisse zu finden, können Sie nach anderen Aktivitäten im Zusammenhang mit Berechtigungen suchen, z. B. Websitesammlungsadministrator hinzugefügt, Benutzer oder Gruppe zu SharePoint-Gruppe hinzugefügt, Benutzer darf Gruppen erstellen, Gruppe erstellt oder Gruppe gelöscht.

Benutzer oder Gruppe aus SharePoint-Gruppe entfernt

RemovedFromGroup

Ein Benutzer hat ein Mitglied oder einen Gast aus einer SharePoint-Gruppe entfernt. Dies kann eine beabsichtigte Aktion oder das Ergebnis einer anderen Aktivität wie dem Aufheben einer Freigabe gewesen sein.

Website umbenannt

SiteRenamed

Der Websiteadministrator oder -besitzer benennt eine Website um.

Website-Administratorberechtigungen angefordert

SiteAdminChangeRequest

Der Benutzer fordert an, als Websitesammlungsadministrator für eine Websitesammlung hinzugefügt zu werden. Websitesammlungsadministratoren verfügen über Vollzugriff für die Websitesammlung und alle Unterwebsites.

Hostwebsite festgelegt

HostSiteSet

Der globale Administrator ändert die vorgesehene Website zum Hosten persönlicher oder OneDrive for Business-Websites.

Gruppe aktualisiert

GroupUpdated

Der Websiteadministrator oder -besitzer ändert die Einstellungen einer Gruppe für eine Website. Dies kann das Ändern des Gruppennamens, das Ändern der Personen, die Gruppenmitgliedschaften anzeigen oder bearbeiten können, sowie das Ändern der Handhabung von Mitgliedschaftsanforderungen umfassen.

Seitenanfang

Exchange-Postfachaktivitäten

In der folgenden Tabelle sind die Aktivitäten aufgelistet, die von der Postfachüberwachungsprotokollierung erfasst werden können. Postfachaktivitäten, die vom Besitzer des Postfachs, einem delegierten Benutzer oder einem Administrator ausgeführt werden, werden protokolliert. Standardmäßig ist die Postfachüberwachung in Office 365 nicht aktiviert. Die Postfachüberwachungsprotokollierung muss für jedes Postfach aktiviert sein, bevor Postfachaktivitäten protokolliert werden. Weitere Informationen finden Sie unter Aktivieren der Postfachüberwachung in Office 365.

Anzeigename

Vorgang

Beschreibung

Postfachberechtigungen für Stellvertretung hinzugefügt

Add-MailboxPermission

Ein Administrator hat einem Benutzer die Postfachberechtigung "FullAccess" für das Postfach einer anderen Person zugewiesen (als Stellvertretung bezeichnet). Die Berechtigung "FullAccess" erlaubt der Stellvertretung, das Postfach der anderen Person zu öffnen sowie den Inhalt des Postfachs zu lesen und zu verwalten.

Nachrichten in anderen Ordner kopiert

Copy

Eine Nachricht wurde in einen anderen Ordner kopiert.

Nachrichten erstellt oder empfangen

Erstellen

Ein Element wird im Postfachordner "Kalender", "Kontakte", "Aufgaben" oder "Notizen" erstellt. Beispielsweise wird eine neue Besprechungsanfrage erstellt. Die Erstellung von Nachrichten oder Ordnern wird nicht überwacht.

Nachrichten aus Ordner "Gelöschte Elemente" gelöscht

SoftDelete

Eine Nachricht wurde endgültig gelöscht oder aus dem Ordner "Gelöschte Elemente" gelöscht. Diese Elemente werden in den Ordner "Wiederherstellbare Elemente" verschoben. Nachrichten werden auch in den Ordner "Wiederherstellbare Elemente" verschoben, wenn ein Benutzer diese auswählt und UMSCHALT+ENTF drückt.

Nachrichten in anderen Ordner verschoben

Move

Eine Nachricht wurde in einen anderen Ordner verschoben.

Nachrichten in Ordner "Gelöschte Elemente" verschoben

MoveToDeletedItems

Eine Nachricht wurde gelöscht und in den Ordner "Gelöschte Elemente" verschoben.

Nachrichten aus Postfach gelöscht

HardDelete

Eine Nachricht wurde aus dem Ordner "Wiederherstellbare Elemente" gelöscht (dauerhaft aus dem Postfach entfernt).

Postfachberechtigungen für Stellvertretung entfernt

Remove-MailboxPermission

Ein Administrator hat die Berechtigung "FullAccess" (die einer Stellvertretung zugewiesen wurde) aus dem Postfach einer Person entfernt. Nachdem die Berechtigung "FullAccess" entfernt wurde, kann die Stellvertretung das Postfach der anderen Person nicht mehr öffnen und nicht mehr auf Inhalte in dem Postfach zugreifen.

Nachricht mit Berechtigungen vom Typ "Senden als" gesendet

SendAs

Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, als käme sie vom Besitzer des Postfachs.

Nachricht mit Berechtigungen vom Typ "Senden im Auftrag von" gesendet

SendOnBehalf

Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Auftrag des Besitzers des Postfachs gesendet hat. Bei der Nachricht ist für den Empfänger angegeben, in wessen Auftrag die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat.

Nachricht aktualisiert

Update

Eine Nachricht oder ihre Eigenschaften wurden geändert.

Benutzer am Postfach angemeldet

MailboxLogin

Der Benutzer hat sich an seinem Postfach angemeldet.

Seitenanfang

Sway-Aktivitäten

In der folgenden Tabelle werden die Benutzer- und Administratoraktivitäten in Sway aufgeführt. Sway ist eine Office 365-App, die Benutzer beim Sammeln, Formatieren und Teilen von Ideen, Geschichten und Präsentationen in einem interaktiven, webbasierten Zeichenbereich unterstützt. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Sway – Hilfe für Administratoren.

Anzeigename

Vorgang

Beschreibung

Sway-Freigabestufe geändert

SwayChangeShareLevel

Ein Benutzer hat die Freigabestufe eines Sways geändert. Mit diesem Ereignis wird der Benutzer erfasst, der den Umfang einer mit einem Sway verknüpften Freigabe geändert hat, beispielsweise "Öffentlich" im Vergleich zu "Innerhalb der Organisation".

Erstellt Sway

SwayCreate

Ein Benutzer hat ein Sway erstellt.

Sway gelöscht

SwayDelete

Ein Benutzer hat ein Sway gelöscht.

Sway-Duplizierung deaktiviert

SwayDisableDuplication

Ein Benutzer hat die Duplizierung eines Sway deaktiviert.

Sway dupliziert

SwayDuplicate

Ein Benutzer hat ein Sway dupliziert.

Sway bearbeitet

SwayEdit

Ein Benutzer bearbeitet ein Sway.

Sway-Duplizierung aktiviert

EnableDuplication

Ein Benutzer aktiviert die Duplizierung eines Sways; die Fähigkeit eines Benutzers zum Aktivieren der Duplizierung eines Sways ist standardmäßig aktiviert.

Sway-Freigabe widerrufen

SwayRevokeShare

Ein Benutzer stoppt die Freigabe eines Sways, indem er den Zugriff darauf widerruft. Mit dem Widerruf des Zugriffs werden die einem Sway zugeordneten Links geändert.

Sway freigegeben

SwayShare

Ein Benutzer plant, ein Sway freizugeben. Mit diesem Ereignis wird die Benutzeraktion des Klickens auf ein bestimmtes Freigabeziel im Freigabemenü des Sways erfasst. Das Ereignis gibt nicht an, ob der Benutzer die Freigabeaktion abgeschlossen hat.

Externen Freigabe von Sway deaktiviert

SwayExternalSharingOff

Ein Administrator deaktiviert die externe Sway-Freigabe für die gesamte Organisation im Office 365 Admin Center.

Externe Freigabe von Sway aktiviert

SwayExternalSharingOn

Ein Administrator aktiviert die externe Sway-Freigabe für die gesamte Organisation im Office 365 Admin Center.

Sway-Dienst deaktiviert

SwayServiceOff

Ein Administrator deaktiviert Sway für die gesamte Organisation im Office 365 Admin Center.

Sway-Dienst aktiviert

SwayServiceOn

Ein Administrator aktiviert Sway für die gesamte Organisation im Office 365 Admin Center (der Sway-Dienst ist standardmäßig aktiviert).

Sway angezeigt

SwayView

Ein Benutzer zeigt ein Sway an.

Seitenanfang

Benutzerverwaltungsaktivitäten

In der folgenden Tabelle sind Benutzerverwaltungsaktivitäten aufgelistet, die protokolliert werden, wenn ein Administrator ein Benutzerkonto über das Office 365 Admin Center oder das Azure-Verwaltungsportal hinzufügt oder ändert.

Aktivität

Vorgang

Beschreibung

Benutzer hinzugefügt

Benutzer hinzufügen

Ein Office 365-Benutzerkonto wurde erstellt.

Benutzerlizenz geändert

Benutzerlizenz ändern

Die einem Benutzer zugewiesene Lizenz wurde geändert. Wenn Sie feststellen möchten, welche Lizenzen geändert wurden, sehen Sie sich die entsprechende Aktivität Benutzer aktualisiert an.

Benutzerkennwort geändert

Benutzerkennwort ändern

Der Administrator hat das Kennwort für einen Benutzer geändert.

Benutzer gelöscht

Benutzer löschen

Ein Office 365-Benutzerkonto wurde gelöscht.

Benutzerkennwort zurückgesetzt

Benutzerkennwort zurücksetzen

Der Administrator hat das Kennwort eines Benutzers zurückgesetzt.

Eigenschaft festgelegt, die einen Benutzer zur Kennwortänderung zwingt

Erzwungene Änderung des Benutzerkennworts festgelegt

Der Administrator hat die Eigenschaft festgelegt, die einen Benutzer dazu zwingt, sein Kennwort bei der nächsten Anmeldung bei Office 365 zu ändern.

Lizenzeigenschaften festgelegt

Lizenzeigenschaften festgelegt

Der Administrator ändert die Eigenschaften einer Lizenz, die einem Benutzer zugewiesen ist.

Benutzer aktualisiert

Benutzer aktualisieren

Der Administrator ändert eine oder mehrere Eigenschaften eines Benutzerkontos. Eine Liste der Benutzereigenschaften, die aktualisiert werden können, finden Sie im Abschnitt "Aktualisieren von Benutzerattributen" unter Azure Active Directory-Überwachungsberichtsereignisse.

Seitenanfang

Azure Active Directory-Gruppenverwaltungsaktivitäten

In der nachstehenden Tabelle werden die Gruppenverwaltungsaktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator oder ein Benutzer eine Office 365-Gruppe erstellt oder ändert oder aber wenn ein Administrator eine Sicherheitsgruppe über das Office 365 Admin Center oder das Azure-Verwaltungsportal erstellt. Weitere Informationen zu Gruppen in Office 365 finden Sie unter Anzeigen, Erstellen und Löschen von Gruppen im Office 365 Admin Center.

Anzeigename

Vorgang

Beschreibung

Gruppe hinzugefügt

Gruppe hinzufügen

Eine Gruppe wurde erstellt.

Mitglied zur Gruppe hinzugefügt

Mitglied zu Gruppe hinzufügen

Ein Mitglied wurde zu einer Gruppe hinzugefügt.

Gruppe gelöscht

Gruppe löschen

Eine Gruppe wurde gelöscht.

Mitglied aus Gruppe entfernt

Mitglied aus Gruppe entfernen

Ein Mitglied wurde aus einer Gruppe entfernt.

Gruppe aktualisiert

Gruppe aktualisieren

Eine Eigenschaft einer Gruppe wurde geändert.

Seitenanfang

Anwendungsverwaltungsaktivitäten

In der folgenden Tabelle sind Anwendungsverwaltungsaktivitäten aufgelistet, die protokolliert werden, wenn ein Administrator eine in Azure AD registrierte Anwendung hinzufügt oder ändert. Jede Anwendung, die Azure AD zur Authentifizierung verwendet, muss im Verzeichnis registriert sein.

Anzeigename

Vorgang

Beschreibung

Delegierungseintrag hinzugefügt

Delegierungseintrag hinzufügen

Eine Authentifizierungsberechtigung für eine Anwendung in Azure AD wurde erstellt/gewährt.

Dienstprinzipal hinzugefügt

Dienstprinzipal hinzufügen

Eine Anwendung wurde in Azure AD registriert. Eine Anwendung wird durch einen Dienstprinzipal im Verzeichnis dargestellt.

Anmeldeinformationen für einen Dienstprinzipal hinzugefügt

Dienstprinzipal-Anmeldeinformationen hinzufügen

Anmeldeinformationen für einen Dienstprinzipal in Azure AD wurden hinzugefügt. Ein Dienstprinzipal stellt eine Anwendung im Verzeichnis dar.

Delegierungseintrag entfernt

Delegierungseintrag entfernen

Eine Authentifizierungsberechtigung für eine Anwendung in Azure AD wurde entfernt.

Dienstprinzipal aus dem Verzeichnis entfernt

Dienstprinzipal entfernen

Eine Anwendung wurde aus Azure AD gelöscht oder ihre Registrierung aufgehoben. Eine Anwendung wird durch einen Dienstprinzipal im Verzeichnis dargestellt.

Anmeldeinformationen aus einem Dienstprinzipal entfernt

Dienstprinzipal-Anmeldeinformationen entfernen

Anmeldeinformationen für einen Dienstprinzipal in Azure AD wurden entfernt. Ein Dienstprinzipal stellt eine Anwendung im Verzeichnis dar.

Delegierungseintrag festgelegt

Delegierungseintrag festgelegt

Eine Authentifizierungsberechtigung für eine Anwendung in Azure AD wurde aktualisiert.

Seitenanfang

Rollenverwaltungsaktivitäten

In der folgenden Tabelle sind Azure AD-Rollenverwaltungsaktivitäten aufgelistet, die protokolliert werden, wenn ein Administrator Administratorrollen im Office 365 Admin Center oder im Azure-Verwaltungsportal verwaltet.

Anzeigename

Vorgang

Beschreibung

Mitglied zu Rolle hinzugefügt

Rollenmitglied zu Rolle hinzufügen

Ein Benutzer wurde einer Administratorrolle in Office 365 hinzugefügt.

Benutzer aus einer Directory-Rolle entfernt

Rollenmitglied aus Rolle entfernen

Ein Benutzer wurde aus einer Administratorrolle in Office 365 entfernt.

Kontaktinformationen für Unternehmen festgelegt

Kontaktinformationen für Unternehmen festgelegt

Die Kontakteinstellungen auf Unternehmensebene für Ihre Office 365-Organisation wurden aktualisiert. Dies umfasst E-Mail-Adressen für Nachrichten in Bezug auf Abonnements, die von Office 365 gesendet werden, sowie technische Benachrichtigungen zu Office 365-Diensten.

Seitenanfang

Verzeichnisverwaltungsaktivitäten

In der folgenden Tabelle sind Aktivitäten in Bezug auf Verzeichnisse und Domänen in Azure AD aufgelistet, die protokolliert werden, wenn ein Administrator seine Office 365Organisation im Office 365 Admin Center oder im Azure-Verwaltungsportal verwaltet.

Anzeigename

Vorgang

Beschreibung

Domäne zu Unternehmen hinzugefügt

Domäne zu Unternehmen hinzufügen

Es wurde eine Domäne zu Ihrer Office 365-Organisation hinzugefügt.

Partner zum Verzeichnis hinzugefügt

Partner zu Unternehmen hinzufügen

Es wurde ein Partner (delegierter Administrator) zu Ihrer Office 365-Organisation hinzugefügt.

Domäne aus Unternehmen entfernt

Domäne aus Unternehmen entfernen

Es wurde eine Domäne aus Ihrer Office 365-Organisation entfernt.

Partner aus dem Verzeichnis entfernt

Partner aus Unternehmen entfernen

Es wurde ein Partner (delegierter Administrator) aus Ihrer Office 365-Organisation entfernt.

Unternehmensinformationen festgelegt

Unternehmensinformationen festgelegt

Die Unternehmensinformationen für Ihre Office 365-Organisation wurden aktualisiert. Dies umfasst E-Mail-Adressen für Nachrichten in Bezug auf Abonnements, die von Office 365 gesendet werden, sowie technische Benachrichtigungen zu Office 365-Diensten.

Domänenauthentifizierung festgelegt

Domänenauthentifizierung festgelegt

Die Einstellung der Domänenauthentifizierung für Ihre Office 365-Organisation wurde geändert.

Verbundeinstellungen für eine Domäne aktualisiert

Verbundeinstellungen für Domäne festlegen

Die Verbundeinstellungen (externe Freigabe) für Ihre Office 365-Organisation wurden geändert.

Kennwortrichtlinie festgelegt

Kennwortrichtlinie festgelegt

Die Längen- und Zeicheneinschränkungen für Benutzerkennwörter in Ihrer Office 365-Organisation wurden geändert.

Azure AD-Synchronisierung aktiviert

DirSyncEnabled-Flag für Unternehmen festlegen

Die Eigenschaft, die ein Verzeichnis für die Azure AD-Synchronisierung aktiviert, wurde festgelegt.

Domäne aktualisiert

Domäne aktualisieren

Die Einstellungen einer Domäne in Ihrer Office 365-Organisation wurden aktualisiert.

Domäne überprüft

Domäne überprüfen

Es wurde überprüft, ob Ihre Organisation der Besitzer der Domäne ist.

Domäne mit E-Mail-Prüfung überprüft

Domäne mit E-Mail-Prüfung überprüfen

Es wurde eine E-Mail-Prüfung verwendet, um zu überprüfen, ob Ihre Organisation der Besitzer der Domäne ist.

Seitenanfang

eDiscovery-Aktivitäten

Mit der Inhaltssuche und mit eDiscovery zusammenhängende Aktivitäten, die im Office 365 Security & Compliance Center oder durch Ausführen der entsprechenden Windows PowerShell-Cmdlets durchgeführt werden, werden im Office 365-Überwachungsprotokoll protokolliert. Hierzu gehören unter anderem folgende Aktivitäten:

  • Erstellen und Verwalten von eDiscovery-Fällen

  • Erstellen, Starten und Bearbeiten von Inhaltssuchen

  • Durchführen von Aktionen bei der Inhaltssuche, wie Vorschau, Exportieren und Löschen von Suchergebnissen

  • Konfigurieren von Berechtigungsfiltern für die Inhaltssuche

  • Verwalten der eDiscovery-Administratorrolle

Eine Liste und eine detaillierte Beschreibung der eDiscovery-Aktivitäten, die protokolliert werden, finden Sie unter Suchen nach eDiscovery-Aktivitäten im Office 365-Überwachungsprotokoll.

Seitenanfang

Power BI-Aktivitäten

In der folgenden Tabelle sind die in Power BI von Benutzern und Administratoren ausgeführten Aktivitäten aufgelistet, die im Office 365-Überwachungsprotokoll protokolliert werden.

Anzeigename

Vorgang

Beschreibung

Mitglieder zu Power BI-Gruppe hinzugefügt

AddGroupMembers

Ein Mitglied wird einem Power BI-Gruppenarbeitsbereich hinzugefügt.

Power BI-Dataset analysiert

AnalyzedByExternalApplication

Ein Dataset wird von einer externen Anwendung analysiert.

Power BI-Dashboard erstellt

CreateDashboard

Ein neues Dashboard wird erstellt.

Power BI-Gruppe erstellt

CreateGroup

Eine Gruppe wird erstellt.

Power BI-Organisationsinhaltspaket erstellt

CreateOrgApp

Ein Organisationsinhaltspaket wird erstellt.

Power BI-Dashboard gelöscht

DeleteDashboard

Ein Dashboard wird gelöscht.

Power BI-Datasets gelöscht

DeleteDataset

Ein Dataset wird gelöscht.

Power BI-Bericht gelöscht

DeleteReport

Ein Bericht wird gelöscht.

Power BI-Bericht heruntergeladen

DownloadReport

Ein Benutzer lädt einen Power BI-Bericht aus dem Dienst auf seinen Computer herunter.

Power BI-Dashboard bearbeitet

EditDashboard

Ein Dashboard wird umbenannt.

Visuelle Power BI-Berichtsdaten exportiert

ExportReport

Daten werden aus einer Berichtskachel exportiert.

Power BI-Kacheldaten exportiert

ExportTile

Daten werden aus einer Dashboardkachel exportiert.

Power BI-Dashboard gedruckt

PrintDashboard

Ein Dashboard wird gedruckt.

Power BI-Berichtseite gedruckt

PrintReport

Ein Bericht wird gedruckt.

Power BI-Bericht im Web veröffentlicht

PublishToWebReport

Ein Bericht wird im Web veröffentlicht.

Power BI-Dashboard freigegeben

ShareDashboard

Ein Dashboard wird freigegeben.

Power BI-Test gestartet

OptInForProTrial

Ein Benutzer startet ein Power BI Pro-Testabonnement.

Aktualisierte Power BI-Einstellungen der Organisation

UpdatedAdminFeatureSwitch

Ein Administrator hat eine organisatorische Einstellung im Power BI-Administratorportal geändert.

Power BI-Dashboard angezeigt

ViewDashboard

Ein Dashboard wird angezeigt.

Power BI-Bericht angezeigt

ViewReport

Ein Bericht wird angezeigt.

Seitenanfang

Microsoft Teams-Aktivitäten

In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Office 365 aufgelistet, die im Microsoft Teams-Überwachungsprotokoll protokolliert werden. Microsoft Teams ist ein chatorientierter Arbeitsbereich in Office 365. In diesem Arbeitsbereich werden die Unterhaltungen, Besprechungen, Dateien und Notizen eines Teams zusammengeführt. Weitere Informationen und Links zu Hilfethemen finden Sie unter:

Anzeigename

Vorgang

Beschreibung

Bot zum Team hinzugefügt

BotAddedToTeam

Ein Benutzer fügt einem Team einen Bot hinzu.

Kanal hinzugefügt

ChannelAdded

Ein Benutzer fügt einem Team einen Kanal hinzu.

Connector hinzugefügt

ConnectorAdded

Ein Benutzer fügt einen Connector zu einem Kanal hinzu.

Registerkarte hinzugefügt

TabAdded

Ein Benutzer fügt einem Kanal eine Registerkarte hinzu.

Einstellung geändert (veraltet)

SettingChanged

Der Vorgang "SettingChanged" wird in Kürze nicht mehr unterstützt. Dieser Vorgang wurde protokolliert, als Kanal-, Organisations- und Teameinstellungen geändert wurden.

Bitte verwenden Sie die Aktivitäten Kanaleinstellung geändert, Organisationseinstellung geändert und Teameinstellung geändert für die Suche nach Ereignissen, die zuvor protokolliert wurden, als Sie das Überwachungsprotokoll nach dem Vorgang "SettingChanged" durchsucht hatten.

Kanaleinstellung geändert

ChannelSettingChanged

Der Vorgang "ChannelSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teammitglied ausgeführt werden. Für jede dieser Aktivitäten wird in den Suchergebnissen für das Überwachungsprotokoll in der Spalte Element eine Beschreibung der geänderten Einstellung (nachstehend in Klammern gesetzt) angezeigt.

  • Ändert den Namen eines Teamkanals (Kanalname).

  • Ändert die Beschreibung eines Teamkanals (Kanalbeschreibung).

Organisationseinstellung geändert

OrganizationSettingChanged

Der Vorgang "OrganizationSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem globalen Administrator (über das Office 365 Admin Center) ausgeführt werden. Beachten Sie, dass sich diese Aktivitäten auf die organisationsweiten Microsoft Teams-Einstellungen auswirken. Weitere Informationen finden Sie unter Administratoreinstellungen für Microsoft Teams.

Für jede dieser Aktivitäten wird in den Suchergebnissen für das Überwachungsprotokoll in der Spalte Element eine Beschreibung der geänderten Einstellung (nachstehend in Klammern gesetzt) angezeigt.

  • Aktiviert oder deaktiviert Microsoft Teams für die Organisation (Microsoft Teams).

  • Aktiviert oder deaktiviert die Interoperabilität zwischen Microsoft Teams und Skype for Business für die Organisation (Skype for Business-Interoperabilität).

  • Aktiviert oder deaktiviert die Organigrammansicht in Microsoft Teams-Clients (Organigrammansicht).

  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, private Besprechungen zu planen (Private Besprechung planen).

  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, Kanalbesprechungen zu planen (Kanalbesprechung planen).

  • Aktiviert oder deaktiviert Videoanrufe in Teambesprechungen (Video für Skype-Besprechungen).

  • Aktiviert oder deaktiviert die Bildschirmfreigabe in Microsoft Teams MeetUps für die Organisation (Bildschirmfreigabe für Skype-Besprechungen).

  • Aktiviert oder deaktiviert die Möglichkeit, animierte Bilder (so genannte Giphys) zu Teamunterhaltungen hinzuzufügen (Animierte Bilder).

  • Ändert die Inhaltsbewertungseinstellung für die Organisation (Inhaltsbewertung).

    Die Inhaltsbewertung beschränkt, welche Arten animierter Bilder in Unterhaltungen angezeigt werden können.

  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, anpassbaren Bilder (so genannte benutzerdefinierte Memes) aus dem Internet mit Teamunterhaltungen hinzuzufügen (Anpassbare Bilder aus dem Internet).

  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, bearbeitbare Bilder (so genannte Aufkleber) zu Teamunterhaltungen hinzuzufügen (Bearbeitbare Bilder).

  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, Bots in Microsoft Teams-Chats und -Kanälen zu verwenden (Organisationsweite Bots).

  • Aktiviert bestimmte Bots für Microsoft Teams. Davon ausgenommen ist der Teams-Hilfebot T-Bot, der verfügbar ist, wenn Bots für die Organisation aktiviert sind (Einzelne Bots).

  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, Erweiterungen oder Registerkarten hinzuzufügen (Erweiterungen oder Registerkarten).

  • Aktiviert oder deaktiviert das Sideloading proprietärer Bots für Microsoft Teams (Sideloading von Bots).

  • Aktiviert oder deaktiviert die Möglichkeit für Benutzer, E-Mail-Nachrichten an einen Microsoft Teams-Kanal zu senden (Kanal-E-Mail).

Teameinstellung geändert

TeamSettingChanged

Der Vorgang "TeamSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teamadministrator ausgeführt werden. Für jede dieser Aktivitäten wird in den Suchergebnissen für das Überwachungsprotokoll in der Spalte Element eine Beschreibung der geänderten Einstellung (nachstehend in Klammern gesetzt) angezeigt.

  • Ändert die Art des Zugriffs für ein Team. Teams können als "Privat" oder "Öffentlich" festgelegt werden (Art des Teamzugriffs).

    Wenn ein Team privat ist (Standardeinstellung), haben Benutzer nur nach Einladung Zugriff auf das Team. Wenn ein Team öffentlich ist, kann es von allen Benutzern gefunden werden.

  • Ändert die Informationsklassifizierung eines Teams (Teamklassifizierung).

    Teamdaten können beispielsweise als mit hohen, mittleren oder niedrigen geschäftlichen Auswirkungen klassifiziert werden.

  • Ändert den Namen eines Teams (Teamname).

  • Ändert die Beschreibung eines Teams (Teambeschreibung).

Team erstellt

TeamCreated

Ein Benutzer erstellt ein neues Team.

Kanal gelöscht

ChannelDeleted

Ein Benutzer löscht einen Kanal aus einem Team.

Team gelöscht

TeamDeleted 

Ein Teamadministrator löscht ein Team.

Bot aus Team entfernt

BotRemovedFromTeam

Ein Benutzer entfernt einen Bot aus einem Team.

Connector entfernt

ConnectorRemoved

Ein Benutzer entfernt einen Connector aus einem Kanal.

Registerkarte entfernt

TabRemoved

Ein Benutzer entfernt eine Registerkarte aus einem Kanal.

Benutzer bei Teams angemeldet

TeamsSessionStarted

Ein Benutzer meldet sich an einem Microsoft Teams-Client an.

Seitenanfang

Yammer-Aktivitäten

In der folgenden Tabelle sind die in Yammer von Benutzern und Administratoren ausgeführten Aktivitäten aufgelistet, die im Office 365-Überwachungsprotokoll protokolliert werden. Zur Rückgabe von Yammer-Aktivitäten aus dem Office 365-Überwachungsprotokoll müssen Sie in der Liste Aktivitäten den Eintrag Ergebnisse für alle Aktivitäten anzeigen auswählen. Verwenden Sie die Datumsbereichsfelder und die Liste Benutzer, um die Suchergebnisse einzuschränken.

Anzeigename

Vorgang

Beschreibung

Datenaufbewahrungsrichtlinie geändert

SoftDeleteSettingsUpdated

Ein bestätigter Administrator ändert die Einstellung der Aufbewahrungsrichtlinie für Netzwerkdaten in "Endgültiges Löschen" oder "Vorläufiges Löschen". Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden.

Netzwerkkonfiguration geändert

NetworkConfigurationUpdated

Ein Netzwerk- oder bestätigter Administrator ändert die Konfiguration des Yammer-Netzwerks. Dies schließt das Festlegen des Intervalls zum Exportieren von Daten und das Aktivieren von Chats ein.

Netzwerkprofileinstellungen geändert

ProcessProfileFields

Ein Netzwerk- oder bestätigter Administrator ändert die Informationen, die für die Netzwerkbenutzer in den Mitgliedsprofilen angezeigt werden.

Modus für private Inhalte geändert

SupervisorAdminToggled

Ein bestätigter Administrator aktiviert oder deaktiviert den Modus "Privater Inhalt". In diesem Modus kann ein Administrator Beiträge in privaten Gruppen und zwischen einzelnen Benutzern (oder Benutzergruppen) ausgetauschte private Nachrichten anzeigen. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden.

Sicherheitskonfiguration geändert

NetworkSecurityConfigurationUpdated

Ein bestätigter Administrator aktualisiert die Sicherheitskonfiguration des Yammer-Netzwerks. Dies schließt das Festlegen von Kennwortablaufrichtlinien und Einschränkungen für IP-Adressen ein. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden.

Datei erstellt

FileCreated

Ein Benutzer lädt eine Datei hoch.

Gruppe erstellt

GroupCreation

Ein Benutzer erstellt eine neue Gruppe.

Gruppe gelöscht

GroupDeletion

Eine Gruppe wird in Yammer gelöscht.

Nachricht gelöscht

MessageDeleted

Ein Benutzer löscht eine Nachricht.

Datei heruntergeladen

FileDownloaded

Ein Benutzer lädt eine Datei herunter.

Daten exportiert

DataExport

Ein bestätigter Administrator exportiert Yammer-Netzwerkdaten. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden.

Datei freigegeben

FileShared

Ein Benutzer gibt eine Datei für einen anderen Benutzer frei.

Netzwerkbenutzer gesperrt

NetworkUserSuspended

Ein Netzwerk- oder bestätigter Administrator sperrt (deaktiviert) einen Benutzer in Yammer.

Benutzer gesperrt

UserSuspension

Ein Benutzerkonto wird gesperrt (deaktiviert).

Dateibeschreibung aktualisiert

FileUpdateDescription

Ein Benutzer ändert die Beschreibung einer Datei.

Dateiname aktualisiert

FileUpdateName

Ein Benutzer ändert den Namen einer Datei.

Datei angezeigt

FileVisited

Ein Benutzer zeigt eine Datei an.

Seitenanfang

Exchange-Administratorüberwachungsprotokoll

Mit der Exchange-Administratorüberwachungsprotokollierung, die in Office 365 standardmäßig aktiviert ist, wird ein Ereignis im Office 365-Überwachungsprotokoll erfasst, wenn ein Administrator (oder ein Benutzer, dem Administratorrechte zugewiesen wurden) eine Änderung in Ihrer Exchange Online-Organisation vornimmt. Änderungen, die mithilfe des Exchange Admin Centers oder durch Ausführen eines Cmdlets in Windows PowerShell vorgenommen werden, sind im Exchange-Administratorüberwachungsprotokoll erfasst. Ausführlichere Informationen zur Administratorüberwachungsprotokollierung in Exchange finden Sie unter Administratorüberwachungsprotokollierung. Es folgen einige Tipps für die Suche nach Aktivitäten im Exchange-Administratorüberwachungsprotokoll:

  • Zur Rückgabe von Einträgen aus dem Exchange-Administratorüberwachungsprotokoll müssen Sie Ergebnisse für alle Aktivitäten anzeigen in der Liste Aktivitäten auswählen. Verwenden Sie die Felder für Datumsbereiche und die Liste Benutzer, um die Suchergebnisse auf Cmdlets zu begrenzen, die von einem bestimmten Exchange-Administrator innerhalb eines bestimmten Zeitraums ausgeführt wurden.

  • Zum Anzeigen von Ereignissen aus dem Exchange-Administratorüberwachungsprotokoll filtern Sie die Suchergebnisse, und geben Sie einen Bindestrich () in das Filterfeld Aktivität ein. Dadurch werden Cmdlet-Namen angezeigt, die in der Spalte Aktivität für Exchange-Administratorereignisse angegeben sind. Anschließend können Sie die Cmdlet-Namen alphabetisch sortieren.

    Geben Sie einen Bindestrich in das Feld "Aktivitäten" ein, um Exchange-Administratorereignisse zu filtern.
  • Um Informationen darüber zu erhalten, welches Cmdlet ausgeführt wurde, welche Parameter und Parameterwerte verwendet wurden und welche Objekte betroffen waren, müssen Sie die Suchergebnisse exportieren und die Option Alle Ergebnisse herunterladen auswählen.

Seitenanfang

Müssen Sie herausfinden, ob ein Benutzer ein bestimmtes Dokument angezeigt oder ein Element aus seinem Postfach gelöscht hat? Wenn das der Fall ist, können Sie das Office 365 Security & Compliance Center verwenden, um das vereinheitlichte Überwachungsprotokoll zu durchsuchen und Benutzer- und Administratoraktivitäten in Ihrer Office 365-Organisation anzuzeigen. Das vereinheitlichte Überwachungsprotokoll bietet Ihnen die Möglichkeit, nach folgenden Arten von Benutzer- und Administratoraktivitäten in Office 365 zu suchen:

  • Benutzeraktivitäten in SharePoint Online und OneDrive for Business

  • Benutzeraktivitäten in Exchange Online (Exchange-Postfachüberwachungsprotokollierung)

    Wichtig : Die Postfachüberwachungsprotokollierung muss für jedes Benutzerpostfach aktiviert sein, bevor Benutzeraktivitäten in Exchange Online protokolliert werden. Weitere Informationen finden Sie unter Aktivieren der Postfachüberwachung in Office 365.

  • Administratoraktivitäten in SharePoint Online

  • Administratoraktivitäten in Azure Active Directory (dem Verzeichnisdienst für Office 365)

  • Administratoraktivitäten in Exchange Online (Exchange-Administratorüberwachungsprotokollierung)

  • Aktivitäten von Benutzern und Administratoren in Sway

  • Aktivitäten von Benutzern und Administratoren in Power BI für Office 365

  • Aktivitäten von Benutzern und Administratoren in Microsoft Teams

  • Aktivitäten von Benutzern und Administratoren in Yammer

Symbol für LinkedIn Learning Neu bei Office 365?
Entdecken Sie kostenlose Videokurse für Office 365-Administratoren und IT-Experten, bereitgestellt von LinkedIn Learning.

Ihre Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×