Detaillierte Eigenschaften im Office 365-Überwachungsprotokoll

Hinweis:  Wir möchten Ihnen die aktuellsten Hilfeinhalte so schnell wie möglich in Ihrer eigenen Sprache bereitstellen. Diese Seite wurde automatisiert übersetzt und kann Grammatikfehler oder Ungenauigkeiten enthalten. Unser Ziel ist es, Ihnen hilfreiche Inhalte bereitzustellen. Teilen Sie uns bitte über den Link am unteren Rand dieser Seite mit, ob die Informationen für Sie hilfreich sind. Hier finden Sie den englischen Artikel als Referenz.

Wenn Sie die Ergebnisse einer erweiterten Suche Audit-Protokoll aus der Office 365 Security & Compliance Center exportieren, müssen Sie die Option alle Ergebnisse herunterladen, die Ihren Suchkriterien entsprechen. Hierzu wählen die Ergebnisse exportieren > alle Ergebnisse heruntergeladen werden, klicken Sie auf der Seite Audit Log suchen in der Security & Compliance Center. Weitere Informationen finden Sie unter Suchen das Audit melden Sie sich die Office 365-Sicherheit und Compliance-zentrieren.

Wenn der Export alle für eine Audit Log nach ergibt, werden die unformatierten Daten aus dem einheitlichen Überwachungsprotokoll Office 365 in eine Datei mit kommagetrennten Werten (CSV) kopiert, die diese mit Ihrem lokalen Computer heruntergeladen wurde. Diese Datei enthält weitere Informationen aus der Log Überwachungseintrag in einer Spalte mit dem Namen detailliert beschrieben. Diese Spalte enthält eine Eigenschaft mit mehreren Werte für mehrere Eigenschaften aus dem Audit Log-Datensatz. Jeder der property:value -Paare in dieser Eigenschaft mit mehreren Werten werden durch ein Komma getrennt.

Die folgende Tabelle beschreibt die Eigenschaften, die enthalten sind – je nach den Office 365-Dienst, in dem ein Ereignis eintritt – in der Spalte mit mehreren detailliert beschrieben. Zeigt an die Spalte , die diese Eigenschaft hat Office 365-Dienst    , den Dienst und den Typ der Aktivität (Benutzer oder Administrator), die die Eigenschaft enthält. Ausführlichere Informationen zu diesen Eigenschaften "oder" über gemeinsame Eigenschaften, die nicht in diesem Thema aufgeführt sind, finden Sie unter Office 365 Management Aktivität API Schema.

Tipp: Sie können Power Query in Excel in dieser Spalte in mehrere Spalten aufteilen, so dass jede Eigenschaft eine eigenen Spalte hat. Dies können Sie sortieren und Filtern auf einen oder mehrere der folgenden Eigenschaften. Finden Sie Informationen hierzu finden Sie im Abschnitt "Aufteilen eine Spalte anhand eines Trennzeichens" Teilen einer Spalte mit Text (Power Query)aus.

Eigenschaft

Beschreibung

Office 365-Dienst, das diese Eigenschaft enthält.

Actor

Das Benutzer- oder Dienstkonto, das die Aktion durchgeführt hat.

Azure Active Directory

AddOnName

Der Name eines Add-Ons, die hinzugefügt, entfernt oder in einem Team aktualisiert wurde. Der Typ des Add-ons in Microsoft Teams sind ein Bot, eines Verbinders oder einer Registerkarte.

Microsoft Teams

AddOnType

Die Art des ein Add-on, die hinzugefügt, entfernt oder in einem Team aktualisiert wurde. Die folgenden Werte geben den Typ des Add-Ons.

1    zeigt ein Bot an.

2    gibt eines Verbinders an.

3    zeigt eine Registerkarte an.

Microsoft Teams

AzureActiveDirectoryEventType

Der Typ des Azure Active Directory-Ereignisses. Die folgenden Werte geben den Ereignistyp an.

0      Steht für ein Kontoanmeldeereignis.

1      Steht für ein Ereignis der Azure-Anwendungssicherheit an.

Azure Active Directory

ChannelGuid

Die ID des einen Kanal Microsoft Teams. Das Team, dem der Kanal in befindet, wird durch die Eigenschaften TeamName und TeamGuid identifiziert.

Microsoft Teams

ChannelName

Der Name eines Microsoft Teams Channel. Das Team, dem der Kanal in befindet, wird durch die Eigenschaften TeamName und TeamGuid identifiziert.

Microsoft Teams

Client

Das Client-Gerät, das Gerät OS und für das Ereignis Login (z. B. Nokia Lumia 920; verwendete Gerätebrowser Windows Phone 8; Internet Explorer Mobile 11).

Azure Active Directory

ClientInfoString

Informationen zum E-Mail-Client, der für die Durchführung der Aktion verwendet wurde, wie die Browserversion, die Outlook-Version und Informationen zum mobilen Gerät

Exchange (Postfachaktivität)

ClientIP

Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird entweder im Format IPv4 oder im Format IPv6 angezeigt.

Exchange und Azure Active Directory

ClientIPAddress

Identisch mit ClientIP.

SharePoint

CreationTime

Das Datum und die Uhrzeit in UTC (koordinierte Weltzeit), zu dem/der der Benutzer die Aktivität durchgeführt hat.

Alle

DestinationFileExtension

Die Dateierweiterung einer Datei, die kopiert oder verschoben wurde. Diese Eigenschaft wird nur für die Benutzeraktivitäten "FileCopied" und "FileMoved" angezeigt.

SharePoint

DestinationFileName

Der Name der kopierten oder verschobenen Datei. Diese Eigenschaft wird nur für die Aktionen "FileCopied" und "FileMoved" angezeigt.

SharePoint

DestinationRelativeUrl

Die URL der Zielordner, in dem eine Datei kopiert oder verschoben wird. Die Kombination der Werte für die SiteURL, die DestinationRelativeURLund die DestinationFileName Eigenschaften entspricht dem den Wert für die Eigenschaft ObjectID , also den vollständigen Pfadnamen für die Datei, die Sie kopiert wurde. Diese Eigenschaft wird nur für die Benutzeraktivitäten FileCopied und FileMoved angezeigt.

SharePoint

EventSource

Gibt an, dass ein Ereignis im SharePoint aufgetreten. Mögliche Werte sind, SharePoint und ObjectModel.

SharePoint

ExternalAccess

Aktivitäten Exchange Administrator sind gibt an, ob das Cmdlet, von einem Benutzer in Ihrer Organisation von Microsoft Datacenter Personal oder ein Dienstkonto Datacenter oder von einem delegierten Administrator ausgeführt wurde. Der Wert False gibt an, dass das Cmdlet, von einer anderen Person in Ihrer Organisation ausgeführt wurde. Der Wert true, gibt an, dass das Cmdlet durch Datacenter Mitarbeiter, ein Dienstkonto Datacenter oder eines delegierten Administrators ausgeführt wurde.

Aktivitäten, Exchange Postfach Gibt an, ob ein Postfach von einem Benutzer außerhalb Ihrer Organisation zugegriffen wurde.

Exchange

ExtendedProperties

Erweiterten Eigenschaften für eine das Ereignis Azure Active Directory.

Azure Active Directory

ID

Die ID des Berichtseintrags. Mit dieser ID wird der Berichtseintrag eindeutig identifiziert.

Alle

InternalLogonType

Nur zur internen Verwendung

Exchange (Postfachaktivität)

ItemType

Der Typ des Objekts, auf das zugegriffen oder das geändert wurde. Mögliche Werte sind File, Folder, Web, Site, Tenant und DocumentLibrary.

SharePoint

LoginStatus

Gibt möglicherweise aufgetretene Anmeldefehler an.

Azure Active Directory

LogonType

Die Art des Postfachzugriffs. Die folgenden Werte geben den Benutzertyp an, der auf das Postfach zugegriffen hat.

0      Ein Postfachbesitzer.

1      Ein Administrator.

2      Ein Stellvertreter.

3      Der Transportdienst im Microsoft-Rechenzentrum.

4    zeigt ein Dienstkonto im Microsoft Datencenter an.

6      Ein delegierter Administrator.

Exchange (Postfachaktivität)

MailboxGuid

Die Exchange GUID des Postfachs ein, auf die zugegriffen wurde.

Exchange (Postfachaktivität)

MailboxOwnerUPN

Die E-Mail-Adresse des Besitzers des Postfachs, auf das zugegriffen wurde.

Exchange (Postfachaktivität)

Mitglieder

Listet die Benutzer, die hinzugefügt oder aus einem Team entfernt wurden. Die folgenden Werte geben den dem Benutzer zugewiesenen Rolle.

1      "Besitzer"

2      "Mitglied"

3      "Gast"

Die Eigenschaft "Mitglieder" enthält auch den Namen Ihrer Organisation und die E-Mail-Adresse des Mitglieds.

Microsoft Teams

ModifiedProperties (Name, NewValue, OldValue)

Die Eigenschaft ist für Administrator Ereignisse, wie etwa das Hinzufügen eines Benutzers als Mitglied einer Website oder einer Gruppe Websitesammlungs-Administrator enthalten. Die Eigenschaft enthält den Namen der Eigenschaft (z. B. Gruppe der Administratoren Website) geändert wurde, die den neuen Wert der Eigenschaft geänderte (solche der Benutzer, die als ein Websiteadministrator, und dem vorherigen Wert des geänderten Objekts hinzugefügt wurde.

Alle (Administratoraktivität)

ObjectID

Beim Überwachungsprotokoll für Exchange-Administratoren den Namen des Objekts, das von dem Cmdlet geändert wurde.

Bei einer SharePoint-Aktivität den vollständigen URL-Pfadnamen der Datei oder des Ordners, auf die oder den ein Benutzer zugegriffen hat.

Bei einer Azure AD-Aktivität der Name des Benutzerkontos, das geändert wurde.

Alle

Operation

Den Namen der Benutzer oder Administrator Aktivität. Der Wert dieser Eigenschaft entspricht dem Wert, der in den Aktivitäten ausgewählt wurde Dropdown-Liste. Wenn Ergebnisse anzeigen für alle Aktivitäten ausgewählt wurde, wird der Bericht für alle Benutzer und Administrator für alle Dienste Einträge enthalten. Überwachungsprotokoll eine Beschreibung der Vorgänge/Aktionen, die in der Office 365 angemeldet sind, finden Sie unter der Registerkarte Löschvorgänge Aktivitäten in die Überwachung melden Sie sich die Office 365-Sicherheit und Compliance Center suchen.

Bei Exchange-Administratoraktivitäten gibt diese Eigenschaft den Namen des ausgeführten Cmdlets an.

Alle

OrganizationID

Die GUID für Ihre Office 365-Organisation.

Alle

Path

Der Name des Postfachordners, in dem sich die Nachricht befindet, auf die zugegriffen wurde. Diese Eigenschaft gibt zudem den Ordner an, in dem eine Nachricht erstellt oder ihn den sie kopiert/verschoben wurde.

Exchange (Postfachaktivität)

Parameters

Bei einer Exchange-Administratoraktivität der Name und Wert aller Parameter, die in Verbindung mit dem Cmdlet verwendet wurden, das in der Eigenschaft "Operation" bezeichnet wurde.

Exchange (Administratoraktivität)

RecordType

Der vom Datensatz angegebene Vorgangstyp. Die folgende Werte geben den Datensatztyp an.

1    gibt an, dass ein Datensatz aus dem Exchange Administrator Überwachungsprotokoll.

2    gibt an, dass ein Datensatz aus dem Postfach Exchange Überwachungsprotokoll für einen Vorgang an ein Postfach singled Element ausgeführt.

3    gibt einen Datensatz aus dem Exchange Postfach Überwachungsprotokoll ebenfalls an. Diesen Datensatztyp gibt an, dass der Vorgang für mehrere Elemente im Postfach Quelle (z. B. mehrere Elemente in den Ordner Gelöschte Objekte verschieben oder mehrerer Elemente endgültig gelöscht werden) ausgeführt wurde.

4      Steht für den Vorgang eines Websiteadministrators in SharePoint, wie das Zuweisen von Berechtigungen für eine Website durch einen Administrator oder Benutzer.

6      Steht für einen eine Datei oder einen Ordner betreffenden Vorgang in SharePoint, wie einen Benutzer, der eine Datei anzeigt oder ändert.

8      Steht für einen in Azure Active Directory durchgeführten Administratorvorgang.

9    gibt weiterentwickelt Anmeldung Ereignisse im Azure Active Directory an. Dieser Datensatztyp wird nicht mehr unterstützt.

10      Steht für Ereignisse des Sicherheits-Cmdlet, die von Microsoft-Mitarbeitern im Rechenzentrum ausgeführt wurden.

11      Steht für DLP-Ereignisse (Schutz vor Datenverlust) in SharePoint.

12      Steht für Sway-Ereignisse.

14      Steht für die Freigabe von Ereignissen in SharePoint.

15      Steht für STS-Anmeldeereignisse (Secure Token Service) in Azure Active Directory.

18      Steht für Security & Compliance Center-Ereignisse.

20      Steht für Power BI-Ereignisse.

22      Steht für Yammer-Ereignisse.

24    gibt eDiscovery-Ereignisse an. Dieser Datensatztyp zeigt an, Aktivitäten, die durch Ausführen von Content-Suche und Verwalten von eDiscovery-Fällen in die Security & Compliance Center ausgeführt wurden. Weitere Informationen finden Sie unter Suchen nach eDiscovery-Aktivitäten in Office 365, die in das Überwachungsprotokoll.

25, 26, oder 27      Gibt Microsoft Teams Ereignisse an.

Alle

ResultStatus

Gibt an, ob die Aktion (in der Eigenschaft Vorgang angegeben) oder nicht erfolgreich war.

Aktivitäten Exchange Administrator sind ist der Wert True (erfolgreich) oder falsch (Fehler).

Alle

SecurityComplianceCenterEventType

Gibt an, dass es sich bei der Aktivität um ein Security & Compliance Center-Ereignis handelt. Alle Security & Compliance Center-Aktivitäten weisen für diese Eigenschaft den Wert 0 auf.

Office 365 Security & Compliance Center

SharingType

Die Art des Freigabeberechtigungen, die dem Benutzer zugewiesen wurde, die für die Ressource freigegeben wurde. Diese Benutzer wird in der Eigenschaft UserSharedWith identifiziert.

SharePoint

Site

Die GUID der Website, auf der sich die Datei oder der Ordner befinden, auf die oder den der Benutzer zugegriffen hat.

SharePoint

SiteUrl

Die URL der Website, auf der sich die Datei oder der Ordner befinden, auf die oder den der Benutzer zugegriffen hat.

SharePoint

SourceFileExtension

Die Erweiterung der Datei, auf die der Benutzer zugegriffen hat. Die Eigenschaft ist leer, wenn es sich bei dem Objekt, auf das zugegriffen wurde, um einen Ordner handelt.

SharePoint

SourceFileName

Der Name der Datei oder des Ordners, die vom Benutzer zugegriffen werden.

SharePoint

SourceRelativeUrl

Die URL des Ordners, der die Datei enthält, auf die der Benutzer zugegriffen hat. Die Kombination der Werte der Eigenschaften SiteURL, SourceRelativeURL und SourceFileName entspricht dem Wert der Eigenschaft ObjectID, d. h. dem vollständigen Pfadnamen der Datei, auf die der Benutzer zugegriffen hat.

SharePoint

Subject

Die Betreffzeile der Nachricht, auf die zugegriffen wurde.

Exchange (Postfachaktivität)

TabType

Tabstopptyp Aktualisierung in einem Team hinzugefügt oder entfernt. Die möglichen Werte für diese Eigenschaft sind:

  • Excelpin    Eine Excel-Registerkarte.

  • Erweiterung    Alle von Erstanbietern und Drittanbieter-apps; Wie können, VSTS und Formulare.

  • Notizen    Registerkarte OneNote.

  • Pdfpin    Eine PDF-Registerkarte.

  • Powerbi    Eine Registerkarte PowerBI.

  • Powerpointpin    Eine PowerPoint-Registerkarte.

  • Sharepointfiles    Eine SharePoint-Registerkarte.

  • Webseite    Eine Registerkarte angeheftete Website.

  • Wiki-Registerkarte    Registerkarte ' Wiki '.

  • Wordpin    Eine Word-Registerkarte.

Microsoft Teams

Target

Der Benutzer, dem für die Aktion (in der Eigenschaft Operation identifiziert) durchgeführt wurde. Beispielsweise würde SharePoint oder einem Microsoft-Team Gastbenutzer hinzugefügt wird, der Benutzer in dieser Eigenschaft aufgeführt sein.

Azure Active Directory

TeamGuid

Die ID eines Teams in Microsoft Teams.

Microsoft Teams

TeamName

Der Name eines Teams in Microsoft Teams.

Microsoft Teams

UserAgent

Informationen zum Browser des Benutzers. Diese Informationen werden vom Browser übermittelt.

SharePoint

UserDomain

Identitätsinformationen zur Mandantenorganisation des Benutzers (Akteur), der die Aktion ausgeführt hat.

Azure Active Directory

UserID

Der Benutzer, der die Aktion (in der Eigenschaft Operation angegeben) ausgeführt werden, die den Eintrag protokolliert wird geführt haben. Beachten Sie, dass Datensätze für Aktivitäten ausgeführte Arbeit von Systemkonten (z. B. SHAREPOINT\system oder Systemkonto:) auch im Überwachungsprotokoll enthalten sind.

Alle

UserKey

Einer alternativen ID für den Benutzer in der Eigenschaft UserID identifiziert. Beispielsweise wird diese Eigenschaft mit Passport einmalige Nr. (PUID) für von Benutzern in SharePoint durchgeführt Ereignisse aufgefüllt. Dieser Eigenschaft möglicherweise auch den gleichen Wert als UserID -Eigenschaft für den Ereignissen, die in anderen Diensten und Ereignisse ausgeführte Arbeit von Systemkonten angeben.

Alle

UserSharedWith

Der Benutzer, dem für eine Ressource freigegeben wurde. Diese Eigenschaft wird eingeschlossen, wenn der Wert für die Eigenschaft OperationSharingSet ist. Diese Benutzer wird auch in der Spalte freigegeben für den Bericht aufgeführt.

SharePoint

UserType

Der Typ des Benutzers, der den Vorgang ausgeführt hat. Die folgende Werte geben den Benutzertyp an.

0      Ein normaler Benutzer.

2    ein Administrator in Ihrer Organisation Office 365.

3      Ein Administrator in einem Microsoft-Rechenzentrum oder ein Systemkonto eines Rechenzentrums.

4      Ein Systemkonto.

5      Eine Anwendung.

6      Ein Dienstprinzipal.

Alle

Version

Gibt die Versionsnummer der (in der Eigenschaft Operation bezeichneten) Aktivität an, die protokolliert wird.

Alle

Workload

Der Office 365-Dienst, in die Aktivität aufgetreten ist. Die möglichen Werte für diese Eigenschaft sind:

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

Compliance

Sway

SecurityComplianceCenter

PowerBI

MicrosoftTeams

Alle

Notiz, die über die Eigenschaften beschrieben werden auch angezeigt, wenn Sie Weitere Informationen klicken Sie auf, wenn die Details für ein bestimmtes Ereignis anzeigen.

Klicken Sie auf "Weitere Informationen", um die genauen Eigenschaften des Datensatzes für das Überwachungsprotokollereignis anzuzeigen

Seitenanfang

Ihre Office-Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×