Detaljerte egenskaper i Office 365-overvåkingsloggen

Viktig: Denne artikkelen er maskinoversatt, se ansvarsfraskrivelsen. Du finner den engelske versjonen av artikkelen her som referanse.

Når du eksporterer resultatene av en overvåkingslogg log søk fra Sikkerhet- og samsvarssenter for Office 365, har du alternativet for å laste ned alle resultatene som oppfyller søkekriteriene dine. Du gjør dette ved å velge kommandoen Eksporter > Last ned alle resultatene på søkesiden overvåkingslogg log i Sikkerhet- og samsvarssenter. For mer informasjon, kan du se søke i overvåkingsloggen Logg på Office 365-sikkerhet og samsvar Midtstill.

Når du eksporterer alle resultater for et søk i overvåkingslogg, blir rådataene fra den Office 365-enhetlige overvåkingsloggen kopiert til en fil med kommadelt verdi (CSV). Denne er lastet ned til den lokale datamaskinen. Denne filen inneholder tilleggsinformasjon fra oppføringen av overvåkingsloggen i en kolonne som heter Detalj. Denne kolonnen inneholder en egenskap med flere verdier for flere egenskaper fra posten for overvåkingsloggen. Hvert av property:value-parene i denne egenskapen med flere verdier er atskilt med komma.

Tabellen nedenfor beskriver egenskapene som er inkludert, avhengig av tjenesten Office 365 der en hendelse inntreffer – i flere egenskapen Detaljer-kolonnen. Kolonnen Office 365 tjeneste som har denne egenskapen    angir service og aktivitetstype (brukeren eller administratoren) som inneholder egenskapen. Hvis du vil ha mer detaljert informasjon om disse egenskapene eller egenskaper som ikke kan være oppført i dette emnet, kan du se Office 365 Management aktiviteten API skjemaet.

Tips!: Du kan bruke Power Query i Excel til å dele denne kolonnen i flere kolonner, slik at hver egenskap har sin egen kolonne. Dermed kan du sortere og filtrere etter én eller flere av disse egenskapene. Hvis du vil lære hvordan du gjør dette, kan du se avsnittet «Dele en kolonne med skilletegn» i Del en kolonne med tekst (Power Query).

Egenskap

Beskrivelse

Office 365-tjeneste som har denne egenskapen

Aktør

Bruker- eller tjenestekontoen som utfører handlingen.

Azure Active Directory

AzureActiveDirectoryEventType

Typen Azure Active Directory-hendelse. Følgende verdier angir hvilken type hendelse.

0     Angir en hendelse med kontopålogging.

1     Angir en hendelse med Azure-programsikkerhet.

Azure Active Directory

ChannelGuid

IDen for en Microsoft Teams kanal. Gruppen som kanalen er plassert i er identifisert av egenskapene TeamName og TeamGuid .

Microsoft Teams

ChannelName

Navnet på en Microsoft Teams kanal. Gruppen som kanalen er plassert i er identifisert av egenskapene TeamName og TeamGuid .

Microsoft Teams

Klient

Klientenheten, OS-enheten og enheten nettleseren brukes for påloggingshendelsen (for eksempel Nokia Lumnia 920, Windows Phone 8, IE Mobile 11).

Azure Active Directory

ClientInfoString

Informasjon om e-postklient som ble brukt til å utføre operasjonen, for eksempel en nettleserversjon, Outlook-versjon og informasjon om mobil enhet

Exchange (aktivitet for e-postboks)

ClientIP

IP-adressen til enheten som ble brukt da aktiviteten ble loggført. IP-adressen vises enten i IPv4- eller IPv6-adresseformat.

Exchange og Azure Active Directory

ClientIPAddress

Samme som ClientIP.

SharePoint

CreationTime

Dato og klokkeslett i Coordinated Universal Time (UTC) da brukeren utførte aktiviteten.

Alle

DestinationFileExtension

Filtypen til en fil som kopieres eller flyttes. Denne egenskapen vises bare for brukeraktivitetene FileCopied og FileMoved.

SharePoint

DestinationFileName

Navnet på filen som kopieres eller flyttes. Denne egenskapen vises bare for aktivitetene FileCopied og FileMoved.

SharePoint

DestinationRelativeUrl

Nettadressen til målmappen som en fil kopieres eller flyttes til. Kombinasjonen av verdiene for SiteURL-, DestinationRelativeURL-, og DestinationFileName-egenskapene er den samme som verdien for ObjectID-egenskapen, som er det fullstendige banenavnet til filen som ble kopiert. Denne egenskapen vises bare for brukeraktivitetene FileCopied og FileMoved.

SharePoint

EventSource

Identifiserer at en hendelse oppstod i SharePoint. Mulige verdier er SharePoint og ObjectModel.

SharePoint

ExternalAccess

For Exchange-administratoraktivitet angis det om cmdlet-en ble kjørt av en bruker i organisasjonen, av personale i et Microsoft-datasenter eller en tjenestekonto for et datasenter, eller av en delegert administrator. Verdien Usann indikerer at cmdlet-en ble kjørt av noen i organisasjonen. Verdien Sann indikerer at cmdlet-en ble kjørt av datasenterets personale, en tjenestekonto i dataseteret eller en delegert administrator.

For Exchange-postboksaktivitet angis det om en postboks ble åpnet av en bruker utenfor organisasjonen.

Exchange

ExtendedProperties

De utvidede egenskapene for en Azure Active Directory-hendelse.

Azure Active Directory

ID

ID-en for rapportoppføringen. ID-en identifiserer rapportoppføringen unikt.

Alle

InternalLogonType

Reservert for internt bruk.

Exchange (aktivitet for e-postboks)

ItemType

Objekttypen som ble åpnet eller endret. Mulige verdier inkluderer Fil, Mappe, Nett, Område, Leier, og DocumentLibrary.

SharePoint

LoginStatus

Identifiserer påloggingsfeil som kan ha oppstått.

Azure Active Directory

LogonType

Typen tilgang til postboksen. Følgende verdier angir hvilken type bruker som åpnet postboksen.

0      Angir en postbokseier.

1      Angir en administrator.

2      Angir en representant.

3      Angir transporttjenesten i Microsoft-datasenteret.

4      Angir en tjenestekonto i Microsoft-datasenteret.

6      Angir en delegert administrator.

Exchange (aktivitet for e-postboks)

MailboxGuid

Exchange-GUID-en for postboksen som ble åpnet.

Exchange (aktivitet for e-postboks)

MailboxOwnerUPN

E-postadressen til personen som eier postboksen som ble åpnet.

Exchange (aktivitet for e-postboks)

ModifiedProperties (Navn, NewValue, OldValue)

Egenskapen er inkludert for administratorhendelser, for eksempel det å legge til en bruker som et medlem av et nettsted eller en administratorgruppe i en områdesamling. Egenskapen inneholder navnet på egenskapen som ble endret (for eksempel administratorgruppen for området), den nye verdien for den endrede egenskapen (for eksempel brukeren som ble lagt til som en nettstedadministrator), og den forrige verdien på objektet som er endret.

Alle (administratoraktivitet)

Objekt-ID

For Exchange-overvåkingslogging for administrator, navnet på objektet som ble endret av cmdlet-en.

For SharePoint-aktivitet, det fullstendige navnet på nettadressebanen for filen eller mappen åpnet av en bruker.

For Azure AD-aktivitet, navnet på brukerkontoen som ble endret.

Alle

Operasjon

Navnet på brukeren eller administratoren aktiviteten. Verdien for denne egenskapen tilsvarer verdien som ble valgt i aktiviteter rullegardinliste. Hvis Vis resultatene for alle aktiviteter som ble valgt, vil rapporten inkludert oppføringer for alle brukere og administratorer aktiviteter for alle tjenester. En beskrivelse av operasjoner/aktiviteter som er logget på Office 365 overvåke loggen, kan du se kategorien Audited aktiviteter i Søk i overvåkingsloggen Logg på Office 365-sikkerhet og samsvar Midtstill.

For Exchange-administrasjonsaktivitet identifiserer denne egenskapen navnet på cmdlet-en som ble kjørt.

Alle

OrganizationID

GUID-en for din Office 365-organisasjon.

Alle

Bane

Navnet på postboksmappen der meldingen som ble åpnet, er plassert. Denne egenskapen identifiserer også mappen en melding er opprettet i eller kopiert/flyttet til.

Exchange (aktivitet for e-postboks)

Parametere

For Exchange-administratoraktivitet, navnet og verdien for alle parametere som ble brukt med cmdlet-en som er identifisert i operasjonsegenskapen.

Exchange (administrasjonsaktivitet)

Posttype

Type operasjon angitt av posten. Følgende verdier angir hvilken posttype.

1      Angir en post fra Exchange-overvåkingsloggen for administrator.

2      Angir en post fra Exchange-overvåkingsloggen for postboksen, for en operasjon utført på ett enkelt postbokselement.

3      Angir også en post fra Exchange-overvåkingsloggen for postboksen. Denne posttypen indikerer at operasjonen ble utført på flere elementer i kildepostboksen (for eksempel at flere elementer ble flyttet til mappen Slettede elementer eller at flere elementer ble slettet permanent).

4      Angir en administratoroperasjon på et nettsted i SharePoint, for eksempel en administrator eller en bruker som tilordner rettigheter til et nettsted.

6      Angir en fil- eller mapperelatert operasjon i SharePoint, for eksempel en bruker som viser eller endrer en fil.

8      Angir en administratoroperasjon som utføres i Azure Active Directory.

9      Angir OrgId-påloggingshendelser i Azure Active Directory. Denne posttypen avskrives.

10      Angir sikkerhethendelser for cmdlet som ble utført av Microsoft-personale i datasenteret.

11      Angir hendelser for datatapsbeskyttelse (DLP) i SharePoint.

12      Angir Sway-hendelser.

14      Angir delingshendelser i SharePoint.

15      Angir påloggingshendelser for Secure Token Service (STS) i Azure Active Directory.

18      Angir Sikkerhets- og samsvarssenteret-hendelser.

20      Angir Power BI-hendelser.

22      Angir Yammer-hendelser.

24    angir eDiscovery hendelser. Denne oppføringstypen angir aktiviteter som ble utført ved å kjøre innhold Søk og behandle eDiscovery-saker i Sikkerhets- og samsvarssenteret. For mer informasjon, kan du se søke for eDiscovery-aktiviteter i Office 365 overvåke loggen.

25, 26, eller 27      Angir Microsoft Teams hendelser.

Alle

ResultStatus

Angir om handlingen (spesifisert i Operasjon-egenskapen) var vellykket eller ikke.

For Exchange-administratoraktivitet, er verdien enten Sann (vellykket) eller Usann (mislyktes).

Alle

SecurityComplianceCenterEventType

Angir at aktiviteten var en Sikkerhets- og samsvarssenteret-hendelse. Alle Sikkerhets- og samsvarssenteret-aktiviteter vil ha en verdi på 0 for denne egenskapen.

Sikkerhet- og samsvarssenter for Office 365

SharingType

Typen delingstillatelser som var tilordnet til brukeren som ressursen ble delt med. Denne brukeren er identifisert i UserSharedWith-egenskapen.

SharePoint

Nettsted

GUID-en på nettstedet der filen eller mappen som ble åpnet av brukeren er plassert.

SharePoint

SiteUrl

URL-adressen på nettstedet der filen eller mappen som ble åpnet av brukeren er plassert.

SharePoint

SourceFileExtension

Filtypen for filen som ble åpnet av brukeren. Denne egenskapen er tom hvis objektet som ble åpnet er en mappe.

SharePoint

SourceFileName

Navnet på filen eller mappen som ble åpnet av brukeren.

SharePoint

SourceRelativeUrl

URL-adressen til mappen som inneholder filen som brukeren åpnet. Kombinasjonen av verdiene for SiteURL-, SourceRelativeURL-, og SourceFileName-egenskapene er den samme som verdien for ObjectID-egenskapen, som er det fullstendige banenavnet til filen som ble åpnet av brukeren.

SharePoint

Emne

Emnelinjen for meldingen som ble åpnet.

Exchange (aktivitet for e-postboks)

Mål

Brukeren som handlingen (angitt i egenskapen Operation ) ble utført på. Gjest er lagt til SharePoint eller en Microsoft-teamet, seg denne brukeren vil for eksempel være oppført i denne egenskapen.

Azure Active Directory

TeamGuid

IDen for en gruppe i Microsoft Teams.

Microsoft Teams

TeamName

Navnet på en gruppe i Microsoft Teams.

Microsoft Teams

UserAgent

Informasjon om brukerens nettleser. Denne informasjonen er levert av nettleseren.

SharePoint

UserDomain

Identitetsinformasjon om leierorganisasjonen til brukeren (aktøren) som utførte handlingen.

Azure Active Directory

UserID

Brukeren som utførte handlingen (spesifisert i Operation-egenskapen) som resulterte i at posten blir logget. Vær oppmerksom på at poster for aktivitet utført av systemkontoer (for eksempel SHAREPOINT\system eller NT AUTHORITY\SYSTEM) også er inkludert i overvåkingsloggen.

Alle

UserKey

En alternativ ID for brukeren som er identifisert i UserID-egenskapen. Denne egenskapen er for eksempel utfylt med den unike pass-ID-en (PUID) for hendelser som er utført av brukere i SharePoint. Denne egenskapen kan også spesifisere den samme verdien som UserID-egenskapen for hendelser som oppstår i andre tjenester og hendelser som er utført av systemkontoer.

Alle

UserSharedWith

Brukeren som en ressurs ble delt med. Denne egenskapen er inkludert hvis verdien for Operation-egenskapen er SharingSet. Denne brukeren er også oppført i Delt med-kolonnen i rapporten.

SharePoint

UserType

Brukertypen som utfører operasjonen. Følgende verdier angir brukertypen.

0      En vanlig bruker.

2      En administrator i din Office 365-organisasjon.

3      En administrator for et Microsoft-datasenter eller en systemkonto for et datasenter.

4      En systemkonto.

5      Et program.

6      Et tjenesteprinsipp.

Alle

Versjon

Angir versjonsnummeret til aktiviteten (identifisert av Operation-egenskapen) som er logget.

Alle

Arbeidsmengde

Office 365-tjenesten der aktiviteten oppsto. Mulige verdier for denne egenskapen er:

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

Samsvar

Sway

SecurityComplianceCenter

PowerBI

MicrosoftTeams

Alle

Vær oppmerksom på at egenskapene som er beskrevet ovenfor vises også når du klikker vil ha mer informasjon når du viser detaljer om en bestemt hendelse.

Klikk mer for å vise detaljert egenskapene for overvåkingslogg telefonlogger-hendelse

Tilbake til toppen

Merknad: Ansvarsfraskrivelse for maskinoversettelse: Denne artikkelen er oversatt av et datasystem i stedet for en oversetter. Microsoft tilbyr disse maskinoversettelsene slik at brukere som ikke snakker engelsk, får tilgang til innhold om Microsoft-produkter, -tjenester og –teknologier. Ettersom artikkelen er maskinoversatt, kan den inneholde feil i vokabular, syntaks eller grammatikk.

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Office Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

Takk for tilbakemeldingen! Det høres ut som det kan være lurt å sette deg i kontakt med én av våre Office-kundestøtteagenter.

×