Подробные свойства в журнале аудита Office 365

Важно :  Данная статья переведена с помощью машинного перевода, см. Отказ от ответственности. Используйте английский вариант этой статьи, который находится здесь, в качестве справочного материала.

При экспорте результатов поиска журналов аудита из Центр безопасности и соответствия требованиям Office 365, у вас есть возможность загрузить все результаты, которые соответствуют вашим условиям поиска. Для этого выберите пункт Экспорт результатов > загрузить все результаты на странице поиска журналов аудита в Центр безопасности и соответствия требованиям. Дополнительные сведения журнала аудита в группе безопасности Office 365 и центр соответствия поискасм.

При экспорте всех результатов поиска в журнале аудита необработанные данные из единого журнала аудита Office 365 копируются в файл с разделителями-запятыми (CSV), который скачивается на ваш компьютер. Этот файл содержит дополнительные сведения из записей журнала аудита в столбце Сведения. Этот столбец содержит свойство с несколькими значениями, соответствующими свойствам записи журнала аудита. Каждая из пар property:value в свойстве с несколькими значениями отделяется запятой.

В следующей таблице описаны свойства, которые входят в — в зависимости от службы Office 365, в котором возникает события — в нескольких свойств столбца Подробности. Столбец Office 365 службу, в котором содержится это свойство    показывает службы и тип действия (пользователя или администратора), содержащее свойство. Для получения дополнительных сведений об этих свойств или свойств, которые могут не отображаться в этом разделе отображается Схема API активности управления Office 365.

Совет : С помощью Power Query в Excel можно разделить этот столбец на отдельные столбцы для каждого свойства. Это позволит выполнять сортировку и фильтрацию по одному или нескольким из этих свойств. Узнать, как это сделать, можно из раздела "Разделение столбца по разделителю" статьи Разделение текстового столбца (Power Query).

Свойство

Описание

Служба Office 365, имеющая это свойство

Actor

Учетная запись пользователя или службы, выполнившая действие.

Azure Active Directory

AzureActiveDirectoryEventType

Тип события Azure Active Directory. Перечисленные ниже значения указывают на тип события.

0   :   событие входа в учетную запись.

1   :   событие безопасности приложения Azure.

Azure Active Directory

ChannelGuid

Идентификатор Microsoft Teams канала. Команды, которой этот канал находится в определяется свойства TeamName и TeamGuid .

Microsoft Teams

ChannelName

Имя канала Microsoft Teams. Команды, которой этот канал находится в определяется свойства TeamName и TeamGuid .

Microsoft Teams

Client

Клиентское устройство, операционная система и браузер устройства, которые использовались для входа (например, Nokia Lumnia 920; Windows Phone 8; IE Mobile 11).

Azure Active Directory

ClientInfoString

Информация о почтовом клиенте, который использовался для выполнения операции, например версия браузера, версия Outlook и сведения о мобильном устройстве.

Exchange (действие с почтовым ящиком)

ClientIP

IP-адрес устройства, которое использовалось при записи действия в журнал. IP-адрес отображается в формате IPv4 или IPv6.

Exchange и Azure Active Directory

ClientIPAddress

Аналогично ClientIP.

SharePoint

CreationTime

Дата и время выполнения действия пользователем в формате UTC.

Все

DestinationFileExtension

Расширение скопированного или перемещенного файла. Это свойство отображается только для действий пользователя FileCopied и FileMoved.

SharePoint

DestinationFileName

Имя скопированного или перемещенного файла. Это свойство отображается только для действий FileCopied и FileMoved.

SharePoint

DestinationRelativeUrl

URL-адрес папки, в которую был скопирован или перемещен файл. Сочетание значений свойств SiteURL, DestinationRelativeURL и DestinationFileName аналогично значению свойства ObjectID, которое представляет собой полный путь к скопированному файлу. Это свойство отображается только для действий пользователя FileCopied и FileMoved.

SharePoint

EventSource

Указывает на то, что в SharePoint произошло событие. Возможные значения: SharePoint и ObjectModel.

SharePoint

ExternalAccess

В случае с действием администратора Exchange указывает, был ли командлет выполнен пользователем в вашей организации, сотрудником службы центра обработки данных Майкрософт, учетной записью службы центра обработки данных либо полномочным администратором. Значение False означает, что командлет был выполнен пользователем в вашей организации. Значение True означает, что командлет был выполнен сотрудником службы центра обработки данных Майкрософт, учетной записью службы центра обработки данных либо полномочным администратором.

В случае с действием, связанным с почтовым ящиком Exchange, указывает, был ли доступ к почтовому ящику осуществлен пользователем за пределами вашей организации.

Exchange

ExtendedProperties

Расширенные свойства события Azure Active Directory.

Azure Active Directory

ID

Идентификатор записи отчета. Идентификатор однозначно определяет запись отчета.

Все

InternalLogonType

Зарезервировано для внутреннего использования.

Exchange (действие с почтовым ящиком)

ItemType

Тип объекта, к которому был получен доступ или который был изменен. Возможные значения: File, Folder, Web, Site, Tenant и DocumentLibrary.

SharePoint

LoginStatus

Определяет неудачные попытки входа.

Azure Active Directory

LogonType

Тип доступа к почтовому ящику. Перечисленные ниже значения указывают на тип пользователя, который получил доступ к почтовому ящику.

0      Указывает на владельца почтового ящика.

1      Указывает на администратора.

2      Указывает на делегата.

3      Указывает на службу транспорта в центре обработки данных Майкрософт.

4      Указывает на учетную запись службы в центре обработки данных Майкрософт.

6      Указывает на полномочного администратора.

Exchange (действие с почтовым ящиком)

MailboxGuid

Идентификатор GUID почтового ящика Exchange, к которому был получен доступ.

Exchange (действие с почтовым ящиком)

MailboxOwnerUPN

Адрес электронной почты владельца почтового ящика, к которому был получен доступ.

Exchange (действие с почтовым ящиком)

ModifiedProperties (Name, NewValue, OldValue)

Это свойство включается для действий администратора, таких как добавление пользователя в группу администраторов сайта или семейства веб-сайтов. Значение включает имя измененного свойства (например, группа администраторов сайта), его новое значение (например, имя пользователя, добавленного в качестве администратора сайта) и предыдущее значение.

Все (действие администратора)

ObjectID

В случае с журналом аудита действий администратора Exchange это имя объекта, измененного командлетом.

В случае с действием SharePoint это полный URL-путь к файлу или папке, к которым получил доступ пользователь.

В случае с действием Azure AD это имя учетной записи пользователя, которая была изменена.

Все

Operation

Имя пользователя или администратор мероприятия. Значения данного свойства соответствует значению, который был выбран в действий раскрывающийся список. Если установлен флажок Показать результаты поиска для всех действий, отчет будут включены записи для всех пользователей и администраторов действий для всех служб. Описание операций и действия, которые вошли в Office 365 журнала аудита, вкладки Audited действий в поиске журнала аудита в Office 365 безопасности и поместить в центре соответствия.

В случае с действием администратора Exchange это свойство указывает имя выполненного командлета.

Все

OrganizationID

Идентификатор GUID вашей организации Office 365.

Все

Path

Имя почтовой папки, содержащей сообщение, к которому был получен доступ. В этом свойстве также указывается папка, в которой сообщение было создано либо в которую оно было скопировано или перемещено.

Exchange (действие с почтовым ящиком)

Parameters

В случае с действием администратора Exchange это имена и значения всех параметров, которые использовались с командлетом, указанным в свойстве Operation.

Exchange (действие администратора)

RecordType

Тип операции, указанной в записи. Перечисленные ниже значения указывают на тип записи.

1      Указывает на запись из журнала аудита действий администратора Exchange.

2      Указывает на запись из журнала аудита почтовых ящиков Exchange для операции, выполненной с отдельным элементом почтового ящика.

3      Также указывает на запись из журнала аудита почтовых ящиков Exchange. Этот тип записи указывает на операцию с несколькими элементами в исходном почтовом ящике (например, перемещение нескольких элементов в папку "Удаленные" или безвозвратное удаление нескольких элементов).

4      Указывает на операцию администратора сайта в SharePoint, например предоставление разрешений на доступ к сайту.

6      Указывает на операцию, связанную с файлом или папкой, в SharePoint, например просмотр или изменение файла пользователем.

8   :   операция, выполненная администратором в Azure Active Directory.

9   :   события входа OrgId в Azure Active Directory. Этот тип записи устарел.

10   :   события командлетов безопасности, которые были выполнены сотрудниками Майкрософт в центре обработки данных.

11   :   события защиты от потери данных в SharePoint.

12   :   события Sway.

14   :   события общего доступа в SharePoint.

15   :  события входа в Azure Active Directory с использованием службы токенов безопасности (STS).

18   :   события Центр безопасности и соответствия требованиям.

20   :   события Power BI.

22   :   события Yammer.

24    указывает eDiscovery события. Этот тип записи показывает действия, которые были выполнены, запустив поиска содержимого и управление досье eDiscovery в Центр безопасности и соответствия требованиям. Подробнее читайте Поиск eDiscovery действия в Office 365 журнала аудита.

25, 26 или 27      Показывает Microsoft Teams события.

Все

ResultStatus

Указывает на то, было ли действие (определяемое свойством Operation) выполнено успешно.

В случае с действием администратора Exchange может иметь значение True (успешно) или False (сбой).

Все

SecurityComplianceCenterEventType

Указывает, что действие было событием Центра безопасности и соответствия требованиям. Это свойство имеет значение 0 для всех действий в Центре.

Центр безопасности и соответствия требованиям Office 365

SharingType

Тип разрешений общего доступа, предоставленных пользователю, которому был открыт доступ к ресурсу. Пользователь указывается в свойстве UserSharedWith.

SharePoint

Site

Идентификатор GUID сайта, содержащего файл или папку, к которым получил доступ пользователь.

SharePoint

SiteUrl

URL-адрес сайта, содержащего файл или папку, к которым получил доступ пользователь.

SharePoint

SourceFileExtension

Расширение файла, к которому получил доступ пользователь. Если доступ был осуществлен к папке, это свойство имеет пустое значение.

SharePoint

SourceFileName

Имя файла или папки, к которым получил доступ пользователь.

SharePoint

SourceRelativeUrl

URL-адрес папки, содержащей файл, к которому получил доступ пользователь. Сочетание значений свойств SiteURL, SourceRelativeURL и SourceFileName аналогично значению свойства ObjectID, представляющему собой полный путь к файлу, к которому получил доступ пользователь.

SharePoint

Subject

Строка темы сообщения, к которому был осуществлен доступ.

Exchange (действие с почтовым ящиком)

Target

Пользователь, выполняемого действия (указанной в свойстве Operation ). Например если Гость добавляется SharePoint или группы Microsoft, пользователь перечислялись в данное свойство.

Azure Active Directory

TeamGuid

Идентификатор группы в Microsoft Teams.

Microsoft Teams

TeamName

Имя группы в Microsoft Teams.

Microsoft Teams

UserAgent

Информация о браузере пользователя. Эта информация предоставляется браузером.

SharePoint

UserDomain

Удостоверение организации клиента пользователя (субъекта), выполнившего действие.

Azure Active Directory

UserID

Пользователь, который выполнил действие (указанное в свойстве Operation), приведшее к добавлению записи в журнал. Обратите внимание на то, что в журнал аудита также добавляются записи для действий, выполняемых системными учетными записями (такими как SHAREPOINT\system и NT AUTHORITY\SYSTEM).

Все

UserKey

Дополнительный идентификатор пользователя, указанного в свойстве UserID. Например, для действий, выполняемых пользователями в SharePoint, это свойство заполняется уникальным идентификатором Microsoft .NET Passport (PUID). Для событий, произошедших в других службах и вызванных системными учетными записями, это свойство может иметь то же значение, что и свойство UserID.

Все

UserSharedWith

Пользователь, которому был предоставлен общий доступ к ресурсу. Это свойство присутствует, если свойство Operation имеет значение SharingSet. Пользователь также указывается в столбце Общий доступ предоставлен отчета.

SharePoint

UserType

Тип пользователя, который выполнил операцию. Перечисленные ниже значения указывают на тип пользователя.

0      Обычный пользователь.

2      Администратор организации Office 365.

3      Администратор или системная учетная запись центра обработки данных Майкрософт.

4      Системная учетная запись.

5      Приложение.

6      Субъект-служба.

Все

Version

Номер версии действия (которое определяется свойством Operation).

Все

Workload

Служба Office 365, в которой было выполнено действие. Возможные значения этого свойства:

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

Соответствие требованиям

Sway

SecurityComplianceCenter

PowerBI

MicrosoftTeams

Все

Обратите внимание, что свойства описанных выше также отображаются при нажатии кнопки Дополнительные сведения при просмотре сведений о конкретном событии.

Нажмите кнопку Дополнительные сведения, чтобы просмотреть подробные свойства записи событий журнала аудита

К началу

Примечание : Отказ от ответственности относительно машинного перевода. Данная статья была переведена с помощью компьютерной системы без участия человека. Microsoft предлагает эти машинные переводы, чтобы помочь пользователям, которые не знают английского языка, ознакомиться с материалами о продуктах, услугах и технологиях Microsoft. Поскольку статья была переведена с использованием машинного перевода, она может содержать лексические,синтаксические и грамматические ошибки.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×