Поиск по журналу аудита в Центре безопасности и соответствия требованиям Office 365

Процесс поиска в журнале аудита в Office 365 состоит из указанных ниже этапов.

Шаг 1. Запуск поиска по журналу аудита

Шаг 2. Просмотр результатов поиска

Шаг 3. Фильтрация результатов поиска

Шаг 4. Экспорт результатов поиска в файл

Сведения о предварительных требованиях для поиска в журнале аудита Office 365 см. в разделе Подготовка

Шаг 1. Выполнение поиска по журналу аудита

  1. Перейдите по ссылке https://protection.office.com.

  2. Войдите в Office 365 с помощью своей рабочей или учебной учетной записи.

  3. В левой области щелкните пункт Поиск и исследование, а затем выберите пункт Поиск в журнале аудита.

    Откроется страница Поиск в журнале аудита.

    Настройте условия и нажмите кнопку "Поиск" для запуска отчета

    Примечание : Для поиска по журналу аудита сначала нужно включить ведение этого журнала. Если отображается ссылка Начать запись действий пользователя и администратора, просто щелкните ее. Если ее нет, это означает, что аудит для вашей организации уже включен.

  4. Настройте указанные ниже условия.

    1. Действия. Щелкните раскрывающийся список, чтобы увидеть действия, которые можно найти. Связанные действия пользователей и администраторов упорядочены по группам. Вы можете выбрать отдельные действия или щелкнуть имя группы, чтобы выбрать все входящие в нее элементы. Также можно щелкнуть выбранное действие, чтобы отменить выбор. После завершения поиска в результатах будут показаны только записи журнала аудита, относящиеся к выбранным действиям. Если выбрать пункт Показать результаты по всем действиям, будут показаны результаты для всех действий, совершенных выбранным пользователем или группой.

      В журнал аудита Office 365 записываются более 100 действий пользователей и администраторов. Чтобы просмотреть список с описаниями всех действий для различных служб Office 365, откройте вкладку Действия, подлежащие аудиту в начале этой статьи.

    2. Дата начала и Дата окончания. По умолчанию выбраны последние семь дней. Выберите диапазон дат и времени, чтобы просмотреть события, которые произошли за этот период. Даты и время представлены в формате UTC. Максимальный диапазон дат, который можно указать, составляет 90 дней. Если выбранный диапазон превышает 90 дней, выводится сообщение об ошибке.

      Совет : Если вы используете максимальный диапазон, равный 90 дням, выберите для параметра Дата начала текущее время. В противном случае появится сообщение об ошибке из-за того, что дата начала раньше даты окончания. Если вы включили аудит в течение последних 90 дней, начальная дата максимального диапазона не может быть раньше даты включения аудита.

    3. Пользователи. Щелкните это поле, а затем выберите одного или нескольких пользователей, для которых нужно показать результаты. В списке результатов приводятся записи журнала аудита для выбранного действия, выполненного выбранными в этом поле пользователями. Чтобы получить результаты для всех пользователей (и учетных записей служб) в организации, оставьте это поле пустым.

    4. Файл, папка или сайт. Введите полное имя файла или папки либо его часть, чтобы найти действие, связанное с этим элементом. Вы также можете указать URL-адрес или его часть, чтобы просмотреть записи о действиях, выполненных с любыми объектами по указанному пути. Обратите внимание: в поисковых запросах не поддерживаются специальные символы, такие как косая черта (/), обратная косая черта (\), тире (-) и символ подчеркивания (_). Их необходимо заменять пробелами. Например, чтобы найти действие на сайте OneDrive для бизнеса с адресом https://contoso-mysharepoint.com/personal/sarad_contoso_onmicrosoft_com, можно ввести в поле поиска такой запрос: personal sarad contoso.

      Чтобы получить результаты для всех файлов, папок и URL-адресов в организации, оставьте это поле пустым.

  5. Чтобы выполнить поиск по указанным условиям, нажмите кнопку Поиск.

    Результаты поиска загружаются и через несколько секунд отображаются в области Результаты. По завершении поиска отображается число найденных результатов. В области Результаты выводятся не более 5000 событий с шагом 150. Если условиям поиска соответствует большее число результатов, отображаются только последние 5000 событий.

    Количество результатов, отображаемое после завершения поиска

К началу

Советы по поиску в журнале аудита

  • Вы можете выбрать искомые действия, щелкнув их имена. Также можно выполнить поиск всех действий в группе (например, Действия, связанные с файлами и папками), щелкнув ее имя. Если действие выбрано, можно щелкнуть его, чтобы отменить выбор. В поле поиска также можно просмотреть действия, содержащие введенное ключевое слово.

    Щелкните имя группы действий, чтобы выбрать все действия
  • Чтобы увидеть события из журнала аудита действий администратора Exchange, нужно выбрать в списке Действия пункт Показать результаты по всем действиям. В результатах поиска для событий из этого журнала аудита в столбце Действие указываются имена командлетов (например, Set-Mailbox). Для получения дополнительных сведений откройте в этой статье вкладку Действия, подлежащие аудиту и щелкните ссылку Действия администратора Exchange.

    Для некоторых действий аудита нет соответствующих элементов в списке Действия. Если вам известно имя операции для этих действий, вы можете выполнить поиск всех действий, затем отфильтровать результаты, введя имя операции в поле для столбца Действие. Дополнительные сведения о фильтрации результатов см. в разделе Шаг 3.

  • Чтобы удалить текущие условия поиска, нажмите кнопку Очистить. Диапазон дат сбрасывается в значение по умолчанию (последние семь дней). Чтобы отменить выбор всех действий, можно нажать кнопку Снять выделение для просмотра результатов по всем действиям.

  • Если найдено 5000 результатов, возможно, условиям поиска соответствует более 5000 событий. Вы можете уточнить условия и повторно выполнить поиск, чтобы получить меньше результатов, или экспортировать все результаты поиска, выбрав Экспорт результатов > Скачать все результаты.

К началу

Шаг 2. Просмотр результатов поиска

Результаты поиска по журналу аудита выводятся в области Результаты на странице Поиск в журнале аудита. Как уже было сказано, отображаются 5000 самых последних событий с шагом 150. Чтобы увидеть больше событий, воспользуйтесь полосой прокрутки в области Результаты или нажмите клавиши SHIFT+END для отображения следующих 150 событий.

В результатах приводятся указанные ниже сведения о каждом событии, возвращенном поиском.

  • Дата. Дата и время наступления события (в формате UTC).

  • IP-адрес. IP-адрес устройства, которое использовалось при записи действия в журнал. IP-адрес отображается в формате IPv4 или IPv6.

  • Пользователь. Пользователь (или учетная запись службы), который выполнил действие, вызвавшее событие.

  • Действие. Действие, выполненное пользователем. Это значение соответствует действиям, выбранным в раскрывающемся списке Действия. Для события из журнала аудита действий администратора Exchange значение в этом столбце представляет собой командлет Exchange.

  • Элемент. Объект, созданный или измененный в результате соответствующего действия. Это может быть, например, просмотренный или измененный файл либо обновленная учетная запись пользователя. Не для всех действий в этом столбце содержится значение.

  • Сведения. Дополнительные сведения о действии. И в этом случае не для всех действий имеется значение.

Совет : Чтобы отсортировать результаты, щелкните заголовок столбца в области Результаты. Результаты можно отсортировать в алфавитном порядке по возрастанию или убыванию. Чтобы отсортировать результаты от самых старых к самым новым или наоборот, щелкните заголовок Дата.

Просмотр сведений об определенном событии

Чтобы просмотреть дополнительные сведения о событии, можно щелкнуть запись о нем в списке результатов поиска. Откроется страница Сведения с подробными свойствами, содержащимися в записи о событии. Набор отображаемых свойств зависит от службы Office 365, в которой произошло событие. Чтобы просмотреть эту информацию, щелкните Дополнительные сведения. Описания см. в статье Подробные свойства в журнале аудита Office 365.

Щелкните "Дополнительные сведения" для детального просмотра свойств записи о событии в журнале аудита

К началу

Шаг 3. Фильтрация результатов поиска

Помимо сортировки результатов поиска по журналу аудита, их также можно отфильтровать. Это отличная возможность, позволяющая быстро получить результаты, которые относятся к определенному пользователю или действию. Вы можете сначала создать более обширный запрос, а затем быстро отфильтровать результаты, чтобы увидеть определенные события. Затем вы можете сузить условия и выполнить поиск повторно, чтобы получить более конкретный набор результатов.

Чтобы отфильтровать результаты, выполните указанные ниже действия.

  1. Запустите поиск по журналу аудита.

  2. Когда появятся результаты, нажмите кнопку Показать фильтрацию результатов.

    Под заголовком каждого столбца приводятся поля ключевых слов.

  3. Щелкните одно из полей под заголовком столбца и введите слово или фразу в зависимости от столбца, по которому осуществляется фильтрация. Результаты автоматически изменятся в соответствии с условием фильтра.

    Введите необходимое слово в фильтр для отображения событий, которые соответствуют критериям фильтрации
  4. Чтобы отменить фильтр, щелкните значок X в поле фильтра или нажмите кнопку Скрыть фильтрацию.

Совет : Чтобы просмотреть события из журнала аудита действий администратора Exchange, введите тире () в поле фильтра Действие. Будут показаны имена командлетов, отображаемые в столбце Действие для действий администратора Exchange. Затем можно отсортировать имена командлетов по алфавиту.

К началу

Шаг 4. Экспорт результатов поиска в файл

Результаты поиска по журналу аудита можно экспортировать в файл с разделителями-запятыми (CSV) на компьютере. Этот файл можно открыть в Microsoft Excel и использовать такие возможности, как поиск, сортировка, фильтрация и разделение одного столбца (содержащего ячейки с несколькими значениями) на несколько.

  1. Выполните поиск по журналу аудита, а затем изменяйте условия поиска, пока не получите нужные результаты.

  2. Нажмите кнопку Экспорт результатов и выберите один из указанных ниже вариантов.

    • Сохранить загруженные результаты. Выберите этот вариант, чтобы экспортировать только те записи, которые отображаются на странице Поиск в журнале аудита в области Результаты. Скачанный CSV-файл содержит те же столбцы (и данные), которые отображаются на странице ("Дата", "Пользователь", "Действие", "Элемент" и "Сведения"). В CSV-файл также включается дополнительный столбец (с заголовком Дополнительно), который содержит дополнительную информацию из записи журнала аудита. Поскольку вы экспортируете результаты, загруженные (и отображаемые) на странице Поиск в журнале аудита, файл содержит не более 5000 записей.

    • Скачать все результаты. Выберите этот вариант, чтобы экспортировать все записи журнала аудита Office 365, отвечающие условиям поиска. Если количество результатов поиска превышает 5000, выберите этот вариант, чтобы скачать все записи, а не только отображаемые на странице Поиск в журнале аудита. При этом в CSV-файл загружаются необработанные данные из журнала аудита, а в столбце Сведения будут содержаться дополнительные сведения из записей журнала аудита. Если выбрать этот вариант экспорта, скачивание может занять много времени, так как файл может быть гораздо больше, чем в первом случае.

      Важно : В CSV-файл можно загрузить до 50 000 записей результатов одной операции поиска по журналу аудита. Если в CSV-файл загружено 50 000 записей, можно предположить, что условиям поиска соответствует более 50 000 событий. Чтобы обойти это ограничение и экспортировать больше записей, попробуйте указать диапазон дат, позволяющий сократить количество записей из журнала. Чтобы экспортировать больше 50 000 записей, вы можете выполнить поиск несколько раз со смежными диапазонами дат.

  3. После выбора варианта экспорта в нижней части окна появляется сообщение с запросом на открытие CSV-файла, сохранение его в папку "Загрузки" или сохранение в другую выбранную папку.

К началу

Дополнительные сведения об экспорте результатов поиска по журналу аудита

  • При выборе варианта Скачать все результаты в CSV-файле сохраняются необработанные данные из журнала аудита Office 365. Имена столбцов в этом файле ("Время", "Пользователь", "Действие", "Сведения") отличаются от имен в файле, скачиваемом при выборе варианта Сохранить загруженные результаты. Значения для одного и того же действия в этих двух CSV-файлах также могут различаться. Так, значение в столбце Действие в CSV-файле (например, MailboxLogin) может отличаться от более понятного названия действия в столбце Действие на странице Поиск в журнале аудита (например, Пользователь вошел в почтовый ящик).

  • Если вы скачали все результаты, в CSV-файле есть столбец с заголовком Сведения, в котором представлена дополнительная информация о каждом событии. Как упоминалось выше, этот столбец содержит свойство с несколькими значениями, соответствующими свойствам из записи журнала аудита. Каждая из пар property:value в свойстве с несколькими значениями отделяется от других запятой. В надстройке Power Query для Excel можно разделить этот столбец на несколько (по одному для каждого свойства). В результате вы сможете выполнять сортировку и фильтрацию по одному или нескольким свойствам. Чтобы узнать, как это сделать, см. раздел "Разделение столбца по разделителю" в статье Разделение текстового столбца (Power Query).

    После разделения столбца Сведения вы можете отфильтровать данные по столбцу Действие, чтобы увидеть подробную информацию для действий того или иного типа.

  • Если вы скачали все результаты поискового запроса, в которых содержатся события из разных служб Office 365, то столбец Сведения в CSV-файле содержит разные свойства в зависимости от того, в какой службе было выполнено действие. Например, записи из журналов аудита Exchange и Azure AD включают свойство с именем ResultStatus, которое указывает, было ли действие выполнено успешно. Этого свойства нет у событий в SharePoint. В свою очередь, события SharePoint имеют свойство, в котором указывается URL-адрес сайта для действий, связанных с файлами и папками. Чтобы избежать этого, рекомендуем использовать отдельные поисковые запросы для экспорта результатов из разных служб.

    Описание свойств, содержащихся в столбце Сведения в CSV-файле при скачивании всех результатов, с указанием служб, к которым относится каждое из них, см. в статье Подробные свойства в журнале аудита Office 365.

К началу

Прежде чем выполнять поиск по журналу аудита Office 365, обязательно ознакомьтесь с информацией в этом разделе.

  • Чтобы можно было выполнять поиск по журналу аудита Office 365, вы (или другой администратор) должны включить ведение этого журнала. Для этого в Центре безопасности и соответствия требованиям на странице Поиск в журнале аудита щелкните ссылку Начать запись действий пользователя и администратора. (Если ее нет, это означает, что аудит для вашей организации уже включен.) После этого появится сообщение о подготовке журнала аудита, и через пару часов, когда она будет завершена, вы сможете начать поиск. Это потребуется сделать только один раз.

    Примечание : Мы работаем над тем, чтобы аудит включался по умолчанию. Пока же вы можете включать его, как описано выше.

  • Выполнять поиск по журналу аудита Office 365 могут только те, кому в Exchange Online назначена роль "Только просмотр журналов аудита" или "Журналы аудита". Эти роли по умолчанию назначены группам ролей "Управление соответствием требованиям" и "Управление организацией" на странице Разрешения в Центре администрирования Exchange. Чтобы предоставить пользователю возможность поиска по журналу аудита Office 365 с минимальным уровнем привилегий, можно создать в Exchange Online специальную группу ролей, добавить в нее роль "Только просмотр журналов аудита" или "Журналы аудита", а затем и самого пользователя в качестве участника. Дополнительные сведения см. в статье Управление группами ролей в Exchange Online.

    Важно : Если назначить пользователю роль "Только просмотр журналов аудита" или "Журналы аудита" на странице Разрешения в Центр безопасности и соответствия требованиям, он не сможет выполнять поиск по журналу аудита Office 365. Разрешения должны быть назначены в Exchange Online. Это связано с тем, что базовый командлет, используемый для поиска по журналу аудита, является командлетом Exchange Online.

  • Если вы хотите отключить поиск в журнале аудита в Office 365 для организации, выполните в удаленной оболочке PowerShell, подключенной к вашей организации Exchange Online, такую команду:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    Чтобы снова включить поиск в журнале аудита, можно выполнить в Exchange Online следующую команду:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Дополнительные сведения см. в статье Отключение поиска в журнале аудита в Office 365.

  • Как говорилось ранее, для поиска по журналу аудита в качестве базового используется командлет Exchange Online с именем Search-UnifiedAuditLog. Это означает, что его можно использовать для поиска по журналу аудита Office 365 вместо страницы Поиск в журнале аудита в Центре безопасности и соответствия требованиям. Этот командлет необходимо запустить в оболочке для удаленного сеанса PowerShell, подключенной к вашей организации в Exchange Online. Дополнительные сведения см. в статье Search-UnifiedAuditLog.

  • Для скачивания данных из журнала аудита Office 365 программным путем вместо сценария PowerShell рекомендуется использовать API операций управления Office 365. API операций управления Office 365 — это веб-служба REST, с помощью которой можно разрабатывать корпоративные решения для мониторинга работоспособности, безопасности и соответствия требованиям. Дополнительные сведения см. в статье Справочник API операций управления Office 365.

  • В журнале аудита Office 365 можно искать действия, которые выполнялись в течение последних 90 дней.

  • Запись журнала аудита отображается в результатах поиска не позже чем через 30 минут или 24 часа после наступления соответствующего события. В таблице ниже показано время ее отображения для разных служб в Office 365.

    Служба Office 365

    30 минут

    24 часа

    Azure Active Directory (события для учетной записи администратора)

    Флажок

    Azure Active Directory (события для учетной записи пользователя)

    Флажок

    Exchange Online

    Флажок

    Microsoft Teams

    Флажок

    Power BI

    Флажок

    Центр безопасности и соответствия требованиям

    Флажок

    SharePoint Online и OneDrive для бизнеса

    Флажок

    Sway

    Флажок

    Yammer

    Флажок

  • Azure Active Directory (Azure AD) — это служба каталогов для Office 365. Единый журнал аудита содержит сведения о действиях, выполненных с пользователями, группами, приложениями, доменами и каталогами в Центре администрирования Office 365 или на портале управления Azure. Полный список событий Azure AD см. в статье События отчета аудита Azure Active Directory.

К началу

В таблицах ниже описаны действия, аудит которых проводится в Office 365. Эти события можно найти, выполнив поиск по журналу аудита в Центр безопасности и соответствия требованиям. Пошаговые инструкции см. на вкладке Поиск в журнале аудита.

В этих таблицах сгруппированы связанные действия, а также действия, относящиеся к одной службе Office 365. В таблицах указаны понятное имя, которое отображается в раскрывающемся списке Действия, и имя соответствующей операции, которое отображается в подробных данных записи аудита и в CSV-файле при экспорте результатов поиска. Щелкните одну из ссылок, чтобы перейти к определенной таблице.

Действия, связанные с файлами и страницами

Действия, связанные с папками

Действия, связанные с общим доступом и запросами на доступ

Действия, связанные с синхронизацией

Действия, связанные с администрированием сайта

Действия, связанные с почтовыми ящиками Exchange

Действия, связанные со Sway

Действия, связанные с администрированием пользователей

Действия, связанные с администрированием групп Azure AD

Действия, связанные с администрированием приложений

Действия, связанные с администрированием ролей

Действия, связанные с администрированием каталогов

Действия, связанные с обнаружением электронных данных

Действия, связанные с Power BI

Действия Microsoft Teams

Действия, связанные с Yammer

Действия администратора Exchange

Действия, связанные с файлами и страницами

В таблице ниже описаны действия, связанные с файлами и страницами, в SharePoint Online и OneDrive для бизнеса.

Понятное имя

Операция

Описание

Получен доступ к файлу

FileAccessed

Учетная запись пользователя или системы обращается к файлу.

(нет)

FileAccessedExtended

Эта операция связана с действием "Получен доступ к файлу" (FileAccessed). Событие FileAccessedExtended регистрируется, когда один и тот же пользователь постоянно обращается к файлу в течение длительного периода (до 3 часов). События FileAccessedExtended позволяют уменьшить число событий FileAccessed, регистрируемых при постоянном обращении к файлу. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей FileAccessed, и обратить внимание на исходное (более важное) событие FileAccessed.

Файл записан после изменения

FileCheckedIn

Пользователь записывает после изменения документ, извлеченный из библиотеки документов.

Извлечен файл

FileCheckedOut

Пользователь получает для изменения документ, находящийся в библиотеке документов. Пользователи могут извлекать и изменять документы, к которым им предоставлен доступ.

Скопирован файл

FileCopied

Пользователь копирует документ с сайта. Скопированный файл можно сохранить в другой папке на сайте.

Удален файл

FileDeleted

Пользователь удаляет документ с сайта.

Файл удален из корзины

FileDeletedFirstStageRecycleBin

Пользователь удаляет файл из корзины сайта.

Файл удален из корзины второго уровня

FileDeletedSecondStageRecycleBin

Пользователь удаляет файл из корзины второго уровня на сайте.

Обнаружена вредоносная программа в файле

FileMalwareDetected

Антивирусная подсистема SharePoint обнаружила вредоносную программу в файле.

Отменено извлечение файла

FileCheckOutDiscarded

Пользователь отменяет получение файла для изменения. Это означает, что все изменения, внесенные в полученный файл, отменяются и не сохраняются в версии документа в библиотеке документов.

Скачан файл

FileDownloaded

Пользователь скачивает документ с сайта.

Изменен файл

FileModified

Учетная запись пользователя или системы изменяет содержимое или свойства документа, находящегося на сайте.

(нет)

FileModifiedExtended

Эта операция связана с действием "Изменен файл" (FileModified). Событие FileModifiedExtended регистрируется, когда один и тот же пользователь постоянно изменяет файл в течение длительного периода (до 3 часов). События FileModifiedExtended позволяют уменьшить число событий FileModified, регистрируемых при постоянном изменении файла. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей FileModified, и обратить внимание на исходное (более важное) событие FileModified.

Перемещен файл

FileMoved

Пользователь перемещает документ из текущего места на сайте в новое.

Помещены в корзину все промежуточные версии файла

FileVersionsAllMinorsRecycled

Пользователь удаляет все промежуточные версии файла из журнала версий. Удаленные версии перемещаются в корзину сайта.

Помещены в корзину все версии файла

FileVersionsAllRecycled

Пользователь удаляет все версии файла из журнала версий. Удаленные версии перемещаются в корзину сайта.

Помещена в корзину версия файла

FileVersionRecycled

Пользователь удаляет версию файла из журнала версий. Удаленная версия перемещается в корзину сайта.

Переименован файл

FileRenamed

Пользователь переименовывает документ на сайте.

Восстановлен файл

FileRestored

Пользователь восстанавливает документ из корзины на сайте.

Выложен файл

FileUploaded

Пользователь отправляет документ в папку на сайте.

Просмотрена страница

PageViewed

Пользователь просматривает страницу на сайте. К этому не относится использование веб-браузера для просмотра файлов, размещенных в библиотеке документов.

(нет)

PageViewedExtended

Эта операция связана с действием "Просмотрена страница" (PageViewed). Событие PageViewedExtended регистрируется, когда один и тот же пользователь постоянно просматривает веб-страницу в течение длительного периода (до 3 часов). События PageViewedExtended позволяют уменьшить число событий PageViewed, регистрируемых при постоянном просмотре страницы. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей PageViewed, и обратить внимание на исходное (более важное) событие PageViewed.

К началу

Действия, связанные с папками

В таблице ниже описаны действия, связанные с папками в SharePoint Online и OneDrive для бизнеса.

Понятное имя

Операция

Описание

Скопирована папка

FolderCopied

Пользователь копирует папку с сайта в другое расположение в SharePoint или OneDrive для бизнеса.

Создана папка

FolderCreated

Пользователь создает папку на сайте.

Удалена папка

FolderDeleted

Пользователь удаляет папку с сайта.

Папка удалена из корзины

FolderDeletedFirstStageRecycleBin

Пользователь удаляет папку из корзины на сайте.

Папка удалена из корзины второго уровня

FolderDeletedSecondStageRecycleBin

Пользователь удаляет папку из корзины второго уровня на сайте.

Изменена папка

FolderModified

Пользователь изменяет папку на сайте. Это включает изменение метаданных папки, например тегов и свойств.

Перемещена папка

FolderMoved

Пользователь перемещает папку в другое расположение на сайте.

Переименована папка

FolderRenamed

Пользователь переименовывает папку на сайте.

Восстановлена папка

FolderRestored

Пользователь восстанавливает удаленную папку из корзины на сайте.

К началу

Действия, связанные с общим доступом и запросами на доступ

В таблице ниже описаны действия пользователя, связанные с общим доступом и запросами на доступ в SharePoint Online и OneDrive для бизнеса. Для совместного доступа к событиям столбец Сведения в разделе Результаты определяет имя пользователя или группы, которым предоставлен общий доступ к элементу, а также их тип (участник или гость организации). Дополнительные сведения см. в статье Аудит общего доступа с помощью журнала аудита Office 365.

Примечание : Пользователи могут быть участниками либо гостями в зависимости от свойства UserType объекта User. Как правило, участник — это сотрудник, а гость — подрядчик за пределами организации. Когда пользователь принимает приглашение на общий доступ (и при этом еще не входит в состав организации), для него создается гостевая учетная запись в каталоге организации. После того как для пользователя-гостя будет создана учетная запись в каталоге, ему можно будет напрямую предоставлять общий доступ к ресурсам (без приглашения).

Понятное имя

Операция

Описание

Запрос на доступ принят

AccessRequestAccepted

Запрос на доступ к сайту, папке или документу принят, и запросившему пользователю предоставлен доступ.

Приглашение к совместному использованию принято

SharingInvitationAccepted

Пользователь (участник или гость) принял приглашение на общий доступ и получил доступ к ресурсу. Это событие содержит сведения о пользователе, который был приглашен, и адресе электронной почты, который использовался для принятия приглашения (они могут различаться). Это действие зачастую сопровождается вторым событием, которое описывает способ предоставления пользователю доступа к ресурсу, например его добавление в группу, у которой есть такой доступ.

Добавлен уровень разрешений для семейства веб-сайтов

PermissionLevelAdded

Для семейства веб-сайтов добавлен уровень разрешений.

Заблокировано приглашение к совместному использованию

SharingInvitationBlocked

Приглашение к общему доступу, отправленное пользователем вашей организации, заблокировано из-за политики внешнего общего доступа, которая разрешает или запрещает внешний доступ, исходя из домена целевого пользователя. В данном случае приглашение к общему доступу было заблокировано по одной из следующих причин:

  • Домен целевого пользователя не входит в список разрешенных доменов.

    ИЛИ

  • Домен целевого пользователя включен в список блокируемых доменов.

Дополнительные сведения о разрешении и блокировании внешнего общего доступа в зависимости от домена см. в статье Ограничение общего доступа для доменов в SharePoint Online и OneDrive для бизнеса.

Нарушено наследование уровня разрешений

PermissionLevelsInheritanceBroken

В результате изменения элемент больше не наследует уровни разрешений от родительского элемента.

Нарушено наследование общего доступа

SharingInheritanceBroken

В результате изменения элемент больше не наследует разрешения на общий доступ от родительского элемента.

Создана ссылка общего доступа для компании

CompanyLinkCreated

Пользователь создал корпоративную ссылку на ресурс. Корпоративные ссылки могут использовать только участники организации. Их не могут использовать гости.

Создан запрос на доступ

AccessRequestCreated

Пользователь запрашивает доступ к сайту, папке или документу, на доступ к которым у него нет разрешений.

Создана анонимная ссылка

AnonymousLinkCreated

Пользователь создал анонимную ссылку на ресурс. По этой ссылке любой пользователь может получить доступ к ресурсу без проверки подлинности.

Приглашение к совместному использованию создано

SharingInvitationCreated

Пользователь предоставил общий доступ к ресурсу в SharePoint Online или OneDrive для бизнеса другому пользователю, который отсутствует в каталоге организации.

Отклонен запрос на доступ

AccessRequestDenied

Запрос на доступ к сайту, папке или документу отклонен.

Изменен уровень разрешений для семейства веб-сайтов

PermissionLevelModified

В семействе веб-сайтов изменен уровень разрешений.

Ссылка общего доступа для компании удалена

CompanyLinkRemoved

Пользователь удалил корпоративную ссылку на ресурс. Эту ссылку больше нельзя использовать для доступа к ресурсу.

Удалена анонимная ссылка

AnonymousLinkRemoved

Пользователь удалил анонимную ссылку на ресурс. Эту ссылку больше нельзя использовать для доступа к ресурсу.

Удален уровень разрешений для семейства веб-сайтов

PermissionLevelRemoved

Из семействе веб-сайтов удален уровень разрешений.

Восстановлено наследование общего доступа

SharingInheritanceReset

Выполнено изменение, в результате которого элемент снова наследует разрешения общего доступа от родительского элемента.

Общедоступный файл, папка или сайт

SharingSet

Пользователь (участник или гость) предоставил общий доступ к файлу, папке или сайту в SharePoint или OneDrive для бизнеса другому пользователю, присутствующему в каталоге организации. Значение в столбце Сведения для этого действия определяет имя пользователя, которому был предоставлен общий доступ к ресурсу, и его тип (участник или гость). Это действие часто сопровождается вторым событием, которое описывает способ предоставления пользователю доступа к ресурсу, например его добавление в группу, у которой есть такой доступ.

Обновлена анонимная ссылка

AnonymousLinkUpdated

Пользователь обновил анонимную ссылку на ресурс. При экспорте результатов поиска обновленное поле добавляется в свойство EventData.

Использована анонимная ссылка

AnonymousLinkUsed

Анонимный пользователь обратился к ресурсу по анонимной ссылке. Личность пользователя может быть неизвестна, однако можно получить другие сведения, такие как его IP-адрес.

Отменен общий доступ к файлу, папке или сайту

SharingRevoked

Пользователь (участник или гость) отменил общий доступ к файлу, папке или сайту, к которым ранее был предоставлен общий доступ другому пользователю.

Использована ссылка общего доступа для компании

CompanyLinkUsed

Пользователь обратился к ресурсу по корпоративной ссылке.

Приглашение к совместному использованию отозвано

SharingInvitationRevoked

Пользователь отозвал приглашение на общий доступ к ресурсу.

К началу

Действия, связанные с синхронизацией

В таблице ниже перечислены действия, связанные с синхронизацией файлов в SharePoint Online и OneDrive для бизнеса.

Понятное имя

Операция

Описание

Компьютеру разрешено синхронизировать файлы

ManagedSyncClientAllowed

Пользователь успешно устанавливает отношение синхронизации с сайтом. Отношение синхронизации установлено успешно, так как компьютер пользователя входит в домен, добавленный в список доменов, которым разрешен доступ к библиотекам документов в организации (список надежных получателей).

Дополнительные сведения об этой возможности см. в статье Использование командлетов Windows PowerShell для включения синхронизации OneDrive для доменов, входящих в список надежных получателей.

На компьютере заблокирована функция синхронизации файлов

UnmanagedSyncClientBlocked

Пользователь пытается установить отношение синхронизации с сайтом с компьютера, который не входит в домен организации или входит в домен, не добавленный в список доменов, которым разрешен доступ к библиотекам документов в организации (список надежных получателей). Отношение синхронизации блокируется, а компьютеру пользователя запрещается синхронизировать файлы с библиотекой документов, скачивать файлы из нее или отправлять в нее.

Сведения об этой возможности см. в статье Использование командлетов Windows PowerShell для включения синхронизации OneDrive для доменов, входящих в список надежных получателей.

На компьютер скачаны файлы

FileSyncDownloadedFull

Пользователь устанавливает отношение синхронизации и успешно скачивает файлы в первый раз из библиотеки документов на свой компьютер.

На компьютер скачаны изменения в файле

FileSyncDownloadedPartial

Пользователь успешно скачивает все изменения, внесенные в файлы, из библиотеки документов. Это действие указывает на то, что все изменения, внесенные в файлы в библиотеке документов, были скачаны на компьютер пользователя. Скачаны только изменения, так как библиотека документов была ранее скачана пользователем (на что указывает действие На компьютер скачаны файлы).

Файлы выложены в библиотеку документов

FileSyncUploadedFull

Пользователь устанавливает отношение синхронизации и успешно отправляет файлы в первый раз со своего компьютера в библиотеку документов.

Изменения в файле выложены в библиотеку документов

FileSyncUploadedPartial

Пользователь успешно отправляет изменения, внесенные в файлы, в библиотеку документов. Это событие указывает на то, что все изменения, внесенные в локальную версию файла из библиотеки документов, успешно отправлены в библиотеку документов. Отправляются только изменения, так как сами файлы были ранее отправлены пользователем (на что указывает действие Файлы выложены в библиотеку документов).

К началу

Действия, связанные с администрированием сайта

В таблице ниже перечислены события, возникающие в результате действий по администрированию сайта в SharePoint Online.

Понятное имя

Операция

Описание

Добавлен исключаемый агент пользователя

ExemptUserAgentSet

Администратор SharePoint или глобальный администратор добавляет агент пользователя в список исключаемых агентов пользователя в Центре администрирования SharePoint.

Добавлен администратор семейства веб-сайтов

SiteCollectionAdminAdded

Администратор или владелец семейства веб-сайтов добавляет пользователя в качестве администратора семейства веб-сайтов для сайта. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем его дочерним сайтам.

Добавлены пользователь или группа в группу SharePoint

AddedToGroup

Пользователь добавил участника или гостя в группу SharePoint. Это может быть как намеренным действием, так и результатом другого действия, например события предоставления общего доступа.

Пользователю разрешено создавать группы

AllowGroupCreationSet

Администратор или владелец сайта добавляет уровень разрешений для сайта, позволяющий пользователю создавать группы на этом сайте.

Отменено географическое перемещение сайта

SiteGeoMoveCancelled

Администратор SharePoint или глобальный администратор успешно отменяет географическое перемещение сайта SharePoint или OneDrive. Поддержка нескольких регионов позволяет Office 365 организациям охватывать множество расположений центров данных Office 365, которые называются геообъектами. Дополнительные сведения см. в статье Поддержка нескольких регионов в OneDrive и SharePoint Online в Office 365.

Изменена политика общего доступа

SharingPolicyChanged

Администратор SharePoint или глобальный администратор изменил политику общего доступа SharePoint, используя портал администрирования Office 365 или SharePoint либо командную консоль SharePoint Online. Любое изменение параметров политики общего доступа в организации регистрируется в журнале. Политика, в которую были внесены изменения, указывается в поле ModifiedProperties в подробных свойствах записи события.

Изменена политика доступа к устройству

DeviceAccessPolicyChanged

Администратор SharePoint или глобальный администратор изменил политику неуправляемых устройств для организации. Эта политика регулирует доступ к SharePoint, OneDrive и Office 365 с устройств, не присоединенных к организации. Для настройки этой политики необходима подписка на Enterprise Mobility + Security. Дополнительные сведения см. в статье Управление доступом с неуправляемых устройств.

Изменены исключаемые агенты пользователя

CustomizeExemptUsers

Администратор SharePoint или глобальный администратор настраивает список исключаемых агентов пользователя в Центре администрирования SharePoint. Вы можете указать, какие агенты пользователя не должны получать целые веб-страницы для индексации. Это означает, что если агент пользователя, указанный как исключаемый, обнаруживает форму InfoPath, эта форма возвращается как XML-файл, а не как целая веб-страница. Это позволяет ускорить индексацию форм InfoPath.

Изменена политика доступа к сети

NetworkAccessPolicyChanged

Администратор SharePoint или глобальный администратор изменил политику доступа по расположению (также называемую границей надежной сети) в Центре администрирования SharePoint или с помощью SharePoint Online PowerShell. Политика этого типа регулирует доступ к ресурсам SharePoint и OneDrive в организации на основе указанных вами диапазонов авторизованных IP-адресов. Дополнительные сведения см. в статье Управление доступом к ресурсам SharePoint и OneDrive на основе сетевых расположений.

Завершено географическое перемещение сайта

SiteGeoMoveCompleted

Географическое перемещение сайта, запланированное глобальным администратором организации, успешно выполнено. Поддержка нескольких регионов позволяет Office 365 организациям охватывать множество расположений центров данных Office 365, которые называются геообъектами. Дополнительные сведения см. в статье Поддержка нескольких регионов в OneDrive и SharePoint Online в Office 365.

Создана группа

GroupAdded

Администратор или владелец сайта создает группу для сайта или выполняет задачу, которая приводит к созданию группы. Например, когда пользователь впервые создает ссылку для предоставления общего доступа к файлу, на сайт OneDrive для бизнеса пользователя добавляется системная группа. Это событие также может быть результатом того, что пользователь создал ссылку для общего доступа к файлу с разрешениями на изменение.

Создано подключение "Отправить пользователю"

SendToConnectionAdded

Администратор SharePoint или глобальный администратор создает подключение отправки на странице управления записями в Центре администрирования SharePoint. Подключение отправки определяет параметры для репозитория документов или центра записей. После создания подключения отправки организатор контента может отправлять документы в указанное расположение.

Создано семейство веб-узлов

SiteCollectionCreated

Администратор SharePoint или глобальный администратор создает семейство веб-сайтов в вашей организации SharePoint Online или пользователь подготавливает свой сайт OneDrive для бизнеса.

Удалена группа

GroupRemoved

Пользователь удаляет группу с сайта.

Удалены подключения "Отправить пользователю"

SendToConnectionRemoved

Администратор SharePoint или глобальный администратор удаляет подключение отправки на странице управления записями в Центре администрирования SharePoint.

Удален сайт

SiteDeleted

Администратор сайта удаляет сайт.

Включен предварительный просмотр документов

PreviewModeEnabledSet

Администратор сайта включает предварительный просмотр документов для сайта.

Включен устаревший рабочий процесс

LegacyWorkflowEnabledSet

Администратор или владелец сайта добавляет тип контента "Задача рабочего процесса SharePoint 2013" на сайт. Глобальные администраторы также могут включать рабочие процессы для всей организации в Центре администрирования SharePoint.

Включен Office по запросу

OfficeOnDemandSet

Администратор сайта включает функцию "Office по запросу", которая позволяет пользователям получать доступ к последней версии классических приложений Office. Office по запросу можно включить в Центре администрирования SharePoint при наличии подписки на Office 365, в которую входят полнофункциональные версии устанавливаемых приложений Office.

Включены RSS-каналы

NewsFeedEnabledSet

Администратор или владелец сайта включает RSS-каналы для сайта. Глобальные администраторы могут включать RSS-каналы для всей организации в Центре администрирования SharePoint.

Изменены разрешения сайта

SitePermissionsModified

Администратор или владелец сайта (либо системная учетная запись) изменяет уровень разрешений, назначенный группе на сайте. Это действие также записывается в журнал при удалении всех разрешений, назначенных группе.

Примечание : Эту операцию не рекомендуется использовать в SharePoint Online. Чтобы найти связанные события, можно найти другие действия, связанные с разрешениями, например Добавлен администратор семейства веб-сайтов, В группу SharePoint добавлен пользователь или группа, Пользователю разрешено создавать группы, Создана группа и Удалена группа.

Удалены пользователь или группа из группы SharePoint

RemovedFromGroup

Пользователь удалил участника или гостя из группы SharePoint. Это может быть как намеренным действием, так и результатом другого действия, например события отмены общего доступа.

Переименован сайт

SiteRenamed

Администратор или владелец сайта переименовывает сайт.

Запрошены разрешения администратора сайта

SiteAdminChangeRequest

Пользователь отправил запрос на добавление себя в качестве администратора семейства веб-сайтов. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем его дочерним сайтам.

Запланировано географическое перемещение сайта

SiteGeoMoveScheduled

Администратор SharePoint или глобальный администратор успешно запланировал географическое перемещение сайта SharePoint или OneDrive. Поддержка нескольких регионов позволяет Office 365 организациям охватывать множество расположений центров данных Office 365, которые называются геообъектами. Дополнительные сведения см. в статье Поддержка нескольких регионов в OneDrive и SharePoint Online в Office 365.

Настроить сайт узла

HostSiteSet

Администратор SharePoint или глобальный администратор изменяет сайт, назначенный для размещения личных сайтов или сайтов OneDrive для бизнеса.

Обновлена группа

GroupUpdated

Администратор или владелец сайта изменяет параметры группы для сайта. Это может быть изменение имени группы, списка пользователей, которые могут просматривать или изменять состав группы, а также способа обработки запросов на вступление в группу.

К началу

Действия, связанные с почтовыми ящиками Exchange

В таблице ниже перечислены действия, которые могут регистрироваться в журнале аудита почтовых ящиков. В этот журнал записываются действия с почтовыми ящиками, выполняемые их владельцами, делегированными пользователями или администраторами. По умолчанию аудит почтовых ящиков в Office 365 не включен. Чтобы действия с почтовыми ящиками регистрировались в журнале, нужно сначала включить ведение журнала аудита для каждого почтового ящика. Дополнительные сведения см. в статье Включение аудита почтовых ящиков в Office 365.

Понятное имя

Операция

Описание

Добавлены разрешения почтового ящика с делегированным доступом

Add-MailboxPermission

Администратор назначил пользователю (называемому представителем) разрешение на полный доступ (FullAccess) к почтовому ящику другого пользователя. Разрешение на полный доступ позволяет представителю открывать почтовый ящик другого пользователя, а также читать его содержимое и управлять им.

Сообщения скопированы в другую папку

Copy

Сообщение было скопировано в другую папку.

Создан элемент почтового ящика

Create

В папке "Календарь", "Контакты", "Заметки" или "Задачи" почтового ящика создан элемент, например новое приглашение на собрание. Обратите внимание, что создание, отправка и получение сообщений не подлежат аудиту. Аудиту также не подлежит создание папки почтового ящика.

Сообщения удалены из папки "Удаленные"

SoftDelete

Сообщение было удалено безвозвратно или удалено из папки "Удаленные". Такие элементы перемещаются в папку "Элементы с возможностью восстановления". Сообщение также перемещается в папку "Элементы с возможностью восстановления", когда пользователь выбирает его и нажимает клавиши SHIFT+DELETE.

Сообщения перемещены в другую папку

Move

Сообщение было перемещено в другую папку.

Сообщения перемещены в папку "Удаленные"

MoveToDeletedItems

Сообщение было удалено и перемещено в папку "Удаленные".

Сообщения удалены из почтового ящика

HardDelete

Сообщение было очищено из папки "Элементы с возможностью восстановления" (удалено из почтового ящика безвозвратно).

Удалены разрешения почтового ящика с делегированным доступом

Remove-MailboxPermission

Администратор удалил разрешение на полный доступ (FullAccess) к почтовому ящику другого пользователя (которое было назначено представителю). После удаления разрешения на полный доступ представитель не может открыть почтовый ящик другого пользователя или получить доступ к его содержимому.

Отправить сообщение с использованием разрешений "Отправить как"

SendAs

Сообщение было отправлено с использованием разрешения SendAs. Это означает, что другой пользователь отправил сообщение так, как будто оно было отправлено владельцем почтового ящика.

Отправить сообщение с использованием разрешений "Отправить от имени"

SendOnBehalf

Сообщение было отправлено с использованием разрешения SendOnBehalf. Это означает, что другой пользователь отправил сообщение от имени владельца почтового ящика. Для получателя в сообщении указывается, от имени кого было отправлено сообщение и кто отправил его на самом деле.

Обновлено сообщение

Update

Сообщение или его свойства были изменены.

Пользователь вошел в почтовый ящик

MailboxLogin

Пользователь вошел в свой почтовый ящик.

К началу

Действия, связанные со Sway

В таблице ниже перечислены действия пользователей и администраторов в Sway. Sway — это приложение Office 365, в котором пользователи могут фиксировать идеи, создавать истории и презентации, оформлять их и делиться с другими — и все это на интерактивном веб-полотне. Дополнительные сведения см. в статье Вопросы и ответы о Sway — справка для администраторов.

Понятное имя

Операция

Описание

Изменен уровень общего доступа к презентации Sway

SwayChangeShareLevel

Пользователь изменяет уровень общего доступа к презентации Sway. Это событие фиксирует изменение пользователем области общего доступа, связанной с презентацией Sway, например, она может стать общедоступной или корпоративной.

Создана презентация Sway

SwayCreate

Пользователь создает презентацию Sway.

Удалена презентация Sway

SwayDelete

Пользователь удаляет презентацию Sway.

Отключено дублирование презентации Sway

SwayDisableDuplication

Пользователь отключает дублирование презентации Sway.

Продублирована презентация Sway

SwayDuplicate

Пользователь дублирует презентацию Sway.

Изменена презентация Sway

SwayEdit

Пользователь вносит изменения в презентацию Sway.

Включено дублирование презентации Sway

EnableDuplication

Пользователь включает дублирование презентации Sway. Возможность включения дублирования презентации Sway включена для пользователя по умолчанию.

Отозван общий доступ к презентации Sway

SwayRevokeShare

Пользователь отменяет общий доступ к презентации Sway, отзывая право доступа. При отзыве права доступа изменяются ссылки, связанные с презентацией Sway.

Предоставлен общий доступ к презентации Sway

SwayShare

Пользователь собирается предоставить общий доступ к презентации Sway. Это событие фиксирует действие пользователя по выбору определенного общего назначения в меню общего доступа Sway. Это событие не указывает, завершил ли пользователь действие по предоставлению общего доступа.

Отключен внешний общий доступ к Sway

SwayExternalSharingOff

Администратор отключает внешний общий доступ к Sway для всей организации с помощью Центра администрирования Office 365.

Включен внешний общий доступ к Sway

SwayExternalSharingOn

Администратор включает внешний общий доступ к Sway для всей организации с помощью Центра администрирования Office 365.

Отключена служба Sway

SwayServiceOff

Администратор отключает службу Sway для всей организации с помощью Центра администрирования Office 365.

Включена служба Sway

SwayServiceOn

Администратор включает службу Sway для всей организации с помощью Центра администрирования Office 365 (по умолчанию служба Sway включена).

Просмотрена презентация Sway

SwayView

Пользователь просматривает презентацию Sway.

К началу

Действия, связанные с администрированием пользователей

В таблице ниже перечислены действия по администрированию пользователей, которые записываются, когда администратор добавляет или изменяет учетную запись пользователя в Центре администрирования Office 365 или на портале управления Azure.

Действие

Операция

Описание

Добавлен пользователь

Add user

Создана учетная запись пользователя Office 365.

Изменена лицензия пользователя

Change user license

Лицензия, назначенная пользователю, изменилась. Чтобы узнать, какие лицензии изменились, просмотрите соответствующее действие Обновлен пользователь.

Изменен пароль пользователя

Change user password

Администратор изменил пароль пользователя.

Удален пользователь

Delete user

Удалена учетная запись пользователя Office 365.

Сбросить пароль пользователя

Reset user password

Администратор сбросил пароль пользователя.

Назначено свойство, которое заставляет пользователей изменить пароль

Set force change user password

Администратор установил свойство, предписывающее пользователю сменить пароль при следующем входе в Office 365.

Настроить свойства лицензии

Set license properties

Администратор изменяет свойства лицензии, назначенной пользователю.

Обновлен пользователь

Update user

Администратор изменяет одно или несколько свойств учетной записи пользователя. Список свойств пользователя, которые можно изменить, приведен в разделе "Атрибуты события "Обновление пользователя" статьи События отчета аудита Azure Active Directory.

К началу

Действия, связанные с администрированием групп Azure AD

В таблице ниже перечислены действия по администрированию групп, которые записываются, когда администратор или пользователь создает или изменяет группу Office 365 или когда администратор создает группу безопасности в Центре администрирования Office 365 или на портале управления Azure. Дополнительные сведения о группах в Office 365 см. в статье Создание группы Office 365 в Центре администрирования.

Понятное имя

Операция

Описание

Добавлена группа

Add group

Создана группа.

В группу добавлен участник

Add member to group

В группу был добавлен участник.

Удалена группа

Delete group

Группа была удалена.

Участник удален из группы

Remove member from group

Из группы удален участник.

Обновлена группа

Update group

Свойство группы изменилось.

К началу

Действия, связанные с администрированием приложений

В таблице ниже перечислены действия по администрированию приложений, которые записываются, когда администратор добавляет или изменяет приложение, зарегистрированное в Azure AD. Любое приложение, которое использует Azure AD для аутентификации, должно быть зарегистрировано в каталоге.

Понятное имя

Операция

Описание

Добавлена запись делегирования

Add delegation entry

Разрешение на аутентификацию было создано или предоставлено приложению в Azure AD.

Добавлен субъект-служба

Add service principal

Приложение было зарегистрировано в Azure AD. Приложение представлено в каталоге субъектом-службой.

Добавлены учетные данные для субъекта-службы

Add service principal credentials

Учетные данные были добавлены для субъекта-службы в Azure AD. Приложение представлено в каталоге субъектом-службой.

Удалена запись делегирования

Remove delegation entry

Разрешение на аутентификацию было удалено из приложения в Azure AD.

Из каталога удален субъект-служба

Remove service principal

Произведено удаление или отмена регистрации приложения в Azure AD. Приложение представлено в каталоге субъектом-службой.

Учетные данные удалены из субъекта-службы

Remove service principal credentials

Учетные данные были удалены из субъекта-службы в Azure AD. Приложение представлено в каталоге субъектом-службой.

Задана запись делегирования

Set delegation entry

Разрешение на аутентификацию было обновлено для приложения в Azure AD.

К началу

Действия, связанные с администрированием ролей

В таблице ниже перечислены действия по администрированию ролей Azure AD, которые записываются, когда администратор управляет ролями администраторов в Центре администрирования Office 365 или на портале управления Azure.

Понятное имя

Операция

Описание

В роль добавлен участник

Add role member to role

К роли администратора в Office 365 добавлен пользователь.

Из роли каталога удален пользователь

Remove role member from role

Из роли администратора в Office 365 удален пользователь.

Настроить контактные данные компании

Set company contact information

Обновлена контактная информация для вашей организации Office 365. Сюда относятся адреса электронной почты для отправки сообщений, касающихся подписки, из Office 365, а также для отправки технических уведомлений, касающихся работы служб Office 365.

К началу

Действия, связанные с администрированием каталогов

В таблице ниже перечислены связанные с каталогами и доменами Azure AD действия, которые записываются, когда администратор управляет организацией Office 365 в Центре администрирования Office 365 или на портале управления Azure.

Понятное имя

Операция

Описание

В компанию добавлен домен

Add domain to company

В вашу организацию Office 365 добавлен домен.

В каталог добавлен партнер

Add partner to company

В вашу организацию Office 365 добавлен партнер (полномочный администратор).

Домен удален из компании

Remove domain from company

Из вашей организации Office 365 удален домен.

Партнер удален из каталога

Remove partner from company

Из вашей организации Office 365 удален партнер (полномочный администратор).

Настроить сведения о компании

Set company information

Сведения о вашей организации Office 365 обновлены. Сюда относятся адреса электронной почты для отправки сообщений, касающихся подписки, из Office 365, а также для отправки технических уведомлений, касающихся работы служб Office 365.

Настроить проверку подлинности домена

Set domain authentication

Изменен параметр проверки подлинности домена для вашей организации Office 365.

Обновлены параметры федерации для домена

Set federation settings on domain

Параметры федерации (внешнего общего доступа) для вашей организации Office 365 изменены.

Настроить политику паролей

Set password policy

Изменены ограничения на длину паролей пользователей и используемые в них символы в вашей организации Office 365.

Включена синхронизация Azure AD

Set DirSyncEnabled flag on company

Задано свойство, включающее синхронизацию Azure AD для каталога.

Обновлен домен

Update domain

Обновлены параметры домена в вашей организации Office 365.

Проверен домен

Verify domain

Выполнена проверка того, является ли ваша организация владельцем домена.

Проверены почта и домен

Verify email verified domain

Выполнена проверка по электронной почте, чтобы выяснить, является ли ваша организация владельцем домена.

К началу

Действия, связанные с обнаружением электронных данных

Действия, связанные с поиском контента и обнаружением электронных данных, которые выполняются в Центр безопасности и соответствия требованиям Office 365 или путем запуска соответствующих командлетов Windows PowerShell, записываются в журнал аудита Office 365. К ним относятся следующие операции:

  • создание дел обнаружения электронных данных и управление ими;

  • создание, запуск и редактирование операций поиска контента;

  • выполнение действий поиска контента, таких как предварительный просмотр, экспорт и удаление результатов поиска;

  • настройка фильтрации разрешений для поиска контента;

  • управление ролью администратора обнаружения электронных данных.

Список и подробное описание записываемых действий обнаружения электронных данных см. в статье Поиск действий обнаружения электронных данных в журнале аудита Office 365.

Примечание : События, связанные с действиями из раздела Действия eDiscovery в раскрывающемся списке Действия, отображаются в результатах поиска в течение 30 минут. В то же время для отображения в результатах поиска соответствующих событий из действий командлета eDiscovery требуется 24 часа.

К началу

Действия, связанные с Power BI

В таблице ниже перечислены действия пользователей и администраторов в Power BI, которые записываются в журнал аудита Office 365.

Понятное имя

Операция

Описание

Добавлены участники группы Power BI

AddGroupMembers

Участник добавлен в рабочую область группы Power BI.

Проанализированный набор данных Power BI

AnalyzedByExternalApplication

Набор данных проанализирован внешним приложением.

Создана информационная панель Power BI

CreateDashboard

Создана новая информационная панель.

Создана группа Power BI

CreateGroup

Создана группа.

Создан пакет содержимого Power BI организации

CreateOrgApp

Создан пакет содержимого организации.

Удалена информационная панель Power BI

DeleteDashboard

Удалена информационная панель.

Набор данных Power BI удален

DeleteDataset

Удален набор данных.

Удален отчет Power BI

DeleteReport

Удален отчет.

Скачан отчет Power BI

DownloadReport

Пользователь скачивает отчет Power BI из службы на свой компьютер.

Информационная панель Power BI изменена

EditDashboard

Переименована информационная панель.

Экспортированы визуальные данные отчетов Power BI

ExportReport

Экспортированы данные из плитки отчета.

Экспортированы данные плиток Power BI

ExportTile

Экспортированы данные из плитки информационной панели.

Информационная панель Power BI напечатана

PrintDashboard

Распечатана информационная панель.

Страница отчета Power BI напечатана

PrintReport

Распечатан отчет.

Отчет Power BI опубликован в Интернете

PublishToWebReport

Отчет опубликован в Интернете.

Общая информационная панель Power BI

ShareDashboard

Предоставлен общий доступ к информационной панели.

Начато использование пробной версии Power BI

OptInForProTrial

Пользователь начинает использовать подписку на пробную версию Power BI Pro.

Обновлены параметры организации в Power BI

UpdatedAdminFeatureSwitch

Администратор изменил параметры организации на портале администрирования Power BI.

Информационная панель Power BI просмотрена

ViewDashboard

Просмотрена информационная панель.

Отчет Power BI просмотрен

ViewReport

Просмотрен отчет.

К началу

Действия Microsoft Teams

В таблице ниже перечислены действия пользователей и администраторов в Microsoft Teams, которые записываются в журнал аудита Office 365. Microsoft Teams — рабочее пространство на базе чата в Office 365. Это место, в котором собраны все беседы, собрания, файлы и заметки группы. Дополнительные сведения и справку см. по следующим ссылкам:

Понятное имя

Операция

Описание

Бот добавлен в группу

BotAddedToTeam

Пользователь добавляет бот в группу.

Добавлен канал

ChannelAdded

Пользователь добавляет канал в группу.

Соединитель добавлен

ConnectorAdded

Пользователь добавляет соединитель в канал.

Вкладка добавлена

TabAdded

Пользователь добавляет вкладку в канал.

Изменен параметр (устаревшая операция)

SettingChanged

Операция SettingChanged в ближайшее время будет отнесена к устаревшим. Она регистрировалась при изменении параметров канала, организации или группы.

Для поиска событий, которые ранее регистрировались при поиске операции SettingChanged в журнале аудита, используйте действия Изменен параметр канала, Изменен параметр организации и Изменен параметр группы.

Изменен параметр канала

ChannelSettingChanged

Операция ChannelSettingChanged регистрируется при выполнении участником группы указанных ниже действий. Для каждого из них в столбце Элемент в результатах поиска по журналу аудита отображается описание измененного параметра (эти параметры указаны ниже в скобках).

  • Изменение названия канала группы (Название канала).

  • Изменение описания канала группы (Описание канала).

Изменен параметр организации

OrganizationSettingChanged

Операция OrganizationSettingChanged регистрируется при выполнении глобальным администратором (с помощью Центр администрирования Office 365) указанных ниже действий. Имейте в виду, что эти действия влияют на параметры Microsoft Teams для всей организации. Дополнительные сведения см. в статье Параметры администратора для Microsoft Teams.

Для каждого из этих действий в столбце Элемент в результатах поиска по журналу аудита отображается описание измененного параметра (эти параметры указаны ниже в скобках).

  • Включение или отключение Microsoft Teams для организации (Microsoft Teams).

  • Включение или отключение взаимодействия между Microsoft Teams и Skype для бизнеса для организации (Взаимодействие со Skype для бизнеса).

  • Включение или отключение представления организационной диаграммы в клиентах Microsoft Teams (Представление организационной диаграммы).

  • Включение или отключение возможности планирования частных собраний для участников группы (Планирование частных собраний).

  • Включение или отключение возможности планирования собраний канала для участников группы (Планирование собраний канала).

  • Включение или отключение передачи видео во время собраний Teams (Видео для собраний в Skype).

  • Включение или отключение демонстрации экрана во время собраний Microsoft Teams для организации (Демонстрация экрана для собраний Skype).

  • Включение или отключение возможности добавления анимированных изображений (называемых Giphy) в беседы Teams (Анимированные изображения).

  • Изменение параметра оценки содержимого для организации (Оценка содержимого).

    Оценка содержимого ограничивает типы анимированных изображений, которые могут отображаться в беседах.

  • Включение или отключение возможности добавления настраиваемых изображений (называемых пользовательскими мемами) из Интернета в беседы группы для ее участников (Настраиваемые изображения из Интернета).

  • Включение или отключение возможности добавления редактируемых изображений (называемых наклейками) в беседы группы для ее участников (Редактируемые изображения).

  • Включение или отключение возможности использования программ-ботов в чатах и каналах Microsoft Teams для участников группы (Использование программ-роботов во всей организации).

  • Включение отдельных программ-роботов для Microsoft Teams; к этим программам не относится T-Bot — программа-робот для предоставления справки по Teams, которая доступна, когда для организации включена возможность использования программ-роботов (Отдельные программы-роботы).

  • Включение или отключение возможности добавления расширений или вкладок для участников группы (Расширения или вкладки).

  • Включение или отключение загрузки внешних специальных программ-роботов для Microsoft Teams (Загрузка внешних программ-роботов).

  • Включение или отключение возможности отправки сообщений электронной почты в канал Microsoft Teams для пользователей (Отправка электронной почты в каналы).

Изменен параметр группы

TeamSettingChanged

Операция TeamSettingChanged регистрируется при выполнении администратором группы указанных ниже действий. Для каждого из них в столбце Элемент в результатах поиска по журналу аудита отображается описание измененного параметра (эти параметры указаны ниже в скобках).

  • Изменяет тип доступа к группе. Группу можно сделать закрытой или общедоступной (Тип доступа группы).

    Если группа закрытая (параметр по умолчанию), то пользователи могут получить доступ к ней только по приглашению. Общедоступная группа открыта для всех.

  • Изменение классификации данных группы (Классификация группы).

    Например, можно классифицировать данные группы как имеющие высокое, среднее или низкое влияние на бизнес.

  • Изменение названия группы (Название группы).

  • Изменение описания группы (Описание группы).

Создана группа

TeamCreated

Пользователь создает группу.

Удален канал

ChannelDeleted

Пользователь удаляет канал из группы.

Удалена группа

TeamDeleted 

Администратор группы удаляет ее.

Бот удален из группы

BotRemovedFromTeam

Пользователь удаляет бот из группы.

Соединитель удален

ConnectorRemoved

Пользователь удаляет соединитель из канала.

Вкладка удалена

TabRemoved

Пользователь удаляет вкладку из канала.

Пользователь вошел в Teams

TeamsSessionStarted

Пользователь входит в клиент Microsoft Teams.

К началу

Действия, связанные с Yammer

В таблице ниже перечислены действия пользователей и администраторов в Yammer, которые записываются в журнал аудита Office 365. Чтобы получить записи действий, связанных с Yammer, из журнала аудита Office 365, нужно выбрать в списке Действия пункт Показать результаты по всем действиям. Уточнить результаты поиска можно с помощью полей диапазона дат и списка Пользователи.

Понятное имя

Операция

Описание

Changed data retention policy (Изменена политика хранения данных)

SoftDeleteSettingsUpdated

Проверенный администратор изменяет параметр сетевой политики хранения данных, а именно задает необратимое или обратимое удаление. Это действие могут выполнять только проверенные администраторы.

Changed network configuration (Изменена конфигурация сети)

NetworkConfigurationUpdated

Администратор сети или проверенный администратор изменяет конфигурацию сети Yammer. Операция включает в себя настройку интервала для экспорта данных и включение чата.

Changed network profile settings (Изменены параметры сетевого профиля)

ProcessProfileFields

Администратор сети или проверенный администратор изменяет информацию, отображаемую в профилях участников для сетевых пользователей.

Changed private content mode (Изменен режим личного содержимого)

SupervisorAdminToggled

Проверенный администратор включает или отключает режим личного содержимого. Этот режим позволяет администратору просматривать записи в закрытых группах и личную переписку между отдельными пользователями (или группами пользователей). Это действие могут выполнять только проверенные администраторы.

Changed security configuration (Изменена конфигурация безопасности)

NetworkSecurityConfigurationUpdated

Проверенный администратор обновляет конфигурацию системы безопасности сети Yammer. Операция включает настройку политик времени прекращения действия и ограничений для IP-адресов. Это действие могут выполнять только проверенные администраторы.

Created file (Создан файл)

FileCreated

Пользователь добавляет файл.

Создана группа

GroupCreation

Пользователь создает новую группу.

Удалена группа

GroupDeletion

Группа удалена из Yammer.

Deleted message (Удалено сообщение)

MessageDeleted

Пользователь удаляет сообщение.

Скачан файл

FileDownloaded

Пользователь скачивает файл.

Exported data (Экспортированы данные)

DataExport

Проверенный администратор экспортирует данные сети Yammer. Это действие могут выполнять только проверенные администраторы.

Shared file (Общий доступ к файлу)

FileShared

Пользователь делится файлом с другим пользователем.

Suspended network user (Приостановлен пользователь сети)

NetworkUserSuspended

Администратор сети или проверенный администратор приостанавливает активность (деактивирует) пользователя в Yammer.

Suspended user (Приостановлен пользователь)

UserSuspension

Активность учетной записи пользователя приостановлена (деактивирована).

Updated file description (Обновлено описание файла)

FileUpdateDescription

Пользователь изменяет описание файла.

Updated file name (Обновлено имя файла)

FileUpdateName

Пользователь изменяет имя файла.

Viewed file (Просмотрен файл)

FileVisited

Пользователь просматривает файл.

К началу

Журнал аудита действий администратора Exchange

При ведении журнала аудита действий администратора Exchange (включено по умолчанию в Office 365) в журнал аудита Office 365 записывается событие, когда администратор (или пользователь, которому предоставлены права администратора) вносит изменение в организации Exchange Online. Изменения, вносимые в Центре администрирования Exchange или с помощью командлета в Windows PowerShell, записываются в журнал аудита действий администратора Exchange. Более подробную информацию о ведении журнала аудита действий администратора в Exchange см. в статье Ведение журнала аудита администратора. Ниже приведены некоторые советы по поиску действий в этом журнале.

  • Чтобы получить записи из журнала аудита действий администратора Exchange, нужно выбрать в списке Действия пункт Показать результаты по всем действиям. Используйте поля дат и список Пользователи, чтобы ограничить результаты поиска командлетами, выполнявшимися определенным администратором Exchange в заданный период.

  • Чтобы просмотреть события из журнала аудита действий администратора Exchange, отфильтруйте результаты поиска и введите тире () в поле фильтра Действие. Будут показаны имена командлетов, отображаемые в столбце Действие для действий администратора Exchange. Затем можно отсортировать имена командлетов по алфавиту.

    В поле "Действия" введите дефис, чтобы отфильтровать события администрирования Exchange
  • Чтобы узнать, какой командлет был выполнен, какие параметры и значения параметров использовались и какие объекты были затронуты, вам потребуется экспортировать результаты поиска, выбрав вариант Скачать все результаты.

К началу

Хотите узнать, просматривал ли пользователь определенный документ или удалил ли он элемент из своего почтового ящика? В этом случае можно открыть Центр безопасности и соответствия требованиям Office 365 и выполнить поиск по единому журналу аудита, чтобы просмотреть действия пользователей и администраторов в организации Office 365. Единый журнал аудита удобен тем, что в нем можно искать данные по таким типам активности пользователей и администраторов в Office 365:

  • активность пользователей в SharePoint Online и OneDrive для бизнеса;

  • активность пользователей в Exchange Online (журнал аудита почтовых ящиков Exchange);

    Важно : Чтобы действия пользователей с почтовыми ящиками в Exchange Online записывались в журнал, необходимо сначала включить ведение журнала аудита для каждого почтового ящика. Дополнительные сведения см. в статье Включение аудита почтовых ящиков в Office 365.

  • активность администраторов в SharePoint Online;

  • активность администраторов в Azure Active Directory (службе каталогов Office 365);

  • активность администраторов в Exchange Online (журнал аудита действий администраторов Exchange);

  • активность пользователей и администраторов в Sway;

  • активность пользователей и администраторов в Power BI для Office 365;

  • активность пользователей и администраторов в Microsoft Teams;

  • активность пользователей и администраторов в Yammer.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×