Подробные свойства в журнале аудита Office 365

Примечание:  Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке) .

При экспорте результатов поиска журналов аудита из Центр безопасности и соответствия требованиям Office 365, у вас есть возможность загрузить все результаты, которые соответствуют вашим условиям поиска. Для этого выберите пункт Экспорт результатов > загрузить все результаты на странице поиска журналов аудита в Центр безопасности и соответствия требованиям. Дополнительные сведения журнала аудита в группе безопасности Office 365 и центр соответствия поискасм.

Когда все экспорт по результатам поиска журналов аудита, исходные данные из журнала аудита единая Office 365 копируется на файл запятыми (CSV) значение, это загружается на локальный компьютер. Этот файл содержит дополнительные сведения в журнале аудита в столбце Имя детализации. Этот столбец обязательно содержал свойства многозначного нескольких свойств из записи журнала аудита. Каждая из пар property:value в это свойство нескольких значений разделенных запятыми.

В следующей таблице описаны свойства, которые входят в — в зависимости от службы Office 365, в котором возникает события — в нескольких свойств столбца Подробности. Столбец Office 365 службу, в котором содержится это свойство    показывает службы и тип действия (пользователя или администратора), содержащее свойство. Для получения дополнительных сведений об этих свойств или свойств, которые могут не отображаться в этом разделе отображается Схема API активности управления Office 365.

Совет: Чтобы разделить этот столбец на несколько столбцов, чтобы каждое свойство будет иметь собственной ячейке можно использовать Power Query в Excel. Это позволит вам, сортировка и фильтрация по одному или нескольким из этих свойств. Чтобы узнать, как это сделать, обратитесь к разделу «Разделение столбца по разделителю» в Разделить текстовый столбец (Power Query).

Свойство

Описание

Служба Office 365, которая имеет это свойство

Actor

Учетная запись пользователя или службы, выполнившая действие.

Azure Active Directory

AddOnName

Имя надстройки, которые были добавлены, удалены или обновлены и в группе. Тип надстройки в Microsoft Teams являются робот, соединительной линии или tab.

Microsoft Teams

AddOnType

Тип надстройки, которые были добавлены, удалены или обновлены и в группе. Указанные ниже значения указывают тип надстройки.

1    означает робот.

2    указывает соединительной линии.

3    указывает знак табуляции.

Microsoft Teams

AzureActiveDirectoryEventType

Тип события Azure Active Directory. Перечисленные ниже значения указывают на тип события.

0   :   событие входа в учетную запись.

1   :   событие безопасности приложения Azure.

Azure Active Directory

ChannelGuid

Идентификатор Microsoft Teams канала. Команды, которой этот канал находится в определяется свойства TeamName и TeamGuid .

Microsoft Teams

ChannelName

Имя канала Microsoft Teams. Команды, которой этот канал находится в определяется свойства TeamName и TeamGuid .

Microsoft Teams

Client

Устройство клиента, ОС устройства и обозревателя устройства, используемого для события входа (например, Nokia Lumia 920; Windows Phone 8; IE Mobile 11).

Azure Active Directory

ClientInfoString

Информация о почтовом клиенте, который использовался для выполнения операции, например версия браузера, версия Outlook и сведения о мобильном устройстве.

Exchange (действие с почтовым ящиком)

ClientIP

IP-адрес устройства, которое использовалось при записи действия в журнал. IP-адрес отображается в формате IPv4 или IPv6.

Exchange и Azure Active Directory

ClientIPAddress

Аналогично ClientIP.

SharePoint

CreationTime

Дата и время выполнения действия пользователем в формате UTC.

Все

DestinationFileExtension

Расширение скопированного или перемещенного файла. Это свойство отображается только для действий пользователя FileCopied и FileMoved.

SharePoint

DestinationFileName

Имя скопированного или перемещенного файла. Это свойство отображается только для действий FileCopied и FileMoved.

SharePoint

DestinationRelativeUrl

URL-адрес в папку, где файла копировании или перемещении. Сочетание значений для свойства DestinationFileName , DestinationRelativeURLи SiteURLтакое же, как значение для ObjectID свойство, которое является полный путь к файлу, который был скопирован. Это свойство отображается только для FileCopied и FileMoved действия пользователя.

SharePoint

EventSource

Определяет, что события в SharePoint. Возможные значения: SharePoint и ObjectModel.

SharePoint

ExternalAccess

Для Exchange действия администратора указывает, был ли запущен командлет пользователем в вашей организации, сотрудниками центра обработки данных Майкрософт или учетная запись службы центра обработки данных, или полномочного администратора. Значение False указывает, что был запущен командлет с другим пользователем в вашей организации. Значение True указывает, что был запущен командлет персонала центра обработки данных, учетная запись службы центра обработки данных или полномочного администратора.

Действие Exchange почтовых ящиков определяет, получен ли почтовый ящик пользователем за пределами вашей организации.

Exchange

ExtendedProperties

Расширенные свойства для событий Azure Active Directory.

Azure Active Directory

ID

Идентификатор записи отчета. Идентификатор однозначно определяет запись отчета.

Все

InternalLogonType

Зарезервировано для внутреннего использования.

Exchange (действие с почтовым ящиком)

ItemType

Тип объекта, к которому был получен доступ или который был изменен. Возможные значения: File, Folder, Web, Site, Tenant и DocumentLibrary.

SharePoint

LoginStatus

Определяет неудачные попытки входа.

Azure Active Directory

LogonType

Тип доступа к почтовому ящику. Перечисленные ниже значения указывают на тип пользователя, который получил доступ к почтовому ящику.

0      Указывает на владельца почтового ящика.

1      Указывает на администратора.

2      Указывает на делегата.

3      Указывает на службу транспорта в центре обработки данных Майкрософт.

4    указывает учетной записи службы в центре обработки данных Майкрософт.

6      Указывает на полномочного администратора.

Exchange (действие с почтовым ящиком)

MailboxGuid

Exchange GUID почтового ящика, к которому был доступ.

Exchange (действие с почтовым ящиком)

MailboxOwnerUPN

Адрес электронной почты владельца почтового ящика, к которому был получен доступ.

Exchange (действие с почтовым ящиком)

Участники

Список пользователей, которые были добавлены или удалены из группы. Следующие значения указывают тип роли, назначенные пользователю.

1      Указывает на роль "Владелец".

2      Указывает на роль "Участник".

3      Указывает на роль "Гость".

Свойство Members также включает название организации и адрес электронной почты участника.

Microsoft Teams

ModifiedProperties (Name, NewValue, OldValue)

Свойство включается для администраторов событий, например добавления пользователя как участник сайта или группу администраторов семейства веб. Свойство содержит имя свойства, которая была изменена (например, в группу администраторов сайта) новое значение измененного свойства (такие пользователь, который был добавлен как администратор сайта и предыдущее значение измененного объекта.

Все (действие администратора)

ObjectID

В случае с журналом аудита действий администратора Exchange это имя объекта, измененного командлетом.

В случае с действием SharePoint это полный URL-путь к файлу или папке, к которым получил доступ пользователь.

В случае с действием Azure AD это имя учетной записи пользователя, которая была изменена.

Все

Operation

Имя пользователя или администратор мероприятия. Значения данного свойства соответствует значению, который был выбран в действий раскрывающийся список. Если установлен флажок Показать результаты поиска для всех действий, отчет будут включены записи для всех пользователей и администраторов действий для всех служб. Описание операций и действия, которые вошли в Office 365 журнала аудита, вкладки Audited действий в поиске журнала аудита в Office 365 безопасности и поместить в центре соответствия.

В случае с действием администратора Exchange это свойство указывает имя выполненного командлета.

Все

OrganizationID

GUID вашей организации Office 365.

Все

Path

Имя почтовой папки, содержащей сообщение, к которому был получен доступ. В этом свойстве также указывается папка, в которой сообщение было создано либо в которую оно было скопировано или перемещено.

Exchange (действие с почтовым ящиком)

Parameters

В случае с действием администратора Exchange это имена и значения всех параметров, которые использовались с командлетом, указанным в свойстве Operation.

Exchange (действие администратора)

RecordType

Тип операции, указанной в записи. Перечисленные ниже значения указывают на тип записи.

1    указывает записи из журнала аудита администратора Exchange.

Журнал для операции для элемента, находящегося в одинарных почтовый ящик аудита записи из почтового ящика Exchange указывает на 2    .

3    также показывает записи из журнала аудита Exchange почтового ящика. Этот тип записи указывает, что операция выполнена на несколько элементов в исходный почтовый ящик (например, переместив несколько элементов для папки "Удаленные" или окончательным удалением несколько элементов).

4      Указывает на операцию администратора сайта в SharePoint, например предоставление разрешений на доступ к сайту.

6      Указывает на операцию, связанную с файлом или папкой, в SharePoint, например просмотр или изменение файла пользователем.

8   :   операция, выполненная администратором в Azure Active Directory.

9    указывает OrgId события входа в Azure Active Directory. Устарело этот тип записи.

10   :   события командлетов безопасности, которые были выполнены сотрудниками Майкрософт в центре обработки данных.

11   :   события защиты от потери данных в SharePoint.

12   :   события Sway.

14   :   события общего доступа в SharePoint.

15   :  события входа в Azure Active Directory с использованием службы токенов безопасности (STS).

18   :   события Центр безопасности и соответствия требованиям.

20   :   события Power BI.

22   :   события Yammer.

24    указывает eDiscovery события. Этот тип записи показывает действия, которые были выполнены, запустив поиска содержимого и управление досье eDiscovery в Центр безопасности и соответствия требованиям. Подробнее читайте Поиск eDiscovery действия в Office 365 журнала аудита.

25, 26 или 27      Показывает Microsoft Teams события.

Все

ResultStatus

Показывает, успешно ли действие, (указанное в свойстве операция ).

Для Exchange действия администратора значение равно True (успешно) или False (сбой).

Все

SecurityComplianceCenterEventType

Указывает, что действие было событием Центра безопасности и соответствия требованиям. Это свойство имеет значение 0 для всех действий в Центре.

Центр безопасности и соответствия требованиям Office 365

SharingType

Тип разрешений на доступ, назначенное пользователю предоставлен ресурса. В поле свойства UserSharedWith определяется этого пользователя.

SharePoint

Site

Идентификатор GUID сайта, содержащего файл или папку, к которым получил доступ пользователь.

SharePoint

SiteUrl

URL-адрес сайта, содержащего файл или папку, к которым получил доступ пользователь.

SharePoint

SourceFileExtension

Расширение файла, к которому получил доступ пользователь. Если доступ был осуществлен к папке, это свойство имеет пустое значение.

SharePoint

SourceFileName

Имя файла или папки пользователем.

SharePoint

SourceRelativeUrl

URL-адрес папки, содержащей файл, к которому получил доступ пользователь. Сочетание значений свойств SiteURL, SourceRelativeURL и SourceFileName аналогично значению свойства ObjectID, представляющему собой полный путь к файлу, к которому получил доступ пользователь.

SharePoint

Subject

Строка темы сообщения, к которому был осуществлен доступ.

Exchange (действие с почтовым ящиком)

TabType

Тип вкладки добавлены, удалены или обновлены и в группе. Ниже приведены возможные значения данного свойства.

  • Excelpin    Вкладка "Excel".

  • Расширение    Все приложения сторонних первый и стороннего поставщика; Например, планировщик VSTS и форм.

  • Заметки    На вкладке OneNote.

  • Pdfpin    Вкладка PDF.

  • Powerbi    На вкладке PowerBI.

  • Powerpointpin    Вкладка PowerPoint.

  • Sharepointfiles    Вкладка "SharePoint".

  • Веб-страницы    Вкладка закрепленный веб-сайта.

  • Вкладка вики-сайта    Вкладка вики-сайта.

  • Wordpin    Вкладка Word.

Microsoft Teams

Target

Пользователь, выполняемого действия (указанной в свойстве Operation ). Например если Гость добавляется SharePoint или группы Microsoft, пользователь перечислялись в данное свойство.

Azure Active Directory

TeamGuid

Идентификатор группы в Microsoft Teams.

Microsoft Teams

TeamName

Имя группы в Microsoft Teams.

Microsoft Teams

UserAgent

Информация о браузере пользователя. Эта информация предоставляется браузером.

SharePoint

UserDomain

Удостоверение организации клиента пользователя (субъекта), выполнившего действие.

Azure Active Directory

UserID

Пользователя, выполнившего действия (указанное в свойстве Operation ), которая приводит к записи зарегистрировано. Обратите внимание, что записи для действий, выполняемых системные учетные записи (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM) также включаются в журнале аудита.

Все

UserKey

Дополнительный идентификатор пользователя, который указан в свойстве UserID . Например это свойство будет заполнен уникальный идентификатор passport (PUID) для событий, выполняемых пользователями в SharePoint. Это свойство также может указать то же значение как свойство UserID для событий, возникающих в других служб и событий, выполняемых системные учетные записи.

Все

UserSharedWith

Пользователь, который был предоставлен ресурса. Если значение для свойства OperationSharingSet это свойство включены. Этот пользователь также отображаются в столбце общий доступ в отчете.

SharePoint

UserType

Тип пользователя, который выполнил операцию. Перечисленные ниже значения указывают на тип пользователя.

0      Обычный пользователь.

2    администратором в организации Office 365.

3      Администратор или системная учетная запись центра обработки данных Майкрософт.

4      Системная учетная запись.

5      Приложение.

6      Субъект-служба.

Все

Version

Номер версии действия (которое определяется свойством Operation).

Все

Workload

Служба Office 365, где произошло действие. Ниже приведены возможные значения данного свойства.

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

Соответствие требованиям

Sway

SecurityComplianceCenter

PowerBI

MicrosoftTeams

Все

Обратите внимание, что свойства описанных выше также отображаются при нажатии кнопки Дополнительные сведения при просмотре сведений о конкретном событии.

Щелкните "Дополнительные сведения" для детального просмотра свойств записи о событии в журнале аудита

К началу

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×