Detaljerade egenskaper i Office 365 granskningslogg

Viktigt!: Den här artikeln är maskinöversatt, se ansvarsfriskrivningen. Den engelska versionen av den här artikeln finns här för din referens.

När du exporterar resultaten av en audit log från Office 365 – säkerhets- och efterlevnadscenter har möjlighet att hämta alla resultat som uppfyller sökkriterierna. Du gör detta genom att välja Exportera resultat > Hämta alla resultat på söksidan Audit log i Säkerhets- och efterlevnadscenter. Mer information finns i söka revisionen logga in på Office 365-säkerhet och efterlevnad Centrera.

När du exporterar alla resultat för en granskningsloggsökning kopieras rådata från den enhetliga Office 365-granskningsloggen till en fil med kommaavgränsade värden (CSV) som laddas ned till din lokala dator. Den här filen innehåller ytterligare information från granskningsloggposten i en kolumn med namnet Information. Den här kolumnen innehåller en flervärdesegenskap för flera egenskaper från granskningsloggposten. Vart och ett av property:value-paren i den här flervärdesegenskapen avgränsas med kommatecken.

I följande tabell beskrivs de egenskaper som har lagts till, beroende på tjänsten Office 365 som en händelse inträffar – i kolumnen med flera egenskapen detaljer. Kolumnen Office 365 tjänsten som har den här egenskapen    visar tjänsten och typ av aktivitet (användare eller administratör) som innehåller egenskap. Mer detaljerad information om dessa egenskaper eller egenskaper som inte kanske visas i det här avsnittet finns i Office 365 Management aktivitet API-schemat.

Tips: Du kan använda Power Query i Excel för att dela upp den här kolumnen i flera kolumner så att varje egenskap har en egen kolumn. Då kan du sortera och filtrera utifrån en eller flera av de här egenskaperna. Mer information om hur du gör detta finns i avsnittet "Dela en kolumn med avgränsare" i Dela en kolumn med text (Power Query).

Egenskap

Beskrivning

Office 365-tjänst som har den här egenskapen

Aktör

Användare eller tjänst kontot som utförde åtgärden. Den

Azure Active Directory

AddOnName

Namnet på ett tillägg som har lagts till, tas bort eller uppdateras i en grupp. Vilken typ av tillägg i Microsoft Teams är en bot, en koppling eller en flik.

Microsoft Teams

AddOnType

Vilken typ av ett tillägg som har lagts till, tas bort eller uppdateras i en grupp. Följande värden anger typ av tillägg.

1    anger bot.

2    anger en koppling.

3    anger en flik.

Microsoft Teams

AzureActiveDirectoryEventType

Typen av Azure Active Directory-händelse. Följande värden anger händelsetypen.

0      Anger en kontoinloggningshändelse.

1      Anger en säkerhetshändelse för ett Azure-program.

Azure Active Directory

ChannelGuid

ID för en Microsoft Teams kanal. En grupp som kanalen finns i identifieras av egenskaperna TeamName och TeamGuid .

Microsoft Teams

ChannelName

Namnet på kanalen du Microsoft Teams. En grupp som kanalen finns i identifieras av egenskaperna TeamName och TeamGuid .

Microsoft Teams

Client

Klientenheten, enhetens OS och enhetens webbläsare som används för inloggningshändelsen (till exempel Nokia Lumnia 920; Windows Phone 8; IE Mobile 11).

Azure Active Directory

ClientInfoString

Information om e-postklienten som användes för att utföra åtgärden, till exempel en webbläsarversion, Outlook-version och information om mobila enheter

Exchange (postlådeaktivitet)

ClientIP

IP-adressen för den enhet som användes när aktiviteten loggades. IP-adressen visas i IPv4- eller IPv6-adressformat.

Exchange och Azure Active Directory

ClientIPAddress

Samma som ClientIP.

SharePoint

CreationTime

Datum och tid i UTC (Coordinated Universal Time) när användaren utförde aktiviteten.

Alla

DestinationFileExtension

Filtillägg för en fil som kopieras eller flyttas. Den här egenskapen visas endast för användaraktiviteterna FileCopied och FileMoved.

SharePoint

DestinationFileName

Namnet på filen kopieras eller flyttas. Den här egenskapen visas endast för åtgärderna FileCopied och FileMoved.

SharePoint

DestinationRelativeUrl

URL:en för målmappen dit en fil kopieras eller flyttas. Kombinationen av värdena för egenskaperna SiteURL, DestinationRelativeURL, och DestinationFileName är samma som värdet för egenskapen ObjectID, som är den fullständiga sökvägen för filen som kopierades. Den här egenskapen visas endast för användaraktiviteterna FileCopied och FileMoved.

SharePoint

EventSource

Identifierar att en händelse inträffade i SharePoint. Möjliga värden är SharePoint och ObjectModel.

SharePoint

ExternalAccess

För Exchange-administratörsaktivitet anges om cmdlet kördes av en användare i organisationen, av Microsofts datacenterpersonal eller ett tjänstekonto på ett datacenter eller av en delegerad administratör. Värdet False anger att cmdleten kördes av någon i din organisation. Värdet True anger att cmdleten kördes av datacenterpersonal, ett tjänstekonto på ett datacenter eller en delegerad administratör.

För Exchange-postlådeaktivitet anges om en postlåda användes av en användare utanför din organisation.

Exchange

ExtendedProperties

Utökade egenskaper för Azure Active Directory-händelsen.

Azure Active Directory

ID

ID för rapportposten. ID:t identifierar den unika rapportposten.

Alla

InternalLogonType

Reserverad för internt bruk.

Exchange (postlådeaktivitet)

ItemType

Typen av objekt som har använts eller ändrats. Bland de möjliga värdena finns File, Folder, Web, Site, Tenant och DocumentLibrary.

SharePoint

LoginStatus

Identifierar inloggningsfel som kan ha inträffat.

Azure Active Directory

LogonType

Typen av åtkomst för postlådan. Följande värden anger vilken typ av användare som kom åt postlådan.

0      Anger en postlådeägare.

1      Anger en administratör.

2      Anger ett ombud.

3      Anger överföringstjänsten i Microsoft-datacentret.

4      Anger ett tjänstekonto i Microsoft-datacentret.

6      Anger en delegerad administratör.

Exchange (postlådeaktivitet)

MailboxGuid

Den Exchange-GUID för postlådan som användes.

Exchange (postlådeaktivitet)

MailboxOwnerUPN

E-postadressen till personen som äger postlådan som användes.

Exchange (postlådeaktivitet)

Medlemmar

Visar de användare som har lagts till eller tas bort från en grupp. Följande värden anger typen roll för användaren.

1    anger rollen ägare.

2    anger rollen som medlem.

3    anger rollen som gäst.

Egenskapen medlemmar innehåller också namnet på din organisation och medlemmens e-postadress.

Microsoft Teams

ModifiedProperties (Name, NewValue, OldValue)

Egenskapen omfattar administratörshändelser, till exempel att lägga till en användare som medlem i administratörsgruppen för en webbplats eller en webbplatssamling. Egenskapen innehåller namnet på egenskapen som har ändrats (till exempel gruppen Webbplatsadministratör), det nya värdet för den ändrade egenskapen (till exempel användaren som har lagts till som webbplatsadministratör och det tidigare värdet för det ändrade objektet.

Alla (administratörsaktivitet)

ObjectID

För granskningsloggning för Exchange-administratörer – namnet på objektet som ändrades av cmdleten.

För SharePoint-aktivitet – den fullständiga URL-sökvägen för filen eller mappen som användes av en användare.

För Azure AD-aktivitet – namnet på användarkontot som ändrades.

Alla

Operation

Namnet på användaren eller administratören aktiviteten. Värdet för den här egenskapen motsvarar värdet som valdes i aktiviteter nedrullningsbar listruta. Om du har markerat Visa resultat för alla aktiviteter med rapporten poster för alla användare och administratörer för alla tjänster. En beskrivning av åtgärder/aktiviteter som är inloggad i Office 365 granskningsloggen, visas fliken Audited aktiviteter i Sök revisionen logga in på Office 365-säkerhet och efterlevnad Centrera.

För Exchange-administratörsaktivitet identifierar den här egenskapen namnet på den cmdlet som kördes.

Alla

OrganizationID

GUID för din Office 365-organisation.

Alla

Path

Namnet på postlådemappen där meddelandet som användes finns. Den här egenskapen identifierar också mappen som ett meddelande skapas i eller kopieras/flyttas till.

Exchange (postlådeaktivitet)

Parameters

För Exchange-administratörsaktivitet – namn och värde för alla parametrar som har använts med cmdleten som identifieras i egenskapen Åtgärd.

Exchange (administratörsaktivitet)

RecordType

Typen av åtgärd som anges i posten. Följande värden anger händelsetypen.

1      Anger en post från granskningsloggen för Exchange-administratörer.

2      Anger en post från granskningsloggen för Exchange-postlådan för en åtgärd som utförs på ett enskilt postlådeobjekt.

3      Anger även en post från granskningsloggen för Exchange-postlådor. Den här posttypen anger åtgärden som utfördes på flera objekt i källpostlådan (till exempel att flera objekt flyttades till mappen Borttaget eller att flera objekt permanent togs bort).

4      Anger en webbplatsadministratörsåtgärd i SharePoint, till exempel att en administratör eller användare tilldelar behörigheter för en webbplats.

6      Anger en fil- eller mapprelaterad åtgärd för SharePoint, till exempel att en användare visar eller ändrar en fil.

8      Anger en administratörsåtgärd som utförs i Azure Active Directory.

9      Anger OrgId-inloggningshändelser i Azure Active Directory. Den här posttypen är föråldrad.

10      Anger händelser för säkerhet-cmdleten som utfördes av Microsoft-personal i datacentret.

11      Anger DLP-händelser (Data Loss Protection) i SharePoint.

12      Anger Sway-händelser.

14      Anger delningshändelser i SharePoint.

15      Anger STS-inloggningshändelser (Secure Token Service) i Azure Active Directory.

18      Anger Säkerhets- och efterlevnadscenter-händelser.

20      Anger Power BI-händelser.

22      Anger Yammer-händelser.

24    anger e-informationsavslöjande händelser. Den här posttypen anger aktiviteter som har utförts genom att köra innehållssökning och hantera e-dataidentifieringsärenden i Säkerhets- och efterlevnadscenter. Mer information finns i söka efter e-informationsavslöjande aktiviteter i Office 365 granskningsloggen.

25, 26, eller 27      Anger Microsoft Teams händelser.

Alla

ResultStatus

Anger om åtgärden (som anges i den egenskapen Åtgärd) lyckades eller inte.

För Exchange-administratörsaktivitet är värdet antingen True (lyckades) eller False (misslyckades).

Alla

SecurityComplianceCenterEventType

Anger att aktiviteten var en Säkerhets- och efterlevnadscenter-händelse. Alla Säkerhets- och efterlevnadscenter-aktiviteter har värdet 0 för den här egenskapen.

Office 365 – säkerhets- och efterlevnadscenter

SharingType

Typen av delningsbehörigheter som har tilldelats användaren som resursen har delats med. Den här användaren identifieras i UserSharedWith-egenskapen.

SharePoint

Site

GUID för webbplatsen där filen eller mappen som används av användaren finns.

SharePoint

SiteUrl

URL för webbplatsen där filen eller mappen som används av användaren finns.

SharePoint

SourceFileExtension

Filtillägget för filen som användaren använde. Den här egenskapen är tom om objektet som användes är en mapp.

SharePoint

SourceFileName

Namnet på filen eller mappen som används av användaren.

SharePoint

SourceRelativeUrl

URL:en för mappen som innehåller filen som används av användaren. Kombinationen av värdena för egenskaperna SiteURL, SourceRelativeURL, och SourceFileName är samma som värdet för egenskapen ObjectID, som är den fullständiga sökvägen för filen som används av användaren.

SharePoint

Subject

Ämnesraden i meddelandet som användes.

Exchange (postlådeaktivitet)

TabType

Typ av tabb har lagt till, tas bort eller uppdateras i en grupp. Möjliga värden för den här egenskapen är:

  • Excelpin    En Excel-fliken.

  • Filnamnstillägg    Alla programmen från första part och tredje part; till exempel grupplanering VSTS och formulär.

  • Anteckningar    Fliken OneNote.

  • Pdfpin    En PDF-flik.

  • Powerbi    En PowerBI flik.

  • Powerpointpin    En PowerPoint-flik.

  • Sharepointfiles    En SharePoint-flik.

  • Webbsida    En fästad webbplats-flik.

  • Wiki-fliken    En wiki-flik.

  • Wordpin    En Word-flik.

Microsoft Teams

Mål

Den användare som åtgärd (identifieras i egenskapen Operation ) utfördes på. Om en gästanvändare läggs till SharePoint eller ett Microsoft-teamet skulle användaren stå i den här egenskapen.

Azure Active Directory

TeamGuid

ID för en grupp i Microsoft Teams.

Microsoft Teams

TeamName

Namnet på en grupp i Microsoft Teams.

Microsoft Teams

UserAgent

Information om användarens webbläsare. Den här informationen kommer från webbläsaren.

SharePoint

UserDomain

Identitetsinformation om klientorganisationen för användaren (aktören) som utförde åtgärden.

Azure Active Directory

UserID

Användaren som utförde åtgärden (anges i Operation-egenskapen) som resulterade i att posten loggades. Observera att poster för aktivitet som utförs av systemkonton (t.ex. SHAREPOINT\system eller NT AUTHORITY\SYSTEM) också är med i granskningsloggen.

Alla

UserKey

Ett alternativt ID för användaren som identifieras i UserID-egenskapen. Den här egenskapen fylls till exempel i med ett PUID (unikt Passport-ID) för händelser som utförs av användare i SharePoint. Den här egenskapen kan också ange samma värde som egenskapen UserID för händelser som inträffar i andra tjänster och händelser som utförs av systemkonton.

Alla

UserSharedWith

Användaren som en resurs delades med. Den här egenskapen ingår om värdet för egenskapen Operation är SharingSet. Den här användaren visas också i kolumnen Shared with i rapporten.

SharePoint

UserType

Typen av användare som utförde åtgärden. Följande värden anger användartypen.

0      En vanlig användare.

2      En administratör i din Office 365-organisation.

3      En Microsoft-datacenteradministratör eller ett datacentersystemkonto.

4      Ett systemkonto.

5      Ett program.

6      Ett huvudnamn för en tjänst.

Alla

Version

Visar versionsnumret för aktiviteten (identifieras av egenskapen Operation) som har loggats.

Alla

Workload

Office 365-tjänsten där aktiviteten inträffade. De möjliga värdena för den här egenskapen är:

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

Efterlevnad

Sway

SecurityComplianceCenter

PowerBI

MicrosoftTeams

Alla

Observera att egenskaperna som beskrivs ovan visas även när du klickar på Mer information när du visar information om en viss händelse.

Klicka på Mer information om du vill se detaljerade egenskaper för granskningspostens logghändelse

Överst på sidan

Obs!: Ansvarsfriskrivning för maskinöversättning: Den här artikeln har översatts av ett datorsystem utan mänsklig inblandning. Microsoft erbjuder dessa maskinöversättningar för att hjälpa icke engelskspråkiga användare att ta del av information om Microsofts produkter, tjänster och tekniker. Eftersom artikeln är maskinöversatt kan den innehålla fel i ordval, syntax och grammatik.

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Office Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×