Söka i granskningsloggen i Säkerhets- och efterlevnadscenter för Office 365

Behöver du ta reda på om en användare har visat ett visst dokument eller tagit bort ett objekt från postlådan? I så fall kan du använda Office 365 – säkerhets- och efterlevnadscenter för att söka i den enhetliga granskningsloggen för att visa användar- och administratörsaktivitet i Office 365-organisationen. Varför en enhetlig granskningslogg? Därför att du kan söka efter följande typer av användar- och administratörsaktivitet i Office 365:

  • Användaraktivitet i SharePoint Online och OneDrive för företag

  • Användaraktivitet i Exchange Online (granskningsloggning för Exchange-postlåda)

    Viktigt!: Granskningsloggning för postlådor måste aktiveras för varje användarpostlåda innan användaraktivitet i Exchange Online kan loggas. Mer information finns i Aktivera granskning av postlåda i Office 365.

  • Administratörsaktivitet i SharePoint Online

  • Administratörsaktivitet i Azure Active Directory (katalogtjänsten för Office 365)

  • Administratörsaktivitet i Exchange Online (Granskningsloggning för Exchange-administratör)

  • Användar- och administratörsaktivitet i Sway

  • Användar- och administratörsaktivitet i Power BI för Office 365

  • Användar- och administratörsaktivitet i Microsoft Teams

  • Användar- och administratörsaktivitet i Yammer

Läs följande innan du börjar söka i Office 365-granskningsloggen.

  • Du (eller någon annan administratör) måste först aktivera granskningsloggning innan du kan börja söka i Office 365-granskningsloggen. Aktivera den genom att klicka på Starta inspelning av användar- och administratörsaktivitet på sidan Granskningsloggsökning i Säkerhets- och efterlevnadscenter. (Om du inte ser länken har granskning redan aktiverats för organisationen.) När du aktiverar det visas ett meddelande om att granskningsloggen förbereds och att du kan köra en sökning om några timmar när förberedelserna har slutförts. Du behöver bara göra detta en gång.

    Obs!: Inom kort aktiverar vi granskning som standard. Tills dess kan du aktivera granskning enligt beskrivningen ovan.

  • Du måste ha tilldelats rollen Skrivskyddade granskningsloggar eller Granskningsloggar i Exchange Online för att söka i Office 365-granskningsloggen. Som standard tilldelas de här rollerna till rollgrupperna Efterlevnadshantering och Organisationshantering på sidan Behörigheter i Administrationscenter för Exchange. Om du vill ge en användare möjlighet att söka i Office 365-granskningsloggen med den lägsta graden av behörigheter kan du skapa en anpassad rollgrupp i Exchange Online, lägga till rollen Skrivskyddade granskningsloggar eller Granskningsloggar och sedan lägga till användaren som medlem i den nya rollgruppen. Mer information finns i Hantera rollgrupper i Exchange Online.

    Viktigt!: Om du tilldelar en användare rollen Skrivskyddade granskningsloggar eller Granskningsloggar på sidan Behörigheter i Säkerhets- och efterlevnadscenter kan de inte söka i Office 365-granskningsloggen. Du måste tilldela behörigheterna i Exchange Online. Det beror på att den underliggande cmdleten som används för att söka i granskningsloggen är en Exchange Online-cmdlet.

  • Om du vill inaktivera granskningsloggsökning i Office 365 för organisationen kan du köra följande kommando i den fjärr-PowerShell som är ansluten till din Exchange Online-organisation:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    Om du vill aktivera granskningsloggsökningen igen kan du köra följande kommando i Exchange Online PowerShell:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Mer information finns i Turn off audit log search in Office 365 (inaktivera granskningsloggsökning i Office 365).

  • Som nämnt tidigare är den underliggande cmdleten som används för att söka i granskningsloggen en Exchange Online-cmdlet, som är Search-UnifiedAuditLog. Det betyder att du kan använda denna cmdlet för att söka i Office 365 granskningslogg istället för att använda sidan Granskningsloggssökning i Säkerhets- och efterlevnadscenter. Du måste köra denna cmdlet i en PowerShell-fjärrsession som är ansluten till din Exchange Online-organisation. Mer information finns i Söka i enhetlig granskningslogg.

  • Om du med programmering vill att ladda ned data från Office 365-granskningsloggen, rekommenderar vi att du använder Office 365 Management Activity API i stället för att använda ett PowerShell-skript. Office 365 Management Activity API är en REST-webbtjänst som du kan använda för att utveckla övervakningslösningar för åtgärder, säkerhet och efterlevnad för din organisation. Mer information finns i referensen för Office 365 Management Activity API.

  • Du kan söka i Office 365-granskningsloggen efter aktiviteter som har utförts under de senaste 90 dagarna.

  • Det kan ta upp till 30 minuter eller upp till 24 timmar efter att en händelse inträffat innan motsvarande granskningsloggpost visas i sökresultaten. I följande tabell visas den tid det tar för olika tjänster i Office 365.

    Office 365-tjänsten

    30 minuter

    24 timmar

    SharePoint Online och OneDrive för företag

    Bock

    Exchange Online

    Bock

    Azure Active Directory (användarinloggningshändelser)

    Bock

    Azure Active Directory (administratörshändelser)

    Bock

    Sway

    Bock

    Power BI

    Bock

    Yammer

    Bock

    Säkerhets- och efterlevnadscenter

    Bock

    Microsoft Teams

    Bock

  • Som tidigare angetts är Azure Active Directory (Azure AD) katalogtjänsten för Office 365. Den enhetliga granskningsloggen innehåller användar-, grupp-, program-, domän- och katalogaktiviteter som utförts i Administrationscenter för Office 365 eller i Azure-hanteringsportalen. En fullständig lista över Azure AD-händelser finns i Azure Active Directory-granskningsrapporthändelser.

Överst på sidan

Så här söker du i granskningsloggen i Office 365.

Steg 1: Kör en granskningsloggsökning

Steg 2: Visa sökresultatet

Steg 3: Filtrera sökresultatet

Steg 4: Exportera sökresultatet till en fil

Steg 1: Kör en granskningsloggsökning

  1. Gå till https://protection.office.com.

  2. Logga in i Office 365 med ditt arbets- eller skolkonto.

  3. I den vänstra rutan klickar du på Sökning och undersökning och klickar sedan på Granskningsloggsökning.

    Sidan Granskningsloggsökning visas.

    Konfigurera villkor och kör rapporten genom att klicka på Sök

    Obs!: Som tidigare beskrivits måste du först aktivera granskningsloggning innan du kan köra en granskningsloggsökning. Om länken Starta inspelning av användar- och administratörsaktivitet visas klickar du på den för att aktivera granskning. Om du inte ser länken har granskning redan aktiverats för organisationen.

  4. Konfigurera följande sökvillkor:

    1. Aktiviteter   Klicka i listrutan för att visa de aktiviteter som du kan söka efter. Användar- och administratörsaktiviteter är ordnade i grupper av relaterade aktiviteter. Du kan markera specifika aktiviteter eller så kan du klicka på aktivitetsgruppnamnet för att markera alla aktiviteter i gruppen. Du kan också klicka på en markerad aktivitet för att ta bort markeringen. När du har kört sökningen visas bara granskningsloggposterna för de markerade aktiviteterna. Om du markerar Visa resultat för alla aktiviteter visas resultat för alla aktiviteter som utförts av den markerade användaren eller gruppen av användare.

      Över 100 användar- och administratörsaktiviteter loggas i Office 365-granskningsloggen. Klicka på fliken Granskade aktiviteter i det här avsnittet om du vill se en lista med beskrivningar av de olika aktiviteterna för de olika Office 365-tjänsterna.

    2. Startdatum och Slutdatum    De senaste sju dagarna är valda som standard. Välj ett datum- och tidsintervall för att visa händelser som inträffat under perioden. Datum och tid presenteras i UTC-format (Coordinated Universal Time). Det maximala datumintervall som du kan ange är 90 dagar. Ett felmeddelande visas om det valda datumintervallet är längre än 90 dagar.

      Tips: Om du använder det maximala datumintervallet 90 dagar väljer du aktuell tid som Startdatum. I annat fall får du ett felmeddelande om att startdatumet är tidigare än slutdatumet. Om du aktiverat granskningen inom de senaste 90 dagarna kan det maximala datumintervallet inte starta före det datum då granskningen aktiverades.

    3. Användare  Klicka i den här rutan och välj sedan en eller flera användare som du vill visa sökresultat för. I resultatlistan visas granskningsloggposterna för den valda aktiviteten som utförts av de användare som du valt i den här rutan. Lämna rutan tom för att returnera poster för alla användare (och tjänstkonton) i organisationen.

    4. Fil, mapp eller webbplats   Skriv en del av eller hela fil- eller mappnamnet för att söka efter aktivitet relaterad till filen eller mappen som innehåller det angivna nyckelordet. Du kan också ange en URL-adress eller en del av en URL-adress för att visa poster för aktivitet på ett objekt i den angivna URL-sökvägen. Observera att specialtecken som snedstreck (/), omvänt snedstreck (\), tankstreck (–) och understreck (_) inte stöds i sökfrågan. Ersätt specialtecken med ett blanksteg. Om du till exempel vill söka efter aktivitet på en OneDrive för företag-webbplats, som https://contoso-mysharepoint.com/personal/sarad_contoso_onmicrosoft_com, kan du skriva följande i det här sökfältet: personal sarad contoso.

      Lämna rutan tom för att returnera poster för alla filer, mappar och URL-adresser i organisationen.

  5. Klicka på Sök för att köra sökningen med dina sökvillkor.

    Sökresultaten läses in och efter en liten stund visas de under Resultat. När sökningen är klar visas antal hittade resultat. Observera att högst 1000 händelser visas. Om fler än 1000 händelser uppfyller sökvillkoren visas de senaste 1000 händelserna.

    Antal resultat som visas när sökningen är klar

Överst på sidan

Tips för att söka i granskningsloggen

  • Genom att klicka på aktivitetsnamnet kan du välja specifika aktiviteter att söka efter. Du kan också söka efter alla aktiviteter i en grupp (t.ex. Fil- och mappaktiviteter) genom att klicka på gruppnamnet. Om en aktivitet är markerad kan du klicka på den om du vill ta bort markeringen. Du kan också använda sökrutan för att visa de aktiviteter som innehåller nyckelordet som du skriver.

    Klicka på aktivitetens gruppnamn för att markera alla aktiviteter
  • Du måste markera Visa resultat för alla aktiviteter i listan Aktiviteter för att visa poster från granskningsloggen för Exchange-administratör. Händelser från den här granskningsloggen visar ett cmdlet-namn (t.ex. Set-Mailbox) i kolumnen Aktivitet i resultatet. Om du vill ha mer information klickar du på fliken Granskade aktiviteter i det här avsnittet och sedan på Aktiviteter för Exchange-administratör.

  • Klicka på Rensa för att ta bort aktuella sökvillkor. Datumintervallet återgår till standardvärdet som är de senaste sju dagarna. Du kan också klicka på Rensa alla för att visa resultat för alla aktiviteter för att avbryta alla markerade aktiviteter.

  • Om 1000 resultat hittas kan du antagligen förutsätta att det finns fler än 1000 händelser som uppfyller sökvillkoren. Du kan förfina sökvillkoren och köra sökningen igen för att få färre sökresultat eller så kan du exportera alla sökresultat genom att välja Exportera resultat > Ladda ned alla resultat.

Överst på sidan

Steg 2: Visa sökresultatet

Resultatet för en granskningslogg visas under Resultat på sidan Granskningsloggsökning. Högst 1000 (senaste) händelser visas. Resultatet innehåller följande information om varje händelse som returneras av sökningen.

  • Datum    Datum och tid (i UTC-format) när händelsen inträffade.

  • IP-adress    IP-adressen för den enhet som användes när aktiviteten loggades. IP-adressen visas i IPv4- eller IPv6-adressformat.

  • Användare    Användaren (eller tjänstkontot) som utförde åtgärden som utlöste händelsen.

  • Aktivitet   Den aktivitet som användaren utförde. Det här värdet motsvarar de aktiviteter som du valde i listrutan Aktiviteter. För en händelse från granskningsloggen för Exchange-administratör är värdet i den här kolumnen en Exchange-cmdlet.

  • Objekt    Objektet som skapades eller ändrades som ett resultat av motsvarande aktivitet. Exempelvis den fil som visades eller ändrades eller det användarkonto som uppdaterades. Alla aktiviteter har inte ett värde i den här kolumnen.

  • Information   Ytterligare information om en aktivitet. Inte heller här har alla aktiviteter ett värde.

Tips: Klicka på en kolumnrubrik under Resultat för att sortera resultatet. Du kan sortera resultatet från A till Ö eller Ö till A. Klicka på rubriken Datum för att sortera resultatet från äldst till nyast och nyast till äldst.

Visa information för en viss händelse

Du kan visa mer information om en händelse genom att klicka på händelseposten i listan med sökresultat. Sidan Information som innehåller detaljerade egenskaper från händelseposten visas. Vilka egenskaper som visas beror på Office 365-tjänsten där händelsen inträffar. Klicka på Mer om du vill visa ytterligare information.

Överst på sidan

Steg 3: Filtrera sökresultatet

Förutom att sortera kan du också filtrera resultatet av en granskningsloggsökning. Det här är en användbar funktion som kan hjälpa dig att snabbt filtrera resultatet för en viss användare eller aktivitet. Du kan först skapa en bred sökning och sedan snabbt filtrera resultatet för att visa särskilda händelser. Därefter kan du begränsa sökvillkoren och köra sökningen igen för att få ett mer kortfattat resultat.

Så här filtrerar du resultatet:

  1. Kör en granskningsloggsökning.

  2. När resultatet visas klickar du på Filtrera resultat.

    Nyckelordsrutor visas under varje kolumnrubrik.

  3. Klicka på någon av rutorna under en kolumnrubrik och skriv ett ord eller en fras, beroende på vilken kolumn du filtrerar på. Resultatet justeras dynamiskt och visar händelser som matchar filtret.

    Skriv ett ord i filtret för att visa händelser som matchar filtret
  4. Om du vill ta bort ett filter klickar du på X i filterrutan eller klickar på Dölj filtrering.

Tips: Om du vill visa händelser från granskningsloggen för Exchange-administratör skriver du (tankstreck) i filterrutan Aktivitet. Då visas cmdlet-namn som visas i kolumnen Aktivitet för Exchange-administratörshändelser. Du kan sedan sortera cmdlet-namnen i alfabetisk ordning.

Överst på sidan

Steg 4: Exportera sökresultatet till en fil

Du kan exportera resultatet av en granskningsloggsökning till en fil med kommaavgränsade värden (CSV) på den lokala datorn. Du kan öppna den här filen i Microsoft Excel och använda funktioner som att söka, sortera, filtrera och dela en enstaka kolumn (som innehåller celler med flera värden) i flera kolumner.

  1. Kör en granskningsloggsökning och ändra sedan sökvillkoren tills du fått önskat resultat.

  2. Klicka på Exportera resultat och välj något av följande alternativ:

    • Spara inlästa resultat    Välj det här alternativet om du vill exportera bara de poster som visas under Resultat på sidan Granskningsloggsökning. CSV-filen som laddas ned innehåller samma kolumner (och data) som visas på sidan (Datum, Användare, Aktivitet, Objekt och Information). Ytterligare en kolumn (med namnet Mer) ingår i CSV-filen och innehåller mer information från granskningsloggposten. Eftersom du exporterar samma resultat som är inlästa (och går att visa) på sidan Granskningsloggsökning exporteras högst 1000 poster.

    • Ladda ned alla resultat    Välj det här alternativet om du vill exportera alla poster från Office 365-granskningsloggen som uppfyller sökvillkoren. Om du har en stor uppsättning sökresultat väljer du det här alternativet för att hämta alla poster från granskningsloggen jämte de 1000 resultat som visas på sidan Granskningsloggsökning. Det här alternativet laddar ned rådata från granskningsloggen till en CSV-fil och innehåller ytterligare information från granskningsloggposten i en kolumn med namnet Information. Det kan ta längre tid att ladda ned filen om du väljer det här exportalternativet eftersom filen kan vara mycket större än den som laddas ned om du väljer det andra alternativet.

      Viktigt!: Du kan ladda ned högst 50 000 poster till en CSV-fil från en enstaka granskningsloggsökning. Om 50 000 poster laddas ned till CSV-filen kan du antagligen förutsätta att det finns fler än 50 000 händelser som uppfyller sökkriterierna. Om du vill exportera fler poster än så kan du prova att använda ett datumintervall för att minska antalet granskningsloggposter. Du kan behöva köra flera sökningar med mindre datumintervall för att exportera mer än 50 000 poster.

  3. När du har valt exportalternativ visas ett meddelande längst ned i fönstret som uppmanar dig att öppna CSV-filen, spara den i mappen Hämtade filer eller spara den i en särskild mapp.

Överst på sidan

Mer information om hur du exporterar resultat från en granskningsloggsökning

  • Alternativet Ladda ned alla resultat laddar ned rådata från Office 365-granskningsloggen till en CSV-fil. Den här filen innehåller andra kolumnnamn (Tid, Användare, Åtgärd, Information) än filen som laddas ned om du väljer alternativet Spara inlästa resultat. Värdena i de två olika CSV-filerna för samma aktivitet kan också skilja sig. Till exempel kan aktiviteten i kolumnen Åtgärd i CSV-filen ha ett annat värde än den "användarvänliga" versionen som visas i kolumnen Aktivitet på sidan Granskningsloggsökning. Exempelvis MailboxLogin kontra Användare loggade in i postlåda.

  • Om du laddar ned alla resultat innehåller CSV-filen en kolumn med namnet Information, som innehåller ytterligare information om varje händelse. Som tidigare nämnts innehåller den här kolumnen en flervärdesegenskap för flera egenskaper från granskningsloggposten. Var och en av paren property:value i den här flervärdesegenskapen avgränsas med kommatecken. Du kan använda Power Query i Excel för att dela kolumnen i flera kolumner så att varje egenskap får en egen kolumn. Då kan du sortera och filtrera en eller flera av dessa egenskaper. Mer information om hur du gör detta finns i avsnittet "Dela en kolumn efter avgränsare" i Dela en kolumn med text (Power Query).

    När du delat kolumnen Information kan du filtrera på kolumnen Åtgärd för att visa detaljerade egenskaper för en viss typ av aktivitet.

  • När du laddar ned alla resultat från en sökfråga som innehåller händelser från olika Office 365-tjänster innehåller kolumnen Information i CSV-filen olika egenskaper beroende på i vilken tjänst åtgärden utfördes. Poster från till exempel Exchange- och Azure AD-granskningsloggar innehåller en egenskap med namnet ResultStatus som anger om åtgärden lyckades eller inte. Den här egenskapen finns inte med för händelser i SharePoint. På samma sätt har SharePoint-händelser en egenskap som identifierar webbplatsadressen för fil- och mapprelaterade aktiviteter. Överväg att använda olika sökningar för att exportera resultat för aktiviteter från en enstaka tjänst för att minimera detta beteende.

    En beskrivning av de egenskaper som visas i kolumnen Information i CSV-filen när du laddar ned alla resultat samt vilken tjänst var och en gäller för finns i Detaljerade egenskaper i Office 365-granskningsloggen.

Överst på sidan

I tabellerna i det här avsnittet beskrivs de aktiviteter som granskas i Office 365. Du kan söka efter de här händelserna genom att söka i granskningsloggen i Säkerhets- och efterlevnadscenter. Klicka på fliken Söka i granskningsloggen om du vill ha stegvisa anvisningar.

I de här tabellerna grupperas relaterade aktiviteter eller aktiviteterna från en viss Office 365-tjänst. Tabellerna innehåller det visningsnamn som visas i listrutan Aktiviteter och namnet på tillhörande åtgärd som visas i detaljinformationen i en granskningspost och i CSV-filen när du exporterar sökresultatet. Klicka på någon av länkarna nedan om du vill gå till en viss tabell.

Fil- och sidaktiviteter

Mappaktiviteter

Aktiviteter för delning och åtkomstbegäran

Synkroniseringsaktiviteter

Aktiviteter för webbplatsadministration

Aktiviteter i Exchange-postlåda

Sway-aktiviteter

Aktiviteter för användaradministration

Azure AD-aktiviteter för gruppadministration

Aktiviteter för programadministration

Aktiviteter för rolladministration

Aktiviteter för katalogadministration

eDiscovery-aktiviteter

Power BI-aktiviteter

Microsoft Teams-aktiviteter

Yammer-aktiviteter

Aktiviteter för Exchange-administratör

Fil- och sidaktiviteter

I följande tabell beskrivs fil- och sidaktiviteterna i SharePoint Online och OneDrive för företag.

Visningsnamn

Åtgärd

Beskrivning

Öppnad fil

FileAccessed

Användar- eller systemkontot öppnar en fil.

(inget)

FileAccessedExtended

Detta är relaterat till aktiviteten ”Öppnad fil” (FileAccessed). En FileAccessedExtended-händelse loggas när samma person kontinuerligt har åtkomst till en fil under en längre tid (upp till 3 timmar). Syftet med att logga FileAccessedExtended-händelser är att minska antalet FileAccessed-händelser som loggas när en fil används kontinuerligt. Det här hjälper till att minska bruset med flera FileAccessed-poster för vad som i princip är samma användaraktivitet, och gör att du kan fokusera på den initiala (och viktigare) FileAccessed-händelsen.

Incheckad fil

FileCheckedIn

Användaren checkar in ett dokument som de har checkat ut från ett dokumentbibliotek.

Utcheckad fil

FileCheckedOut

Användaren checkar ut ett dokument som finns i ett dokumentbibliotek. Användare kan checka ut och göra ändringar i dokument som har delats med dem.

Kopierad fil

FileCopied

Användaren kopierar ett dokument från en webbplats. Den kopierade filen kan sparas i en annan mapp på webbplatsen.

Borttagen fil

FileDeleted

Användaren tar bort ett dokument från en webbplats.

Borttagen fil från papperskorgen

FileDeletedFirstStageRecycleBin

Användaren tar bort en fil från papperskorgen på en webbplats.

Borttagen fil från papperskorgen på andra nivån

FileDeletedSecondStageRecycleBin

Användaren tar bort en fil från papperskorgen på andra nivån på en webbplats.

Ignorerad utcheckning av fil

FileCheckOutDiscarded

Användaren ignorerar (eller ångrar) en utcheckad fil. Det innebär att alla ändringar de gjort i filen när den var utcheckad ignoreras och sparas inte i versionen av dokumentet i dokumentbiblioteket.

Hämtad fil

FileDownloaded

Användaren laddar ned ett dokument från en webbplats.

Ändrad fil

FileModified

Användar- eller systemkontot ändrar innehållet eller egenskaperna för ett dokument som finns på en webbplats.

(inget)

FileModifiedExtended

Detta är relaterat till aktiviteten ”Ändrad fil” (FileModified). En FileModifiedExtended-händelse loggas när samma person kontinuerligt ändrar en fil under en längre tid (upp till 3 timmar). Syftet med att logga FileModifiedExtended-händelser är att minska antalet FileModified-händelser som loggas när en fil ändras kontinuerligt. Det här hjälper till att minska bruset med flera FileModified-poster för vad som i princip är samma användaraktivitet, och gör att du kan fokusera på den initiala (och viktigare) FileModified-händelsen.

Flyttad fil

FileMoved

Användaren flyttar ett dokument från dess aktuella plats på en webbplats till en ny plats.

Namnändrad fil

FileRenamed

Användaren ändrar namn på ett dokument på en webbplats.

Återställd fil

FileRestored

Användaren återställer ett dokument från papperskorgen på en webbplats.

Uppladdad fil

FileUploaded

Användaren laddar upp ett dokument till en mapp på en webbplats.

Visad sida

PageViewed

Användaren visar en sida på en webbplats. Det här omfattar inte att använda en webbläsare för att visa filer som finns i ett dokumentbibliotek.

(inget)

PageViewedExtended

Detta är relaterat till aktiviteten ”Visad sida” (PageViewed). En PageViewedExtended-händelse loggas när samma person kontinuerligt visar en webbsida under en längre tid (upp till 3 timmar). Syftet med att logga PageViewedExtended-händelser är att minska antalet PageViewed-händelser som loggas när en sida visas kontinuerligt. Det här hjälper till att minska bruset med flera PageViewed-poster för vad som i princip är samma användaraktivitet, och gör att du kan fokusera på den initiala (och viktigare) PageViewed-händelsen.

Överst på sidan

Mappaktiviteter

I följande tabell beskrivs mappaktiviteterna i SharePoint Online och OneDrive för företag.

Visningsnamn

Åtgärd

Beskrivning

Kopierad mapp

FolderCopied

Användaren kopierar en mapp från en webbplats till en annan plats i SharePoint eller OneDrive för företag.

Skapad mapp

FolderCreated

Användaren skapar en mapp på en webbplats.

Borttagen mapp

FolderDeleted

Användaren tar bort en mapp från en webbplats.

Borttagen mapp från papperskorgen

FolderDeletedFirstStageRecycleBin

Användaren tar bort en mapp från papperskorgen på en webbplats.

Borttagen mapp från papperskorgen på andra nivån

FolderDeletedSecondStageRecycleBin

Användaren tar bort en mapp från papperskorgen på andra nivån på en webbplats.

Ändrad mapp

FolderModified

Användaren ändrar en mapp på en webbplats. Det här omfattar att ändra mappmetadata, till exempel ändra taggar och egenskaper.

Flyttad mapp

FolderMoved

Användaren flyttar en mapp till en annan plats på en webbplats.

Namnändrad mapp

FolderRenamed

Användaren ändrar namn på en mapp på en webbplats.

Återställd mapp

FolderRestored

Användaren återställer en borttagen mapp från papperskorgen på en webbplats.

Överst på sidan

Aktiviteter för delning och åtkomstbegäran

I följande tabell beskrivs användaraktiviteter för delning och åtkomstbegäran i SharePoint Online och OneDrive för företag. I kolumnen Information under Resultat identifieras, för delningshändelser, namnet på den användare eller grupp som objektet har delats med och om användaren eller gruppen är medlem eller gäst i organisationen. Mer information finns i Använda delningsgranskning i Office 365-granskningsloggen.

Obs!: Användare kan vara medlemmar eller gäster baserat på egenskapen UserType i användarobjektet. En medlem är oftast en anställd och en gäst är vanligtvis en medarbetare utanför organisationen. När en användare accepterar en delningsinbjudan (och inte redan är en del av organisationen) skapas ett gästkonto åt dem i organisationens katalog. När en gästanvändare har ett konto i katalogen kan resurser delas direkt med dem (utan en inbjudan).

Visningsnamn

Åtgärd

Beskrivning

Åtkomstbegäran godkänd

AccessRequestAccepted

En åtkomstbegäran till en webbplats, mapp eller dokument har godkänts och användaren som gjort begäran har beviljats åtkomst.

Delningsinbjudan godkänd

SharingInvitationAccepted

Användaren (medlem eller gäst) har godkänt en delningsinbjudan och har beviljats åtkomst till en resurs. Händelsen innehåller information om användaren som har bjudits in och den e-postadress som användes för att godkänna inbjudan (de kan vara olika). Den här aktiviteten åtföljs ofta av en andra händelse som beskriver hur användaren beviljades åtkomst till resursen, till exempel att användaren har lagts till i en grupp som har åtkomst till resursen.

Delningsinbjudan blockerad

SharingInvitationBlocked

TBD

Delbar företagslänk skapad

CompanyLinkCreated

Användaren har skapat en företagsomfattande länk till en resurs. Företagsomfattande länkar kan endast användas av medlemmar i organisationen. De kan inte användas av gäster.

Åtkomstbegäran skapad

AccessRequestCreated

Användaren begär åtkomst till en webbplats, mapp eller dokument som de inte har behörighet att använda.

Anonym länk skapad

AnonymousLinkCreated

Användaren har skapat en anonym länk till en resurs. Alla med den här länken kan komma åt resursen utan att behöva autentiseras.

Delningsinbjudan skapad

SharingInvitationCreated

Användaren har delat en resurs i SharePoint Online eller OneDrive för företag med en användare som inte finns i organisationens katalog.

Åtkomstbegäran nekad

AccessRequestDenied

En åtkomstbegäran till en webbplats, mapp eller dokument har nekats.

Delbar företagslänk borttagen

CompanyLinkRemoved

Användaren har tagit bort en företagsomfattande länk till en resurs. Länken kan inte längre användas för att få åtkomst till resursen.

Anonym länk borttagen

AnonymousLinkRemoved

Användaren har tagit bort en anonym länk till en resurs. Länken kan inte längre användas för att få åtkomst till resursen.

Fil, mapp eller webbplats delas

SharingSet

Användaren (medlem eller gäst) har delat en fil, mapp eller webbplats i SharePoint eller OneDrive för företag med en användare i organisationens katalog. Värdet i kolumnen Information för den här aktiviteten visar namnet på den användare som resursen delats med och om den här användaren är medlem eller gäst. Den här aktiviteten åtföljs ofta av en andra händelse som beskriver hur användaren beviljades åtkomst till resursen, till exempel att användaren har lagts till i en grupp som har åtkomst till resursen.

Anonym länk uppdaterad

AnonymousLinkUpdated

Användaren har uppdaterat en anonym länk till en resurs. Det uppdaterade fältet ingår i egenskapen EventData när du exporterar sökresultatet.

Anonym länk används

AnonymousLinkUsed

En anonym användare har åtkomst till en resurs via en anonym länk. Användarens identitet kan vara okänd, men du kan få reda på annan information, till exempel användarens IP-adress.

Fil, mapp eller webbplats har slutat delas

SharingRevoked

Användaren (medlem eller gäst) har slutat dela en fil, mapp eller webbplats som tidigare delades med en annan användare.

Delbar företagslänk används

CompanyLinkUsed

Användaren har åtkomst till en resurs via en företagsomfattande länk.

Delningsinbjudan återkallad

SharingInvitationRevoked

Användaren har återkallat en delningsinbjudan till en resurs.

Överst på sidan

Synkroniseringsaktiviteter

I följande tabell visas filsynkroniseringsaktiviteter i SharePoint Online och OneDrive för företag.

Visningsnamn

Åtgärd

Beskrivning

Tillät dator att synkronisera filer

ManagedSyncClientAllowed

Användaren har upprättat en synkroniseringsrelation med en webbplats. Synkroniseringsrelationen lyckades eftersom användarens dator är medlem i en domän som lagts till i listan över domäner (kallas listan Betrodda mottagare) som kan komma åt dokumentbibliotek i organisationen.

Mer information om den här funktionen finns i Använda Windows PowerShell-cmdlets för att aktivera OneDrive-synkronisering för domäner som finns med i listan Betrodda mottagare.

Blockerade dator från att synkronisera filer

UnmanagedSyncClientBlocked

Användaren försöker etablera en synkroniseringsrelation med en webbplats från en dator som inte är medlem i organisationens domän eller är medlem i en domän som inte har lagts till i listan över domäner (kallas listan Betrodda mottagare) som kan komma åt dokumentbibliotek i organisationen. Synkroniseringsrelationen är inte tillåten och användarens dator hindras från att synkronisera, ladda ned eller ladda upp filer till ett dokumentbibliotek.

Information om den här funktionen finns i Använda Windows PowerShell-cmdlets för att aktivera OneDrive-synkronisering för domäner som finns med i listan Betrodda mottagare.

Laddade ned filer till datorn

FileSyncDownloadedFull

Användaren upprättar en synkroniseringsrelation och laddar ned filer för första gången till sin dator från ett dokumentbibliotek.

Laddade ned filändringar till datorn

FileSyncDownloadedPartial

Användaren laddar ned ändringar i filer från ett dokumentbibliotek. Den här aktiviteten anger att ändringar som har gjorts i filer i dokumentbiblioteket har laddats ned till användarens dator. Endast ändringar har laddats ned eftersom dokumentbiblioteket tidigare laddats ned av användaren (vilket anges av aktiviteten Laddade ned filer till datorn).

Laddade upp filer till dokumentbiblioteket

FileSyncUploadedFull

Användaren upprättar en synkroniseringsrelation och laddar upp filer för första gången från sin dator till ett dokumentbibliotek.

Laddade upp filändringar till dokumentbiblioteket

FileSyncUploadedPartial

Användaren laddar upp ändringar i filer till ett dokumentbibliotek. Den här händelsen anger att ändringar som gjorts i den lokala versionen av en fil från ett dokumentbibliotek laddats upp till dokumentbiblioteket. Endast ändringar laddas upp eftersom filerna tidigare laddats upp av användaren (vilket anges av aktiviteten Laddade upp filer till dokumentbiblioteket).

Överst på sidan

Aktiviteter för webbplatsadministration

I följande tabell visas de händelser som kommer från webbplatsadministrationsuppgifter i SharePoint Online.

Visningsnamn

Åtgärd

Beskrivning

Undantagen användaragent tillagd

ExemptUserAgentSet

Global administratör lägger till en användaragent i listan över undantagna användaragenter i administrationscentret för SharePoint.

Administratör för webbplatssamling tillagd

SiteCollectionAdminAdded

Administratören eller ägaren av webbplatssamlingen lägger till en person som webbplatssamlingsadministratör för en webbplats. Administratörer för webbplatssamlingar har fullständig behörighet för webbplatssamlingen och alla underwebbplatser.

Användare eller grupp tillagd i SharePoint-grupp

AddedToGroup

Användaren lade till en medlem eller gäst i en SharePoint-grupp. Det kan ha varit en avsiktlig åtgärd eller resultatet av en annan aktivitet, till exempel en delningshändelse.

Användare tillåten att skapa grupper

AllowGroupCreationSet

Webbplatsadministratören eller ägaren lägger till en behörighetsnivå för en webbplats som tillåter att en användare som tilldelats behörigheten skapar en grupp för webbplatsen.

Undantagna användaragenter ändrade

CustomizeExemptUsers

Den globala administratören anpassade listan över undantagna användaragenter i administrationscentret för SharePoint. Du kan ange vilka användaragenter som ska undantas från att ta emot en hel webbsida som ska indexeras. Det innebär att när en användaragent som du har angett som undantagen påträffar ett InfoPath-formulär returneras formuläret som en XML-fil istället för som en hel webbsidan. Det gör indexeringen av InfoPath-formulär snabbare.

Delningsprincip ändrad

SharingPolicyChanged

En administratör ändrade en SharePoint-delningsprincip med hjälp av Office 365-administrationsportalen, SharePoint-administrationsportalen eller SharePoint Online Management Shell. Alla ändringar av inställningarna i delningsprincipen i organisationen kommer att loggas. Principen som ändrades identifieras i fältegenskapen ModifiedProperty när du exporterar sökresultatet.

Grupp skapad

GroupAdded

Webbplatsadministratören eller ägaren skapar en grupp för en webbplats eller utför en uppgift som resulterar i att en grupp skapas. Exempel: Första gången en användare skapar en länk för att dela en fil läggs en systemgrupp till på användarens OneDrive för företag-webbplats. Händelsen kan också vara ett resultat av att en användare skapar en länk med redigeringsbehörighet till en delad fil.

Skicka till-anslutning skapad

SendToConnectionAdded

Den globala administratören skapar en ny Skicka till-anslutning på sidan Hantering av arkivhandlingar i administrationscentret för SharePoint. En Skicka till-anslutning anger inställningar för ett dokumentarkiv eller ett arkivhandlingscenter. När du skapar en Skicka till-anslutning kan Ordna innehåll skicka dokument till den angivna platsen.

Webbplatssamling skapad

SiteCollectionCreated

Den globala administratören skapar en ny webbplatssamling i SharePoint Online-organisationen.

Grupp borttagen

GroupRemoved

Användaren tar bort en grupp från en webbplats.

Skicka till-anslutning borttagen

SendToConnectionRemoved

Den globala administratören tar bort en Skicka till-anslutning på sidan Hantering av arkivhandlingar i administrationscentret för SharePoint.

Borttagen webbplats

SiteDeleted

Webbplatsadministratören tar bort en webbplats.

Förhandsgranskning av dokument aktiverad

PreviewModeEnabledSet

Webbplatsadministratören aktiverar förhandsgranskning av dokument för en webbplats.

Äldre arbetsflöde aktiverat

LegacyWorkflowEnabledSet

Webbplatsadministratören eller ägaren lägger till innehållstypen SharePoint 2013-arbetsflödesuppgift på webbplatsen. Globala administratörer kan också aktivera arbetsflöden för hela organisationen i administrationscentret för SharePoint.

Office på begäran aktiverat

OfficeOnDemandSet

Webbplatsadministratören aktiverar Office på begäran, vilket gör att användare får åtkomst till den senaste versionen av Office-datorprogram. Office på begäran aktiveras i administrationscentret för SharePoint och kräver en Office 365-prenumeration som omfattar fullständiga, installerade Office-program.

RSS-feeds aktiverade

NewsFeedEnabledSet

Webbplatsadministratören eller ägaren aktiverar RSS-feeds för en webbplats. Globala administratörer kan aktivera RSS-feeds för hela organisationen i administrationscentret för SharePoint.

Webbplatsbehörigheter ändrade

SitePermissionsModified

Webbplatsadministratören eller ägaren (eller systemkontot) ändrar behörighetsnivån som tilldelats till en grupp på en webbplats. Den här aktiviteten loggas även om alla behörigheter tas bort från en grupp.

Obs!: Den här åtgärden är borttagen från SharePoint Online. Om du vill hitta relaterade händelser kan du söka efter andra behörighetsrelaterade aktiviteter, till exempel Administratör för webbplatssamling tillagd, Användare eller grupp tillagd i SharePoint-grupp, Användare tillåten att skapa grupper, Grupp skapades och Grupp borttagen.

Användare eller grupp borttagen från SharePoint-grupp

RemovedFromGroup

Användaren tog bort en medlem eller gäst från en SharePoint-grupp. Det kan ha varit en avsiktlig åtgärd eller resultatet av en annan aktivitet, till exempel att en händelse slutat delas.

Namn på webbplats ändrat

SiteRenamed

Webbplatsadministratören eller ägaren ändrar namn på en webbplats

Behörighet som webbplatsadministratör begärd

SiteAdminChangeRequest

Användaren begär att läggas till som administratör för en webbplatssamling. Administratörer för webbplatssamlingar har fullständig behörighet för webbplatssamlingen och alla underwebbplatser.

Värdwebbplats inställd

HostSiteSet

Den globala administratören ändrar den avsedda webbplatsen till att vara värd för personliga webbplatser eller OneDrive för företag-webbplatser.

Grupp uppdaterad

GroupUpdated

Webbplatsadministratören eller ägaren ändrar en grupps inställningar för en webbplats. Kan till exempel innefatta att ändra gruppens namn, vem som kan visa eller redigera gruppmedlemskapet och hur förfrågningar om medlemskap ska hanteras.

Överst på sidan

Aktiviteter i Exchange-postlåda

I följande tabell visas de aktiviteter som kan loggas av granskningsloggning för postlådor. Postlådeaktiviteter som utförs av postlådans ägare, en delegerad användare eller en administratör loggas. Postlådegranskning i Office 365 är inte aktiverat som standard. Granskningsloggning för postlådor måste aktiveras för varje postlåda innan postlådeaktivitet kan loggas. Mer information finns i Aktivera granskning av postlåda i Office 365.

Visningsnamn

Åtgärd

Beskrivning

Meddelanden till en annan mapp kopierades

Copy

Ett meddelande kopierades till en annan mapp.

Meddelanden skapades eller togs emot

Create

Ett objekt skapas i mappen Kalender, Kontakter, Anteckningar eller Uppgifter i postlådan, till exempel att en ny mötesförfrågan skapas. Observera att skapandet av ett meddelande eller en mapp inte granskas.

Meddelanden togs bort från mappen Borttaget

SoftDelete

Ett meddelande togs bort permanent eller togs bort från mappen Borttaget. Objekten flyttas till mappen Återställningsbara objekt. Meddelanden flyttas till mappen Återställningsbara objekt även när en användare markerar det och trycker på Skift+Delete.

Meddelanden flyttades till en annan mapp

Move

Ett meddelande flyttades till en annan mapp.

Meddelanden flyttades till mappen Borttaget

MoveToDeletedItems

Ett meddelande togs bort och flyttades till mappen Borttaget.

Meddelanden togs bort från postlådan

HardDelete

En meddelande togs bort från mappen Återställningsbara objekt (togs bort permanent från postlådan).

Meddelande skickades med behörigheten Skicka som

SendAs

Ett meddelande skickades med behörigheten Skicka som. Det innebär att en annan användare skickade meddelandet som om det kom från postlådans ägare.

Meddelande skickades med behörigheten Skickat för

SendOnBehalf

Ett meddelande skickades med behörigheten Skickat för. Det innebär att en annan användare skickade meddelandet åt postlådans ägare. Vem meddelandet skickades för och vem som faktiskt skickade meddelandet visas för mottagaren i meddelandet.

Meddelande uppdaterades

Update

Ett meddelande eller dess egenskaper har ändrats.

Användare loggade in i postlåda

MailboxLogin

Användaren loggade in i sin postlåda.

Överst på sidan

Sway-aktiviteter

I följande tabell visas användar- och administratörsaktiviteter i Sway. Sway är ett Office 365-program som hjälper användare att samla, formatera och dela idéer, berättelser och presentationer på en interaktiv, webbaserad arbetsyta. Mer information finns i Vanliga frågor och svar om Sway – hjälp för administratörer.

Visningsnamn

Åtgärd

Beskrivning

Sway-resursnivå ändrades

SwayChangeShareLevel

Användaren ändrar resursnivå för en Sway-yta. Händelsen registrerar när användaren ändrar graden av delning som associeras med en Sway-yta, till exempel offentlig kontra inom organisationen.

Sway skapades

SwayCreate

Användaren skapar en Sway-yta.

Sway togs bort

SwayDelete

Användaren tar bort en Sway-yta.

Sway-duplicering inaktiverades

SwayDisableDuplication

Användaren inaktiverar duplicering av en Sway-yta.

Sway duplicerades

SwayDuplicate

Användaren duplicerar en Sway-yta.

Sway redigerades

SwayEdit

Användaren redigerar en Sway-yta.

Sway-duplicering aktiverades

EnableDuplication

Användaren aktiverar duplicering av en Sway-yta. Möjligheten för en användare att aktivera duplicering av en Sway-yta är aktiverad som standard.

Sway-delning återkallades

SwayRevokeShare

Användaren slutar dela en Sway-yta genom att återkalla åtkomsten till den. Återkallande av åtkomst ändrar länkarna som associeras med en Sway-yta.

Sway delades

SwayShare

Användaren har för avsikt att dela en Sway-yta. Händelsen registrerar användaråtgärden om du klickar på en specifik delningsdestination i delningsmenyn i Sway. Händelsen anger inte om användaren slutförde delningsåtgärden.

Extern delning av Sway inaktiverades

SwayExternalSharingOff

Administratören inaktiverar extern Sway-delning för hela organisationen med hjälp av administrationscentret för Office 365.

Extern delning av Sway aktiverades

SwayExternalSharingOn

Administratören aktiverar extern Sway-delning för hela organisationen med hjälp av administrationscentret för Office 365.

Sway-tjänsten inaktiverades

SwayServiceOff

Administratören inaktiverar Sway för hela organisationen med hjälp av administrationscentret för Office 365.

Sway-tjänsten aktiverades

SwayServiceOn

Administratören aktiverar Sway för hela organisationen med hjälp av administrationscentret för Office 365 (Sway-tjänsten är aktiverad som standard).

Sway visades

SwayView

Användaren visar en Sway-yta.

Överst på sidan

Aktiviteter för användaradministration

I följande tabell visas aktiviteter för användaradministration som loggas när en administratör lägger till eller ändrar ett användarkonto med hjälp av Administrationscenter för Office 365 eller Azure-hanteringsportalen.

Aktivitet

Åtgärd

Beskrivning

Användare tillagd

Lägg till användare

Ett Office 365-användarkonto har skapats.

Användarlicens ändrad

Ändra användarlicens

Licensen som tilldelats en användare har ändrats. Vilka licenser som har ändrats hittar du i motsvarande Användare uppdaterad-aktivitet.

Användarlösenord ändrat

Ändra användarlösenord

Administratören ändrade lösenordet för en användare.

Användare borttagen

Ta bort användare

Ett Office 365-användarkonto har tagits bort.

Återställa användarlösenord

Återställa användarlösenord

Administratören återställer lösenordet för en användare.

Ställa in egenskap som tvingar användaren att ändra lösenord

Ställa in så att användaren tvingas ändra lösenord

Administratören ställde in egenskapen som tvingar en användare att ändra sitt lösenord nästa gång användaren loggar in på Office 365.

Licensegenskaper inställda

Ställa in licensegenskaper

Administratören ändrar egenskaperna för en licens som tilldelats till en användare.

Användare uppdaterad

Uppdatera användare

Administratören ändrar en eller flera egenskaper för ett användarkonto. En lista över användaregenskaper som kan uppdateras finns i avsnittet "Uppdatera användarattribut" i Azure Active Directory-granskningsrapporthändelser.

Överst på sidan

Azure AD-aktiviteter för gruppadministration

I följande tabell visas aktiviteter för gruppadministration som loggas när en administratör eller en användare skapar eller ändrar en Office 365-grupp eller när en administratör skapar en säkerhetsgrupp med hjälp av Administrationscenter för Office 365 eller Azure-hanteringsportalen. Mer information om grupper i Office 365 finns i Visa, skapa och ta bort grupper i administrationscentret för Office 365.

Visningsnamn

Åtgärd

Beskrivning

Grupp tillagd

Lägg till grupp

En grupp har skapats.

Medlem tillagd i grupp

Lägg till medlem i grupp

En medlem har lagts till i en grupp.

Grupp borttagen

Ta bort grupp

En grupp har tagits bort.

Medlem borttagen från grupp

Ta bort medlem från grupp

En medlem har tagits bort från en grupp.

Grupp uppdaterad

Uppdatera grupp

En egenskap för en grupp har ändrats.

Överst på sidan

Aktiviteter för programadministration

I följande tabell visas aktiviteter för programadministration som loggas när en administratör lägger till eller ändrar ett program som är registrerat i Azure AD. Ett program som använder Azure AD för autentisering måste registreras i katalogen.

Visningsnamn

Åtgärd

Beskrivning

Delegeringspost tillagd

Lägg till delegeringspost

En autentiseringsbehörighet har skapats/beviljats för ett program i Azure AD.

Tjänstens huvudnamn tillagt

Lägg till tjänstens huvudnamn

Ett program har registrerats i Azure AD. Ett program representeras av en tjänsts huvudnamn i katalogen.

Autentiseringsuppgifter tillagda i en tjänsts huvudnamn

Lägg till autentiseringsuppgifter i tjänstens huvudnamn

Autentiseringsuppgifter har lagts till i en tjänsts huvudnamn i Azure AD. En tjänsts huvudnamn representerar ett program i katalogen.

Delegeringspost borttagen

Ta bort delegeringspost

En autentiseringsbehörighet har tagits bort från ett program i Azure AD.

Tjänsts huvudnamn borttaget från katalogen

Ta bort tjänstens huvudnamn

Ett program har tagits bort/avregistrerats från Azure AD. Ett program representeras av en tjänsts huvudnamn i katalogen.

Autentiseringsuppgifter borttagna från en tjänsts huvudnamn

Ta bort autentiseringsuppgifter från tjänstens huvudnamn

Autentiseringsuppgifter har tagits bort från en tjänsts huvudnamn i Azure AD. En tjänsts huvudnamn representerar ett program i katalogen.

Delegeringspost tillagd

Lägg till delegeringspost

En autentiseringsbehörighet har uppdaterats för ett program i Azure AD.

Överst på sidan

Aktiviteter för rolladministration

I följande tabell visas aktiviteter för rolladministration i Azure AD som loggas när en administratör hanterar administratörsroller i Administrationscenter för Office 365 eller Azure-hanteringsportalen.

Visningsnamn

Åtgärd

Beskrivning

Medlem tillagd i roll

Lägg till rollmedlem i roll

Lade till en användare till en administratörsroll i Office 365.

Användare borttagen från en katalogroll

Ta bort rollmedlem från roll

Tog bort en användare från en administratörsroll i Office 365.

Kontaktinformation för företag angiven

Ange kontaktinformation för företag

Uppdaterade kontaktinställningar på företagsnivå för Office 365-organisationen. Det omfattar e-postadresser för prenumerationsrelaterad e-post som skickas via Office 365, samt tekniska aviseringar om Office 365-tjänster.

Överst på sidan

Aktiviteter för katalogadministration

I följande tabell visas katalog- och domänrelaterade aktiviteter i Azure AD som loggas när en administratör hanterar sin Office 365-organisation i Administrationscenter för Office 365 eller i Azure-hanteringsportalen.

Visningsnamn

Åtgärd

Beskrivning

Domän tillagd i företag

Lägg till domän i företag

Lade till en domän i Office 365-organisationen.

Partner tillagd i katalogen

Lägg till partner i företag

Lade till en partner (delegerad administratör) i Office 365-organisationen.

Domän borttagen från företag

Ta bort domän från företag

Tog bort en domän från Office 365-organisationen.

Partner borttagen från katalogen

Ta bort partner från företag

Tog bort en partner (delegerad administratör) från Office 365-organisationen.

Företagsinformation angiven

Ange företagsinformation

Uppdaterade företagsinformationen för Office 365-organisationen. Det omfattar e-postadresser för prenumerationsrelaterad e-post som skickas via Office 365, samt tekniska aviseringar om Office 365-tjänster.

Domänautentisering inställd

Ställ in domänautentisering

Ändrade inställningen för domänautentisering för Office 365-organisationen.

Federationsinställningarna för en domän uppdaterade

Ställ in federationsinställningar för domän

Ändrade federationsinställningarna (extern delning) för Office 365-organisationen.

Lösenordsprincip inställd

Ställ in lösenordsprincip

Ändrade längd- och teckenbegränsningar för användarlösenord i Office 365-organisationen.

Azure AD-synkronisering aktiverad

Ställ in DirSyncEnabled-flagga för företag

Ställde in egenskapen som aktiverar en katalog för Azure AD-synkronisering.

Domän uppdaterad

Uppdatera domän

Uppdaterade inställningarna för en domän i Office 365-organisationen.

Domän verifierad

Verifiera domän

Verifierade att organisationen är ägare till en domän.

E-postverifierad domän verifierad

Verifiera e-postverifierad domän

Använde e-postverifiering för att verifiera att organisationen är ägare till en domän.

Överst på sidan

eDiscovery-aktiviteter

Aktiviteter för innehållssökning och eDiscovery-relaterade aktiviteter som utförs i Office 365 – säkerhets- och efterlevnadscenter eller genom att köra motsvarande Windows PowerShell-cmdlets som loggas i Office 365-granskningsloggen. Det inkluderar följande aktiviteter:

  • Skapa och hantera eDiscovery-ärenden

  • Skapa, starta och redigera innehållssökning

  • Utföra innehållssökningsåtgärder, till exempel att förhandsgranska, exportera och ta bort sökresultat

  • Konfigurera behörighetsfiltrering för innehållssökning

  • Hantera eDiscovery-administratörsrollen

En lista med och en detaljerad beskrivning av eDiscovery-aktiviteterna som loggas finns i Söka efter eDiscovery-aktiviteter i Office 365-granskningsloggen.

Överst på sidan

Power BI-aktiviteter

I följande tabell finns användar- och administratörsaktiviteter i Power BI som loggas i Office 365-granskningsloggen.

Visningsnamn

Åtgärd

Beskrivning

Power BI-gruppmedlemmar tillagda

AddGroupMembers

En medlem läggs till i en Power BI-arbetsyta för grupper.

Analyserad Power BI-datauppsättning

AnalyzedByExternalApplication

En datauppsättning analyseras av ett externt program.

Power BI-instrumentpanel skapad

CreateDashboard

En ny instrumentpanel skapas.

Power BI-grupp skapad

CreateGroup

En grupp skapas.

Power BI-innehållspaket för organisationen skapat

CreateOrgApp

Ett innehållspaket för organisationen skapas.

Power BI-instrumentpanel borttagen

DeleteDashboard

En instrumentpanel tas bort.

Power BI-datauppsättningar borttagna

DeleteDataset

En datauppsättning tas bort.

Power BI-rapport borttagen

DeleteReport

En rapport tas bort.

Laddade ner Power BI-rapport

DownloadReport

En användare laddar ned en Power BI-rapport från tjänsten till sin dator.

Power BI-instrumentpanel redigerad

EditDashboard

En instrumentpanel får nytt namn.

Power BI-rapport med visuella data exporterad

ExportReport

Data exporteras från en rapportpanel.

Power BI-paneldata exporterade

ExportTile

Data exporteras från en panel på instrumentpanelen.

Power BI-instrumentpanel utskriven

PrintDashboard

En instrumentpanel skrivs ut.

Power BI-rapportsida utskriven

PrintReport

En rapport skrivs ut.

Power BI-rapport publicerad på webben

PublishToWebReport

En rapport publiceras på webben.

Power BI-instrumentpanel delad

ShareDashboard

En instrumentpanel delas.

Startade utvärdering av Power BI

OptInForProTrial

En användare påbörjar en utvärderingsprenumeration för Power BI Pro.

Uppdaterade organisationens Power BI-inställningar

UpdatedAdminFeatureSwitch

En administratör har ändrat en organisationsinställning i administrationsportalen för Power BI.

Power BI-instrumentpanel visad

ViewDashboard

En instrumentpanel visas.

Power BI-rapport visad

ViewReport

En rapport visas.

Överst på sidan

Microsoft Teams-aktiviteter

I följande tabell finns användar- och administratörsaktiviteter i Microsoft Teams som loggas i Office 365-granskningsloggen. Microsoft Teams är en chattcentrerad arbetsyta i Office 365. Här samlas ett teams konversationer, möten, filer och anteckningar på en enda plats. Mer information och länkar till hjälpavsnitt finns i:

Visningsnamn

Åtgärd

Beskrivning

Lagt till robot i gruppen ett team

BotAddedToTeam

En användare lägger till en robot till ett team.

Tillagd kanal

ChannelAdded

En användare lägger till en kanal till ett team.

Lagt till koppling

ConnectorAdded

En användare lägger till en koppling till en kanal.

Tillagd flik

TabAdded

En användare lägger till en flik till ett team.

Ändrade inställning (äldre)

SettingChanged

SettingChanged-åtgärden utgår inom kort. Den här åtgärden loggades när inställningar för kanal, organisation och team ändrades.

Använd aktiviteterna Ändrade kanalinställning, Ändrade organisationsinställning och Ändrade teaminställning till att söka efter händelser som loggades när du sökte i granskningsloggen efter åtgärden SettingChanged.

Ändrade kanalinställning

ChannelSettingChanged

Åtgärden ChannelSettingChanged loggas när följande aktiviteter utförs av en teammedlem. För var och en av de här aktiviteterna visas en beskrivning av den inställning som har ändrats (visas inom parentes nedan) i kolumnen för objekt i granskningsloggens sökresultat.

  • Ändrar namnet på en teamkanal (kanalnamn).

  • Ändrar beskrivningen av en teamkanal (kanalbeskrivning).

Ändrade organisationsinställning

OrganizationSettingChanged

Åtgärden OrganizationSettingChanged loggas när följande aktiviteter utförs av en global administratör (med hjälp avAdministrationscenter för Office 365). Observera att dessa aktiviteter påverkar Microsoft Teams-inställningarna för hela organisationen. Mer information finns i Administratörsinställningar för Microsoft Teams.

En beskrivning av inställningen som har ändrats visas för varje aktivitet (inom parentes nedan) i kolumnen för objekt i granskningsloggens sökresultat.

  • Aktiverar eller inaktiverar Microsoft Teams för organisationen (Microsoft Teams).

  • Aktiverar eller inaktiverar kompatibilitet mellan Microsoft Teams och Skype för företag för organisationen (Skype för företag-samverkan).

  • Aktiverar eller inaktiverar vyn Organisationsschema i Microsoft Teams-klienter (vyn Organisationsschema).

  • Aktiverar eller inaktiverar möjligheten för teammedlemmarna att schemalägga privata möten (Schemaläggning av privata möten).

  • Aktiverar eller inaktiverar möjligheten för teammedlemmarna att schemalägga kanalmöten (Schemaläggning av kanalmöten).

  • Aktiverar eller inaktiverar videosamtal i Teams-möten (Video för Skype-möten).

  • Aktiverar eller inaktiverar skärmdelning i Microsoft Teams-organisationsmöten (Skärmdelning för Skype-möten).

  • Aktiverar eller inaktiverar möjligheten att lägga till animerade bilder (så kallade Giphys) till Teams-konversationer (animerade bilder).

  • Ändrar inställningen för innehållsklassificering för organisationen (innehållsklassificering).

    Innehållsklassificeringen begränsar vilken typ av animerade bilder som kan visas i konversationer.

  • Aktiverar eller inaktiverar möjligheten för teammedlemmar att lägga till anpassningsbara bilder (kallas anpassade memes) från Internet i teamkonversationer (anpassningsbara bilder från Internet).

  • Aktiverar eller inaktiverar möjligheten för teammedlemmar att lägga till redigerbara bilder (kallas etiketter) till grupp konversationer (redigerbara bilder).

  • Aktiverar eller inaktiverar möjligheten för teammedlemmar att använda robotar i Microsoft Teams chattar och kanaler (organisationsomfattande robotar).

  • Aktiverar specifika robotar för Microsoft Teams. Detta innefattar inte T-Bot, som är Teams hjälprobot och som är tillgänglig när robotar är aktiverade för organisationen (enskilda bots).

  • Aktiverar eller inaktiverar möjligheten för gruppmedlemmar att lägga till tillägg eller tabbar (tillägg eller tabbar).

  • Aktiverar eller inaktiverar separat inläsning av tillverkarspecifika robotar för Microsoft Teams (separat inläsning av robotar).

  • Aktiverar eller inaktiverar möjligheten för användare att skicka e-postmeddelanden till en Microsoft Teams-kanal (e-post för kanal).

Ändrade teaminställning

TeamSettingChanged

Åtgärden TeamSettingChanged loggas när följande aktiviteter utförs av en teamadministratör. För var och en av de här aktiviteterna visas en beskrivning av den inställning som har ändrats (visas inom parentes nedan) i kolumnen för objekt i granskningsloggens sökresultat.

  • Ändrar åtkomsttyp för ett team. Team kan ställas in som privata eller offentliga (teamåtkomsttyp).

    När ett team är privat (standardinställningen) kan användarna bara få åtkomst till teamet genom att bli inbjudna. När ett team är offentligt kan det hittas av alla.

  • Ändrar klassificeringsinformation för ett team (teamklassificering).

    Teamdata kan till exempel klassificeras som HBI-data (High Business Impact), MBI-data (Medium Business Impact) och LBI-data (Low Business Impact).

  • Byter namn på ett team (teamnamn).

  • Ändrar beskrivningen av teamet (teambeskrivning).

Skapat team

TeamCreated

En användare skapar ett nytt team.

Borttagen kanal

ChannelDeleted

En användare tar bort en kanal från ett team.

Borttaget team

TeamDeleted 

En teamadministratör tar bort ett team.

Tagit bort robot från ett team

BotRemovedFromTeam

En användare tar bort en robot från ett team.

Kopplingen borttagen

ConnectorRemoved

En användare tar bort kopplingen från en kanal.

Fliken borttagen

TabRemoved

En användare tar bort fliken från en kanal.

En användare loggade in på Teams

TeamsSessionStarted

En användare loggar in på en Microsoft Teams-klient.

Överst på sidan

Yammer-aktiviteter

I följande tabell finns användar- och administratörsaktiviteter i Yammer som loggas i Office 365-granskningsloggen. Om du vill returnera Yammer-relaterade aktiviteter från Office 365-granskningsloggen måste du markera Visa resultat för alla aktiviteter i listan Aktiviteter. Använd rutorna för datumintervall och listan Användare för att begränsa sökresultaten.

Visningsnamn

Åtgärd

Beskrivning

Policy för datalagring ändrad

SoftDeleteSettingsUpdated

En verifierad administratör uppdaterar nätverkets policyinställning för datalagring till antingen Permanent borttagning eller Mjuk borttagning. Endast verifierade administratörer kan utföra den här åtgärden.

Nätverkskonfiguration ändrad

NetworkConfigurationUpdated

En nätverksadministratör och verifierad administratör ändrar på nätverkskonfiguration för Yammer. Det omfattar bland annat inställningar för dataexportsintervall och chattaktivering.

Nätverksprofilsinställningar ändrade

ProcessProfileFields

Nätverksadministratörer eller verifierade administratörer ändrar informationen som visas i medlemsprofiler för nätverksanvändare.

Läge för privat innehåll ändrat

SupervisorAdminToggled

En verifierad administratör aktiverar eller inaktiverar läget för privat innehåll. I detta läge kan administratörer läsa inlägg i privata grupper och se privata meddelanden mellan enskilda användare (eller grupper av användare). Endast verifierade administratörer kan utföra den här åtgärden.

Säkerhetskonfiguration ändrad

NetworkSecurityConfigurationUpdated

En verifierad administratör uppdaterar säkerhetskonfigurationen för Yammer-nätverket. Det omfattar även policyer för lösenords giltighetstid och begränsningar för IP-adresser. Endast verifierade administratörer kan utföra den här åtgärden.

Fil skapad

FileCreated

En användare överför en fil.

Grupp skapad

GroupCreation

En användare skapar en ny grupp.

Grupp borttagen

GroupDeletion

En grupp tas bort från Yammer.

Meddelande borttaget

MessageDeleted

En användare tar bort ett meddelande.

Hämtad fil

FileDownloaded

En användare hämtar en fil.

Data exporterade

DataExport

Verifierad administratör exporterar Yammer-nätverksdata. Endast verifierade administratörer kan utföra den här åtgärden.

Fil delad

FileShared

En användare delar en fil med en annan användare.

Nätverksanvändare avstängd

NetworkUserSuspended

En nätverksadministratör och verifierad administratör stänger av (inaktiverar) en användare från Yammer.

Användare inaktiverad

UserSuspension

Ett användarkonto har stängts av (inaktiverats).

Filbeskrivning uppdaterad

FileUpdateDescription

En användare ändrar filbeskrivningen.

Filnamn uppdaterat

FileUpdateName

En användare ändrar namnet på en fil.

Fil visad

FileVisited

En användare visar en fil.

Överst på sidan

Granskningslogg för Exchange-administratör

Granskningsloggning för Exchange-administratör – som är aktiverat som standard i Office 365 – loggar en händelse i Office 365-granskningsloggen när en administratör (eller en användare som har tilldelats administratörsbehörighet) gör en ändring i Exchange Online-organisationen. Ändringar som gjorts med hjälp av administrationscentret för Exchange eller genom att köra en cmdlet i Windows PowerShell loggas i granskningsloggen för Exchange-administratören. Mer detaljerad information om administratörens granskningsloggning i Exchange finns i Granskningsloggning för administratörer. Här är några tips om hur du söker efter aktivitet i granskningsloggen för Exchange-administratören:

  • Om du vill returnera poster från granskningsloggen för Exchange-administratören måste du markera Visa resultat för alla aktiviteter i listan Aktiviteter. Använd rutorna för datumintervall och listan Användare för att begränsa sökresultaten för cmdlets som körs av en viss Exchange-administratör inom ett visst datumintervall.

  • Om du vill visa händelser från granskningsloggen för Exchange-administratör filtrerar du sökresultatet och skriver (tankstreck) i filterrutan Aktivitet. Då visas cmdlet-namn som visas i kolumnen Aktivitet för Exchange-administratörshändelser. Du kan sedan sortera cmdlet-namnen i alfabetisk ordning.

    Skriv ett streck i rutan Aktiviteter om du vill filtrera administratörshändelser för Exchange
  • Om du vill ha information om vilken cmdlet som körts, vilka parametrar och parametervärden som använts och vilka objekt som påverkats måste du exportera sökresultatet och välja alternativet Ladda ned alla resultat.

Överst på sidan

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Office Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×