บันทึกการตรวจสอบคุณสมบัติโดยละเอียดใน Office 365

สิ่งสำคัญ:  บทความนี้เป็นการแปลด้วยเครื่อง โปรดดู ข้อจำกัดความรับผิดชอบ โปรดดูบทความฉบับภาษาอังกฤษ ที่นี่ เพื่อใช้อ้างอิง

เมื่อคุณส่งออกผลลัพธ์ของการค้นหาไฟล์บันทึกการตรวจสอบจากศูนย์การรักษาความปลอดภัยและการปฏิบัติตามนโยบายของ Office 365 คุณมีตัวเลือกในการดาวน์โหลดผลลัพธ์ทั้งหมดที่ตรงกับเกณฑ์การค้นหา คุณทำเช่นนี้ ด้วยการเลือกส่งออกผลลัพธ์ >ดาวน์โหลดผลลัพธ์ทั้งหมด บนหน้าการค้นหาบันทึกการตรวจสอบ ในศูนย์การรักษาความปลอดภัยและการปฏิบัติตามนโยบาย สำหรับข้อมูลเพิ่มเติม ดูที่การตรวจสอบการเข้าสู่ระบบใน Office 365 ทรัพย์และปฏิบัติตามกฎระเบียบศูนย์การค้นหา

เมื่อทำการส่งออกทั้งหมดสำหรับการค้นหาไฟล์บันทึกการตรวจสอบ ข้อมูลดิบจากบันทึกการตรวจสอบแบบรวมOffice 365 ถูกคัดลอกไปยังไฟล์ (CSV) ค่าที่คั่นด้วยจุลภาคนี้ถูกดาวน์โหลดมายังคอมพิวเตอร์ของคุณ ไฟล์นี้ประกอบด้วยข้อมูลเพิ่มเติมจากรายการตรวจสอบแฟ้มบันทึกในคอลัมน์ชื่อรายละเอียด คอลัมน์นี้ประกอบด้วยคุณสมบัติมีหลายค่าสำหรับคุณสมบัติหลายจากระเบียนไฟล์บันทึกการตรวจสอบ แต่ละคู่property:valueในคุณสมบัติแบบหลายค่านี้จะถูกคั่น ด้วยเครื่องหมายจุลภาค

ตารางต่อไปนี้อธิบายถึงคุณสมบัติที่มีอยู่นั่นคือโดยขึ้นอยู่กับบริการOffice 365 เหตุการณ์เกิดขึ้นทั้งในคอลัมน์รายละเอียด คุณสมบัติที่มีหลาย คอลัมน์ที่มีคุณสมบัตินี้บริการOffice 365   บ่งชี้บริการและชนิดของกิจกรรม (ผู้ใช้หรือผู้ดูแลระบบ) ที่มีคุณสมบัติ สำหรับข้อมูลเพิ่มเติม เกี่ยวกับคุณสมบัติเหล่านี้ หรือคุณสมบัติที่อาจไม่ได้แสดงไว้ในหัวข้อนี้ ดูOffice 365 จัดการกิจกรรม API Schema

เคล็ดลับ: คุณสามารถใช้ Power Query ใน Excel เพื่อแยกคอลัมน์นี้เป็นหลายคอลัมน์เพื่อให้แต่ละคุณสมบัติจะมีคอลัมน์ของตัวเอง ซึ่งจะให้คุณสามารถเรียงลำดับและกรองอย่างน้อยหนึ่งคุณสมบัติเหล่านี้ เมื่อต้องการเรียนรู้วิธีการทำเช่นนี้ ดูส่วน "แบ่งคอลัมน์ตามตัวคั่น" ในการแยกคอลัมน์ของข้อความ (Power Query)

คุณสมบัติ

คำอธิบาย

บริการOffice 365 ที่มีคุณสมบัตินี้

นัก

บัญชีผู้ใช้ผู้ใช้หรือบริการที่ดำเนินการกระทำ

Azure Active Directory

AzureActiveDirectoryEventType

ชนิดของเหตุการณ์Azure Active Directory ค่าต่อไปนี้ระบุชนิดของเหตุการณ์

0   หมายถึงเหตุการณ์เข้าสู่ระบบบัญชีผู้ใช้

1   ระบุเหตุการณ์Azure แอปพลิเคชันด้านความปลอดภัย

Azure Active Directory

ChannelGuid

ID ของช่องทีม Microsoft ทีมที่ช่องที่อยู่ในจะถูกระบุ ด้วยคุณสมบัติTeamNameและTeamGuid

ทีม Microsoft

ChannelName

ชื่อของช่องทีม Microsoft ทีมที่ช่องที่อยู่ในจะถูกระบุ ด้วยคุณสมบัติTeamNameและTeamGuid

ทีม Microsoft

ไคลเอ็นต์

ไคลเอ็นต์อุปกรณ์ อุปกรณ์ OS และเบราว์เซอร์อุปกรณ์ที่ใช้สำหรับการเข้าสู่ระบบเหตุการณ์ (ตัวอย่างเช่น Nokia Lumnia 920 Windows Phone 8 IE Mobile 11)

Azure Active Directory

ClientInfoString

ข้อมูลเกี่ยวกับไคลเอ็นต์อีเมลที่ถูกใช้เพื่อดำเนินการ เช่นแบบเวอร์ชันของเบราว์เซอร์ เวอร์ชัน Outlook และข้อมูลเกี่ยวกับอุปกรณ์เคลื่อนที่

Exchange (กล่องจดหมายของกิจกรรม)

ClientIP

อยู่ IP ของอุปกรณ์ที่ถูกใช้เมื่อล็อกกิจกรรม อยู่ IP จะแสดงในรูปแบบที่อยู่การ IPv4 หรือ IPv6

Exchange และAzure Active Directory

ClientIPAddress

เช่นเดียวกับ ClientIP

SharePoint

CreationTime

วันและเวลาในเวลามาตรฐานสากล (UTC) เมื่อผู้ใช้ทำกิจกรรม

ทั้งหมด

DestinationFileExtension

นามสกุลไฟล์ของไฟล์ที่ถูกคัดลอก หรือย้าย คุณสมบัตินี้จะแสดงเฉพาะสำหรับกิจกรรมที่ผู้ใช้ FileCopied และ FileMoved

SharePoint

DestinationFileName

ชื่อของไฟล์ถูกคัดลอก หรือย้าย คุณสมบัตินี้จะแสดงเฉพาะสำหรับแอคชัน FileCopied และ FileMoved

SharePoint

DestinationRelativeUrl

URL ของโฟลเดอร์ปลายทางที่ถูกคัดลอก หรือย้ายไฟล์ ชุดของค่าสำหรับSiteURL, DestinationRelativeURLและคุณสมบัติDestinationFileNameจะเหมือนกับเป็นค่าสำหรับObjectIDคุณสมบัติ ซึ่งเป็นชื่อเส้นทางแบบเต็มสำหรับไฟล์ที่ถูกคัดลอก คุณสมบัตินี้จะแสดงเฉพาะสำหรับกิจกรรมที่ผู้ใช้ FileCopied และ FileMoved

SharePoint

EventSource

ระบุว่า เกิดเหตุการณ์ในSharePoint ค่าที่เป็นไปได้คือSharePoint และObjectModel

SharePoint

ExternalAccess

สำหรับกิจกรรมผู้ดูแลระบบExchange ระบุว่า cmdlet ถูกเรียกใช้ โดยผู้ใช้ในองค์กรของคุณ โดยบุคลากร datacenter Microsoft หรือบัญชีผู้ใช้บริการ datacenter หรือผู้ดูแลที่ได้รับมอบสิทธิ์หรือไม่ ค่าFalse หมายความว่า มีการเรียกใช้ cmdlet โดยบุคคลในองค์กรของคุณ ค่าTrue ระบุว่า มีการเรียกใช้ cmdlet โดยบุคลากร datacenter บัญชีผู้ใช้บริการ datacenter หรือผู้ดูแลที่ได้รับมอบสิทธิ์

สำหรับกิจกรรมกล่องจดหมายของExchange ระบุว่า มีการเข้าถึงกล่องจดหมายของ โดยผู้ใช้ภายนอกองค์กรของคุณหรือไม่

Exchange

ExtendedProperties

คุณสมบัติเพิ่มเติมสำหรับแอเหตุการณ์Azure Active Directory

Azure Active Directory

ID

ID ของรายการในรายงาน ID จะระบุรายการรายงาน

ทั้งหมด

InternalLogonType

สำรองไว้สำหรับการใช้งานภายใน

Exchange (กล่องจดหมายของกิจกรรม)

ItemType

ชนิดของวัตถุที่มีการเข้าถึง หรือปรับเปลี่ยน ค่าที่เป็นไปได้รวมไฟล์โฟลเดอร์Webไซต์ผู้เช่า และDocumentLibrary

SharePoint

LoginStatus

ระบุความล้มเหลวในการเข้าสู่ระบบที่อาจเกิดขึ้น

Azure Active Directory

LogonType

ชนิดของการเข้าถึงกล่องจดหมาย ค่าต่อไปนี้ระบุชนิดของผู้ใช้ที่เข้าถึงกล่องจดหมาย

0   หมายถึงเป็นเจ้าของกล่องจดหมาย

1   ระบุผู้ดูแลระบบ

2   ระบุผู้รับมอบสิทธิ์

3   บ่งชี้บริการขนส่งใน Microsoft datacenter

4   ระบุบัญชีผู้ใช้บริการใน Microsoft datacenter

6   ระบุผู้ดูแลที่ได้รับมอบสิทธิ์

Exchange (กล่องจดหมายของกิจกรรม)

MailboxGuid

การExchange GUID ของกล่องจดหมายที่มีการเข้าถึง

Exchange (กล่องจดหมายของกิจกรรม)

MailboxOwnerUPN

อยู่อีเมลของบุคคลที่เป็นเจ้าของกล่องจดหมายที่มีการเข้าถึง

Exchange (กล่องจดหมายของกิจกรรม)

ModifiedProperties (ชื่อ ค่าใหม่ เดิม)

คุณสมบัตินี้จะรวมอยู่สำหรับเหตุการณ์ต่าง ๆ ของผู้ดูแลระบบ เช่นการเพิ่มผู้ใช้เป็นสมาชิกของกลุ่มผู้ดูแลไซต์คอลเลกชันหรือไซต์ คุณสมบัติมีชื่อของคุณสมบัติที่มีการปรับเปลี่ยน (ตัวอย่าง กลุ่มผู้ดูแลไซต์) ค่าใหม่ของคุณสมบัติมีการปรับเปลี่ยน (เช่นผู้ใช้ที่ถูกเพิ่มเป็นผู้ดูแลไซต์คอ และค่าก่อนหน้าของวัตถุมีการปรับเปลี่ยน

กิจกรรมทั้งหมด (ผู้ดูแลระบบ)

ObjectID

สำหรับExchange ผู้ดูแลระบบตรวจสอบบันทึก ชื่อของวัตถุ ที่ถูกปรับเปลี่ยน โดย cmdlet

สำหรับกิจกรรมSharePoint ชื่อเส้นทาง URL แบบเต็มของไฟล์หรือโฟลเดอร์ที่เข้าถึงได้ โดยผู้ใช้

สำหรับกิจกรรมAzure AD ชื่อของบัญชีผู้ใช้ที่มีการปรับเปลี่ยน

ทั้งหมด

การดำเนินการ

ชื่อของผู้ใช้หรือผู้ดูแลระบบกิจกรรม ค่าของคุณสมบัตินี้ตรงกับค่าที่ถูกเลือกไว้ในกิจกรรม รายการแบบหล่นลง ถ้ามีเลือกแสดงผลสำหรับกิจกรรมทั้งหมด รายงานจะรวมรายการสำหรับกิจกรรมของผู้ใช้และผู้ดูแลระบบทั้งหมดสำหรับบริการทั้งหมด สำหรับคำอธิบายของการดำเนินงาน/กิจกรรมที่ถูกบันทึกไว้ในOffice 365 บันทึกการตรวจสอบ เห็นแท็บAudited กิจกรรมในตัวตรวจสอบเข้าสู่ระบบใน Office 365 ทรัพย์และปฏิบัติตามกฎระเบียบศูนย์การค้นหา

สำหรับกิจกรรมผู้ดูแลระบบExchange คุณสมบัตินี้ให้ระบุชื่อของ cmdlet ที่ถูกเรียกใช้

ทั้งหมด

OrganizationID

GUID สำหรับองค์กรของคุณOffice 365

ทั้งหมด

เส้นทาง

ชื่อของโฟลเดอร์กล่องจดหมายที่ข้อความที่เข้าถึงอยู่ คุณสมบัตินี้ยังระบุโฟลเดอร์เป็นตำแหน่งข้อความถูกสร้างใน หรือคัดลอก/ถูกย้ายไป

Exchange (กล่องจดหมายของกิจกรรม)

พารามิเตอร์

สำหรับกิจกรรมผู้ดูแลระบบExchange ชื่อ และค่าสำหรับพารามิเตอร์ทั้งหมด ที่ถูกใช้กับ cmdlet ที่ระบุไว้ในคุณสมบัติการดำเนินการ

Exchange (ผู้ดูแลระบบกิจกรรม)

RecordType

ชนิดของการดำเนินการที่ระบุ โดยระเบียน ค่าต่อไปนี้ระบุชนิดของระเบียน

ระบุ1   ระเบียนจากบันทึกการตรวจสอบExchange ผู้ดูแลระบบ

ระบุ2   ระเบียนจากกล่องจดหมายของExchange ตรวจสอบแฟ้มบันทึกสำหรับการดำเนินการกระทำบนรายการกล่องจดหมายของ singled

3   บ่งชี้ระเบียนจากบันทึกการตรวจสอบExchange กล่องจดหมายหรือไม่ ชนิดระเบียนนี้ระบุดำเนินการบนหลายรายการในกล่องจดหมายของแหล่งข้อมูล (เช่นการย้ายหลายรายการไปยังโฟลเดอร์รายการที่ถูกลบ หรือหลายรายการที่ถูกลบอย่างถาวร)

4   บ่งชี้การดำเนินการดูแลไซต์ในSharePoint เช่นผู้ดูแลหรือผู้ใช้กำหนดสิทธิ์ให้กับไซต์

6   บ่งชี้ไฟล์หรือโฟลเดอร์ที่เกี่ยวข้องกับการดำเนินการในSharePoint เช่นผู้ดู หรือปรับเปลี่ยนไฟล์

ระบุ8   ผู้ดูแลระบบดำเนินการในAzure Active Directory

เหตุการณ์ต่าง ๆ เข้าสู่ระบบระบุ OrgId 9   ในAzure Active Directory ชนิดระเบียนนี้จะถูกสนับสนุน

10   บ่งชี้เหตุการณ์ cmdlet ของหลักทรัพย์ที่มีดำเนินการ โดยบุคลากร Microsoft ในศูนย์ข้อมูล

11   บ่งชี้ข้อมูลสูญหาย (DLP) การป้องกันเหตุการณ์ต่าง ๆ ในSharePoint

12   บ่งชี้Sway เหตุการณ์

14   บ่งชี้เหตุการณ์ต่าง ๆ ที่ใช้ร่วมกันในSharePoint

เหตุการณ์ต่าง ๆ เข้าสู่ระบบระบุ Secure โทเค็น Service (STS) 15   ในAzure Active Directory

18   บ่งชี้ศูนย์การรักษาความปลอดภัยและการปฏิบัติตามนโยบาย เหตุการณ์

20   บ่งชี้เหตุการณ์ Power BI

22   บ่งชี้Yammer เหตุการณ์

25, 26 หรือ 27      ระบุทีม Microsoft เหตุการณ์

ทั้งหมด

ResultStatus

ระบุว่า การดำเนินการ (ที่ระบุไว้ในคุณสมบัติการดำเนินการ ) ประสบความสำเร็จ หรือไม่

สำหรับกิจกรรมผู้ดูแลระบบExchange ค่าเป็นTrue (ประสบความสำเร็จ) หรือFalse (ล้มเหลว)

ทั้งหมด

SecurityComplianceCenterEventType

ระบุว่า กิจกรรมถูกเหตุการณ์ที่ศูนย์การรักษาความปลอดภัยและการปฏิบัติตามนโยบาย กิจกรรมศูนย์การรักษาความปลอดภัยและการปฏิบัติตามนโยบาย ทั้งหมดจะมีค่าเป็น0สำหรับคุณสมบัตินี้

ศูนย์การรักษาความปลอดภัยและการปฏิบัติตามนโยบายของ Office 365

SharingType

ชนิดของสิทธิ์การแชร์ที่ถูกกำหนดให้กับผู้ใช้ที่ทรัพยากรถูกแชร์กับ ผู้ใช้นี้จะระบุในคุณสมบัติUserSharedWith

SharePoint

ไซต์

GUID ของไซต์ไฟล์หรือโฟลเดอร์ที่เข้าถึงได้ โดยผู้ใช้ที่อยู่ที่ใด

SharePoint

SiteUrl

URL ของไซต์ไฟล์หรือโฟลเดอร์ที่เข้าถึงได้ โดยผู้ใช้ที่อยู่ที่ใด

SharePoint

SourceFileExtension

นามสกุลไฟล์ของไฟล์ที่มีการเข้าถึงได้ โดยผู้ใช้ คุณสมบัตินี้เป็นค่าว่างถ้าวัตถุที่มีการเข้าถึง โฟลเดอร์

SharePoint

SourceFileName

ชื่อของไฟล์หรือโฟลเดอร์ที่เข้าถึงได้ โดยผู้ใช้

SharePoint

SourceRelativeUrl

URL ของโฟลเดอร์ที่ประกอบด้วยไฟล์เข้าถึงได้ โดยผู้ใช้ ชุดของค่าสำหรับSiteURL, SourceRelativeURLและคุณสมบัติSourceFileNameจะเหมือนกับเป็นค่าสำหรับObjectIDคุณสมบัติ ซึ่งเป็นชื่อเส้นทางแบบเต็มสำหรับไฟล์เข้าถึงได้ โดยผู้ใช้

SharePoint

Subject

บรรทัดเรื่องของข้อความที่มีการเข้าถึงได้

Exchange (กล่องจดหมายของกิจกรรม)

เป้าหมาย

ผู้ใช้ (ที่ระบุไว้ในคุณสมบัติOperation ) ถูกดำเนินการบน

Azure Active Directory

TeamGuid

ID ของทีมในทีม Microsoft

ทีม Microsoft

TeamName

ชื่อของทีมในทีม Microsoft

ทีม Microsoft

UserAgent

ข้อมูลเกี่ยวกับเบราว์เซอร์ของผู้ใช้ ข้อมูลนี้ได้มาจากเบราว์เซอร์

SharePoint

UserDomain

ข้อมูลประจำตัวขององค์กรผู้เช่าของผู้ใช้ (นัก) ที่ดำเนินการกระทำนั้น

Azure Active Directory

UserID

ผู้ใช้ที่ดำเนินการกระทำ (ที่ระบุไว้ในคุณสมบัติOperation ) ซึ่งส่งผลกับระเบียนที่ถูกล็อก โปรดสังเกตว่า ระเบียนสำหรับกิจกรรมที่ทำ โดยบัญชีระบบ (เช่น SHAREPOINT\system หรือ NT AUTHORITY\SYSTEM) จะรวมอยู่ในบันทึกการตรวจสอบ

ทั้งหมด

UserKey

ID อื่นสำหรับผู้ใช้ที่ระบุไว้ในคุณสมบัติUserID ตัวอย่างเช่น คุณสมบัตินี้ถูกเติม ด้วยหนังสือเดินทาง ID เฉพาะ (PUID) สำหรับเหตุการณ์ที่ทำ โดยผู้ใช้ในSharePoint คุณสมบัตินี้อาจระบุค่าเดียวกันเป็นคุณสมบัติUserIDสำหรับเหตุการณ์ที่เกิดขึ้นในบริการและเหตุการณ์ที่กระทำ โดยบัญชีระบบอื่น ๆ

ทั้งหมด

UserSharedWith

ผู้ใช้ที่ทรัพยากรถูกแชร์กับ คุณสมบัตินี้จะรวมอยู่ถ้าค่าของคุณสมบัติOperationSharingSet ผู้ใช้นี้จะแสดงอยู่ในคอลัมน์ที่ใช้ร่วมกันกับ ในรายงาน

SharePoint

UserType

ชนิดของผู้ใช้ที่ทำการดำเนินการ ค่าต่อไปนี้ระบุชนิดของผู้ใช้

0   ผู้ใช้ทั่วไป

2   ผู้ดูแลระบบในองค์กรของคุณOffice 365

3    A Microsoft datacenter datacenter หรือผู้ดูแลระบบบัญชีผู้ใช้

4   บัญชีระบบ

5   แอปพลิเคชัน

6   หลักบริการ

ทั้งหมด

เวอร์ชัน

ระบุหมายเลขเวอร์ชันของกิจกรรม (ระบุตามคุณสมบัติOperation ) ซึ่งถูกบันทึกไว้

ทั้งหมด

ปริมาณ

บริการOffice 365 ที่กิจกรรมที่เกิดขึ้น ค่าที่เป็นไปได้สำหรับคุณสมบัตินี้คือ:

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

Sway

SecurityComplianceCenter

PowerBI

Yammer

MicrosoftTeams

ทั้งหมด

กลับไปยังด้านบนสุด

หมายเหตุ: ข้อจำกัดความรับผิดชอบของการแปลด้วยเครื่อง: บทความนี้มีการแปลด้วยระบบคอมพิวเตอร์โดยไม่มีการดำเนินการโดยบุคคล Microsoft จัดให้มีการแปลด้วยเครื่องนี้เพื่อช่วยให้ผู้ใช้ที่ไม่ได้พูดภาษาอังกฤษสามารถใช้ประโยชน์จากเนื้อหาเกี่ยวกับผลิตภัณฑ์ บริการและเทคโนโลยีของ Microsoft เนื่องจากบทความมีการแปลด้วยเครื่อง อาจมีข้อผิดพลาดด้านคำศัพท์ ไวยากรณ์หรือรูปประโยค

ขยายทักษะของคุณ
สำรวจการฝึกอบรม
รับฟีเจอร์ใหม่ก่อนใคร
เข้าร่วม Office Insider

ข้อมูลนี้เป็นประโยชน์หรือไม่

ขอบคุณสำหรับคำติชมของคุณ!

ขอขอบคุณสำหรับคำติชมของคุณ! เราคิดว่าอาจเป็นประโยชน์ที่จะให้คุณได้ติดต่อกับหนึ่งในตัวแทนฝ่ายสนับสนุน Office ของเรา

×