Додаткові властивості в контрольному журналі Office 365

Увага! : Цю статтю перекладено за допомогою служби машинного перекладу; див. застереження. Версію цієї статті англійською мовою див. тут для отримання довідки.

Коли ви експортуєте результати пошуку контрольного журналу з Центру безпеки та відповідності Office 365, ви зможете завантажити всі результати, які відповідають умовам пошуку. Для цього на сторінці Пошук у контрольному журналі в Центрі безпеки та відповідності Office 365 виберіть Експорт результатів > Завантажити всі результати. Докладні відомості див. в статті Пошук у контрольному журналі в Центрі безпеки та відповідності Office 365.

Коли ви експортуєте всі результати пошуку в контрольному журналі, необроблені дані з єдиного контрольного журналу Office 365 копіюються до CSV-файлу, який завантажується на комп’ютер. Цей файл містить додаткові відомості із записів контрольного журналу в стовпці Відомості. Цей стовпець містить багатозначну властивість для кількох властивостей із запису контрольного журналу. Кожна пара property:value в цій багатозначній властивості відокремлюється крапкою з комою.

У таблиці нижче описано властивості, які входять до стовпців Відомості, залежно від служби Office 365, у якій відбулася подія. У стовпці Служба Office 365, яка містить цю властивість    указані служба, що містить цю властивість, і тип дії (виконує користувач або адміністратор). Докладні відомості про ці властивості або про властивості, відсутні в цьому розділі, див. в статті Схема API для операцій керування Office 365.

Порада : За допомогою Power Query в Excel можна розділити цей стовпець на окремі стовпці для кожної властивості. Так ви зможете сортувати та фільтрувати за одним або кількома властивостями. Додаткові відомості див. в розділі "Розділення стовпця за допомогою роздільника" в статті Розділення текстового стовпця (Power Query).

Властивість

Опис

Служба Office 365, яка містить цю властивість

Actor

Обліковий запис користувача або служби, яка виконала дію.

Azure Active Directory

AzureActiveDirectoryEventType

Тип події Azure Active Directory. Наведені нижче значення вказують на тип події.

0   : подія входу в обліковий запис.

1   : подія безпеки програми Azure.

Azure Active Directory

ChannelGuid

Ідентифікатор каналу Команди Microsoft. Група, у якій міститься канал, визначається за властивістю TeamName і TeamGuid.

Команди Microsoft

ChannelName

Ім’я каналу Команди Microsoft. Група, у якій міститься канал, визначається за властивістю TeamName і TeamGuid.

Команди Microsoft

Client

Клієнтський пристрій, операційна система та браузер пристрою, які використовувалися для входу (наприклад, Nokia Lumnia 920, Windows Phone 8, IE Mobile 11).

Azure Active Directory

ClientInfoString

Відомості про поштового клієнта, за допомогою якого виконувалась операція, наприклад версія браузера, версія Outlook і відомості про мобільний пристрій.

Exchange (дії з поштовою скринькою)

ClientIP

IP-адреса пристрою, який використовувався, коли цю подію було зареєстровано. IP-адреса відображається у форматі IPv4- або IPv6-адреси.

Exchange і Azure Active Directory

ClientIPAddress

Те саме, що ClientIP.

SharePoint

CreationTime

Дата й час відповідно до всесвітнього координованого часу (UTC), коли виконувалася дія.

Усі

DestinationFileExtension

Розширення скопійованого чи переміщеного файлу. Ця властивість відображається лише для дій користувача FileCopied і FileMoved.

SharePoint

DestinationFileName

Ім’я скопійованого чи переміщеного файлу. Ця властивість відображається лише для дій FileCopied і FileMoved.

SharePoint

DestinationRelativeUrl

URL-адреса папки, до якої скопійовано або переміщено файл. Поєднання значень властивостей SiteURL, DestinationRelativeURL і DestinationFileName аналогічне значенню властивості ObjectID, яка є повним шляхом до скопійованого файлу. Ця властивість відображається лише для дій користувача FileCopied і FileMoved.

SharePoint

EventSource

Визначає, що подія сталася в SharePoint. Можливі значення: SharePoint і ObjectModel.

SharePoint

ExternalAccess

У випадку з дією адміністратора Exchange визначає, хто виконав командлет (користувач у вашій організації, спеціалісти центру обробки даних Майкрософт, обліковий запис служби центру обробки даних або уповноважений адміністратор). Значення False указує на те, що командлет виконав користувач у вашій організації, а значення True – спеціалісти центру обробки даних, обліковий запис служби центру обробки даних або уповноважений адміністратор.

У випадку з дією, пов’язаною з поштовою скринькою, Exchange визначає, чи отримав до неї доступ користувач за межами вашої організації.

Exchange

ExtendedProperties

Розширені властивості для події Azure Active Directory.

Azure Active Directory

ID

Ідентифікатор запису звіту. Ідентифікатор однозначно визначає запис звіту.

Усі

InternalLogonType

Зарезервовано для внутрішнього використання.

Exchange (дії з поштовою скринькою)

ItemType

Тип об’єкта, до якого отримано доступ, або зміненого об’єкта. Можливі значення: File, Folder, Web, Site, Tenant і DocumentLibrary.

SharePoint

LoginStatus

Визначає невдалі спроби входу.

Azure Active Directory

LogonType

Тип доступу до поштової скриньки. Наведені нижче значення вказують на тип користувача, який отримав доступ до поштової скриньки.

0   : власник поштової скриньки.

1   : адміністратор.

2   : представник.

3   : служба транспорту в центрі обробки даних Майкрософт.

4   : обліковий запис служби в центрі обробки даних Майкрософт.

6   : уповноважений адміністратор.

Exchange (дії з поштовою скринькою)

MailboxGuid

GUID поштової скриньки Exchange, до якої отримано доступ.

Exchange (дії з поштовою скринькою)

MailboxOwnerUPN

Адреса електронної пошти власника поштової скриньки, до якої отримано доступ.

Exchange (дії з поштовою скринькою)

ModifiedProperties (Name, NewValue, OldValue)

Ця властивість включається для подій адміністратора, наприклад додавання користувача як учасника до групи адміністраторів сайту або колекції сайтів. Значення містить ім’я зміненої властивості (наприклад, група адміністраторів сайту), нове значення зміненої властивості (наприклад, користувач, доданий як адміністратор сайту) і попереднє значення зміненого об’єкта.

Усе (дії адміністратора)

ObjectID

Для журналу аудиту дій адміністратора Exchange це ім’я об’єкта, зміненого командлетом.

У випадку з дією SharePoint – це повний URL-шлях до файлу або папки, до яких отримав доступ користувач.

У випадку з дією Azure AD – це назва зміненого облікового запису користувача.

Усі

Operation

Назва дії користувача або адміністратора. Значення цієї властивості відповідає значенню, вибраному в розкривному списку Дії. Якщо вибрано параметр Показати результати для всіх дій, звіт міститиме записи для всіх дій користувачів і адміністраторів в усіх службах. Опис операцій і дій, які записуються в контрольний журнал Office 365, див. в розділі Відстежувані дії в статті Пошук у контрольному журналі в Центрі безпеки та відповідності Office 365.

У випадку з дією адміністратора Exchange – це властивість, яка визначає ім’я виконаного командлета.

Усі

OrganizationID

GUID організації Office 365.

Усі

Path

Ім’я папки поштової скриньки, де міститься повідомлення, до якого отримано доступ. Ця властивість також визначає папку, де створюється повідомлення або до якої воно копіюється або переміщується.

Exchange (дії з поштовою скринькою)

Parameters

У випадку з дією адміністратора Exchange – це ім’я та значення всіх параметрів, які використовувалися з командлетом, визначеним у властивості Operation.

Exchange (дії адміністратора)

RecordType

Тип операції, указаної в записі. Наведені нижче значення вказують на тип запису.

1   : запис із контрольного журналу адміністратора Exchange.

2   : запис із контрольного журналу поштової скриньки Exchange для операції, виконаної з одним елементом поштової скриньки.

3   : також указує на запис із контрольного журналу поштової скриньки Exchange. Цей тип запису вказує, що операцію виконано з кількома елементами у вихідній поштовій скриньці (наприклад, переміщення кількох елементів до папки "Видалені елементи" або остаточне видалення кількох елементів).

4   : операція адміністратора сайту в SharePoint, зокрема надання дозволів для сайту (адміністратор або користувач).

6   : операція з файлом або папкою в SharePoint, наприклад перегляд чи змінення файлу (користувач).

8   : операція адміністратора в Azure Active Directory.

9   : події входу OrgId в Azure Active Directory. Цей тип запису вилучається.

10   : події командлетів безпеки, які виконали спеціалісти Майкрософт у центрі обробки даних.

11   : події захисту від втрати даних (DLP) у SharePoint.

12   : події Sway.

14   : події надання спільного доступу в SharePoint.

15   : події входу до Azure Active Directory з використанням служби маркерів безпеки (STS).

18   : події Центр безпеки та відповідності.

20   : події Power BI.

22   : події Yammer.

24    вказує Витребування електронної інформації подій. Тип запису вказує, до яких було виконано, під керуванням пошуку вмісту та керування інцидентів Витребування електронної інформації в Центр безпеки та відповідності. Додаткові відомості про Пошук діяльності Витребування електронної інформації у службі Office 365 журнал аудиту.

25, 26, 27   : події Команди Microsoft.

Усі

ResultStatus

Указує на стан виконання дії (зазначеної у властивості Operation).

У випадку з дією адміністратора Exchange може мати значення True (успішно) або False (помилка).

Усі

SecurityComplianceCenterEventType

Вказує на те, що дія була подією Центр безпеки та відповідності. Усі дії Центр безпеки та відповідності матимуть значення 0 для цієї властивості.

Центр безпеки та відповідності Office 365

SharingType

Тип дозволів на спільний доступ, призначених користувачу, якому надано спільний доступ до ресурсу. Цей користувач визначається у властивості UserSharedWith.

SharePoint

Site

GUID сайту, де розміщено файл або папку, до яких отримав доступ користувач.

SharePoint

SiteUrl

URL-адреса сайту, де розміщено файл або папку, до яких отримав доступ користувач.

SharePoint

SourceFileExtension

Розширення файлу, до якого отримав доступ користувач. Ця властивість пуста, якщо об’єкт, до якого отримано доступ, це папка.

SharePoint

SourceFileName

Ім’я файлу або папки, до яких отримав доступ користувач.

SharePoint

SourceRelativeUrl

URL-адреса папки, яка містить файл, до якого отримав доступ користувач. Поєднання значень властивостей SiteURL, SourceRelativeURL і SourceFileName аналогічне значенню властивості ObjectID, яка є повним шляхом до файлу, до якого отримав доступ користувач.

SharePoint

Subject

Рядок теми повідомлення, до якого отримано доступ.

Exchange (дії з поштовою скринькою)

Target

Дії (визначено в полі властивості Operation ) була виконана на користувача. Наприклад, якщо користувач Відгуки додається до SharePoint або Microsoft групи, користувач буде наведено в цю властивість.

Azure Active Directory

TeamGuid

Ідентифікатор групи в Команди Microsoft.

Команди Microsoft

TeamName

Назва групи в Команди Microsoft.

Команди Microsoft

UserAgent

Відомості про браузер користувача. Ці відомості надає браузер.

SharePoint

UserDomain

Відомості про посвідчення організації клієнта користувача (суб’єкт), який виконав дію.

Azure Active Directory

UserID

Користувач, який виконав дію (зазначену у властивості Operation), у результаті чого запис додано до журналу. Зверніть увагу, що записи дій, виконаних системним обліковим записом (наприклад, SHAREPOINT\system або NT AUTHORITY\SYSTEM), також додаються до контрольного журналу.

Усі

UserKey

Альтернативний ідентифікатор користувача, визначеного у властивості UserID. Наприклад, для подій, які виконують користувачі в SharePoint, ця властивість заповнюється унікальним ідентифікатором Passport (PUID). Для подій, які виникли в інших службах і викликані системними обліковими записами, ця властивість також може мати те ж значення, що й властивість UserID.

Усі

UserSharedWith

Користувач, якому надано спільний доступ до ресурсу. Ця властивість додається, якщо властивість Operation має значення SharingSet. Цей користувач також відображатиметься в стовпці Спільне використання з у звіті.

SharePoint

UserType

Тип користувача, який виконав операцію. Наведені нижче значення вказують на тип користувача.

0   : звичайний користувач.

2   : адміністратор в організації Office 365.

3   : адміністратор або системний обліковий запис центру обробки даних Майкрософт.

4   : системний обліковий запис.

5   : програма.

6   : суб’єкт-служба.

Усі

Version

Номер версії записуваної дії (визначеної у властивості Operation).

Усі

Workload

Служба Office 365, де виконано дію. Ця властивість може мати такі значення.

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

Відповідність нормативним вимогам

Sway

SecurityComplianceCenter

PowerBI

MicrosoftTeams

Усі

Зверніть увагу, що властивості описані вище також відображаються після натискання кнопки додаткові відомості , під час перегляду відомостей про певні події.

Натисніть кнопку Додаткові відомості, щоб переглянути докладну властивості запис подій журналу аудиту

На початок

Примітка : Застереження про машинний переклад: Цю статтю перекладено комп’ютерною системою без втручання людини. Корпорація Майкрософт пропонує таку послугу, щоб іншомовні користувачі могли дізнаватися про продукти, служби й технології Microsoft. Оскільки статтю перекладено за допомогою служби машинного перекладу, вона може містити смислові, синтаксичні або граматичні помилки.

Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×