Пошук у контрольному журналі в Центрі безпеки та відповідності Office 365

Нижче описано процес пошуку в контрольному журналі в службі Office 365.

Крок 1. Виконання пошуку в контрольному журналі

Крок 2. Перегляд результатів пошуку

Крок 3. Фільтрування результатів пошуку

Крок 4. Експорт результатів пошуку до файлу

Перш ніж починати пошук даних у контрольному журналі Office 365, ознайомтеся з розділом Підготовка.

Крок 1. Виконання пошуку в контрольному журналі

  1. Перейдіть за посиланням https://protection.office.com.

  2. Увійдіть в Office 365 під своїм робочим або навчальним обліковим записом.

  3. В області ліворуч клацніть елементи Пошук і розслідування > Пошук у контрольному журналі.

    Відобразиться сторінка Пошук у контрольному журналі.

    Налаштуйте умови та натисніть кнопку "Пошук", щоб створити звіт.

    Примітка : Щоб отримати змогу шукати в контрольному журналі, спочатку потрібно активувати реєстрацію подій у контрольному журналі. Для цього клацніть посилання Почати запис дій користувачів і адміністраторів, якщо воно відображається. Якщо його немає, відстеження дій уже активовано для вашої організації.

  4. Настройте наведені нижче умови пошуку.

    1. Дії.   Клацніть розкривний список, щоб відобразити дії, які можна шукати. Дії користувачів і адміністраторів упорядковано в групи пов’язаних дій. Ви можете вибрати окремі дії або виділити їх усі разом, клацнувши ім’я групи дій. Щоб скасувати вибір певної дії, клацніть її. У результатах пошуку відображатимуться лише записи в контрольному журналі для вибраних дій. Якщо вибрати команду Показати результати для всіх дій, відображатимуться результати для всіх дій, які виконав вибраний користувач або група користувачів.

      У контрольному журналі Office 365 реєструються понад 100 дій користувачів і адміністраторів. Перейдіть до розділу Відстежувані дії в цій статті, щоб переглянути список описів кожної дії в різних службах Office 365.

    2. Дата початку та Дата завершення    За замовчуванням вибрано останні сім днів. Виберіть діапазон дат і часу, щоб відобразити події, які відбулися протягом цього періоду. Дату й час представлено у форматі всесвітнього координованого часу (UTC). Найбільший проміжок часу, який можна задати, становить 90 днів. Якщо вибраний проміжок часу перевищує 90 днів, відображається повідомлення про помилку.

      Порада : Якщо ви відображаєте максимальний проміжок часу тривалістю 90 днів, для параметра Дата початку вкажіть поточний час. В іншому випадку ви отримаєте повідомлення про помилку, у якому йтиметься про те, що дата початку раніша за дату завершення. Якщо журналювання ввімкнуто протягом останніх 90 днів, максимальний проміжок часу не може починатися до дати ввімкнення журналювання.

    3. Користувачі.  Клацніть це поле та виберіть одного або кількох користувачів, для яких потрібно відображати результати пошуку. У списку результатів відображатимуться записи в контрольному журналі для вибраної дії, яку виконали користувачі, вибрані в цьому полі. Щоб отримати записи для всіх користувачів (і облікових записів служб) у своїй організації, залиште це поле пустим.

    4. Файл, папка або сайт.   Повністю або частково введіть ім’я файлу чи папки, щоб шукати дії, пов’язані з файлом чи папкою, що містить вказане ключове слово. Також ви можете вказати повну або часткову URL-адресу, щоб відобразити записи для дій із будь-яким об’єктом, розташованим за вказаним URL-шляхом. Зверніть увагу, що в пошуковому запиті не підтримуються спеціальні символи, наприклад скісні риски (/), зворотні скісні риски (\), дефіси (-) та підкреслення (_). Неодмінно замініть спеціальні символи пробілами. Наприклад, щоб знайти дію на сайті "OneDrive для бізнесу", як-от https://contoso-mysharepoint.com/personal/sarad_contoso_onmicrosoft_com, можна ввести в цьому полі пошуку ось що: personal sarad contoso.

      Щоб повернути записи для всіх файлів, папок і URL-адрес у своїй організації, залиште це поле пустим.

  5. Щоб запустити пошук за вказаними умовами, натисніть кнопку Пошук.

    Результати пошуку завантажаться та через деякий час з’являться в розділі Результати. Коли пошук завершиться, відобразиться кількість знайдених результатів. Зверніть увагу, що в області Результати може відображатися не більше 5 000 подій групами по 150 штук. Якщо умовам пошуку відповідає понад 5 000 подій, відображаються 5 000 останніх подій.

    Кількість результатів пошуку відображається після його завершення

На початок

Поради з пошуку в контрольному журналі

  • Ви можете вибрати, які дії шукати, клацнувши ім’я дії. Крім того, можна шукати всі дії в групі (як-от Дії з файлами та папками), клацнувши ім’я групи. Ви також можете скасувати вибір дії, клацнувши її. Щоб відобразити дії, які містять введене ключове слово, скористайтеся полем пошуку.

    Клацніть ім’я групи дій, щоб виділити всі дії
  • Щоб відобразити події з контрольного журналу адміністратора Exchange, потрібно в списку Дії вибрати команду Показати результати для всіх дій. У стовпці результатів Дія для подій у контрольному журналі відображається ім’я командлета (наприклад, Set-Mailbox). Щоб дізнатися більше, перейдіть на вкладку Відстежувані дії в цій статті, а потім виберіть Дії адміністратора Exchange.

    Так само існують певні дії, які не мають відповідного елемента в списку Дії. Якщо ви знаєте ім’я операції, то можете шукати всі дії, а потім відфільтрувати результати, ввівши ім’я операції в полі стовпця Дія. Докладні відомості про фільтрування результатів див. в розділі Крок 3.

  • Щоб очистити поточні умови пошуку, натисніть кнопку Очистити. Відновиться значення за замовчуванням для проміжку часу (останні сім днів). Щоб скасувати всі вибрані дії, натисніть Скасувати виділення всіх елементів і переглянути всі дії.

  • Якщо знайдено 5 000 результатів, імовірно, умовам пошуку відповідає понад 5 000 подій. Ви можете уточнити умови пошуку та повторно виконати пошук, щоб отримати менше результатів, або експортувати всі результати пошуку, вибравши Експорт результатів > Завантажити всі результати.

На початок

Крок 2. Перегляд результатів пошуку

Результати пошуку в контрольному журналі відображаються на сторінці Пошук у контрольному журналі в розділі Результати. Як зазначалося раніше, може відображатися щонайбільше 5 000 подій (останніх) групами по 150 штук. Якщо потрібно відобразити більше подій, можна скористатися смугою прокручування в області Результати або натиснути Shift+End, щоб відобразити наступні 150 подій.

Результати пошуку містять наведені нижче відомості про кожну повернуту подію.

  • Дата    Дата й час (у форматі UTC), коли трапилася подія.

  • IP-адреса    IP-адреса пристрою, який використовувався, коли цю подію було зареєстровано. IP-адреса відображається у форматі IPv4- або IPv6-адреси.

  • Користувач    Користувач (або обліковий запис служби), який виконав дію, що спричинила подію.

  • Дія   Дія, яку виконав користувач. Це значення відповідає діям, вибраним у розкривному списку Дії. Для події з контрольного журналу адміністратора Exchange значення в цьому стовпці буде командлетом Exchange.

  • Елемент.    Об’єкт, створений або змінений у результаті відповідної дії. Наприклад, переглянутий або змінений файл чи оновлений обліковий запис користувача. Не всі дії мають значення в цьому стовпці.

  • Відомості   Додаткові відомості про дію. Знову ж таки, не всі дії матимуть тут значення.

Порада : Щоб посортувати результати, клацніть заголовок стовпця в розділі Результати. Результати можна сортувати за алфавітом від А до Я або від Я до А. Щоб посортувати результати від найстаріших до найновіших чи навпаки, клацніть заголовок Дата.

Перегляд відомостей про певну подію

Щоб переглянути докладні відомості про подію, клацніть її запис у списку результатів пошуку. З’явиться сторінка Відомості, на якій містяться додаткові властивості запису події. Властивості, що відображаються, залежать від служби Office 365, де відбулася подія. Щоб переглянути ці відомості, клацніть Додаткові відомості. Описи див. в статті Додаткові властивості в контрольному журналі Office 365.

Клацніть "Додаткові відомості", щоб переглянути додаткові властивості запису події в контрольному журналі

На початок

Крок 3. Фільтрування результатів пошуку

Результати пошуку в контрольному журналі можна не лише сортувати, а й фільтрувати. Ця зручна функція дає змогу швидко відфільтрувати результати для певного користувача чи дії. Ви можете спочатку виконати загальний пошук, а потім швидко фільтрувати результати, щоб переглянути лише певні події. Згодом можна уточнити умови та виконати пошук знову, щоб отримати менший, скорочений набір результатів.

Щоб відфільтрувати результати пошуку, виконайте наведені нижче дії.

  1. Виконайте пошук у контрольному журналі.

  2. Коли з’являться результати, натисніть Відфільтрувати результати.

    Під заголовком кожного стовпця відобразяться поля для ключових слів.

  3. Клацніть будь-яке з таких полів під заголовком стовпця та введіть слово або фразу, залежно від стовпця, за яким ви фільтруєте результати. Результати динамічно змінюватимуться, щоб відображалися лише ті події, які відповідають вашому фільтру.

    Введіть слово в поле фільтра, щоб відобразити відповідні події
  4. Щоб очистити фільтр, клацніть піктограму X у полі фільтра або просто натисніть кнопку Приховати фільтрування.

Порада : Щоб відобразити події з контрольного журналу адміністратора Exchange, у полі фільтра Дія введіть - (дефіс). З’являться імена командлетів, які містяться в стовпці Дія для подій адміністрування Exchange. Потім ви можете відсортувати імена командлетів за алфавітом.

На початок

Крок 4. Експорт результатів пошуку до файлу

Результати пошуку в контрольному журналі можна експортувати до файлу даних із роздільниками-комами (CSV) на локальному комп’ютері. Відкривши цей файл у програмі Microsoft Excel, ви зможете шукати, сортувати та фільтрувати дані, а також розділяти окремі стовпці (які містять клітинки з кількома значеннями) на кілька.

  1. Запустіть пошук у контрольному журналі, а потім змінюйте умови пошуку, доки не отримаєте бажані результати.

  2. Натисніть кнопку Експорт результатів і виберіть один із наведених нижче команд.

    • Зберегти завантажені результати.    Виберіть цю команду, щоб експортувати лише ті записи, які відображаються на сторінці Пошук у контрольному журналі в розділі Результати. Завантажений файл CSV містить такі ж стовпці (і дані), як ті, що відображаються на сторінці ("Дата", "Користувач", "Дія", "Елемент" і "Відомості"). До файлу CSV включено ще один стовпець, More (Більше), який містить додаткові відомості із запису контрольного журналу. Оскільки ви експортуєте результати, завантажені (і відображені) на сторінці Пошук у контрольному журналі, можна експортувати не більше 5 000 записів.

    • Завантажити всі результати.    Виберіть цю команду, щоб експортувати всі записи з контрольного журналу Office 365, які відповідають умовам пошуку. Якщо результатів пошуку дуже багато, ця команда дасть змогу завантажити всі записи з контрольного журналу на додаток до 5 000 результатів, які відображаються на сторінці Пошук у контрольному журналі. Необроблені дані з контрольного журналу завантажаться до файлу CSV, який також міститиме додаткові відомості з контрольного журналу в стовпці Detail (Відомості). Якщо вибрати цей параметр, файл може завантажуватися довше, оскільки він може бути значно більшим, ніж в інших випадках.

      Увага! : З результатів одного пошукового запиту до файлу CSV можна завантажити не більше 50 000 записів контрольного журналу. Якщо до файлу CSV завантажено 50 000 записів, імовірно, умовам пошуку відповідає понад 50 000 подій. Щоб обійти це обмеження, спробуйте зменшити кількість записів із контрольного журналу, змінивши проміжок часу. Можливо, вам знадобиться виконати кілька пошукових запитів із меншими проміжками часу, щоб експортувати понад 50 000 записів.

  3. Коли ви виберете спосіб експорту, внизу вікна відобразиться повідомлення з пропозицією відкрити файл CSV, зберегти його в папці "Завантаження" або в іншій папці.

На початок

Докладні відомості про експорт результатів пошуку в контрольному журналі

  • Якщо вибрано параметр Завантажити всі результати, необроблені дані з контрольного журналу Office 365 завантажуються до файлу CSV. Імена стовпців у цьому файлі – Time (Час), User (Користувач), Action (Дія), Detail (Відомості) – відрізняються від імен стовпців у файлі, який завантажується, якщо вибрати параметр Зберегти завантажені результати. Значення у двох файлах CSV для однієї й тієї ж дії також можуть бути різними. Наприклад, дія в стовпці Дія у файлі CSV може мати значення, відмінне від "зрозумілої для користувача" версії, що відображається в стовпці Дія на сторінці Пошук у контрольному журналі. Наприклад, порівняйте MailboxLogin і Користувач увійшов у поштову скриньку.

  • Якщо завантажити всі результати, у файлі CSV буде стовпець з іменем Detail (Відомості), який міститиме додаткові відомості про кожну подію. Як зазначалося раніше, цей стовпець містить багатозначну властивість для кількох властивостей із запису контрольного журналу. Кожна пара property:value в цій багатозначній властивості відокремлюється крапкою з комою. За допомогою Power Query в Excel можна розділити цей стовпець на кілька, щоб кожна властивість мала власний. Це дасть вам змогу сортувати та фільтрувати дані за однією або кількома з них. Щоб дізнатися, як це зробити, див. розділ "Розділення стовпця за допомогою роздільника" в статті Розділення текстового стовпця (Power Query).

    Розділивши стовпець Detail (Відомості), ви можете відфільтрувати стовпець Action (Дія), щоб відобразити докладні властивості для певного типу дій.

  • Якщо ви завантажуєте всі результати пошукового запиту, який містить події з різних служб Office 365, стовпець Detail (Відомості) у файлі CSV містить різні властивості, залежно від того, у якій службі виконано дію. Наприклад, записи з контрольних журналів Exchange і Azure AD містять властивість під назвою ResultStatus, яка вказує на те, чи успішною була ця дія. Така властивість не характерна для подій у SharePoint. Аналогічно, події в SharePoint мають властивість, яка визначає URL-адресу сайту для дій, пов’язаних із файлами та папками. Щоб уникнути цього, радимо використовувати різні пошукові запити, щоб окремо експортувати результати для дій у певній службі.

    Опис властивостей, які відображаються в стовпці Detail (Відомості) у файлі CSV з усіма результатами, і служб, яких стосується кожна з них, див. в статті Докладні властивості в контрольному журналі Office 365.

На початок

Обов’язково перегляньте наведені нижче пункти, перш ніж починати пошук даних у контрольному журналі Office 365.

  • Перш ніж шукати відомості в контрольному журналі Office 365, ви (або інший адміністратор) повинні активувати реєстрацію подій у журналі. Для цього в Центрі безпеки та відповідності на сторінці Пошук у контрольному журналі клацніть посилання Почати записування дій користувачів і адміністраторів (якщо воно не відображається, відстеження дій уже активовано для вашої організації). Після цього з’явиться повідомлення про те, що контрольний журнал готується й ви зможете скористатися пошуком через кілька годин після завершення підготовки. Це потрібно зробити лише один раз.

    Примітка : Ми почали налаштовувати службу так, щоб відстеження в ній активувалося за замовчуванням. Тим часом його можна активувати, як описано раніше.

  • Щоб знайти відомості в контрольному журналі Office 365, потрібно мати роль "View-Only Audit Logs" або "Audit Logs" в Exchange Online. За замовчуванням ці ролі призначено групі ролей "Compliance Management" і "Organization Management" (у Центрі адміністрування Exchange на сторінці Дозволи). Щоб надати користувачу змогу виконувати пошук у контрольному журналі Office 365 із мінімальним рівнем прав, ви можете створити спеціальну групу ролей в Exchange Online, додати роль "View-Only Audit Logs" або "Audit Logs", а потім додати користувача як учасника цієї нової групи ролей. Докладні відомості див. в статті Керування групами ролей в Exchange Online.

    Увага! : Якщо в Центрі безпеки та відповідності на сторінці Дозволи призначити користувачу роль "View-Only Audit Logs" або "Audit Logs", він не зможе шукати дані в контрольному журналі Office 365. Дозволи потрібно призначати в Exchange Online, оскільки для пошуку в контрольному журналі використовується базовий командлет Exchange Online.

  • Якщо потрібно вимкнути для організації функцію пошуку в контрольному журналі Office 365, можна скористатися наведеною нижче командою у віддаленій оболонці PowerShell, підключеній до організації Exchange Online:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    Щоб увімкнути пошук перевірки знову, виконайте зазначену нижче команду в Exchange Online PowerShell:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Докладні відомості див. в статті Вимкнення пошуку в контрольному журналі Office 365.

  • Як зазначалося раніше, для пошуку в контрольному журналі використовується базовий командлет Exchange Online – Search-UnifiedAuditLog. Це означає, що для пошуку в контрольному журналі Office 365 замість сторінки Пошук у контрольному журналі в Центрі безпеки та відповідності можна використовувати командлет. Його необхідно запустити у віддаленій оболонці PowerShell, підключеній до організації Exchange Online. Докладні відомості див. в статті Search-UnifiedAuditLog.

  • Щоб програмно завантажувати дані з контрольного журналу Office 365, замість сценарію PowerShell радимо використати Office 365 Management Activity API. Цей інтерфейс являє собою веб-службу REST, за допомогою якої можна розробляти рішення, що виконуватимуть потрібні операції, забезпечуватимуть захист і відстежуватимуть дотримання вимог у вашій організації. Докладні відомості див. в статті Довідник з Office 365 Management Activity API.

  • У контрольному журналі Office 365 можна шукати дії, виконані протягом останніх 90 днів.

  • Щоб запис про подію, додану до контрольного журналу, почав з’являтися в результатах пошуку, може знадобитися від 30 хвилин до 24 годин. У таблиці нижче показано час, необхідний для різних служб в Office 365.

    Служба Office 365

    30 хвилин

    24 години

    Azure Active Directory (події адміністрування)

    Позначка

    Azure Active Directory (події входу користувача)

    Позначка

    Exchange Online

    Позначка

    Команди Microsoft

    Позначка

    Power BI

    Позначка

    Центр безпеки та відповідності

    Позначка

    SharePoint Online і OneDrive для бізнесу

    Позначка

    Sway

    Позначка

    Yammer

    Позначка

  • Azure Active Directory (Azure AD) – це служба каталогів Office 365. Об’єднаний контрольний журнал містить дії, пов’язані з користувачами, групами, програмами, доменами й каталогами та виконані в Центрі адміністрування Office 365 або на порталі керування Azure. Повний перелік подій в Azure AD, що містяться в контрольному звіті, див. в цій статті.

На початок

У таблицях цього розділу описано дії, які відстежуються в Office 365. Ці події можна шукати за допомогою пошуку в контрольному журналі в Центрі безпеки та відповідності. Перейдіть на вкладку Пошук у контрольному журналі, щоб отримати покрокові інструкції.

У цих таблицях згруповано пов’язані дії та дії, які виконуються в певній службі Office 365. Таблиці містять зрозуміле ім’я, яке відображається в розкривному списку Дії, і назву відповідної операції, яка відображається в докладних відомостях запису аудиту, а також у CSV-файлі, якщо експортувати результати пошуку. Клацніть посилання, щоб перейти до певної таблиці

Дії з файлами та сторінками

Дії з папками

Дії з надання спільного доступу та надсилання запитів на доступ

Дії із синхронізації

Дії з адміністрування сайтів

Дії з поштовими скриньками Exchange

Дії з презентацією Sway

Дії з адміністрування користувачів

Дії з адміністрування груп Azure AD

Дії з адміністрування програм

Дії з адміністрування ролей

Дії з адміністрування каталогів

Дії служби витребування електронної інформації

Дії в Power BI

Дії в Microsoft Teams

Дії в Yammer

Дії адміністратора Exchange

Дії з файлами та сторінками

У таблиці нижче описано дії з файлами та сторінками в службах SharePoint Online і "OneDrive для бізнесу".

Зрозуміле ім’я

Операція

Опис

Доступ до файлу отримано

FileAccessed

Користувач або системний обліковий запис отримує доступ до файлу.

Немає

FileAccessedExtended

Ці дані стосуються дії "Доступ до файлу отримано" (FileAccessed). Подія FileAccessedExtended записується в журнал, коли той самий користувач протягом тривалого періоду часу (до 3 годин) постійно отримує доступ до файлу. Мета запису подій FileAccessedExtended – зменшити кількість подій FileAccessed, що заносяться до журналу, коли користувач постійно отримує доступ до файлу. Це дасть змогу зменшити кількість записів FileAccessed, що, фактично, є однією й тією ж дією користувача, і допоможе зосередитися на початковій (і більш важливій) події FileAccessed.

Файл повернуто з редагування

FileCheckedIn

Користувач повертає з редагування документ, який він брав на редагування з бібліотеки документів.

Файл узято на редагування

FileCheckedOut

Користувач бере на редагування документ, розміщений у бібліотеці документів. Користувачі можуть брати на редагування документи, до яких їм надано спільний доступ, а також вносити до них зміни.

Скопійовано файл

FileCopied

Користувач копіює документ із сайту. Скопійований файл можна зберегти в іншій папці на сайті.

Видалено файл

FileDeleted

Користувач видаляє документ із сайту.

Видалено файл із кошика

FileDeletedFirstStageRecycleBin

Користувач видаляє файл із кошика сайту.

Видалено файл із кошика другого рівня

FileDeletedSecondStageRecycleBin

Користувач видаляє файл із кошика другого рівня сайту.

Виявлено зловмисний вміст у файлі

FileMalwareDetected

Антивірусний модуль SharePoint виявляє зловмисну програму у файлі.

Скасовано взяття файлу на редагування

FileCheckOutDiscarded

Користувач скасовує взяття файлу на редагування. Це означає, що будь-які зміни, внесені до файлу, коли його було взято на редагування, буде скасовано та не буде збережено у версії документа в бібліотеці документів.

Завантажено файл

FileDownloaded

Користувач завантажує документ із сайту.

Змінено файл

FileModified

Користувач або власник системного облікового запису змінює вміст або властивості документа, розміщеного на сайті.

Немає

FileModifiedExtended

Ці дані стосуються дії "Змінено файл" (FileModified). Подія FileModifiedExtended записується в журнал, коли той самий користувач протягом тривалого періоду часу постійно (до 3 годин) змінює файл. Мета запису подій FileModifiedExtended – зменшити кількість подій FileModified, що заносяться до журналу, коли файл постійно змінюється. Це дасть змогу зменшити кількість записів FileModified, що, фактично, є однією й тією ж дією користувача, і допоможе зосередитися на початковій (і більш важливій) події FileModified.

Переміщено файл

FileMoved

Користувач переміщує документ із поточного розташування на сайті до нового.

Видалено всі проміжні версії файлу

FileVersionsAllMinorsRecycled

Користувач видаляє всі проміжні версії із журналу версій файлу. Видалені версії переміщаються до кошика сайту.

Видалено всі версії файлу

FileVersionsAllRecycled

Користувач видаляє всі версії із журналу версій файлу. Видалені версії переміщаються до кошика сайту.

Видалено версію файлу

FileVersionRecycled

Користувач видаляє версію із журналу версій файлу. Видалена версія переміщається до кошика сайту.

Перейменовано файл

FileRenamed

Користувач перейменовує документ на сайті.

Відновлено файл

FileRestored

Користувач відновлює документ із кошика сайту.

Передано файл

FileUploaded

Користувач передає документ до папки на сайті.

Переглянуто сторінку

PageViewed

Користувач переглядає сторінку на сайті. Це не стосується перегляду файлів, розташованих у бібліотеці документів, у браузері.

Немає

PageViewedExtended

Ця інформація стосується дії "Переглянуто сторінку" (PageViewed). Подія PageViewedExtended записується в журнал, коли той самий користувач протягом тривалого періоду часу (до 3 годин) постійно переглядає веб-сторінку. Мета запису подій PageViewedExtended – зменшити кількість подій PageViewed, що заносяться до журналу, коли користувач постійно переглядає сторінку. Це дасть змогу зменшити кількість записів PageViewed, що, фактично, є однією й тією ж дією користувача, і допоможе зосередитися на початковій (і більш важливій) події PageViewed.

На початок

Дії з папками

У таблиці нижче описано дії з папками в службах SharePoint Online і "OneDrive для бізнесу".

Зрозуміле ім’я

Операція

Опис

Скопійовано папку

FolderCopied

Користувач копіює папку із сайту до іншого розташування в службі SharePoint або "OneDrive для бізнесу".

Створено папку

FolderCreated

Користувач створює папку на сайті.

Видалено папку

FolderDeleted

Користувач видаляє папку із сайту.

Видалено папку з кошика

FolderDeletedFirstStageRecycleBin

Користувач видаляє папку з кошика на сайті.

Видалено папку з кошика другого рівня

FolderDeletedSecondStageRecycleBin

Користувач видаляє папку з кошика другого рівня на сайті.

Змінено папку

FolderModified

Користувач змінює папку на сайті. Це також стосується зміни метаданих папки, як-от зміни тегів і властивостей.

Переміщено папку

FolderMoved

Користувач переміщує папку в інше розташування на сайті.

Перейменовано папку

FolderRenamed

Користувач перейменовує папку на сайті.

Відновлено папку

FolderRestored

Користувач відновлює видалену папку з кошика на сайті.

На початок

Дії з надання спільного доступу та надсилання запитів на доступ

У таблиці нижче описано дії користувача з надання спільного доступу та надсилання запитів на доступ у службах SharePoint Online і "OneDrive для бізнесу". Для подій із надання спільного доступу в розділі Результати в стовпці Відомості вказано ім’я користувача або групи, яким надано спільний доступ, і чи цей користувач або група є учасником або гостем в організації. Докладні відомості див. в статті Відстеження подій із надання спільного доступу в контрольному журналі Office 365.

Примітка : Залежно від властивості UserType об’єкта користувача, користувачі можуть бути учасниками або гостями. Учасник – це зазвичай працівник організації, а гість – співробітник із-поза меж організації. Коли користувач, який ще не належить до організації, приймає запрошення до спільного ресурсу, у каталозі організації для нього створюється обліковий запис гостя. Коли гостьовий користувач уже має обліковий запис у каталозі, йому можна безпосередньо надавати спільний доступ до ресурсів (без потреби в запрошенні).

Зрозуміле ім’я

Операція

Опис

Запит на доступ прийнято

AccessRequestAccepted

Запит на доступ до сайту, папки або документа прийнято, а користувач, який надіслав запит, отримав доступ.

Запрошення до спільного використання прийнято

SharingInvitationAccepted

Користувач (учасник або гість) прийняв запрошення до спільного ресурсу й отримав доступ до ресурсу. Ця подія містить відомості про запрошеного користувача й адресу електронної пошти, з якої прийнято запрошення (вони можуть відрізнятися). Ця дія часто супроводжується ще однією подією, яка описує, як користувачу надано доступ до ресурсу (наприклад, додаванням користувача до групи, що має доступ до ресурсу).

Додано рівень дозволів до колекції сайтів

PermissionLevelAdded

До колекції сайтів додано рівень дозволів.

Запрошення до спільного використання заблоковано

SharingInvitationBlocked

Запрошення до спільного використання від користувача у вашій організації блокується через політику зовнішнього спільного доступу, яка дозволяє або забороняє зовнішній спільний доступ залежно від домену цільового користувача. У цьому випадку запрошення до спільного використання заблоковано, оскільки:

  • Домен цільового користувача відсутній у списку дозволених доменів.

    Або

  • Домен цільового користувача присутній у списку заблокованих доменів.

Докладні відомості про надання або блокування зовнішнього спільного доступу залежно від доменів див. в статті Обмеження спільного доступу за доменами в SharePoint Online і "OneDrive для бізнесу".

Розірвано успадкування рівня дозволів

PermissionLevelsInheritanceBroken

Елемент змінено, щоб він більше не успадковував рівні дозволів від батьківського елемента.

Розірвано успадкування спільного дозволу

SharingInheritanceBroken

Елемент змінено, щоб він більше не успадковував дозволи на спільне використання від батьківського елемента.

Створено посилання для спільного доступу всередині організації

CompanyLinkCreated

Користувач створив посилання на ресурс для користувачів у компанії. Такі посилання можуть використовуватися лише учасниками у вашій організації. Гості не можуть ними скористатися.

Створено запит на доступ

AccessRequestCreated

Користувач надсилає запит на доступ до сайту, папки або документа, дозволів на доступ до яких він не має.

Створено анонімне посилання

AnonymousLinkCreated

Користувач створив анонімне посилання на ресурс. Будь-хто з цим посиланням може отримати доступ до ресурсу без потреби автентифікації.

Запрошення до спільного використання створено

SharingInvitationCreated

Користувач надав спільний доступ до ресурсу в службі SharePoint Online або "OneDrive для бізнесу" користувачу, якого немає в каталозі організації.

Запит на доступ відхилено

AccessRequestDenied

Запит на доступ до сайту, папки або документа відхилено.

Змінено рівень дозволів у колекції сайтів

PermissionLevelModified

У колекції сайтів змінено рівень дозволів.

Видалено посилання для спільного доступу всередині організації

CompanyLinkRemoved

Користувач видалив посилання на ресурс для користувачів у компанії. За допомогою цього посилання більше не можна отримати доступ до ресурсу.

Видалено анонімне посилання

AnonymousLinkRemoved

Користувач видалив анонімне посилання на ресурс. За допомогою цього посилання більше не можна отримати доступ до ресурсу.

Вилучено рівень дозволів із колекції сайтів

PermissionLevelRemoved

З колекції сайтів вилучено рівень дозволів.

Відновлено успадкування спільного дозволу

SharingInheritanceReset

Внесено зміну, щоб елемент успадковував дозволи на спільне використання від батьківського елемента.

Надано спільний доступ до файлу, папки або сайту

SharingSet

Користувач (учасник або гість) надав спільний доступ до файлу, папки або сайту в службі SharePoint або "OneDrive для бізнесу" користувачу в каталозі організації. За значенням у стовпці Відомості для цієї дії можна визначити ім’я користувача, якому надано спільний доступ до ресурсу, і його тип (учасник або гість). Ця дія часто супроводжується ще однією подією, яка описує, як користувачу надано доступ до ресурсу (наприклад, додаванням користувача до групи, що має доступ до ресурсу).

Оновлено анонімне посилання

AnonymousLinkUpdated

Користувач оновив анонімне посилання на ресурс. Оновлене поле додається до властивості EventData, коли ви експортуєте результати пошуку.

Використано анонімне посилання

AnonymousLinkUsed

Анонімний користувач отримав доступ до ресурсу за допомогою анонімного посилання. Ідентичність користувача може бути невідома, але ви можете отримати інші відомості, як-от IP-адресу користувача.

Скасовано спільний доступ до файлу, папки або сайту

SharingRevoked

Користувач (учасник або гість) скасував спільний доступ до файлу, папки або сайту, раніше наданий іншому користувачу.

Використано посилання для спільного доступу всередині

CompanyLinkUsed

Користувач отримав доступ до ресурсу за допомогою посилання для користувачів у компанії.

Запрошення до спільного використання відкликано

SharingInvitationRevoked

Користувач відкликав запрошення до спільного ресурсу.

На початок

Дії із синхронізації

У таблиці нижче наведено дії із синхронізації файлів у службах SharePoint Online і "OneDrive для бізнесу".

Зрозуміле ім’я

Операція

Опис

Комп’ютеру дозволено синхронізувати файли

ManagedSyncClientAllowed

Користувач успішно встановлює зв’язок синхронізації із сайтом. Зв’язок синхронізації встановлено успішно, тому що комп’ютер користувача входить у домен, доданий до списку доменів (списку надійних одержувачів), які мають доступ до бібліотек документів в організації.

Докладні відомості про цю функцію див. в статті Активація синхронізації з OneDrive для доменів зі списку надійних одержувачів за допомогою командлетів Windows PowerShell.

Комп’ютеру заборонено синхронізувати файли

UnmanagedSyncClientBlocked

Користувач намагається встановити зв’язок синхронізації із сайтом на комп’ютері, який не входить у домен організації або ж входить у домен, не доданий до списку доменів (списку надійних одержувачів), що мають доступ до бібліотек документів в організації. Зв’язок синхронізації заборонений, а комп’ютеру не дозволяється синхронізувати, завантажувати або передавати файли в бібліотеці документів.

Відомості про цю функцію див. в статті Активація синхронізації з OneDrive для доменів зі списку надійних одержувачів за допомогою командлетів Windows PowerShell.

Завантажено файли на комп’ютер

FileSyncDownloadedFull

Користувач установлює зв’язок синхронізації та успішно вперше завантажує файли на свій комп’ютер із бібліотеки документів.

Завантажено зміни у файлах на комп’ютер

FileSyncDownloadedPartial

Користувач успішно завантажує всі зміни до файлів із бібліотеки документів. Ця дія вказує на те, що будь-які зміни, внесені до файлів у бібліотеці документів, завантажено на комп’ютер користувача. Оскільки користувач раніше вже завантажив бібліотеку документів (на що вказує дія Завантажено файли на комп’ютер), завантажують лише зміни.

Передано файли до бібліотеки документів

FileSyncUploadedFull

Користувач установлює зв’язок синхронізації та успішно вперше передає файли зі свого комп’ютера до бібліотеки документів.

Передано зміни файлів до бібліотеки документів

FileSyncUploadedPartial

Користувач успішно передає внесені до файлів зміни до бібліотеки документів. Ця подія вказує на те, що будь-які зміни, внесені до локальної версії файлу з бібліотеки документів, успішно передано до бібліотеки документів. Оскільки користувач раніше вже передав ці файли (на що вказує дія Передано файли до бібліотеки документів), передаються лише зміни.

На початок

Дії з адміністрування сайтів

У таблиці нижче наведено події, які є результатом виконання завдань з адміністрування сайту в SharePoint Online.

Зрозуміле ім’я

Операція

Опис

Додано виключеного агента користувача

ExemptUserAgentSet

Адміністратор SharePoint або глобальний адміністратор додає агент користувача до списку виключених агентів користувача в Центрі адміністрування SharePoint.

Додано адміністратора колекції сайтів

SiteCollectionAdminAdded

Адміністратор або власник колекції сайтів додає адміністратора колекції сайтів для сайту. Адміністратори колекції сайтів мають дозволи на повне керування для колекції сайтів і всіх підсайтів.

До групи SharePoint додано користувача або групу

AddedToGroup

Користувач додав учасника або гостя до групи SharePoint. Це могла бути навмисна дія або результат іншої дії, наприклад події з надання спільного доступу.

Користувачу дозволено створювати групи

AllowGroupCreationSet

Адміністратор чи власник сайту додає рівень дозволів на сайт, що дає можливість користувачу з цим дозволом створювати групи для цього сайту.

Скасовано географічне переміщення сайту

SiteGeoMoveCancelled

Адміністратор SharePoint або глобальний адміністратор скасовує географічне переміщення сайту SharePoint або OneDrive. Завдяки функції Multi-Geo Capabilities організації Office 365 можуть розширити свою присутність у кількох регіонах центрів обробки даних Office 365, які називаються географічними регіонами. Докладні відомості див. в статті Функція Multi-Geo Capabilities у OneDrive і SharePoint Online в Office 365.

Змінено політику спільного використання

SharingPolicyChanged

Адміністратор SharePoint або глобальний адміністратор змінив політику спільного використання SharePoint на порталах адміністрування Office 365 і SharePoint або за допомогою оболонки керування SharePoint Online. Записуються всі зміни до параметрів політики спільного використання в організації. Змінена політика визначається в полі ModifiedProperties у детальних властивостях запису події.

Змінено політику доступу до пристрою

DeviceAccessPolicyChanged

Адміністратор SharePoint або глобальний адміністратор змінив політику щодо некерованих пристроїв для організації. Ця політика регулює доступ до SharePoint, OneDrive, і Office 365 із пристроїв, не доданих до вашої організації. Щоб налаштувати цю політику, потрібно мати передплату на Enterprise Mobility + Security. Докладні відомості див. в статті Керування доступом із некерованих пристроїв.

Змінено виключених агентів користувача

CustomizeExemptUsers

Адміністратор SharePoint або глобальний адміністратор налаштовує список виключених агентів користувача в Центрі адміністрування SharePoint. Ви можете визначити, які агенти користувача не мають отримувати всю веб-сторінку для індексації. Це означає, що для виключеного агента користувача форма InfoPath повертатиметься у форматі XML, а не у вигляді повної веб-сторінки. Так форми InfoPath індексуватимуться швидше.

Змінено політику доступу до мережі

NetworkAccessPolicyChanged

Адміністратор SharePoint або глобальний адміністратор змінив політику доступу за розташуванням (яка також називається межею довіреної мережі) у Центрі адміністрування SharePoint або за допомогою SharePoint Online PowerShell. Політика цього типу регулює, хто може отримати доступ до ресурсів SharePoint і OneDrive в організації на основі вказаних вами діапазонів IP-адрес. Докладні відомості див. в статті Керування доступом до даних SharePoint Online і OneDrive на основі визначених мережевих розташувань.

Завершено географічне переміщення сайту

SiteGeoMoveCompleted

Географічне переміщення сайту, яке запланував глобальний адміністратор у вашій організації, успішно завершено.Завдяки функції Multi-Geo Capabilities організації Office 365 можуть розширити свою присутність у кількох регіонах центрів обробки даних Office 365, які називаються географічними регіонами. Докладні відомості див. в статті Функція Multi-Geo Capabilities у OneDrive і SharePoint Online в Office 365.

Створено групу

GroupAdded

Адміністратор або власник сайту створює групу для сайту або виконує завдання, що призводить до створення групи. Наприклад, коли користувач уперше створює посилання для спільного доступу до файлу, до його сайту "OneDrive для бізнесу" додається системна група. Ця подія також може відбутися, якщо користувач створить посилання на спільний файл із дозволами на редагування.

Створено підключення "Надіслано від"

SendToConnectionAdded

Адміністратор SharePoint або глобальний адміністратор створює нове підключення для надсилання в Центрі адміністрування SharePoint на сторінці "Керування записами". Підключення для надсилання визначає параметри для репозиторію документів або центру записів. Коли ви створюєте підключення для надсилання, Організатор вмісту може надіслати документи до вказаного розташування.

Створено колекцію сайтів

SiteCollectionCreated

Адміністратор SharePoint або глобальний адміністратор створює колекцію сайтів в організації SharePoint Online, чи користувач готує сайт OneDrive для бізнесу у своїй організації.

Видалено групу

GroupRemoved

Користувач видаляє групу із сайту.

Видалено підключення "Надіслано від"

SendToConnectionRemoved

Адміністратор SharePoint або глобальний адміністратор видаляє підключення для надсилання на сторінці "Керування записами" в Центрі адміністрування SharePoint.

Видалено сайт

SiteDeleted

Адміністратор сайту видаляє сайт.

Увімкнуто попередній перегляд документів

PreviewModeEnabledSet

Адміністратор сайту активує попередній перегляд документів для сайту.

Увімкнуто застарілий робочий цикл

LegacyWorkflowEnabledSet

Адміністратор чи власник сайту додає тип вмісту "Завдання робочого циклу SharePoint 2013" до сайту. Глобальні адміністратори також можуть активувати робочі цикли для всієї організації в Центрі адміністрування SharePoint.

Увімкнуто Office на вимогу

OfficeOnDemandSet

Адміністратор сайту активує "Office на вимогу", що дає змогу користувачам працювати з найновішою версією класичних програм цього пакета. Функцію "Office на вимогу" можна активувати в Центрі адміністрування SharePoint. Для цього знадобиться передплата на Office 365 із можливістю повної інсталяції програм Office.

Увімкнуто RSS-канали

NewsFeedEnabledSet

Адміністратор або власник сайту активує RSS-канали для сайту. Глобальні адміністратори можуть активувати RSS-канали для всієї організації в Центрі адміністрування SharePoint.

Змінено дозволи доступу до сайту

SitePermissionsModified

Адміністратор чи власник сайту (або користувач системного облікового запису) змінює рівень дозволів, призначених групі на сайті. Ця дія також записується, якщо видалити з групи всі дозволи.

Примітка : У SharePoint Online цю операцію вилучено. Щоб знайти пов’язані події, можна знайти інші зв’язані з дозволами дії, як-от Додано адміністратора колекції сайтів, До групи SharePoint додано користувача або групу, Користувачу дозволено створювати групи, Створено групу та Видалено групу.

З групи SharePoint видалено користувача або групу

RemovedFromGroup

Користувач видалив учасника або гостя з групи SharePoint. Це могла бути навмисна дія або результат іншої дії, наприклад події зі скасування спільного доступу.

Перейменовано сайт

SiteRenamed

Адміністратор чи власник сайту перейменовує сайт.

Запитано дозволи адміністратора сайту

SiteAdminChangeRequest

Користувач надсилає запит, щоб його зробили адміністратором колекції сайтів. Її адміністратори мають дозволи на повне керування для колекції сайтів і всіх підсайтів.

Заплановано географічне переміщення сайту

SiteGeoMoveScheduled

Адміністратор SharePoint або глобальний адміністратор планує географічне переміщення сайту SharePoint або OneDrive. Завдяки функції Multi-Geo Capabilities організації Office 365 можуть розширити свою присутність у кількох регіонах центрів обробки даних Office 365, які називаються географічними регіонами. Докладні відомості див. в статті Функція Multi-Geo Capabilities у OneDrive і SharePoint Online в Office 365.

Установлено сайт хоста

HostSiteSet

Адміністратор SharePoint або глобальний адміністратор змінює визначений сайт, щоб розмістити особисті сайти або сайти "OneDrive для бізнесу".

Оновлено групу

GroupUpdated

Адміністратор або власник сайту змінює параметри групи для сайту. Наприклад, він може змінити ім’я групи, користувачів, які можуть переглядати або редагувати учасників групи, а також спосіб обробки запитів на участь.

На початок

Дії з поштовими скриньками Exchange

У таблиці нижче наведено дії, що записуються до контрольного журналу поштової скриньки. Реєструються дії, які виконує власник поштової скриньки, її уповноважений користувач або адміністратор. За замовчуванням відстеження дій із поштовими скриньками в Office 365 не активовано. Дії з поштовими скриньками записуватимуться, лише якщо активувати для кожної поштової скриньки реєстрацію дій у контрольному журналі. Докладні відомості див. в статті Активація відстеження дій із поштовими скриньками в Office 365.

Зрозуміле ім’я

Операція

Опис

Додано дозволи поштової скриньки представника

Add-MailboxPermission

Адміністратор надав користувачу (відомому як представник) дозвіл FullAccess на доступ до поштової скриньки іншого користувача. Дозвіл FullAccess дає змогу представнику відкривати поштову скриньку іншого користувача, переглядати її вміст і розпоряджатися ним.

Повідомлення скопійовано до іншої папки

Copy

Повідомлення скопійовано до іншої папки.

Створено елемент поштової скриньки

Create

У поштовій скриньці створено елемент у папці "Календар", "Контакти", "Нотатки" або "Завдання" (наприклад, запрошення на нараду). Зверніть увагу: створення, надсилання або отримання повідомлення не записується. Те саме стосується й створення папки поштової скриньки.

Повідомлення видалено з папки видалених елементів

SoftDelete

Повідомлення видалено остаточно або видалено з папки "Видалені". Ці елементи переміщуються до папки "Відновлювані елементи". До неї також переміщуються повідомлення, коли користувач виділяє їх і натискає клавіші Shift+Delete.

Повідомлення переміщено до іншої папки

Move

Повідомлення переміщено до іншої папки.

Повідомлення переміщено до папки видалених елементів

MoveToDeletedItems

Повідомлення видалено й переміщено до папки "Видалені".

Повідомлення видалено з поштової скриньки

HardDelete

Повідомлення видалено з папки "Відновлювані елементи" (остаточно видалено з поштової скриньки).

Видалено дозволи поштової скриньки представника

Remove-MailboxPermission

Адміністратор видалив дозвіл FullAccess (який було надано представнику) з поштової скриньки користувача. Після видалення дозволу FullAccess представник більше не може відкривати поштову скриньку іншого користувача та отримувати доступ до будь-якого її вмісту.

Надіслано повідомлення за допомогою дозволів "Надіслати як"

SendAs

Повідомлення надіслано за допомогою дозволу SendAs. Це означає, що інший користувач надіслав повідомлення нібито від власника поштової скриньки.

Надіслано повідомлення за допомогою дозволів "Надіслати від імені"

SendOnBehalf

Повідомлення надіслано за допомогою дозволу SendOnBehalf. Це означає, що інший користувач надіслав повідомлення від імені власника поштової скриньки. З повідомлення одержувач може дізнатися, хто та від чийого імені надіслав повідомлення.

Оновлено повідомлення

Update

Повідомлення або його властивості змінено.

Користувач увійшов у поштову скриньку

MailboxLogin

Користувач увійшов у свою поштову скриньку.

На початок

Дії з презентацією Sway

У таблиці нижче наведено дії користувачів і адміністраторів у Sway, програмі Office 365, яка дає змогу користувачам збирати, форматувати й поширювати ідеї, історії та презентації на інтерактивному веб-полотні. Докладні відомості див. в статті Запитання й відповіді про програму Sway – довідка для адміністраторів.

Зрозуміле ім’я

Операція

Опис

Змінено рівень спільного доступу до презентації Sway

SwayChangeShareLevel

Користувач змінює рівень спільного доступу до презентації Sway. Ця подія свідчить про те, що користувач змінив сферу спільного використання, пов’язану з презентацією Sway (наприклад, змінив загальний доступ на доступ у межах організації).

Створено презентацію Sway

SwayCreate

Користувач створює презентацію Sway.

Видалено презентацію Sway

SwayDelete

Користувач видаляє презентацію Sway.

Вимкнуто дублювання презентації Sway

SwayDisableDuplication

Користувач вимикає дублювання презентації Sway.

Дубльовано презентацію Sway

SwayDuplicate

Користувач дублює презентацію Sway.

Змінено презентацію Sway

SwayEdit

Користувач змінює презентацію Sway.

Увімкнуто дублювання презентації Sway

EnableDuplication

Користувач вмикає дублювання презентації Sway (за замовчуванням можливість вмикати дублювання презентації Sway активовано для користувача).

Скасовано спільний доступ до презентації Sway

SwayRevokeShare

Користувач скасовує спільний доступ до презентації Sway, відкликаючи доступ до неї. Скасування доступу змінює посилання, пов’язані з презентацією Sway.

Надано спільний доступ до презентації Sway

SwayShare

Користувач має намір надати спільний доступ до презентації Sway. Ця подія свідчить про те, що користувач клацнув певне місце призначення в меню спільного доступу Sway. Ця подія не вказує, чи користувач завершив дію з надання спільного доступу.

Вимкнуто зовнішній спільний доступ до презентації Sway

SwayExternalSharingOff

Адміністратор вимикає зовнішній спільний доступ до презентацій Sway для всієї організації в Центрі адміністрування Office 365.

Увімкнуто зовнішній спільний доступ до презентації Sway

SwayExternalSharingOn

Адміністратор вмикає зовнішній спільний доступ до презентацій Sway для всієї організації в Центрі адміністрування Office 365.

Вимкнуто службу Sway

SwayServiceOff

Адміністратор вимикає службу Sway для всієї організації в Центрі адміністрування Office 365.

Увімкнуто службу Sway

SwayServiceOn

Адміністратор вмикає службу Sway для всієї організації в Центрі адміністрування Office 365 (за замовчуванням службу Sway увімкнуто).

Переглянуто презентацію Sway

SwayView

Користувач переглядає презентацію Sway.

На початок

Дії з адміністрування користувачів

У таблиці нижче наведено дії з адміністрування користувачів, які записуються, коли адміністратор додає або змінює обліковий запис користувача в Центрі адміністрування Office 365 або на порталі керування Azure.

Дія

Операція

Опис

Додано користувача

Add user

Створено обліковий запис користувача Office 365.

Змінено ліцензію користувача

Change user license

Призначену користувачу ліцензію змінено. Щоб дізнатися, які ліцензії змінено, див. відповідну дію Оновлено відомості про користувача.

Змінено пароль користувача

Change user password

Адміністратор змінив пароль для користувача.

Видалено користувача

Delete user

Видалено обліковий запис користувача Office 365.

Скинуто пароль користувача

Reset user password

Адміністратор скинув пароль для користувача.

Установлено властивість, що примушує користувача змінювати пароль

Set force change user password

Адміністратор установив властивість, яка змушує користувача змінити пароль під час наступного входу в Office 365.

Установлено властивості ліцензії

Set license properties

Адміністратор змінює властивості ліцензії, призначеної користувачу.

Оновлено відомості про користувача

Update user

Адміністратор змінив одну або кілька властивостей облікового запису користувача. Перелік властивостей користувача, які можна оновити, див. в розділі "Оновлення атрибутів користувача" в статті Події в контрольному звіті Azure Active Directory.

На початок

Дії з адміністрування груп Azure AD

У таблиці нижче наведено дії з адміністрування груп, які записуються, коли адміністратор або користувач створює або змінює групу Office 365, а також коли адміністратор створює групу безпеки в Центрі адміністрування Office 365 або на порталі керування Azure. Докладні відомості про групи в Office 365 див. в статті Перегляд, створення та видалення груп у Центрі адміністрування Office 365.

Зрозуміле ім’я

Операція

Опис

Додано групу

Add group

Створено групу.

Додано учасника до групи

Add member to group

До групи додано учасника.

Видалено групу

Delete group

Групу видалено.

Видалено учасника з групи

Remove member from group

З групи видалено учасника.

Оновлено відомості про групу

Update group

Змінено властивість групи.

На початок

Дії з адміністрування програм

У таблиці нижче наведено дії з адміністрування програм, які записуються, коли адміністратор додає або змінює програму, зареєстровану в Azure AD. Усі програми, що автентифікуються за допомогою Azure AD, слід зареєструвати в каталозі.

Зрозуміле ім’я

Операція

Опис

Додано запис делегування

Add delegation entry

Створено або надано дозвіл на автентифікацію для програми в Azure AD.

Додано основне ім’я служби

Add service principal

Програму зареєстровано в Azure AD. У каталозі програму представлено за допомогою основного імені служби.

Облікові дані додано до основного імені служби

Add service principal credentials

Облікові дані додано до основного імені служби в Azure AD. Основне ім’я служби представляє програму в каталозі.

Видалено запис делегування

Remove delegation entry

У програми в Azure AD відкликано дозвіл на автентифікацію.

Основне ім’я служби видалено з каталогу

Remove service principal

Програму видалено з Azure AD або скасовано її реєстрацію в цій службі. У каталозі програму представлено за допомогою основного імені служби.

Облікові дані видалено з основного імені служби

Remove service principal credentials

Облікові дані видалено з основного імені служби в Azure AD. Основне ім’я служби представляє програму в каталозі.

Настройте запис делегування

Set delegation entry

Для програми в Azure AD оновлено дозвіл на автентифікацію.

На початок

Дії з адміністрування ролей

У таблиці нижче наведено дії з адміністрування ролей в Azure AD, які записуються, коли адміністратор керує ролями адміністратора в Центрі адміністрування Office 365 або на порталі керування Azure.

Зрозуміле ім’я

Операція

Опис

Додано учасника до ролі

Add role member to role

До ролі адміністратора в Office 365 додано користувача.

Користувача вилучено з ролі каталогу

Remove role member from role

Користувача видалено з ролі адміністратора в Office 365.

Установлено контактну інформацію організації

Set company contact information

Оновлено контактні дані на рівні компанії для вашої організації Office 365 (зокрема, адреси електронної пошти для повідомлень щодо передплати, що надсилає Office 365, а також для технічних сповіщень про служби Office 365).

На початок

Дії з адміністрування каталогів

У таблиці нижче наведено дії, пов’язані з доменами й каталогами Azure AD, які записуються, коли адміністратор керує організацією Office 365 у Центрі адміністрування Office 365 або на порталі керування Azure.

Зрозуміле ім’я

Операція

Опис

Додано домен до організації

Add domain to company

До організації Office 365 додано домен.

Партнера додано до каталогу

Add partner to company

До організації Office 365 додано партнера (уповноваженого адміністратора).

Видалено домен з організації

Remove domain from company

З організації Office 365 видалено домен.

Партнера видалено з каталогу

Remove partner from company

З організації Office 365 видалено партнера (уповноваженого адміністратора).

Установлено відомості про організацію

Set company information

Для організації Office 365 оновлено відомості про компанію (зокрема, адреси електронної пошти для повідомлень щодо передплати, що надсилає Office 365, а також для технічних сповіщень про служби Office 365).

Установлено автентифікацію домену

Set domain authentication

Для організації Office 365 змінено параметр автентифікації домену.

Оновлено настройки об’єднання для домену

Set federation settings on domain

Для організації Office 365 оновлено настройки об’єднання (зовнішнього спільного доступу).

Установлено політику паролів

Set password policy

Змінено довжину та обмеження на кількість символів для паролів користувачів в організації Office 365.

Увімкнуто синхронізацію Azure AD

Set DirSyncEnabled flag on company

Установлено властивість, яка вмикає синхронізацію Azure AD для каталогів.

Оновлено домен

Update domain

Оновлено параметри домену в організації Office 365.

Перевірено домен

Verify domain

Підтверджено, що ваша організація володіє доменом.

Перевірено електронну пошту підтвердженого домену

Verify email verified domain

Перевірено електронну пошту, щоб підтвердити, що ваша організація володіє доменом.

На початок

Дії служби витребування електронної інформації

Дії, пов’язані з Пошуком вмісту та витребуванням електронної інформації, які виконуються в Центрі безпеки та відповідності Office 365 або за допомогою запуску відповідних командлетів Windows PowerShell, записуються в контрольному журналі Office 365. Сюди належать такі дії:

  • створення сценаріїв витребування електронної інформації та керування ними;

  • створення, запуск і редагування Пошуку вмісту;

  • виконання дій Пошуку вмісту, як-от попередній перегляд сторінок, експорт і видалення результатів пошуку;

  • настроювання фільтрування дозволів для Пошуку вмісту;

  • керування роллю адміністратора витребування електронної інформації.

Список і детальний опис дій служби витребування електронної інформації, які записуються, див. в статті Пошук дій служби витребування електронної інформації в контрольному журналі Office 365.

Примітка : Відображення подій унаслідок дій зі списку Дії з розділу Дії служби витребування електронної інформації в результатах пошуку займає до 30 хв. І навпаки, відображення відповідних подій із дій командлету витребування електронної інформації в результатах пошуку займає до 24 год.

На початок

Дії Power BI

У таблиці нижче перелічено дії користувачів і адміністраторів у Power BI, що заносяться до контрольного журналу Office 365.

Зрозуміле ім’я

Операція

Опис

Додано учасників групи Power BI

AddGroupMembers

Учасника додано до робочої області групи Power BI.

Проаналізовано набори даних Power BI

AnalyzedByExternalApplication

Набір даних проаналізовано зовнішньою програмою.

Створено приладну дошку Power BI

CreateDashboard

Створено приладну дошку.

Створено групу Power BI

CreateGroup

Створено групу.

Створено пакет вмісту Power BI для організації

CreateOrgApp

Створено пакет вмісту для організації.

Видалено приладну дошку Power BI

DeleteDashboard

Видалено приладну дошку.

Видалено набори даних Power BI

DeleteDataset

Видалено набір даних.

Видалено звіт Power BI

DeleteReport

Видалено звіт.

Завантажено звіт Power BI

DownloadReport

Користувач завантажує звіт Power BI зі служби на свій комп’ютер.

Змінено приладну дошку Power BI

EditDashboard

Перейменовано приладну дошку.

Експортовано візуальні дані звіту Power BI

ExportReport

З плитки звіту експортовано дані.

Експортовано дані плитки Power BI

ExportTile

З плитки приладної дошки експортовано дані.

Надруковано приладну дошку Power BI

PrintDashboard

Надруковано приладну дошку.

Надруковано сторінку звіту Power BI

PrintReport

Надруковано звіт.

Звіт Power BI опубліковано в Інтернеті

PublishToWebReport

Звіт опубліковано в Інтернеті.

Надано спільний доступ до приладної дошки Power BI

ShareDashboard

Надано спільний доступ до приладної дошки.

Розпочато ознайомлення з Power BI

OptInForProTrial

Користувач починає роботу з ознайомлювальною версією передплати на Power BI Pro.

Оновлено параметри Power BI для організації

UpdatedAdminFeatureSwitch

Адміністратор змінив параметр організації на порталі адміністрування Power BI.

Переглянуто приладну дошку Power BI

ViewDashboard

Переглянуто приладну дошку.

Переглянуто звіт Power BI

ViewReport

Надруковано звіт

На початок

Дії Microsoft Teams

У таблиці нижче перелічено дії користувачів і адміністраторів у Команди Microsoft, що заносяться до контрольного журналу Office 365. Команди Microsoft – це заснована на чаті робоча область в Office 365. Вона об’єднує всі розмови, наради, файли та нотатки групи. Докладні відомості та посилання на статті довідки див. тут:

Зрозуміле ім’я

Операція

Опис

Додано бота до команди

BotAddedToTeam

Користувач додає бот до команди.

Додано канал

ChannelAdded

Користувач додає канал до групи.

Додано з’єднувач

ConnectorAdded

Користувач додає з’єднувач до каналу.

Додано вкладку

TabAdded

Користувач додає вкладку до каналу.

Параметри каналу змінено

ChannelSettingChanged

Операція ChannelSettingChanged реєструється в журналі, якщо учасник групи виконує зазначені нижче дії. Для кожної з цих дій у стовпці Елемент у результатах пошуку в контрольному журналі відображається опис зміненого параметра (зазначено через тире нижче).

  • Змінює назву каналу групи – Channel name (Ім’я каналу).

  • Змінює опис каналу групи – Channel description (Опис каналу).

Параметри організації змінено

OrganizationSettingChanged

Операція OrganizationSettingChanged реєструється в журналі, якщо глобальний адміністратор виконує зазначені нижче дії (через Центр адміністрування Office 365). Зауважте, що ці дії впливають на параметри Команди Microsoft для всієї організації. Докладні відомості див. в статті про параметри адміністратора для Microsoft Teams.

Для кожної з цих дій у стовпці Елемент у результатах пошуку в контрольному журналі відображається опис зміненого параметра (зазначено через тире нижче).

  • Вмикає або вимикає Команди Microsoft для організації – Команди Microsoft.

  • Вмикає або вимикає взаємодію між Команди Microsoft і "Skype для бізнесу" в організації – Skype for Business interoperability (Взаємодія в "Skype для бізнесу").

  • Вмикає або вимикає подання організаційної діаграми в клієнтах Команди Microsoft – Org chart view (Подання організаційної діаграми).

  • Вмикає або вимикає для учасників групи можливість планувати приватні наради – Private meeting scheduling (Планування приватних нарад).

  • Вмикає або вимикає для учасників групи можливість планувати наради каналів – Channel meeting scheduling (Планування наради каналу).

  • Вмикає або вимикає можливість здійснювати відеовиклики в нарадах Teams – Video for Skype meetings (Відео для нарад Skype).

  • Вмикає або вимикає для організації спільний доступ до екрана під час зустрічей Команди Microsoft – Screen sharing for Skype meetings (Спільний доступ до екрана для нарад Skype).

  • Вмикає або вимикає можливість додавати анімовані зображення (Giphy) у розмови Teams – Animated images (Анімовані зображення).

  • Змінює параметр оцінки вмісту для організації – Content rating (Оцінка вмісту).

    Оцінка вмісту обмежує тип анімованого зображення, яке може відображатися в розмовах.

  • Вмикає або вимикає для учасників груп можливість додавати в розмови груп спеціальні зображення (меми) з Інтернету, – Customizable images from the Internet (Спеціальні зображення з Інтернету).

  • Вмикає або вимикає для учасників груп можливість додавати в розмови груп зображення, доступні для редагування (наклейки), – Editable images (Зображення, доступні для редагування).

  • Вмикає або вимикає для учасників груп можливість користуватися ботами в чатах і каналах Команди Microsoft – Org-wide bots (Боти для всієї організації).

  • Вмикає певні боти для Команди Microsoft (окрім T-Bot – довідкового бота Teams, доступного, якщо боти увімкнено для організації) – Individual bots (Окремі боти).

  • Вмикає або вимикає для учасників групи можливість додавати розширення або вкладки – Extensions or tabs (Розширення або вкладки).

  • Вмикає або вимикає можливість стороннього завантаження власних ботів для Команди Microsoft – Side loading of Bots (Стороннє завантаження ботів).

  • Вмикає або вимикає для користувачів можливість надсилати повідомлення електронної пошти на канал Команди Microsoft – Channel email (Повідомлення електронної пошти каналу).

Параметр команди змінено

TeamSettingChanged

Операція TeamSettingChanged реєструється в журналі, якщо адміністратор групи виконує зазначені нижче дії. Для кожної з цих дій у стовпці Елемент у результатах пошуку в контрольному журналі відображається опис зміненого параметра (зазначено через тире нижче).

  • Змінює тип доступу до групи. Групи можна налаштувати як приватні або загальнодоступні – Team access type (Тип доступу групи).

    Якщо група приватна (за замовчанням), користувачі можуть отримати доступ до неї лише за запрошенням. Якщо вона загальнодоступна, її може знайти будь-хто.

  • Змінює класифікацію відомостей про групу – Team classification (Класифікація групи).

    Наприклад, дані групи можна класифікувати як дуже важливі, важливі або не дуже важливі для бізнесу.

  • Змінює ім’я групи – Team name (Назва групи).

  • Змінює опис групи – Team description (Опис групи).

Створено групу

TeamCreated

Користувач створює нову групу.

Видалено канал

ChannelDeleted

Користувач видаляє канал із групи.

Видалено команду

TeamDeleted 

Адміністратор групи видаляє групу.

Вилучено бота з команди

BotRemovedFromTeam

Користувач вилучає бот із команди.

Вилучено з’єднувач

ConnectorRemoved

Користувач вилучає з’єднувач із каналу.

Вилучено вкладку

TabRemoved

Користувач вилучає вкладку з каналу.

Користувач увійшов у Teams

TeamsSessionStarted

Користувач входить у клієнт Команди Microsoft.

На початок

Дії Yammer

У таблиці нижче перелічено дії користувачів і адміністраторів у Yammer, що записуються до контрольного журналу Office 365. Щоб отримати з контрольного журналу Office 365 записи, пов’язані з Yammer, потрібно в списку Дії вибрати команду Показати результати для всіх дій. Щоб уточнити результати пошуку, скористайтеся полями діапазону дат і списком Користувачі.

Зрозуміле ім’я

Операція

Опис

Змінено політику збереження даних

SoftDeleteSettingsUpdated

Перевірений адміністратор змінює значення параметра політики збереження даних мережі на "Строге видалення" або "М’яке видалення". Цю операцію можуть виконати лише перевірені адміністратори.

Змінено конфігурацію мережі

NetworkConfigurationUpdated

Адміністратор мережі або перевірений адміністратор змінює конфігурацію мережі Yammer, зокрема встановлює інтервал для експорту даних і активації чату.

Змінено параметри профілю мережі

ProcessProfileFields

Адміністратор мережі або перевірений адміністратор змінює відомості, які відображаються в профілях учасника для користувачів мережі.

Змінено режим конфіденційного вмісту

SupervisorAdminToggled

Перевірений адміністратор активує або вимикає параметр Режим конфіденційного вмісту. У цьому режимі адміністратор може переглядати дописи в приватних групах і особисті повідомлення між окремих користувачів (або групами користувачів). Цю операцію можуть виконати лише перевірені адміністратори.

Змінено конфігурацію системи безпеки

NetworkSecurityConfigurationUpdated

Перевірений адміністратор оновлює конфігурацію системи безпеки мережі Yammer, зокрема встановлює політики терміну дії пароля та обмеження на IP-адреси. Цю операцію можуть виконати лише перевірені адміністратори.

Створено файл

FileCreated

Користувач передає файл.

Створено групу

GroupCreation

Користувач створює нову групу.

Видалено групу

GroupDeletion

Групу видалено з Yammer.

Видалено повідомлення

MessageDeleted

Користувач видаляє повідомлення.

Завантажено файл

FileDownloaded

Користувач завантажує файл.

Експортовано дані

DataExport

Перевірений адміністратор експортує дані мережі Yammer. Цю операцію можуть виконати лише перевірені адміністратори.

Надано спільний доступ до файлу

FileShared

Один користувач надає іншому спільний доступ до файлу.

Відключено користувача мережі

NetworkUserSuspended

Адміністратор мережі або перевірений адміністратор відключає (деактивує) користувача в Yammer.

Відключено користувача

UserSuspension

Відключено (деактивовано) обліковий запис користувача.

Оновлено опис файлу

FileUpdateDescription

Користувач змінює опис файлу.

Оновлено ім’я файлу

FileUpdateName

Користувач змінює ім’я файлу.

Переглянуто файл

FileVisited

Користувач переглядає файл.

На початок

Контрольний журнал адміністратора Exchange

Реєстрація подій у контрольному журналі адміністратора Exchange (активовано в Office 365 за замовчуванням) – це записування подій до контрольного журналу Office 365, коли адміністратор (або користувач, якому призначено права адміністратора) вносить зміни до організації Exchange Online. Зміни, внесені в Центрі адміністрування Exchange або за допомогою командлета Windows PowerShell, записуються в контрольний журнал адміністратора Exchange. Докладні відомості про реєстрацію подій у контрольному журналі Exchange див. в цій статті. Нижче наведено кілька порад із пошуку дій у контрольному журналі адміністратора Exchange.

  • Щоб отримати записи з контрольного журналу адміністратора Exchange, потрібно в списку Дії вибрати команду Показати результати для всіх дій. Щоб уточнити результати пошуку для командлетів, які запустив певний адміністратор Exchange у певний проміжок часу, скористайтеся полями діапазону дат і списком Користувачі.

  • Щоб відобразити події з контрольного журналу адміністратора Exchange, відфільтруйте результати пошуку, ввівши в полі фільтра Дія знак - (дефіс). З’являться імена командлетів, які містяться в стовпці Дія для подій адміністрування Exchange. Потім ви можете відсортувати імена командлетів за алфавітом.

    Введіть дефіс у поле "Дії", щоб відфільтрувати події адміністратора Exchange
  • Щоб отримати відомості про запущений командлет, використані в ньому параметри та їхні значення, а також об’єкти, на які він вплинув, потрібно експортувати результати пошуку та вибрати команду Завантажити всі результати.

На початок

Потрібно з’ясувати, чи користувач переглянув певний документ або чи він видалив елемент зі своєї поштової скриньки? Для цього ви можете переглянути дії користувача й адміністратора у своїй організації Office 365, скориставшись пошуком в об’єднаному контрольному журналі в Центрі безпеки та відповідності Office 365. Чому в об’єднаному? Тому що він містить найнеобхідніші відомості про дії користувачів і адміністраторів в Office 365, а саме:

  • дії користувача в службах SharePoint Online і "OneDrive для бізнесу";

  • дії користувача в Exchange Online (реєстрація подій у контрольному журналі поштової скриньки Exchange).

    Увага! : Дії користувача в Exchange Online записуватимуться, лише якщо для кожної поштової скриньки користувача активовано реєстрацію подій у контрольному журналі. Докладні відомості див. в статті Активація відстеження дій із поштовими скриньками в Office 365.

  • дії адміністратора в SharePoint Online;

  • дії адміністратора в Azure Active Directory (служба каталогів для Office 365);

  • дії адміністратора в Exchange Online (реєстрація подій у контрольному журналі адміністратора Exchange);

  • дії користувача й адміністратора у Sway.

  • дії користувача й адміністратора в Power BI для Office 365;

  • дії користувача й адміністратора в Команди Microsoft;

  • дії користувача й адміністратора в Yammer.

Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×