Các thuộc tính chi tiết trong Office 365 kiểm tra Nhật ký

Quan trọng:  Bài viết này là dịch máy, hãy xem tuyên bố miễn trừ trách nhiệm. Bạn hãy tìm phiên bản tiếng Anh của bài viết này tại đây để tham khảo.

Khi bạn xuất kết quả tìm kiếm một Nhật ký kiểm nghiệm từ Trung tâm Bảo mật & Tuân thủ của Office 365, bạn có thể chọn để tải xuống tất cả các kết quả đáp ứng tiêu chí tìm kiếm của bạn. Bạn thực hiện điều này bằng cách chọn xuất kết quả > tải xuống tất cả các kết quả trên trang kiểm tra Nhật ký tìm kiếmTrung tâm Bảo mật & Tuân thủ. Để biết thêm thông tin, hãy xem Tìm kiếm kiểm toán đăng nhập Office 365 bảo mật và tuân thủ căn giữa.

Khi bạn xuất tất cả kết quả cho tìm kiếm Nhật ký kiểm nghiệm, dữ liệu thô từ Nhật ký kiểm nghiệm hợp nhất Office 365 được sao chép vào một tệp giá trị (CSV) bằng dấu phẩy phân cách này được tải xuống máy tính cục bộ của bạn. Tệp này chứa các thông tin bổ sung từ mục nhập Nhật ký kiểm toán trong một cột có tên là chi tiết. Cột này phải chứa thuộc tính đa giá trị cho nhiều thuộc tính từ bản ghi nhật ký kiểm toán. Từng cặp property:value trong thuộc tính đa giá trị này được phân tách bằng dấu phẩy.

Bảng sau mô tả các thuộc tính được bao gồm — tùy thuộc vào dịch vụ Office 365 mà một sự kiện xảy ra — trong cột chi tiết nhiều thuộc tính. Cột Office 365 dịch vụ có thuộc tính này    cho biết dịch vụ và loại hoạt động (người dùng hoặc quản trị) bao gồm các thuộc tính. Để biết thông tin chi tiết hơn về các thuộc tính hoặc thông tin về các thuộc tính mà có thể không được liệt kê trong chủ đề này, hãy xem Office 365 quản lý hoạt động API lược đồ.

Mẹo: Bạn có thể dùng Power Query trong Excel để phân tách cột này thành nhiều cột sao cho mỗi thuộc tính sẽ có cột riêng của nó. Điều này sẽ cho phép bạn sắp xếp và lọc trên một hoặc nhiều trong các thuộc tính. Để tìm hiểu cách thực hiện điều này, hãy xem phần "Chia tách cột theo dấu phân cách" trong phân tách cột văn bản (Power Query).

Thuộc tính

Mô tả

Dịch vụ Office 365 có thuộc tính này

Cấu hành động

Người dùng hoặc dịch vụ tài khoản thực hiện hành động.

Azure Active Directory

AzureActiveDirectoryEventType

Loại Azure Active Directory sự kiện. Giá trị sau đây cho biết loại của sự kiện.

0    cho biết một tài khoản đăng nhập sự kiện.

1    cho biết sự kiện Azure ứng dụng bảo mật.

Azure Active Directory

ChannelGuid

ID kênh Microsoft Teams . Nhóm kênh được đặt trong được xác định bởi các thuộc tính TeamName và TeamGuid .

Microsoft Teams

ChannelName

Tên Microsoft Teams kênh. Nhóm kênh được đặt trong được xác định bởi các thuộc tính TeamName và TeamGuid .

Microsoft Teams

Ứng dụng khách

Thiết bị máy khách, thiết bị, Hệ điều hành và trình duyệt thiết bị được dùng để đăng nhập sự kiện (ví dụ, Nokia Lumnia 920; Windows Phone 8; IE Mobile 11).

Azure Active Directory

ClientInfoString

Thông tin về ứng dụng khách email được dùng để thực hiện phép toán, chẳng hạn như một phiên trình duyệt, phiên bản Outlook và thông tin thiết bị di động

Exchange (hộp thư hoạt động)

ClientIP

Địa chỉ IP của thiết bị đã được sử dụng khi các hoạt động đã được đăng. Địa chỉ IP được hiển thị trong định dạng địa chỉ IPv4 của hoặc IPv6.

Exchange và Azure Active Directory

ClientIPAddress

Giống như ClientIP.

SharePoint

CreationTime

Ngày và thời gian trong giờ phối hợp quốc tế (UTC) khi người dùng thực hiện các hoạt động.

Tất cả

DestinationFileExtension

Phần mở rộng tệp của một tệp được sao chép hoặc di chuyển. Thuộc tính này được hiển thị chỉ dành cho các hoạt động người dùng FileCopied và FileMoved.

SharePoint

DestinationFileName

Tên của tệp được sao chép hoặc di chuyển. Thuộc tính này được hiển thị chỉ dành cho các hành động FileCopied và FileMoved.

SharePoint

DestinationRelativeUrl

URL của thư mục đích nơi tệp được sao chép hoặc di chuyển. Kết hợp của các giá trị cho SiteURL, DestinationRelativeURLvà các thuộc tính DestinationFileName là giống như giá trị cho thuộc tính ObjectID , là tên đường dẫn đầy đủ đối với tệp đã được sao chép. Thuộc tính này được hiển thị chỉ dành cho các hoạt động người dùng FileCopied và FileMoved.

SharePoint

EventSource

Xác định một sự kiện xảy ra trong SharePoint. Giá trị khả dĩ là SharePointObjectModel.

SharePoint

ExternalAccess

Cho các hoạt động quản trị Exchange , xác định xem lệnh ghép ngắn được chạy bởi một người dùng trong tổ chức của bạn, bằng Microsoft Trung tâm dữ liệu nhân sự hoặc một tài khoản Dịch vụ trung tâm dữ liệu, hoặc người quản trị ủy nhiệm. Giá trị False cho biết rằng lệnh ghép ngắn được chạy bởi một người trong tổ chức của bạn. Giá trị đúng cho biết rằng lệnh ghép ngắn được chạy bằng Trung tâm dữ liệu nhân sự, một tài khoản Dịch vụ trung tâm dữ liệu, hoặc người quản trị ủy nhiệm.

Cho Exchange hộp thư hoạt động, xác định xem một hộp thư được truy nhập được bởi người dùng bên ngoài tổ chức của bạn.

Exchange

ExtendedProperties

Các thuộc tính mở rộng cho một sự kiện Azure Active Directory .

Azure Active Directory

ID

ID của mục nhập báo cáo. ID định danh duy nhất vào mục nhập báo cáo.

Tất cả

InternalLogonType

Dành riêng cho sử dụng nội bộ.

Exchange (hộp thư hoạt động)

ItemType

Loại đối tượng được truy nhập hoặc thay đổi. Giá trị khả dĩ bao gồm tệp, thư mục, Web, trang, đối tượng thuêDocumentLibrary.

SharePoint

LoginStatus

Xác định các lỗi đăng nhập có thể đã xảy ra.

Azure Active Directory

LogonType

Kiểu truy nhập hộp thư. Giá trị sau đây cho biết loại của người dùng truy nhập hộp thư.

0    cho biết người sở hữu hộp thư.

1    cho biết người quản trị.

2    chỉ báo đại diện.

3    cho biết dịch vụ truyền dẫn trong Trung tâm dữ liệu Microsoft.

4    cho biết tài khoản Dịch vụ trong Trung tâm dữ liệu Microsoft.

6    cho biết một người quản trị ủy nhiệm.

Exchange (hộp thư hoạt động)

MailboxGuid

Exchange GUID của hộp thư được truy nhập.

Exchange (hộp thư hoạt động)

MailboxOwnerUPN

Địa chỉ email của người sở hữu hộp thư được truy nhập.

Exchange (hộp thư hoạt động)

ModifiedProperties (tên, giá trị mới, OldValue)

Thuộc tính được đưa vào sự kiện quản trị, chẳng hạn như thêm người dùng là thành viên của nhóm quản trị tuyển tập site hay một site. Thuộc tính bao gồm tên của thuộc tính đã được sửa đổi (ví dụ, nhóm quản trị Site) giá trị mới của thuộc tính lần (người dùng đã được thêm làm người quản trị site, và giá trị trước đó của đối tượng sửa đổi.

Tất cả (hoạt động quản trị)

ObjectID

Cho Exchange quản trị kiểm nghiệm ghi nhật ký, tên đối tượng đã được sửa đổi bằng lệnh ghép ngắn.

Cho SharePoint hoạt động, tên URL đường dẫn đầy đủ của tệp hoặc thư mục truy nhập được bởi người dùng.

Cho Azure AD hoạt động, tên của tài khoản người dùng đã được sửa đổi.

Tất cả

Thao tác

Tên hoạt động người dùng hoặc quản trị. Giá trị của thuộc tính này tương ứng với giá trị được chọn trong hoạt động thả xuống danh sách. Nếu Hiển thị kết quả cho tất cả các hoạt động được chọn, báo cáo sẽ bao gồm các mục nhập cho tất cả các hoạt động người dùng và quản trị cho tất cả dịch vụ. Để biết mô tả của các hoạt động/hoạt động được đăng nhập Office 365 kiểm tra Nhật ký, hãy xem tab Audited hoạt động trong Tìm kiếm kiểm toán đăng nhập Office 365 bảo mật và tuân thủ căn giữa.

Cho các hoạt động quản trị Exchange , thuộc tính này xác định tên lệnh ghép ngắn được chạy.

Tất cả

OrganizationID

GUID Office 365 tổ chức của bạn.

Tất cả

Đường dẫn

Tên thư mục hộp thư nơi có thư được truy nhập. Thuộc tính này cũng nhận dạng thư mục vào một vị trí thư đã được tạo trong hoặc sao chép/di chuyển đến.

Exchange (hộp thư hoạt động)

Tham số

Cho Exchange quản trị hoạt động, tên và các giá trị cho tất cả các tham số được sử dụng với lệnh ghép ngắn được xác định trong thuộc tính toán.

Exchange (quản trị hoạt động)

RecordType

Kiểu biểu thị bằng bản ghi hoạt động. Giá trị sau đây cho biết loại bản ghi.

1    chỉ ra một bản ghi từ Nhật ký kiểm tra Exchange quản trị.

2    chỉ ra một bản ghi từ hộp thư Exchange kiểm tra Nhật ký cho một thao tác thực hiện trên một mục chỉ hộp thư.

3    cũng chỉ báo bản ghi từ Nhật ký kiểm tra hộp thư Exchange . Loại bản ghi này cho biết tác vụ đã được thực hiện trên nhiều mục trong hộp thư nguồn (chẳng hạn như di chuyển nhiều mục vào thư mục khoản mục đã xóa hoặc xóa bỏ vĩnh viễn nhiều mục).

4    cho biết một phép toán quản trị site trong SharePoint, chẳng hạn như một người quản trị hoặc người dùng gán quyền cho một trang web.

6    cho biết một tệp hoặc thư mục liên quan đến hoạt động trong SharePoint, chẳng hạn như người dùng xem hoặc sửa đổi một tệp.

Chỉ ra 8    một tác vụ quản trị thực hiện trong Azure Active Directory.

9    cho biết OrgId đăng nhập sự kiện trong Azure Active Directory. Không loại bản ghi này được được chấp nhận.

10    cho biết sự kiện lệnh ghép ngắn bảo mật được thực hiện bởi Microsoft nhân viên trong Trung tâm dữ liệu.

11    cho biết sự kiện bảo vệ (DLP) việc mất dữ liệu trong SharePoint.

12    cho biết Sway sự kiện.

14    cho biết các sự kiện chia sẻ trong SharePoint.

15    chỉ báo bảo mật mã dịch vụ (STS) đăng nhập sự kiện trong Azure Active Directory.

18    cho biết Trung tâm Bảo mật & Tuân thủ sự kiện.

20    cho biết sự kiện Power BI.

22    cho biết Yammer sự kiện.

24    cho biết sự kiện khám phá điện tử. Loại bản ghi này cho biết hoạt động được thực hiện bởi chạy kết quả tìm kiếm nội dung và quản lý vụ việc khám phá điện tử trong Trung tâm Bảo mật & Tuân thủ. Để biết thêm thông tin, hãy xem Tìm kiếm khám phá điện tử hoạt động trong Office 365 kiểm tra Nhật ký.

25, 26, hoặc 27      Cho biết Microsoft Teams sự kiện.

Tất cả

ResultStatus

Cho biết liệu hành động (được xác định trong thao tác thuộc tính) đã thành công hay không.

Đối với các hoạt động quản trị Exchange , giá trị là True (thành công) hoặc False (không thành công).

Tất cả

SecurityComplianceCenterEventType

Cho biết các hoạt động là một sự kiện Trung tâm Bảo mật & Tuân thủ . Tất cả các hoạt động Trung tâm Bảo mật & Tuân thủ sẽ có một giá trị 0 cho thuộc tính này.

Trung tâm Bảo mật & Tuân thủ của Office 365

SharingType

Kiểu quyền chia sẻ được gán cho người dùng đã tài nguyên được chia sẻ với. Người dùng này được xác định trong thuộc tính UserSharedWith .

SharePoint

Site

GUID vào trang web có tệp hoặc thư mục truy nhập được bởi người dùng.

SharePoint

SiteUrl

URL vào trang web có tệp hoặc thư mục truy nhập được bởi người dùng.

SharePoint

SourceFileExtension

Phần mở rộng tệp của tệp đã được truy nhập được bởi người dùng. Thuộc tính này là trống nếu đối tượng được truy nhập là một thư mục.

SharePoint

SourceFileName

Tên của tệp hoặc thư mục truy nhập được bởi người dùng.

SharePoint

SourceRelativeUrl

URL của thư mục chứa tệp truy nhập được bởi người dùng. Kết hợp của các giá trị cho SiteURL, SourceRelativeURLvà các thuộc tính SourceFileName là giống như giá trị cho thuộc tính ObjectID , là tên đường dẫn đầy đủ cho tệp truy nhập được bởi người dùng.

SharePoint

Chủ đề

Dòng chủ đề của thư đã được truy nhập.

Exchange (hộp thư hoạt động)

Mục tiêu

Người dùng hành động (được xác định trong thuộc tính Operation ) đã được thực hiện trên. Ví dụ, nếu người dùng dành cho khách được thêm vào SharePoint hoặc Microsoft Team, người dùng đó sẽ được liệt kê trong thuộc tính này.

Azure Active Directory

TeamGuid

ID của một nhóm trong Microsoft Teams.

Microsoft Teams

TeamName

Tên của một nhóm trong Microsoft Teams.

Microsoft Teams

UserAgent

Thông tin về các trình duyệt của người dùng. Thông tin này được cung cấp bởi trình duyệt.

SharePoint

UserDomain

Nhận dạng thông tin về tổ chức đối tượng thuê của người dùng (cấu hành động) ai thực hiện hành động.

Azure Active Directory

ID Người dùng

Người dùng thực hiện hành động (được xác định trong thuộc tính Operation ) kết quả trong bản ghi được đăng. Lưu ý rằng bản ghi hoạt động thực hiện bởi tài khoản hệ thống (chẳng hạn như SHAREPOINT\system hoặc NT AUTHORITY\SYSTEM) cũng được bao gồm trong Nhật ký kiểm tra.

Tất cả

UserKey

ID thay thế cho người dùng xác định trong thuộc tính UserID . Ví dụ, thuộc tính này được nhập cùng với bản chiếu ID duy nhất (PUID) cho sự kiện thực hiện bởi người dùng trong SharePoint. Thuộc tính này cũng có thể xác định giá trị giống như thuộc tính UserID cho sự kiện diễn ra trong sự kiện thực hiện bởi tài khoản hệ thống và dịch vụ khác.

Tất cả

UserSharedWith

Người dùng tài nguyên đã được chia sẻ với. Thuộc tính này được đưa vào nếu giá trị cho thuộc tính OperationSharingSet. Người dùng này cũng được liệt kê trong cột chia sẻ với trong báo cáo.

SharePoint

UserType

Loại người dùng thực hiện thao tác. Giá trị sau đây cho biết loại người dùng.

0    người dùng thường xuyên.

2    người quản trị trong tổ chức Office 365 của bạn.

3    A Trung tâm dữ liệu trung tâm dữ liệu hoặc người quản trị hệ thống tài khoản Microsoft.

4    một tài khoản hệ thống.

5    một ứng dụng.

6    tài khoản chính Dịch vụ.

Tất cả

Phiên bản

Cho biết số phiên bản hoạt động (được xác định bằng thuộc tính Operation ) mà được đăng.

Tất cả

Khối lượng công việc

Dịch vụ Office 365 nơi các hoạt động xảy ra. Các giá trị thuộc tính này là:

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

Tuân thủ

Sway

SecurityComplianceCenter

Đội

MicrosoftTeams

Tất cả

Lưu ý rằng các thuộc tính mô tả bên trên cũng được hiển thị khi bạn bấm biết thêm thông tin khi xem chi tiết về một sự kiện cụ thể.

Bấm thêm thông tin để xem các thuộc tính chi tiết của bản ghi sự kiện Nhật ký kiểm nghiệm

Trở về đầu trang

Ghi chú: Tuyên bố miễn trừ trách nhiệm Dịch Máy: Bài viết này do một hệ thống máy tính dịch mà không có sự can thiệp của con người. Microsoft cung cấp những bản dịch máy này để giúp người dùng không nói tiếng Anh hiểu nội dung về các sản phẩm, dịch vụ và công nghệ của Microsoft. Do bài viết này được dịch máy nên có thể có các lỗi về từ vựng, cú pháp hoặc ngữ pháp.

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Người dùng nội bộ Office

Thông tin này có hữu ích không?

Cảm ơn phản hồi của bạn!

Cảm ơn bạn đã phản hồi! Để trợ giúp tốt hơn, có lẽ chúng tôi sẽ kết nối bạn với một trong những nhân viên hỗ trợ Office của chúng tôi.

×