在 Office 365 安全与合规中心中搜索审核日志

下面介绍在 Office 365 中搜索审核日志的流程。

步骤 1:运行审核日志搜索

步骤 2:查看搜索结果

步骤 3:筛选搜索结果

步骤 4:将搜索结果导出到文件

若要了解关于搜索 Office 365 审核日志所需先决条件的信息,请参阅准备工作部分。

步骤 1:运行审核日志搜索

  1. 转到 https://protection.office.com

  2. 使用工作或学校帐户登录到 Office 365。

  3. 在左窗格中,单击“搜索与调查”,然后单击“审核日志搜索”。

    此时将显示“审核日志搜索”页面。

    配置条件,然后单击“搜索”以运行报告

    注意: 必须首先打开审核日志记录,然后才能运行审核日志搜索。如果显示“开始记录用户和管理员活动”链接,请单击该链接以打开审核。如果未看到此链接,则已为你的组织开启审核。

  4. 配置以下搜索条件:

    1. 活动”单击下拉列表以显示你可以搜索的活动。已将用户和管理员活动整理到相关活动组中。你可以选择特定活动,或单击活动组名称以选择该组中的所有活动。你也可以单击已选活动以取消选择。运行搜索后,仅将显示所选活动的审核日志项目。选择“显示所有活动的结果”将显示由所选用户或用户组执行的所有活动的结果。

      Office 365 审核日志中记录了超过 100 个用户和管理员活动。单击本文主题处的“ 审核活动”选项卡可查看每个不同 Office 365 服务中每个活动的描述。

    2. 开始日期”和“结束日期”默认选择了过去七天。选择日期和时间范围,以显示在这段时间内发生的事件。日期和时间将以协调世界时 (UTC) 格式显示。可指定的最大日期范围为 90 天。如果所选日期范围超过 90 天,将显示错误。

      提示: 如果要使用为期 90 天的最大日期范围,请选择当前时间作为“开始日期”。否则,你将收到说明开始日期早于结束日期的错误消息。如果你在过去 90 天内打开了审核,则最大日期范围不能从打开审核的日期之前开始。

    3. 用户”单击此框,然后选择要为其显示搜索结果的一名或多名用户。 由你在此框中所选用户执行的所选活动的审核日志项目将显示在结果列表中。 将此框留空以返回组织中所有用户(和服务帐户)的条目。

    4. 文件、文件夹或网站”键入部分或完整的文件或文件夹名称,以搜索与包含指定关键字文件夹的文件相关的活动。还可以指定 URL 或部分 URL 以显示针对指定 URL 路径中任何对象的活动的条目。请注意,搜索查询中不支持特殊字符,如正斜杠 (/)、反斜杠 (\)、短破折号 (-) 和下划线 (_)。请务必使用空格替换特殊字符。例如,要在 OneDrive for Business 网站(例如 https://contoso-mysharepoint.com/personal/sarad_contoso_onmicrosoft_com)中搜索活动,可在此搜索字段中键入如下内容:personal sarad contoso

      将此框留空以返回组织中所有文件、文件夹和 URL 的条目。

  5. 单击“搜索”以使用搜索条件运行搜索。

    此时将加载搜索结果,片刻后将显示在“结果”下。完成搜索后会显示找到的结果数。请注意,“结果”窗格中最多显示 5,000 个事件(每次加载 150 个);如果符合搜索条件的事件超出 5,000 个,则显示最近的 5,000 个事件。

    完成搜索后会显示结果数。

返回页首

有关搜索审核日志的提示

  • 可以通过单击活动名称选择要搜索的特定活动。或者可以通过单击组名搜索该组中的所有活动(例如“文件和文件夹活动”)。如果选择了活动,可以单击该活动以取消选择。还可以使用搜索框显示包含所键入关键字的活动。

    单击活动组名称以选择所有活动
  • 必须选择“活动”列表中的“显示所有活动的结果”才能显示 Exchange 管理员审核日志中的事件。此审核日志中的事件将在结果的“活动”列中显示 cmdlet 名称(例如 Set-Mailbox)。有关详细信息,请单击本主题中的“已审核活动”选项卡,然后单击“Exchange 管理员活动”。

    同样,某些审核活动在“活动”列表中没有相应项目。如果已知这些活动的操作名称,可搜索所有活动,然后通过在“活动”列的框中键入操作名称来筛选结果。有关筛选结果的详细信息,请参阅步骤 3

  • 单击“清除”以清除当前搜索条件。日期范围返回到默认值(过去七天)。还可以单击“全部清除以显示所有活动的结果”以取消所有选定活动。

  • 如果找到了 5,000 条结果,则可以假定可能存在超过 5,000 个符合搜索条件的事件。可以优化搜索条件并重新运行搜索以返回较少结果,也可以通过选择“导出结果”>“下载所有结果”导出所有搜索结果。

返回页首

步骤 2:查看搜索结果

审核日志搜索结果会显示在“审核日志搜索”页中的“结果”下。如上文所述,最多显示 5000 个最新事件(每次加载 150 个)。若要显示更多事件,可以使用“结果”窗格中的滚动条,或按 Shift+End 显示随后的 150 个事件。

结果包含有关搜索返回的每个事件的以下信息。

  • 日期”事件发生的日期和时间(采用 UTC 格式)。

  • IP 地址”记录活动时所用设备的 IP 地址。IP 地址显示为 IPv4 或 IPv6 地址格式。

  • 用户”执行触发事件操作的用户(或服务帐户)。

  • 活动”用户执行的活动。此值对应于你在“活动”下拉列表中选定的活动。对于来自 Exchange 管理员审核日志的事件,此列中的值为 Exchange cmdlet。

  • 项目”由于相应活动而创建或修改的对象。例如已查看或修改的文件或已更新的用户帐户。并非所有活动在此列中均有值。

  • 详细信息”有关活动的其他详细信息。同样,并非所有活动均具有此值。

提示: 单击“结果”下的列标题对结果进行排序。你可以将结果按从 A 到 Z 或从 Z 到 A 的顺序排序。单击“日期”标题以将结果按从旧到新或从新到旧的顺序排序。

查看特定事件的详细信息

可以通过单击搜索结果列表中的事件记录查看有关事件的更多详细信息。此时将显示包含事件记录的详细属性的“详细信息”页。显示的属性取决于发生事件的 Office 365 服务。若要显示这些详细信息,请单击“更多信息”。有关介绍,请参阅 Office 365 审核日志中的详细属性

单击“详细信息”,查看审核日志事件记录的详细属性

返回页首

步骤 3:筛选搜索结果

除排序外,你还可以筛选审核日志搜索的结果。这是一项可帮助你快速筛选特定用户或活动的结果的强大功能。你可以首先创建一个广泛的搜索范围,然后快速筛选结果以查看特定事件。然后可以缩小搜索条件范围并重新运行搜索以返回更小、更简洁的结果集。

若要筛选结果,请执行以下操作:

  1. 运行审核日志搜索。

  2. 结果显示后,单击“筛选结果”。

    每个列标题下将显示关键字框。

  3. 根据要筛选的列,单击列标题下的其中一个框并键入字词。结果将动态重新调整以显示符合筛选条件的事件。

    在筛选器中键入一个单词,以显示匹配筛选的事件
  4. 若要清除筛选器,请单击筛选器框中的“X”,或单击“隐藏筛选”即可。

提示: 若要显示 Exchange 管理员审核日志中的事件,请在“活动”筛选器框中键入 (破折号)。这将在 Exchange 管理员事件的“活动”列中显示 cmdlet 名称。然后你便可按字母顺序对 cmdlet 名称进行排序。

返回页首

步骤 4:将搜索结果导出到文件

可以将审核日志搜索的结果导出到本地计算机上的逗号分隔值 (CSV) 文件。可以在 Microsoft Excel 中打开此文件,然后使用搜索、排序、筛选和将(包含多值单元格的)单列拆分为多列等功能。

  1. 运行审核日志搜索,然后修订搜索条件直到获得所需结果。

  2. 单击“导出结果”,然后选择下列选项之一:

    • 保存加载的结果 选择此选项可仅导出“审核日志搜索”页上“结果”之下显示的条目。下载的 CSV 文件包含(“日期”、“用户”、“活动”、“项目”和“详细信息”)页面上显示的相同列(和数据)。包含审核日志项目中更多信息的 CSV 文件包括一附加列(名为“更多”)。由于将导出“审核日志搜索”页上已加载(且可查看)的相同结果,因此最多可导出 5,000 个条目。

    • 下载所有结果 选择此选项可导出 Office 365 审核日志中符合搜索条件的所有条目。对于较大的搜索结果集,选择此选项可下载审核日志的所有条目以及“审核日志搜索”页上显示的 5,000 条结果。此选项会将原始数据从审核日志下载到 CSV 文件,并在名为“详细信息”的列中包含审核日志项目中的其他信息。如果选择此导出选项,下载该文件可能需要更长时间,因为文件可能比选择其他选项下载的文件大得多。

      重要: 你可以将最多 50,000 个条目从单个审核日志搜索中下载到 CSV 文件。如果下载了 50,000 个条目到 CSV 文件,则可以假定可能存在超过 50,000 个符合搜索条件的事件。若要导出的条目超出此限制,请尝试使用日期范围以减少审核日志项目。你可能需要使用更小日期范围运行多个搜索来导出超过 50,000 个条目。

  3. 选择导出选项后,窗口底部将显示一条消息,提示你打开 CSV 文件并将其保存到“下载”文件夹或特定文件夹。

返回页首

有关导出审核日志搜索结果的详细信息

  • 下载所有结果”选项可将原始数据从 Office 365 审核日志下载到 CSV 文件。此文件包含的列名(“时间”、“用户”、“操作”、“详细信息”)与选择“保存已加载结果”选项下载的文件列名不同。对于同一活动,两个不同 CSV 文件中的值可能也有所不同。例如,CSV 文件的“操作”列中的活动值可能与显示在“审核日志搜索”页上的“活动”列中的值不同;例如分别为 MailboxLogin用户已登录到邮箱

  • 如果下载所有结果,则 CSV 文件将包含一个名为“详细信息”的列,其中包含每个事件的其他信息。 如前所述,此列包含审核日志记录中的多个属性的多值属性。此多值属性中的每个 property:value 对由逗号分隔。你可以使用 Excel 中的 Power Query 将此列拆分为多个列,以使每个属性具有自己的列。这将让你能够对一个或多个属性进行排序和筛选。若要了解如何执行此操作,请参阅拆分一列文本 (Power Query) 中的“通过分隔符拆分列”部分。

    拆分“详细信息”列后,你可以对“操作”列进行筛选以显示特定类型活动的详细属性。

  • 下载(包含来自不同 Office 365 服务的事件的)搜索查询的所有结果时,CSV 文件中的“详细信息”列将含有不同属性,具体取决于在哪种服务中执行操作。例如,来自 Exchange 和 Azure AD 审核日志的条目包含一个名为 ResultStatus 的属性,它指示操作是否成功。来自 SharePoint 的事件不包含此属性。类似地,SharePoint 事件具有用于标识文件和文件夹相关活动的网站 URL 的属性。若要缓和此行为,建议使用多个搜索导出单个服务中活动的结果。

    有关下载所有结果时 CSV 文件的“详细信息”列中所列属性的说明以及每个属性适用的服务,请参阅 Office 365 审核日志中的详细属性

返回页首

在开始搜索 Office 365 审核日志之前,请务必阅读以下各项。

  • 你(或其他管理员)必须首先开启审核日志记录,然后才能开始搜索 Office 365 审核日志。若要将其打开,只需单击 安全和合规性中心 中“审核日志搜索”页面上的“开始记录用户和管理员活动”。(如果未看到此链接,则已为你的组织开启审核。)打开后,将显示一条消息,称正在准备审核日志,你可以在准备完成后数小时内运行搜索。只需执行一次此操作。

    注意: 默认正在启用审核。在这之前,可以按上文所述启用审核。

  • 必须分配到 Exchange Online 中的“仅供查看审核日志”或“审核日志”角色才能搜索 Office 365 审核日志。默认情况下,在 Exchange 管理中心中的“权限”页上将这些角色分配给“合规性管理”和“组织管理”角色组。若要让用户能够使用最低权限级别搜索 Office 365 审核日志,可以在 Exchange Online 中创建自定义角色组,添加“仅供查看审核日志”或“审核日志”角色,然后将用户添加为新角色组的成员。有关详细信息,请参阅在 Exchange Online 中管理角色组

    重要: 如果在 安全和合规性中心 中的“权限”页上向用户分配“仅供查看审核日志”或“审核日志”角色,则他们将无法搜索 Office 365 审核日志。必须在 Exchange Online 中分配权限。这是因为用于搜索审核日志的基础 cmdlet 为 Exchange Online cmdlet。

  • 如果希望为组织关闭 Office 365 中的审核日志搜索,可以在连接到 Exchange Online 组织的远程 PowerShell 中运行以下命令:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    若要再次打开审核搜索,可在 Exchange Online PowerShell 中运行以下命令:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    有关详细信息,请参阅关闭 Office 365 中的审核日志搜索

  • 如前所述,用于搜索审核日志的基础 cmdlet 是 Exchange Online cmdlet,即 Search-UnifiedAuditLog。这意味着可使用此 cmdlet 搜索 Office 365 审核日志,而不是使用 安全和合规性中心 中的“审核日志搜索”页面。必须在连接到 Exchange Online 组织的远程 PowerShell 中运行此 cmdlet。有关详细信息,请参阅 Search-UnifiedAuditLog

  • 若想以编程方式从 Office 365 审核日志下载数据,建议使用 Office 365 管理活动 API,而不是使用 PowerShell 脚本。Office 365 管理活动 API 是一项 REST Web 服务,可用于为组织制定操作、安全和符合性监视解决方案。有关详细信息,请参阅 Office 365 Management Activity API reference(Office 365 管理活动 API 参考)。

  • 你可以在 Office 365 审核日志中搜索过去 90 天内执行的活动。

  • 发生事件后,最多需要 30 分钟到 24 小时就可搜索结果中显示相应的审核日志条目。下表显示了 Office 365 中不同服务所花费的时间。

    Office 365 服务

    30 分钟

    24 小时

    Azure Active Directory(管理员事件)

    复选标记

    Azure Active Directory(用户登录事件)

    复选标记

    Exchange Online

    复选标记

    Microsoft Teams

    复选标记

    Power BI

    复选标记

    安全和合规性中心

    复选标记

    SharePoint Online 和 OneDrive for Business

    复选标记

    Sway

    复选标记

    Yammer

    复选标记

  • Azure Active Directory (Azure AD) 是 Office 365 的目录服务。统一审核日志包含用户、组、应用程序、域以及在 Office 365 管理中心 或 Azure 管理门户中执行的目录活动。有关 Azure AD 事件的完整列表,请参阅 Azure Active Directory 审核报告事件

返回页首

本节中的表介绍了 Office 365 中经审核的活动。你可以通过在 安全和合规性中心 中搜索审核日志来搜索这些事件。单击“搜索审核日志”选项卡以获得分步说明。

这些表对相关活动或特定 Office 365 服务中的活动进行分组。表中包含“活动”下拉列表中显示的友好名称,以及导出搜索结果时审核记录详细信息和 CSV 文件中显示的相应操作名称。单击以下链接可转到特定表格

文件和页面活动

文件夹活动

共享和访问请求活动

同步活动

网站管理活动

Exchange 邮箱活动

Sway 活动

用户管理活动

Azure AD 组管理活动

应用程序管理活动

角色管理活动

目录管理活动

电子数据展示活动

Power BI 活动

Microsoft Teams 活动

Yammer 活动

Exchange 管理员活动

文件和页面活动

下表介绍了 SharePoint Online 和 OneDrive for Business 中的文件和页面活动。

友好名称

操作

说明

已访问文件

FileAccessed

用户或系统帐户访问文件。

(无)

FileAccessedExtended

这与“已访问文件”(FileAccessed) 活动有关。如果一个用户长时间(至 3 小时)持续访问某一文件,则会记录下 FileAccessedExtended 事件。记录 FileAccessedExtended 事件是为了减少持续访问文件时所记录的 FileAccessed 事件数。这有助于减小(实际上是)同一用户活动的多个 FileAccessed 记录的干扰,从而专注于初始(和更重要的)FileAccessed 事件。

已签入文件

FileCheckedIn

用户签入其从文档库中签出的文档。

已签出文件

FileCheckedOut

用户签出位于文档库中的文档。用户可以签出与之共享的文档并对其进行更改。

已复制文件

FileCopied

用户从网站复制文档。可以将复制的文件保存到网站上的其他文件夹中。

已删除文件

FileDeleted

用户从网站删除文档。

从回收站删除文件

FileDeletedFirstStageRecycleBin

用户从网站的回收站中删除文件。

从第二阶段回收站删除文件

FileDeletedSecondStageRecycleBin

用户从网站的第二阶段回收站中删除文件。

在文件中检测到恶意软件

FileMalwareDetected

SharePoint 防病毒引擎在文件中检测到恶意软件。

已放弃文件签出

FileCheckOutDiscarded

用户放弃(或撤消)签出的文件。这意味着将放弃签出文件时对其所做的更改,而不将其保存到文档库中的文档版本。

已下载的文件

FileDownloaded

用户从网站下载文档。

已修改文件

FileModified

用户或系统帐户修改网站上文档的内容或属性。

(无)

FileModifiedExtended

这与“已修改文件”(FileModified) 活动相关。如果一个用户长时间(至 3 小时)持续修改某一文件,则会记录下 FileModifiedExtended 事件。记录 FileModifiedExtended 事件是为了减少持续修改文件时所记录的 FileModified 事件数。这有助于减小(实际上是)同一用户活动的多个 FileModified 记录的干扰,从而专注于初始(和更重要的)FileModified 事件。

已移动文件

FileMoved

用户将文档从网站上的当前位置移动到新位置。

已回收文件的次要版本

FileVersionsAllMinorsRecycled

用户从文件版本历史记录中删除所有次要版本。已删除的版本移动到网站的回收站。

已回收所有版本的文件

FileVersionsAllRecycled

用户从文件版本历史记录中删除所有版本。已删除的版本移动到网站的回收站。

已回收文件版本

FileVersionRecycled

用户从文件版本历史记录中删除某个版本。已删除的版本移动到网站的回收站。

已重命名文件

FileRenamed

用户重命名网站上的文档。

已还原文件

FileRestored

用户从网站回收站还原文档。

已上传文件

FileUploaded

用户将文档上传到网站上的文件夹。

已查看页面

PageViewed

用户在网站上查看页面。这不包括使用 Web 浏览器查看位于文档库中的文件。

(无)

PageViewedExtended

这与“已查看页面”(PageViewed) 活动相关。如果一个用户长时间(至 3 小时)持续查看某一网页,则会记录下 FileModifiedExtended 事件。记录 PageViewedExtended 事件是为了减少持续查看页面时所记录的 PageViewed 事件数。这有助于减小(实际上是)同一用户活动的多个 PageViewed 记录的干扰,从而专注于初始(和更重要的)PageViewed 事件。

返回页首

文件夹活动

下表介绍了 SharePoint Online 和 OneDrive for Business 中的文件夹活动。

友好名称

操作

说明

已复制文件夹

FolderCopied

用户将文件夹从网站复制到 SharePoint 或 OneDrive for Business 中的其他位置。

已创建文件夹

FolderCreated

用户在网站上创建一个文件夹。

已删除文件夹

FolderDeleted

用户从网站中删除一个文件夹。

从回收站删除文件夹

FolderDeletedFirstStageRecycleBin

用户从网站上的回收站中删除文件夹。

从第二阶段回收站删除文件夹

FolderDeletedSecondStageRecycleBin

用户从网站上的第二阶段回收站中删除文件夹。

已修改文件夹

FolderModified

用户在网站上修改文件夹。这包括更改文件夹元数据,例如更改标签和属性。

已移动文件夹

FolderMoved

用户将文件夹移动到网站上的其他位置。

已重命名文件夹

FolderRenamed

用户在网站上重命名文件夹。

已还原文件夹

FolderRestored

用户从网站上的回收站中还原文件夹。

返回页首

共享和访问请求活动

下表介绍了 SharePoint Online 和 OneDrive for Business 中的用户共享和访问请求活动。对于共享事件,“结果”下的“详细信息”列标识了与之共享项目的用户名或组名以及该用户或组是否为组织中的成员或来宾。有关详细信息,请参阅在 Office 365 审核日志中使用共享审核

注意: 根据用户对象的 UserType 属性,用户可以是成员来宾通常,成员为员工,来宾则为组织外部的合作者。用户接受共享邀请(而尚未成为你组织的一员)时,将在组织的目录中为其创建来宾帐户。来宾用户在你的目录中拥有帐户后,即可与其直接共享资源(无需邀请)。

友好名称

操作

说明

已接受访问请求

AccessRequestAccepted

已接受对网站、文件夹或文档的访问请求,并已授予请求用户访问权限。

已接受共享邀请

SharingInvitationAccepted

用户(成员或来宾)接受共享邀请并被授予对资源的访问权限。此事件包含受邀用户的信息以及用于接受邀请的电子邮件地址(可能有所不同)。此活动通常伴有第二事件,描述向用户授予资源访问权限的方式,例如将用户添加到可以访问资源的组。

已向网站集添加权限级别

PermissionLevelAdded

已向网站集添加权限级别。

已阻止共享邀请

SharingInvitationBlocked

由于基于目标用户的域允许或拒绝外部共享的外部共享策略,已阻止组织中的用户发送的共享邀请。在这种情况下,阻止共享邀请的原因如下:

  • 允许的域列表中不包含目标用户的域。

  • 目标用户的域包含在阻止的域列表中。

有关基于域允许或阻止外部共享的详细信息,请参阅 SharePoint Online 和 OneDrive for Business 中的受限域共享

中断权限级别继承

PermissionLevelsInheritanceBroken

已更改项目,使其不再从父级继承权限级别。

中断共享继承

SharingInheritanceBroken

已更改项目,使其不再从父级继承共享权限。

已创建公司可共享链接

CompanyLinkCreated

用户创建指向某资源的公司范围链接。仅组织中的成员可使用公司范围链接。来宾无法使用。

已创建访问请求

AccessRequestCreated

用户请求访问其无权访问的网站、文件夹或文档。

已创建匿名链接

AnonymousLinkCreated

用户创建了指向某资源的匿名链接。拥有此链接的任何人均可访问资源,无需通过身份验证。

已创建共享邀请

SharingInvitationCreated

用户与不在组织目录中的用户共享了 SharePoint Online 或 OneDrive for Business 中的资源。

已拒绝访问请求

AccessRequestDenied

对网站、文件夹或文档的访问请求被拒绝。

已修改网站集的权限级别

PermissionLevelModified

已更改网站集的权限级别。

已删除公司可共享链接

CompanyLinkRemoved

用户删除了指向某资源的公司范围链接。无法再使用该链接访问资源。

已删除匿名链接

AnonymousLinkRemoved

用户删除了指向某资源的匿名链接。无法再使用该链接访问资源。

已删除网站集的权限级别

PermissionLevelRemoved

已删除网站集的权限级别。

已还原共享继承

SharingInheritanceReset

已进行更改,使项目从父级继承共享权限。

已共享文件、文件夹或网站

SharingSet

用户(成员或来宾)与组织目录中的用户共享了 SharePoint 或 OneDrive for Business 中的文件、文件夹或网站。此活动的“详细信息”列中的值标识了与之共享资源的用户的名称以及该用户是成员还是来宾。此活动通常伴有第二事件,描述向用户授予资源访问权限的方式,例如将用户添加到可以访问资源的组。

已更新匿名链接

AnonymousLinkUpdated

用户更新了指向某资源的匿名链接。导出搜索结果时,EventData 属性中包括更新后的字段。

已使用匿名链接

AnonymousLinkUsed

匿名用户使用匿名链接访问了资源。用户身份可能未知,但你可以获得其他详细信息,例如用户的 IP 地址。

已取消共享文件、文件夹或网站

SharingRevoked

用户(成员或来宾)取消共享以前与其他用户共享的文件、文件夹或网站。

已使用公司可共享链接

CompanyLinkUsed

用户使用公司范围链接访问了资源。

已撤消共享邀请

SharingInvitationRevoked

用户撤消了针对某资源的共享邀请。

返回页首

同步活动

下表列出了 SharePoint Online 和 OneDrive for Business 中的文件同步活动。

友好名称

操作

说明

已允许计算机同步文件

ManagedSyncClientAllowed

用户成功建立与网站的同步关系。同步关系成功,因为用户的计算机是已添加到可访问组织文档库的域列表(称为安全收件人列表)的域的成员。

有关此功能的详细信息,请参阅使用 Windows PowerShell cmdlet 以便为安全收件人列表上的域启用 OneDrive 同步

已阻止计算机同步文件

UnmanagedSyncClientBlocked

用户尝试从某计算机与网站建立同步关系,该计算机不是组织域的成员,或是尚未添加到可访问组织文档库的域列表(称为安全收件人列表)的域的成员。不允许同步关系,并阻止用户的计算机同步、下载或上传文档库中的文件。

有关此功能的信息,请参阅使用 Windows PowerShell cmdlet 以便为安全收件人列表上的域启用 OneDrive 同步

已将文件下载到计算机

FileSyncDownloadedFull

用户建立同步关系,并首次成功将文件从文档库下载到计算机。

已将文件更改下载到计算机

FileSyncDownloadedPartial

用户从文档库成功下载对文件所做的任何更改。此活动表明对文档库中的文件所做的任何更改均已被下载到用户计算机中。仅下载了更改,因为用户以前下载过文档库(如已将文件下载到计算机活动所示)。

已将文件上传到文档库

FileSyncUploadedFull

用户建立同步关系,并首次成功将文件从计算机上传到文档库。

已将文件更改上传到文档库

FileSyncUploadedPartial

用户成功上传对文档库中的文件所做的更改。此事件表明对文档库中的文件本地版本所做的任何更改均已被成功上传到文档库。仅已上传更改内容,因为用户以前上传过这些文件(如已将文件上传到文档库活动所示)。

返回页首

网站管理活动

下表列出了因 SharePoint Online 中的网站管理任务而引起的事件。

友好名称

操作

说明

已添加豁免用户代理

ExemptUserAgentSet

SharePoint 或全局管理员向 SharePoint 管理中心的豁免用户代理列表添加了用户代理。

已添加网站集管理员

SiteCollectionAdminAdded

网站集管理员或所有者为网站添加了作为网站集管理员的人员。 网站集管理员具有对网站集和所有子网站的完全控制权限。

已向 SharePoint 组添加用户或组

AddedToGroup

用户向 SharePoint 组添加了成员或来宾。这可能是目的性操作,也可能是其他活动(例如共享事件)的结果。

已允许用户创建组

AllowGroupCreationSet

网站管理员或所有者向网站添加权限级别,允许分配了该权限的用户为网站创建组。

已取消网站地域移动

SiteGeoMoveCancelled

SharePoint 或全局管理员成功取消 SharePoint 或 OneDrive 网站地域移动。通过多地理位置功能,Office 365组织可跨多个Office 365数据中心地理区域,也称为地理位置。有关详细信息,请参阅 Office 365 中 OneDrive 和 SharePoint Online 的多地理位置功能

已更改共享策略

SharingPolicyChanged

SharePoint 或全局管理员通过使用 Office 365 管理门户、SharePoint 管理门户或 SharePoint Online 命令行管理程序更改 SharePoint 共享策略。将记录对组织中的共享策略设置所做的任何更改。事件记录详细属性的 ModifiedProperties 字段中会标识已更改的策略。

已更改设备访问策略

DeviceAccessPolicyChanged

SharePoint 或全局管理员已更改组织的非托管设备策略。此策略控制未加入组织的设备对 SharePoint、OneDrive 和 Office 365 的访问权限。配置此策略需要企业移动性 + 安全性订阅。有关详细信息,请参阅控制非托管设备的访问

已更改豁免用户代理

CustomizeExemptUsers

SharePoint 或全局管理员自定义 SharePoint 管理中心的豁免用户代理列表。可以指定免于接收要索引的整个网页的用户代理。这意味着指定的豁免用户代理遇到 InfoPath 表单时,该表单将作为 XML 文件而非整个网页返回。这可加速索引 InfoPath 表单。

已更改网络访问策略

NetworkAccessPolicyChanged

SharePoint 或全局管理员已通过 SharePoint 管理中心或 SharePoint Online PowerShell 更改基于位置的访问策略(也称为“受信任的网络边界”)。这类策略基于指定的授权 IP 地址范围控制组织中的用户对 SharePoint 和 OneDrive 资源的访问权限。有关详细信息,请参阅基于定义的网络位置控制对 SharePoint Online 和 OneDrive 数据的访问权限

已完成网站地域移动

SiteGeoMoveCompleted

组织中的全局管理员计划的网站地域移动已成功完成。通过多地理位置功能,Office 365组织可跨多个Office 365数据中心地理区域,也称为地理位置。有关详细信息,请参阅 Office 365 中 OneDrive 和 SharePoint Online 的多地理位置功能

已创建组

GroupAdded

网站管理员或所有者为网站创建组,或执行将导致创建组的任务。例如,用户首次创建共享文件的链接时,会将系统组添加到其 OneDrive for Business 网站。对共享文件具有编辑权限的用户创建链接也可能引发此事件。

已创建“收件人​​”连接

SendToConnectionAdded

SharePoint 或全局管理员在 SharePoint 管理中心的“记录管理”页上创建新的“收件人”连接。“收件人”连接指定文档存储库或记录中心的设置。创建“收件人”连接时,内容管理器可以将文档提交到指定位置。

已创建网站集

SiteCollectionCreated

SharePoint 或全局管理员在你的 SharePoint Online 组织中创建新的网站集,或用户预配其 OneDrive for Business 网站。

已删除组

GroupRemoved

用户从网站删除组。

已删除“收件人”连接

SendToConnectionRemoved

SharePoint 或全局管理员在 SharePoint 管理中心的记录管理页上删除“收件人”连接。

已删除网站

SiteDeleted

网站管理员删除网站。

已启用文档预览

PreviewModeEnabledSet

网站管理员为网站启用文档预览。

已启用传统工作流

LegacyWorkflowEnabledSet

网站管理员或所有者向网站添加 SharePoint 2013 工作流任务内容类型。全局管理员还可以在 SharePoint 管理中心为整个组织启用工作流。

已启用 Office on Demand

OfficeOnDemandSet

网站管理员启用 Office on Demand,允许用户访问 Office 桌面应用程序的最新版本。已在 SharePoint 管理中心启用 Office on Demand,并且需要包含已完整安装 Office 应用程序的 Office 365 订阅。

已启用 RSS 源

NewsFeedEnabledSet

网站管理员或所有者为网站启用 RSS 源。全局管理员还可以在 SharePoint 管理中心为整个组织启用 RSS 源。

已修改网站权限

SitePermissionsModified

网站管理员或所有者(或系统帐户)更改分配给网站上的组的权限级别。 如果从组中删除所有权限,也将记录此活动。

注意: SharePoint Online 中已弃用此操作。若要查找相关事件,可搜索其他权限相关的活动,例如已添加网站集管理员已向 SharePoint 组添加用户或组已允许用户创建组已创建组已删除组

已从 SharePoint 组删除用户或组

RemovedFromGroup

用户从 SharePoint 组中删除成员或来宾。这可能是一项目的性操作,也可能是其他活动(例如取消共享事件)的结果。

已重命名网站

SiteRenamed

网站管理员或所有者重命名网站

已请求网站管理员权限

SiteAdminChangeRequest

用户请求将自己添加为网站集的网站集管理员。网站集管理员具有对网站集和所有子网站的完全控制权限。

已计划网站地域移动

SiteGeoMoveScheduled

SharePoint 或全局管理员成功计划 SharePoint 或 OneDrive 网站地域移动。通过多地理位置功能,Office 365组织可跨多个Office 365数据中心地理区域,也称为地理位置。有关详细信息,请参阅 Office 365 中 OneDrive 和 SharePoint Online 的多地理位置功能

已设置主机网站

HostSiteSet

SharePoint 或全局管理员更改了用于托管个人或 OneDrive for Business 网站的指定网站。

已更新组

GroupUpdated

网站管理员或所有者为网站更改组设置。这可能包括更改组名、可查看或编辑组成员身份的人员,以及成员身份请求的处理方式。

返回页首

Exchange 邮箱活动

下表列出了可以由邮箱审核日志记录的活动。将记录由邮箱所有者、委派用户或管理员执行的邮箱活动。默认情况下,未打开 Office 365 中的邮箱审核。必须为每个邮箱打开邮箱审核日志记录才会记录邮箱活动。 有关详细信息,请参阅在 Office 365 中启用邮箱审核

友好名称

操作

说明

已添加代理邮箱权限

Add-MailboxPermission

管理员已将一位用户(称为“代理”)的 FullAccess 邮箱权限分配给另一用户邮箱。FullAccess 权限允许代理打开他人的邮箱,查看和管理邮箱内容。

已将邮件复制到其他文件夹

复制

已将邮件复制到其他文件夹。

已创建邮箱项目

创建

已在邮箱的“日历”、“联系人”、“笔记”或“任务”文件夹中创建项目;例如,创建了新的会议请求。请注意,不会审核邮件的创建、发送或接收。也不会审核邮箱文件夹的创建。

已从“已删除邮件”文件夹中删除邮件

SoftDelete

已永久删除或已从“已删除邮件”文件夹中删除邮件。系统会将这些项目移动到“可恢复邮件”文件夹。用户选择邮件并按 Shift+Delete 时,会将该邮件移动到“可恢复邮件”文件夹。

已将邮件移动到其他文件夹

移动

已将邮件移动到其他文件夹。

已将邮件移动到“已删除邮件”文件夹

MoveToDeletedItems

已删除邮件,并已将其移动到“已删除邮件”文件夹。

已从邮箱清除邮件

HardDelete

已从“可恢复邮件”文件夹中清除邮件(已从邮箱中永久删除)。

已删除代理邮箱权限

Remove-MailboxPermission

管理员已从用户邮箱删除分配给代理的 FullAccess 权限。删除 FullAccess 权限后,代理无法打开他人邮箱,也无法访问该邮箱中的任何内容。

已使用“发送方式”权限发送邮件

SendAs

已使用“发送方式”权限发送邮件。这意味着其他用户以邮箱所有者的身份发送了邮件。

已使用“代表发送”权限发送邮件

SendOnBehalf

已使用“代表发送”权限发送邮件。这意味着其他用户代表邮箱所有者发送了邮件。邮件将向收件人说明发送此邮件时使用的身份及实际发送者。

已更新邮件

更新

已更改邮件或其属性。

用户已登录到邮箱

MailboxLogin

用户已登录到其邮箱。

返回页首

Sway 活动

下表列出了 Sway 中的用户和管理员活动。Sway 是一款可帮助用户在基于 Web 的交互式画布上收集、格式化和共享意见、故事和演示文稿的 Office 365 应用。有关详细信息,请参阅 Sway 常见问题 - 管理员帮助

友好名称

操作

说明

已更改 Sway 共享级别

SwayChangeShareLevel

用户更改 Sway 的共享级别。此事件捕获用户更改与 Sway 相关的共享范围;例如公共与组织内。

已创建 Sway

SwayCreate

用户创建 Sway。

已删除 Sway

SwayDelete

用户删除 Sway。

已禁用 Sway 复制

SwayDisableDuplication

用户禁用 Sway 的复制功能。

已复制 Sway

SwayDuplicate

用户复制 Sway。

已编辑 Sway

SwayEdit

用户编辑 Sway。

已启用 Sway 复制

EnableDuplication

用户启用 Sway 复制;默认允许用户启用 Sway 复制。

已撤销 Sway 共享

SwayRevokeShare

用户通过撤消访问权限来停止共享 Sway。撤消访问权限会更改与 Sway 关联的链接。

已共享 Sway

SwayShare

用户想要共享 Sway。此事件捕获单击 Sway 共享菜单内特定共享目标的用户操作。此事件不指示用户是否已完成共享操作。

已关闭 Sway 的外部共享

SwayExternalSharingOff

管理员通过使用 Office 365 管理中心对整个组织禁用外部 Sway 共享。

已打开 Sway 的外部共享

SwayExternalSharingOn

管理员通过使用 Office 365 管理中心对整个组织启用外部 Sway 共享。

已关闭 Sway 服务

SwayServiceOff

管理员通过使用 Office 365 管理中心对整个组织禁用 Sway。

已打开 Sway 服务

SwayServiceOn

管理员通过使用 Office 365 管理中心对整个组织启用 Sway(默认启用 Sway 服务)。

已查看 Sway

SwayView

用户查看 Sway。

返回页首

用户管理活动

下表列出了管理员使用 Office 365 管理中心 或 Azure 管理门户添加或更改用户帐户时记录的用户管理活动。

活动

操作

说明

已添加用户

添加用户

已创建 Office 365 用户帐户。

已更改用户许可证

更改用户许可证

分配给用户的许可证有所更改。若要查看已更改的许可证,请参阅相应的“已更新用户”活动。

已更改用户密码

更改用户密码

管理员更改了用户的密码。

已删除用户

删除用户

已删除 Office 365 用户帐户。

已重置用户密码

重置用户密码

管理员重置了用户的密码。

已设置强制用户更改密码的属性

设置强制更改用户密码

管理员设置了强制用户在下次登录到 Office 365 时更改密码的属性。

已设置许可证属性

设置许可证属性

管理员修改了分配给用户的许可证属性。

已更新用户

更新用户

管理员更改了用户帐户的一个或多个属性。有关可更新的用户属性列表,请参阅 Azure Active Directory Audit Report Events(Azure Active Directory 审核报表事件)中的“‘Update user’ attributes”(“更新用户”属性)部分。

返回页首

Azure AD 组管理活动

下表列出了管理员或用户创建或更改 Office 365 组或管理员使用 Office 365 管理中心 或 Azure 管理门户创建安全组时记录的组管理活动。有关 Office 365 中组的详细信息,请参阅在 Office 365 管理中心查看、创建和删除组

友好名称

操作

说明

已添加组

添加组

已创建组。

已向组添加成员

向组添加成员

已将成员添加到组。

已删除组

删除组

已删除组。

已删除组中成员

删除组中成员

已删除组中成员。

已更新组

更新组

已更改组的属性。

返回页首

应用程序管理活动

下表列出了管理员添加或更改已在 Azure AD 中注册的应用程序时记录的应用程序管理活动。利用 Azure AD 进行身份验证的任何应用程序必须在本目录中注册。

友好名称

操作

说明

已添加委派条目

添加委派条目

已对 Azure AD 中的应用程序创建/授予身份验证权限。

已添加服务主体

添加服务主体

已在 Azure AD 中注册应用程序。在目录中,应用程序由服务主体表示。

已向服务主体添加凭据

添加服务主体凭据

已向 Azure AD 中的服务主体添加凭据。在目录中,服务主体代表应用程序。

已删除委派条目

删除委派条目

已删除 Azure AD 中应用程序的身份验证权限。

已从目录删除服务主体

删除服务主体

已删除/注销 Azure AD 中的应用程序。在目录中,应用程序由服务主体表示。

已从服务主体删除凭据

删除服务主体凭据

已从 Azure AD 的中服务主体删除凭据。在目录中,服务主体代表应用程序。

已设置委派条目

设置委派条目

已更新 Azure AD 中应用程序的身份验证权限。

返回页首

角色管理活动

下表列出了管理员在 Office 365 管理中心 或 Azure 管理门户中管理管理员角色时记录的 Azure AD 角色管理活动。

友好名称

操作

说明

向角色添加成员

向角色添加角色成员

已向 Office 365 中的管理员角色添加用户。

已从目录角色删除用户

删除角色中的角色成员

已从 Office 365 中的管理员角色删除用户。

已设置公司联系人信息

设置公司联系人信息

已为你的 Office 365 组织更新公司级别联系人首选项。这包括由 Office 365 发送的订阅相关电子邮件的电子邮件地址,以及有关 Office 365 服务的技术通知。

返回页首

目录管理活动

下表列出了管理员在 Office 365 管理中心 或 Azure 管理门户中管理其 Office 365 组织时记录的与 Azure AD 目录和域相关的活动。

友好名称

操作

说明

已向公司添加域

向公司添加域

已向你的 Office 365 组织添加域。

已向目录添加合作伙伴

向公司添加合作伙伴

已向你的 Office 365 组织添加合作伙伴(委派管理员)。

已从公司删除域

从公司删除域

已从你的 Office 365 组织删除域。

已从目录删除合作伙伴

从公司删除合作伙伴

已从你的 Office 365 组织删除合作伙伴(委派管理员)。

已设置公司信息

设置公司信息

已更新 Office 365 组织的公司信息。这包括由 Office 365 发送的订阅相关电子邮件的电子邮件地址,以及有关 Office 365 服务的技术通知。

已设置域身份验证

设置域身份验证

已更改 Office 365 组织的域身份验证设置。

已更新域的联盟设置

设置域的联盟设置

已更改 Office 365 组织的联盟(外部共享)设置。

已设置密码策略

设置密码策略

已更改 Office 365 组织中用户密码的长度和字符约束。

已打开 Azure AD 同步

已对公司设置 DirSyncEnabled 标志

设置启用 Azure AD 同步的目录的属性。

已更新域

更新域

已更新 Office 365 组织中的域设置。

已验证域

验证域

已验证你的组织是否为域所有者。

已验证通过电子邮件验证的域

验证通过电子邮件验证的域

已使用电子邮件验证来验证你的组织是否为域所有者。

返回页首

电子数据展示活动

在 Office 365 安全与合规中心 中执行或通过运行相应 Windows PowerShell cmdlet 执行的内容搜索和电子数据展示相关活动将记录在 Office 365 审核日志中。这包括下列活动:

  • 创建和管理电子数据展示事例

  • 创建、启动和编辑“内容搜索”

  • 执行“内容搜索”操作,如预览、导出和删除搜索结果

  • 为“内容搜索”配置权限筛选

  • 管理电子数据展示管理员角色

有关记录的电子数据展示活动的列表和详细说明,请参阅搜索 Office 365 审核日志中的电子数据展示活动

注意: “活动”下拉列表中“电子数据展示活动”下列出的活动结果需要最多 30 分钟即可显示在搜索结果中。相反,电子数据展示 cmdlet 活动的相应事件需要长达 24 小时才可显示在搜索结果中。

返回页首

Power BI 活动

下表列出了 Power BI 中记录在 Office 365 审核日志中的用户和管理员活动。

友好名称

操作

说明

已添加 Power BI 组成员

AddGroupMembers

在 Power BI 组工作区中添加了成员。

已分析 Power BI 数据集

AnalyzedByExternalApplication

数据集已由外部应用程序分析。

已创建 Power BI 仪表板

CreateDashboard

创建了新的仪表板。

已创建 Power BI 组

CreateGroup

创建了组。

已创建组织 Power BI 内容包

CreateOrgApp

创建了组织内容包。

已删除 Power BI 仪表板

DeleteDashboard

删除了仪表板。

已删除 Power BI 数据集

DeleteDataset

删除了数据集。

已删除 Power BI 报表

DeleteReport

删除了报表。

已下载 Power BI 报表

DownloadReport

用户将服务中的 Power BI 报表下载到计算机上。

已编辑 Power BI 仪表板

EditDashboard

对仪表板进行了重命名。

已导出 Power BI 报表可视化数据

ExportReport

从报表磁贴中导出了数据。

已导出 Power BI 磁贴数据

ExportTile

从仪表板磁贴中导出了数据。

已打印 Power BI 仪表板

PrintDashboard

打印了仪表板。

已打印 Power BI 报表页面

PrintReport

打印了报表。

已将 Power BI 报表发布到 Web

PublishToWebReport

将报表发布到了 Web。

已共享 Power BI 仪表板

ShareDashboard

共享了仪表板。

已启动 Power BI 试用版

OptInForProTrial

用户启动了 Power BI Pro 试用版订阅。

更新了组织的 Power BI 设置

UpdatedAdminFeatureSwitch

管理员更改了 Power BI 管理门户中的组织设置。

已查看 Power BI 仪表板

ViewDashboard

查看了仪表板。

已查看 Power BI 报表

ViewReport

查看了报表。

返回页首

Microsoft Teams 活动

下表列出了 Office 365 审核日志中记录的 Microsoft Teams 中的用户和管理员活动。Microsoft Teams 是 Office 365 中以聊天为中心的工作区。它将团队的对话、会议、文件和笔记集中到一个位置。有关帮助主题的详细信息和链接,请参阅:

友好名称

操作

说明

已向团队添加自动程序

BotAddedToTeam

用户将自动程序添加到团队。

已添加频道

ChannelAdded

用户将频道添加到团队。

已添加连接器

ConnectorAdded

用户将连接器添加到频道。

已添加选项卡

TabAdded

用户将选项卡添加到频道。

已更改的频道设置

ChannelSettingChanged

团队成员执行以下活动时将记录 ChannelSettingChanged 操作。对于每个活动,审核日志搜索结果中的“”列将显示已更改设置的说明(显示于下方括号中)。

  • 更改团队频道的名称(“频道名称”)。

  • 更改团队频道的说明(“频道说明”)。

已更改的组织设置

OrganizationSettingChanged

当全局管理员(使用 Office 365 管理中心)执行以下活动时,将记录 OrganizationSettingChanged 操作;请注意,这些活动会影响整个组织的 Microsoft Teams 设置。有关详细信息,请参阅 Microsoft Teams 的管理员设置

对于每个活动,审核日志搜索结果中的“”列将显示已更改设置的说明(显示在下方括号中)。

  • 启用或禁用组织的 Microsoft Teams(“Microsoft Teams”)。

  • 启用或禁用组织的 Microsoft Teams 和 Skype for Business 之间的互操作性(“Skype for Business 互操作性”)。

  • 启用或禁用 Microsoft Teams 客户端中的组织结构图视图(“组织结构图视图”)。

  • 允许或禁止团队成员安排私人会议(“私人会议安排”)。

  • 允许或禁止团队成员安排频道会议(“频道会议安排”)。

  • 启用或禁用 Teams 会议中的视频呼叫(“Skype 会议视频通话”)。

  • 启用或禁用组织的 Microsoft Teams 聚会中的屏幕共享 (“Skype 会议屏幕共享”)。

  • 允许或禁止将动画图像(称为 Giphys)添加到 Teams 对话(“动画图像”)。

  • 更改组织的内容评级设置(“内容评级”)。

    内容评级限制了可在对话中显示的动画图像类型。

  • 允许或禁止团队成员将来自 Internet 的可自定义图像(称为自定义模因)添加到团队对话(“来自 Internet 的可自定义图像”)。

  • 允许或禁止团队成员将可编辑图像(称为贴纸)添加到团队对话(“可编辑图像”)。

  • 允许或禁止团队成员在 Microsoft Teams 聊天和频道中使用自动程序(“组织范围内的自动程序”)。

  • 对 Microsoft Teams 启用特定的自动程序(不包括 T-Bot,即 Teams 帮助自动程序) 组织启用自动程序时可用(“个人自动程序”)。

  • 允许或禁止团队成员添加扩展或选项卡(“扩展或选项卡”)。

  • 启用或禁用 Microsoft Teams 专有自动程序旁加载(“自动程序旁加载”)。

  • 允许或禁止用户向 Microsoft Teams 频道发送电子邮件(“频道电子邮件”)。

已更改的团队设置

TeamSettingChanged

团队管理员执行以下活动时将记录 TeamSettingChanged 操作。对于每个活动,审核日志搜索结果中的“”列将显示已更改设置的说明(显示于下方括号中)。

  • 更改团队的访问权限类型。可将团队设置为“专用​​”或“公用”(“团队访问权限类型”)。

    当团队为专用(默认设置)时,用户只能通过邀请访问该团队。当团队为公用时,任何人都可以发现它。

  • 更改团队的信息分类(“团队分类”)。

    例如,可将团队数据分类为高业务影响、中等业务影响或低业务影响。

  • 更改团队的名称(“团队名称”)。

  • 更改团队说明(“团队说明”)。

已创建团队

TeamCreated

用户创建了新团队。

已删除频道

ChannelDeleted

用户从团队中删除频道。

已删除团队

TeamDeleted 

团队管理员删除了团队。

已从团队中删除自动程序

BotRemovedFromTeam

用户从团队中删除自动程序。

已删除连接器

ConnectorRemoved

用户从频道删除连接器。

已删除选项卡

TabRemoved

用户从频道中删除选项卡。

用户已登录到 Teams

TeamsSessionStarted

用户登录到 Microsoft Teams 客户端。

返回页首

Yammer 活动

下表列出了 Yammer 中记录在 Office 365 审核日志中的用户和管理员活动。若要从 Office 365 审核日志返回与 Yammer 相关的活动,必须选择“活动”列表中的“显示所有活动的结果”。使用日期范围框和“用户”列表,缩小搜索结果的范围。

友好名称

操作

说明

已更改数据保留策略

SoftDeleteSettingsUpdated

验证管理员将网络数据保留策略的设置更新为了硬删除或软删除。仅验证管理员可以执行此操作。

已更改网络配置

NetworkConfigurationUpdated

网络管理员或验证管理员更改了 Yammer 网络的配置。其中包括设置了导出数据和启用聊天室的时间间隔。

已更改网络配置文件设置

ProcessProfileFields

网络或验证管理员更改了网络用户网络的成员配置文件上显示的信息。

已更改私密内容模式

SupervisorAdminToggled

验证管理员启用或禁用了“私密内容模式”。此模式使管理员能够在专用组中查看公告并可在个人用户(或用户组)之间查看私人消息。只有验证管理员可执行此操作。

已更改安全配置

NetworkSecurityConfigurationUpdated

验证管理员更新了 Yammer 网络的安全配置。其中包括设置了密码过期策略和 IP 地址限制。仅验证管理员可以执行此操作。

已创建文件

FileCreated

用户上传了文件。

已创建组

GroupCreation

用户创建了新组。

已删除组

GroupDeletion

从 Yammer 中删除了组。

已删除消息

MessageDeleted

用户删除了消息。

已下载的文件

FileDownloaded

用户下载了文件。

已导出数据

DataExport

验证管理员导出了 Yammer 网络数据。仅验证管理员可以执行此操作。

已共享文件

FileShared

用户与其他用户共享了文件。

已挂起网络用户

NetworkUserSuspended

网络管理员或验证管理员从 Yammer 中挂起(停用)了用户。

已挂起用户

UserSuspension

挂起(停用)了用户帐户。

已更新文件说明

FileUpdateDescription

用户更改了文件说明。

已更新文件名

FileUpdateName

用户更改了文件名。

已查看文件

FileVisited

用户查看了文件。

返回页首

Exchange 管理员审核日志

管理员(或已分配管理权限的用户)在 Exchange Online 组织中做出更改时,Exchange 管理员审核日志记录(Office 365 中默认启用此功能)将在 Office 365 审核日志中记录事件。通过使用 Exchange 管理中心或在 Windows PowerShell 中运行 cmdlet 所做的更改将记录在 Exchange 管理员审核日志中。有关 Exchange 中管理员审核日志记录的更多详细信息,请参阅管理员审核日志记录。以下是有关搜索 Exchange 管理员审核日志中活动的一些提示:

  • 若要返回 Exchange 管理员审核日志中的条目,必须选择“活动”列表中的“显示所有活动的结果”。使用日期范围框和“用户”列表缩小由特定 Exchange 管理员在特定日期范围内运行的 cmdlet 的搜索结果范围。

  • 若要显示 Exchange 管理员审核日志中的事件,请筛选搜索结果并在“活动”筛选器框中键入 (破折号)。这将在 Exchange 管理员事件的“活动”列中显示 cmdlet 名称。然后你便可按字母顺序对 cmdlet 名称进行排序。

    在“活动”框中键入一个破折号以筛选 Exchange 管理事件
  • 若要获取有关已运行的 cmdlet、已使用的参数和参数值以及受影响对象的信息,必须导出搜索结果并选择“下载所有结果”选项。

返回页首

需要了解用户是否查看了特定文档或从其邮箱中清除了某项?如果是,可以使用 Office 365 安全和合规性中心 搜索统一审核日志,以便查看 Office 365 组织中的用户和管理员活动。为什么使用统一审核日志?因为你可以在 Office 365 中搜索以下类型的用户和管理员活动:

  • SharePoint Online 和 OneDrive for Business 中的用户活动

  • Exchange Online 中的用户活动(Exchange 邮箱审核日志记录)

    重要: 必须为每个用户邮箱打开邮箱审核日志记录,才会记录 Exchange Online 中的用户活动。有关详细信息,请参阅在 Office 365 中启用邮箱审核

  • SharePoint Online 中的管理员活动

  • Azure Active Directory 中的管理员活动(Office 365 的目录服务)

  • Exchange Online 中的管理员活动(Exchange 管理员审核日志记录)

  • Sway中的用户和管理员活动

  • Power BI for Office 365 中的用户和管理员活动

  • Microsoft Teams 中的用户和管理员活动

  • Yammer 中的用户和管理员活动

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×