Azure Sentinel 收集的 Dynamics 365 租户的审核日志。
| Attribute |
值 |
|
资源类型 |
- |
|
类别 |
- |
|
解决方案 |
SecurityInsights |
|
基本日志 |
否 |
|
引入时转换 |
是 |
|
示例查询 |
- |
| 列 |
类型 |
描述 |
| _BilledSize |
real |
记录大小(字节) |
| ClientIP |
字符串 |
记录活动时使用的设备的 IP 地址 |
| CorrelationId |
字符串 |
用于关联相关行的唯一值 |
| CrmOrganizationUniqueName |
字符串 |
组织的唯一名称 |
| EntityId |
字符串 |
实体的唯一标识符 |
| EntityName |
字符串 |
组织中的实体的名称 |
| 字段 |
动态 |
反映创建或更新的值的密钥值对的 JSON |
| InstanceUrl |
字符串 |
实例的 URL |
| _IsBillable |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| ItemType |
字符串 |
访问或修改的对象的类型。 请参阅 ItemType 表,详细了解对象类型 |
| ItemUrl |
字符串 |
发出日志的记录的 URL |
| 消息 |
字符串 |
Dynamics365 SDK 中调用的消息的名称 |
| OfficeWorkload |
字符串 |
其中发生活动的 Office 365 服务 |
| Operation |
字符串 |
用户正在执行的操作的名称 |
| OrganizationId |
字符串 |
组织的 Office 365 租户的 GUID。 对于贵组织,此值始终相同 |
| OriginalObjectId |
字符串 |
关于业务活动的 SharePoint 和 OneDrive 的 ObjectId |
| 查询 |
字符串 |
执行 FetchXML 时使用的查询筛选器参数 |
| QueryResults |
动态 |
检索和检索多条 SDK 消息调用返回的一条或多条唯一记录 |
| RecordType |
字符串 |
记录指示的操作类型。 有关审核日志记录类型的详细信息,请参阅 Office 365 管理活动 API 架构文档中的 AuditLogRecordType 表 |
| _ResourceId |
字符串 |
与记录关联的资源的唯一标识符 |
| ResultStatus |
字符串 |
指示操作(在 Operation 属性中指定)是成功还是失败 |
| ServiceName |
字符串 |
生成日志的服务的名称 |
| SourceRecordId |
字符串 |
审核记录的唯一标识符 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| _SubscriptionId |
字符串 |
与记录关联的订阅的唯一标识符 |
| SystemUserId |
字符串 |
组织中的用户 GUID 的唯一标识符 |
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
用户执行活动时的协调世界时 (UTC) 日期和时间 |
| 类型 |
字符串 |
表的名称 |
| UserAgent |
字符串 |
用户代理 |
| UserID |
字符串 |
执行导致记录的操作(在 Operation 属性中指定)的用户的 UPN(用户主体名称) |
| UserKey |
字符串 |
UserId 属性中标识的用户的备用 ID |
| UserType |
字符串 |
执行操作的用户的类型。 有关用户类型的详细信息,请参阅 Office 365 管理活动 API 架构文档中的 UserType 表 |