OfficeActivity

Azure Sentinel 收集的 Office 365 租户的审核日志。 包括 Exchange、SharePoint 和 Teams 日志。

数据表属性

Attribute Value
资源类型 -
Categories 安全性
Solutions AzureSentinelPrivatePreview、SecurityInsights
基本日志 No
引入时转换 Yes
示例查询 Yes

Columns

Column 类型 Description
AADGroupId 字符串 Azure Active Directory 组 ID
AADTarget 字符串 所执行操作(由 Operation 属性标识)针对的用户
Activity 字符串 用户执行的活动。
Actor 字符串 执行操作的用户或服务主体
ActorContextId 字符串 参与者所属的组织的 GUID
ActorIpAddress 字符串 采用 IPV4 或 IPV6 地址格式的参与者 IP 地址
AddOnGuid 字符串 生成此事件的加载项的唯一标识符
AddonName 字符串 生成此事件的加载项的名称
AddOnType 字符串 生成此事件的加载项的类型
AffectedItems 字符串 组中每个项的相关信息
AppAccessContext dynamic 执行该操作的用户或服务主体的应用程序上下文。
AppDistributionMode 字符串 应用程序分发模式
AppId 字符串 应用程序 ID
Application 字符串 应用程序名称
ApplicationId 字符串 SharePoint 应用程序 ID
AppPoolName 字符串 应用池名称
ArtifactsShared dynamic 会议中分享的文物。
Attendees dynamic 会议的与会者列表。
AzureActiveDirectory_EventType 字符串 Azure AD 事件的类型
AzureADAppId 字符串 Teams 应用程序 Azure AD ID
_BilledSize real 记录大小(字节)
ChannelGuid 字符串 审核中的频道的唯一标识符
ChannelName 字符串 审核中的频道名称
ChannelType 字符串 审核中的频道类型(标准/私有)
ChatName 字符串 聊天的名称
ChatThreadId 字符串 聊天线程的 ID
Client 字符串 有关客户端设备、设备操作系统和用于帐户登录事件的设备浏览器的详细信息
Client_IPAddress 字符串 记录操作时所用的设备的 IP 地址
ClientAppId 字符串 客户端应用程序 ID
ClientInfoString 字符串 有关用于执行操作的电子邮件客户端的信息
ClientIP 字符串 记录活动时使用的设备的 IP 地址
ClientMachineName 字符串 托管 Outlook 客户端的计算机名称
ClientProcessName 字符串 用于访问邮箱的电子邮件客户端
ClientVersion 字符串 电子邮件客户端的版本
CommunicationType 字符串 进行的通信的类型
CrossMailboxOperations bool 表示操作是否涉及多个邮箱
CustomEvent 字符串 自定义事件的可选字符串
DataCenterSecurityEventType int 锁定框中 dmdlet 事件的类型
DestFolder 字符串 目标文件夹
DestinationFileExtension 字符串 复制或移动的文件的文件扩展名
DestinationFileName 字符串 复制或移动的文件的名称
DestinationRelativeUrl 字符串 复制或移动文件的目标文件夹的 URL
DestMailboxId 字符串 仅在 CrossMailboxOperations 参数为 True 时设置
DestMailboxOwnerMasterAccountSid 字符串 仅在 CrossMailboxOperations 参数为 True 时设置
DestMailboxOwnerSid 字符串 仅在 CrossMailboxOperations 参数为 True 时设置
DestMailboxOwnerUPN 字符串 仅在 CrossMailboxOperations 参数为 True 时设置
DeviceInformation 字符串 用户设备信息。
EffectiveOrganization 字符串 提升/cmdlet 面向的租户的名称
ElevationApprovedTime 日期/时间 提升获得批准时的时间戳
ElevationApprover 字符串 Microsoft 管理器的名称
ElevationDuration int 提升处于活动状态的持续时间(以小时为单位)
ElevationRequestId 字符串 提升请求的唯一标识符
ElevationRole 字符串 为其请求提升的角色
ElevationTime 日期/时间 提升的开始时间
Event_Data 字符串 自定义事件的可选有效负载
EventSource 字符串 确定事件在 SharePoint 中发生。 可能的值有 SharePoint 或 ObjectModel
ExtendedProperties 字符串 Azure AD 事件的扩展属性
ExternalAccess 字符串 指定 cmdlet 是否由组织中的用户运行
ExtraProperties dynamic 额外属性的列表
Folder 字符串 一组项所在的文件夹
Folders 字符串 有关操作中涉及的源文件夹的信息
GenericInfo 字符串 用于注释和其他通用信息
InternalLogonType int 保留供内部使用
InterSystemsId 字符串 跨 Office 365 服务内的组件跟踪操作的 GUID
IntraSystemId 字符串 由 Azure Active Directory 生成用于跟踪操作的 GUID
_IsBillable 字符串 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
IsJoinedFromLobby bool 指示用户是否从大厅加入。
IsManagedDevice bool 指示操作是否由组织管理的设备创建
Item 字符串 表示对其执行操作的项
ItemName 字符串 电子邮件的“主题”字段中的字符串
ItemType 字符串 访问或修改的对象的类型。 请参阅 ItemType 表,详细了解对象类型
JoinTime 日期/时间 用户加入会议的时间。
LeaveTime 日期/时间 用户离开会议的时间。
ListItemUniqueId 字符串 列表的可识别项的唯一 GUID。 仅当此信息适用时,此信息才存在。
LoginStatus int 此属性直接从 OrgIdLogon.LoginStatus 获取。 可通过警报算法完成各种关注的登录失败的映射
Logon_Type 字符串 表示访问邮箱并执行所记录的操作的用户类型
LogonUserDisplayName 字符串 执行操作的用户的用户友好名称
LogonUserSid 字符串 执行操作的用户的 SID
MachineDomainInfo 字符串 有关设备同步操作的信息
MachineId 字符串 有关设备同步操作的信息
MailboxGuid 字符串 所访问邮箱的 Exchange GUID
MailboxOwnerMasterAccountSid 字符串 邮箱所有者帐户的主帐户 SID
MailboxOwnerSid 字符串 邮箱所有者的 SID
MailboxOwnerUPN 字符串 拥有所访问邮箱的人员的电子邮件地址
MeetingDetailId 字符串 会议详细信息 ID。
Members dynamic 团队中的用户列表
MessageId 字符串 聊天或频道消息的标识符
ModifiedObjectResolvedName 字符串 这是由 cmdlet 修改的对象的用户友好名称
ModifiedProperties 字符串 包含此属性用于管理员事件,例如将用户添加为网站成员或网站集管理员组的成员
Name 字符串 仅为设置事件呈现。 已更改的设置的名称
NewValue 字符串 仅为设置事件呈现。 设置的新值
OfficeId 字符串 审核记录的唯一标识符
OfficeObjectId 字符串 对于 SharePoint 和 OneDrive for Business 活动
OfficeTenantId 字符串 Office 租户 ID
OfficeWorkload 字符串 其中发生活动的 Office 365 服务
OldValue 字符串 仅为设置事件呈现。 设置的旧值
Operation 字符串 用户正在执行的操作的名称
OperationProperties dynamic 其他操作属性
OperationScope 字符串 执行操作的范围
OrganizationId 字符串 组织的 Office 365 租户的 GUID。 对于贵组织,此值始终相同
OrganizationName 字符串 租户的名称
OriginatingServer 字符串 从中执行 cmdlet 的服务器的名称
Parameters 字符串 与 Operations 属性中标识的 cmdlet 结合使用的所有参数的名称和值
RecordType 字符串 记录指示的操作类型。 有关审核日志记录类型的详细信息表,请参阅 AuditLogRecordType 表
_ResourceId 字符串 与记录关联的资源的唯一标识符
ResultReasonType 字符串 ResultType 中报告的结果的原因
ResultStatus 字符串 指示操作(在 Operation 属性中指定)是成功还是失败
SendAsUserMailboxGuid 字符串 为发送电子邮件而访问的邮箱的 Exchange GUID
SendAsUserSmtp 字符串 被模拟用户的 SMTP 地址
SendonBehalfOfUserMailboxGuid 字符串 为代替发送邮件而访问的邮箱的 Exchange GUID
SendOnBehalfOfUserSmtp 字符串 以其名义发送电子邮件的用户的 SMTP 地址
SensitivityLabelId 字符串 文件的当前敏感度标签 ID。
SharingType 字符串 分配给与其共享资源的用户的共享权限类型。 此用户由 UserSharedWith 参数识别
Site_ 字符串 用户访问的文件或文件夹所在的站点的 GUID
Site_Url 字符串 用户访问的文件或文件夹所在的站点的 URL
Source_Name 字符串 触发已审核操作的实体。 可能的值有 SharePoint 或 ObjectModel
SourceFileExtension 字符串 用户访问的文件的文件扩展名
SourceFileName 字符串 用户访问的文件或文件夹的名称
SourceRecordId 字符串 审核记录的唯一标识符
SourceRelativeUrl 字符串 包含用户访问的文件的文件夹 URL
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
SRPolicyId 字符串 策略 ID
SRPolicyName 字符串 策略名称
SRRuleMatchDetails dynamic 规则详细信息
Start_Time 日期/时间 执行 cmdlet 时的日期和时间
_SubscriptionId 字符串 与记录关联的订阅的唯一标识符
SupportTicketId 字符串 “代表执行”情况下的操作的客户支持票证 ID
TabType 字符串 生成此事件的选项卡的类型
TargetContextId 字符串 目标用户所属的组织的 GUID
TargetUserId 字符串 目标用户 ID
TargetUserOrGroupName 字符串 存储与之共享资源的目标用户或组的 UPN 或名称
TargetUserOrGroupType 字符串 标识目标用户或组是成员、来宾、组还是合作伙伴
TeamGuid 字符串 审核中团队的唯一标识符
TeamName 字符串 审核中的团队名称
TenantId 字符串 Log Analytics 工作区 ID
TimeGenerated 日期/时间 用户执行活动时的协调世界时 (UTC) 日期和时间
类型 字符串 表的名称
UniqueSharingId 字符串 与共享操作关联的唯一共享 ID。
UserAgent 字符串 用户代理
UserDomain 字符串 用户的域
UserId 字符串 执行导致记录的操作(在 Operation 属性中指定)的用户的 UPN(用户主体名称)
UserKey 字符串 UserId 属性中标识的用户的备用 ID
UserSharedWith 字符串 与其共享资源的用户
UserType 字符串 执行操作的用户的类型。 请参阅 UserType 表,详细了解用户类型