استعلامات لجدول OfficeActivity

مقالة
02/18/2025

للحصول على معلومات حول استخدام هذه الاستعلامات في مدخل Microsoft Azure، راجع البرنامج التعليمي Log Analytics. للحصول على واجهة برمجة تطبيقات REST، راجع الاستعلام.

كافة أنشطة Office

جميع الأحداث التي يوفرها نشاط Office.

OfficeActivity
| project TimeGenerated, UserId, Operation, OfficeWorkload, RecordType, _ResourceId
| sort by TimeGenerated desc nulls last

المستخدمون الذين يصلون إلى الملفات

المستخدمون الذين تم فرزهم حسب عدد ملفات OneDrive وSharePoint التي قاموا بالوصول إليها.

OfficeActivity
| where OfficeWorkload in ("OneDrive", "SharePoint") and Operation in ("FileDownloaded", "FileAccessed")
| summarize AccessedFilesCount = dcount(OfficeObjectId) by UserId, _ResourceId
| sort by AccessedFilesCount desc nulls last

عملية تحميل الملفات

يسرد المستخدمين الذين تم فرزهم حسب عدد الملفات التي قاموا بتحميلها إلى OneDrive وSharePoint.

OfficeActivity
| where OfficeWorkload in ("OneDrive", "SharePoint") and Operation in ("FileUploaded")
| summarize AccessedFilesCount = dcount(OfficeObjectId) by UserId, _ResourceId
| sort by AccessedFilesCount desc nulls last

نشاط Office للمستخدم

يعرض الاستعلام نشاط المستخدم عبر Office.

// Replace the UPN in the query with the UPN of the user of interest
let v_Users_UPN= "osotnoc@contoso.com";
OfficeActivity
| where UserId==v_Users_UPN
| project TimeGenerated, OfficeWorkload, Operation, ResultStatus, OfficeObjectId, _ResourceId

إنشاء قاعدة إعادة توجيه

يسرد إنشاء قواعد إعادة توجيه البريد الإلكتروني.

OfficeActivity
| where OfficeWorkload == "Exchange"
| where Operation in~ ("New-TransportRule", "Set-TransportRule")
| extend RuleName = case(Operation =~ "Set-TransportRule", tostring(OfficeObjectId), Operation =~ "New-TransportRule", tostring(parse_json(Parameters)[1].Value), "Unknown")
| project  TimeGenerated, ClientIP, UserId, Operation, RuleName, _ResourceId

اسم الملف المشبوه

العمليات على الملفات ذات الاسم التي قد تشير إلى التعتيم على ملف قابل للتنفيذ.

OfficeActivity
| where RecordType =~ "SharePointFileOperation" and isnotempty(SourceFileName)
| where OfficeObjectId has ".exe." and OfficeObjectId matches regex @"\.exe\.\w{0,4}$"

مشاركة عبر