مشاركة عبر

OfficeActivity

  • مقالة

سجلات التدقيق لمستأجري Office 365 التي تم جمعها بواسطة Azure Sentinel. بما في ذلك سجلات Exchange وSharePoint وTeams.

سمات الجدول

السمة القيمة‬
أنواع الموارد -
الفئات الأمان
الحلول AzureSentinelPrivatePreview, SecurityInsights
السجل الأساسي لا
تحويل وقت الاستيعاب ‏‏نعم‬
نماذج الاستعلامات نعم

الأعمدة

Column نوع ‏‏الوصف
معرف AADGroup سلسلة معرف مجموعة Azure Active Directory
AADTarget سلسلة المستخدم الذي تم تنفيذ الإجراء عليه (تم تحديده بواسطة خاصية العملية)
النشاط سلسلة النشاط الذي قام به المستخدم.
الفاعل سلسلة المستخدم أو كيان الخدمة الذي نفذ الإجراء
ActorContextId سلسلة المعرف الفريد العمومي للمؤسسة التي ينتمي إليها الممثل
ActorIpAddress سلسلة عنوان IP الخاص بالممثل بتنسيق عنوان IPV4 أو IPV6
AddOnGuid سلسلة المعرف الفريد للوظيفة الإضافية التي تم إنشاؤها لهذا الحدث
اسم الوظيفة الإضافية سلسلة اسم الوظيفة الإضافية التي أنشأت هذا الحدث
AddOnType سلسلة نوع الوظيفة الإضافية التي أنشأت هذا الحدث
AffectedItems سلسلة معلومات حول كل عنصر في المجموعة
AppDistributionMode سلسلة وضع توزيع التطبيق
AppId سلسلة مُعرّف التطبيق
طلب سلسلة اسم التطبيق
معرف التطبيق سلسلة معرف تطبيق SharePoint
AppPoolName سلسلة اسم تجمع التطبيقات
AzureActiveDirectory_EventType سلسلة نوع حدث Azure AD
AzureADAppId سلسلة معرف تطبيق Teams Azure AD
_BilledSize real حجم السجل بالبايت
ChannelGuid سلسلة معرف فريد للقناة التي يتم تدقيقها
اسم القناة سلسلة اسم القناة التي يتم تدقيقها
ChannelType سلسلة نوع القناة التي يتم تدقيقها (قياسي/خاص)
اسم الدردشة سلسلة اسم الدردشة
ChatThreadId سلسلة معرف مؤشر ترابط الدردشة
العميل سلسلة تفاصيل حول جهاز العميل ونظام تشغيل الجهاز ومستعرض الجهاز الذي تم استخدامه لحدث تسجيل الدخول إلى الحساب
Client_IPAddress سلسلة عنوان IP للجهاز الذي تم استخدامه عند تسجيل العملية
ClientAppId سلسلة معرّف تطبيق العميل
ClientInfoString سلسلة معلومات حول عميل البريد الإلكتروني الذي تم استخدامه لتنفيذ العملية
ClientIP سلسلة عنوان IP للجهاز الذي تم استخدامه عند تسجيل النشاط
ClientMachineName سلسلة اسم الجهاز الذي يستضيف عميل Outlook
ClientProcessName سلسلة عميل البريد الإلكتروني الذي تم استخدامه للوصول إلى علبة البريد
ClientVersion سلسلة إصدار عميل البريد الإلكتروني
نوع الاتصال سلسلة نوع الاتصالات التي أجريت
CrossMailboxOperations منطقي يشير إلى ما إذا كانت العملية تتضمن أكثر من علبة بريد واحدة
CustomEvent سلسلة سلسلة اختيارية للأحداث المخصصة
نوع الحدث الخاص ب DataCenterSecurity العدد الصحيح نوع حدث dmdlet في مربع التأمين
DestFolder سلسلة المجلد الوجهة
DestinationFileExtension سلسلة ملحق الملف لملف يتم نسخه أو نقله
DestinationFileName سلسلة اسم الملف الذي يتم نسخه أو نقله
DestinationRelativeUrl سلسلة عنوان URL للمجلد الوجهة حيث يتم نسخ ملف أو نقله
DestMailboxId سلسلة تعيين فقط إذا كانت المعلمة CrossMailboxOperations هي True
DestMailboxOwnerMasterAccountSid سلسلة تعيين فقط إذا كانت المعلمة CrossMailboxOperations هي True
DestMailboxOwnerSid سلسلة تعيين فقط إذا كانت المعلمة CrossMailboxOperations هي True
DestMailboxOwnerUPN سلسلة تعيين فقط إذا كانت المعلمة CrossMailboxOperations هي True
EffectiveOrganization سلسلة اسم المستأجر الذي تم استهداف الارتفاع/cmdlet فيه
ElevationApprovedTime datetime الطابع الزمني لوقت الموافقة على الارتفاع
ElevationApprover سلسلة اسم مدير Microsoft
ElevationDuration العدد الصحيح المدة التي كان الارتفاع فيها نشطا (بالساعات)
ElevationRequestId سلسلة معرف فريد لطلب الارتفاع
ElevationRole سلسلة الدور الذي طلب رفعه
ElevationTime datetime وقت بدء الارتفاع
Event_Data سلسلة حمولة اختيارية للأحداث المخصصة
EventSource سلسلة يُحدد وجود حدث في SharePoint. القيم المحتملة هي SharePoint أو ObjectModel
ExtendedProperties سلسلة الخصائص الموسعة لحدث Azure AD
ExternalAccess سلسلة تحديد ما إذا كان cmdlet قد تم تشغيله بواسطة مستخدم في مؤسستك
الخصائص الإضافية ديناميكي قائمة بالخصائص الإضافية
مجلد سلسلة المجلد الذي توجد فيه مجموعة من العناصر
المجلدات سلسلة معلومات حول المجلدات المصدر المتضمنة في عملية
معلومات عامة سلسلة يستخدم للتعليقات والمعلومات العامة الأخرى
InternalLogonType العدد الصحيح محجوز للاستخدام الداخلي
InterSystemsId سلسلة المعرف الفريد العمومي (GUID) الذي يتعقب الإجراءات عبر المكونات داخل خدمة Office 365
IntraSystemId سلسلة المعرف الفريد العمومي (GUID) الذي تم إنشاؤه بواسطة Azure Active Directory لتعقب الإجراء
_IsBillable سلسلة تحديد ما إذا كان استيعاب البيانات قابلا للفوترة. عندما _IsBillable لا false تتم فوترة الاستيعاب إلى حساب Azure الخاص بك
IsManagedDevice منطقي يشير إلى ما إذا تم إنشاء العملية بواسطة جهاز تديره المؤسسة
IssuedAtTime datetime يتم تعيين الإصدار في إذا كان الرمز المميز ل Microsoft Entra متوفرا للطلب ويشير إلى وقت حدوث المصادقة لهذا الرمز المميز ل Microsoft Entra.
العنصر سلسلة يمثل العنصر الذي تم تنفيذ العملية عليه
ItemName سلسلة السلسلة في حقل الموضوع لرسالة البريد الإلكتروني
ItemType سلسلة نوع الكائن الذي تم الوصول إليه أو تعديله. راجع جدول ItemType للحصول على تفاصيل حول أنواع العناصر
تسجيل الدخول العدد الصحيح هذه الخاصية من OrgIdLogon.LoginStatus مباشرة. يمكن تعيين العديد من حالات فشل تسجيل الدخول المثيرة للاهتمام عن طريق تنبيه الخوارزميات
Logon_Type سلسلة يشير إلى نوع المستخدم الذي قام بالوصول إلى علبة البريد وتنفيذ العملية التي تم تسجيلها
LogonUserDisplayName سلسلة الاسم المألوف للمستخدم الذي أجرى العملية
LogonUserSid سلسلة معرف الأمان (SID) للمستخدم الذي أجرى العملية
MachineDomainInfo سلسلة معلومات حول عمليات مزامنة الجهاز
MachineId سلسلة معلومات حول عمليات مزامنة الجهاز
MailboxGuid سلسلة المعرف الفريد العمومي ل Exchange لعلمة البريد التي تم الوصول إليها
MailboxOwnerMasterAccountSid سلسلة معرف أمان الحساب الرئيسي لحساب مالك علبة البريد
MailboxOwnerSid سلسلة معرف الأمان لمالك علبة البريد
MailboxOwnerUPN سلسلة عنوان البريد الإلكتروني للشخص الذي يملك علبة البريد التي تم الوصول إليها
الأعضاء ديناميكي قائمة المستخدمين داخل فريق
MessageId سلسلة معرف لرسالة دردشة أو قناة
ModifiedObjectResolvedName سلسلة هذا هو الاسم المألوف للمستخدم للكائن الذي تم تعديله بواسطة cmdlet
ModifiedProperties سلسلة يتم تضمين الخاصية لأحداث المسؤول، مثل إضافة مستخدم كعضو في موقع أو مجموعة مسؤولي مجموعة مواقع مشتركة
الاسم سلسلة موجود فقط لأحداث الإعدادات. اسم الإعداد الذي تم تغييره
NewValue سلسلة موجود فقط لأحداث الإعدادات. قيمة جديدة للإعداد
معرف Office سلسلة المعرف الفريد لسجل التدقيق
OfficeObjectId سلسلة لنشاط SharePoint وOneDrive for Business
OfficeTenantId سلسلة معرف مستأجر المكتب
OfficeWorkload سلسلة خدمة Office 365 حيث حدث النشاط
OldValue سلسلة موجود فقط لأحداث الإعدادات. القيمة القديمة للإعداد
العملية سلسلة اسم العملية التي يقوم بها المستخدم
خصائص العملية ديناميكي خصائص عملية إضافية
نطاق العمليات سلسلة النطاق الذي تم تنفيذ العملية عليه
OrganizationId سلسلة المعرف الفريد العمومي للمستأجر Office 365 للمؤسسة. ستكون هذه القيمة دائما هي نفسها لمؤسستك
اسم المؤسسة سلسلة اسم المستأجر
OriginatingServer سلسلة اسم الخادم الذي تم تنفيذ cmdlet منه
المعلمات سلسلة الاسم والقيمة لكافة المعلمات التي تم استخدامها مع cmdlet التي تم تعريفها في الخاصية Operations
RecordType سلسلة نوع العملية المشار إليها بواسطة السجل. راجع جدول AuditLogRecordType للحصول على تفاصيل حول أنواع سجلات سجل التدقيق
_ResourceId سلسلة معرّف فريد للمورد الذي يقترن به السجل
ResultReasonType سلسلة سبب النتيجة التي تم الإبلاغ عنها في ResultType
ResultStatus سلسلة يشير إلى ما إذا كان الإجراء (المحدد في خاصية العملية) ناجحا أم لا
SendAsUserMailboxGuid سلسلة المعرف الفريد العمومي ل Exchange لعلمة البريد التي تم الوصول إليها لإرسال البريد الإلكتروني ك
SendAsUserSmtp سلسلة عنوان SMTP للمستخدم الذي يتم انتحال صفته
SendonBehalfOfUserMailboxGuid سلسلة المعرف الفريد العمومي ل Exchange لعلابة البريد التي تم الوصول إليها لإرسال البريد نيابة عن
SendOnBehalfOfUserSmtp سلسلة عنوان SMTP للمستخدم الذي يتم إرسال البريد الإلكتروني نيابة عنه
SharingType سلسلة نوع أذونات المشاركة التي تم تعيينها للمستخدم الذي تمت مشاركة المورد معه. يتم تعريف هذا المستخدم بواسطة المعلمة UserSharedWith
Site_ سلسلة المعرف الفريد العمومي (GUID) للموقع الذي يوجد فيه الملف أو المجلد الذي يصل إليه المستخدم
Site_Url سلسلة عنوان URL للموقع الذي يوجد فيه الملف أو المجلد الذي يصل إليه المستخدم
Source_Name سلسلة الكيان الذي قام بتشغيل العملية التي تم تدقيقها. القيم المحتملة هي SharePoint أو ObjectModel
SourceFileExtension سلسلة ملحق الملف للملف الذي تم الوصول إليه من قبل المستخدم
SourceFileName سلسلة اسم الملف أو المجلد الذي تم الوصول إليه من قبل المستخدم
SourceRecordId سلسلة المعرف الفريد لسجل التدقيق
SourceRelativeUrl سلسلة عنوان URL للمجلد الذي يحتوي على الملف الذي تم الوصول إليه من قبل المستخدم
نظام المصدر سلسلة نوع العامل الذي تم جمع الحدث من قبله. على سبيل المثال، OpsManager بالنسبة لعامل Windows، إما الاتصال المباشر أو Operations Manager، Linux لجميع عوامل Linux، أو Azure لتشخيص Azure
SRPolicyId سلسلة معرف السياسة
SRPolicyName سلسلة اسم السياسة
SRRuleMatchDetails ديناميكي تفاصيل القاعدة
Start_Time datetime التاريخ والوقت الذي تم فيه تنفيذ cmdlet
_SubscriptionId سلسلة معرّف فريد للاشتراك الذي يقترن السجل به
SupportTicketId سلسلة معرف تذكرة دعم العملاء للإجراء في حالات "التصرف نيابة عن"
نوع الجدولة سلسلة نوع علامة التبويب التي أنشأت هذا الحدث
TargetContextId سلسلة المعرف الفريد العمومي للمؤسسة التي ينتمي إليها المستخدم المستهدف
TargetUserId سلسلة معرف المستخدم الهدف
TargetUserOrGroupName سلسلة يخزن UPN أو اسم المستخدم أو المجموعة المستهدفة التي تمت مشاركة مورد معها
TargetUserOrGroupType سلسلة تحديد ما إذا كان المستخدم أو المجموعة المستهدفة عضوا أو ضيفا أو مجموعة أو شريكا
TeamGuid سلسلة معرف فريد للفريق الذي يتم تدقيقه
اسم الفريق سلسلة اسم الفريق الذي يتم تدقيقه
TenantId سلسلة معرف مساحة عمل Log Analytics
TimeGenerated datetime التاريخ والوقت في التوقيت العالمي المتفق عليه (UTC) عندما قام المستخدم بتنفيذ النشاط
نوع سلسلة اسم الجدول
معرف الرمز المميز الفريد سلسلة يتم تعيين UniqueTokenId إذا كان الرمز المميز ل Microsoft Entra متوفرا للطلب. إنه معرف فريد لكل رمز مميز حساس لحالة الأحرف.
UserAgent سلسلة عامل المستخدم
UserDomain سلسلة مجال المستخدم
معرف المستخدم سلسلة UPN (اسم المستخدم الأساسي) للمستخدم الذي نفذ الإجراء (المحدد في خاصية العملية) الذي أدى إلى تسجيل السجل
UserKey سلسلة معرف بديل للمستخدم المحدد في الخاصية UserId
UserSharedWith سلسلة المستخدم الذي تمت مشاركة مورد معه
UserType سلسلة نوع المستخدم الذي قام بالعملية. راجع جدول UserType للحصول على تفاصيل حول أنواع المستخدمين