Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Enthält Überwachungsprotokolle von Microsoft Power Platform Connector. Es wird in der Regel verwendet, um Power Platform Connector-Aktivitäten nachzuverfolgen.
Tabellenattribute
| Attribut | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit, Überwachung |
| Lösungen | SecurityInsights |
| Standardprotokoll | Ja |
| Transformation zur Erfassungszeit | Ja |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | Beschreibung |
|---|---|---|
| ActorName | Zeichenfolge | Der UPN (Benutzerprinzipalname) des Benutzers, der die Aktion ausgeführt hat (in der Eigenschaft "Operation" angegeben), die dazu führte, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name. Beachten Sie, dass Datensätze für Aktivitäten, die von Systemkonten (z. B. SHAREPOINT\System oder NT AUTHORITY\SYSTEM) ausgeführt werden, ebenfalls enthalten sind. In SharePoint ist app@sharepoint eine weitere Wertanzeige in der UserId-Eigenschaft. Dies gibt an, dass der "Benutzer", der die Aktivität ausgeführt hat, eine Anwendung war, die über die erforderlichen Berechtigungen in SharePoint verfügt, um organisationsweite Aktionen (z. B. eine SharePoint-Website oder ein OneDrive-Konto zu durchsuchen) im Namen eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter dem Benutzerkonto app@sharepoint in den Überwachungsdatensätzen. |
| ActorUserId | Zeichenfolge | Eine alternative ID für den Benutzer, der in der Eigenschaft „UserId“ identifiziert wird. Beispiel: Diese Eigenschaft wird für Ereignisse, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden, mit der eindeutigen Passport-ID (PUID) aufgefüllt. Diese Eigenschaft kann auch denselben Wert wie die UserID-Eigenschaft für Ereignisse angeben, die in anderen Diensten und Ereignissen auftreten, die von Systemkonten ausgeführt werden. |
| Benutzertyp für Schauspieler | Zeichenfolge | Der Typ des Benutzers, der den Vorgang ausgeführt hat. Mögliche Typen sind: Admin, System, Application, Service Principal und Other. |
| Zusätzliche Information | dynamisch | Weitere Informationen, z. B. der Name der Umgebung. |
| _BilledSize | Echt | Die Datensatzgröße in Bytes. |
| Anschluss-ID | Zeichenfolge | Die eindeutige ID der Ressource. Beispiele: benutzerdefinierte API und Verbindung oder Gateway. |
| UrsprünglicherEreignistyp | Zeichenfolge | Der Name der Benutzer- oder Administratoraktivität, die die Aktivität ausgeführt hat. Eine Beschreibung der am häufigsten verwendeten Vorgänge/Aktivitäten finden Sie unter "Durchsuchen des Überwachungsprotokolls" im Office 365 Protection Center. Bei Exchange-Administratoraktivitäten identifiziert diese Eigenschaft den Namen des ausgeführten Cmdlets. Bei Dlp-Ereignissen kann dies "DlpRuleMatch", "DlpRuleUndo" oder "DlpInfo" lauten, die unten unter "DLP-Schema" beschrieben werden. |
| EventOriginalUid | Zeichenfolge | Eindeutiger Bezeichner eines Eintrags im Überwachungsprotokoll |
| Ereignisergebnis | Zeichenfolge | Gibt an, ob die Aktion (angegeben in der Eigenschaft „Operation“) erfolgreich war oder nicht. Mögliche Werte sind „Succeeded“, „PartiallySucceeded“ oder „Failed“. |
| _IstAbrechnungsfähig | Zeichenfolge | Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| ObjectID | Zeichenfolge | Der vollständige Pfadname der Datei oder des Ordners, auf die der Benutzer zugegriffen hat. Name des vom Cmdlet geänderten Objekts für die Exchange-Administratorüberwachungsprotokollierung |
| Organisations-ID | Zeichenfolge | Die GUID für den Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation immer gleich, unabhängig vom Office 365-Dienst, in dem er auftritt. |
| Aufzeichnungstyp | Zeichenfolge | Der vom Eintrag angegebene Operationstyp. Ausführliche Informationen zu den Typen von Überwachungsprotokolldatensätzen finden Sie in der Tabelle "AuditLogRecordType". |
| SourceSystem | Zeichenfolge | Der Typ des Agenten, durch den das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| SrcIpAddr | Zeichenfolge | Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse für eine vertrauenswürdige Anwendung (z. B. Office im Web Apps), die den Dienst im Namen eines Benutzers aufruft und nicht die IP-Adresse des Geräts, das von der Person verwendet wird, die die Aktivität ausgeführt hat. Außerdem wird bei Azure Active Directory-bezogenen Ereignissen die IP-Adresse nicht protokolliert, und der Wert für die ClientIP-Eigenschaft ist NULL. |
| Mieter-ID | Zeichenfolge | Die ID des Log Analytics-Arbeitsbereichs. |
| Zeitpunkt der Generierung | Datum/Uhrzeit | Das Datum und die Uhrzeit in (UTC), zu dem der Benutzer die Aktivität ausgeführt hat. |
| Typ | Zeichenfolge | Der Name der Tabelle. |
| Arbeitsbelastung | Zeichenfolge | Der Office 365-Dienst, in dem die Aktivität aufgetreten ist. |