Überwachungsprotokollaktivitäten

In den Tabellen in diesem Artikel werden die Aktivitäten beschrieben, die in Microsoft 365 überwacht werden. Sie können nach diesen Aktivitäten suchen, indem Sie das Überwachungsprotokoll im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal durchsuchen.

In diesen Tabellen werden verwandte Aktivitäten oder die Aktivitäten eines bestimmten Diensts gruppiert. Die Tabellen enthalten den Anzeigenamen, der in der Dropdownliste Aktivitäten angezeigt wird (oder die in PowerShell verfügbar sind) und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren. Beschreibungen der detaillierten Informationen finden Sie unter Detaillierte Eigenschaften des Überwachungsprotokolls.

Tipp

Wählen Sie einen der Links in der Liste In diesem Artikel oben in diesem Artikel aus, um direkt zu einer bestimmten Produkttabelle zu gelangen.

Anwendungsverwaltungsaktivitäten

In der folgenden Tabelle sind Anwendungsadministratoraktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator eine Anwendung hinzufügt oder ändert, die in Microsoft Entra ID registriert ist. Jede Anwendung, die auf Microsoft Entra ID für die Authentifizierung basiert, muss im Verzeichnis registriert werden.

Hinweis

Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( . ). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" ") zu setzen.

Anzeigename Vorgang Beschreibung
Delegierungseintrag hinzugefügt Delegierungseintrag hinzufügen. Eine Authentifizierungsberechtigung wurde für eine Anwendung in Microsoft Entra ID erstellt/erteilt.
Dienstprinzipal hinzugefügt Dienstprinzipal hinzufügen. Eine Anwendung wurde in Microsoft Entra ID registriert. Eine Anwendung wird durch einen Dienstprinzipal im Verzeichnis dargestellt.
Anmeldeinformationen für einen Dienstprinzipal hinzugefügt Dienstprinzipal-Anmeldeinformationen hinzufügen. Anmeldeinformationen wurden einem Dienstprinzipal in Microsoft Entra ID hinzugefügt. Ein Dienstprinzipal stellt eine Anwendung im Verzeichnis dar.
Delegierungseintrag entfernt Delegierungseintrag entfernen. Eine Authentifizierungsberechtigung wurde aus einer Anwendung in Microsoft Entra ID entfernt.
Dienstprinzipal aus dem Verzeichnis entfernt Dienstprinzipal entfernen. Eine Anwendung wurde aus Microsoft Entra ID gelöscht/die Registrierung aufgehoben. Eine Anwendung wird durch einen Dienstprinzipal im Verzeichnis dargestellt.
Anmeldeinformationen aus einem Dienstprinzipal entfernt Dienstprinzipal-Anmeldeinformationen entfernen. Anmeldeinformationen wurden in Microsoft Entra ID aus einem Dienstprinzipal entfernt. Ein Dienstprinzipal stellt eine Anwendung im Verzeichnis dar.
Delegierungseintrag festgelegt Delegierungseintrag festlegen. Eine Authentifizierungsberechtigung wurde für eine Anwendung in Microsoft Entra ID aktualisiert.

Briefing-E-Mail-Aktivitäten

In der folgenden Tabelle sind die Aktivitäten in Briefing-E-Mail aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Briefing-E-Mail finden Sie unter:

Anzeigename Vorgang Beschreibung
Aktualisierte Datenschutzeinstellungen der Organisation UpdatedOrganizationBriefingSettings Administrator aktualisiert die Datenschutzeinstellungen der Organisation für Briefing-E-Mail.
Aktualisierte Datenschutzeinstellungen der Benutzer UpdatedUserBriefingSettings Administrator aktualisiert die Datenschutzeinstellungen der Benutzer für Briefing-E-Mail.

Kommunikationscomplianceaktivitäten

In der folgenden Tabelle sind die Kommunikationscomplianceaktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen finden Sie unter Informationen zu Microsoft Purview-Kommunikationscompliance.

Hinweis

Diese Aktivitäten sind verfügbar, wenn Sie das PowerShell-Cmdlet Search-UnifiedAuditLog verwenden. Diese Aktivitäten sind in der Dropdownliste Aktivitäten nicht verfügbar.

Anzeigename Vorgang Beschreibung
Richtlinienupdate SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted Ein Kommunikationscomplianceadministrator hat ein Richtlinienupdate ausgeführt.
Richtlinienübereinstimmung SupervisionRuleMatch Ein Benutzer hat eine Nachricht gesendet, die der Bedingung einer Richtlinie entspricht.
Auf Nachricht(en) angewendeter Tag SupervisoryReviewTag Tags werden auf Nachrichten angewendet, oder Nachrichten werden aufgelöst.

Compliance-Manager-Aktivitäten

In der folgenden Tabelle sind die Vorgänge und Aktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator die Einstellungen im Compliance-Manager verwaltet. Weitere Informationen finden Sie unter Informationen zum Compliance-Manager.

Anzeigename Vorgang Beschreibung
Rollenänderung ComplianceManagerRolesChange Ein Administrator hat die Rollen für Benutzer geändert.
Änderung der Mandantenautomatisierungsebene ComplianceManagerAutomationLevelChange Ein Administrator hat die Automatisierungsebene für den Mandanten für alle Aktionen geändert.
Testen der Änderung der Quellautomatisierung ComplianceManagerAutomationChange Ein Administrator hat die Einstellungen für die Automatisierung der Testquellen geändert.

Inhaltsexplorer-Aktivitäten

Die folgende Tabelle enthält die Aktivitäten im Inhaltsexplorer, die im Überwachungsprotokoll protokolliert werden. Inhalts-Explorer, auf den über das Datenklassifizierungstool im Microsoft Purview-Portal und im Complianceportal zugegriffen wird. Weitere Informationen finden Sie unter Verwenden des Daten Inhaltsexplorers zur Datenklassifizierung.

Anzeigename Vorgang Beschreibung
Element, auf das zugegriffen wird LabelContentExplorerAccessedItem Ein Administrator (oder ein Benutzer, der Mitglied der Rollengruppe "Inhaltsexplorer-Content Viewer" ist) verwendet den Inhaltsexplorer, um eine E-Mail-Nachricht oder ein SharePoint/OneDrive-Dokument anzuzeigen.

Copilot-Aktivitäten

In der folgenden Tabelle sind die Aktivitäten aus Microsoft 365 Copilot und Microsoft Copilot aufgeführt, die im Überwachungsprotokoll protokolliert werden. Auf Copilot kann über Microsoft-Dienste zugegriffen werden. Zu den Aktivitäten gehört, wie und wann Benutzer mit Copilot interagieren. Dies umfasst den Microsoft-Dienst, in dem die Aktivität stattgefunden hat, und Verweise auf die Dateien, auf die während der Interaktion zugegriffen wurde. Weitere Informationen zu Copilot-Interaktionsereignissen und ein Schemabeispiel finden Sie unter Übersicht über Copilot-Interaktionsereignisse.

Informationen zum Zugreifen auf den Text über die Eingabeaufforderung des Benutzers während der Interaktion finden Sie unter Inhaltssuche oder Anzeigen des KI-Interaktionsereignisses im Aktivitäts-Explorer in Microsoft Purview KI-Hub.

Weitere Informationen zur Überwachung und anderen Optionen für die Complianceverwaltung für Copilot finden Sie unter Microsoft Purview unterstützt die Complianceverwaltung für Copilot.

Anzeigename Vorgang Beschreibung
Erstellen eines neuen Copilot-Plug-Ins CreateCopilotPlugin Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues Copilot-Plug-In erstellt.
Ein neues Copilot-Promptbook erstellt CreateCopilotPromptBook Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues Promptbook in Copilot erstellt.
Ein Copilot-Plug-In wurde gelöscht. DeleteCopilotPlugin Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In gelöscht.
Ein Copilot-Promptbook wurde gelöscht. DeleteCopilotPromptBook Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook gelöscht.
Deaktivieren eines Copilot-Plug-Ins DisableCopilotPlugin Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In deaktiviert.
Deaktivieren eines Copilot-Eingabeaufforderungsbuchs DisableCopilotPromptBook Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook deaktiviert.
Aktivieren eines Copilot-Plug-Ins EnableCopilotPlugin Ein Benutzer (oder ein Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In aktiviert.
Aktivieren eines Copilot-Eingabeaufforderungsbuchs EnableCopilotPromptBook Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook aktiviert.
Interagiert mit Copilot CopilotInteraction Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat Aufforderungen in Copilot eingegeben.
Einstellung eines Copilot-Plug-Ins aktualisiert UpdateCopilotPlugin Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat eine Copilot-Plug-In-Einstellung aktualisiert.
Einstellung eines Copilot-Eingabeaufforderungsbuchs aktualisiert UpdateCopilotPromptBook Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat eine Copilot-Promptbook-Einstellung aktualisiert.
Eine Copilot-Einstellung wurde aktualisiert. UpdateCopilotSettings Ein Administrator (oder ein System im Namen eines Administrators) hat eine Copilot-Einstellung aktualisiert.

Verzeichnisverwaltungsaktivitäten

In der folgenden Tabelle sind Microsoft Entra Verzeichnis- und domänenbezogene Aktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator seine organization im Microsoft 365 Admin Center oder im Azure-Verwaltungsportal verwaltet.

Hinweis

Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( . ). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" ") zu setzen.

Anzeigename Vorgang Beschreibung
Domäne zu Unternehmen hinzugefügt Domäne zu Unternehmen hinzufügen. Es wurde eine Domäne zu Ihrer Organisation hinzugefügt.
Partner zum Verzeichnis hinzugefügt Partner zu Unternehmen hinzufügen. Es wurde ein Partner (delegierter Administrator) zu Ihrer Organisation hinzugefügt.
Domäne aus Unternehmen entfernt Domäne aus Unternehmen entfernen. Es wurde eine Domäne aus Ihrer Organisation entfernt.
Partner aus dem Verzeichnis entfernt Partner aus Unternehmen entfernen. Es wurde ein Partner (delegierter Administrator) aus Ihrer Organisation entfernt.
Unternehmensinformationen festgelegen Unternehmensinformationen festgelegen. Die Unternehmensinformationen für Ihre Organisation wurden aktualisiert. Enthält E-Mail-Adressen für abonnementbezogene E-Mails, die von Microsoft 365 gesendet werden, und technische Benachrichtigungen zu Microsoft 365-Diensten.
Domänenauthentifizierung festgelegt Domänenauthentifizierung festlegen. Die Einstellung der Domänenauthentifizierung für Ihre Organisation wurde geändert.
Verbundeinstellungen für eine Domäne aktualisiert Verbundeinstellungen für Domäne festlegen. Die Verbundeinstellungen (externe Freigabe) für Ihre Organisation wurden geändert.
Kennwortrichtlinie festlegen Kennwortrichtlinie festlegen. Die Längen- und Zeicheneinschränkungen für Benutzerkennwörter in Ihrer Organisation wurden geändert.
Azure AD Sync aktiviert DirSyncEnabled-Flag festlegen. Die Eigenschaft, die ein Verzeichnis für die Azure AD-Synchronisierungsdienste aktiviert, wurde festgelegt.
Domäne aktualisiert Domäne aktualisieren. Die Einstellungen einer Domäne in Ihrer Organisation wurden aktualisiert.
Domäne überprüft Domäne überprüfen. Es wurde überprüft, ob Ihre Organisation der Besitzer der Domäne ist.
Domäne mit E-Mail-Prüfung überprüft Domäne mit E-Mail-Prüfung überprüfen. Es wurde eine E-Mail-Prüfung verwendet, um zu überprüfen, ob Ihre Organisation der Besitzer der Domäne ist.

Löschungsprüfungsaktivitäten

In der folgenden Tabelle sind die Aktivitäten aufgeführt, die ein Löschungsprüfer ausgeführt hat , wenn ein Element das Ende seines konfigurierten Aufbewahrungszeitraums erreicht hat oder ein Element automatisch in die nächste Löschungsphase verschoben oder aufgrund der automatischen Genehmigung endgültig gelöscht wurde.

Anzeigename Vorgang Beschreibung
Genehmigte Entsorgung ApproveDisposal Zur manuellen Genehmigung: Ein Dispositionsprüfer hat die Löschung des Elements genehmigt, um es in die nächste Löschungsphase zu verschieben. Wenn sich das Element in der einzigen oder letzten Phase der Löschungsprüfung befand, wurde das Element durch die Löschungsgenehmigung als für die endgültige Löschung berechtigt markiert.

Für die automatische Genehmigung: Innerhalb des konfigurierten Zeitraums für die automatische Genehmigung wurde keine manuelle Aktion ausgeführt, sodass das Element automatisch in die nächste Löschungsphase verschoben wurde. Wenn sich das Element in der einzigen oder letzten Phase der Löschungsprüfung befand, wurde das Element automatisch zum endgültigen Löschen berechtigt.
Verlängerter Aufbewahrungszeitraum ExtendRetention Ein Löschungsprüfer hat den Aufbewahrungszeitraum des Elements verlängert.
Neu bezeichnetes Element RelabelItem Ein Löschungsprüfer hat die Aufbewahrungsbezeichnung neu bezeichnet.
Prüfer hinzugefügt AddReviewer Ein Löschungsprüfer hat einen oder mehrere andere Benutzer zur aktuellen Löschungsprüfungsphase hinzugefügt.

eDiscovery-Aktivitäten

Inhaltssuche und eDiscovery-bezogene Aktivitäten (für Microsoft Purview-eDiscovery (Standard) und Microsoft Purview-eDiscovery (Premium)), die im Microsoft Purview-Portal ausgeführt werden, Microsoft Purview-Complianceportal oder durch Ausführen der entsprechenden PowerShell-Cmdlets im Überwachungsprotokoll protokolliert werden. Ereignisse werden protokolliert, wenn Administratoren oder eDiscovery-Manager (oder benutzerseitig zugewiesene eDiscovery-Berechtigungen) die folgenden Aufgaben für die Inhaltssuche und eDiscovery (Standard) in den Portalen ausführen:

  • Erstellen und Verwalten von eDiscovery-Fällen (Standard) und eDiscovery (Premium).
  • Erstellen, Starten und Bearbeiten von Inhaltssuchen.
  • Ausführen von Suchaktionen, z. B. Vorschau, Exportieren und Löschen von Suchergebnissen.
  • Verwalten von Verwahrern und Überprüfungssätzen in eDiscovery (Premium).
  • Konfigurieren der Berechtigungsfilterung für die Inhaltssuche.
  • Verwalten der Rolle "eDiscovery-Administrator".

Weitere Informationen zum Durchsuchen des Überwachungsprotokolls, den erforderlichen Berechtigungen und zum Exportieren von Suchergebnissen finden Sie unter Durchsuchen des Überwachungsprotokolls.

Hinweis

Es dauert bis zu 30 Minuten, bis Aktivitäten, die sich aus den aktivitäten ergeben, die unter eDiscovery-Aktivitäten und eDiscovery -Aktivitäten (Premium) in der Dropdownliste Aktivitäten aufgeführt sind, in den Suchergebnissen angezeigt werden. Im Gegensatz dazu dauert es bis zu 24 Stunden, bis die entsprechenden Ereignisse aus eDiscovery-Cmdlet-Aktivitäten in der Liste der Suchergebnisse angezeigt werden.

Inhaltssuche und eDiscovery-Aktivitäten (Standard)

In der folgenden Tabelle werden die Aktivitäten inhaltssuche und eDiscovery (Standard) beschrieben, die protokolliert werden, wenn ein Administrator oder eDiscovery-Manager eine eDiscovery-bezogene Aktivität über das Complianceportal ausführt. Einige Aktivitäten, die in eDiscovery (Premium) ausgeführt werden, werden möglicherweise zurückgegeben, wenn Sie in dieser Liste nach Aktivitäten suchen.

Hinweis

Die in diesem Abschnitt beschriebenen eDiscovery-Aktivitäten bieten ähnliche Informationen wie die im nächsten Abschnitt beschriebenen eDiscovery-Cmdlet-Aktivitäten. Es wird empfohlen, die in diesem Abschnitt beschriebenen eDiscovery-Aktivitäten zu verwenden, da sie innerhalb von 30 Minuten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden. Es kann bis zu 24 Stunden dauern, bis eDiscovery-Cmdlet-Aktivitäten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden.

Anzeigename Vorgang Entsprechendes Cmdlet Beschreibung
Mitglied zum eDiscovery-Fall hinzugefügt
CaseMemberAdded
Add-ComplianceCaseMember
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls hinzugefügt. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben ausführen, je nachdem, ob ihm die erforderlichen Berechtigungen zugewiesen wurden.
Inhaltssuche geändert
SearchUpdated
Set-ComplianceSearch
Eine vorhandene Inhaltssuche wurde geändert. Änderungen können das Hinzufügen oder Entfernen von Inhaltsspeicherorten oder das Bearbeiten der Suchabfrage umfassen.
Geänderte eDiscovery-Administratormitgliedschaft
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
Die Liste der eDiscovery-Administratoren in Ihrem organization wurde geändert. Diese Aktivität wird protokolliert, wenn die Liste der eDiscovery-Administratoren durch eine Gruppe neuer Benutzer ersetzt wird. Wenn ein einzelner Benutzer hinzugefügt oder entfernt wird, wird der Vorgang CaseAdminAdded protokolliert.
eDiscovery-Fall geändert
CaseUpdated
Set-ComplianceCase
Ein eDiscovery-Fall wurde geändert. Zu den Änderungen gehören das Schließen eines offenen Falls oder das erneute Öffnen eines geschlossenen Falls.
Geänderte eDiscovery-Fallmitgliedschaft
CaseMemberUpdated
Update-ComplianceCaseMember
Die Mitgliedschaftsliste eines eDiscovery-Falls wurde geändert. Diese Aktivität wird protokolliert, wenn alle Mitglieder durch eine Gruppe neuer Benutzer ersetzt werden. Wenn ein einzelnes Element hinzugefügt oder entfernt wird, wird der Vorgang CaseMemberAdded oder CaseMemberRemoved protokolliert.
Filter für Suchberechtigungen geändert
SearchPermissionUpdated
Set-ComplianceSecurityFilter
Ein Filter für Suchberechtigungen wurde geändert.
Geänderte Suchabfrage für den eDiscovery-Fallspeicher
HoldUpdated
Set-CaseHoldRule
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Bearbeiten der Abfrage oder des Datumsbereichs für einen abfragebasierten Haltebereich.
Vorschauelement der Inhaltssuche heruntergeladen
PreviewItemDownloaded
Nicht zutreffend
Ein Benutzer hat bei der Vorschau der Suchergebnisse ein Element auf seinen lokalen Computer heruntergeladen (indem er den Link Originalelement herunterladen auswählt).
Vorschauelement der Inhaltssuche aufgelistet
PreviewItemListed
Nicht zutreffend
Ein Benutzer hat Suchergebnisse anzeigen ausgewählt, um die Vorschauseite für Suchergebnisse anzuzeigen, auf der bis zu 1.000 Elemente aus den Ergebnissen einer Suche aufgelistet werden.
Suche nach erstellten Inhalten
SucheCreated
New-ComplianceSearch
Eine neue Inhaltssuche wurde erstellt.
eDiscovery-Administrator erstellt
CaseAdminAdded
Add-eDiscoveryCaseAdmin
Ein Benutzer wurde im organization als eDiscovery-Administrator hinzugefügt.
eDiscovery-Fall erstellt
CaseAdded
New-ComplianceCase
Es wurde ein eDiscovery-Fall erstellt. Wenn ein Fall erstellt wird, müssen Sie ihm nur einen Namen geben. Andere fallbezogene Aufgaben wie das Hinzufügen von Mitgliedern, das Erstellen von Haltebereichen und das Erstellen von Inhaltssuchen, die dem Fall zugeordnet sind, führen dazu, dass zusätzliche Ereignisse protokolliert werden.
Suchberechtigungsfilter erstellt
SearchPermissionCreated
New-ComplianceSecurityFilter
Ein Filter für Suchberechtigungen wurde erstellt.
Suchabfrage für eDiscovery-Fallspeicher erstellt
HoldCreated
New-CaseHoldRule
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde erstellt.
Suche nach gelöschten Inhalten
SearchRemoved
Remove-ComplianceSearch
Eine vorhandene Inhaltssuche wurde gelöscht.
eDiscovery-Administrator gelöscht
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
Ein eDiscovery-Administrator wurde aus Ihrem organization gelöscht.
eDiscovery-Fall gelöscht
CaseRemoved
Remove-ComplianceCase
Ein eDiscovery-Fall wurde gelöscht. Jeder mit dem Fall verknüpfte Halteraum muss entfernt werden, bevor der Fall gelöscht werden kann.
Filter für Suchberechtigungen gelöscht
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
Ein Filter für Suchberechtigungen wurde gelöscht.
Gelöschte Suchabfrage für eDiscovery-Fallspeicher
HoldRemoved
Remove-CaseHoldRule
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Das Entfernen der Abfrage aus dem Halteraum ist häufig das Ergebnis des Löschens eines Halteraums. Wenn eine Halte- oder Halteabfrage gelöscht wird, werden die Inhaltsspeicherorte, die sich im Halteraum befanden, freigegeben.
Heruntergeladener Export der Inhaltssuche
SearchExportDownloaded
Nicht zutreffend
Ein Benutzer hat die Ergebnisse einer Inhaltssuche auf seinen lokalen Computer heruntergeladen. Die Aktivität "Export der Inhaltssuche wurde gestartet" muss initiiert werden, bevor Suchergebnisse heruntergeladen werden können.
Ergebnisse der Inhaltssuche in der Vorschau
SearchPreviewed
Nicht zutreffend
Ein Benutzer hat eine Vorschau der Ergebnisse einer Inhaltssuche angezeigt.
Gelöschte Ergebnisse der Inhaltssuche
SearchResultsPurged
New-ComplianceSearchAction
Ein Benutzer hat die Ergebnisse einer Inhaltssuche gelöscht, indem er den Befehl New-ComplianceSearchAction -Purge ausführt.
Analyse der Inhaltssuche entfernt
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
Eine Vorbereitungsaktion für die Inhaltssuche (zum Vorbereiten von Suchergebnissen für eDiscovery (Premium)) wurde gelöscht. Wenn die Vorbereitungsaktion weniger als zwei Wochen alt war, wurden die Suchergebnisse, die für eDiscovery (Premium) vorbereitet wurden, aus dem Microsoft Azure-Speicherbereich gelöscht. Wenn die Vorbereitungsaktion älter als 2 Wochen war, gibt dieses Ereignis an, dass nur die entsprechende Vorbereitungsaktion gelöscht wurde.
Export der Inhaltssuche entfernt
RemovedSearchExported
Remove-ComplianceSearchAction
Eine Exportaktion für die Inhaltssuche wurde gelöscht. Wenn die Exportaktion weniger als zwei Wochen alt war, wurden die Suchergebnisse, die in den Microsoft Azure-Speicherbereich hochgeladen wurden, gelöscht. Wenn die Exportaktion älter als 2 Wochen war, gibt dieses Ereignis an, dass nur die entsprechende Exportaktion gelöscht wurde.
Mitglied aus eDiscovery-Fall entfernt
CaseMemberRemoved
Remove-ComplianceCaseMember
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls entfernt.
Vorschauergebnisse der Inhaltssuche entfernt
RemovedSearchPreviewed
Remove-ComplianceSearchAction
Eine Vorschauaktion für die Inhaltssuche wurde gelöscht.
Bei der Inhaltssuche ausgeführte Bereinigungsaktion entfernt
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
Eine Aktion zum Löschen der Inhaltssuche wurde gelöscht.
Suchbericht entfernt
SearchReportRemoved
Remove-ComplianceSearchAction
Eine Aktion zum Exportieren eines Berichts für die Inhaltssuche wurde gelöscht.
Analyse der Inhaltssuche gestartet
SearchResultsSentToZoom
New-ComplianceSearchAction
Die Ergebnisse einer Inhaltssuche wurden für die Analyse in eDiscovery (Premium) vorbereitet.
Inhaltssuche gestartet
SucheStarted
Start-ComplianceSearch
Eine Inhaltssuche wurde gestartet. Wenn Sie eine Inhaltssuche über das Complianceportal erstellen oder ändern, wird die Suche automatisch gestartet.
Export der Inhaltssuche gestartet
SearchExported
New-ComplianceSearchAction
Ein Benutzer hat die Ergebnisse einer Inhaltssuche exportiert.
Exportbericht gestartet
SearchReport
New-ComplianceSearchAction
Ein Benutzer hat einen Bericht zur Inhaltssuche exportiert.
Inhaltssuche beendet
SearchStopped
Stop-ComplianceSearch
Ein Benutzer hat eine Inhaltssuche beendet.
(kein) CaseViewed Get-ComplianceCase Ein Benutzer hat einen eDiscovery-Fall (Standard) im Complianceportal angezeigt. Der Überwachungsdatensatz für dieses Ereignis enthält den Namen des angezeigten Falls.
(kein) SearchViewed Get-ComplianceSearch Ein Benutzer hat eine Inhaltssuche im Complianceportal angezeigt, indem er auf der Registerkarte Suchen in einem eDiscovery-Fall (Standard) auf die Suche zugreift oder auf der Inhaltssucheseite darauf zugreift. Der Überwachungsdatensatz für dieses Ereignis enthält die Identität der angezeigten Suche.
(kein) ViewedSearchExported Get-ComplianceSearchAction -Export Ein Benutzer hat einen Export der Inhaltssuche im Complianceportal angezeigt, indem er auf der Seite Inhaltssuche auf der Registerkarte Exporte auf den Export zugreift. Diese Aktivität wird auch protokolliert, wenn ein Benutzer einen Export anzeigt, der einem eDiscovery-Fall (Standard) zugeordnet ist.
(kein) ViewedSearchPreviewed Get-ComplianceSearchAction -Preview Ein Benutzer hat eine Vorschau der Ergebnisse einer Inhaltssuche im Complianceportal angezeigt. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine Vorschau der Ergebnisse einer Suche anzeigt, die einem eDiscovery-Fall (Standard) zugeordnet ist.

eDiscovery (Premium)-Aktivitäten

In der folgenden Tabelle werden die im Überwachungsprotokoll protokollierten eDiscovery -Aktivitäten (Premium) beschrieben. Mithilfe dieser Aktivitäten können Sie den Fortschritt der Aktivität in einem eDiscovery (Premium)-Fall nachverfolgen.

Anzeigename Vorgang Beschreibung
Daten zu einem anderen Prüfdateisatz hinzugefügt AddWorkingSetQueryToWorkingSet Der Benutzer hat Dokumente eines Prüfdateisatzes einem anderen hinzugefügt.
Daten zu einem Prüfdateisatz hinzugefügt AddQueryToWorkingSet Der Benutzer hat die Suchergebnisse aus einer Inhaltssuche, die einem eDiscovery (Premium)-Fall zugeordnet ist, einem Überprüfungssatz hinzugefügt.
Nicht von Microsoft 365 stammende Daten zu Prüfdateisatz hinzugefügt AddNonOffice365DataToWorkingSet Ein Benutzer hat nicht von Microsoft 365 stammende Daten zu einem Prüfdateisatz hinzugefügt.
Wiederhergestellte Dokumente zu Prüfdateisatz hinzugefügt AddRemediatedData Der Benutzer lädt Dokumente hoch, bei denen Indizierungsfehler aufgetreten sind, die in einem Prüfdateisatz festgehalten worden sind.
Daten im Prüfdateisatz analysiert RunAlgo Der Benutzer hat Analysen für die Dokumente in einem Überprüfungssatz ausgeführt.
Dokument im Prüfdateisatz kommentiert AnnotateDocument Ein Benutzer hat ein Dokument in einem Prüfdateisatz kommentiert. „Kommentieren“ umfasst auch das Bearbeiten/Redigieren des Dokuments.
Ladesätze verglichen LoadComparisonJob Der Benutzer hat zwei verschiedene Ladesätze in einem Prüfdateisatz verglichen. Unter Ladesatz versteht man, dass Daten aus einer Inhaltssuche, die einem Fall zugeordnet sind, einem Prüfdateisatz hinzugefügt werden.
Dokumente in PDF-Dateien konvertiert BurnJob Der Benutzer hat alle redigierten Dokumente in einem Prüfdateisatz in PDF-Dateien konvertiert.
Prüfdateisatz erstellt CreateWorkingSet Der Benutzer hat einen Prüfdateisatz erstellt.
Prüfdateisatzsuche erstellt CreateWorkingSetSearch Der Benutzer hat eine Suchabfrage erstellt, die die Dokumente in einem Prüfdateisatz durchsuchen.
Tag erstellt CreateTag Ein Benutzer hat eine Tag-Gruppe in einem Prüfdateisatz erstellt. Eine Tag-Gruppe kann ein oder mehrere untergeordnete Tags enthalten. Diese Tags werden dann zum Taggen von Dokumenten im Prüfdateisatz verwendet.
Prüfdateisatzsuche gelöscht DeleteWorkingSetSearch Ein Benutzer hat eine Suchabfrage in einem Prüfdateisatz gelöscht.
Tag gelöscht DeleteTag Ein Benutzer hat ein Tag oder eine Tag-Gruppe in einem Prüfdateisatz gelöscht.
Heruntergeladenes Dokument DownloadDocument Ein Benutzer hat ein Dokument aus einem Prüfdateisatz heruntergeladen.
Tag bearbeitet UpdateTag Ein Benutzer hat ein Tag in einem Prüfdateisatz geändert.
Dokumente aus einem Prüfdateisatz exportiert ExportJob Der Benutzer hat Dokumente aus einem Prüfdateisatz exportiert.
Falleinstellungen geändert UpdateCaseSettings Der Benutzer hat die Einstellungen für einen Fall geändert. Die Falleinstellungen umfassen Fallinformationen, Zugriffsberechtigungen und Einstellungen, mit denen das Such- und Analyseverhalten gesteuert werden.
Prüfdateisatzsuche geändert UpdateWorkingSetSearch Ein Benutzer hat eine Suchabfrage in einem Prüfdateisatz geändert.
Vorschau einer Prüfdateisatzsuche angezeigt PreviewWorkingSetSearch Der Benutzer hat die Ergebnisse einer Suchabfrage in einem Prüfdateisatz in einer Vorschau angezeigt.
Fehler in Dokumenten behoben ErrorRemediationJob Der Benutzer behebt Dateien mit Indizierungsfehlern.
Dokument getaggt TagFiles Ein Benutzer hat ein Dokument in einem Prüfdateisatz mit Tags versehen.
Ergebnisse einer Abfrage getaggt TagJob Ein Benutzer hat alle Dokumente getaggt, die den Kriterien einer Suchabfrage in einem Prüfdateisatz entsprechen.
Dokument im Prüfdateisatz angezeigt ViewDocument Ein Benutzer hat ein Dokument in einem Prüfdateisatz angezeigt.

eDiscovery-Cmdlet-Aktivitäten

In der folgenden Tabelle sind die Cmdlet-Überwachungsprotokolldatensätze aufgeführt, die protokolliert werden, wenn ein Administrator oder Benutzer eine eDiscovery-bezogene Aktivität über das Complianceportal oder durch Ausführen des entsprechenden Cmdlets in Security & Compliance PowerShell ausführt. Die ausführlichen Informationen im Überwachungsprotokolldatensatz unterscheiden sich für die in dieser Tabelle aufgeführten Cmdlet-Aktivitäten und die im vorherigen Abschnitt beschriebenen eDiscovery-Aktivitäten.

Wie bereits erwähnt, kann es bis zu 24 Stunden dauern, bis eDiscovery-Cmdlet-Aktivitäten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden.

Tipp

Die Cmdlets in der Spalte Operation in der folgenden Tabelle sind mit dem entsprechenden Cmdlet-Hilfethema auf TechNet verknüpft. Eine Beschreibung der verfügbaren Parameter für die einzelnen Cmdlets finden Sie im Hilfethema zu Cmdlets. Der Parameter und der Parameterwert, die mit einem Cmdlet verwendet wurden, sind im Überwachungsprotokolleintrag für jede protokollierte eDiscovery-Cmdlet-Aktivität enthalten.

Anzeigename Vorgang (Cmdlet) Beschreibung
Erstellter Halteraum im eDiscovery-Fall
New-CaseHoldPolicy
Für einen eDiscovery-Fall wurde ein Halteraum erstellt. Ein Halteraum kann mit oder ohne Angabe einer Inhaltsquelle erstellt werden. Wenn Inhaltsquellen angegeben sind, werden sie im Überwachungsprotokolleintrag identifiziert.
Gelöschter Halteraum aus eDiscovery-Fall
Remove-CaseHoldPolicy
Ein Halteraum, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Durch das Löschen eines Halteraums werden alle Inhaltsspeicherorte aus dem Halteraum entfernt. Das Löschen des Halteraums führt auch dazu, dass die dem Halteraum zugeordneten Aufbewahrungsregeln gelöscht werden (siehe Remove-CaseHoldRule).
Geänderter Halteraum im eDiscovery-Fall
Set-CaseHoldPolicy
Ein Halteraum, der einer eDiscovery zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Hinzufügen oder Entfernen von Inhaltsspeicherorten oder das Deaktivieren (Deaktivieren) des Halteraums.
Suchabfrage für eDiscovery-Fallspeicher erstellt
New-CaseHoldRule
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde erstellt.
Gelöschte Suchabfrage für eDiscovery-Fallspeicher
Remove-CaseHoldRule
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Das Entfernen der Abfrage aus dem Halteraum ist häufig das Ergebnis des Löschens eines Halteraums. Wenn eine Halte- oder Halteabfrage gelöscht wird, werden die Inhaltsspeicherorte, die sich im Halteraum befanden, freigegeben.
Geänderte Suchabfrage für den eDiscovery-Fallspeicher
Set-CaseHoldRule
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Bearbeiten der Abfrage oder des Datumsbereichs für einen abfragebasierten Haltebereich.
eDiscovery-Fall erstellt
New-ComplianceCase
Es wurde ein eDiscovery-Fall erstellt. Wenn ein Fall erstellt wird, müssen Sie ihm nur einen Namen geben. Andere fallbezogene Aufgaben wie das Hinzufügen von Mitgliedern, das Erstellen von Haltebereichen und das Erstellen von Inhaltssuchen, die dem Fall zugeordnet sind, führen dazu, dass zusätzliche Ereignisse protokolliert werden.
eDiscovery-Fall gelöscht
Remove-ComplianceCase
Ein eDiscovery-Fall wurde gelöscht. Jeder mit dem Fall verknüpfte Halteraum muss entfernt werden, bevor der Fall gelöscht werden kann.
eDiscovery-Fall geändert
Set-ComplianceCase
Ein eDiscovery-Fall wurde geändert. Zu den Änderungen gehören das Schließen eines offenen Falls oder das erneute Öffnen eines geschlossenen Falls.
Mitglied zum eDiscovery-Fall hinzugefügt
Add-ComplianceCaseMember
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls hinzugefügt. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben ausführen, je nachdem, ob ihm die erforderlichen Berechtigungen zugewiesen wurden.
Mitglied aus eDiscovery-Fall entfernt
Remove-ComplianceCaseMember
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls entfernt.
Geänderte eDiscovery-Fallmitgliedschaft
Update-ComplianceCaseMember
Die Mitgliedschaftsliste eines eDiscovery-Falls wurde geändert. Diese Aktivität wird protokolliert, wenn alle Mitglieder durch eine Gruppe neuer Benutzer ersetzt werden. Wenn ein einzelnes Element hinzugefügt oder entfernt wird, wird der Vorgang Add-ComplianceCaseMember oder Remove-ComplianceCaseMember protokolliert.
Suche nach erstellten Inhalten
New-ComplianceSearch
Eine neue Inhaltssuche wurde erstellt.
Suche nach gelöschten Inhalten
Remove-ComplianceSearch
Eine vorhandene Inhaltssuche wurde gelöscht.
Inhaltssuche geändert
Set-ComplianceSearch
Eine vorhandene Inhaltssuche wurde geändert. Änderungen können das Hinzufügen oder Entfernen von Inhaltsspeicherorten, die durchsucht werden, und das Bearbeiten der Suchabfrage umfassen.
Inhaltssuche gestartet
Start-ComplianceSearch
Eine Inhaltssuche wurde gestartet. Wenn Sie eine Inhaltssuche über die GRAFISCHE Benutzeroberfläche des Complianceportals erstellen oder ändern, wird die Suche automatisch gestartet. Wenn Sie eine Suche mit dem Cmdlet New-ComplianceSearch oder Set-ComplianceSearch erstellen oder ändern, müssen Sie das Cmdlet Start-ComplianceSearch ausführen, um die Suche zu starten.
Inhaltssuche beendet
Stop-ComplianceSearch
Eine ausgeführte Inhaltssuche wurde beendet.
Suchaktion für erstellte Inhalte
New-ComplianceSearchAction
Eine Inhaltssuchaktion wurde erstellt. Inhaltssuchaktionen umfassen die Vorschau von Suchergebnissen, das Exportieren von Suchergebnissen, das Vorbereiten von Suchergebnissen für die Analyse in eDiscovery (Premium) und das endgültige Löschen von Elementen, die den Suchkriterien einer Inhaltssuche entsprechen.
Gelöschte Inhaltssuchaktion
Remove-ComplianceSearchAction
Eine Inhaltssucheaktion wurde gelöscht.
Suchberechtigungsfilter erstellt
New-ComplianceSecurityFilter
Ein Filter für Suchberechtigungen wurde erstellt.
Filter für Suchberechtigungen gelöscht
Remove-ComplianceSecurityFilter
Ein Filter für Suchberechtigungen wurde gelöscht.
Filter für Suchberechtigungen geändert
Set-ComplianceSecurityFilter
Ein Filter für Suchberechtigungen wurde geändert.
eDiscovery-Administrator erstellt
Add-eDiscoveryCaseAdmin
In Ihrem organization wurde ein Benutzer als eDiscovery-Administrator hinzugefügt.
eDiscovery-Administrator gelöscht
Remove-eDiscoveryCaseAdmin
Ein eDiscovery-Administrator wurde aus Ihrem organization gelöscht.
Geänderte eDiscovery-Administratormitgliedschaft
Update-eDiscoveryCaseAdmin
Die Liste der eDiscovery-Administratoren in Ihrem organization wurde geändert. Diese Aktivität wird protokolliert, wenn die Liste der eDiscovery-Administratoren durch eine Gruppe neuer Benutzer ersetzt wird. Wenn ein einzelner Benutzer hinzugefügt oder entfernt wird, wird der Vorgang Add-eDiscoveryCaseAdmin oder Remove-eDiscoveryCaseAdmin protokolliert.
(kein) Get-ComplianceCase
Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von eDiscovery -Fällen (Standard) oder eDiscovery (Premium) angezeigt hat. Diese Aktivität wird auch protokolliert, wenn ein Benutzer einen bestimmten Fall in eDiscovery (Standard) anzeigt. Wenn ein Benutzer einen bestimmten Fall anzeigt, enthält der Überwachungsdatensatz die Identität des angezeigten Falls. Wenn der Benutzer nur eine Liste von Fällen angezeigt hat, enthält der Überwachungsdatensatz keine Fallidentität.
(kein) Get-ComplianceSearch Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von Inhaltssuchen oder Suchvorgängen angezeigt hat, die einem eDiscovery-Fall (Standard) zugeordnet sind. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine bestimmte Inhaltssuche oder eine bestimmte Suche anzeigt, die einem eDiscovery-Fall (Standard) zugeordnet ist. Wenn ein Benutzer eine bestimmte Suche anzeigt, enthält der Überwachungsdatensatz die Identität der angezeigten Suche. Wenn der Benutzer nur eine Liste von Suchvorgängen angezeigt hat, enthält der Überwachungsdatensatz keine Suchidentität.
(kein) Get-ComplianceSearchAction Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von Compliance-Suchaktionen (z. B. Exporte, Vorschauen oder Bereinigungen) oder Aktionen im Zusammenhang mit einem eDiscovery-Fall (Standard) angezeigt hat. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine bestimmte Konformitätssuchaktion (z. B. einen Export) oder eine bestimmte Aktion anzeigt, die einem eDiscovery-Fall (Standard) zugeordnet ist. Wenn ein Benutzer eine Suchaktion anzeigt, enthält der Überwachungsdatensatz die Identität der angezeigten Suchaktion. Wenn der Benutzer nur eine Liste von Aktionen angezeigt hat, enthält der Überwachungsdatensatz keine Aktionsidentität.

Detaillierte Eigenschaften für eDiscovery-Aktivitäten

In der folgenden Tabelle werden die Eigenschaften beschrieben, die auf der Flyoutseite für eine in den Suchergebnissen aufgeführte eDiscovery-Aktivität enthalten sind. Diese Eigenschaften sind auch in der CSV-Datei enthalten, wenn Sie die Überwachungsprotokollsuchergebnisse exportieren. Ein Überwachungsprotokolldatensatz für eine eDiscovery-Aktivität enthält nicht jede detaillierte Eigenschaft, die in der folgenden Tabelle aufgeführt ist.

Tipp

Wenn Sie die Suchergebnisse exportieren, enthält die CSV-Datei eine Spalte mit dem Namen AudtiData, die die in der folgenden Tabelle beschriebenen detaillierten Eigenschaften in einer mehrwertigen Eigenschaft enthält. Sie können die Power Query-Funktion in Excel verwenden, um diese Spalte in mehrere Spalten aufzuteilen, sodass jede Eigenschaft über eine eigene Spalte verfügt. Dadurch können Sie eine oder mehrere dieser Eigenschaften sortieren und filtern. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls.

Eigenschaft Beschreibung
Fall
Die Identität (GUID) des eDiscovery-Falls, der erstellt, geändert oder gelöscht wurde.
ClientApplication
eDiscovery-Cmdlet-Aktivitäten haben für diese Eigenschaft den Wert EMC . Dies gibt an, dass die Aktivität mithilfe der GUI des Complianceportals oder mithilfe des Cmdlets in PowerShell ausgeführt wurde.
ClientIP
Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt.
ClientRequestId
Bei eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer.
CmdletVersion
Die Buildnummer für die Version des Complianceportals, das in Ihrem organization ausgeführt wird.
CreationTime
Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), zu dem die eDiscovery-Aktivität abgeschlossen wurde.
EffectiveOrganization
Der Name des Microsoft 365-organization.
ExchangeLocations
Die Exchange Online Postfächer, die in einer Inhaltssuche enthalten oder in einem eDiscovery-Fall im Haltefeld platziert werden.
Ausschlüsse
Postfach- oder Websitespeicherorte, die in einem eDiscovery-Fall von einer Inhaltssuche oder einem Haltefeld ausgeschlossen sind.
ExtendedProperties
Zusätzliche Eigenschaften aus einer Inhaltssuche, einer Inhaltssucheaktion oder halte in einem eDiscovery-Fall, z. B. die Objekt-GUID und die entsprechenden Cmdlet- und Cmdlet-Parameter, die beim Ausführen der Aktivität verwendet wurden.
Id
Die ID des Berichtseintrags. Die ID identifiziert den Überwachungsprotokolleintrag eindeutig.
NonPIIParameters
Eine Liste der Parameter (ohne Werte), die mit dem cmdlet verwendet wurden, das in der Operation-Eigenschaft angegeben ist. Die in dieser Eigenschaft aufgeführten Parameter sind identisch mit denen, die in der Parameters-Eigenschaft aufgeführt sind.
ObjectId
Die GUID oder der Name des Objekts (z. B. eine Inhaltssuche oder ein eDiscovery-Fall (Standard), auf das von der in der Operation-Eigenschaft aufgeführten Aktivität erstellt, zugegriffen, geändert oder gelöscht wurde. Dieses Objekt wird auch in der Spalte Item in den Suchergebnissen des Überwachungsprotokolls identifiziert.
ObjectType
Der Typ des eDiscovery-Objekts, das der Benutzer erstellt, gelöscht oder geändert hat; Beispielsweise eine Inhaltssuchaktion (Vorschau, Export oder Bereinigung), ein eDiscovery-Fall oder eine Inhaltssuche.
Vorgang
Der Name des Vorgangs, der der ausgeführten eDiscovery-Aktivität entspricht.
OrganizationId
Die GUID für Ihre Microsoft 365-organization.
Parameter
Der Name und Wert für die Parameter, die mit dem entsprechenden Cmdlet verwendet wurden.
PublicFolderLocations
Die Speicherorte öffentlicher Ordner in Exchange Online, die in einer Inhaltssuche enthalten oder in einem eDiscovery-Fall im Haltefeld platziert werden.
Abfrage
Die der Aktivität zugeordnete Suchabfrage, z. B. eine Inhaltssuche oder ein abfragebasierter Halteraum.
RecordType
Der vom Datensatz angegebene Vorgangstyp. Der Wert 18 gibt ein Ereignis im Zusammenhang mit einer Aktivität an, die im Abschnitt eDiscovery-Cmdlet-Aktivitäten aufgeführt ist. Der Wert 24 gibt ein Ereignis im Zusammenhang mit einer Aktivität an, die im Abschnitt eDiscovery-Aktivitäten aufgeführt ist.
ResultStatus
Gibt an, ob die Aktion (in der Eigenschaft "Operation" angegeben) erfolgreich war oder nicht.
SecurityComplianceCenterEventType
Gibt an, dass es sich bei der Aktivität um ein Complianceportalereignis handelt. Alle eDiscovery-Aktivitäten haben für diese Eigenschaft den Wert 0 .
SharepointLocations
Die SharePoint Online-Websites, die in einer Inhaltssuche enthalten sind oder in einem eDiscovery-Fall im Haltefeld platziert werden.
StartTime
Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), als die eDiscovery-Aktivität gestartet wurde.
UserId
Der Benutzer, der die Aktivität ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde. Datensätze für eDiscovery-Aktivitäten, die von Systemkonten (z. B. NT AUTHORITY\SYSTEM) ausgeführt werden, sind ebenfalls im Überwachungsprotokoll enthalten.
UserKey
Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Bei eDiscovery-Aktivitäten ist der Wert für diese Eigenschaft in der Regel mit der UserId-Eigenschaft identisch.
UserServicePlan
Das von Ihrem organization verwendete Abonnement. Bei eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer.
UserType
Der Typ des Benutzers, der den Vorgang ausgeführt hat. Die folgenden Werte geben den Benutzertyp an.
0 Ein normaler Benutzer. 2 Ein Administrator in Ihrem organization. 3 Ein Microsoft-Rechenzentrumsadministrator- oder Rechenzentrumssystemkonto. 4 Ein Systemkonto. 5 Eine Anwendung. 6 Ein Dienstprinzipal.
Version
Gibt die Versionsnummer der aktivität (identifiziert durch die Operation-Eigenschaft) an, die protokolliert wird.
Arbeitslast
Der Dienst, in dem die Aktivität aufgetreten ist. Für eDiscovery-Aktivitäten lautet der Wert SecurityComplianceCenter.

Portalaktivitäten für verschlüsselte Nachrichten

Zugriffsprotokolle sind für verschlüsselte Nachrichten über das Portal für verschlüsselte Nachrichten verfügbar, mit denen Ihre Organisation bestimmen kann, wann Nachrichten gelesen und von ihren externen Empfängern weitergeleitet werden. Weitere Informationen zum Aktivieren und Verwenden von Aktivitätsprotokollen im Portal für verschlüsselte Nachrichten finden Sie unter Aktivitätsprotokoll des Portals für verschlüsselte Nachrichten.

Jeder Überwachungseintrag für eine nachverfolgte Nachricht enthält die folgenden Felder:

  • MessageID: Enthält die ID der Nachricht, die nachverfolgt wird. Der Schlüsselbezeichner, der verwendet wird, um einer Nachricht durch das System zu folgen.
  • Empfänger: Liste aller Empfänger-E-Mail-Adressen.
  • Absender: Die ursprüngliche E-Mail-Adresse.
  • AuthenticationMethod: Beschreibt die Authentifizierungsmethode für den Zugriff auf die Nachricht, z. B. OTP, Yahoo, Gmail oder Microsoft.
  • AuthenticationStatus: Enthält einen Wert, der angibt, dass die Authentifizierung erfolgreich war oder fehlgeschlagen ist.
  • OperationStatus: Gibt an, ob der angegebene Vorgang erfolgreich war oder fehlgeschlagen ist.
  • AttachmentName: Name der Anlage.
  • OperationProperties: Eine Liste optionaler Eigenschaften. Beispielsweise die Anzahl der gesendeten OTP-Kennungen oder der E-Mail-Betreff.

Exchange-Administratoraktivitäten

Mit der Exchange-Administratorüberwachungsprotokollierung, die in Microsoft 365 standardmäßig aktiviert ist, wird ein Ereignis im Überwachungsprotokoll erfasst, wenn ein Administrator (oder ein Benutzer, dem Administratorrechte zugewiesen wurden) eine Änderung in Ihrer Exchange Online-Organisation vornimmt. Änderungen, die im Exchange Admin Center oder durch Ausführen eines Cmdlets in der Exchange Online PowerShell vorgenommen werden, werden im Exchange-Administratorüberwachungsprotokoll erfasst. Cmdlets, die mit den Verben Get-, Search- oder Test- beginnen, werden nicht im Überwachungsprotokoll protokolliert. Ausführlichere Informationen zur Administratorüberwachungsprotokollierung in Exchange finden Sie unter Administratorüberwachungsprotokollierung.

Wichtig

Einige Exchange Online-Cmdlets, die nicht im Exchange-administratorüberwachungsprotokoll (oder im Überwachungsprotokoll) protokolliert sind. Viele dieser Cmdlets beziehen sich auf die Verwaltung des Exchange Online-Diensts und werden vom Personal des Microsoft-Rechenzentrums oder Dienstkonten ausgeführt. Diese Cmdlets werden nicht protokolliert, weil die große Anzahl von Überwachungsereignissen zu großem „Rauschen“ führen würde. Wenn ein nicht überwachtes Exchange Online Cmdlet vorhanden ist, übermitteln Sie dem Microsoft-Support bitte eine Entwurfsänderungsanforderung (Design Change Request, DCR).

Nachfolgend finden Sie einige Tipps für die Suche nach Exchange-Administratoraktivitäten beim Durchsuchen des Überwachungsprotokolls:

  • Verwenden Sie die Felder für Datumsbereiche und die Liste Benutzer, um die Suchergebnisse auf Cmdlets zu begrenzen, die von einem bestimmten Exchange-Administrator innerhalb eines bestimmten Zeitraums ausgeführt wurden.
  • Um Ereignisse aus dem Exchange-Administratorüberwachungsprotokoll anzuzeigen, wählen Sie die Spalte Aktivität aus, um die Cmdlet-Namen in alphabetischer Reihenfolge zu sortieren.
  • Um Informationen darüber zu erhalten, welches Cmdlet ausgeführt wurde, welche Parameter und Parameterwerte verwendet wurden und welche Objekte betroffen waren, können Sie die Suchergebnisse exportieren, indem Sie die Option Alle Ergebnisse herunterladen auswählen. Weiter Informationen findn Sie unterExportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen.
  • Sie können auch den Befehl Search-UnifiedAuditLog -RecordType ExchangeAdmin in der Exchange Online PowerShell verwenden, um nur Überwachungsdatensätze aus dem Exchange-Administratorüberwachungsprotokoll zurückzugeben. Nach der Ausführung eines Exchange-Cmdlet kann es bis zu 30 Minuten dauern, bis der entsprechende Überwachungsprotokolleintrag in den Suchergebnissen zurückgegeben wird. Weitere Informationen finden Sie unter Search-UnifiedAuditLog. Informationen zum Exportieren der vom Search-UnifiedAuditLog-Cmdlet zurückgegebenen Suchergebnisse in eine CSV-Datei finden Sie im Abschnitt „Tipps zum Exportieren, konfigurieren und Anzeigen des Überwachungsprotokolls“ in Exportieren und Anzeigen des Überwachungsprotokolls.

Exchange-Postfachaktivitäten

In der folgenden Tabelle sind die Aktivitäten aufgelistet, die von der Postfachüberwachungsprotokollierung erfasst werden können. Postfachaktivitäten, die vom Postfachbesitzer, einem delegierten Benutzer oder einem Administrator ausgeführt werden, werden bis zu 180 Tage lang automatisch im Überwachungsprotokoll protokolliert. Ein Administrator kann die Postfachüberwachungsprotokollierung für alle Benutzer in Ihrer Organisation deaktivieren. In diesem Fall werden für alle Benutzer Postfachaktivitäten nicht protokolliert. Weitere Informationen finden Sie unter Postfachüberwachungen verwalten.

Wichtig

Der Standardaufbewahrungszeitraum für Audit (Standard) wurde von 90 Tagen in 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.

Sie können auch mithilfe des Cmdlets Search-MailboxAuditLog in der Exchange Online PowerShell nach Postfachaktivitäten suchen.

Anzeigename Vorgang Beschreibung
Zugegriffene Postfachelemente MailItemsAccessed Nachrichten wurden gelesen oder es wurde im Postfach darauf zugegriffen. Überwachungsdatensätze für diese Aktivität werden auf eine von zwei Arten ausgelöst: Wenn ein E-Mail-Client (wie z.Bb. Outlook) einen Bindungsvorgang für Nachrichten ausführt oder wenn E-Mail-Protokolle (wie Exchange ActiveSync oder IMAP) Elemente in einem E-Mail-Ordner synchronisieren. Die Analyse von Überwachungsdatensätzen für diese Aktivität ist hilfreich bei der Untersuchung eines kompromittierten E-Mail-Kontos.
Postfachberechtigungen für Stellvertretung hinzugefügt Add-MailboxPermission Ein Administrator hat einem Benutzer die Postfachberechtigung „FullAccess“ für das Postfach einer anderen Person zugewiesen (auch „Stellvertretung“ genannt). Die Berechtigung "FullAccess" erlaubt der Stellvertretung, das Postfach der anderen Person zu öffnen sowie den Inhalt des Postfachs zu lesen und zu verwalten. Der Überwachungsdatensatz für diese Aktivität wird auch generiert, wenn ein Systemkonto im Microsoft 365-Dienst regelmäßig Wartungsaufgaben im Auftrag Ihrer Organisation ausführt. Eine gängige Aufgabe, die von einem Systemkonto ausgeführt wird, ist das Aktualisieren der Berechtigungen für Systempostfächer. Weitere Informationen finden Sie unter Systemkonten in Postfachüberwachungsdatensätzen von Exchange.
Benutzer mit Stellvertretungszugriff auf den Kalenderordner hinzugefügt oder entfernt UpdateCalendarDelegation Ein Benutzer wurde als Stellvertretung für den Kalender eines anderen Benutzers hinzugefügt oder entfernt. Der Stellvertretungszugriff gibt anderen Personen in der gleichen Organisation die Berechtigung zum Verwalten des Kalenders des Postfachbesitzers.
Berechtigungen für Ordner hinzugefügt AddFolderPermissions Eine Ordnerberechtigung wurde hinzugefügt. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden.
Nachrichten in anderen Ordner kopiert Copy Eine Nachricht wurde in einen anderen Ordner kopiert.
Erstelltes Postfachelement Erstellen Ein Element wird im „Kalender“, in den „Kontakten“, den „Notizen“ oder im „Aufgabenordner“ des Postfachs erstellt. Ein Beispiel: Es wird eine neue Besprechungsanfrage erstellt. Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. Außerdem wird das Erstellen eines Postfachordners nicht überwacht.
Neue Posteingangsregel in der Outlook Web App erstellt New-InboxRule Ein Postfachbesitzer oder ein anderer Benutzer mit Zugriff auf das Postfach hat in der Outlook Web App eine Posteingangsregel erstellt.
Nachrichten aus Ordner „Gelöschte Elemente“ gelöscht SoftDelete Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Diese Elemente werden in den Ordner "Wiederherstellbare Elemente" verschoben. Nachrichten werden auch in den Ordner „Wiederherstellbare Elemente“ verschoben, wenn ein Benutzer diese auswählt undUMSCHALT+ENTF drückt.
Nachricht als Datensatz klassifiziert ApplyRecordLabel Eine Nachricht wurde als Datensatz klassifiziert. Tritt auf, wenn eine Aufbewahrungsbezeichnung, die Inhalte als Datensatz klassifiziert, manuell oder automatisch auf eine Nachricht angewendet wird.
Nachrichten in anderen Ordner verschoben Move Eine Nachricht wurde in einen anderen Ordner verschoben.
Nachrichten in Ordner "Gelöschte Elemente" verschoben MoveToDeletedItems Eine Nachricht wurde gelöscht und in den Ordner "Gelöschte Elemente" verschoben.
Ordnerberechtigung geändert UpdateFolderPermissions Eine Ordnerberechtigung wurde geändert. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Postfachordner und die Nachrichten in diesen Ordnern zugreifen können.
Posteingangsregel in Outlook Web App geändert Set-InboxRule Ein Postfachbesitzer oder ein anderer Benutzer mit Zugriff auf das Postfach hat in der Outlook Web App eine Posteingangsregel geändert.
Nachrichten aus Postfach gelöscht HardDelete Eine Nachricht wurde aus dem Ordner "Wiederherstellbare Elemente" gelöscht (dauerhaft aus dem Postfach entfernt).
Postfachberechtigungen für Stellvertretung entfernt Remove-MailboxPermission Ein Administrator hat die Berechtigung „FullAccess“ (die einer Stellvertretung zugewiesen wurde) aus dem Postfach einer Person entfernt. Nachdem die Berechtigung „FullAccess“ entfernt wurde, kann die Stellvertretung das Postfach der anderen Person nicht mehr öffnen und nicht mehr auf Inhalte in dem Postfach zugreifen.
Ordnerberechtigung entfernt RemoveFolderPermissions Eine Ordnerberechtigung wurde entfernt. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden.
Gesendete Nachricht Senden Eine Nachricht wurde gesendet, beantwortet oder weitergeleitet.
Nachricht mit Berechtigungen vom Typ "Senden als" gesendet SendAs Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, dass sie vom Postfachbesitzer zu kommen scheint.
Nachricht mit Berechtigungen vom Typ "Senden im Auftrag von" gesendet SendOnBehalf Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Namen des Postfachbesitzers gesendet hat. Bei der Nachricht ist für den Empfänger angegeben, in wessen Auftrag die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat.
Posteingangsregeln des Outlook-Clients aktualisiert UpdateInboxRules Ein Postfachbesitzer oder ein anderer Benutzer mit Zugriff auf das Postfach hat unter Verwendung des Outlook-Clients eine Posteingangsregel erstellt, geändert oder entfernt.
Nachricht aktualisiert Update Eine Nachricht oder ihre Eigenschaften wurden geändert.
Benutzer am Postfach angemeldet MailboxLogin Der Benutzer hat sich bei seinem Postfach angemeldet.
Nachricht als Datensatz bezeichnen Ein Benutzer hat eine Aufbewahrungsbezeichnung auf eine E-Mail-Nachricht angewendet, und diese Bezeichnung ist so konfiguriert, dass das Element als Datensatz gekennzeichnet wird.

Systemkonten in Postfachüberwachungsdatensätzen von Exchange

In „Überwachungsdatensätzen für einige Postfachaktivitäten“ (insbesondere Add-MailboxPermissions) fällt Ihnen möglicherweise auf, dass der Benutzer, der die Aktivität ausgeführt hat (und in den Feldern „Benutzer“ und „Benutzer-ID“ angegeben ist), NT AUTHORITY\SYSTEM oder NT AUTHORITY\SYSTEM(Microsoft.Exchange ist. Servicehost). Dies weist darauf hin, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um ein Systemkonto im Exchange-Dienst in der Microsoft-Cloud handelte. Dieses Systemkonto führt häufig geplante Wartungsaufgaben im Auftrag Ihrer Organisation aus. Beispielsweise eine allgemeine überwachte Aktivität, die vom Konto NT AUTHORITY\SYSTEM(Microsoft.Exchange. ServiceHost) durchgeführt wird, ist das Aktualisieren der Berechtigungen für DiscoverySearchMailbox, bei der es sich um ein Systempostfach handelt. Mit diesem Update soll überprüft werden, ob die FullAccess-Berechtigung (die als Standardeinstellung gilt) der Rollengruppe "Discoveryverwaltung" für DiscoverySearchMailbox zugewiesen ist. Stellt sicher, dass eDiscovery-Administratoren die erforderlichen Aufgaben in ihren organization ausführen können.

Ein weiteres Systembenutzerkonto, das in einem Überwachungsdatensatz für Add-MailboxPermission identifiziert werden kann, ist Administrator@apcprd03.prod.outlook.com. Dieses Dienstkonto ist auch in Postfachüberwachungsdatensätzen enthalten, die sich auf die Überprüfung und Aktualisierung der FullAccess-Berechtigung beziehen, die der Rollengruppe "Discoveryverwaltung" für das DiscoverySearchMailbox-Systempostfach zugewiesen ist. Insbesondere Überwachungsdatensätze, die das Konto identifizieren, werden in der Administrator@apcprd03.prod.outlook.com Regel ausgelöst, wenn Microsoft-Supportmitarbeiter ein diagnosetool für die rollenbasierte Zugriffssteuerung im Namen Ihrer organization ausführen.

Datei- und Seitenaktivitäten

In der folgenden Tabelle sind die Datei- und Seitenaktivitäten in SharePoint Online und OneDrive for Business beschrieben.

Anzeigename Vorgang Beschreibung
Dateizugriff FileAccessed Der Benutzer oder das Systemkonto greift auf eine Datei zu. Sobald ein Benutzer auf eine Datei zugreift, wird das FileAccessed-Ereignis für denselben Benutzer für dieselbe Datei für die nächsten fünf Minuten nicht erneut protokolliert.
(kein) FileAccessedExtended Dies bezieht sich auf die Aktivität "Dateizugriff" (FileAccessed). Wenn dieselbe Person während eines längeren Zeitraums (bis zu drei Stunden) ständig auf eine Datei zugreift, wird ein FileAccessedExtended-Ereignis protokolliert.

Die Protokollierung von FileAccessedExtended-Ereignissen dient dazu, die Anzahl von FileAccessed-Ereignissen zu verringern, die beim ständigen Zugriff auf eine Datei protokolliert werden. Auf diese Weise lässt sich der Stördatenverkehr von mehreren FileAccessed-Einträgen besser reduzieren, bei denen die Benutzeraktivität im Wesentlichen identisch ist, sodass Sie sich auf das ursprüngliche (und wichtigere) FileAccessed-Ereignis konzentrieren können.
Geänderte Aufbewahrungsbezeichnung für eine Datei ComplianceSettingChanged Eine Aufbewahrungsbezeichnung wurde auf ein Dokument angewendet oder daraus entfernt. Dieses Ereignis wird ausgelöst, wenn eine Aufbewahrungsbezeichnung manuell oder automatisch auf eine Nachricht angewendet wird.
Datensatzstatus in "gesperrt" geändert LockRecord Der Datensatzstatus einer Aufbewahrungsbezeichnung, die ein Dokument als Datensatz klassifiziert, wurde gesperrt. Dies bedeutet, dass das Dokument nicht geändert oder gelöscht werden kann. Nur Benutzer, denen mindestens die Berechtigung „Mitwirkender“ für eine Website zugewiesen ist, können den Datensatzstatus eines Dokuments ändern.
Datensatzstatus in "nicht gesperrt" geändert UnlockRecord Der Datensatzstatus einer Aufbewahrungsbezeichnung, die ein Dokument als Datensatz klassifiziert, wurde entsperrt. Dies bedeutet, dass das Dokument geändert oder gelöscht werden kann. Nur Benutzer, denen mindestens die Berechtigung „Mitwirkender“ für eine Website zugewiesen ist, können den Datensatzstatus eines Dokuments ändern.
Datei eingecheckt FileCheckedIn Der Benutzer checkt ein Dokument ein, das er aus einer Dokumentbibliothek ausgecheckt hat.
Datei ausgecheckt FileCheckedOut Der Benutzer checkt ein Dokument aus, das sich in einer Dokumentbibliothek befindet. Benutzer können alle Dokumente, die für sie freigegeben wurden, auschecken oder ändern.
Datei kopiert FileCopied Der Benutzer kopiert ein Dokument von einer Website. Die kopierte Datei kann in einem anderen Ordner auf der Website gespeichert werden.
Datei gelöscht FileDeleted Der Benutzer löscht ein Dokument von einer Website.
Datei aus Papierkorb gelöscht FileDeletedFirstStageRecycleBin Der Benutzer löscht eine Datei aus dem Papierkorb einer Website.
Datei aus endgültigem Papierkorb gelöscht FileDeletedSecondStageRecycleBin Der Benutzer löscht eine Datei aus dem endgültigen Papierkorb einer Website.
Gelöschte Datei als Datensatz gekennzeichnet RecordDelete Ein als Datensatz gekennzeichnetes Dokument oder eine als Datensatz gekennzeichnete E-Mail wurde gelöscht. Ein Element wird als Datensatz betrachtet, wenn eine Aufbewahrungsbezeichnung, die Elemente als Datensatz kennzeichnet, auf das Element angewendet wird.
Konflikt in Bezug auf die Vertraulichkeitskennzeichnung eines Dokuments DocumentSensitivityMismatchDetected Der Benutzer lädt ein Dokument auf eine Website hoch, die mit einer Vertraulichkeitsbezeichnung geschützt ist, und das Dokument weist eine Vertraulichkeitsbezeichnung mit höherer Priorität als die Vertraulichkeitsbezeichnung der Website auf. So wird beispielsweise ein Dokument, das als vertraulich bezeichnet wird, auf eine Website hochgeladen, die mit "Allgemein" bezeichnet ist.

Dieses Ereignis wird nicht ausgelöst, wenn die auf ein Dokument angewendete Vertraulichkeitsbezeichnung eine niedrigere Priorität hat als die auf die Website angewendete Vertraulichkeitsbezeichnung. So wird beispielsweise ein Dokument, das als Allgemein bezeichnet wird, auf eine Website hochgeladen, die mit Vertraulich bezeichnet ist. Weitere Informationen über die Priorität von Vertraulichkeitsbezeichnungen finden Sie unter Priorität der Bezeichnungen (Reihenfolge wesentlich).
Malware in einer Datei erkannt FileMalwareDetected Der SharePoint-Virenschutz erkennt Schadsoftware in einer Datei.
Auschecken einer Datei verworfen FileCheckOutDiscarded Der Benutzer verwirft (oder rückgängig) eine ausgecheckte Datei. Das bedeutet, dass alle Änderungen, die beim Auschecken an der Datei vorgenommen wurden, verworfen und nicht in der Version des Dokuments in der Dokumentbibliothek gespeichert werden.
Datei heruntergeladen FileDownloaded Der Benutzer lädt ein Dokument von einer Website herunter.
Datei geändert FileModified Der Benutzer oder das Systemkonto ändert den Inhalt oder die Eigenschaften eines Dokuments auf einer Website. Das System wartet fünf Minuten, bevor ein anderes FileModified-Ereignis protokolliert wird, wenn derselbe Benutzer den Inhalt oder die Eigenschaften desselben Dokuments ändert.
(keine) FileModifiedExtended Dies bezieht sich auf die Aktivität "Datei geändert" (FileModified). Wenn dieselbe Person während eines längeren Zeitraums (bis zu 3 Stunden) eine Datei ständig ändert, wird ein FileModifiedExtended-Ereignis protokolliert.

Die Protokollierung von FileModifiedExtended-Ereignissen dient dazu, die Anzahl von FileModified-Ereignissen zu verringern, die bei ständiger Änderung einer Datei protokolliert werden. Auf diese Weise lässt sich der Stördatenverkehr von mehreren FileModified-Einträgen besser reduzieren, bei denen die Benutzeraktivität im Wesentlichen identisch ist, sodass Sie sich auf das ursprüngliche (und wichtigere) FileModified-Ereignis konzentrieren können.
Datei verschoben FileMoved Der Benutzer verschiebt ein Dokument von seinem aktuellen Speicherort auf einer Website an einen neuen Speicherort.
(keine) FilePreviewed Ein Benutzer zeigt eine Vorschau einer Datei auf einer SharePoint- oder OneDrive for Business-Website an. Diese Ereignisse treten in der Regel in großem Umfang basierend auf einer einzelnen Aktivität auf, z. B. der Anzeige einer Bildergalerie.
Suchabfrage durchgeführt SearchQueryPerformed Der Benutzer oder das Systemkonto nimmt eine Suche auf einer SharePoint- oder OneDrive for Business-Website vor. Zu den gängigen Szenarien, in denen ein Dienstkonto eine Suchabfrage ausführt, gehören das Anwenden einer eDiscovery-Aufbewahrungs- und Aufbewahrungsrichtlinie auf Websites und OneDrive-Konten sowie das automatische Anwenden von Aufbewahrungs- oder Vertraulichkeitsbezeichnungen auf Websiteinhalte. Informationen zum Aktivieren der Protokollierung für diese Aktivität finden Sie unter Erste Schritte mit Überwachungslösungen.
Eine Datei in den Papierkorb verschoben FileRecycled Der Benutzer verschiebt eine Datei in den SharePoint-Papierkorb.
Ein Ordner in den Papierkorb verschoben FolderRecycled Der Benutzer verschiebt einen Ordner in den SharePoint-Papierkorb.
Alle Nebenversionen einer Datei in den Papierkorb verschoben FileVersionsAllMinorsRecycled Benutzer löscht alle Nebenversionen aus dem Versionsverlauf einer Datei. Die gelöschten Versionen werden in den Papierkorb der Website verschoben.
Alle Versionen der Datei in den Papierkorb FileVersionsAllRecycled Benutzer löscht alle Versionen aus dem Versionsverlauf einer Datei. Die gelöschten Versionen werden in den Papierkorb der Website verschoben.
Dateiversion in den Papierkorb FileVersionRecycled Benutzer löscht eine Version aus dem Versionsverlauf einer Datei. Die gelöschte Version wird in den Papierkorb der Website verschoben.
Datei umbenannt FileRenamed Der Benutzer benennt ein Dokument um.
Datei wiederhergestellt FileRestored Der Benutzer stellt ein Dokument aus dem Papierkorb einer Website wieder her.
Datei hochgeladen FileUploaded Der Benutzer lädt ein Dokument in einen Ordner auf einer Website hoch.
Seite angezeigt PageViewed Der Benutzer zeigt eine Seite auf einer Website an. Dieser Vorgang schließt nicht das Verwenden eines Webbrowsers zum Anzeigen von in Dokumentbibliotheken gespeicherten Dateien ein. Sobald ein Benutzer eine Seite anzeigt, wird das PageViewed-Ereignis für denselben Benutzer für dieselbe Seite für die nächsten fünf Minuten nicht erneut protokolliert.
(keine) PageViewedExtended Dies bezieht sich auf die Aktivität "Seite angezeigt" (PageViewed). Wenn dieselbe Person während eines längeren Zeitraums (bis zu 3 Stunden) eine Webseite ständig anzeigt, wird ein PageViewedExtended-Ereignis protokolliert.

Die Protokollierung von PageViewedExtended-Ereignissen dient dazu, die Anzahl von PageViewed-Ereignissen zu verringern, die beim ständigen Anzeigen einer Seite protokolliert werden. Auf diese Weise lässt sich der Stördatenverkehr von mehreren PageViewed-Einträgen besser reduzieren, bei denen die Benutzeraktivität im Wesentlichen identisch ist, sodass Sie sich auf das ursprüngliche (und wichtigere) PageViewed-Ereignis konzentrieren können.
Aufruf wird vom Client signalisiert ClientViewSignaled Ein Benutzerclient (z. B. eine Website oder einer mobile App) hat signalisiert, dass die angegebene Seite vom Benutzer aufgerufen wurde. Diese Aktivität wird häufig nach einem PagePrefetched-Ereignis für eine Seite protokolliert.

Hinweis: Da ClientViewSignaled-Ereignisse vom Client und nicht vom Server signalisiert werden, ist es möglich, dass das Ereignis nicht vom Server protokolliert wird und daher im Überwachungsprotokoll nicht auftaucht. Es ist auch möglich, dass die Informationen im Überwachungsdatensatz möglicherweise nicht zuverlässig sind. Da die Identität des Benutzers aber durch das Token überprüft wird, mit dem das Signal erstellt wurde, ist die im entsprechenden Überwachungsdatensatz aufgelistete Identität des Benutzers korrekt. Das System wartet fünf Minuten, bevor es dasselbe Ereignis protokolliert, wenn der Client desselben Benutzers signalisiert, dass die Seite erneut vom Benutzer angezeigt wurde.
(keine) PagePrefetched Der Client eines Benutzers (beispielsweise eine Website oder eine Mobile App) hat die angegebene Seite angefordert, um die Leistung zu verbessern, wenn der Benutzer zu ihr navigiert. Dieses Ereignis wird protokolliert, um anzugeben, dass der Seiteninhalt für den Client des Benutzers bereitgestellt wurden. Dieses Ereignis ist kein definitiver Hinweis darauf, dass der Benutzer zu der Seite navigiert ist.

Wenn der Seiteninhalt vom Client (gemäß der Anforderung des Benutzers) gerendert wird, sollte ein ClientViewSignaled-Ereignis generiert werden. Nicht alle Clients unterstützen die Angabe eines Vorabrufs, und daher können einige vorab abgerufene Aktivitäten stattdessen als PageViewed-Ereignisse protokolliert werden.

Häufig gestellte Fragen zu den Ereignissen „FileAccessed“ und „FilePreviewed“

Könnten Nicht-Benutzer-Aktivitäten FilePreviewed-Überwachungsdatensätze auslösen, die einen Benutzer-Agent wie „OneDriveMpc-Transform_Thumbnail“ enthalten?

Szenarien, in denen Nichtbenutzeraktionen Ereignisse wie diese generieren, sind uns nicht bekannt. Benutzeraktionen wie das Öffnen eines Benutzerprofils Karte (durch Auswählen des Namens oder der E-Mail-Adresse in einer Nachricht in Outlook im Web) würden ähnliche Ereignisse generieren.

Werden Aufrufe von „OneDriveMpc-Transform_Thumbnail“ immer absichtlich vom Benutzer ausgelöst?

Nein. Ähnliche Ereignisse können jedoch als Ergebnis des Browser-Vorabrufs protokolliert werden.

Wenn wir ein FilePreviewed-Ereignis sehen, das von einer bei Microsoft registrierten IP-Adresse stammt, bedeutet dies, dass die Vorschau auf dem Bildschirm des Benutzergeräts angezeigt wurde?

Nein. Das Ereignis wurde möglicherweise als Ergebnis des Vorabrufs des Browsers protokolliert.

Gibt es Szenarien, in denen ein Benutzer, der die Vorschau eines Dokuments anzeigt, FileAccessed-Ereignisse generiert?

Sowohl das „FilePreviewed“- als auch das „FileAccessed“-Ereignis weist darauf hin, dass der Aufruf eines Benutzers das Lesen der Datei ausgelöst hat (oder das Lesen des Renderings einer Miniaturansicht der Datei). Diese Ereignisse sind zwar dazu gedacht, sich an der Vorschau- bzw. Zugriffs-Absicht zu orientieren, doch die Ereignisunterscheidung ist keine Garantie für die Absicht des Benutzers.

Der app@sharepoint Benutzer in Überwachungsdatensätzen

Ihnen ist möglicherweise aufgefallen, dass in Überwachungsdatensätzen für einige Dateiaktivitäten (und andere SharePoint-bezogene Aktivitäten) der Benutzer, der die Aktivität ausgeführt hat (in den Feldern "Benutzer" und "Benutzer-ID" aufgeführt), als "app@sharepoint" angegeben ist. Dies weist darauf hin, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt. In diesem Fall hatte die Anwendung in SharePoint die Berechtigung erhalten, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Dienstes auszuführen. Dieser Vorgang zur Erteilung von Berechtigungen für eine Anwendung heißt "Nur SharePoint-App-Zugriff". Dies weist darauf hin, dass die Authentifizierung, die SharePoint zum Ausführen einer Aktion präsentiert wurde, von einer Anwendung anstelle eines Benutzers vorgenommen wurde. Dies ist der Grund, warum in manchen Überwachungsdatensätzen der "app@sharepoint"-Benutzer angegeben wird. Weitere Informationen finden Sie unter Gewähren des "Nur SharePoint-App"-Zugriffs.

"app@sharepoint" wird beispielsweise häufig als Benutzer bei Ereignissen wie ausgeführte Suchabfragen und Dateizugriffe angegeben. Der Grund dafür ist, dass eine Anwendung mit "Nur SharePoint-App"-Zugriff in Ihrer Organisation Suchabfragen ausführt und auf Dateien zugreift, wenn Aufbewahrungsrichtlinien auf Websites und OneDrive-Konten angewendet werden.

Nachstehend sind einige weitere Szenarien aufgeführt, in denen "app@sharepoint" als Benutzer, der eine Aktivität ausgeführt hat, in einem Überwachungsprotokoll angegeben werden kann:

  • Microsoft 365-Gruppen. Wenn ein Benutzer oder Administrator eine neue Gruppe erstellt, werden Überwachungsdatensätze für die Erstellung einer Websitesammlung, das Aktualisieren von Listen und das Hinzufügen von Mitgliedern zu einer SharePoint-Gruppe generiert. Diese Aufgaben werden von einer Anwendung im Namen des Benutzers ausgeführt, der die Gruppe erstellt hat.
  • Microsoft Teams: Bei der Erstellung eines Teams werden ähnlich wie bei Microsoft 365-Gruppen Überwachungsdatensätze für die Erstellung einer Websitesammlung, das Aktualisieren von Listen und das Hinzufügen von Mitgliedern zu einer SharePoint-Gruppe generiert.
  • Kompatibilitätsfeatures. Wenn ein Administrator Compliancefeatures implementiert, z. B. Aufbewahrungsrichtlinien, eDiscovery-Haltebereiche und automatisches Anwenden von Vertraulichkeitsbezeichnungen.

In diesen und weiteren Szenarios werden Sie außerdem feststellen, dass mehrere Überwachungsdatensätze mit "app@sharepoint" als angegebenen Benutzer innerhalb eines sehr kurzen Zeitrahmens erstellt wurden, häufig innerhalb weniger Sekunden. Dies bedeutet ebenfalls, dass sie wahrscheinlich von demselben vom benutzerinitiierten Vorgang ausgelöst wurden. Die Felder "ApplicationDisplayName" und "EventData" im Überwachungsdatensatz helfen Ihnen möglicherweise, das Szenario oder den Dienst zu ermitteln, durch das/den dieses Ereignis ausgelöst wurde.

Ordneraktivitäten

In der folgenden Tabelle sind die Ordneraktivitäten in SharePoint Online und OneDrive for Business beschrieben. Wie bereits erläutert, geben Überwachungsdatensätze für einige SharePoint-Aktivitäten an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.

Anzeigename Vorgang Beschreibung
Ordner kopiert FolderCopied Ein Benutzer in SharePoint oder OneDrive for Business kopiert einen Ordner von einer Website zu einer anderen.
Ordner erstellt FolderCreated Der Benutzer erstellt einen Ordner auf einer Website.
Ordner gelöscht FolderDeleted Der Benutzer löscht einen Ordner von einer Website.
Ordner aus Papierkorb gelöscht FolderDeletedFirstStageRecycleBin Der Benutzer löscht einen Ordner aus dem Papierkorb auf einer Website.
Ordner aus endgültigem Papierkorb gelöscht FolderDeletedSecondStageRecycleBin Der Benutzer löscht einen Ordner aus dem endgültigen Papierkorb auf einer Website.
Ordner geändert FolderModified Der Benutzer ändert einen Ordner auf einer Website. Dies schließt das Ändern der Ordnermetadaten, beispielsweise das Ändern von Tags und Eigenschaften, ein.
Ordner verschoben FolderMoved Der Benutzer verschiebt einen Ordner an eine andere Position auf einer Website.
Ordner umbenannt FolderRenamed Der Benutzer benennt einen Ordner auf einer Website um.
Ordner wiederhergestellt FolderRestored Der Benutzer stellt einen gelöschten Ordner aus dem Papierkorb auf einer Website wieder her.

Informationsbarrierenaktivitäten

In der folgenden Tabelle sind die Aktivitäten in Informationsbarrieren aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Informationsbarrieren finden Sie unter Weitere Informationen zu Informationsbarrieren in Microsoft 365.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Anzeigename Vorgang Beschreibung
AppBypassInformationBarrier-Einstellung für den Mandanten geändert AppBypassInformationBarrier Ein SharePoint- oder globaler Administrator hat den Zugriff auf Apps für SharePoint-Websites geändert.
Angewendeter Informationsbarrieremodus auf die Website SiteIBModeSet Ein SharePoint- oder globaler Administrator hat einen Modus auf die Website angewendet.
Angewendete Segmente auf die Website SiteIBSegmentsSet Ein SharePoint-Administrator, ein globaler Administrator oder ein Websitebesitzer hat einer Website ein oder mehrere Informationsbarrierensegmente hinzugefügt.
Geänderter Informationsbarrieremodus der Website SiteIBModeChanged Ein SharePoint- oder globaler Administrator hat den Modus der Website aktualisiert.
Geänderte Segmente der Website SiteIBSegmentsChanged Ein SharePoint-Administrator oder ein globaler Administrator hat ein oder mehrere Informationsbarrierensegmente für eine Website geändert.
Deaktivierte Informationsbarrieren für SharePoint und OneDrive SPOIBIsDisabled Ein SharePoint- oder globaler Administrator hat Informationsbarrieren für SharePoint und OneDrive im organization deaktiviert.
Aktivierte Informationsbarrieren für SharePoint und OneDrive SPOIBIsEnabled Ein SharePoint- oder globaler Administrator hat Informationsbarrieren für SharePoint und OneDrive im organization deaktiviert.
Bericht zu Erkenntnissen zu Informationsbarrieren abgeschlossen InformationBarriersInsightsReportCompleted Das System schließt die Erstellung des Berichts zu Erkenntnissen zu Informationsbarrieren ab.
OneDrive-Abschnitt "Informationsbarrieren–Erkenntnisse" abgefragt InformationBarriersInsightsReportOneDriveSectionQueried Ein Administrator fragt den Bericht zu Erkenntnissen zu Informationsbarrieren für OneDrive-Konten ab.
Bericht zu Erkenntnissen zu Informationsbarrieren geplant InformationBarriersInsightsReportSchedule Ein Administrator plant den Bericht zu Erkenntnissen zu Informationsbarrieren.
SharePoint-Abschnitt des Berichts "Erkenntnisse zu Informationsbarrieren" abgefragt InformationBarriersInsightsReportSharePointSectionQueried Ein Administrator fragt den Bericht zu Erkenntnissen zu Informationsbarrieren für SharePoint-Websites ab.
Segment vom Standort entfernt SiteIBSegmentsRemoved Ein SharePoint-Administrator oder ein globaler Administrator hat ein oder mehrere Informationsbarrierensegmente aus einer Website gelöscht.

Microsoft 365-Backup Aktivitäten

In der folgenden Tabelle sind die Aktivitäten in Microsoft 365-Backup aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Microsoft 365-Backup soll sicherstellen, dass die Daten Ihrer organization immer geschützt und leicht wiederherstellbar sind. Weitere Informationen zu Microsoft 365-Backup finden Sie unter Übersicht über Microsoft 365-Backup.

Anzeigename Vorgang Beschreibung
Aktivieren einer Sicherungsrichtlinie BackupPolicyActivated Eine Microsoft 365-Backup Richtlinie wird aus einem inaktiven Zustand aktiviert.
Aktivierte Entwurfswiederherstellung RestoreTaskActivated Ein Entwurfswiederherstellungstask für Microsoft 365-Backup wird aktiviert. Es handelt sich um einen zeitintensiven Vorgang.
Sicherungselement erstellt BackupItemAdded Ein oder mehrere Sicherungselemente werden einer Microsoft 365-Backup Richtlinie hinzugefügt.
Sicherungselement entfernt BackupItemRemoved Ein oder mehrere Sicherungselemente werden aus einer Microsoft 365-Backup Richtlinie entfernt.
Abgeschlossene Wiederherstellungsaufgabe RestoreTaskCompleted Eine Wiederherstellungsaufgabe wird in Microsoft 365-Backup abgeschlossen.
Erstellter Entwurfswiederherstellungstask DraftRestoreTaskCreated Eine Wiederherstellungsaufgabe wird in Microsoft 365-Backup erstellt. Standardmäßig wird die Wiederherstellungsaufgabe als Entwurf erstellt.
Neue Sicherungsrichtlinie erstellt NewBackupPolicyCreated Eine neue Microsoft 365-Backup-Richtlinie wurde von einem globalen Admin erstellt. Standardmäßig wird eine Sicherungsrichtlinie in einem inaktiven Zustand erstellt.
Eine Sicherungsrichtlinie wurde gelöscht. BackupPolicyDeleted Eine Microsoft 365-Backup Richtlinie wird gelöscht.
Wiederherstellungsaufgabe "Entwurf" gelöscht DraftRestoreTaskDeleted Eine Entwurfswiederherstellung wird in Microsoft 365-Backup gelöscht.
Bearbeiten einer Sicherungsrichtlinie BackupPolicyEdited Eine Microsoft 365-Backup Richtlinie wird aktualisiert. Sicherungsrichtlinien werden durch eine der folgenden Aktionen aktualisiert:

1. Umbenennen der Richtlinie.
2. Fügen Sie mindestens eine Schutzeinheit hinzu.
3. Entfernen einer oder mehrerer Schutzeinheiten.
Wiederherstellungsaufgabe für bearbeiteten Entwurf DraftRestoreTaskEdited Eine Entwurfswiederherstellung wird in Microsoft 365-Backup bearbeitet.
Angehaltene Sicherungsrichtlinie BackupPolicyPaused Eine Microsoft 365-Backup Richtlinie wird im aktiven Zustand angehalten.
Programmgesteuertes Abrufen des Sicherungselements GetBackupItem Der Benutzer fordert die Schutzeinheit an, die programmgesteuert mit Microsoft 365-Backup gesichert wird.
Programmgesteuertes Abrufen von Details zur Sicherungsrichtlinie ViewBackupPolicyDetails Auf Details einer Microsoft 365-Backup Richtlinie wird programmgesteuert zugegriffen.
Programmgesteuertes Abrufen von Details zur Wiederherstellungsaufgabe GetRestoreTaskDetails Ein Benutzer fordert Details der Wiederherstellungsaufgabe anhand seines Bezeichners in Microsoft 365-Backup an.
Programmgesteuerte Liste aller Sicherungsrichtlinien ListAllBackupPolicies Ein Benutzer ruft programmgesteuert die Liste aller Sicherungsrichtlinien ab, die mithilfe von Microsoft 365-Backup gesichert wurden.
Programmgesteuerte Liste der Sicherungselemente in Sicherungsrichtlinien ListAllBackupItemsInPolicies Eine Liste aller Schutzeinheiten, die in einer Sicherungsrichtlinie in Microsoft 365-Backup vorhanden sind, wird programmgesteuert angefordert.
Programmgesteuertes Abrufen der Liste der Sicherungselemente im Mandanten ListAllBackupItemsInTenant Ein Benutzer ruft programmgesteuert eine Liste aller Schutzeinheiten im organization ab, die mithilfe von Microsoft 365-Backup gesichert wurden.
Programmgesteuertes Abrufen der Liste der Sicherungselemente in workload ListAllBackupItemsInWorkload Ein Benutzer erhält programmgesteuert eine Liste aller Schutzeinheiten in der Workload (SharePoint, OneDrive oder Exchange), die mithilfe von Microsoft 365-Backup gesichert wurden.
Programmgesteuertes Abrufen der Liste der Wiederherstellungselemente im Wiederherstellungstask GetAllRestoreArtifactsInTask Ein Benutzer ruft programmgesteuert alle Artefakte in einer Wiederherstellungsaufgabe in Microsoft 365-Backup ab.
Programmgesteuerte Liste der Wiederherstellungspunkte ListAllRestorePoints Ein Benutzer erhält programmgesteuert alle Wiederherstellungspunkte in Microsoft 365-Backup. Wiederherstellungspunkte stellen den Zeitstempel dar, wenn ein Artefakt geschützt ist (gemäß Schutzrichtlinie). Nur globale Administratoren haben Zugriff.
Programmgesteuerte Liste der Wiederherstellungsaufgaben ListAllRestoreTasks Ein Benutzer ruft programmgesteuert die Liste der vorhandenen Wiederherstellungssitzungen in Microsoft 365-Backup ab. Dies schließt die Wiederherstellungssitzung ein, die für jeden Diensttyp erstellt wird, der im organization registriert ist.
Wiederherstellen der Elementwiederherstellung abgeschlossen BackupItemRestoreCompleted Die Wiederherstellung eines Elements, das von Microsoft 365-Backup gesichert wurde, ist abgeschlossen.
Wiederherstellungselement wurde ausgelöst BackupItemRestoreTriggered Die Wiederherstellung wird für ein Element ausgelöst, das mit Microsoft 365-Backup gesichert wurde.

Microsoft Defender for Endpoint allgemeine Einstellungsaktivitäten

In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint allgemeinen Einstellungen aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu den Einstellungen Microsoft Defender for Endpoint finden Sie unter Konfigurieren allgemeiner Defender für Endpunkt-Einstellungen.

Um Microsoft Defender for Endpoint Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.

Anzeigename Vorgang Beschreibung
Heruntergeladenes Offboardingpaket DownloadOffboardingPkg Das Paket zum Entfernen von Geräten aus Defender für Endpunkt wurde heruntergeladen.
Heruntergeladenes Onboardingpaket DownloadOnboardingPkg Das Paket für das Onboarding von Geräten in Defender für Endpunkt wurde heruntergeladen.
Geänderte Datenaufbewahrung ChangeDataRetention Die Datenaufbewahrungseinstellungen für Defender für Endpunkt wurden bearbeitet.
Festlegen erweiterter Features SetAdvancedFeatures Erweiterte Features in Defender für Endpunkt wurden geändert, sodass während eines Incidents präzisere Kontrollen möglich sind. Nur Einstellungen für erweiterte Features, die allgemein verfügbar sind, werden im Microsoft 365-Überwachungsprotokoll protokolliert.

Aktivitäten für Microsoft Defender for Endpoint Indikatoreinstellungen

In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint Indikatoreinstellungen aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Microsoft Defender for Endpoint Indikatoren finden Sie unter Verwalten von Indikatoren.

Um Microsoft Defender for Endpoint Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.

Anzeigename Vorgang Beschreibung
Indikator hinzugefügt AddIndicator Es wurde ein neuer Gefährdungsindikator erstellt, den Sie zum Nachverfolgen von Angriffen und Ereignissen verwenden können.
Bearbeiteter Indikator EditIndicator Es wurde ein Indikator für Gefährdung bearbeitet.
Gelöschter Indikator DeleteIndicator Ein Indikator der Kompromittierung wurde entfernt.

Aktivitäten für Microsoft Defender for Endpoint-Reaktionsaktionen

In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint-Antwortaktionen aufgeführt, einschließlich Liveantworten, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Microsoft Defender for Endpoint Antwortaktionen finden Sie unter Ausführen von Antwortaktionen auf einem Gerät.

Um Microsoft Defender for Endpoint Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.

Anzeigename Vorgang Beschreibung
Gesammeltes Untersuchungspaket CollectInvestigationPackage Gesammelte Informationen zu einem Gerät, das verwendet wird, um Angriffstools und -techniken zu verstehen.
Antivirusscan ausgeführt RunAntiVirusScan Microsoft Defender Antivirus-Überprüfung auf einem Gerät ausgeführt.
Eingeschränkte App-Ausführung RestrictAppExecution Verhindern, dass eine schädliche App ausgeführt wird.
App-Einschränkungen entfernt RemoveAppRestrictions Zulassen, dass eine App ausgeführt wird.
Isoliertes Gerät IsolateDevice Isolierte ein Gerät aus dem Netzwerk, um die Ausbreitung von Angriffen zu verhindern.
Aus der Isolation freigegeben ReleaseFromIsolation Ein isoliertes Gerät wurde dem Netzwerk wieder hinzugefügt.
Beendete und unter Quarantäne gestellte Datei StopAndQuarantineFile Verdächtige Datei zur weiteren Analyse unter Quarantäne stellen.
Datei heruntergeladen DownloadFile Eine verdächtige Datei zur weiteren Untersuchung heruntergeladen.
Offboarded device (Offboarded Device) DeviceOffBoarding Ein Gerät wurde aus Defender für Endpunkt entfernt.
Ausgeführte Liveantwort-API RunLiveResponseApi Öffnete eine Liveantwortsitzung über einen API-Aufruf und öffnete eine Remoteshell auf einem Gerät.
Gesammelte Protokolle LogsCollection Gesammelte Protokollinformationen zu Defender für Endpunkt.
Link "Liveantwortdatei abrufen" ausgeführt LiveResponseGetFile Öffnete eine Liveantwortsitzung und öffnete eine Remoteshell auf einem Gerät.
Liveantwortsitzung ausgeführt RunLiveResponseSession Führte eine Liveantwortsitzung aus und öffnete eine Remoteshell auf einem Gerät.

Microsoft Defender for Endpoint von Einstellungen für Rollen

In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint Rolleneinstellungen aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Rollen in Microsoft Defender for Endpoint finden Sie unter Erstellen und Verwalten von Rollen für die rollenbasierte Zugriffssteuerung.

Um Microsoft Defender for Endpoint Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.

Anzeigename Vorgang Beschreibung
AddRole Rolle hinzugefügt Neue Sicherheitsrolle und -berechtigungen hinzugefügt.
EditRole Bearbeitete Rolle Bearbeitete Sicherheitsrollen und Berechtigungen.
DeleteRole Gelöschte Rolle Sicherheitsrollen und -berechtigungen wurden entfernt.

aktivitäten von Microsoft Defender for Experts

In der folgenden Tabelle sind die Aktivitäten in Microsoft Defender Experts aufgeführt, die im Microsoft 365-Überwachungsprotokoll angemeldet sind. Weitere Informationen zu Microsoft Defender Experts finden Sie unter Weitere Informationen zu Microsoft Defender Experts for XDR und Informationen zu Microsoft Defender Experten für Bedrohungssuche

Anzeigename Vorgang Beschreibung
Erstellte Defender Experts-Analystenberechtigung DefenderExpertsAnalystPermissionCreated Ein Administrator hat Defender Experts-Analysten mindestens eine Rollenberechtigung erteilt, um Vorfälle zu untersuchen oder Bedrohungen zu beheben.
Defender Experts-Analystenberechtigung geändert DefenderExpertsAnalystPermissionModified Ein Administrator hat die Rollenberechtigungen für Defender Experts-Analysten geändert, um Vorfälle zu untersuchen oder Bedrohungen zu beheben.

Microsoft Defender for Identity Aktivitäten

In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Identity aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden.

Um Microsoft Defender for Identity Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.

Anzeigename Vorgang Beschreibung
Aktualisierte Entitätstags TaggingConfigurationUpdated Ein Tag wurde einer Entität hinzugefügt oder daraus entfernt.
Konfiguration von Ausschlüssen hinzugefügt ExclusionConfigurationAdded Ein globaler Ausschluss wurde für eine Warnung oder für eine Entität hinzugefügt.
Konfiguration von Ausschlüssen aktualisiert ExclusionConfigurationUpdated Ein globaler Ausschluss wurde für eine Warnung oder für eine Entität aktualisiert.
Konfiguration gelöschter Ausschlüsse ExclusionConfigurationDeleted Ein globaler Ausschluss wurde für eine Warnung oder für eine Entität gelöscht.
Konfiguration des Warnungsschwellenwerts aktualisiert WorkspaceAlertThresholdLevelUpdated Die Konfiguration der Schwellenwerte für Warnungen wurde aktualisiert.
Heruntergeladene Sicherheitswarnung Excel AlertExcelDownloaded Die detaillierte Excel-Datei einer Warnung wurde heruntergeladen.
Wartungsaktion hinzugefügt RemediationActionAdded Der Warteschlange wurde eine Korrekturaktion hinzugefügt.
Aktualisierte Wartungsaktion RemediationActionUpdated Eine Korrekturaktion wurde abgeschlossen.
Aktualisierte Sensorkonfiguration SensorConfigurationUpdated Die Konfiguration eines Sensors wurde aktualisiert.
Sensor hinzugefügt SensorCreated Ein neuer Sensor wurde hinzugefügt.
Sensor entfernt SensorDeleted Ein Sensor wurde gelöscht.
Abgerufener Sensorbereitstellungsschlüssel SensorDeploymentAccessKeyReceived Der Zugriffsschlüssel der Sensoren wurde abgerufen.
Bereitstellungsschlüssel für den neu generierten Sensor SensorDeploymentAccessKeyUpdated Der Sensorzugriffsschlüssel wurde neu generiert.
Heruntergeladene Domänencontrollerabdeckung in Excel DomainControllerCoverageExcelDownloaded Die Excel-Datei für die Domänencontrollerabdeckung wurde heruntergeladen.
Konfiguration des Verzeichnisdienstkontos aktualisiert DirectoryServicesAccountConfigurationUpdated Die festgelegten Verzeichnisdienstkonten wurden geändert.
Konfiguration der Wartungsaktion aktualisiert RemediationActionConfigurationUpdated Der Festgelegte Aktionskonten verwalten wurde geändert.
Aktualisierte Entitätswartungskonfiguration EntityRemediatorConfigurationUpdated Der Modus Aktionskonten verwalten wurde geändert.
Aktualisiertes Integritätsproblem MonitoringAlertUpdated Ein Integritätsproblem wurde geändert.
Bericht heruntergeladen BerichtHerunterladen Ein Bericht wurde heruntergeladen.
Aktualisierte Reporterkonfiguration ReporterConfigurationUpdated Die Planung eines Berichts wurde geändert.
Aktualisierte Syslog-Weiterleitungskonfiguration SyslogServiceConfigurationUpdated Die Syslog-Weiterleitungskonfiguration wurde geändert.
Aktualisierte Sicherheitsbenachrichtigungskonfiguration NotificationConfigurationUpdated Die Benachrichtigungskonfiguration für Sicherheitswarnungen oder Integritätsprobleme wurde geändert.
Empfänger von Warnungsbenachrichtigungen hinzugefügt AlertNotificationsRecipientAdded Der Benachrichtigungskonfiguration für Sicherheitswarnungen wurde ein Empfänger hinzugefügt.
Empfänger von Benachrichtigungen für gelöschte Warnungen AlertNotificationsRecipientDeleted Ein Empfänger wurde aus der Benachrichtigungskonfiguration für Sicherheitswarnungen entfernt.
Empfänger der Benachrichtigung über Integritätsprobleme hinzugefügt MonitoringAlertNotificationRecipientAdded Der Benachrichtigungskonfiguration für Integritätsprobleme wurde ein Empfänger hinzugefügt.
Benachrichtigungsempfänger für gelöschte Integritätsprobleme MonitoringAlertNotificationRecipientDeleted Ein Empfänger wurde aus der Benachrichtigungskonfiguration für Integritätsprobleme entfernt.
Aktualisierte VPN-Konfiguration VpnConfigurationUpdated Die VPN-Konfiguration (Radius-Buchhaltung) wurde geändert.
Aktualisierte Einheitliche RBAC-Konfiguration URbacAuthorizationStatusChanged Die Konfiguration der einheitlichen rollenbasierten Access Control wurde geändert.
Erstellter Arbeitsbereich WorkspaceCreated Der Arbeitsbereich wurde erstellt.
Gelöschter Arbeitsbereich Arbeitsbereich Gelöscht Der Arbeitsbereich wurde gelöscht.

Microsoft Defender XDR benutzerdefinierter Erkennungsaktivitäten

In der folgenden Tabelle sind die benutzerdefinierten Erkennungsaktivitäten für Microsoft Defender XDR aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Microsoft Defender XDR benutzerdefinierten Erkennungen finden Sie unter Erstellen und Verwalten benutzerdefinierter Erkennungsregeln.

Um Microsoft Defender XDR Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.

Anzeigename Vorgang Beschreibung
Benutzerdefinierte Erkennungsregel erstellt CreateCustomDetection Eine neue benutzerdefinierte Erkennungsregel wurde erstellt.
Bearbeitete benutzerdefinierte Erkennungsregel EditCustomDetection Eine benutzerdefinierte Erkennungsregel wurde geändert.
Geänderte benutzerdefinierte Erkennungsregel status ChangeCustomDetectionRuleStatus Eine benutzerdefinierte Erkennungsregel wurde deaktiviert oder aktiviert.
Benutzerdefinierte Erkennungsregel ausgeführt RunCustomDetection Eine benutzerdefinierte Erkennungsregel wurde manuell ausgeführt.
Benutzerdefinierte Erkennungsregel wurde gelöscht. DeleteCustomDetection Eine benutzerdefinierte Erkennungsregel wurde entfernt.

Microsoft Defender XDR Incidentaktivitäten

In der folgenden Tabelle sind die Incidentaktivitäten für Microsoft Defender XDR aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Incidents in Microsoft Defender XDR finden Sie unter Übersicht über Vorfälle.

Um Microsoft Defender XDR Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.

Anzeigename Vorgang Beschreibung
Kommentar zu Incident hinzugefügt AddCommentToIncident. Kommentar zum Incident hinzugefügt.
Dem Incident zugewiesener Benutzer AssignUserToIncident Dem Incident zugewiesener Benutzer.
Nicht zugewiesener Benutzer zum Incident UnAssignUserFromIncident Nicht zugewiesener Benutzer zum Incident.
Aktualisierte incidents status UpdateIncidentStatus Aktualisierte incidents status.
Bearbeiten der Incidentklassifizierung EditIncidentClassification Bearbeiten der Incidentklassifizierung.
Tags zu Incident hinzugefügt AddTagsToIncident Dem Incident wurden Tags hinzugefügt.
Tags aus Incident entfernt RemoveTagsFromIncident Tags aus incident entfernt.

Aktivitäten von Microsoft Defender XDR Unterdrückungsregeln

In der folgenden Tabelle sind die Aktivitäten für Unterdrückungsregeln für Microsoft Defender XDR aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Unterdrückungsregeln in Microsoft Defender XDR finden Sie unter Verwalten von Unterdrückungsregeln.

Um Microsoft Defender XDR Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.

Anzeigename Vorgang Beschreibung
Erstellte Unterdrückungsregel CreateSuppressionRule Warnungsunterdrückungsregel wurde erstellt.
Bearbeitete Unterdrückungsregel EditSuppressionRule Warnungsunterdrückungsregel gelöscht.
Aktivierte Unterdrückungsregel EnableSuppressionRule Warnungsunterdrückungsregel aktiviert.
Unterdrückungsregel deaktiviert DisableSuppressionRule Warnungsunterdrückungsregel deaktiviert.
Gelöschte Unterdrückungsregel DeleteSuppressionRule Warnungsunterdrückungsregel gelöscht.

gruppenverwaltungsaktivitäten Microsoft Entra

In der folgenden Tabelle sind Gruppenverwaltungsaktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator oder ein Benutzer eine Microsoft 365-Gruppe erstellt oder ändert oder wenn ein Administrator eine Sicherheitsgruppe mithilfe des Microsoft 365 Admin Center oder des Azure-Verwaltungsportals erstellt. Weitere Informationen zu Gruppen in Microsoft 365 finden Sie unter Anzeigen, Erstellen und Löschen von Gruppen im Microsoft 365 Admin Center.

Hinweis

Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( . ). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" ") zu setzen.

Anzeigename Vorgang Beschreibung
Gruppe hinzugefügt Gruppe hinzufügen. Eine Gruppe wurde erstellt.
Mitglied zur Gruppe hinzugefügt Mitglied zu Gruppe hinzufügen. Ein Mitglied wurde zu einer Gruppe hinzugefügt.
Gruppe gelöscht Gruppe löschen. Eine Gruppe wurde gelöscht.
Mitglied aus Gruppe entfernt Mitglied aus Gruppe entfernen. Ein Mitglied wurde aus einer Gruppe entfernt.
Gruppe aktualisiert Gruppe aktualisieren. Eine Eigenschaft einer Gruppe wurde geändert.

Microsoft Fabric-Aktivitäten

Sie können das Überwachungsprotokoll nach Aktivitäten in Power BI durchsuchen. Informationen zu Überwachungseinstellungen finden Sie unter Überwachungs- und Nutzungsmandanteneinstellungen.

Die Überwachungsprotokollierung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Wenn die Überwachung für Ihre organization nicht aktiviert ist, wird ein Banner angezeigt, das Sie auffordert, mit der Aufzeichnung von Benutzer- und Administratoraktivitäten zu beginnen. Anweisungen finden Sie unter Aktivieren der Überwachung.

Microsoft Forms-Aktivitäten

In den Tabellen in diesem Abschnitt sind die in Microsoft Forms von Benutzern und Administratoren ausgeführten Aktivitäten aufgelistet, die im Überwachungsprotokoll protokolliert werden. Microsoft Forms ist ein Formular-/Quiz-/Umfrage-Tool zum Sammeln von Daten für Analysen. Wo nachstehend in den Beschreibungen erwähnt, enthalten einige Vorgänge zusätzliche Aktivitätsparameter.

Wenn eine Forms Aktivität von einem Mitautor oder einem anonymen Antwortenden ausgeführt wird, wird sie etwas anders protokolliert. Weitere Informationen hierzu finden Sie im Abschnitt Forms-Aktivitäten, die von Mitautoren und anonymen Antwortenden durchgeführt werden.

Anzeigename Vorgang Beschreibung
Ersteller Kommentar CreateComment Der Formularbesitzer fügt Kommentare oder Bewertungen zu einem Quiz hinzu.
Erstelltes Formular CreateForm Der Besitzer erstellt ein neues Formular.

Eigenschaft DataMode:string gibt an, dass das aktuelle Formular so eingestellt ist, dass es mit einer neuen oder vorhandenen Excel-Arbeitsmappe synchronisiert wird, wenn der Eigenschaftswert DataSync entspricht. Die Eigenschaft ExcelWorkbookLink:string gibt die zugehörige Excel-Arbeitsmappen-ID des aktuellen Formulars an.
Bearbeitetes Formular EditForm Der Formularbesitzer bearbeitet ein Formular, z. B. das Erstellen, Entfernen oder Bearbeiten einer Frage. Die Eigenschaft EditOperation:string gibt den Namen des Bearbeitungsvorgangs an. Mögliche Vorgänge sind:
– CreateQuestion
– CreateQuestionChoice
– DeleteQuestion
– DeleteQuestionChoice
– DeleteFormImage
– DeleteQuestionImage
– UpdateQuestion
– UpdateQuestionChoice
– UploadFormImage/Bing/Onedrive
– UploadQuestionImage
– ChangeTheme

FormImage enthält jede Stelle in Formularen, an der Benutzer ein Bild hochladen können, z. B. in einer Abfrage oder als Hintergrunddesign.
Formular verschoben MoveForm Der Formularbesitzer verschiebt ein Formular.

Eigenschaft DestinationUserId: Zeichenfolge gibt die Benutzer-ID der Person an, die das Formular verschoben hat. Eigenschafts NewFormId: Zeichenfolge ist die neue ID für das neu kopierte Formular. Die Eigenschaft IsDelegateAccess:boolean gibt an, dass die aktuelle Aktion zum Verschieben des Formulars über die Seite der Administrator-Stellvertretung ausgeführt wird.
Gelöschtes Formular DeleteForm Der Formularbesitzer löscht ein Formular. Dazu gehören SoftDelete (Löschoption wird verwendet, Formular wird in den Papierkorb verschoben) und HardDelete (Papierkorb wird geleert).
Angezeigtes Formular (Entwurfszeit) ViewForm Der Formularbesitzer öffnet ein vorhandenes Formular für die Bearbeitung.

Die Eigenschaft AccessDenied:boolean gibt an, dass der Zugriff auf das aktuelle Formular aufgrund einer Berechtigungsprüfung verweigert wurde. Die Eigenschaft FromSummaryLink:boolean gibt an, dass die aktuelle Anforderung von der Zusammenfassungs-Linkseite stammt.
Formular in der Vorschau PreviewForm Der Formularbesitzer zeigt ein Formular mit der Vorschaufunktion an.
Exportiertes Formular ExportForm Der Formularbesitzer exportiert Ergebnisse nach Excel.

Eigenschaft ExportFormat: Zeichenfolge gibt an, ob die Excel-Datei heruntergeladen wurde oder online verfügbar ist.
Freigabe von Formularkopie zulassen AllowShareFormForCopy Der Formularbesitzer erstellt einen Vorlagen-Link, um das Formular für andere Benutzer freizugeben. Dieses Ereignis wird protokolliert, wenn der Formularbesitzer auswählt, die Vorlagen-URL zu generieren.
Freigabe von Formularkopie nicht zulassen DisallowShareFormForCopy Der Formularbesitzer löscht den Vorlagen-Link.
Formular-Koautor hinzugefügt AddFormCoauthor Ein Benutzer verwendet einen Link für die Zusammenarbeit, um beim Entwerfen/Anzeigen von Antworten zu helfen. Dieses Ereignis wird protokolliert, wenn ein Benutzer eine URL für die Zusammenarbeit verwendet (nicht, wenn die URL für die Zusammenarbeit zum ersten Mal generiert wird).
Formular-Koautor entfernt RemoveFormCoauthor Der Formularbesitzer löscht einen Link für die Zusammenarbeit.
Angezeigte Antwortseite ViewRuntimeForm Der Benutzer hat eine Antwortseite für die Anzeige geöffnet. Dieses Ereignis wird protokolliert, und zwar unabhängig davon, ob der Benutzer eine Antwort absendet oder nicht.
Erstellte Antwort CreateResponse Ähnlich wie beim Empfang einer neuen Antwort. Ein Benutzer hat eine Antwort auf ein Formular gesendet.

Eigenschaft ResponseId: Zeichenfolge und Eigenschaft ResponderId: Zeichenfolge gibt an, welches Ergebnis angezeigt wird.

Für einen anonymen Antwortgeber ist die ResponderId-Eigenschaft NULL.
Aktualisierte Antwort UpdateResponse Der Formularbesitzer hat einen Kommentar oder eine Bewertung für ein Quiz aktualisiert.

Eigenschaft ResponseId: Zeichenfolge und Eigenschaft ResponderId: Zeichenfolge gibt an, welches Ergebnis angezeigt wird.

Für einen anonymen Antwortgeber ist die ResponderId-Eigenschaft NULL.
Alle Antworten gelöscht DeleteAllResponses Der Formularbesitzer löscht alle Antwortdaten.
Gelöschte Antwort DeleteResponse Der Formularbesitzer löscht eine Antwort.

Eigenschaft ResponseId: Zeichenfolge gibt die gelöschte Antwort an.
Angezeigte Antworten ViewResponses Der Formularbesitzer zeigt die aggregierte Liste der Antworten an.

Property ViewType: Zeichenfolge gibt an, ob der Formularbesitzer das Detail oder Aggregat anzeigt.
Angezeigte Antwort ViewResponse Der Formularbesitzer zeigt eine bestimmte Antwort an.

Eigenschaft ResponseId: Zeichenfolge und Eigenschaft ResponderId: Zeichenfolge gibt an, welches Ergebnis angezeigt wird.

Für einen anonymen Antwortgeber ist die ResponderId-Eigenschaft NULL.
Erstellter Zusammenfassungs-Link GetSummaryLink Der Formularbesitzer erstellt einen Zusammenfassungs-Link, um Ergebnisse freizugeben.
Gelöschte Zusammenfassungs-Link DeleteSummaryLink Der Formularbesitzer löscht den Link für die Zusammenfassungsergebnisse.
Aktualisierter Phishing-Status von Formularen UpdatePhishingStatus Dieses Ereignis wird protokolliert, wenn der detaillierte Wert des internen Sicherheitsstatus geändert wurde, und zwar unabhängig davon, ob dadurch der endgültige Sicherheitsstatus geändert wurde (z. B. Formular ist nun geschlossen oder geöffnet). Dies bedeutet, dass Ihnen möglicherweise doppelte Ereignisse ohne eine endgültige Sicherheitsstatusänderung angezeigt werden. Zu den möglichen Statuswerten für dieses Ereignis gehören:
– Take Down
– Take Down by Admin
– Admin Unblocked
– Auto Blocked
– Auto Unblocked
– Customer Reported
– Reset Customer Reported
Updated user phishing status UpdateUserPhishingStatus Dieses Ereignis wird protokolliert, wenn der Wert für den Sicherheitsstatus des Benutzers geändert wurde. Der Wert des Benutzerstatus im Überwachungsdatensatz ist Confirmed as Phisher, wenn der Benutzer ein Phishing-Formular erstellt hat, das vom Microsoft Online Safety-Team heruntergenommen wurde. Wenn ein Administrator die Sperrung des Benutzers aufhebt, wird der Wert des Benutzerstatus auf Reset as Normal Userfestgelegt.
Versendete Forms-Pro-Einladung ProInvitation Der Benutzer wählt aus, eine Pro-Testversion zu aktivieren.
Aktualisierte Formulareinstellung UpdateFormSetting Der Formularbesitzer aktualisiert eine oder mehrere Formulareinstellungen.

Die Eigenschaft FormSettingName:string gibt den Namen der aktualisierten vertraulichen Einstellungen an. Die Eigenschaft NewFormSettings:string gibt den Namen und den neuen Wert der aktualisierten Einstellungen an. Die Eigenschaft „thankYouMessageContainsLink:boolean“ gibt an, dass die aktualisierte Dankesnachricht einen URL-Link enthält.
Aktualisierte Benutzereinstellung UpdateUserSetting Der Formularbesitzer aktualisiert eine Benutzereinstellung.

Eigenschaft UserSettingName: Zeichenfolge gibt den Namen und neuen Wert der Einstellung an.
Aufgelistete Formulare ListForms Der Formularbesitzer zeigt eine Liste der Formulare an.

Property ViewType: Zeichenfolge gibt an, welche Ansicht der Besitzer betrachtet: Alle Formulare, Mit mir geteilt oder Gruppenformulare.
Gesendete Antwort SubmitResponse Ein Benutzer sendet eine Antwort auf ein Formular.

Eigenschaft IsInternalForm: Boolescher Wert gibt an, ob der Responder der gleichen Organisation angehört wie der Formularbesitzer.
Einstellung für "Jeder kann antworten" aktiviert AllowAnonymousResponse Der Formularbesitzer aktiviert die Einstellung, die es jedem ermöglicht, auf das Formular zu antworten.
Einstellung für "Jeder kann antworten" deaktiviert DisallowAnonymousResponse Der Formularbesitzer deaktiviert die Einstellung, die es jedem ermöglicht, auf das Formular zu antworten.
Einstellung für "Bestimmte Personen können antworten" aktiviert EnableSpecificResponse Der Formularbesitzer aktiviert die Einstellung, die es nur bestimmten Personen oder bestimmten Gruppen in der aktuellen Organisation erlaubt, auf das Formular zu antworten.
Einstellung für "Bestimmte Personen können antworten" deaktiviert DisableSpecificResponse Der Formularbesitzer deaktiviert die Einstellung, die es nur bestimmten Personen oder bestimmten Gruppen in der aktuellen Organisation erlaubt, auf das Formular zu antworten.
Spezifischer Antwortender hinzugefügt AddSpecificResponder Der Formularbesitzer fügt der Liste der spezifischen Antwortenden einen neuen Benutzer oder eine neue Gruppe hinzu.
Bestimmter Antwortender entfernt RemoveSpecificResponder Der Formularbesitzer entfernt einen Benutzer oder eine Gruppe aus der Liste der spezifischen Antwortenden.
"Zusammenarbeit" deaktiviert DisableCollaboration Der Formularbesitzer deaktiviert die Einstellung der Zusammenarbeit im Formular.
"Zusammenarbeit mit Office 365-Arbeits- oder Schulkonten" aktiviert EnableWorkOrSchoolCollaboration Der Formularbesitzer aktiviert die Einstellung, die es Benutzern mit einem Microsoft 365-Geschäfts- oder Schulkonto ermöglicht, das Formular anzuzeigen und zu bearbeiten.
"Zusammenarbeit von Personen in meiner Organisation" aktiviert EnableSameOrgCollaboration Der Formularbesitzer aktiviert die Einstellung, die es Benutzern in der aktuellen Organisation ermöglicht, das Formular anzuzeigen und zu bearbeiten.
"Zusammenarbeit bestimmter Personen" aktiviert EnableSpecificCollaboaration Der Formularbesitzer aktiviert die Einstellung, die es nur bestimmten Personen oder bestimmten Gruppen in der aktuellen Organisation erlaubt, das Formular anzuzeigen und zu bearbeiten.
Mit Excel-Arbeitsmappe verbunden ConnectToExcelWorkbook Das Formular wurde mit einer Excel-Arbeitsmappe verbunden.

Die Eigenschaft ExcelWorkbookLink:string gibt die zugehörige Excel-Arbeitsmappen-ID des aktuellen Formulars an.
Eine Sammlung wurde erstellt CollectionCreated Der Formularbesitzer hat eine Sammlung erstellt.
Eine Sammlung wurde aktualisiert CollectionUpdated Der Formularbesitzer hat eine Sammlungseigenschaft aktualisiert.
Die Sammlung wurde aus dem Papierkorb gelöscht CollectionHardDeleted Der Formularbesitzer hat eine Sammlung aus dem Papierkorb endgültig gelöscht.
Die Sammlung wurde in den Papierkorb verschoben CollectionSoftDeleted Der Formularbesitzer hat eine Sammlung in den Papierkorb verschoben.
Eine Sammlung wurde umbenannt CollectionRenamed Der Formularbesitzer hat den Namen einer Sammlung geändert.
Ein Formular wurde in die Sammlung verschoben MovedFormIntoCollection Der Formularbesitzer hat ein Formular in eine Sammlung verschoben.
Ein Formular wurde aus der Sammlung verschoben MovedFormOutofCollection Der Formularbesitzer hat ein Formular aus einer Sammlung verschoben.

Formular-Aktivitäten, die von Koautoren und anonym Antwortenden durchgeführt werden

Forms unterstützt die Zusammenarbeit beim Entwerfen von Formularen und dem Analysieren der Antworten. Ein Mitwirkender an einem Formular wird als Koautor bezeichnet. Koautoren können alles erledigen, was der Besitzer eines Formulars tun kann, außer das Löschen oder Verschieben eines Formulars. Forms ermöglichen Ihnen außerdem, ein Formular zu erstellen, auf das anonym geantwortet werden kann. Dies bedeutet, dass der Antwortende nicht bei Ihrer Organisation angemeldet sein muss, um auf ein Formular zu antworten.

In der folgenden Tabelle sind die Überwachungsaktivitäten und die Informationen im Überwachungsdatensatz für Aktivitäten beschrieben, die von Koautoren und anonym Antwortenden ausgeführt wurden.

Aktivitätstyp Interner oder externer Benutzer Protokollierte Benutzer-ID Angemeldet bei Organisation Forms-Benutzertyp
Gemeinsame Dokumenterstellung Intern UPN Organisation des Formularbesitzers Koautor
Gemeinsame Dokumenterstellung Extern UPN
Organisation des Koautors
Koautor
Gemeinsame Dokumenterstellung Extern urn:forms:coauthor#a0b1c2d3@forms.office.com
(Der zweite Teil der ID ist ein Hash, der sich für unterschiedliche Benutzer unterscheidet.)
Organisation des Formularbesitzers
Koautor
Antwortaktivitäten Extern UPN
Organisation des Antwortenden
Responder
Antwortaktivitäten Extern urn:forms:external#a0b1c2d3@forms.office.com
(Der zweite Teil der Benutzer-ID ist ein Hash, der sich für unterschiedliche Benutzer unterscheidet.)
Organisation des Formularbesitzers Antwortender
Antwortaktivitäten Anonym urn:forms:anonymous#a0b1c2d3@forms.office.com
(Der zweite Teil der Benutzer-ID ist ein Hash, der sich für unterschiedliche Benutzer unterscheidet.)
Organisation des Formularbesitzers Antwortender

Microsoft Graph Data Connect

In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Microsoft Graph Data Connect aufgeführt, die für die Überwachung protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.

Anzeigename Vorgang Beschreibung
Genehmigt oder verweigert eine App ConsentModificationRequest Ein Benutzer hat eine Zustimmungsänderungsanforderung ausgeführt.
Extraktion ausgeführt DataAccessRequestOperation Ein Benutzer hat eine Extraktion ausgeführt. Partnerdatasets und ISV-Ausführungen sind ausgeschlossen.

Microsoft Planner Aktivitäten

In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Microsoft Planner aufgeführt, die für die Überwachung protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.

Hinweis

Die Portfolioaktivität in Planner wird mit der Microsoft Project für Web-Roadmap-Aktivität protokolliert. Weitere Informationen finden Sie im Abschnitt Microsoft Project für das Web-Aktivitäten.

Anzeigename Vorgang Beschreibung
Lesen eines Plans PlanRead Ein Plan wird von einem Benutzer oder einer App gelesen. Wenn der Lesevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ContainerType ContainerType.Invalid und ContainerId null an.
Erstellen eines Plans PlanCreated Ein Plan wird von einem Benutzer oder einer App erstellt. Wenn der Erstellungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ObjectId null an, ContainerType gibt ContainerType.Invalid und ContainerId null an.
Ändern eines Plans PlanModified Ein Plan wird von einem Benutzer oder einer App geändert.
Einen Plan gelöscht PlanDeleted Ein Plan wird von einem Benutzer oder einer App gelöscht.
Kopiert einen Plan PlanKopiert Ein Plan wird von einem Benutzer oder einer App kopiert. Wenn der Kopiervorgang ein ResultStatus.Failure oder ResultStatus.Failure ist, gibt newPlanId NULL an, newContainerType gibt ContainerType.Invalid und newContainerId null an.
Lesen einer Aufgabe TaskRead Eine Aufgabe wird von einem Benutzer oder einer App gelesen. Wenn der Lesevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt PlanId null an.
Erstellen einer Aufgabe TaskCreated Eine Aufgabe wird von einem Benutzer oder einer App erstellt. Wenn der Erstellungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ObjectId null und PlanId null an.
Ändern einer Aufgabe TaskModified Eine Aufgabe wird von einem Benutzer oder einer App geändert.
Eine Aufgabe wurde gelöscht. TaskDeleted Eine Aufgabe wird von einem Benutzer oder einer App gelöscht.
Aufgabe zugewiesen TaskAssigned Der zugewiesene Benutzer einer Aufgabe wird von einem Benutzer oder einer App geändert. Dies kann eine nicht zugewiesene Aufgabe sein, die zugewiesen wird, oder eine zugewiesene Aufgabe hat einen neuen Zugewiesenen.
Abgeschlossen einer Aufgabe TaskCompleted Eine Aufgabe wird von einem Benutzer oder einer App als abgeschlossen markiert.
Erstellen einer Liste RosterCreated Eine Liste wird von einem Benutzer oder einer App erstellt. Wenn der Erstellungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ObjectId null und MemberIds eine leere Zeichenfolge an.
Eine Liste wurde gelöscht. RosterDeleted Eine Liste wird von einem Benutzer oder einer App gelöscht.
Mitglied(en) zu einer Liste hinzugefügt RosterMemberAdded Ein Element(en) wird einer Liste hinzugefügt. Wenn der Add-Vorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt MemberIds die Liste der versuchten Member-IDs an.
Ein/n Mitglied(en) in einer Liste entfernt RosterMemberDeleted Ein(e) Mitglied(en) wird aus einer Liste entfernt. Wenn der Entfernungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt MemberIds die Liste der versuchten Member-IDs an.
Lesen einer Liste von Plänen PlanListRead Eine Liste von Plänen wird von einem Benutzer oder einer App abgefragt. Wenn der Abfragevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt PlanList eine leere Zeichenfolge an.
Lesen einer Liste von Aufgaben TaskListRead Eine Liste von Aufgaben wird von einem Benutzer oder einer App abgefragt. Wenn der Abfragevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt TaskList eine leere Zeichenfolge an.
Aktualisierte Mandanteneinstellungen TenantSettingsUpdated Mandanteneinstellungen werden von einem Mandantenadministrator aktualisiert. Wenn der Aktualisierungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ObjectId die ursprünglichen Einstellungen an, und TenantSettings gibt die versuchten Mandanteneinstellungen an.
Vertraulichkeitsbezeichnung einer Liste aktualisiert RosterSensitivityLabelUpdated Ein Benutzer oder eine App aktualisiert die Vertraulichkeitsbezeichnung einer Liste.

Microsoft Power Apps-Aktivitäten

Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Power Apps durchsuchen. Diese Aktivitäten umfassen das Erstellen, Starten und Veröffentlichen einer App. Das Zuweisen von Berechtigungen zu Apps wird ebenfalls überwacht. Eine Beschreibung aller Power Apps-Aktivitäten finden Sie unter Aktivitätsprotokollierung für Power Apps.

Hinweis

Überwachungsereignisse von Warnungsrichtlinien (Schutzwarnung) (RecordType:45) werden derzeit für PowerApps nicht unterstützt.

Microsoft Power Automate-Aktivitäten

Sie können das Überwachungsprotokoll nach Aktivitäten in Power Automate (früher Microsoft Flow) durchsuchen. Diese Aktivitäten umfassen das Erstellen, Bearbeiten und Löschen von Flows sowie das Ändern von Flow-Berechtigungen. Informationen zur Überwachung für Power Automate-Aktivitäten finden Sie im Blog Power Automate-Überwachungsereignisse jetzt im Complianceportal verfügbar.

Microsoft Project für das Web-Aktivitäten

Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Project für das Web durchsuchen. Microsoft Project für das Web basiert auf Microsoft Dataverse und verfügt über eine zugeordnete Project Power App. Informationen zum Aktivieren der Überwachung für Szenarien, in denen der Benutzer Microsoft Dataverse oder project Power App verwendet, finden Sie unter Anleitung zur Überwachung der Systemeinstellungen . Eine Liste der Entitäten im Zusammenhang mit Project für das Web finden Sie im Leitfaden Exportieren von Benutzerdaten aus Project für das Web.

Informationen zu Microsoft Project für das Web finden Sie unter Microsoft Project für das Web.

Hinweis

Die Überwachung von Ereignissen für Microsoft Project für das Web-Aktivitäten erfordert eine kostenpflichtige Project Plan 1-Lizenz (oder höher).

Anzeigename Vorgang Beschreibung
Projekt erstellt ProjectCreated Ein Projekt wird von einem Benutzer oder einer App erstellt.
Roadmap erstellt RoadmapCreated Eine Roadmap oder ein Portfolio wird von einem Benutzer oder einer App erstellt.
Erstelltes Roadmapelement RoadmapItemCreated Eine Roadmap oder ein Portfolioelement wird von einem Benutzer oder einer App erstellt.
Erstellte Aufgabe TaskCreated Eine Aufgabe wird von einem Benutzer oder einer App erstellt.
Gelöschtes Projekt ProjectDeleted Ein Projekt wird von einem Benutzer oder einer App gelöscht.
Gelöschte Roadmap RoadmapDeleted Eine Roadmap oder ein Portfolio wird von einem Benutzer oder einer App gelöscht.
Gelöschtes Roadmapelement RoadmapItemDeleted Ein Roadmap- oder Portfolioelement wird von einem Benutzer oder einer App gelöscht.
Gelöschte Aufgabe TaskDeleted Eine Aufgabe wird von einem Benutzer oder einer App gelöscht.
Zugriff auf Projekt ProjectAccessed Ein Projekt wird gelesen oder app verwendet.
Zugriff auf die Projektstartstarts ProjectListAccessed Eine Liste von Projekten und/oder Roadmaps wird von einem Benutzer abgefragt.
Zugriff auf die Roadmap RoadmapAccessed Eine Roadmap oder ein Portfolio wird von einem Benutzer oder einer App gelesen.
Zugriff auf Roadmap-Element RoadmapItemAccessed Ein Roadmap- oder Portfolioelement wird von einem Benutzer oder einer App gelesen.
Zugriff auf die Aufgabe TaskAccessed Eine Aufgabe wird von einem Benutzer oder einer App gelesen.
Aktualisierte Projekteinstellungen ProjectForTheWebProjectSettings Projekteinstellungen werden von einem Administrator aktualisiert.
Aktualisierte Roadmap RoadmapUpdated Eine Roadmap oder ein Portfolio wird von einem Benutzer oder einer App geändert.
Aktualisiertes Roadmapelement RoadmapItemUpdated Eine Roadmap oder ein Portfolioelement wird von einem Benutzer oder einer App geändert.
Aktualisierte Roadmapeinstellungen ProjectForTheWebRoadmaptSettings Roadmap- oder Portfolioeinstellungen werden von einem Administrator aktualisiert.
Aktualisierte Aufgabe TaskUpdated Eine Aufgabe wird von einem Benutzer oder einer App geändert.
Aktualisiertes Projekt ProjectUpdated Ein Projekt wird von einem Benutzer oder einer App geändert.

Microsoft Purview Audit Von Lösungsaktivitäten

In der folgenden Tabelle sind Aktivitäten im Zusammenhang mit Überwachungslösungen im Microsoft Purview-Portal, im Microsoft Purview-Complianceportal und im Graph-API für die Überwachungssuche aufgeführt. Diese Aktivitäten werden unter der Workload SecurityComplianceCenter überwacht. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls.

Überwachungs-Such- und Exportaktivitäten, die mit Search-UnifiedAuditLog ausgeführt werden, werden nicht überwacht.

Anzeigename Vorgang Beschreibung
Überwachungssuche erstellt AuditSearchCreated Eine neue Überwachungssuchanforderung wird übermittelt.
Überwachungssuche abgeschlossen AuditSearchCompleted Ein Überwachungssuchauftrag ist abgeschlossen.
Überwachen der Suche abgebrochen AuditSearchCancelled Ein Überwachungssuchauftrag wird abgebrochen.
Überwachungssuche gelöscht AuditSearchDeleted Ein Überwachungssuchauftrag wird gelöscht.
Überwachen des erstellten Exportauftrags für die Suche AuditSearchExportJobCreated Ein Exportauftrag wird erstellt, um die Suchergebnisse einer Überwachungssuchabfrage zu exportieren.
Überwachen des Abgeschlossenen Exportauftrags für die Suche AuditSearchExportJobCompleted Der Exportauftrag zum Exportieren der Suchergebnisse einer Überwachungssuchabfrage ist abgeschlossen.
Heruntergeladene Suchergebnisse überwachen AuditSearchExportResultsDownloaded Die Suchergebnisse aus einer Überwachungssuchabfrage wurden heruntergeladen.

Microsoft Purview-Governanceaktivitäten

In der folgenden Tabelle sind Microsoft Purview-Governanceaktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen finden Sie unter Microsoft Purview-Governancelösungen.

Anzeigename Vorgang Beschreibung
Ressource oder Entität erstellt EntityCreated Ein neues Medienobjekt oder eine neue Entität wird erstellt oder einer vorhandenen Ressource hinzugefügt.
Klassifizierung hinzugefügt KlassifizierungHinzuadded Fügen Sie Klassifizierungen zur Ressourcenentität hinzu.
Klassifizierungsdefinition erstellt ClassificationDefinitionCreated Erstellen Sie einen Klassifizierungstyp.
Klassifizierungsdefinition gelöscht ClassificationDefinitionDeleted Löschen eines Klassifizierungstyps.
Klassifizierungsdefinition aktualisiert ClassificationDefinitionUpdated Aktualisieren eines Klassifizierungstyps.
Klassifizierung gelöscht ClassificationDeleted Löscht Klassifizierungen aus der Ressourcenentität.
Klassifizierung aktualisiert ClassificationUpdated Aktualisieren sie Klassifizierungen für die Assetentität.
Entität gelöscht EntityDeleted Ein Medienobjekt oder eine Entität wird aus einem vorhandenen Medienobjekt gelöscht.
Entität aktualisiert EntityUpdated Umfasst: Attributaktualisierung, Geschäftsattributaktualisierung, Sammlungsinformationen (nur Sammlungs-ID enthalten), Kontakte aktualisieren, customAttributes, hierarchy, homeId, Bezeichnungen, sourceDetails
Glossarbegriff zugewiesen GlossarTermAssigned Weisen Sie Begriffe der Ressourcenentität zu.
Glossarbegriff erstellt GlossaryTermCreated Erstellen Sie einen Begriff.
Glossarbegriff gelöscht GlossarTermDeleted Löschen eines Begriffs.
Glossarbegriff getrennt GlossarTermDisassociated Heben Sie die Zuordnung von Begriffen zur Objektentität auf.
Glossarbegriff aktualisiert GlossarTermUpdated Aktualisieren eines Begriffs.
Vertraulichkeitsbezeichnung geändert SensitivityLabelChanged Vertraulichkeitsbezeichnung wird hinzugefügt/aktualisiert/gelöscht.

Microsoft Stream-Aktivitäten

Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Stream durchsuchen. Diese Aktivitäten umfassen Videoaktivitäten, die von Benutzern ausgeführt werden, Gruppenkanalaktivitäten und Administratoraktivitäten, beispielsweisedas Verwalten von Benutzern und Organisationseinstellungen sowie das Exportieren von Berichten. Eine Beschreibung dieser Aktivitäten finden Sie im Abschnitt "Aktionen, die in Stream protokolliert werden" in den Überwachungsprotokollen in Microsoft Stream.

Microsoft Teams-Aktivitäten

In der folgenden Tabelle sind Microsoft Teams-Aktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Teams durchsuchen. Microsoft Teams ist ein Arbeitsbereich in Microsoft 365, der das Chatten ermöglicht. Hier werden die Unterhaltungen, Besprechungen, Dateien und Notizen eines Teams an einem Ort zusammengeführt. Ausführlichere Suchanleitungen finden Sie unter Durchsuchen des Überwachungsprotokolls nach Ereignissen in Microsoft Teams.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Anzeigename Vorgang Beschreibung
Bot zum Team hinzugefügt BotAddedToTeam Ein Benutzer fügt einem Team einen Bot hinzu.
Kanal hinzugefügt ChannelAdded Ein Benutzer fügt einem Team einen Kanal hinzu.
Connector hinzugefügt ConnectorAdded Ein Benutzer fügt einen Connector zu einem Kanal hinzu.
Details zu Teams-Besprechung 9 hinzugefügt MeetingDetail Teams hat Informationen zu einer Besprechung hinzugefügt, einschließlich der Startzeit, der Endzeit und der URL für die Teilnahme an der Besprechung.
Informationen zu Besprechungsteilnehmern hinzugefügt 9 MeetingParticipantDetail Teams hat Informationen zu den Teilnehmern einer Besprechung hinzugefügt, einschließlich der Benutzer-ID jedes Teilnehmers, der Zeit, zu der ein Teilnehmer an der Besprechung teilnimmt und die Zeit, zu der ein Teilnehmer die Besprechung verlassen hat.
Mitglieder hinzugefügt 6, 8 MemberAdded Ein Teambesitzer fügt Mitglieder zu einem Team-, Kanal- oder Gruppenchat hinzu.
Registerkarte hinzugefügt TabAdded Ein Benutzer fügt einem Kanal eine Registerkarte hinzu.
Angewendete Vertraulichkeitsbezeichnung SensitivityLabelApplied Ein Benutzer oder Besprechungsorganisator hat eine Vertraulichkeitsbezeichnung auf eine Teams-Besprechung angewendet.
Kanaleinstellung geändert ChannelSettingChanged Der Vorgang "ChannelSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teammitglied ausgeführt werden. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
  • Ändert den Namen eines Teamkanals (Kanalname)
  • Ändert die Beschreibung eines Teamkanals (Kanalbeschreibung)
Organisationseinstellung geändert TeamsTenantSettingChanged Der Vorgang TeamsTenantSettingChanged wird protokolliert, wenn die folgenden Aktivitäten von einem globalen Administrator im Microsoft 365 Admin Center ausgeführt werden. Diese Aktivitäten wirken sich auf organisationsweite Teams-Einstellungen aus. Weitere Informationen finden Sie unter Verwalten von Teams-Einstellungen für Ihre organization.
Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
  • Aktiviert oder deaktiviert Teams für die organization (Microsoft Teams).
  • Aktiviert oder deaktiviert die Interoperabilität zwischen Microsoft Teams und Skype for Business für die organization (Skype for Business Interoperabilität).
  • Aktiviert oder deaktiviert die Organigrammansicht in Microsoft Teams-Clients (Organigrammansicht).
  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, private Besprechungen zu planen (Private Besprechungsplanung).
  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, Kanalbesprechungen zu planen (Kanalbesprechungsplanung).
  • Aktiviert oder deaktiviert Videoanrufe in Teams-Besprechungen (Video für Skype-Besprechungen).
  • Aktiviert oder deaktiviert die Bildschirmfreigabe in Microsoft Teams-Besprechungen für die organization (Bildschirmfreigabe für Skype-Besprechungen).
  • Aktiviert oder deaktiviert diese Möglichkeit, animierte Bilder (giphys genannt) zu Teams-Unterhaltungen (animierte Bilder) hinzuzufügen.
  • Ändert die Inhaltsbewertungseinstellung für die organization (Inhaltsbewertung). Die Inhaltsbewertung beschränkt, welche Arten animierter Bilder in Unterhaltungen angezeigt werden können.
  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, anpassbare Bilder (als benutzerdefinierte Memes bezeichnet) aus dem Internet zu Teamunterhaltungen hinzuzufügen (anpassbare Bilder aus dem Internet).
  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, bearbeitbare Bilder (als Aufkleber bezeichnet) zu Teamunterhaltungen hinzuzufügen (bearbeitbare Bilder).
  • Aktiviert oder deaktiviert diese Möglichkeit für Teammitglieder, Bots in Microsoft Teams-Chats und -Kanälen (organisationsweite Bots) zu verwenden.
  • Aktiviert bestimmte Bots für Microsoft Teams. Davon ausgenommen ist der Teams-Hilfebot „T-Bot“, der verfügbar ist, wenn Bots für die Organisation aktiviert sind (Einzelne Bots).
  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, Erweiterungen oder Registerkarten (Erweiterungen oder Registerkarten) hinzuzufügen.
  • Aktiviert oder deaktiviert das Querladen proprietärer Bots für Microsoft Teams (Querladen von Bots).
  • Aktiviert oder deaktiviert die Möglichkeit für Benutzer, E-Mail-Nachrichten an einen Microsoft Teams-Kanal (Kanal-E-Mail) zu senden.
Rolle von Mitgliedern im Team geändert MemberRoleChanged Ein Teambesitzer ändert die Rolle der Mitglieder in einem Team. Die folgenden Werte geben den Rollentyp an, der dem Benutzer zugewiesen ist.

1 – Gibt die Memberrolle an.
2 – Gibt die Rolle Besitzer an.
3 - Gibt die Gastrolle an.

Die Members-Eigenschaft enthält auch den Namen Ihres organization und die E-Mail-Adresse des Mitglieds.
Teameinstellung geändert TeamSettingChanged Der Vorgang "TeamSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teambesitzer ausgeführt werden. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
  • Ändert den Zugriffstyp für ein Team. Teams können als privat oder öffentlich (Teamzugriffstyp) festgelegt werden. Wenn ein Team privat ist (Standardeinstellung), haben Benutzer nur nach Einladung Zugriff auf das Team. Wenn ein Team öffentlich ist, kann es von allen Benutzern gefunden werden.
  • Ändert die Informationsklassifizierung eines Teams (Teamklassifizierung). Teamdaten können beispielsweise als mit hohen, mittleren oder niedrigen geschäftlichen Auswirkungen klassifiziert werden.
  • Ändert den Namen eines Teams (Teamname).
  • Ändert die Teambeschreibung (Teambeschreibung).
  • Änderungen an Teameinstellungen. Um auf diese Einstellungen zuzugreifen, kann ein Teambesitzer mit der rechten Maustaste auf ein Team klicken, Team verwalten und dann die Registerkarte Einstellungen auswählen. Für diese Aktivitäten wird der Name der geänderten Einstellung in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
Geänderte Vertraulichkeitsbezeichnung SensitivityLabelChanged Ein Benutzer hat eine Vertraulichkeitsbezeichnung in einer Teams-Besprechung geändert.
Erstellen eines Chats 1 ChatCreated Ein Teams-Chat wurde erstellt.
Team erstellt TeamCreated Ein Benutzer erstellt ein Team.
Nachricht gelöscht 2 MessageDeleted Eine Nachricht in einem Chat oder Kanal wurde gelöscht.
Alle organization-Apps gelöscht DeletedAllOrganizationApps Alle organization Apps aus dem Katalog gelöscht.
Gelöschte App AppDeletedFromCatalog Eine App wurde aus dem Katalog gelöscht.
Kanal gelöscht ChannelDeleted Ein Benutzer löscht einen Kanal aus einem Team.
Team gelöscht TeamDeleted Ein Teambesitzer löscht ein Team.
Bearbeiten einer Nachricht mit einem URL-Link in Teams MessageEditedHasLink Ein Benutzer bearbeitet eine Nachricht und fügt ihr in Teams einen URL-Link hinzu.
Exportierte Nachrichten 1,2 MessagesExported Chat- oder Kanalnachrichten wurden exportiert.
Exportierte Aufzeichnungen 1 RecordingExported Chataufzeichnungen wurden exportiert.
Exportierte Transkripte 1 TranscriptsExported Chattranskripte wurden exportiert.
Fehler beim Überprüfen der Einladung an den freigegebenen Kanal 3 FailedValidation Ein Benutzer antwortet auf eine Einladung zu einem freigegebenen Kanal, aber die Überprüfung der Einladung ist fehlgeschlagen.
Abgerufener Chat 1 ChatRetrieved Ein Microsoft Teams-Chat wurde abgerufen.
Alle gehosteten Inhalte einer Nachrichtabgerufen 1 MessageHostedContentsListed Alle gehosteten Inhalte in einer Nachricht, z. B. Bilder oder Codeausschnitte, wurden abgerufen.
App installiert AppInstalled Eine App wurde installiert.
Aktion für Karte ausgeführt PerformenCardAction Ein Benutzer hat eine Aktion für eine adaptive Karte innerhalb eines Chats ausgeführt. Adaptive Karten werden in der Regel von Bots verwendet, um die umfassende Anzeige von Informationen und Interaktionen in Chats zu ermöglichen.

Anmerkung: Nur Inlineeingabeaktionen für eine adaptive Karte innerhalb eines Chats sind im Überwachungsprotokoll verfügbar. Beispielsweise, wenn ein Benutzer eine Umfrageantwort in einer Kanalunterhaltung auf einer adaptiven Karte übermittelt, die von einem Umfragebot generiert wird. Benutzeraktionen wie "Ergebnis anzeigen", durch die ein Dialogfeld geöffnet wird, oder Benutzeraktionen innerhalb von Dialogfeldern sind im Überwachungsprotokoll nicht verfügbar.
Neue Nachricht veröffentlicht 1, 6, 8 MessageSent Eine neue Nachricht wurde in einem Chat oder Kanal veröffentlicht.
Veröffentlichte App AppPublishedToCatalog Dem Katalog wurde eine App hinzugefügt.
Lesen einer Nachricht 1 MessageRead Eine Nachricht eines Chats oder Kanals wurde abgerufen.
Lesen des gehosteten Inhalts einer Nachricht 1 MessageHostedContentRead Gehostete Inhalte in einer Nachricht, z. B. ein Bild oder ein Codeausschnitt, wurden abgerufen.
Bot aus Team entfernt BotRemovedFromTeam Ein Benutzer entfernt einen Bot aus einem Team.
Connector entfernt ConnectorRemoved Ein Benutzer entfernt einen Connector aus einem Kanal.
Entfernte Mitglieder 8 MemberRemoved Ein Teambesitzer entfernt Mitglieder aus einem Team-, Kanal- oder Gruppenchat.
Vertraulichkeitsbezeichnung entfernt SensitivityLabelRemoved Ein Benutzer hat eine Vertraulichkeitsbezeichnung aus einer Teams-Besprechung entfernt.
Freigabe von Teamkanal 3 entfernt TerminatedSharing Ein Team- oder Kanalbesitzer hat die Freigabe für einen freigegebenen Kanal deaktiviert.
Freigabe von Teamkanal 3 wiederhergestellt SharingRestored Ein Team- oder Kanalbesitzer hat die Freigabe für einen freigegebenen Kanal erneut aktiviert.
Registerkarte entfernt TabRemoved Ein Benutzer entfernt eine Registerkarte aus einem Kanal.
Auf Einladung für den freigegebenen Kanal 3 geantwortet EingeladeneAntworten Ein Benutzer hat auf eine Einladung über einen freigegebenen Kanal geantwortet.
Antwort der eingeladenen Person auf freigegebenen Kanal 3 ChannelOwnerResponded Ein Kanalbesitzer hat auf eine Antwort eines Benutzers geantwortet, der auf eine Einladung für einen freigegebenen Kanal geantwortet hat.
Abgerufene Nachrichten 1 MessagesListed Nachrichten aus einem Chat oder Kanal wurden abgerufen.
Senden einer Nachricht mit einem URL-Link in Teams MessageCreatedHasLink Ein Benutzer sendet eine Nachricht mit einem URL-Link in Teams.
Gesendete Änderungsbenachrichtigung zur Nachrichtenerstellung 1 MessageCreatedNotification Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine neue Nachricht zu benachrichtigen.
Gesendete Änderungsbenachrichtigung zum Löschen von Nachrichten 1 MessageDeletedNotification Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine gelöschte Nachricht zu benachrichtigen.
Gesendete Änderungsbenachrichtigung für Meldungsupdate 1 MessageUpdatedNotification Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine aktualisierte Nachricht zu benachrichtigen.
Gesendete Einladung für den freigegebenen Kanal 3 InviteSent Ein Kanalbesitzer oder -mitglied sendet eine Einladung an einen freigegebenen Kanal. Einladungen zu freigegebenen Kanälen können an Personen außerhalb Ihres organization gesendet werden, wenn die Kanalrichtlinie für die Freigabe des Kanals für externe Benutzer konfiguriert ist.
Nachrichtenänderungsbenachrichtigungen abonniert 1 SubscribedToMessages Ein Abonnement wurde von einer Listeneranwendung erstellt, um Änderungsbenachrichtigungen für Nachrichten zu empfangen.
Deinstallierte App AppUninstalled Eine App wurde deinstalliert.
Aktualisierte App AppUpdatedInCatalog Eine App wurde im Katalog aktualisiert.
Chat aktualisiert 1 ChatUpdated Ein Teams-Chat wurde aktualisiert.
Nachricht aktualisiert 1 MessageUpdated Eine Nachricht eines Chats oder Kanals wurde aktualisiert.
Connector aktualisiert ConnectorUpdated Ein Benutzer hat in einem Kanal einen Connector geändert.
Registerkarte aktualisiert TabUpdated Ein Benutzer hat in einem Kanal eine Registerkarte geändert.
Aktualisierte App AppUpgradeed Eine App wurde im Katalog auf die neueste Version aktualisiert.
Benutzer bei Teams angemeldet TeamsSessionStarted Ein Benutzer meldet sich bei einem Microsoft Teams-Client an. Dieses Ereignis erfasst keine Tokenaktualisierungsaktivitäten.
Veröffentlicht Neue Nachricht 3,4,6, 8 MessageSent Eine neue Nachricht wurde in einem Chat oder Kanal gepostet.

Hinweis

1 Ein Überwachungsdatensatz für dieses Ereignis wird nur protokolliert, wenn der Vorgang durch Aufrufen einer Microsoft Graph-API ausgeführt wird. Wenn der Vorgang im Teams-Client ausgeführt wird, wird kein Überwachungsdatensatz protokolliert.
2 Dieses Ereignis ist nur in Audit (Premium) verfügbar. Das bedeutet, dass Benutzern die entsprechende Lizenz zugewiesen werden muss, bevor diese Ereignisse im Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Aktivitäten, die nur in Audit (Premium) verfügbar sind, finden Sie unter Audit (Premium) in Microsoft Purview. Informationen zu Lizenzanforderungen für die Überwachung (Premium) finden Sie unter Überwachungslösungen in Microsoft 365.
3 Dieses Ereignis befindet sich in der öffentlichen Vorschau.
4Dieses Ereignis wird nur für Den Chat generiert, wenn Gäste, Verbundbenutzer und/oder anonyme Benutzer vorhanden sind.
5 Dieses Ereignis ist derzeit nicht in Den Organisationen Government Community Cloud (GCC), Government Community Cloud High (GCC-High) und Department of Defense (DoD) verfügbar.
6 Dieses Ereignis ist in allen teilnehmenden Mandanten für Verbundchats enthalten.
7 Dieses Ereignis enthält Domäneninformationen für 1:1-Verbundchats.
8 Dieses Ereignis ist in allen Chatunterhaltungen zwischen externen Teams-Benutzern enthalten, die von einem organization verwaltet werden, und externen Teams-Benutzern, die nicht von einem organization verwaltet werden.
9 Dieses Ereignis ist derzeit in Government Community Cloud (GCC) nicht verfügbar, ist jedoch in Den Organisationen Government Community Cloud High (GCC-High) und Department of Defense (DoD) verfügbar.

Microsoft Teams-Aktivitäten im Gesundheitswesen

Wenn Ihre Organisation die Patientenanwendung in Microsoft Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der Patienten-App durchsuchen. Wenn Ihre Umgebung so konfiguriert ist, dass die Patienten-App unterstützt wird, steht in der Auswahlliste Aktivitäten eine weitere Aktivitätsgruppe für diese Aktivitäten zur Verfügung.

Microsoft Teams-Aktivitäten im Gesundheitswesen in der Auswahlliste „Aktivitäten“.

Eine Beschreibung der Patienten-App-Aktivitäten finden Sie unter Überwachungsprotokolle für die Patienten-App.

Microsoft Teams Schichten-Aktivitäten

In der folgenden Tabelle sind die Im Microsoft 365-Überwachungsprotokoll protokollierten Aktivitäten der Shift-App in Microsoft Teams aufgeführt. Wenn Ihre Organisation die App Schichten in Microsoft Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der Schichten-App durchsuchen. Wenn Ihre Umgebung so konfiguriert ist, dass die Schichten-App unterstützt wird, steht in der Auswahlliste Aktivitäten eine weitere Aktivitätsgruppe für diese Aktivitäten zur Verfügung.

Anzeigename Vorgang Beschreibung
Planungsgruppe hinzugefügt ScheduleGroupAdded Ein Benutzer fügt dem Zeitplan erfolgreich eine neue Planungsgruppe hinzu.
Bearbeitete Zeitplanungsgruppe ScheduleGroupEdited Ein Benutzer bearbeitet erfolgreich eine Planungsgruppe.
Gelöschte Zeitplanungsgruppe ScheduleGroupDeleted Ein Benutzer löscht erfolgreich eine Zeitplanungsgruppe aus dem Zeitplan.
Zeitplan zurückgezogen ScheduleWithdrawn Ein Benutzer zieht erfolgreich einen veröffentlichten Zeitplan zurück.
Hinzugefügte Verschiebung ShiftAdded Ein Benutzer fügt erfolgreich eine Schicht hinzu.
Bearbeitete Schicht ShiftEdited Ein Benutzer bearbeitet erfolgreich eine Schicht.
Gelöschte Schicht SHIFTDeleted Ein Benutzer löscht erfolgreich eine Schicht.
Hinzugefügte Freizeit TimeOffAdded Ein Benutzer fügt dem Zeitplan erfolgreich freizeitmäßige Zeit hinzu.
Bearbeitete Freizeit TimeOffEdited Ein Benutzer bearbeitet die Freizeit erfolgreich.
Löschzeit TimeOffDeleted Ein Benutzer löscht die Freizeit erfolgreich.
Offene Schicht hinzugefügt OpenShiftAdded Ein Benutzer fügt einer Zeitplanungsgruppe erfolgreich eine offene Schicht hinzu.
Bearbeitete offene Schicht OpenShiftEdited Ein Benutzer bearbeitet erfolgreich eine offene Schicht in einer Planungsgruppe.
Geöffnete Schicht gelöscht OpenShiftDeleted Ein Benutzer löscht erfolgreich eine offene Schicht aus einer Zeitplanungsgruppe.
Freigegebener Zeitplan ScheduleShared Ein Benutzer hat erfolgreich einen Teamzeitplan für einen Datumsbereich freigegeben.
Getaktet mithilfe der Zeituhr ClockedIn Ein Benutzer hat erfolgreich zeitgesteuert die Zeituhr verwendet.
Ausgetaktet mithilfe der Zeituhr ClockedOut Ein Benutzer hat die Zeituhr erfolgreich verwendet.
Pause mithilfe der Zeituhr gestartet BreakStarted Ein Benutzer startet erfolgreich eine Pause während einer aktiven Time Clock-Sitzung.
Beendigung der Pause mithilfe der Zeituhr BreakEnded Ein Benutzer beendet eine Pause während einer aktiven Time Clock-Sitzung erfolgreich.
Zeituhreintrag hinzugefügt TimeClockEntryAdded Ein Benutzer fügt erfolgreich einen neuen manuellen Zeituhreintrag auf der Arbeitszeittabelle hinzu.
Bearbeiteter Zeituhreintrag TimeClockEntryEdited Ein Benutzer bearbeitet erfolgreich einen Zeituhreintrag auf der Arbeitszeittabelle.
Gelöschter Zeituhreintrag TimeClockEntryDeleted Ein Benutzer löscht erfolgreich einen Zeituhreintrag auf der Arbeitszeittabelle.
Schichtanforderung hinzugefügt RequestAdded Ein Benutzer hat eine Schichtanforderung hinzugefügt.
Antwort auf Schichtanforderung RequestRespondedTo Ein Benutzer hat auf eine Schichtanforderung geantwortet.
Abgebrochene Schichtanforderung RequestCancelled Ein Benutzer hat eine Schichtanforderung abgebrochen.
Geänderte Zeitplaneinstellung ScheduleSettingChanged Ein Benutzer ändert eine Einstellung in den Einstellungen für Schichten.
Mitarbeiterintegration hinzugefügt WorkforceIntegrationAdded Die Schichten-App ist in ein Drittanbietersystem integriert.
Meldung "Außerhalb der Schicht akzeptiert" OffShiftDialogAccepted Ein Benutzer bestätigt die Meldung außerhalb der Schicht, nach der Schicht auf Teams zuzugreifen.

Microsoft Teams Updates-Aktivitäten

In der folgenden Tabelle sind Updates-App in Microsoft Teams-Aktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Wenn Ihr organization die Updates-App in Microsoft Teams verwendet, können Sie das Überwachungsprotokoll mithilfe der Updates-App nach Aktivitäten im Zusammenhang mit durchsuchen. Wenn Ihre Umgebung für die Unterstützung von Updates-Apps konfiguriert ist, ist eine zusätzliche Aktivitätsgruppe für diese Aktivitäten in der Auswahlliste Aktivitäten verfügbar.

Anzeigename Vorgang Beschreibung
Erstellen einer Updateanforderung CreateUpdateRequest Ein Benutzer erstellt erfolgreich eine Updateanforderung.
Bearbeiten einer Updateanforderung EditUpdateRequest Ein Benutzer öffnet den Assistenten für die Bearbeitung von Anforderungen und wählt Speichern aus, um Änderungen zu bestätigen und zu speichern, oder aktiviert oder deaktiviert die Updateanforderung direkt.
Übermitteln eines Updates SubmitUpdate Ein Benutzer übermittelt erfolgreich ein Update.
Anzeigen der Details eines Updates ViewUpdate Ein Benutzer zeigt die Details des Updates an.

Microsoft To Do-Aktivitäten

In der folgenden Tabelle sind die Aktivitäten in Microsoft To Do aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Microsoft To Do finden Sie unter Support für Microsoft To Do.

Hinweis

Die Überwachung von Ereignissen für Microsoft To Do-Aktivitäten erfordert zusätzlich zur relevanten Microsoft 365-Lizenz, die Berechtigungen auf Audit (Premium) enthält, eine kostenpflichtige Project Plan 1-Lizenz (oder höher).

Anzeigename Vorgang Beschreibung
Akzeptierter Freigabelink im Ordner AcceptedSharingLinkOnFolder Akzeptierter Freigabelink für einen Ordner.
Anlage erstellt AttachmentCreated Für eine Aufgabe wurde eine Anlage erstellt.
Anlage aktualisiert AttachmentUpdated Eine Anlage wurde aktualisiert.
Anlage gelöscht AttachmentDeleted Eine Anlage wurde gelöscht.
Ordnerfreigabelink freigegeben FolderSharingLinkShared Es wurde ein Freigabelink für einen Ordner erstellt.
Verknüpfte Entität gelöscht LinkedEntityDeleted Eine verknüpfte Entität wurde gelöscht.
Verknüpfte Entität aktualisiert LinkedEntityUpdated Eine verknüpfte Entität wurde aktualisiert.
Verknüpfte Entität erstellt LinkedEntityCreated Eine verknüpfte Entität der Aufgabe wurde erstellt.
SubTask erstellt SubTaskCreated Ein Teilvorgang wurde erstellt.
SubTask gelöscht SubTaskDeleted Ein Teilvorgang wurde gelöscht.
SubTask aktualisiert SubTaskUpdated Ein Teilvorgang wurde aktualisiert.
Aufgabe erstellt TaskCreated Eine Aufgabe wurde erstellt.
Aufgabe gelöscht TaskDeleted Eine Aufgabe wurde gelöscht.
Aufgabenlesevorgang TaskRead Eine Aufgabe wurde gelesen.
Aufgabe aktualisiert TaskUpdated Eine Aufgabe wurde aktualisiert.
TaskList erstellt TaskListCreated Eine Aufgabenliste wurde erstellt.
TaskList lesen TaskListRead Eine Aufgabenliste wurde gelesen.
TaskList aktualisiert TaskListUpdated Eine Aufgabenliste wurde aktualisiert.
Eingeladener Benutzer UserInvited Eingeladener Benutzer in einen Ordner.

Microsoft Viva Insights Aktivitäten

Viva Insights bietet Einblicke in die Zusammenarbeit von Gruppen in Ihren organization. In der folgenden Tabelle sind Aktivitäten aufgeführt, die von Benutzern ausgeführt werden, denen die Rolle "Administrator" oder "Analyst" in Viva Insights zugewiesen ist. Benutzern, denen die Rolle des Analysten zugewiesen ist, haben Vollzugriff auf alle Dienstfunktionen und können das Produkt für Analysen verwenden. Benutzer, denen die Administratorrolle zugewiesen ist, können Datenschutzeinstellungen und Systemstandardeinstellungen konfigurieren und Organisationsdaten in Viva Insights vorbereiten, hochladen und überprüfen. Weitere Informationen finden Sie unter Einführung in Microsoft Viva Insights.

Anzeigename Vorgang Beschreibung
Auf OData-Link zugegriffen AccessedOdataLink Analyst hat auf für eine Abfrage auf den OData-Link zugegriffen.
Delegatzugriff hinzugefügt AddDelegates Ein Benutzer hat Stellvertretungszugriff für organization Insights oder Copilot Dashboard hinzugefügt.
Abfrage abgebrochen CanceledQuery Ein Analyst hat eine laufende Abfrage abgebrochen.
Besprechungsausschluss erstellt MeetingExclusionCreated Ein Analytiker hat eine Ausschlussregel Besprechungen erstellt.
Ergebnis gelöscht DeletedResult Ein Analyst hat ein Abfrageergebnis gelöscht.
Bericht heruntergeladen DownloadedReport Ein Analyst hat eine Abfrageergebnisdatei heruntergeladen.
Abfrage ausgeführt ExecutedQuery Ein Analyst hat eine Abfrage ausgeführt.
Delegatzugriff entfernt RemoveDelegates Ein Benutzer hat den Stellvertretungszugriff für organization Insights oder Copilot Dashboard entfernt.
Datenzugriffseinstellungen aktualisiert UpdatedDataAccessSetting Ein Administrator hat die Datenzugriffseinstellungen aktualisiert.
Datenschutzeinstellung aktualisiert UpdatedPrivacySetting Admin aktualisierten Datenschutzeinstellungen, z. B. minimale Gruppengröße.
Organisationsdaten hochgeladen UploadedOrgData Ein Administrator hat eine Organisationsdatendatei hochgeladen.
Angemeldeter Benutzer* UserLoggedIn Ein Benutzer, der bei seinem Microsoft 365 Benutzerkonto angemeldet ist.
Benutzer abgemeldet* UserLoggedOff Ein Benutzer, der bei seinem Microsoft 365 Benutzerkonto abgemeldet ist.
Explore angezeigt ViewedExplore Ein Analyst hat Visualisierungen in einer oder mehreren Explore-Registerkarten angezeigt.

Hinweis

*Ein Microsoft Entra Anmelde- und Abmeldeaktivitätsereignis wird erstellt, wenn sich ein Benutzer anmeldet. Diese Aktivität wird auch dann protokolliert, wenn Sie Viva Insights in Ihrem organization nicht aktiviert haben. Weitere Informationen zu Benutzeranmeldungsaktivitäten finden Sie unter Anmeldeprotokolle in Microsoft Entra ID.

Persönliche Insights-Aktivitäten

In der folgenden Tabelle sind die Aktivitäten in persönlichen Erkenntnissen aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu persönlichen Erkenntnissen finden Sie unter Admin Leitfaden für persönliche Einblicke.

Anzeigename Vorgang Beschreibung
Aktualisierte MyAnalytics-Einstellungen für die Organisation UpdatedOrganizationMyAnalyticsSettings Admin organization Einstellungen für persönliche Erkenntnisse aktualisiert.
Aktualisierte MyAnalytics-Einstellungen für Benutzer UpdatedUserMyAnalyticsSettings Admin aktualisiert die Benutzereinstellungen für persönliche Erkenntnisse.

Quarantäneaktivitäten

In der nachstehenden Tabelle sind die Quarantäneaktivitäten aufgeführt, nach denen Sie im Überwachungsprotokoll suchen können. Weitere Informationen zur Quarantäne finden Sie unter Isolierte E-Mail-Nachrichten.

Anzeigename Vorgang Beschreibung
Gelöschte Quarantänenachricht QuarantineDeleteMessage Ein Administrator oder Benutzer hat eine E-Mail-Nachricht gelöscht, die als schädlich eingestuft wurde.
Anforderung zur Freigabe von Nachrichten unter Quarantäne verweigert QuarantineReleaseRequestDeny Ein Administrator verweigert eine Freigabeanforderung eines Benutzers für eine E-Mail-Nachricht, die als schädlich eingestuft wurde.
Exportierte Quarantänenachricht QuarantineExport Ein Administrator oder Benutzer hat eine E-Mail-Nachricht exportiert, die als schädlich eingestuft wurde.
In der Vorschau angezeigte Quarantänenachricht QuarantinePreview Ein Administrator oder Benutzer hat eine Vorschau einer E-Mail-Nachricht angezeigt, die als schädlich eingestuft wurde.
Veröffentlichte Quarantänenachricht QuarantineRelease Ein Administrator oder Benutzer hat eine E-Mail-Nachricht aus der Quarantäne freigegeben, die als schädlich eingestuft wurde.
Releaseanforderungsquarantänenachricht QuarantineReleaseRequest Ein Benutzer hat die Freigabe einer E-Mail-Nachricht angefordert, die als schädlich eingestuft wurde.
Angezeigte Kopfzeile einer Nachricht in der Quarantäne QuarantineViewHeader Ein Administrator oder Benutzer hat in der Kopfzeile eine E-Mail-Nachricht angezeigt, die als schädlich eingestuft wurde.

Berichtsaktivitäten

In der folgenden Tabelle sind die Aktivitäten für Nutzungsberichte aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden.

Anzeigename Vorgang Beschreibung
Datenschutzeinstellungen für Nutzungsberichte aktualisiert UpdateUsageReportsPrivacySetting Der Administrator hat die Datenschutzeinstellungen für Nutzungsberichte aktualisiert.

Aufbewahrungsrichtlinie und Aufbewahrungsbezeichnungsaktivitäten

In der folgenden Tabelle werden die Konfigurationsaktivitäten für Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen bei deren Erstellung, Neukonfiguration oder Löschung beschrieben.

Anzeigename Vorgang Beschreibung
Mitgliedschaft im adaptiven Bereich geändert ApplicableAdaptiveScopeChange Benutzer, Websites oder Gruppen wurden dem adaptiven Bereich hinzugefügt oder daraus entfernt. Diese Änderungen sind das Ergebnis der Ausführung der Bereichsabfrage. Da die Änderungen vom System initiiert werden, wird der gemeldete Benutzer als GUID und nicht als Benutzerkonto angezeigt.
Einstellungen für eine Aufbewahrungsrichtlinie konfiguriert NewRetentionComplianceRule Der Administrator hat die Aufbewahrungseinstellungen für eine neue Aufbewahrungsrichtlinie konfiguriert. Die Aufbewahrungseinstellungen umfassen, wie lange Elemente aufbewahrt werden und was mit Elementen geschieht, wenn die Aufbewahrungsfrist abläuft (z. B. Elemente löschen, Elemente aufbewahren oder Elemente aufbewahren und anschließend löschen). Diese Aktivität entspricht auch dem Ausführen des Cmdlets New-RetentionComplianceRule.
Adaptiver Bereich erstellt NewAdaptiveScope Der Administrator hat einen adaptiven Bereich erstellt.
Aufbewahrungsbezeichnung erstellt NewComplianceTag Der Administrator hat eine neue Aufbewahrungsbezeichnung erstellt.
Aufbewahrungsrichtlinie erstellt NewRetentionCompliancePolicy Der Administrator hat eine neue Aufbewahrungsrichtlinie erstellt.
Adaptiver Bereich gelöscht RemoveAdaptiveScope Der Administrator hat einen adaptiven Bereich gelöscht.
Einstellungen für eine Aufbewahrungsrichtlinie gelöscht RemoveRetentionComplianceRule
Der Administrator hat die Konfigurationseinstellungen einer Aufbewahrungsrichtlinie gelöscht. Höchstwahrscheinlich wird diese Aktivität protokolliert, wenn ein Administrator eine Aufbewahrungsrichtlinie löscht oder das Cmdlet Remove-RetentionComplianceRule ausführt.
Aufbewahrungsbezeichnung gelöscht RemoveComplianceTag Der Administrator hat eine Aufbewahrungsbezeichnung gelöscht.
Aufbewahrungsrichtlinie gelöscht RemoveRetentionCompliancePolicy
Der Administrator hat eine Aufbewahrungsrichtlinie gelöscht.
Option "Regulatorischer Datensatz" für Aufbewahrungsbezeichnungen aktiviert
SetRestrictiveRetentionUI Der Administrator hat das Cmdlet Set-RegulatoryComplianceUI ausgeführt, sodass ein Administrator die Option für die Benutzeroberflächenkonfiguration für eine Aufbewahrungsbezeichnung auswählen kann, um Inhalte als regulatorischen Datensatz zu kennzeichnen.
Proaktiv beibehaltenes E-Mail-Element ExchangeDataProactivelyPreserved Der adaptive Schutz hat automatisch eine Aufbewahrungsbezeichnung angewendet, um ein Element in Exchange beizubehalten.
Proaktiv beibehaltene Datei SharePointDataProactivelyPreserved Der adaptive Schutz hat automatisch eine Aufbewahrungsbezeichnung angewendet, um ein Element in SharePoint oder OneDrive beizubehalten.
Adaptiver Bereich aktualisiert SetAdaptiveScope Der Administrator hat die Beschreibung oder Abfrage für einen vorhandenen adaptiven Bereich geändert.
Einstellungen für eine Aufbewahrungsrichtlinie aktualisiert SetRetentionComplianceRule Der Administrator hat die Aufbewahrungseinstellungen für eine vorhandene Aufbewahrungsrichtlinie geändert. Die Aufbewahrungseinstellungen umfassen, wie lange Elemente aufbewahrt werden und was mit Elementen geschieht, wenn die Aufbewahrungsfrist abläuft (z. B. Elemente löschen, Elemente aufbewahren oder Elemente aufbewahren und anschließend löschen). Diese Aktivität entspricht auch dem Ausführen des Cmdlets Set-RetentionComplianceRule.
Aufbewahrungsbezeichnung aktualisiert SetComplianceTag Der Administrator hat eine vorhandene Aufbewahrungsbezeichnung aktualisiert.
Aufbewahrungsrichtlinie aktualisiert SetRetentionCompliancePolicy Der Administrator hat eine vorhandene Aufbewahrungsrichtlinie aktualisiert. Updates, die dieses Ereignis auslösen, sind beispielsweise das Hinzufügen oder Ausschließen von Inhaltsspeicherorten, auf die die Aufbewahrungsrichtlinie angewendet ist.

Rollenverwaltungsaktivitäten

In der folgenden Tabelle sind Microsoft Entra Aktivitäten zur Rollenverwaltung aufgeführt, die protokolliert werden, wenn ein Administrator Administratorrollen im Microsoft 365 Admin Center oder im Azure-Verwaltungsportal verwaltet.

Hinweis

Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( . ). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" ") zu setzen.

Anzeigename Vorgang Beschreibung
Mitglied zu Rolle hinzugefügt Mitglied zu Rolle hinzufügen. Ein Benutzer wurde einer Administratorrolle in Microsoft 365 hinzugefügt.
Benutzer aus einer Directory-Rolle entfernt Mitglied aus Rolle entfernen. Ein Benutzer wurde aus einer Administratorrolle in Microsoft 365 entfernt.
Kontaktinformationen für Unternehmen festgelegt Kontaktinformationen für Unternehmen festlegen. Die Kontakteinstellungen auf Unternehmensebene für Ihre Organisation wurden aktualisiert. Dies umfasst E-Mail-Adressen für Nachrichten in Bezug auf Abonnements, die von Microsoft 365 gesendet werden, sowie technische Benachrichtigungen zu Diensten.

Aktivitäten vertraulicher Informationstypen

In der folgenden Tabelle werden die Überwachungsereignisse für Aktivitäten beschrieben, die das Erstellen und Aktualisieren vertraulicher Informationstypen betreffen.

Anzeigename Vorgang Beschreibung
Neuer vertraulicher Informationstyp erstellt CreateRulePackage/EditRulePackage* Ein neuer vertraulicher Informationstyp wurde erstellt. Dies schließt alle SITs ein, die durch Kopieren eines standardmäßigen SIT erstellt werden.

Hinweis: Diese Aktivität wird unter den Überwachungsaktivitäten "Erstelltes Regelpaket" oder "Bearbeitetes Regelpaket" angezeigt.

Bearbeiten eines vertraulichen Informationstyps EditRulePackage Ein vorhandener vertraulicher Informationstyp wurde bearbeitet. Dies kann Vorgänge wie das Hinzufügen/Entfernen eines Musters und das Bearbeiten des regex/Schlüsselwort (keyword) umfassen, der dem Typ vertraulicher Informationen zugeordnet ist.

Anmerkung: Diese Aktivität wird unter der Überwachungsaktivität "Bearbeitetes Regelpaket" angezeigt.

Ein vertraulicher Informationstyp wurde gelöscht. EditRulePackage/RemoveRulePackage Ein vorhandener vertraulicher Informationstyp wurde gelöscht.

Anmerkung: Diese Aktivität wird unter der Überwachungsaktivität "Bearbeitetes Regelpaket" oder "Regelpaket entfernt" angezeigt.

Vertraulichkeitsbezeichnungsaktivitäten

In der folgenden Tabelle sind Ereignisse aufgeführt, die sich aus der Verwendung von Vertraulichkeitsbezeichnungen mit Websites und Elementen ergeben, die von Microsoft Purview verwaltet werden. Zu den Elementen gehören Dokumente, E-Mails und Kalenderereignisse. Für Richtlinien zur automatischen Bezeichnung enthalten Elemente auch Dateien und schematisierte Datenressourcen in Microsoft Purview Data Map.

Anzeigename Vorgang Beschreibung
Vertraulichkeitsbezeichnung wurde auf Website angewendet SiteSensitivityLabelApplied Eine Vertraulichkeitsbezeichnung wurde auf eine SharePoint-Website oder Teams-Website angewendet, die nicht mit einer Gruppe verbunden ist.
Vertraulichkeitsbezeichnung wurde von Website entfernt SiteSensitivityLabelRemoved Eine Vertraulichkeitsbezeichnung wurde von einer SharePoint-Website oder Teams-Website entfernt, die nicht mit einer Gruppe verbunden ist.
Vertraulichkeitsbezeichnung wurde auf Datei angewendet FileSensitivityLabelApplied

SensitivityLabelApplied
Eine Vertraulichkeitsbezeichnung wurde mithilfe von Microsoft 365-Apps, Office für das Web oder einer Richtlinie für automatische Bezeichnungen auf ein Element angewendet.

Die Vorgänge für diese Aktivität unterscheiden sich je nachdem, wie die Bezeichnung angewendet wurde:
– Office für das Web oder eine Richtlinie für automatische Bezeichnungen (FileSensitivityLabelApplied)
– Microsoft 365-Apps (SensitivityLabelApplied)
Auf Datei angewendete Vertraulichkeitsbezeichnung wurde geändert FileSensitivityLabelChanged

SensitivityLabelUpdated
Auf ein Element wurde eine andere Vertraulichkeitsbezeichnung angewendet.

Die Vorgänge für diese Aktivität unterscheiden sich abhängig davon, wie die Bezeichnung geändert wurde:
– Office für das Web oder eine Richtlinie für automatische Bezeichnungen (FileSensitivityLabelChanged)
– Microsoft 365-Apps (SensitivityLabelUpdated)
Vertraulichkeitsbezeichnung auf einer Website geändert SiteSensitivityLabelChanged Eine andere Vertraulichkeitsbezeichnung wurde auf eine SharePoint-Website oder Teams-Website angewendet, die nicht mit einer Gruppe verbunden ist.
Vertraulichkeitsbezeichnung wurde von Datei entfernt FileSensitivityLabelRemoved

SensitivityLabelRemoved
Eine Vertraulichkeitsbezeichnung wurde mithilfe von Microsoft 365-Apps, Office für das Web, einer Richtlinie für automatische Bezeichnungen oder dem Cmdlet Unlock-SPOSensitivityLabelEncryptedFile aus einem Element entfernt.

Die Vorgänge für diese Aktivität unterscheiden sich je nachdem, wie die Bezeichnung entfernt wurde:
– Office für das Web oder eine Richtlinie für automatische Bezeichnungen (FileSensitivityLabelRemoved)
– Microsoft 365-Apps (SensitivityLabelRemoved)

Zusätzliche Überwachungsinformationen für Vertraulichkeitsbezeichnungen:

SharePoint-Listen Aktivitäten

In der folgenden Tabelle sind die Aktivitäten im Zusammenhang mit der Interaktion zwischen Benutzern und Listenelementen in SharePoint Online beschrieben. Überwachungsdatensätze für einige SharePoint-Aktivitäten geben an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.

Anzeigename Vorgang Beschreibung
Liste erstellt ListCreated Ein Benutzer hat eine SharePoint-Liste erstellt.
Listenspalte erstellt ListColumnCreated Ein Benutzer hat eine Listenspalte in einer SharePoint-Liste erstellt. Eine Listenspalte ist eine Spalte, die mit einer oder mehreren SharePoint-Listen verbunden ist.
Listeninhaltstyp erstellt ListContentTypeCreated Ein Benutzer hat einen Listeninhaltstyp erstellt. Eine Listeninhaltstyp ist ein Inhaltstyp, der mit einer oder mehreren SharePoint-Listen verbunden ist.
Listenelement erstellt ListItemCreated Ein Benutzer hat ein Element in einer vorhandenen SharePoint-Liste erstellt.
Websitespalte erstellt SiteColumnCreated Ein Benutzer hat eine Websitespalte in einer SharePoint-Liste erstellt. Eine Websitespalte ist eine Spalte, die keiner Liste angefügt ist. Eine Websitespalte ist auch eine Metadatenstruktur, die von jeder Liste in einem bestimmten Web verwendet werden kann.
Websiteinhaltstyp erstellt Site ContentTypeCreated Ein Benutzer hat einen Websiteinhaltstyp erstellt. Bei einem Websiteinhaltstyp handelt es sich um einen Inhaltstyp, der mit der übergeordneten Website verknüpft ist.
Liste gelöscht ListDeleted Ein Benutzer hat eine SharePoint-Liste gelöscht.
Listenspalte gelöscht ListColumnDeleted Ein Benutzer hat eine SharePoint-Listenspalte gelöscht.
Listeninhaltstyp gelöscht ListContentTypeDeleted Ein Benutzer hat einen Listeninhaltstyp gelöscht.
Listenelement gelöscht ListItemDeleted Ein Benutzer hat ein Listenelement einer SharePoint-Liste gelöscht.
Websitespalte gelöscht SiteColumnDeleted Ein Benutzer hat eine Websitespalte in einer SharePoint-Liste gelöscht.
Websiteinhaltstyp gelöscht SiteContentTypeDeleted Ein Benutzer hat einen Websiteinhaltstyp gelöscht.
Listenelement in den Papierkorb verschoben ListItemRecycled Ein Benutzer hat ein SharePoint-Listenelement in den Papierkorb verschoben.
Liste wiederhergestellt ListRestored Ein Benutzer hat eine SharePoint-Liste aus dem Papierkorb wiederhergestellt.
Listenelement wiederhergestellt ListItemRestored Ein Benutzer hat ein SharePoint-Listenelement aus dem Papierkorb wiederhergestellt.
Liste aktualisiert ListUpdated Ein Benutzer hat eine SharePoint-Liste aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat.
Listenspalte aktualisiert ListColumnUpdated Ein Benutzer hat eine SharePoint-Listenspalte durch Ändern einer oder mehrerer Eigenschaften aktualisiert.
Listeninhaltstyp aktualisiert ListContentTypeUpdated Ein Benutzer hat einen Listeninhaltstyp aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat.
Listenelement aktualisiert ListItemUpdated Ein Benutzer hat ein SharePoint-Listenelement aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat.
Aktualisierte Listenansicht ListViewUpdated Ein Benutzer hat eine SharePoint-Listenansicht durch Ändern einer oder mehrerer Eigenschaften aktualisiert.
Websitespalte aktualisiert SiteColumnUpdated Ein Benutzer hat eine SharePoint-Websitespalte durch Ändern einer oder mehrerer Eigenschaften aktualisiert.
Websiteinhaltstyp aktualisiert SiteContentTypeUpdated Ein Benutzer hat einen Websiteinhaltstyp aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat.

Freigabe- und Zugriffsanforderungsaktivitäten

In der folgenden Tabelle sind die Freigabe- und Zugriffsanforderungsaktivitäten in SharePoint Online und OneDrive for Business beschrieben. Bei Freigabeereignissen gibt die Spalte Details unter Ergebnisse den Namen des Benutzers oder der Gruppe an, für den oder die das Element freigegeben wurde. Außerdem wird angegeben, ob dieser Benutzer oder diese Gruppe Mitglied oder Gast in Ihrer Organisation ist. Weitere Informationen finden Sie unter Verwenden der Freigabeüberwachung im Überwachungsprotokoll.

Hinweis

Benutzer können entweder Mitglieder oder Gäste sein, basierend auf der UserType-Eigenschaft des Benutzerobjekts. Ein Mitglied ist normalerweise ein Mitarbeiter, ein Gast ist ein Kooperationspartner außerhalb der Organisation. Wenn ein Benutzer eine Freigabeeinladung akzeptiert (und nicht bereits Mitglied Ihrer Organisation ist), wird im Verzeichnis Ihrer Organisation ein Gastkonto für diesen Benutzer erstellt. Nachdem der Gastbenutzer über ein Konto in Ihrem Verzeichnis verfügt, können Ressourcen unmittelbar mit ihm geteilt werden (ohne vorherige Einladung).

Anzeigename Vorgang Beschreibung
Berechtigungsstufe zu Websitesammlung hinzugefügt PermissionLevelAdded Eine Berechtigungsstufe wurde zu einer Websitesammlung hinzugefügt.
Zugriffsanforderung akzeptiert AccessRequestAccepted Eine Zugriffsanforderung für eine Website, einen Ordner oder ein Dokument wurde akzeptiert, und dem anfordernden Benutzer wurde der Zugriff gewährt.
Akzeptierte Freigabeeinladung SharingInvitationAccepted Der Benutzer (Mitglied oder Gast) hat eine Freigabeeinladung akzeptiert, und der Zugriff auf die Ressource wurde gewährt. Dieses Ereignis enthält Informationen zu dem eingeladenen Benutzer sowie die E-Mail-Adresse, die für die Annahme der Einladung verwendet wurde (bei Adressen können unterschiedlich sein). Diese Aktivität wird häufig von einem zweiten Ereignis begleitet, das beschreibt, in welcher Weise dem Benutzer der Zugriff auf die Ressource gewährt wurde, beispielsweise in dem der Benutzer einer Gruppe hinzugefügt wurde, die Zugriff auf die Ressource hat.
Freigabeeinladung gesperrt SharingInvitationBlocked Eine von einem Benutzer in Ihrer Organisation gesendete Freigabeeinladung wird aufgrund einer Richtlinie für externe Freigabe blockiert, die die externe Freigabe auf Basis der Domäne des Empfängers zulässt oder verweigert. In diesem Fall wurde die Freigabeeinladung blockiert, weil:
Die Domäne des Zielbenutzers nicht in der Liste der zulässigen Domänen enthalten ist.
Oder:
Die Domäne des Zielbenutzers in der Liste der blockierten Domänen enthalten ist.
Weitere Informationen zum Zulassen oder Blockieren externer Freigaben basierend auf Domänen finden Sie unter Eingeschränkte Domänenfreigabe in SharePoint Online und OneDrive for Business.
Zugriffsanforderung erstellt AccessRequestCreated Der Benutzer fordert Zugriff auf eine Website, einen Ordner oder ein Dokument an, für deren Zugriff er über keine Berechtigungen verfügt.
Unternehmensweit teilbarer Link erstellt CompanyLinkCreated Ein Benutzer hat einen unternehmensweit teilbaren Link zu einer Ressource erstellt. Unternehmensweite Links können nur von Mitgliedern Ihrer Organisation verwendet werden. Sie können nicht von Gästen genutzt werden.
Anonymer Link erstellt AnonymousLinkCreated Ein Benutzer hat einen anonymen Link zu eine Ressource erstellt. Jeder, der über diesen Link verfügt, kann auf die Ressource zugreifen, ohne sich authentifizieren zu müssen.
Sicherer Link erstellt SecureLinkCreated Für dieses Element wurde ein sicherer Freigabelink erstellt.
Freigabeeinladung erstellt SharingInvitationCreated Ein Benutzer hat eine Ressource in SharePoint Online oder OneDrive for Business mit einem Benutzer geteilt, der sich nicht im Verzeichnis Ihrer Organisation befindet.
Sicherer Link gelöscht SecureLinkDeleted Ein sicherer Freigabelink wurde gelöscht.
Zugriffsanforderung verweigert AccessRequestDenied Eine Zugriffsanforderung auf eine Website, einen Ordner oder ein Dokument wurde verweigert.
Unternehmensweit teilbarer Link entfernt CompanyLinkRemoved Ein Benutzer hat einen unternehmensweit teilbaren zu einer Ressource entfernt. Der Link kann nicht mehr für den Zugriff auf die Ressource verwendet werden.
Anonymer Link entfernt AnonymousLinkRemoved Ein Benutzer hat einen anonymen Link zu eine Ressource entfernt. Der Link kann nicht mehr für den Zugriff auf die Ressource verwendet werden.
Datei, Ordner oder Website freigegeben SharingSet Ein Benutzer (Mitglied oder Gast) hat eine Datei, einen Ordner oder eine Website in SharePoint oder OneDrive for Business mit einem Benutzer im Verzeichnis Ihrer Organisation geteilt. Der Wert in der Spalte Detail für diese Aktivität gibt den Namen des Benutzers an, mit dem die Ressource geteilt wurde, und ob es sich bei diesem Benutzer um ein Mitglied oder einen Gast handelt.

Diese Aktivität wird häufig von einem zweiten Ereignis begleitet, das beschreibt, in welcher Weise dem Benutzer der Zugriff auf die Ressource gewährt wurde. So kann beispielsweise der Benutzer einer Gruppe hinzugefügt werden, die Zugriff auf die Ressource hat.
Zugriffsanforderung aktualisiert AccessRequestUpdated Eine Zugriffsanforderung für ein Element wurde aktualisiert.
Anonymer Link aktualisiert AnonymousLinkUpdated Ein Benutzer hat einen anonymen Link zu eine Ressource aktualisiert. Das aktualisierte Feld wird beim Exportieren der Suchergebnisse in die EventData-Eigenschaft eingeschlossen.
Freigabeeinladung aktualisiert SharingInvitationUpdated Eine externe Freigabeeinladung wurde aktualisiert.
Anonymer Link verwendet AnonymousLinkUsed Ein anonymer Benutzer hat über einen anonymen Link auf eine Ressource zugegriffen. Die Identität des Benutzers ist möglicherweise nicht bekannt, Sie können jedoch andere Details wie die IP-Adresse des Benutzers anzeigen.
Freigabe von Datei, Ordner oder Website aufgehoben SharingRevoked Ein Benutzer (Mitglied oder Gast) hat die Freigabe einer Datei, eines Ordners oder einer Website aufgehoben, die oder der zuvor mit einem anderen Benutzer geteilt wurde.
Unternehmensweit teilbarer Link verwendet CompanyLinkUsed Ein Benutzer hat über einen unternehmensweit teilbaren Link auf eine Ressource zugegriffen.
Sicherer Link verwendet SecureLinkUsed Ein Benutzer hat einen sicheren Link verwendet.
Benutzer zu sicherem Link hinzugefügt AddedToSecureLink Ein Benutzer wurde der Liste der Entitäten hinzugefügt, die einen sicheren Freigabelink verwenden können.
Benutzer wurde aus „sicherer Link“ entfernt RemovedFromSecureLink Ein Benutzer wurde von der Liste der Entitäten entfernt, die einen sicheren Freigabelink verwenden können.
Freigabeeinladung zurückgezogen SharingInvitationRevoked Ein Benutzer hat eine Freigabeeinladung zu einer Ressource zurückgezogen.

Websiteverwaltungsaktivitäten

Die folgende Tabelle enthält die Ereignisse, die aus Websiteverwaltungsaufgaben in SharePoint Online resultieren. Wie bereits erläutert, geben Überwachungsdatensätze für einige SharePoint-Aktivitäten an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Anzeigename Vorgang Beschreibung
Zulässigen Datenspeicherort festgelegt AllowedDataLocationAdded Ein SharePoint- oder globaler Administrator hat einen zulässigen Datenspeicherort in einer Multi-Geo-Umgebung hinzugefügt.
Ausgenommener Benutzer-Agent hinzugefügt ExemptUserAgentSet Ein SharePoint- oder globaler Administrator hat einen Benutzer-Agent zu der Liste der ausgenommenen Benutzer-Agents im SharePoint Admin Center hinzugefügt.
Geografischer Standort-Administrator hinzugefügt GeoAdminAdded Ein SharePoint- oder globaler Administrator hat einen Benutzer als Geo-Administrator eines Standorts hinzugefügt.
Benutzer das Erstellen von Gruppen gestattet AllowGroupCreationSet Der Websiteadministrator oder -besitzer fügt eine Berechtigungsstufe zu einer Website hinzu, die einem Benutzer, dem diese Berechtigung zugewiesen wird, das Erstellen einer Gruppe für diese Website gestattet.
Verschiebung der Websitegeografie abgebrochen SiteGeoMoveCancelled Ein SharePoint- oder globaler Administrator bricht erfolgreich eine Verschiebung der SharePoint-oder OneDrive-Websitegeografie ab. Mit der Multi-Geo-Funktion kann eine Organisation mehrere Microsoft-Rechenzentrumregionen, so genannte Geos, umfassen. Weitere Informationen finden Sie unter Multi-Geo-Funktionen in OneDrive und SharePoint Online.
Freigaberichtlinie geändert SharingPolicyChanged Ein SharePoint- oder globaler Administrator hat eine SharePoint-Freigaberichtlinie mithilfe des Microsoft 365 Admin Center, des SharePoint Online Admin Center oder der SharePoint Online-Verwaltungsshell geändert. Alle Änderungen an den Einstellungen der Freigaberichtlinie in Ihrer Organisation werden protokolliert. Die geänderte Richtlinie wird im Feld ModifiedProperties in den Detailinformationen des Ereignisdatensatzes aufgeführt.
Zugriffsrichtlinie des Geräts geändert DeviceAccessPolicyChanged Ein SharePoint- oder globaler Administrator hat die Richtlinie für nicht verwaltete Geräte in Ihrer Organisation geändert. Diese Richtlinie steuert den Zugriff auf SharePoint, OneDrive und Microsoft 365 von Geräten, die Ihrer Organisation nicht beigetreten sind. Zum Konfigurieren dieser Richtlinie ist ein Enterprise Mobility + Security-Abonnement erforderlich. Weitere Informationen finden Sie unter Steuern des Zugriffs von nicht verwalteten Geräten.
Ausgenommene Benutzer-Agents geändert CustomizeExemptUsers Ein SharePoint- oder globaler Administrator hat die Liste der ausgenommenen Benutzer-Agents im SharePoint Admin Center angepasst. Sie können festlegen, welche Benutzer-Agents vom Empfangen einer gesamten Webseite zum Indizieren ausgenommen werden sollen. Dies bedeutet, dass das Formular als XML-Datei und nicht als gesamte Webseite zurückgegeben wird, wenn ein Benutzer-Agent, den Sie als Ausnahme angegeben haben, auf ein InfoPath-Formular trifft. Dadurch wird die Indizierung von InfoPath-Formularen beschleunigt.
Netzwerkzugriffsrichtlinie geändert NetworkAccessPolicyChanged Ein SharePoint- oder globaler Administrator hat die standortbasierte Zugriffsrichtlinie (auch als „Grenze des vertrauenswürdigen Netzwerks“ bezeichnet) im SharePoint Admin Center oder mithilfe der SharePoint PowerShell geändert. Dieser Richtlinientyp steuert, wer basierend auf von Ihnen festgelegten autorisierten IP-Adressbereichen Zugriff auf SharePoint- und OneDrive-Ressourcen in Ihrer Organisation hat. Weitere Informationen finden Sie unter Steuern des Zugriffs auf SharePoint Online- und OneDrive-Daten auf der Grundlage von definierten Netzwerkspeicherorten.
Abgeschlossener Migrationsauftrag MigrationJobCompleted Ein Migrationsauftrag wurde erfolgreich abgeschlossen.
Verschiebung der Websitegeografie abgeschlossen SiteGeoMoveCompleted Eine von einem globalen Administrator in Ihrer Organisation angesetzte Verschiebung der Websitegeografie wurde erfolgreich abgeschlossen. Mit der Multi-Geo-Funktion kann eine Organisation mehrere Microsoft-Rechenzentrumregionen, so genannte Geos, umfassen. Weitere Informationen finden Sie unter Multi-Geo-Funktionen in OneDrive und SharePoint Online.
Senden-an-Verbindung erstellt SendToConnectionAdded Ein SharePoint- oder globaler Administrator erstellt eine neue Senden-an-Verbindung auf der Verwaltungsseite für Datensätze im SharePoint Admin Center. Mit einer Senden-an-Verbindung werden die Einstellungen für ein Dokumentrepository oder ein Datenarchiv festgelegt. Wenn Sie eine Senden-an-Verbindung erstellen, kann eine Inhaltsorganisation Dokumente an den angegebenen Speicherort übermitteln.
Websitesammlung erstellt SiteCollectionCreated Ein SharePoint- oder globaler Administrator erstellt eine Websitesammlung in Ihrer SharePoint Online-Organisation, oder ein Benutzer stellt seine OneDrive for Business-Website bereit.
Verwaiste Hub-Website gelöscht HubSiteOrphanHubDeleted Ein SharePoint- oder globaler Administrator hat eine verwaiste Hub-Website gelöscht. Es handelt sich dabei um eine Hub-Website, der keine Websites zugeordnet sind. Ein verwaister Hub ist wahrscheinlich durch den Löschvorgang der ursprünglichen Hub-Website entstanden.
Senden-an-Verbindung gelöscht SendToConnectionRemoved Ein SharePoint- oder globaler Administrator löscht eine Senden-an-Verbindung auf der Verwaltungsseite für Datensätze im SharePoint Admin Center.
Website gelöscht SiteDeleted Der Websiteadministrator löscht eine Website.
Dokumentvorschau aktiviert PreviewModeEnabledSet Der Websiteadministrator aktiviert die Dokumentvorschau für eine Website.
Älterer Workflow aktiviert LegacyWorkflowEnabledSet Der Websiteadministrator oder -besitzer fügt den SharePoint 2013-Workflowaufgaben-Inhaltstyp zur Website hinzu. Globale Administratoren können ebenfalls Workflows für die gesamte Organisation im SharePoint Admin Center aktivieren.
Office on Demand aktiviert OfficeOnDemandSet Der Websiteadministrator aktiviert Office on Demand, wodurch Benutzer auf die neueste Version von Office-Desktopanwendungen zugreifen können. Office on Demand wird im SharePoint Admin Center aktiviert und erfordert ein Microsoft 365-Abonnement, bei dem alle Office-Anwendungen installiert werden.
Ergebnisquelle für Personensuchen aktiviert PeopleResultsScopeSet Der Websiteadministrator erstellt die Ergebnisquelle für Personensuchen für eine Website.
RSS-Feeds aktiviert NewsFeedEnabledSet Der Websiteadministrator oder -besitzer aktiviert RSS-Feeds für eine Website. Globale Administratoren können RSS-Feeds für die gesamte Organisation im SharePoint Admin Center aktivieren.
Website mit Hub-Website verbunden HubSiteJoined Der Besitzer einer Website verknüpft seine Website mit einer Hub-Website.
Websitesammlungskontingent geändert SiteCollectionQuotaModified Der Websiteadministrator ändert das Kontingent für eine Websitesammlung.
Hub-Website registriert HubSiteRegistered Ein SharePoint- oder globaler Administrator erstellt eine Hub-Website. Das Ergebnis: Die Website ist als Hub-Website registriert.
Zulässigen Datenspeicherort entfernt AllowedDataLocationDeleted Ein SharePoint- oder globaler Administrator hat einen zulässigen Datenspeicherort aus einer Multi-Geo-Umgebung entfernt.
Geografischer Standort-Administrator entfernt GeoAdminDeleted Ein SharePoint- oder globaler Administrator hat einen Benutzer als Geo-Administrator eines Standorts entfernt.
Website umbenannt SiteRenamed Der Websiteadministrator oder -besitzer benennt eine Website um.
Verschiebung der Websitegeografie geplant SiteGeoMoveScheduled Ein SharePoint- oder globaler Administrator plant erfolgreich eine Verschiebung der SharePoint-oder OneDrive-Websitegeografie. Mit der Multi-Geo-Funktion kann eine Organisation mehrere Microsoft-Rechenzentrumregionen, so genannte Geos, umfassen. Weitere Informationen finden Sie unter Multi-Geo-Funktionen in OneDrive und SharePoint Online.
Hostwebsite festgelegt HostSiteSet Ein SharePoint- oder globaler Administrator ändert die vorgesehene Website zum Hosten persönlicher oder OneDrive for Business-Websites.
Ein Speicherkontingent für einen geografischen Standort wurde konfiguriert GeoQuotaAllocated Ein SharePoint- oder globaler Administrator hat einen zulässigen Datenspeicherort in einer Multi-Geo-Umgebung konfiguriert.
Website von der Hub-Website gelöst HubSiteUnjoined Der Besitzer einer Website löst seine Website von einer Hub-Website.
Registrierung einer Hub-Website entfernt HubSiteUnregistered Ein SharePoint- oder globaler Administrator hat die Registrierung seiner Website als Hub-Website entfernt. Wenn die Registrierung einer Hub-Website aufgehoben wird, funktioniert sie nicht mehr als Hub-Website.

Websiteberechtigungsaktivitäten

In der folgenden Tabelle sind die Ereignisse im Zusammenhang mit dem Zuweisen von Berechtigungen in SharePoint und der Verwendung von Gruppen zum Gewähren (und Widerrufen) des Zugriffs auf Websites aufgelistet. Wie bereits erläutert, geben Überwachungsdatensätze für einige SharePoint-Aktivitäten an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.

Anzeigename Vorgang Beschreibung
Websitesammlungsadministrator hinzugefügt SiteCollectionAdminAdded Der Websitesammlungsadministrator oder -besitzer fügt eine Person als Websitesammlungsadministrator für eine Website hinzu. Websitesammlungsadministratoren verfügen über Vollzugriff für die Websitesammlung und alle Unterwebsites. Diese Aktivität wird ebenfalls protokolliert, wenn ein Administrator sich selbst Zugriff auf das OneDrive-Konto eines Benutzers gewährt (durch Bearbeiten des Benutzerprofils im SharePoint Admin Center oder mithilfe des Microsoft 365 Admin Centers).
Benutzer oder Gruppe zu SharePoint-Gruppe hinzugefügt AddedToGroup Ein Benutzer hat ein Mitglied oder einen Gast zu einer SharePoint-Gruppe hinzugefügt. Dies kann eine beabsichtigte Aktion oder das Ergebnis einer anderen Aktivität wie eines Freigabeereignisses gewesen sein.
Vererbung der Berechtigungsstufe unterbrochen PermissionLevelsInheritanceBroken Ein Element wurde geändert, sodass es die Berechtigungsstufen nicht mehr vom übergeordneten Element erbt.
Vererbung der Freigabe unterbrochen SharingInheritanceBroken Ein Element wurde geändert, sodass es die Freigabeberechtigung nicht mehr vom übergeordneten Element erbt.
Gruppe erstellt GroupAdded Der Websiteadministrator oder -besitzer erstellt eine Gruppe für eine Website oder führt eine Aufgabe aus, die zur Erstellung einer Gruppe führt. Wenn ein Benutzer beispielsweise zum ersten Mal einen Link zum Freigeben einer Datei erstellt, wird eine Systemgruppe zur OneDrive for Business-Website hinzugefügt. Dieses Ereignis kann auch dadurch entstehen, dass ein Benutzer einen Link mit Bearbeitungsberechtigungen für eine freigegebene Datei erstellt.
Gruppe gelöscht GroupRemoved Der Benutzer löscht eine Gruppe von einer Website.
Zugriffsanforderungseinstellungen geändert WebRequestAccessModified Die Einstellungen für die Zugriffsanforderungseinstellungen wurden auf einer-Website geändert.
Einstellung „Mitglieder können teilen“ geändert WebMembersCanShareModified Die Einstellung Mitglieder können freigeben wurde auf einer Website geändert.
Berechtigungsstufe in Websitesammlung geändert PermissionLevelModified Eine Berechtigungsstufe in einer Websitesammlung wurde geändert.
Websiteberechtigungen geändert SitePermissionsModified Der Websiteadministrator oder -besitzer (oder das Systemkonto) ändert die Berechtigungsstufe, die einer Gruppe auf einer Website zugeordnet ist. Diese Aktivität wird ebenfalls protokolliert, wenn alle Berechtigungen für eine Gruppe entfernt werden.

Hinweis: Dieser Vorgang ist in SharePoint Online veraltet. Um verwandte Ereignisse zu finden, können Sie nach anderen Aktivitäten im Zusammenhang mit Berechtigungen suchen, z. B. Websitesammlungsadministrator hinzugefügt, Benutzer oder Gruppe zu SharePoint-Gruppe hinzugefügt, Benutzer darf Gruppen erstellen, Gruppe erstellt oder Gruppe gelöscht.
Berechtigungsstufe aus einer Websitesammlung gelöscht PermissionLevelRemoved Eine Berechtigungsstufe wurde aus einer Websitesammlung gelöscht.
Websitesammlungsadministrator entfernt SiteCollectionAdminRemoved Der Websitesammlungsadministrator oder -besitzer entfernt eine Person als Websitesammlungsadministrator für eine Website. Diese Aktivität wird ebenfalls protokolliert, wenn ein Administrator sich selbst von der Liste der Websitesammlungsadministratoren eines OneDrive-Kontos eines Benutzers entfernt (durch Bearbeiten des Benutzerprofils im SharePoint Admin Center). Um diese Aktivität in den Suchergebnissen des Überwachungsprotokolls zurückzugeben, müssen Sie nach allen Aktivitäten suchen.
Benutzer oder Gruppe aus SharePoint-Gruppe entfernt RemovedFromGroup Ein Benutzer hat ein Mitglied oder einen Gast aus einer SharePoint-Gruppe entfernt. Dies kann eine beabsichtigte Aktion oder das Ergebnis einer anderen Aktivität wie dem Aufheben einer Freigabe gewesen sein.
Website-Administratorberechtigungen angefordert SiteAdminChangeRequest Der Benutzer fordert an, als Websitesammlungsadministrator für eine Websitesammlung hinzugefügt zu werden. Websitesammlungsadministratoren verfügen über Vollzugriff für die Websitesammlung und alle Unterwebsites.
Vererbung der Freigabe wiederhergestellt SharingInheritanceReset Eine Änderung wurde vorgenommen, sodass ein Element die Freigabeberechtigung vom übergeordneten Element erbt.
Gruppe aktualisiert GroupUpdated Der Websiteadministrator oder -besitzer ändert die Einstellungen einer Gruppe für eine Website. Dazu kann das Ändern des Gruppennamens, das Anzeigen oder Bearbeiten der Gruppenmitgliedschaft und die Art der Verarbeitung von Mitgliedsanträgen gehören.

Synchronisierungsaktivitäten

In der folgenden Tabelle sind die Dateisychronisierungsaktivitäten in SharePoint Online und OneDrive for Business beschrieben.

Anzeigename Vorgang Beschreibung
Computer zum Synchronisieren von Dateien zugelassen ManagedSyncClientAllowed Der Benutzer richtet erfolgreich eine Synchronisierungsbeziehung mit einer Website ein. Die Synchronisierungsbeziehung ist erfolgreich, da der Computer des Benutzers Mitglied einer Domäne ist, die zur Liste der Domänen, die in Ihrer Organisation auf Dokumentbibliotheken zugreifen können (auch Liste der sicheren Empfänger genannt), hinzugefügt wurde.

Weitere Informationen zu dieser Funktion finden Sie unter Verwenden von PowerShell-Cmdlets zum Aktivieren der OneDrive-Synchronisierung für Domänen, die in der Liste sicherer Empfänger enthalten sind.
Computer für Synchronisieren von Dateien blockiert UnmanagedSyncClientBlocked Der Benutzer versucht, eine Synchronisierungsbeziehung mit einer Website von einem Computer aus herzustellen, der nicht Mitglied der Domäne Ihres organization ist oder Mitglied einer Domäne ist, die nicht der Liste der Domänen (liste der sicheren Empfänger) hinzugefügt wurde, die auf Dokumentbibliotheken in Ihrem organization zugreifen können. Die Synchronisierungsbeziehung ist nicht zulässig, und der Computer des Benutzers wird daran gehindert, Dateien in einer Dokumentbibliothek zu synchronisieren, herunterzuladen oder hochzuladen.

Informationen zu dieser Funktion finden Sie unter Verwenden von PowerShell-Cmdlets zum Aktivieren der OneDrive-Synchronisierung für Domänen, die in der Liste sicherer Empfänger enthalten sind.
Dateien auf Computer heruntergeladen FileSyncDownloadedFull Eine Datei aus einer SharePoint Dokumentbibliothek oder aus OneDrive for Business wird von einem Benutzer mithilfe der OneDrive-Synchronisierungs-App (OneDrive.exe) auf seinen Computer heruntergeladen.
Dateiänderungen auf Computer heruntergeladen FileSyncDownloadedPartial Dieses Ereignis ist zusammen mit der alten OneDrive for Business-Synchronisierungs-App (Groove.exe) veraltet.
Dateien in Dokumentbibliothek hochgeladen FileSyncUploadedFull Eine Datei aus der SharePoint Dokumentbibliothek oder aus OneDrive for Business wird von einem Benutzer mithilfe der OneDrive-Synchronisierungs-App (OneDrive.exe) auf seinen Computer hochgeladen oder geändert.
Dateiänderungen in Dokumentbibliothek hochgeladen FileSyncUploadedPartial Dieses Ereignis ist zusammen mit der alten OneDrive for Business-Synchronisierungs-App (Groove.exe) veraltet.

SystemSync-Aktivitäten

In der folgenden Tabelle sind die Aktivitäten für SystemSync aufgeführt, die im Microsoft 365-Auditprotokoll protokolliert werden.

Anzeigename Vorgang Beschreibung
Data Share erstellt DataShareCreated Wenn der Datenexport vom Benutzer erstellt wird.
Data Share gelöscht DataShareDeleted Wenn der Datenexport vom Benutzer gelöscht wird.
Generieren einer Kopie von Lake Data GenerateCopyOfLakeData Wenn die Kopie von Lake Data generiert wird.
Kopie von Lake Data herunterladen DownloadCopyOfLakeData Wenn die Kopie von Lake Data heruntergeladen wird.

Benutzerverwaltungsaktivitäten

In der folgenden Tabelle sind Benutzerverwaltungsaktivitäten aufgelistet, die protokolliert werden, wenn ein Administrator ein Benutzerkonto über das Microsoft 365 Admin Center oder das Azure-Verwaltungsportal hinzufügt oder ändert.

Hinweis

Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( . ). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" ") zu setzen.

Aktivität Vorgang Beschreibung
Benutzer hinzugefügt Benutzer hinzufügen. Ein Benutzerkonto wurde erstellt.
Benutzerlizenz geändert Benutzerlizenz ändern. Die einem Benutzer zugewiesene Lizenz wurde geändert. Wenn Sie feststellen möchten, welche Lizenzen geändert wurden, sehen Sie sich die entsprechende Aktivität Benutzer aktualisiert an.
Benutzerkennwort geändert Benutzerkennwort ändern. Ein Benutzer ändert sein Kennwort. Das Zurücksetzen von Kennwörtern durch den Benutzer muss (für alle oder ausgewählte Benutzer) in Ihrer Organisation aktiviert sein, damit Benutzer ihr Kennwort zurücksetzen können. Sie können auch die Self-Service-Kennwortzurücksetzungsaktivität in Microsoft Entra ID nachverfolgen. Weitere Informationen finden Sie unter Berichterstellungsoptionen für Microsoft Entra Kennwortverwaltung.
Benutzer gelöscht Benutzer löschen. Ein Benutzerkonto wurde gelöscht.
Benutzerkennwort zurücksetzen Benutzerkennwort zurücksetzen. Der Administrator setzt das Kennwort für einen Benutzer zurück.
Eigenschaft festgelegt, die einen Benutzer zur Kennwortänderung zwingt Erzwungene Änderung des Benutzerkennworts festlegen. Der Administrator hat die Eigenschaft festgelegt, die einen Benutzer dazu zwingt, sein Kennwort bei der nächsten Anmeldung bei Microsoft 365 zu ändern.
Lizenzeigenschaften festgelegt Lizenzeigenschaften festlegen. Der Administrator ändert die Eigenschaften einer Lizenz, die einem Benutzer zugewiesen ist.
Benutzer aktualisiert Benutzer aktualisieren. Ein Administrator ändert eine oder mehrere Eigenschaften eines Benutzerkontos. Eine Liste der Benutzereigenschaften, die aktualisiert werden können, finden Sie im Abschnitt "Aktualisieren von Benutzerattributen" in Microsoft Entra Überwachungsberichtsereignissen.

Viva Goals Aktivitäten

In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Viva Goals aufgeführt, die für die Überwachung protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.

Durchsuchen Sie die Überwachungsprotokolldetails , wie Sie im Microsoft Purview-Portal und im Complianceportal nach den Überwachungsprotokollen suchen können. Der Benutzer muss ein globaler Administrator sein oder über Leseberechtigungen für die Überwachung verfügen, um auf Überwachungsprotokolle zuzugreifen. Sie können den Filter Aktivitäten verwenden, um nach bestimmten Aktivitäten zu suchen und alle Viva Goals Aktivitäten aufzulisten, die Sie im Filter Datensatztyp "VivaGoals" auswählen können. Sie können auch die Datumsbereichsfelder und die Liste Benutzer verwenden, um die Suchergebnisse weiter einzugrenzen.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Anzeigename Vorgang Beschreibung
Organisation erstellt Organisation erstellt Admin oder der Benutzer hat eine neue organization auf Viva Goals erstellt.
Benutzer hinzugefügt Benutzer hinzugefügt Ein neuer Benutzer wurde einem organization auf Viva Goals hinzugefügt.
Benutzer deaktiviert Benutzer deaktiviert Ein Benutzer wurde in einem organization deaktiviert.
Benutzer gelöscht Benutzer gelöscht Ein Benutzer wurde aus einem organization am Viva Goals gelöscht.
Angemeldeter Benutzer Angemeldeter Benutzer Der Benutzer hat sich bei Viva Goals angemeldet.
Team hinzugefügt Team hinzugefügt Innerhalb eines organization am Viva Goals wurde ein neues Team erstellt.
Team aktualisiert Team aktualisiert Ein Team innerhalb eines organization auf Viva Goals wurde geändert oder aktualisiert.
Team gelöscht Team gelöscht Ein Team innerhalb eines organization auf Viva Goals wurde vom Benutzer gelöscht.
Exportierte Daten Exportierte Daten Ein Benutzer hat eine Liste von OKRs oder eine Liste von Benutzern in einem organization auf Viva Goals exportiert.
Goals Richtlinie aktualisiert Goals Richtlinie aktualisiert Der globale Administrator hat die Richtlinie oder Einstellungen auf Mandantenebene auf Viva Goals geändert. Der globale Administrator hat beispielsweise konfiguriert, wer Organisationen auf Viva Goals erstellen kann.
Organisationseinstellungen aktualisiert Organisationseinstellungen aktualisiert Der Benutzer (in der Regel Organisationsbesitzer oder Administratoren) hat organization spezifischen Einstellungen auf Viva Goals aktualisiert.
Organisationsintegrationen aktualisiert Organisationsintegrationen aktualisiert Der Benutzer (in der Regel Organisationsbesitzer oder Administratoren) hat eine Integration eines Drittanbieters konfiguriert oder eine vorhandene Drittanbieterintegration für eine organization auf Viva Goals aktualisiert.
OKR oder Projekt erstellt OKR oder Projekt erstellt Der Benutzer hat ein OKR oder Project auf Viva Goals erstellt.
OKR oder Projekt aktualisiert OKR oder Projekt aktualisiert Ein OKR/Projekt wurde geändert oder ein Check-In vom Benutzer oder eine Integration auf Viva Goals vorgenommen.
OKR oder Projekt gelöscht OKR oder Projekt gelöscht Der Benutzer hat ein OKR- oder Project-Element gelöscht.
Dashboard erstellt Dashboard erstellt Der Benutzer hat auf Viva Goals eine neue Dashboard erstellt.
Dashboard aktualisiert Dashboard aktualisiert Der Benutzer hat eine Dashboard auf Viva Goals aktualisiert.
Dashboard gelöscht Dashboard gelöscht Der Benutzer hat eine Dashboard auf Viva Goals gelöscht.

Viva Engage Aktivitäten

In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Viva Engage aufgeführt, die im Überwachungsprotokoll protokolliert werden. Um Viva Engage bezogene Aktivitäten aus dem Überwachungsprotokoll zurückzugeben, müssen Sie in der Liste Aktivitätendie Option Ergebnisse für alle Aktivitäten anzeigen auswählen. Verwenden Sie die Datumsbereichsfelder und die Liste Benutzer, um die Suchergebnisse einzuschränken.

Hinweis

Einige Viva Engage Überwachungsaktivitäten sind nur in Audit (Premium) verfügbar. Das bedeutet, dass Benutzern die entsprechende Lizenz zugewiesen werden muss, bevor diese Aktivitäten im Überwachungsprotokoll protokolliert werden. Weitere Informationen finden Sie unter Audit (Premium).For more information, see Audit (Premium). Informationen zu Lizenzanforderungen für die Überwachung (Premium) finden Sie unter Überwachungslösungen in Microsoft 365.

In der folgenden Tabelle sind Überwachungsaktivitäten (Premium) mit einem Sternchen (*) hervorgehoben.

Anzeigename Vorgang Beschreibung
Datenaufbewahrungsrichtlinie geändert SoftDeleteSettingsUpdated Ein bestätigter Administrator ändert die Einstellung der Aufbewahrungsrichtlinie für Netzwerkdaten in "Endgültig Löschen" oder "Vorläufig Löschen". Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden.
Netzwerkkonfiguration geändert NetworkConfigurationUpdated Netzwerk oder verifizierter Administrator ändert die Konfiguration des Viva Engage Netzwerks. Dies schließt das Festlegen des Intervalls zum Exportieren von Daten und das Aktivieren von Chats ein.
Netzwerkprofileinstellungen geändert ProcessProfileFields Ein Netzwerk- oder bestätigter Administrator ändert die Informationen, die für die Netzwerkbenutzer in den Mitgliedsprofilen angezeigt werden.
Modus für private Inhalte geändert SupervisorAdminToggled Der überprüfte Administrator aktiviert oder deaktiviert den Modus für private Inhalte . In diesem Modus kann ein Administrator die Beiträge in privaten Gruppen und die zwischen einzelnen Benutzern (oder Benutzergruppen) ausgetauschten privaten Nachrichten anzeigen. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden.
Sicherheitskonfiguration geändert NetworkSecurityConfigurationUpdated Der überprüfte Administrator aktualisiert die Sicherheitskonfiguration des Viva Engage Netzwerks. Dies schließt das Festlegen von Kennwortablaufrichtlinien und Einschränkungen für IP-Adressen ein. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden.
Datei erstellt FileCreated Ein Benutzer lädt eine Datei hoch.
Gruppe erstellt GroupCreation Der Benutzer erstellt eine Gruppe.
Nachricht erstellt MessageCreation Der Benutzer erstellt eine Nachricht.
Gruppe gelöscht GroupDeletion Eine Gruppe wird aus Viva Engage gelöscht.
Nachricht gelöscht MessageDeleted Ein Benutzer löscht eine Nachricht.
Datei heruntergeladen FileDownloaded Ein Benutzer lädt eine Datei herunter.
Daten exportiert DataExport Überprüfter Administrator exportiert Viva Engage Netzwerkdaten. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden.
Fehler beim Zugriff auf Community CommunityAccessFailure Der Benutzer konnte nicht auf eine Community zugreifen.
Fehler beim Zugriff auf Datei FileAccessFailure Der Benutzer konnte nicht auf eine Datei zugreifen.
Fehler beim Zugriff auf Nachricht MessageAccessFailure Der Benutzer konnte nicht auf eine Nachricht zugreifen.
Auf Nachricht reagiert MarkedMessageChanged Der Benutzer hat auf eine Nachricht reagiert.
Kuratiertes Thema entfernen* RemoveCuratedTopic Der Benutzer entfernt ein kuratiertes Thema.
Datei freigegeben FileShared Ein Benutzer gibt eine Datei für einen anderen Benutzer frei.
Netzwerkbenutzer gesperrt NetworkUserSuspended Ein Netzwerkadministrator oder ein überprüfter Administrator hält einen Benutzer von Viva Engage an (deaktiviert).
Benutzer gesperrt UserSuspension Ein Benutzerkonto wird gesperrt (deaktiviert).
Dateibeschreibung aktualisiert FileUpdateDescription Ein Benutzer ändert die Beschreibung einer Datei.
Dateiname aktualisiert FileUpdateName Ein Benutzer ändert den Namen einer Datei.
Nachricht aktualisiert MessageUpdated Der Benutzer aktualisiert eine Nachricht.
Datei angezeigt FileVisited Ein Benutzer zeigt eine Datei an.
Nachricht angezeigt MessageViewed Der Benutzer zeigt eine Nachricht an.

Viva Pulse-Aktivitäten

In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Viva Pulse aufgeführt, die für die Überwachung protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.

Durchsuchen Sie die Überwachungsprotokolldetails , wie Sie im Microsoft Purview-Portal und im Complianceportal nach den Überwachungsprotokollen suchen können. Der Benutzer muss ein globaler Administrator sein oder über Leseberechtigungen für die Überwachung verfügen, um auf Überwachungsprotokolle zuzugreifen. Sie können den Filter Aktivitäten verwenden, um nach bestimmten Aktivitäten zu suchen und alle Viva Pulse-Aktivitäten aufzulisten, die Sie im FilterDatensatztyp auswählen können. Sie können auch die Datumsbereichsfelder und die Liste Benutzer verwenden, um die Suchergebnisse weiter einzugrenzen.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Anzeigename Vorgang Beschreibung
Vom Benutzer übermittelte Antwort auf eine Pulsumfrage PulseSubmit Admin oder Benutzer haben Feedback zu einer Viva Pulse-Feedbackanfrage bereitgestellt.
Der Benutzer hat eine Pulse-Umfrage erstellt. PulseCreate Es wird eine neue Viva Pulse-Feedbackanforderung erstellt.
Benutzer hat seine Frist für die Pulsumfrage verlängert PulseExtendDeadline Die Frist für die bestehende Viva Pulse-Feedbackanfrage wurde verlängert.
Benutzer hat zusätzliche Benutzer zur Pulse-Umfrage eingeladen PulseInvite Weitere Benutzer wurden zu einer vorhandenen Viva Pulse-Feedbackanfrage eingeladen.
Der Benutzer hat eine Pulse-Umfrage abgebrochen. PulseCancel Der Benutzer hat eine Pulse-Umfrage abgebrochen.
Ein Benutzer hat einen Pulsbericht geteilt PulseShareResults Viva Pulse-Feedbackergebnis wurde für Benutzer freigegeben.
Der Benutzer hat einen Pulse-Entwurf erstellt. PulseCreateDraft Der Benutzer hat einen Pulse-Entwurf erstellt.
Der Benutzer hat einen Pulse-Entwurf gelöscht. PulseDeleteDraft Der Benutzer hat einen Pulse-Entwurf gelöscht.
Admin die Daten eines Benutzers gelöscht PulseDeleteUserData Admin die Daten eines Benutzers gelöscht.
Admin aktualisierten Mandanteneinstellungen PulseTenantSettingsUpdate Admin eine organization-Einstellung für Viva Pulse aktualisiert.

Windows 365 Kunden-Lockbox-Aktivitäten

In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Windows 365 Kunden-Lockbox aufgeführt, die im Überwachungsprotokoll protokolliert werden. Wählen Sie windows365CustomerLockbox unter Datensatztypen aus, um Windows 365 Kunden-Lockbox-bezogene Aktivitäten aus dem Überwachungsprotokoll zurückzugeben. Verwenden Sie die Datumsbereichsfelder und die Liste Benutzer, um die Suchergebnisse einzuschränken.

Anzeigename Vorgang Beschreibung
Auslösen der Gerätewartung Auslösen der Gerätewartung Lösen Sie die Gerätewartung aus.
Hochladen des Ordners in ein Blob Hochladen des Ordners in ein Blob Komprimieren Sie den Ordner des Kundengeräts, und laden Sie diesen in ein Blob hoch.
Überprüfen der PowerShell-Ausführungsrichtlinie Überprüfen der PowerShell-Ausführungsrichtlinie Überprüfen Sie die PowerShell-Ausführungsrichtlinie.
Installieren des RD-Agents Installieren des RD-Agents Installieren Sie den RD-Agent auf dem Gerät des Benutzers.
Ausführen einer hybriden AADJ-Erweiterung Ausführen einer hybriden AADJ-Erweiterung Führen Sie die hybride AADJ-Erweiterung auf dem Gerät des Benutzers aus.
Erstellen einer VmExtension-Anforderung Erstellen einer VmExtention-Anforderung Erstellt VM-Erweiterungsanforderungen zum Ausführen der VM-Erweiterung, um benutzerdefinierte Skripts auf dem Kundengerät auszuführen.
Triggerorchestrator Triggerorchestrator Triggerorchestrator für den Benutzer.
Auslösen einer generischen Aktion durch SaaF Auslösen einer generischen Aktion durch SaaF Auslösen einer Geräteaktion (Retargeting, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) für den Benutzer.
Generische Aktion auslösen Generische Aktion auslösen Lösen Sie die Geräteaktion für den Benutzer aus.
Auslösen einer generischen Aktion mit Optionen Auslösen einer generischen Aktion mit Optionen Auslösen einer Geräteaktion mit Optionsparametern, die leistungsfähiger sind als die generische Triggeraktion.
Erstellen neuer Arbeitselemente (Scheduler) Erstellen neuer Arbeitselemente (Scheduler) Erstellen Sie neue Arbeitselemente, z. B. Bereitstellen, Aufheben der Bereitstellung, Erneute Bereitstellung usw.
Remoteaktionsvorgang nach der Remoteaktion Remoteaktionsvorgang nach der Remoteaktion Nach der Remoteaktion plus Abrufen des Ergebnisses per GetActions-Vorgang.
OCE-Ausführungsbefehle auf einem virtuellen Computer OCE-Ausführungsbefehle auf einem virtuellen Computer Führen Sie Befehle nach tenantID, deviceID list und script aus.
LogCollection-Anforderung erstellen LogCollection-Anforderung erstellen Erstellen Sie eine Protokollsammlungsanforderung für Cloud-PC.
Auslösen der Canary-Überprüfung des CMD-Agents. Auslösen der Canary-Überprüfung des CMD-Agents. Auslösen der Canary-Überprüfung des CMD-Agents auf einem bestimmten Gerät.
Ausführen von AppHealthPlugin Ausführen von AppHealthPlugin Führen Sie AppHealthPlugin aus.
Backfill CMD-Agent AddDevicesToBackfill-Vorgang Backfill CMD-Agent auf Cloud-PC.
Erneutes Installieren des CMD-Agents AddDevicesToReinstall-Vorgang Installieren Sie den CMD-Agent bei Bedarf neu.
Masseninstallation des CMD-Agents TriggerClientAgentCheckBulkAction-Vorgang Masseninstallation des CMD-Agents bei Bedarf.
Erstellen eines Remoteaktionsvorgangs in ActionModeratorService Erstellen eines Remoteaktionsvorgangs in ActionModeratorService Erstellen Sie eine Remoteaktion nach tenantID, workspaceID, actionType, actionParameters.