Действия в журнале аудита

В таблицах этой статьи описаны действия, которые проверяются в Microsoft 365. Эти действия можно найти в журнале аудита на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview.

В этих таблицах группируются связанные действия или действия определенной службы. Таблицы содержат понятное имя, которое отображается в раскрывающемся списке Действия (или доступно в PowerShell), а также имя соответствующей операции, которая отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска. Подробные сведения см. в разделе Подробные свойства журнала аудита.

Совет

Выберите одну из ссылок в списке В этой статье в верхней части этой статьи, чтобы перейти непосредственно к определенной таблице продуктов.

Действия, связанные с администрированием приложений

В следующей таблице перечислены действия администратора приложений, которые регистрируются при добавлении или изменении приложения, зарегистрированного в Microsoft Entra ID. Любое приложение, использующее Microsoft Entra ID для проверки подлинности, должно быть зарегистрировано в каталоге.

Примечание.

Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").

Понятное имя Операция Описание
Добавлена запись делегирования Добавление записи делегирования. Разрешение на проверку подлинности было создано или предоставлено приложению в Microsoft Entra ID.
Добавлен субъект-служба Добавление субъекта-службы. Приложение зарегистрировано в Microsoft Entra ID. Приложение представлено в каталоге субъектом-службой.
Добавлены учетные данные для субъекта-службы Добавление учетных данных субъекта-службы. Учетные данные были добавлены в субъект-службу в Microsoft Entra ID. Приложение представлено в каталоге субъектом-службой.
Удалена запись делегирования Удаление записи делегирования. Разрешение на проверку подлинности было удалено из приложения в Microsoft Entra ID.
Из каталога удален субъект-служба Удаление субъекта-службы. Приложение было удалено или отменено из Microsoft Entra ID. Приложение представлено в каталоге субъектом-службой.
Учетные данные удалены из субъекта-службы Удаление учетных данных субъекта-службы. Учетные данные были удалены из субъекта-службы в Microsoft Entra ID. Приложение представлено в каталоге субъектом-службой.
Задана запись делегирования Настройка записи делегирования. Для приложения в Microsoft Entra ID обновлено разрешение на проверку подлинности.

Действия с письмом сводки дел

В следующей таблице перечислены действия в сообщении о брифинге, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о письме со сводкой дел см. в перечисленных ниже статьях.

Понятное имя Операция Описание
Обновлены параметры конфиденциальности организации UpdatedOrganizationBriefingSettings Администратор обновляет параметры конфиденциальности организации для письма со сводкой дел.
Обновлены параметры конфиденциальности пользователей UpdatedUserBriefingSettings Администратор обновляет параметры конфиденциальности пользователей для письма со сводкой дел.

Действия по обеспечению соответствия требованиям к обмену данными

В таблице ниже перечислены действия по обеспечению соответствия требованиям к обмену данными, зарегистрированные в журнале аудита Microsoft 365. Дополнительные сведения см. в статье Сведения о Соответствие требованиям к обмену данными Microsoft Purview.

Примечание.

Эти действия доступны при использовании командлета PowerShell Search-UnifiedAuditLog . Эти действия недоступны в раскрывающемся списке Действия .

Понятное имя Операция Описание
Обновление политики SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted Администратор соответствия требованиям к обмену данными обновил политику.
Соответствие политике SupervisionRuleMatch Пользователь отправил сообщение, которое соответствует условию политики.
Применен тег к сообщениям SupervisoryReviewTag К сообщениям применены теги или сообщения разрешены.

Действия диспетчера соответствия требованиям

В следующей таблице перечислены операции и действия, которые регистрируются, когда администратор управляет параметрами в диспетчере соответствия требованиям. Дополнительные сведения см. в статье Сведения о диспетчере соответствия требованиям.

Понятное имя Операция Описание
Изменение ролей ComplianceManagerRolesChange Администратор изменил роли для пользователей.
Изменение уровня автоматизации клиента ComplianceManagerAutomationLevelChange Администратор изменил уровень автоматизации для клиента во всех действиях.
Тестирование изменений в службе автоматизации источника ComplianceManagerAutomationChange Администратор изменил параметры автоматизации источника тестирования.

Действия, связанные с обозревателем содержимого

В следующей таблице перечислены действия в проводнике контента, которые зарегистрированы в журнале аудита. Обозреватель содержимого, доступ к которому осуществляется с помощью средства классификации данных на портале Microsoft Purview и на портале соответствия требованиям. Дополнительные сведения см. в статье Использование обозревателя содержимого с классификацией данных

Понятное имя Операция Описание
Получен доступ к элементу LabelContentExplorerAccessedItem Администратор (или пользователь, который является участником группы с ролью Читателя содержимого в обозревателе содержимого) использует обозреватель содержимого для просмотра сообщения электронной почты или документа SharePoint/OneDrive.

Мероприятия Copilot

В следующей таблице перечислены действия Microsoft 365 Copilot и Microsoft Copilot, зарегистрированные в журнале аудита. Доступ к Copilot можно получить в службах Майкрософт. Действия включают, как и когда пользователи взаимодействуют с Copilot. К ним относятся служба Майкрософт, в которой произошло действие, и ссылки на файлы, к которому был доступ во время взаимодействия. Дополнительные сведения о событиях взаимодействия Copilot и примере схемы см. в статье Обзор событий взаимодействия с Copilot.

Чтобы получить доступ к тексту из запроса пользователя во время взаимодействия, см. раздел Поиск контента или просмотр события взаимодействия СИ из обозревателя действий в Microsoft Purview Центр ИИ.

Дополнительные сведения об аудите и других вариантах управления соответствием для Copilot см. в статье Microsoft Purview поддерживает управление соответствием для Copilot.

Понятное имя Операция Описание
Создан новый подключаемый модуль Copilot CreateCopilotPlugin Пользователь (или администратор или система от имени пользователя) создал новый подключаемый модуль Copilot.
Создан новый сборник подсказок Copilot CreateCopilotPromptBook Пользователь (или администратор или система от имени пользователя) создал новую книгу подсказок в Copilot.
Удален подключаемый модуль Copilot DeleteCopilotPlugin Пользователь (или администратор или система от имени пользователя) удалил подключаемый модуль Copilot.
Удалена книга подсказок Copilot DeleteCopilotPromptBook Пользователь (администратор или система от имени пользователя) удалил книгу подсказок Copilot.
Отключен подключаемый модуль Copilot DisableCopilotPlugin Пользователь (администратор или система от имени пользователя) отключил подключаемый модуль Copilot.
Отключение модуля командной строки Copilot DisableCopilotPromptBook Пользователь (или администратор или система от имени пользователя) отключил сборник подсказок Copilot.
Включен подключаемый модуль Copilot EnableCopilotPlugin Пользователь (администратор или система от имени пользователя) включил подключаемый модуль Copilot.
Включен модуль командной строки Copilot EnableCopilotPromptBook Пользователь (администратор или система от имени пользователя) включил сборник подсказок Copilot.
Взаимодействие с Copilot CopilotInteraction Пользователь (или администратор или система от имени пользователя) ввел запросы в Copilot.
Обновлен параметр подключаемого модуля Copilot UpdateCopilotPlugin Пользователь (администратор или система от имени пользователя) обновил параметр подключаемого модуля Copilot.
Обновлен параметр модуля командной строки Copilot UpdateCopilotPromptBook Пользователь (или администратор или система от имени пользователя) обновил параметр модуля командной строки Copilot.
Обновлен параметр Copilot UpdateCopilotSettings Администратор (или система от имени администратора) обновил параметр Copilot.

Действия, связанные с администрированием каталогов

В следующей таблице перечислены Microsoft Entra действия, связанные с каталогом и доменом, которые регистрируются, когда администратор управляет своей организацией в Центр администрирования Microsoft 365 или на портале управления Azure.

Примечание.

Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").

Понятное имя Операция Описание
В компанию добавлен домен Добавление домена в компанию. Добавлен домен в вашу организацию.
В каталог добавлен партнер Добавление партнера компании. Добавил партнера (делегированного администратора) в вашу организацию.
Домен удален из компании Удаление домена из компании. Удален домен из вашей организации.
Партнер удален из каталога Удаление партнера из компании. Удален партнер (делегированный администратор) из вашей организации.
Настройка сведений о компании Настройка сведений о компании. Обновлена информация о компании для вашей организации. Включает адреса электронной почты, связанные с подпиской, отправляемые Microsoft 365, и технические уведомления о службах Microsoft 365.
Установка проверки подлинности домена Установка проверки подлинности домена. Изменены настройки проверки подлинности домена для вашей организации.
Обновлены параметры федерации для домена Настройка параметров федерации для домена. Изменены параметры федерации (внешнего обмена) для вашей организации.
Настройка политики паролей Настройка политики паролей. Изменены ограничения длины и символов для пользовательских паролей в вашей организации.
Включена Azure AD Sync Настройка флага DirSyncEnabled для компании. Настроено свойство, включающее синхронизацию Azure AD для каталога.
Обновлен домен Обновление домена. Обновлены настройки домена в вашей организации.
Проверен домен Проверка домена. Выполнена проверка того, является ли ваша организация владельцем домена.
Проверены почта и домен Проверка домена, проверенного по электронной почте. Выполнена проверка по электронной почте, чтобы выяснить, является ли ваша организация владельцем домена.

Действия по проверке перед ликвидацией

В следующей таблице перечислены действия, которые рецензент ликвидации выполнял , когда элемент достиг окончания настроенного срока хранения или элемент был автоматически перемещен на следующий этап ликвидации или окончательно удален в результате автоматического утверждения.

Понятное имя Операция Описание
Одобренная ликвидация ApproveDisposal Для утверждения вручную. Рецензент ликвидации утвердил ликвидацию элемента, чтобы переместить его на следующий этап ликвидации. Если элемент находился в единственной или последней стадии проверки перед ликвидацией, утверждение ликвидации помечает элемент как подходящий для окончательного удаления.

Для автоматического утверждения: в течение настроенного периода времени автоматического утверждения не было выполнено никаких действий вручную, поэтому элемент автоматически переместился на следующий этап ликвидации. Если элемент находился на единственном или заключительном этапе проверки ликвидации, он автоматически становился право на окончательное удаление.
Продленный период хранения ExtendRetention Проверяющий ликвидации продлил период хранения элемента.
Элемент с переназначенной меткой RelabelItem Проверяющий ликвидации переназначил метку хранения.
Добавленные проверяющие AddReviewer Проверяющий ликвидации добавил одного или несколько других пользователей в текущую стадию проверки перед ликвидацией.

Действия, связанные с обнаружением электронных данных

Действия, связанные с поиском контента и обнаружением электронных данных (для Microsoft Purview eDiscovery (стандартный) и Microsoft Purview eDiscovery (Премиум)), выполняемые на портале Microsoft Purview, Портал соответствия требованиям Microsoft Purview или выполнив соответствующие командлеты PowerShell, регистрируются в журнале аудита. События регистрируются, когда администраторы или менеджеры по обнаружению электронных данных (или любые назначенные пользователем разрешения на обнаружение электронных данных) выполняют следующие задачи поиска контента и обнаружения электронных данных (стандартный) на порталах:

  • Создание случаев обнаружения электронных данных (standard) и eDiscovery (премиум) и управление ими.
  • Создание, запуск и редактирование поиска контента.
  • Выполнение действий поиска, таких как предварительный просмотр, экспорт и удаление результатов поиска.
  • Управление хранителями и наборами проверки в eDiscovery (премиум).
  • Настройка фильтрации разрешений для поиска контента.
  • Управление ролью администратора обнаружения электронных данных.

Дополнительные сведения о поиске в журнале аудита, необходимых разрешениях и экспорте результатов поиска см. в разделе Поиск в журнале аудита.

Примечание.

Действия, которые отображаются в результатах поиска в разделе Действия обнаружения электронных данных и Действия eDiscovery (премиум) в раскрывающемся списке Действия , занимает до 30 минут. В то же время для отображения в результатах поиска соответствующих событий из действий командлета eDiscovery требуется 24 часа.

Действия по поиску содержимого и обнаружению электронных данных (стандарт)

В следующей таблице описаны действия поиска контента и обнаружения электронных данных (standard), которые регистрируются при выполнении администратором или менеджером eDiscovery действий, связанных с обнаружением электронных данных, с помощью портала соответствия требованиям. Некоторые действия, выполненные в eDiscovery (Премиум), могут возвращаться при поиске действий в этом списке.

Примечание.

Действия обнаружения электронных данных, описанные в этом разделе, содержат аналогичную информацию действиям командлета eDiscovery, описанным в следующем разделе. Мы рекомендуем использовать действия обнаружения электронных данных, описанные в этом разделе, так как они появятся в результатах поиска по журналу аудита в течение 30 минут. Действия командлета eDiscovery могут отображаться в результатах поиска в журнале аудита до 24 часов.

Понятное имя Операция Соответствующий командлет Описание
Добавлен член в дело обнаружения электронных данных
CaseMemberAdded
Add-ComplianceCaseMember
Пользователь был добавлен в качестве участника дела обнаружения электронных данных. Как участник дела пользователь может выполнять различные задачи, связанные с делом, в зависимости от того, назначены ли ему необходимые разрешения.
Изменен поиск содержимого
SearchUpdated
Set-ComplianceSearch
Существующий поиск контента был изменен. Изменения могут включать добавление или удаление расположений содержимого или изменение поискового запроса.
Изменено членство администратора обнаружения электронных данных
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
Список администраторов обнаружения электронных данных в организации был изменен. Это действие регистрируется, когда список администраторов обнаружения электронных данных заменяется группой новых пользователей. При добавлении или удалении одного пользователя регистрируется операция CaseAdminAdded.
Изменен случай обнаружения электронных данных
CaseUpdated
Set-ComplianceCase
Был изменен случай обнаружения электронных данных. Изменения включают закрытие открытого дела или повторное открытие закрытого дела.
Изменено членство в деле обнаружения электронных данных
CaseMemberUpdated
Update-ComplianceCaseMember
Список участников дела обнаружения электронных данных был изменен. Это действие регистрируется, когда все члены заменяются группой новых пользователей. При добавлении или удалении одного элемента регистрируется операция CaseMemberAdded или CaseMemberRemoved.
Изменен фильтр разрешений для поиска
SearchPermissionUpdated
Set-ComplianceSecurityFilter
Изменен фильтр разрешений для поиска.
Изменен поисковый запрос для хранения дела обнаружения электронных данных
HoldUpdated
Set-CaseHoldRule
Удержание на основе запроса, связанное с делом обнаружения электронных данных, было изменено. Возможные изменения включают изменение запроса или диапазона дат для удержания на основе запроса.
Скачан элемент предварительного просмотра поиска контента
PreviewItemСкачать
Недоступно
Пользователь скачал элемент на локальный компьютер (щелкнув ссылку Скачать исходный элемент ) при просмотре результатов поиска.
Элемент предварительного просмотра поиска контента
PreviewItemListed
Н/Д
Пользователь выбрал предварительный просмотр результатов поиска , чтобы отобразить страницу предварительных результатов поиска, на которой перечислены до 1000 элементов из результатов поиска.
Поиск созданного содержимого
SearchCreated
New-ComplianceSearch
Создан новый поиск контента.
Создан администратор обнаружения электронных данных
CaseAdminAdded
Add-eDiscoveryCaseAdmin
Пользователь был добавлен в качестве администратора обнаружения электронных данных в организации.
Созданный случай обнаружения электронных данных
CaseAdded
New-ComplianceCase
Был создан случай обнаружения электронных данных. При создании дела необходимо только присвоить ему имя. Другие задачи, связанные с делом, такие как добавление членов, создание удержаний и создание поиска контента, связанных с делом, приводят к регистрации дополнительных событий.
Фильтр разрешений для созданного поиска
SearchPermissionCreated
New-ComplianceSecurityFilter
Создан фильтр разрешений для поиска.
Созданный поисковый запрос для удержания дела обнаружения электронных данных
HoldCreated
New-CaseHoldRule
Создано удержание на основе запроса, связанное с делом обнаружения электронных данных.
Поиск удаленного содержимого
Поиск Удалено
Remove-ComplianceSearch
Существующий поиск контента удален.
Удаленный администратор обнаружения электронных данных
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
Администратор обнаружения электронных данных был удален из вашей организации.
Удаленный случай обнаружения электронных данных
Удаление регистра
Remove-ComplianceCase
Удален случай обнаружения электронных данных. Все удержания, связанные с делом, должны быть удалены, прежде чем дело можно будет удалить.
Фильтр разрешений для удаленного поиска
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
Фильтр разрешений для поиска удален.
Удаленный поисковый запрос для удержания дела обнаружения электронных данных
Удержание
Remove-CaseHoldRule
Удалено удержание на основе запроса, связанное с делом обнаружения электронных данных. Удаление запроса из удержания часто является результатом удаления удержания. Когда запрос на удержание или запрос на удержание удаляется, расположения содержимого, которые находились на удержании, освобождаются.
Скачанный экспорт поиска контента
SearchExportDownloaded
Н/Д
Пользователь скачал результаты поиска контента на локальный компьютер. Чтобы скачать результаты поиска, необходимо инициировать запущенный экспорт действия поиска контента .
Предварительные результаты поиска контента
SearchPreviewed
Н/Д
Пользователь просматривает результаты поиска контента.
Очищенные результаты поиска контента
SearchResultsPurged
New-ComplianceSearchAction
Пользователь очистил результаты поиска контента, выполнив команду New-ComplianceSearchAction -Purge .
Удален анализ поиска контента
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
Действие подготовки поиска контента (для подготовки результатов поиска для обнаружения электронных данных (премиум)) было удалено. Если действие подготовки прошло менее двух недель, результаты поиска, подготовленные для обнаружения электронных данных (премиум), были удалены из области хранилища Microsoft Azure. Если действие подготовки было старше 2 недель, то это событие указывает на то, что было удалено только соответствующее действие подготовки.
Удален экспорт поиска контента
RemovedSearchExported
Remove-ComplianceSearchAction
Действие экспорта поиска контента было удалено. Если действие экспорта было менее двух недель назад, результаты поиска, отправленные в область хранения Microsoft Azure, были удалены. Если действие экспорта было старше 2 недель, то это событие указывает на то, что было удалено только соответствующее действие экспорта.
Удаленный член из дела eDiscovery
CaseMemberRemoved
Remove-ComplianceCaseMember
Пользователь был удален как участник дела обнаружения электронных данных.
Удалены результаты предварительного просмотра поиска контента
RemovedSearchPreviewed
Remove-ComplianceSearchAction
Действие предварительного просмотра поиска контента было удалено.
Удалено действие очистки, выполненное при поиске контента
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
Удалено действие очистки поиска контента.
Удаленный отчет о поиске
SearchReportRemoved
Remove-ComplianceSearchAction
Действие отчета об экспорте поиска контента было удалено.
Запущен анализ поиска контента
SearchResultsSentToZoom
New-ComplianceSearchAction
Результаты поиска контента были подготовлены для анализа в eDiscovery (Премиум).
Запущен поиск содержимого
SearchStarted
Start-ComplianceSearch
Был запущен поиск содержимого. При создании или изменении поиска контента с помощью портала соответствия требованиям поиск запускается автоматически.
Начало экспорта поиска контента
SearchExported
New-ComplianceSearchAction
Пользователь экспортировал результаты поиска контента.
Отчет о начале экспорта
SearchReport
New-ComplianceSearchAction
Пользователь экспортировал отчет о поиске контента.
Остановлен поиск содержимого
SearchStopped
Stop-ComplianceSearch
Пользователь остановил поиск контента.
(нет) CaseViewed Get-ComplianceCase Пользователь просмотрил дело обнаружения электронных данных (стандартный) на портале соответствия требованиям. Запись аудита для этого события включает имя просматриваемого дела.
(нет) SearchViewed Get-ComplianceSearch Пользователь просматривал поиск контента на портале соответствия требованиям, открыв поиск на вкладке Поиск в случае обнаружения электронных данных (стандартный) или на странице Поиска контента . Запись аудита для этого события включает удостоверение просматриваемого поиска.
(нет) ПросмотреSearchExported Get-ComplianceSearchAction -Export Пользователь просматривал экспорт поиска контента на портале соответствия требованиям, перейдя к экспорту на вкладке Экспорты на странице Поиск контента . Это действие также регистрируется, когда пользователь просматривает экспорт, связанный с делом обнаружения электронных данных (стандартный).
(нет) Просмотрпоискпределение Get-ComplianceSearchAction -Preview Пользователь просмотрил результаты поиска контента на портале соответствия требованиям. Это действие также регистрируется, когда пользователь просматривает результаты поиска, связанного с делом обнаружения электронных данных (стандартный).

Действия обнаружения электронных данных (премиум)

В следующей таблице описаны действия обнаружения электронных данных (premium), зарегистрированные в журнале аудита. Эти действия можно использовать для отслеживания хода выполнения действий в случае обнаружения электронных данных (премиум).

Понятное имя Операция Описание
Добавлены данные в другой набор для проверки AddWorkingSetQueryToWorkingSet Пользователь добавил документы из одного набора для проверки в другой.
Добавлены данные в набор для проверки AddQueryToWorkingSet Пользователь добавил результаты поиска из поиска контента, связанного с делом eDiscovery (Премиум), в набор для проверки.
Добавлены данные Microsoft 365 для просмотра. AddNonOffice365DataToWorkingSet Пользователь добавил данные Microsoft 365 в набор обзоров.
Добавлены исправленные документы в набор для проверки AddRemediatedData Пользователь отправляет документы с ошибками индексирования, исправленными для набора проверки.
Проанализированы данные в наборе для проверки RunAlgo Пользователь выполнил аналитику документов в наборе для проверки.
К документу в наборе для проверки добавлены заметки AnnotateDocument Пользователь добавил заметки к документу в наборе для проверки. Добавление заметок включает правку содержимого в документе.
Сравнены загруженные наборы LoadComparisonJob Пользователь сравнил два разных загруженных набора в наборе для проверки. Загруженный набор — это добавление в набор для проверки данных из средства поиска контента, связанных с делом.
Преобразованы документы со сделанными купюрами в PDF BurnJob Пользователь преобразует все документы с купюрами в наборе для проверки в PDF-файлы.
Создан набор для проверки CreateWorkingSet Пользователь создал набор для проверки.
Создан поиск в наборе для проверки CreateWorkingSetSearch Пользователь создал поисковый запрос, выполняющий поиск документов в наборе для проверки.
Создан тег CreateTag Пользователь создал группу тегов в наборе для проверки. Группа тегов может содержать один или несколько дочерних тегов. Эти теги затем используются для пометки документов в наборе для проверки.
Удален поиск в наборе для проверки DeleteWorkingSetSearch Пользователь удалил поисковый запрос в наборе для проверки.
Удален тег DeleteTag Пользователь удалил тег или группу тегов в наборе для проверки.
Скачан документ DownloadDocument Пользователь скачал документ из набора для проверки.
Изменен тег UpdateTag Пользователь изменил тег в наборе для проверки.
Экспортированы документы из набора для проверки ExportJob Пользователь экспортировал документы из набора для проверки.
Изменены параметры дела UpdateCaseSettings Пользователь изменил параметры дела. Параметры дела включают сведения о деле, разрешения на доступ и параметры, управляющие поведением поиска и анализа.
Изменен поиск в наборе для проверки UpdateWorkingSetSearch Пользователь изменил поисковый запрос в наборе для проверки.
Предварительно просмотрен поиск в наборе для проверки PreviewWorkingSetSearch Пользователь предварительно просмотрел результаты поискового запроса в наборе для проверки.
Исправлены документы с ошибками ErrorRemediationJob Пользователь исправляет файлы, содержащие ошибки индексирования.
Документ помечен тегом TagFiles Пользователь пометил тегом документ в наборе для проверки.
Результаты запроса помечены тегом TagJob Пользователь помечает все документы, удовлетворяющие условиям поискового запроса в наборе для проверки.
Просмотрен документ в наборе для проверки ViewDocument Пользователь просмотрел документ в наборе для проверки.

Действия командлетов eDiscovery

В следующей таблице перечислены записи журнала аудита командлетов, которые регистрируются при выполнении администратором или пользователем действий, связанных с обнаружением электронных данных, с помощью портала соответствия требованиям или при выполнении соответствующего командлета в PowerShell для обеспечения соответствия требованиям безопасности &. Подробные сведения в записи журнала аудита отличаются для действий командлетов, перечисленных в этой таблице, и действий обнаружения электронных данных, описанных в предыдущем разделе.

Как упоминалось ранее, действия командлета eDiscovery могут отображаться в результатах поиска в журнале аудита до 24 часов.

Совет

Командлеты в столбце Operation в следующей таблице связаны с соответствующим разделом справки по командлетам в TechNet. Описание доступных параметров для каждого командлета см. в разделе справки по командлетам. Параметр и значение параметра, которые использовались с командлетом, включаются в запись журнала аудита для каждого зарегистрированного действия командлета eDiscovery.

Понятное имя Операция (командлет) Описание
Создано удержание в случае обнаружения электронных данных
New-CaseHoldPolicy
Для дела обнаружения электронных данных создано удержание. Удержание можно создать с указанием источника контента или без нее. Если указаны источники контента, они определяются в записи журнала аудита.
Удалено удержание из дела обнаружения электронных данных
Remove-CaseHoldPolicy
Удержание, связанное с делом обнаружения электронных данных, удалено. Удаление удержания освобождает все расположения содержимого из удержания. Удаление удержания также приводит к удалению правил удержания дела, связанных с удержанием (см . раздел Remove-CaseHoldRule).
Изменена удержание в случае обнаружения электронных данных
Set-CaseHoldPolicy
Удержание, связанное с обнаружением электронных данных, было изменено. Возможные изменения включают добавление или удаление расположений содержимого или отключение (отключение) удержания.
Созданный поисковый запрос для удержания дела обнаружения электронных данных
New-CaseHoldRule
Создано удержание на основе запроса, связанное с делом обнаружения электронных данных.
Удаленный поисковый запрос для удержания дела обнаружения электронных данных
Remove-CaseHoldRule
Удалено удержание на основе запроса, связанное с делом обнаружения электронных данных. Удаление запроса из удержания часто является результатом удаления удержания. Когда запрос на удержание или запрос на удержание удаляется, расположения содержимого, которые находились на удержании, освобождаются.
Изменен поисковый запрос для хранения дела обнаружения электронных данных
Set-CaseHoldRule
Удержание на основе запроса, связанное с делом обнаружения электронных данных, было изменено. Возможные изменения включают изменение запроса или диапазона дат для удержания на основе запроса.
Созданный случай обнаружения электронных данных
New-ComplianceCase
Был создан случай обнаружения электронных данных. При создании дела необходимо только присвоить ему имя. Другие задачи, связанные с делом, такие как добавление членов, создание удержаний и создание поиска контента, связанных с делом, приводят к регистрации дополнительных событий.
Удаленный случай обнаружения электронных данных
Remove-ComplianceCase
Удален случай обнаружения электронных данных. Все удержания, связанные с делом, должны быть удалены, прежде чем дело можно будет удалить.
Изменен случай обнаружения электронных данных
Set-ComplianceCase
Был изменен случай обнаружения электронных данных. Изменения включают закрытие открытого дела или повторное открытие закрытого дела.
Добавлен член в дело обнаружения электронных данных
Add-ComplianceCaseMember
Пользователь был добавлен в качестве участника дела обнаружения электронных данных. Как участник дела пользователь может выполнять различные задачи, связанные с делом, в зависимости от того, назначены ли ему необходимые разрешения.
Удаленный член из дела eDiscovery
Remove-ComplianceCaseMember
Пользователь был удален как участник дела обнаружения электронных данных.
Изменено членство в деле обнаружения электронных данных
Update-ComplianceCaseMember
Список участников дела обнаружения электронных данных был изменен. Это действие регистрируется, когда все члены заменяются группой новых пользователей. Если добавляется или удаляется один член, регистрируется операция Add-ComplianceCaseMember или Remove-ComplianceCaseMember .
Поиск созданного содержимого
New-ComplianceSearch
Создан новый поиск контента.
Поиск удаленного содержимого
Remove-ComplianceSearch
Существующий поиск контента удален.
Изменен поиск содержимого
Set-ComplianceSearch
Существующий поиск контента был изменен. Изменения могут включать добавление или удаление расположений контента, в которых выполняется поиск, и редактирование поискового запроса.
Запущен поиск содержимого
Start-ComplianceSearch
Был запущен поиск содержимого. При создании или изменении поиска контента с помощью графического интерфейса портала соответствия поиск запускается автоматически. При создании или изменении поиска с помощью командлета New-ComplianceSearch или Set-ComplianceSearch необходимо запустить командлет Start-ComplianceSearch , чтобы начать поиск.
Остановлен поиск содержимого
Stop-ComplianceSearch
Поиск контента, выполняющийся, был остановлен.
Созданное действие поиска контента
New-ComplianceSearchAction
Было создано действие поиска контента. Действия по поиску контента включают предварительный просмотр результатов поиска, экспорт результатов поиска, подготовку результатов поиска для анализа в eDiscovery (премиум) и окончательное удаление элементов, соответствующих условиям поиска контента.
Действие поиска удаленного содержимого
Remove-ComplianceSearchAction
Действие поиска контента было удалено.
Фильтр разрешений для созданного поиска
New-ComplianceSecurityFilter
Создан фильтр разрешений для поиска.
Фильтр разрешений для удаленного поиска
Remove-ComplianceSecurityFilter
Фильтр разрешений для поиска удален.
Изменен фильтр разрешений для поиска
Set-ComplianceSecurityFilter
Изменен фильтр разрешений для поиска.
Создан администратор обнаружения электронных данных
Add-eDiscoveryCaseAdmin
Пользователь был добавлен в качестве администратора обнаружения электронных данных в вашей организации.
Удаленный администратор обнаружения электронных данных
Remove-eDiscoveryCaseAdmin
Администратор обнаружения электронных данных был удален из вашей организации.
Изменено членство администратора обнаружения электронных данных
Update-eDiscoveryCaseAdmin
Список администраторов обнаружения электронных данных в организации был изменен. Это действие регистрируется, когда список администраторов обнаружения электронных данных заменяется группой новых пользователей. Если один пользователь добавлен или удален, регистрируется операция Add-eDiscoveryCaseAdmin или Remove-eDiscoveryCaseAdmin .
(нет) Get-ComplianceCase
Это действие регистрируется, когда пользователь просматривает список случаев обнаружения электронных данных (стандартный) или eDiscovery (премиум). Это действие также регистрируется, когда пользователь просматривает конкретный случай в eDiscovery (стандартный). Когда пользователь просматривает конкретный случай, запись аудита включает удостоверение просматриваемого дела. Если пользователь просматривал только список случаев, запись аудита не содержит идентификатора обращения.
(нет) Get-ComplianceSearch Это действие регистрируется, когда пользователь просматривает список поисков контента или поисков, связанных с делом обнаружения электронных данных (стандартный). Это действие также регистрируется, когда пользователь просматривает определенный поиск контента или просматривает определенный поиск, связанный с делом обнаружения электронных данных (стандартный). Когда пользователь просматривает определенный поиск, запись аудита включает идентификатор просматриваемого поиска. Если пользователь просматривал только список поисковых запросов, запись аудита не содержит идентификатор поиска.
(нет) Get-ComplianceSearchAction Это действие регистрируется, когда пользователь просматривает список действий по поиску соответствия (например, экспорт, предварительные просмотры или очистки) или действий, связанных с делом обнаружения электронных данных (стандартный). Это действие также регистрируется, когда пользователь просматривает определенное действие поиска соответствия (например, экспорт) или просматривает определенное действие, связанное с делом обнаружения электронных данных (стандартный). Когда пользователь просматривает действие поиска, запись аудита включает удостоверение просматриваемого действия поиска. Если пользователь просматривал только список действий, запись аудита не содержит удостоверение действия.

Подробные свойства для действий обнаружения электронных данных

В следующей таблице описаны свойства, которые включены на всплывающей странице для действия обнаружения электронных данных, указанного в результатах поиска. Эти свойства также включаются в CSV-файл при экспорте результатов поиска в журнале аудита. Запись журнала аудита для действия обнаружения электронных данных не будет включать все подробные свойства, перечисленные в следующей таблице.

Совет

При экспорте результатов поиска CSV-файл содержит столбец с именем AudtiData, который содержит подробные свойства, описанные в следующей таблице в свойстве с несколькими значениями. Вы можете использовать функцию Power Query в Excel, чтобы разделить этот столбец на несколько столбцов, чтобы у каждого свойства был свой собственный столбец. Это позволит выполнить сортировку и фильтрацию по одному или нескольким из этих свойств. Дополнительные сведения см. в разделе Поиск в журнале аудита.

Свойство Описание
Ситуация
Удостоверение (GUID) дела обнаружения электронных данных, которое было создано, изменено или удалено.
ClientApplication
Действия командлета eDiscovery имеют значение EMC для этого свойства. Это означает, что действие было выполнено с помощью графического интерфейса портала соответствия требованиям или командлета в PowerShell.
ClientIP
IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6.
ClientRequestId
Для действий обнаружения электронных данных это свойство обычно пустое.
CmdletVersion
Номер сборки для версии портала соответствия требованиям, работающего в вашей организации.
CreationTime
Дата и время в формате UTC, когда было завершено действие обнаружения электронных данных.
EffectiveOrganization
Название организации Microsoft 365.
ExchangeLocations
Exchange Online почтовые ящики, включенные в поиск контента или помещенные на удержание в случае обнаружения электронных данных.
Исключения
Расположения почтовых ящиков или сайтов, исключенные из поиска контента или удержания в случае обнаружения электронных данных.
ExtendedProperties
Дополнительные свойства из поиска контента, действия поиска контента или удержания в случае обнаружения электронных данных, такие как GUID объекта и соответствующие параметры командлета и командлета, которые использовались при выполнении действия.
Id
Идентификатор записи отчета. Идентификатор уникально идентифицирует запись журнала аудита.
NonPIIParameters
Список параметров (без каких-либо значений), которые использовались с командлетом, указанным в свойстве Operation. Параметры, перечисленные в этом свойстве, совпадают с параметрами, указанными в свойстве Parameters.
ObjectId
GUID или имя объекта (например, поиск содержимого или случай обнаружения электронных данных ( стандартный), который был создан, получил доступ, изменен или удален действием, перечисленным в свойстве Operation. Этот объект также идентифицируется в столбце Элемент в результатах поиска по журналу аудита.
ObjectType
Тип объекта eDiscovery, который пользователь создал, удалил или изменил; например, действие поиска контента (предварительный просмотр, экспорт или очистка), дело обнаружения электронных данных или поиск контента.
Operation
Имя операции, которая соответствует выполненной операции обнаружения электронных данных.
OrganizationId
GUID для организации Microsoft 365.
Параметры
Имя и значение параметров, которые использовались с соответствующим командлетом.
PublicFolderLocations
Общедоступные папки находятся в Exchange Online, которые включены в поиск контента или помещены на удержание в случае обнаружения электронных данных.
Запрос
Поисковый запрос, связанный с действием, например поиск контента или удержание на основе запроса.
RecordType
Тип операции, указанный в записи. Значение 18 указывает на событие, связанное с действием, перечисленным в разделе Действия командлета eDiscovery . Значение 24 указывает на событие, связанное с действием, перечисленным в разделе Действия обнаружения электронных данных.
ResultStatus
Указывает, успешно ли выполнено действие (указанное в свойстве Operation).
SecurityComplianceCenterEventType
Указывает, что действие было событием портала соответствия. Все действия обнаружения электронных данных будут иметь значение 0 для этого свойства.
SharepointLocations
Сайты SharePoint Online, включенные в поиск контента или помещенные на удержание в случае обнаружения электронных данных.
StartTime
Дата и время в формате UTC, когда было запущено действие обнаружения электронных данных.
UserId
Пользователь, выполнивший действие (указанное в свойстве Operation), которое привело к регистрации записи. Записи о действиях обнаружения электронных данных, выполняемых системными учетными записями (например, NT AUTHORITY\SYSTEM), также включаются в журнал аудита.
UserKey
Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Для действий обнаружения электронных данных значение этого свойства обычно совпадает со значением свойства UserId.
UserServicePlan
Подписка, используемая вашей организацией. Для действий обнаружения электронных данных это свойство обычно пустое.
UserType
Тип пользователя, который выполнил операцию. Следующие значения указывают тип пользователя.
0 Обычный пользователь. 2 Администратор в вашей организации. 3 Учетная запись администратора центра обработки данных Майкрософт или системная учетная запись центра обработки данных. 4 Системная учетная запись. 5 Приложение. 6 Субъект-служба.
Версия
Указывает номер версии действия (определяемого свойством Operation), которое регистрируется в журнале.
Workload
Служба, в которой произошло действие. Для действий обнаружения электронных данных значением является SecurityComplianceCenter.

Действия на портале зашифрованных сообщений

Журналы доступа доступны для зашифрованных сообщений через портал зашифрованных сообщений, который позволяет вашей организации определять, когда следует читать и перенаправлять сообщения внешними получателями. Дополнительные сведения о включении и использовании журналов действий портала зашифрованных сообщений см. в статье Журнал действий портала зашифрованных сообщений.

Каждая запись аудита для отслеживаемого сообщения содержит следующие поля:

  • MessageID: содержит идентификатор отслеживаемого сообщения. Идентификатор ключа, используемый для следовать за сообщением через систему.
  • Получатель: список всех адресов электронной почты получателей.
  • Отправитель: исходный адрес электронной почты.
  • AuthenticationMethod. Описывает метод проверки подлинности для доступа к сообщению, например OTP, Yahoo, Gmail или Майкрософт.
  • AuthenticationStatus: содержит значение, указывающее, что проверка подлинности выполнена успешно или неудачно.
  • OperationStatus: указывает, была ли указанная операция успешной или неудачной.
  • AttachmentName: имя вложения.
  • OperationProperties: список необязательных свойств. Например, количество отправленных секретных кодов OTP или тема сообщения электронной почты.

Действия администратора Exchange

Журнал аудита администратора Exchange (который по умолчанию включен в Microsoft 365) регистрирует событие в журнале аудита, когда администратор (или пользователь, которому были назначены административные разрешения) вносит изменения в организацию Exchange Online. Изменения, вносимые с помощью Центра администрирования Exchange или командлета в Exchange Online PowerShell, записываются в журнал аудита действий администратора Exchange. Командлеты, начинающиеся с команд Get-, Search- или Test- , не регистрируются в журнале аудита. Более подробную информацию о ведении журнала аудита действий администратора в Exchange см. в статье Ведение журнала аудита действий администратора.

Важно!

Некоторые командлеты Exchange Online, которые не зарегистрированы в журнале аудита администратора Exchange (или в журнале аудита). Многие из этих командлетов связаны с работой службы Exchange Online и выполняются сотрудниками центра обработки данных Майкрософт или учетными записями служб. Эти командлеты не регистрируются в журнале, потому что это привело бы к большому числу "шумных" событий аудита. Если существует командлет Exchange Online, не подвергающийся аудиту, отправьте запрос на изменение дизайна (DCR) в службу поддержки Microsoft.

Вот несколько советов по поиску действий администратора Exchange при поиске в журнале аудита:

  • Используйте поля дат и список Пользователи, чтобы ограничить результаты поиска командлетами, выполнявшимися определенным администратором Exchange в указанный период времени.
  • Чтобы отобразить события из журнала аудита администратора Exchange, выберите столбец Действие , чтобы отсортировать имена командлетов в алфавитном порядке.
  • Чтобы узнать, какой командлет был выполнен, какие параметры и значения параметров использовались и какие объекты были затронуты, вы можете экспортировать результаты поиска, выбрав вариант Скачать все результаты. Дополнительные сведения см. в статье Экспорт, настройка и просмотр записей журнала аудита.
  • Кроме того, вы можете использовать команду Search-UnifiedAuditLog -RecordType ExchangeAdmin в Exchange Online PowerShell, чтобы вернуть только записи аудита из журнала аудита действий администратора Exchange. После выполнения командлета Exchange может потребоваться до 30 минут, чтобы соответствующая запись журнала аудита возвращалась в результатах поиска. Дополнительные сведения см. в статье Search-UnifiedAuditLog. Сведения об экспорте результатов поиска, возвращаемых командлетом Search-UnifiedAuditLog в CSV-файл, см. в разделе "Советы по экспорту и просмотру журнала аудита" статьи Экспорт, настройка и просмотр записей журнала аудита.

Действия, связанные с почтовыми ящиками Exchange

В приведенной ниже таблице перечислены действия, которые могут записываться в журнал аудита почтовых ящиков. Действия почтового ящика, выполняемые владельцем почтового ящика, делегированным пользователем или администратором, автоматически регистрируются в журнале аудита на срок до 180 дней. Администратор может отключить ведение журнала аудита почтовых ящиков для всех пользователей в организации. В этом случае в журнал не записываются никакие действия с почтовыми ящиками пользователей. Дополнительные сведения см. в статье Управление аудитом почтовых ящиков.

Важно!

Срок хранения по умолчанию для аудита (стандартный) изменился с 90 до 180 дней. Журналы аудита (стандартный), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (стандартный), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.

Вы также можете искать действия с почтовыми ящиками с помощью командлета Search-MailboxAuditLog в PowerShell в Exchange Online.

Понятное имя Операция Описание
Получен доступ к элементам почтового ящика MailItemsAccessed Прочитаны или открыты сообщения в почтовом ящике. Записи аудита для этого действия инициируются одним из двух способов: когда почтовый клиент (например, Outlook) выполняет привязку к сообщениям или когда почтовые протоколы (например, Exchange ActiveSync или IMAP) синхронизируют элементы в почтовой папке. Анализ записей аудита для этого действия полезен при исследовании скомпрометированных учетных записей электронной почты.
Добавлены разрешения почтового ящика-делегата Add-MailboxPermission Администратор назначил пользователю (называемому представителем) разрешение на полный доступ (FullAccess) к почтовому ящику другого пользователя. Разрешение на полный доступ позволяет представителю открывать почтовый ящик другого пользователя, а также читать его содержимое и управлять им. Запись аудита для этого действия также создается, когда системная учетная запись в службе Microsoft 365 периодически выполняет задачи обслуживания от имени организации. Обычной задачей, выполняемой системной учетной записью, является обновление разрешений для системных почтовых ящиков. Дополнительные сведения см. в разделе Системные учетные записи в записях аудита почтовых ящиков Exchange.
Добавлен или удален пользователь с делегированным доступом к папке календаря. UpdateCalendarDelegation Пользователь был добавлен или удален в качестве представителя для календаря почтового ящика другого пользователя. Делегирование календаря означает, что другой пользователь из этой же организации предоставляет разрешения на управление календарем владельца почтового ящика.
Добавлены разрешения для папки AddFolderPermissions Были добавлены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям.
Сообщения скопированы в другую папку Copy Сообщение было скопировано в другую папку.
Создан элемент почтового ящика Create В папке "Календарь", "Контакты", "Заметки" или "Задачи" почтового ящика создан элемент. Например, создано новое приглашение на собрание. Создание, отправка и получение сообщений не подлежат аудиту. Кроме того, при создании папки почтового ящика не выполняется аудит.
Создано новое правило для папки "Входящие" в Outlook Web App New-InboxRule Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, создал правило для папки "Входящие" в Outlook Web App.
Сообщения удалены из папки "Удаленные" SoftDelete Сообщение было удалено окончательно или из папки "Удаленные". Такие элементы перемещаются в папку "Элементы с возможностью восстановления". Сообщение также перемещается в папку "Элементы с возможностью восстановления", когда пользователь выбирает его и нажимает клавиши SHIFT+DELETE.
Сообщение помечено как запись ApplyRecordLabel Сообщение было классифицировано как запись. Происходит, когда метка хранения, которая классифицирует содержимое как запись, вручную или автоматически применяется к сообщению.
Сообщения перемещены в другую папку Move Сообщение было перемещено в другую папку.
Сообщения перемещены в папку "Удаленные" MoveToDeletedItems Сообщение было удалено и перемещено в папку "Удаленные".
Изменены разрешения для папки UpdateFolderPermissions Изменены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям.
Изменено правило для папки "Входящие" из Outlook Web App Set-InboxRule Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, изменил правило для папки "Входящие" с помощью Outlook Web App.
Сообщения удалены из почтового ящика HardDelete Сообщение было очищено из папки "Элементы с возможностью восстановления" (удалено из почтового ящика безвозвратно).
Удалены разрешения почтового ящика с делегированным доступом Remove-MailboxPermission Администратор удалил разрешение на полный доступ (FullAccess) к почтовому ящику другого пользователя (которое было назначено представителю). После удаления разрешения на полный доступ представитель не может открыть почтовый ящик другого пользователя или получить доступ к его содержимому.
Удалены разрешения для папки RemoveFolderPermissions Были удалены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям.
Отправленное сообщение Send Сообщение отправлено, переадресовано или на него получен ответ.
Отправить сообщение с использованием разрешений "Отправить как" SendAs Сообщение было отправлено с использованием разрешения SendAs. Это означает, что другой пользователь отправил сообщение от лица владельца почтового ящика.
Отправлено сообщение с разрешениями "Отправить от имени" SendOnBehalf Сообщение было отправлено с использованием разрешения SendOnBehalf. Это означает, что другой пользователь отправил сообщение от имени владельца почтового ящика. Для получателя в сообщении указывается, от имени кого было отправлено сообщение и кто отправил его на самом деле.
Обновлены правила для папки "Входящие" из клиента Outlook UpdateInboxRules Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, создал, изменил или удалил правило для папки "Входящие" при помощи клиента Outlook.
Обновлено сообщение Update Сообщение или его свойства были изменены.
Пользователь вошел в почтовый ящик MailboxLogin Пользователь выполнил вход в свой почтовый ящик.
Пометка сообщения как записи Пользователь применил к сообщению электронной почты метку хранения, которая настроена, чтобы пометить элемент как запись.

Системные учетные записи в записях аудита почтовых ящиков Exchange

В записях аудита для некоторых действий почтовых ящиков (особенно Add-MailboxPermissions) можно заметить, что пользователем, выполнившим действие (и идентифицированным в полях User и UserId), является NT AUTHORITY\SYSTEM или NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost). Это указывает на то, что "пользователем", выполнившим действие, была системная учетная запись в службе Exchange облака Майкрософт. Эта системная учетная запись часто выполняет запланированные задачи обслуживания от имени организации. Например, распространенным проверяемым действием, выполняемым учетной записью NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost), является обновление разрешений в объекте DiscoverySearchMailbox, который является системным почтовым ящиком. Целью этого обновления является проверка того, что разрешение FullAccess (предоставляемое по умолчанию) назначено группе ролей управления обнаружением для DiscoverySearchMailbox. Гарантирует, что администраторы обнаружения электронных данных могут выполнять необходимые задачи в своей организации.

Другая системная учетная запись пользователя, которая может быть определена в записи аудита для Add-MailboxPermission, — .Administrator@apcprd03.prod.outlook.com Эта учетная запись службы также включается в записи аудита почтовых ящиков, связанные с проверкой и обновлением разрешения FullAccess, назначенного группе ролей управления обнаружением для системного почтового ящика DiscoverySearchMailbox. В частности, записи аудита, которые идентифицируют Administrator@apcprd03.prod.outlook.com учетную запись, обычно активируются, когда сотрудники службы поддержки Майкрософт запускают средство диагностики управления доступом на основе ролей от имени вашей организации.

Действия, связанные с файлами и страницами

В таблице ниже описаны действия, связанные с файлами и страницами в SharePoint Online и OneDrive для бизнеса.

Понятное имя Операция Описание
Получен доступ к файлу FileAccessed Учетная запись пользователя или системы обращается к файлу. Когда пользователь обращается к файлу, событие FileAccessed больше не регистрируется для того же пользователя для того же файла в течение следующих пяти минут.
(нет) FileAccessedExtended Эта операция связана с действием "Получен доступ к файлу" (FileAccessed). Событие FileAccessedExtended регистрируется, когда один и тот же пользователь постоянно обращается к файлу в течение длительного периода (до 3 часов).

События FileAccessedExtended позволяют уменьшить число событий FileAccessed, регистрируемых при постоянном обращении к файлу. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей FileAccessed, и обратить внимание на исходное (более важное) событие FileAccessed.
Изменена метка хранения файла ComplianceSettingChanged Метка хранения была применена к документу или удалена из него. Это событие инициируется, когда метка хранения вручную или автоматически применяется к сообщению.
Для записи установлено новое состояние: "заблокирована" LockRecord Состояние записи для метки хранения, классифицирующей документ как запись, было заблокировано. Это означает, что документ невозможно изменить или удалить. Только пользователи, которым назначено разрешение участника (как минимум) для сайта, могут изменять состояние записи документа.
Для записи установлено новое состояние: "разблокирована" UnlockRecord Состояние записи для метки хранения, классифицирующей документ как запись, было разблокировано. Это означает, что документ можно изменить или удалить. Только пользователи, которым назначено разрешение участника (как минимум) для сайта, могут изменять состояние записи документа.
Файл записан после изменения FileCheckedIn Пользователь записывает после изменения документ, извлеченный из библиотеки документов.
Извлечен файл FileCheckedOut Пользователь получает для изменения документ, находящийся в библиотеке документов. Пользователи могут извлекать документы, к которым им предоставлен общий доступ, и вносить в них изменения.
Скопирован файл FileCopied Пользователь копирует файл с сайта. Скопированный файл можно сохранить в другой папке на сайте.
Удален файл FileDeleted Пользователь удаляет документ с сайта.
Файл удален из корзины FileDeletedFirstStageRecycleBin Пользователь удаляет файл из корзины сайта.
Файл удален из корзины второго уровня FileDeletedSecondStageRecycleBin Пользователь удаляет файл из корзины второго уровня на сайте.
Удаленный файл, помеченный как запись RecordDelete Документ или электронное сообщение, помеченное как запись, было удалено. Элемент считается записью, если к содержимому применяется метка хранения, которая помечает элементы как запись.
Обнаружено несоответствие конфиденциальности документа DocumentSensitivityMismatchDetected Пользователь отправляет документ на сайт, защищенный с помощью метки конфиденциальности, и метка конфиденциальности документа имеет более высокий приоритет, чем метка конфиденциальности, примененная к сайту. Например, документ с меткой "Конфиденциально" отправляется на сайт с меткой "Общее".

Это событие не инициируется, если метка конфиденциальности документа имеет более низкий приоритет, чем метка конфиденциальности, примененная к сайту. Например, документ с меткой "Общее" отправляется на сайт с меткой "Конфиденциально". Дополнительные сведения о приоритете меток конфиденциальности см. в разделе Приоритет метки (важен порядок).
Обнаружена вредоносная программа в файле FileMalwareDetected Антивирусная подсистема SharePoint обнаружила вредоносную программу в файле.
Отменено извлечение файла FileCheckOutDiscarded Пользователь удаляет или отменяет файл, полученный для изменения. Это означает, что все изменения, внесенные в полученный файл, отменяются и не сохраняются в версии документа в библиотеке документов.
Скачан файл FileDownloaded Пользователь скачивает документ с сайта.
Изменен файл FileModified Учетная запись пользователя или системы изменяет содержимое или свойства документа на сайте. Система ждет пять минут, прежде чем зарегистрировать другое событие FileModified, когда тот же пользователь изменяет содержимое или свойства того же документа.
(нет) FileModifiedExtended Эта операция связана с действием "Изменен файл" (FileModified). Событие FileModifiedExtended регистрируется, когда один и тот же пользователь постоянно изменяет файл в течение длительного периода (до 3 часов).

События FileModifiedExtended позволяют уменьшить число событий FileModified, регистрируемых при постоянном изменении файла. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей FileModified, и обратить внимание на исходное (более важное) событие FileModified.
Перемещен файл FileMoved Пользователь перемещает документ из текущего места на сайте в новое.
(нет) FilePreviewed Пользователь предварительно просматривает файл на сайте SharePoint или OneDrive для бизнеса. Такие события обычно происходят в больших количествах в на основе одного действия, например при просмотре коллекции изображений.
Выполнен поисковый запрос SearchQueryPerformed Пользователь или системная учетная запись выполняет поиск в SharePoint или OneDrive для бизнеса. Некоторые распространенные сценарии, в которых учетная запись службы выполняет поисковый запрос, включают применение политики удержания и хранения электронных данных к сайтам и учетным записям OneDrive, а также автоматическое применение меток хранения или конфиденциальности к содержимому сайта. Чтобы включить ведение журнала для этого действия, см. статью Начало работы с решениями аудита.
Помещен в корзину файл FileRecycled Пользователь перемещает файл в корзину SharePoint.
Помещена в корзину папка FolderRecycled Пользователь перемещает папку в корзину SharePoint.
Помещены в корзину все промежуточные версии файла FileVersionsAllMinorsRecycled Пользователь удаляет все промежуточные версии файла из журнала версий. Удаленные версии перемещаются в корзину сайта.
Помещены в корзину все версии файла FileVersionsAllRecycled Пользователь удаляет все версии файла из журнала версий. Удаленные версии перемещаются в корзину сайта.
Помещена в корзину версия файла FileVersionRecycled Пользователь удаляет версию файла из журнала версий. Удаленная версия перемещается в корзину сайта.
Переименован файл FileRenamed Пользователь переименовывает документ.
Восстановлен файл FileRestored Пользователь восстанавливает документ из корзины на сайте.
Выложен файл FileUploaded Пользователь отправляет документ в папку на сайте.
Просмотрена страница PageViewed Пользователь просматривает страницу на сайте. К этому не относится использование веб-браузера для просмотра файлов, размещенных в библиотеке документов. Когда пользователь просматривает страницу, событие PageViewed не регистрируется повторно для того же пользователя для той же страницы в течение следующих пяти минут.
(нет) PageViewedExtended Эта операция связана с действием "Просмотрена страница" (PageViewed). Событие PageViewedExtended регистрируется, когда один и тот же пользователь постоянно просматривает веб-страницу в течение длительного периода (до 3 часов).

События PageViewedExtended позволяют уменьшить число событий PageViewed, регистрируемых при постоянном просмотре страницы. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей PageViewed, и обратить внимание на исходное (более важное) событие PageViewed.
Клиент просигнализировал о просмотре ClientViewSignaled Клиент пользователя (например, веб-сайт или мобильное приложение) просигнализировал, что указанная страница была просмотрена пользователем. Это действие часто записывается в журнал после события PagePrefetched для страницы.

ПРИМЕЧАНИЕ. Так как события ClientViewSignaled сигнализируются клиентом, а не сервером, событие может не регистрироваться сервером, поэтому оно может не отображаться в журнале аудита. Также возможно, что информация в записи аудита недостоверна. Но так как удостоверение пользователя проверяется с помощью маркера, использованного для создания сигнала, удостоверение пользователя, указанное в соответствующей записи аудита, является правильным. Система ждет пять минут, прежде чем зарегистрировать то же событие, когда клиент того же пользователя сообщает о том, что пользователь снова просмотрел страницу.
(нет) PagePrefetched Клиент пользователя (например, веб-сайт или мобильное приложение) запросил указанную страницу, чтобы повысить производительность на случай ее просмотра пользователем. Это событие записывается в журнал, чтобы указать, что содержимое страницы было предоставлено клиенту пользователя. Это событие не является точным индикатором, что пользователь переходил на страницу.

Когда содержимое страницы отображается клиентом (по запросу пользователя), должно создаваться событие ClientViewSignaled. Не все клиенты поддерживают предварительную выборку, поэтому некоторые предварительно подготовленные действия могут регистрироваться как события PageViewed.

Часто задаваемые вопросы о событиях FileAccessed и FilePreviewed

Могут ли какие-либо действия, не связанные с пользователем, запустить записи аудита FilePreviewed, содержащие агент пользователя типа "OneDriveMpc-Transform_Thumbnail"?

Мы не знаем о сценариях, в которых действия, не являющиеся пользователями, создают такие события. Действия пользователей, такие как открытие карта профиля пользователя (путем выбора имени или адреса электронной почты в сообщении в Outlook в Интернете), будут создавать аналогичные события.

Всегда ли вызовы OneDriveMpc-Transform_Thumbnail намеренно выполняются пользователем?

Нет. Но подобные события могут быть зарегистрированы в результате предварительной выборки браузера.

Если событие FilePreviewed исходит из IP-адреса, зарегистрированного корпорацией Майкрософт, означает ли это, что предварительная версия отображалась на экране устройства пользователя?

Нет. Событие могло быть зарегистрировано в результате предварительной выборки браузера.

Существуют ли сценарии, в которых пользователь предварительно просматривающий документ, вызывает события FileAccessed?

События FilePreviewed и FileAccessed указывают, что вызов пользователя привел к чтению файла (или чтению эскиза, воспроизводящего файл). Хотя эти события должны соответствовать намерению предварительного просмотра и намерению доступа, отличие событий не гарантирует намерение пользователя.

Пользователь app@sharepoint в записях аудита

В записях аудита для некоторых действий с файлами (и других действий, связанных с SharePoint) вы можете заметить, что пользователем, выполнившим действие (указывается в полях User и UserId), является app@sharepoint. Это означает, что "пользователем", выполнившим действие, было приложение. В этом случае приложению были предоставлены разрешения в SharePoint для выполнения действий на уровне организации (например, поиск сайта SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. Этот процесс предоставления разрешений для приложения называется доступом с помощью контекста приложения SharePoint. Это означает, что проверка подлинности, представленная для SharePoint с целью выполнения действия, была осуществлена приложением, а не пользователем. Поэтому пользователь app@sharepoint указывается в определенных записях аудита. Дополнительные сведения см. в статье Предоставление доступа с помощью контекста приложения SharePoint.

Например, app@sharepoint часто указывается в качестве пользователя для событий "Выполнен поисковый запрос" и "Получен доступ к файлу". Это связано с тем, что приложение с доступом только в контексте приложения SharePoint в вашей организации выполняет поисковые запросы и обращается к файлам при применении политик хранения к сайтам и учетным записям OneDrive.

Ниже представлено несколько других сценариев, в которых app@sharepoint может быть идентифицирован в записи аудита в качестве пользователя, выполнившего действие:

  • Группы Microsoft 365. Когда пользователь или администратор создает группу, создаются записи аудита для создания семейства веб-сайтов, обновления списков и добавления участников в группу SharePoint. Эти задачи выполняются в приложении от имени пользователя, создавшего группу.
  • Microsoft Teams. Подобно группам Microsoft 365, записи аудита создаются для создания семейства сайтов, обновления списков и добавления участников в группу SharePoint при создании группы.
  • Функции соответствия требованиям. Когда администратор реализует функции соответствия, такие как политики хранения, хранение электронных данных и автоматическое применение меток конфиденциальности.

В этих и других сценариях вы также заметите, что в течение короткого промежутка времени (часто с промежутком в несколько секунд) создается несколько записей аудита с указанием app@sharepoint в качестве пользователя. Это также означает, что они, вероятно, были инициированы той же задачей, выполненной пользователем. Кроме того, поля ApplicationDisplayName и EventData в записи аудита могут помочь определить сценарий или приложение, запустившее событие.

Действия, связанные с папками

В таблице ниже описаны действия, связанные с папками в SharePoint Online и OneDrive для бизнеса. Как упоминалось ранее, записи аудита для некоторых действий SharePoint указывают на то, app@sharepoint пользователь выполнил действия от имени пользователя или администратора, который инициировал действие. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.

Понятное имя Операция Описание
Скопирована папка FolderCopied Пользователь копирует папку из сайта в другое расположение в SharePoint или OneDrive для бизнеса.
Создана папка FolderCreated Пользователь создает папку на сайте.
Удалена папка FolderDeleted Пользователь удаляет папку с сайта.
Папка удалена из корзины FolderDeletedFirstStageRecycleBin Пользователь удаляет папку из корзины на сайте.
Папка удалена из корзины второго уровня FolderDeletedSecondStageRecycleBin Пользователь удаляет папку из корзины второго уровня на сайте.
Изменена папка FolderModified Пользователь изменяет папку на сайте. Это включает изменение метаданных папки, например тегов и свойств.
Перемещена папка FolderMoved Пользователь перемещает папку в другое расположение на сайте.
Переименована папка FolderRenamed Пользователь переименовывает папку на сайте.
Восстановлена папка FolderRestored Пользователь восстанавливает удаленную папку из корзины на сайте.

Действия с информационными барьерами

В таблице ниже перечислены действия, связанные с информационными барьерами, зарегистрированные в журнале аудита Microsoft 365. Дополнительные сведения об информационных барьерах см. в статье Сведения об информационных барьерах в Microsoft 365.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Понятное имя Операция Описание
Изменен параметр AppBypassInformationBarrier для клиента AppBypassInformationBarrier SharePoint или глобальный администратор изменил доступ к приложениям для сайтов SharePoint.
Режим примененного информационного барьера к сайту SiteIBModeSet SharePoint или глобальный администратор применил режим к сайту.
Примененные сегменты к сайту SiteIBSegmentsSet Администратор SharePoint, глобальный администратор или владелец сайта добавил один или несколько сегментов информационных барьеров на сайт.
Изменен режим информационного барьера сайта SiteIBModeChanged SharePoint или глобальный администратор обновил режим сайта.
Измененные сегменты сайта SiteIBSegmentsChanged Администратор SharePoint или глобальный администратор изменил один или несколько сегментов информационных барьеров для сайта.
Отключенные информационные барьеры для SharePoint и OneDrive SPOIBIsDisabled SharePoint или глобальный администратор отключил информационные барьеры для SharePoint и OneDrive в организации.
Включенные информационные барьеры для SharePoint и OneDrive SPOIBIsEnabled SharePoint или глобальный администратор отключил информационные барьеры для SharePoint и OneDrive в организации.
Отчет аналитики информационных барьеров завершен InformationBarriersInsightsReportCompleted Система завершает создание отчета аналитики информационных барьеров.
Аналитические сведения о информационных барьерах, запросил раздел OneDrive InformationBarriersInsightsReportOneDriveSectionQueried Администратор запрашивает отчет аналитики информационных барьеров для учетных записей OneDrive.
Отчет аналитики информационных барьеров запланирован InformationBarriersInsightsReportSchedule Администратор запланирует отчет аналитики информационных барьеров.
Запрос отчета аналитики информационных барьеров SharePoint InformationBarriersInsightsReportSharePointSectionQueried Администратор запрашивает отчет аналитики информационных барьеров для сайтов SharePoint.
Удален сегмент с сайта SiteIBSegmentsRemoved Администратор SharePoint или глобальный администратор удалил один или несколько сегментов информационных барьеров с сайта.

действия общих параметров Microsoft Defender для конечной точки

В следующей таблице перечислены действия для Microsoft Defender для конечной точки общих параметров, зарегистрированных в журнале аудита Microsoft 365. Дополнительные сведения о параметрах Microsoft Defender для конечной точки см. в разделе Настройка общих параметров Defender для конечной точки.

Чтобы просмотреть действия Microsoft Defender для конечной точки, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.

Понятное имя Операция Описание
Скачанный пакет отключения DownloadOffboardingPkg Скачан пакет, используемый для удаления устройств из Defender для конечной точки.
Скачанный пакет подключения DownloadOnboardingPkg Скачан пакет, используемый для подключения устройств к Defender для конечной точки.
Изменено хранение данных ChangeDataRetention Изменены параметры хранения данных для Defender для конечной точки.
Настройка дополнительных функций SetAdvancedFeatures Изменены расширенные функции в Defender для конечной точки, что позволяет более точно управлять инцидентом. В журнале аудита Microsoft 365 регистрируются только параметры для расширенных функций, которые являются общедоступными.

действия параметров индикатора Microsoft Defender для конечной точки

В следующей таблице перечислены действия для Microsoft Defender для конечной точки параметров индикатора, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о индикаторах Microsoft Defender для конечной точки см. в разделе Управление индикаторами.

Чтобы просмотреть действия Microsoft Defender для конечной точки, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.

Понятное имя Операция Описание
Добавлен индикатор AddIndicator Создан новый индикатор компрометации, который можно использовать для отслеживания атак и событий.
Измененный индикатор EditIndicator Изменен индикатор компрометации.
Удаленный индикатор DeleteIndicator Удален индикатор компрометации.

действия по реагированию Microsoft Defender для конечной точки

В следующей таблице перечислены действия для действий Microsoft Defender для конечной точки реагирования, включая динамический ответ, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о действиях реагирования Microsoft Defender для конечной точки см. в разделе Действия ответа на устройстве.

Чтобы просмотреть действия Microsoft Defender для конечной точки, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.

Понятное имя Операция Описание
Собранный пакет исследования CollectInvestigationPackage Собранные сведения об устройстве, используемом для понимания средств и методов атак.
Запущена антивирусная проверка RunAntiVirusScan Выполнена Microsoft Defender антивирусная проверка на устройстве.
Выполнение ограниченного приложения RestrictAppExecution Предотвращение запуска вредоносного приложения.
Удалены ограничения приложений RemoveAppRestrictions Разрешить запуск приложения.
Изолированное устройство IsolateDevice Изолировано устройство от сети, что помогает предотвратить распространение атак.
Освобождено от изоляции ReleaseFromIsolation Добавлено изолированное устройство обратно в сеть.
Файл остановлен и помещен в карантин StopAndQuarantineFile Помещен в карантин подозрительный файл для дальнейшего анализа.
Скачан файл DownloadFile Скачан подозрительный файл для дальнейшего изучения.
Отключенное устройство DeviceOffBoarding Удалено устройство из Defender для конечной точки.
API ответа в режиме реального времени запуска RunLiveResponseApi Открыл сеанс динамического ответа с помощью вызова API, открыв удаленную оболочку на устройстве.
Собранные журналы LogsCollection Собранные сведения журнала о Defender для конечной точки.
Запуск получения файла ответа в реальном времени LiveResponseGetFile Открытие сеанса динамического ответа, открытие удаленной оболочки на устройстве.
Сеанс ответа в реальном времени RunLiveResponseSession Запуск сеанса динамического ответа, открыв удаленную оболочку на устройстве.

действия параметров ролей Microsoft Defender для конечной точки

В следующей таблице перечислены действия для параметров роли Microsoft Defender для конечной точки, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о ролях в Microsoft Defender для конечной точки см. в статье Создание ролей и управление ими для управления доступом на основе ролей.

Чтобы просмотреть действия Microsoft Defender для конечной точки, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.

Понятное имя Операция Описание
AddRole Добавленная роль Добавлены новая роль безопасности и разрешения.
EditRole Измененная роль Измененные роли безопасности и разрешения.
DeleteRole Удаленная роль Удалены роли безопасности и разрешения.

Microsoft Defender для деятельности экспертов

В следующей таблице перечислены действия экспертов Microsoft Defender, которые вошли в журнал аудита Microsoft 365. Дополнительные сведения об экспертах по Microsoft Defender см. в разделах Сведения об Эксперты по Microsoft Defender для XDR и Сведения о Эксперты Microsoft Defender по охоте на угрозы

Понятное имя Операция Описание
Создано разрешение аналитика Defender Experts DefenderExpertsAnalystPermissionCreated Администратор предоставил аналитикам экспертов Defender одно или несколько разрешений на роль для расследования инцидентов или устранения угроз.
Изменено разрешение аналитика Defender Experts DefenderExpertsAnalystPermissionModified Администратор изменил разрешения роли для аналитиков экспертов Defender для расследования инцидентов или устранения угроз.

действия Microsoft Defender для удостоверений

В следующей таблице перечислены действия для Microsoft Defender для удостоверений, которые регистрируются в журнале аудита Microsoft 365.

Чтобы просмотреть действия Microsoft Defender для удостоверений, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.

Понятное имя Операция Описание
Обновленные теги сущностей TaggingConfigurationUpdated Тег был добавлен или удален из сущности.
Добавлена конфигурация исключений ExclusionConfigurationAdded Для оповещения или сущности было добавлено глобальное исключение.
Обновленная конфигурация исключений ExclusionConfigurationUpdated Глобальное исключение было обновлено для оповещения или для сущности.
Конфигурация удаленных исключений ExclusionConfigurationDeleted Глобальное исключение было удалено для оповещения или для сущности.
Обновлена конфигурация порога оповещений WorkspaceAlertThresholdLevelUpdated Обновлена конфигурация пороговых значений оповещений.
Скачанные оповещения системы безопасности Excel AlertExcelDownloaded Скачан подробный файл оповещений Excel.
Добавлено действие по исправлению RemediationActionAdded В очередь добавлено действие исправления.
Обновлено действие по исправлению ИсправлениеActionUpdated Выполнено действие по исправлению.
Обновленная конфигурация датчика SensorConfigurationUpdated Обновлена конфигурация датчика.
Добавлен датчик SensorCreated Добавлен новый датчик.
Удален датчик SensorDeleted Датчик был удален.
Получен ключ развертывания датчика SensorDeploymentAccessKeyReceived Получен ключ доступа датчиков.
Ключ развертывания повторного датчика SensorDeploymentAccessKeyUpdated Ключ доступа датчиков был повторно создан.
Скачанный excel для покрытия контроллера домена DomainControllerCoverageExcelDownloaded Скачан файл Excel для покрытия контроллера домена.
Обновлена конфигурация учетной записи служб каталогов DirectoryServicesAccountConfigurationUpdated Набор учетных записей служб каталогов был изменен.
Обновлена конфигурация действий по исправлению RemediationActionConfigurationUpdated Набор учетных записей действий "Управление действиями" был изменен.
Обновлена конфигурация исправления сущностей EntityRemediatorConfigurationUpdated Изменен режим управления учетными записями действий.
Обновлена проблема работоспособности MonitoringAlertUpdated Проблема работоспособности была изменена.
Скачан отчет ОтчетСкачать Был скачан отчет.
Обновленная конфигурация репортера ReporterConfigurationUpdated Расписание отчета было изменено.
Обновлена конфигурация переадресации системного журнала SyslogServiceConfigurationUpdated Конфигурация переадресации системного журнала была изменена.
Обновленная конфигурация уведомлений системы безопасности NotificationConfigurationUpdated Изменена конфигурация уведомлений об оповещениях системы безопасности или проблемах работоспособности.
Добавлен получатель уведомления об оповещении AlertNotificationsRecipientAdded Получатель был добавлен в конфигурацию уведомлений об оповещениях системы безопасности.
Удаленный получатель уведомления об оповещении AlertNotificationsRecipientDeleted Получатель был удален из конфигурации уведомлений об оповещениях системы безопасности.
Добавлен получатель уведомления о проблемах работоспособности MonitoringAlertNotificationRecipientAdded Получатель был добавлен в конфигурацию уведомлений о проблемах работоспособности.
Получатель уведомления об удаленных проблемах работоспособности MonitoringAlertNotificationRecipientDeleted Получатель был удален из конфигурации уведомлений о проблемах.
Обновленная конфигурация VPN VpnConfigurationUpdated Конфигурация VPN (учет радиуса) была изменена.
Обновлена унифицированная конфигурация RBAC URbacAuthorizationStatusChanged Конфигурация единой контроль доступа на основе ролей была изменена.
Созданная рабочая область WorkspaceCreated Рабочая область создана.
Удаленная рабочая область WorkspaceDeleted Рабочая область удалена.

Microsoft Defender XDR настраиваемые действия обнаружения

В следующей таблице перечислены настраиваемые действия обнаружения для Microsoft Defender XDR, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о Microsoft Defender XDR пользовательских обнаружениях см. в статье Создание настраиваемых правил обнаружения и управление ими.

Чтобы просмотреть действия Microsoft Defender XDR, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.

Понятное имя Операция Описание
Созданное пользовательское правило обнаружения CreateCustomDetection Создано новое пользовательское правило обнаружения.
Измененное пользовательское правило обнаружения EditCustomDetection Пользовательское правило обнаружения было изменено.
Изменено состояние настраиваемого правила обнаружения ChangeCustomDetectionRuleStatus Пользовательское правило обнаружения было отключено или включено.
Выполнено настраиваемое правило обнаружения RunCustomDetection Пользовательское правило обнаружения было выполнено вручную.
Удаленное пользовательское правило обнаружения DeleteCustomDetection Пользовательское правило обнаружения удалено.

действия Microsoft Defender XDR инцидентов

В следующей таблице перечислены действия по инцидентам для Microsoft Defender XDR, зарегистрированных в журнале аудита Microsoft 365. Дополнительные сведения об инцидентах в Microsoft Defender XDR см. в статье Общие сведения об инцидентах.

Чтобы просмотреть действия Microsoft Defender XDR, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.

Понятное имя Операция Описание
Добавлен комментарий к инциденту AddCommentToIncident. Добавлен комментарий к инциденту.
Назначенный пользователь инциденту AssignUserToIncident Назначен пользователь инциденту.
Неназначаемый пользователь в инцидент UnAssignUserFromIncident Неназначаемый пользователь к инциденту.
Обновлено состояние инцидентов UpdateIncidentStatus Обновлено состояние инцидентов.
Изменение классификации инцидентов EditIncidentClassification Изменение классификации инцидентов.
Добавлены теги к инциденту AddTagsToIncident Добавлены теги к инциденту.
Удалены теги из инцидента RemoveTagsFromIncident Удалены теги из инцидента.

действия правил подавления Microsoft Defender XDR

В следующей таблице перечислены действия для правил подавления для Microsoft Defender XDR, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о правилах подавления в Microsoft Defender XDR см. в разделе Управление правилами подавления.

Чтобы просмотреть действия Microsoft Defender XDR, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.

Понятное имя Операция Описание
Созданное правило подавления CreateSuppressionRule Создано правило подавления оповещений.
Измененное правило подавления EditSuppressionRule Удалено правило подавления оповещений.
Включено правило подавления EnableSuppressionRule Включено правило подавления оповещений.
Отключенное правило подавления DisableSuppressionRule Отключено правило подавления оповещений.
Удаленное правило подавления DeleteSuppressionRule Удалено правило подавления оповещений.

действия Microsoft Entra администрирования группы

В следующей таблице перечислены действия по администрированию группы, которые регистрируются, когда администратор или пользователь создает или изменяет группу Microsoft 365 или когда администратор создает группу безопасности с помощью Центра администрирования Microsoft 365 или портала управления Azure. Дополнительные сведения о группах в Microsoft 365 см. в статье Просмотр, создание и удаление групп в Центре администрирования Microsoft 365.

Примечание.

Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").

Понятное имя Операция Описание
Добавлена группа Добавление группы. Создана группа.
В группу добавлен участник Добавление участника в группу. В группу был добавлен участник.
Удалена группа Удаление группы. Группа была удалена.
Участник удален из группы Удаление участника из группы. Из группы удален участник.
Обновлена группа Обновление группы. Свойство группы изменилось.

Действия Microsoft Fabric

В журнале аудита можно искать действия, выполненные в Power BI. Сведения о параметрах аудита см. в разделе Параметры клиента аудита и использования.

Ведение журнала аудита включено по умолчанию для организаций Microsoft 365. Если аудит не включен для вашей организации, появится баннер с предложением начать запись действий пользователей и администраторов. Инструкции см . в разделе Включение аудита.

Действия Microsoft Forms

В таблицах этого раздела перечислены действия пользователя и администратора в Microsoft Forms, которые зарегистрированы в журнале аудита. Microsoft Forms — это средство для работы с формами, тестами и опросами, используемое для сбора данных с целью анализа. Некоторые операции содержат дополнительные параметры действий, если это указано в описаниях ниже.

Если действие Forms выполняется соавтором или анонимным респондентом, оно регистрируется немного иначе. Дополнительные сведения см. в разделе Действия в Forms, выполняемые соавторами и анонимными респондентами.

Понятное имя Операция Описание
Создан комментарий CreateComment Владелец формы добавляет к тесту комментарий или оценку.
Создана форма CreateForm Владелец формы создает форму.

Свойство DataMode:string указывает, что текущая форма настроена на синхронизацию с новой или существующей книгой Excel, если значение свойства равно DataSync. Свойство ExcelWorkbookLink:string указывает на связанный ИД книги Excel текущей формы.
Изменена форма EditForm Владелец формы изменяет форму, например создает, удаляет или редактирует вопрос. Свойство EditOperation:string указывает название операции изменения. Возможны следующие операции:
- CreateQuestion
- CreateQuestionChoice
- DeleteQuestion
- DeleteQuestionChoice
-DeleteFormImage
- DeleteQuestionImage
- UpdateQuestion
- UpdateQuestionChoice
- UploadFormImage/Bing/Onedrive
- UploadQuestionImage
- ChangeTheme

FormImage включает любое место в Forms, куда пользователь может добавить изображение, например в запрос или в качестве фона.
Перемещена форма MoveForm Владелец формы перемещает форму.

Свойство DestinationUserId:string указывает идентификатор пользователя, переместившего форму. Свойство NewFormId:string — это новый идентификатор скопированной формы. Свойство IsDelegateAccess:boolean указывает, что текущее действие перемещения формы выполняется через страницу делегирования администратора.
Удалена форма DeleteForm Владелец формы удаляет ее. Включает операцию SoftDelete (использован параметр удаления, и форма перемещена в корзину) и HardDelete (корзина очищена).
Просмотрена форма (время разработки) ViewForm Владелец формы открывает существующую форму для изменения.

Свойство AccessDenied:boolean указывает, что доступ к текущей форме запрещен из-за проверки разрешений. Свойство FromSummaryLink:boolean указывает, что текущий запрос поступает со страницы ссылки сводки.
Выполнен предварительный просмотр формы PreviewForm Владелец формы предварительно просматривает форму с помощью функции предварительного просмотра.
Экспортирована форма ExportForm Владелец формы экспортирует результаты в Excel.

Свойство ExportFormat:string указывает, скачивается ли файл Excel или располагается в Интернете.
Разрешен общий доступ к форме для копирования AllowShareFormForCopy Владелец формы создает ссылку на шаблон, чтобы поделиться формой с другими пользователями. Это событие регистрируется, когда владелец формы выбирает для создания URL-адреса шаблона.
Запрещен общий доступ к форме для копирования DisallowShareFormForCopy Владелец формы удаляет ссылку на шаблон.
Добавлен соавтор формы AddFormCoauthor Пользователь использует ссылку для совместной работы, чтобы помочь в создании или просмотре ответов. Это событие записывается в журнал, когда пользователь использует URL-адрес для совместной работы (а не при первом создании URL-адреса для совместной работы).
Удален соавтор формы RemoveFormCoauthor Владелец формы удаляет ссылку для совместной работы.
Просмотрена страница ответов ViewRuntimeForm Пользователь открыл страницу ответов для просмотра. Это событие записывается в журнал независимо от того, отправляет ли пользователь ответ или нет.
Создан ответ CreateResponse Аналогично получению нового ответа. Пользователь отправил ответ в форму.

Свойство ResponseId:string и ResponderId:string указывает, какой результат просматривается.

Для анонимного респондента свойство ResponderId имеет значение NULL.
Обновлен ответ UpdateResponse Владелец формы обновил комментарий или оценку в тесте.

Свойство ResponseId:string и ResponderId:string указывает, какой результат просматривается.

Для анонимного респондента свойство ResponderId имеет значение NULL.
Удалены все ответы DeleteAllResponses Владелец формы удаляет все данные ответов.
Удален ответ DeleteResponse Владелец формы удаляет один ответ.

Свойство ResponseId:string указывает удаляемый ответ.
Просмотрены ответы ViewResponses Владелец формы просматривает обобщенный список ответов.

Свойство ViewType:string указывает, какое представление просматривает владелец формы: подробное или обобщенное
Просмотрен ответ ViewResponse Владелец формы просматривает определенный ответ.

Свойство ResponseId:string и ResponderId:string указывает, какой результат просматривается.

Для анонимного респондента свойство ResponderId имеет значение NULL.
Создана ссылка на сводку GetSummaryLink Владелец формы создает ссылку на сводку результатов для предоставления к ним общего доступа.
Удалена ссылка на сводку DeleteSummaryLink Владелец формы удаляет ссылку на сводку результатов.
Обновлено состояние фишинга формы UpdatePhishingStatus Это событие записывается в журнал при каждом изменении подробного значения состояния внутренней безопасности, независимо от того, изменяется ли итоговое состояние защиты (например, форма стала закрытой или открытой). Это означает, что могут отображаться дубликаты событий без изменения итогового состояния защиты. Возможные значения состояния для этого события:
- Зафиксировать
- Зафиксировать администратором
- Администратор разблокировал
- Заблокировано автоматически
- Разблокировано автоматически
- Сообщено клиентом
- Сброс сообщений клиента
Обновлено состояние фишинга пользователя UpdateUserPhishingStatus Это событие записывается в журнал при каждом изменении значения состояния безопасности пользователя. Значение состояния пользователя в записи аудита назначается как Подтвержден как фишер, когда пользователь создал форму фишинга, которая была зафиксирована группой безопасности в Интернете корпорации Майкрософт. Если администратор разблокирует пользователя, то пользователю присваивается значение состояния Восстановить в качестве обычного пользователя.
Отправлено приглашение в Forms Pro ProInvitation Пользователь выбирает активацию пробной версии Pro.
Обновлен параметр формы UpdateFormSetting Владелец формы обновляет один или несколько параметров формы.

Свойство FormSettingName:string указывает на обновленное имя конфиденциальных параметров. Свойство NewFormSettings:string указывает на имя и новое значение обновленных параметров. Свойство thankYouMessageContainsLink:boolean указывает, что обновленное сообщение с благодарностью содержит URL-ссылку.
Обновлен параметр пользователя UpdateUserSetting Владелец формы обновляет параметр пользователя.

Свойство UserSettingName:string указывает название и новое значение параметра
Получен список форм ListForms Владелец формы просматривает список форм.

Свойство ViewType:string указывает, какое представление просматривает владелец формы: "Все формы", "Мне представлен доступ" или "Формы группы"
Отправлен ответ SubmitResponse Пользователь отправляет ответ в форму.

Свойство IsInternalForm:boolean указывает, находится ли отвечающий в той же организации, что и владелец формы.
Включен параметр "Любой пользователь может ответить" AllowAnonymousResponse Владелец формы включает параметр, позволяющий любому пользователю отвечать на форму.
Отключен параметр "Любой пользователь может ответить" DisallowAnonymousResponse Владелец формы отключает параметр, позволяющий любому пользователю отвечать на форму.
Включен параметр "Определенные пользователи могут отвечать" EnableSpecificResponse Владелец формы включает параметр, позволяющий отвечать на форму только определенным пользователям или группам в текущей организации.
Отключен параметр "Определенные пользователи могут отвечать" DisableSpecificResponse Владелец формы отключает параметр, позволяющий отвечать на форму только определенным пользователям или группам в текущей организации.
Добавлен определенный ответчик AddSpecificResponder Владелец формы добавляет нового пользователя или группу в список определенных ответчиков.
Удален определенный ответчик RemoveSpecificResponder Владелец формы удаляет нового пользователя или группу из списка определенных ответчиков.
Отключена совместная работа DisableCollaboration Владелец формы отключает параметр совместной работы над формой.
Включена совместная работа для рабочей или учебной учетной записи Office 365 EnableWorkOrSchoolCollaboration Владелец формы включает параметр, позволяющий пользователям с рабочей или учебной учетной записью Microsoft 365 просматривать и редактировать форму.
Включена совместная работа пользователей в моей организации EnableSameOrgCollaboration Владелец формы включает параметр, позволяющий пользователям в текущей организации просматривать и редактировать форму.
Включена совместная работа для определенных пользователей EnableSpecificCollaboaration Владелец формы включает параметр, позволяющий просматривать и редактировать форму только определенным пользователям или группам в текущей организации.
Подключено к книге Excel ConnectToExcelWorkbook Форма подключена к книге Excel.

Свойство ExcelWorkbookLink:string указывает на связанный ИД книги Excel текущей формы.
Коллекция создана CollectionCreated Владелец формы создал коллекцию.
Коллекция обновлена CollectionUpdated Владелец формы обновил свойство коллекции.
Коллекция удалена из корзины CollectionHardDeleted Владелец формы безвозвратно удалил коллекцию из корзины.
Коллекция перемещена в корзину CollectionSoftDeleted Владелец формы переместил коллекцию в корзину.
Коллекция переименована CollectionRenamed Владелец формы изменил имя коллекции.
Форма перемещена в коллекцию MovedFormIntoCollection Владелец формы переместил форму в коллекцию.
Форма перемещена из коллекции MovedFormOutofCollection Владелец формы переместил форму из коллекции.

Действия в Forms, выполняемые соавторами и анонимными респондентами

Forms поддерживает совместную работу при создании форм и анализе откликов. Участник совместной работы по созданию форм называется соавтором. Соавторы могут выполнять такие же действия, что и владелец формы, за исключением удаления и перемещения формы. Кроме того, Forms позволяет создать форму, на которую можно ответить анонимно. Это означает, что респонденту не нужно входить в организацию, чтобы ответить на форму.

В таблице ниже описаны действия по аудиту и сведения в записи аудита в отношении действий, выполняемых соавторами и анонимными респондентами.

Тип действия Внутренний или внешний пользователь ИД пользователя, который выполнил вход Организация, в которую выполнен вход Тип пользователя Forms
Совместное редактирование Внутренний Имя участника-пользователя Организация владельца формы Соавтор
Совместное редактирование Внешний Имя участника-пользователя
Организация соавтора
Соавтор
Совместное редактирование Внешний urn:forms:coauthor#a0b1c2d3@forms.office.com
(Вторая часть идентификатора — это хэш-код, уникальный для каждого пользователя)
Организация владельца формы
Соавтор
Действия ответа Внешний Имя участника-пользователя
Организация респондента
Респондент
Действия ответа Внешний urn:forms:external#a0b1c2d3@forms.office.com
(Вторая часть ИД пользователя — это хэш-код, уникальный для каждого пользователя)
Организация владельца формы Респондент
Действия ответа Анонимный urn:forms:anonymous#a0b1c2d3@forms.office.com
(Вторая часть ИД пользователя — это хэш-код, уникальный для каждого пользователя)
Организация владельца формы Респондент

Microsoft Graph Data Connect

В следующей таблице перечислены действия пользователей и администраторов в Microsoft Graph Data Connect , зарегистрированные для аудита. Таблица содержит понятное имя, отображаемое в столбце Действия , и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.

Понятное имя Операция Описание
Приложение утверждено или запрещено ConsentModificationRequest Пользователь выполнил запрос на изменение согласия.
Извлечение выполнено DataAccessRequestOperation Пользователь выполнил извлечение. Наборы данных партнеров и запуски независимого поставщика программного обеспечения исключаются.

действия Планировщик (Майкрософт)

В следующей таблице перечислены действия пользователей и администраторов в Планировщик (Майкрософт), которые регистрируются для аудита. Таблица содержит понятное имя, отображаемое в столбце Действия , и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.

Примечание.

Действия с портфелем в Планировщик регистрируются в Microsoft Project для действий веб-плана. Дополнительные сведения см. в разделе Действия microsoft Project в Интернете.

Понятное имя Операция Описание
Чтение плана PlanRead План считывается пользователем или приложением. Если операция чтения является ResultStatus.Failure или ResultStatus.AuthorizationFailure, ContainerType указывает ContainerType.Invalid, а ContainerId — null.
Создан план PlanCreated План создается пользователем или приложением. Если операция создания имеет значение ResultStatus.Failure или ResultStatus.AuthorizationFailure, ObjectId указывает null, ContainerType — ContainerType.Invalid, а ContainerId — null.
Изменение плана PlanModified План изменяется пользователем или приложением.
Удален план PlanDeleted План удаляется пользователем или приложением.
Скопирован план PlanCopied План копируется пользователем или приложением. Если операция копирования — ResultStatus.Failure или ResultStatus.Failure, newPlanId указывает null, newContainerType — ContainerType.Invalid, а newContainerId — null.
Чтение задачи TaskRead Задача считывается пользователем или приложением. Если операция чтения имеет значение ResultStatus.Failure или ResultStatus.AuthorizationFailure, PlanId указывает null.
Создание задачи TaskCreated Задача создается пользователем или приложением. Если операция создания является ResultStatus.Failure или ResultStatus.AuthorizationFailure, ObjectId указывает null, а PlanId — null.
Изменение задачи TaskModified Задача изменяется пользователем или приложением.
Удалена задача TaskDeleted Задача удаляется пользователем или приложением.
Назначена задача TaskAssigned Назначение задачи изменяется пользователем или приложением. Это может быть неназначаемая задача, назначаемая или назначенная задача имеет нового назначенного.
Выполнена задача TaskCompleted Задача помечается выполненной пользователем или приложением.
Создан список РеестрСоздать Список создается пользователем или приложением. Если операция создания является ResultStatus.Failure или ResultStatus.AuthorizationFailure, ObjectId указывает null, MemberId — пустую строку.
Удален список RosterDeleted Список удаляется пользователем или приложением.
Добавлены члены в реестр RosterMemberAdded Члены добавляются в реестр. Если операция добавления является ResultStatus.Failure или ResultStatus.AuthorizationFailure, MemberIds указывает на список пытаемых идентификаторов элементов.
Удалены члены списка RosterMemberDeleted Член (члены) удаляется из списка. Если операция удаления является ResultStatus.Failure или ResultStatus.AuthorizationFailure, MemberIds указывает список идентификаторов участников, которые пытались выполнить.
Чтение списка планов PlanListRead Список планов запрашивается пользователем или приложением. Если операция запроса — ResultStatus.Failure или ResultStatus.AuthorizationFailure, PlanList указывает пустую строку.
Чтение списка задач TaskListRead Список задач запрашивается пользователем или приложением. Если операция запроса является ResultStatus.Failure или ResultStatus.AuthorizationFailure, TaskList указывает пустую строку.
Обновлены параметры клиента TenantSettingsUpdated Параметры клиента обновляются администратором клиента. Если операция обновления является ResultStatus.Failure или ResultStatus.AuthorizationFailure, ObjectId указывает исходные параметры, а TenantSettings — на выполненную попытку параметров клиента.
Обновлена метка конфиденциальности списка РеестрSensitivityLabelUpdated Пользователь или приложение обновляет метку конфиденциальности реестра.

Действия, связанные с Microsoft Power Apps

В журнале аудита можно искать связанные с приложениями действия, выполненные в Power Apps. К таким действиям относятся создание, запуск и публикация приложений. Назначение разрешений для приложений также подлежит аудиту. Описание всех действий в Power Apps см. в статье Ведение журнала действий для Power Apps.

Примечание.

События аудита политик оповещений (Оповещение защиты) (RecordType:45) в настоящее время не поддерживаются для PowerApps.

Действия, связанные с Microsoft Power Automate

В журнале аудита можно искать действия, выполненные в Power Automate (прежнее название — Microsoft Flow). К таким действиям относятся создание, изменение и удаление потоков, а также изменение разрешений потока. Сведения об аудите действий Power Automate см. в блоге События аудита Power Automate, доступные на портале соответствия требованиям.

Действия Microsoft Project в Интернете

Вы можете искать действия в журнале аудита в Microsoft Project в Интернете. Microsoft Project в Интернете основана на Microsoft Dataverse и связана с Project Power App. Сведения о включении аудита для сценариев, в которых пользователь использует Microsoft Dataverse или Project Power App, см. в руководстве по аудиту параметров системы . Список сущностей, связанных с Project в Интернете, см. в руководстве по экспорту данных пользователей из Project в Интернете.

Сведения о microsoft Project в Интернете см. в разделе Microsoft Project в Интернете.

Примечание.

Для аудита событий для действий Microsoft Project в Интернете требуется платная лицензия Project, план 1 (или выше).

Понятное имя Операция Описание
Созданный проект ProjectCreated Проект создается пользователем или приложением.
Созданная дорожная карта Дорожная картаСоздать Стратегия или портфель создаются пользователем или приложением.
Созданный элемент дорожной карты RoadmapItemCreated Элемент стратегии или портфеля создается пользователем или приложением.
Созданная задача TaskCreated Задача создается пользователем или приложением.
Удаленный проект ProjectDeleted Проект удаляется пользователем или приложением.
Удаленная дорожная карта Дорожная картаDeleted Стратегия или портфель удаляются пользователем или приложением.
Удаленный элемент дорожной карты RoadmapItemDeleted Элемент стратегии или портфеля удаляется пользователем или приложением.
Удаленная задача TaskDeleted Задача удаляется пользователем или приложением.
Доступ к проекту ProjectAccessed Проект считывается или приложение.
Доступ к домашней странице проекта ProjectListAccessed Пользователь запрашивает список проектов и (или) дорожных карт.
Доступ к дорожной карте Дорожная картаДоступ План развития или портфель считывается пользователем или приложением.
Доступ к элементу дорожной карты RoadmapItemAccessed Элемент стратегии или портфеля считывается пользователем или приложением.
Задача, доступ к ней TaskAccessed Задача считывается пользователем или приложением.
Обновлены параметры проекта ProjectForTheWebProjectSettings Параметры проекта обновляются администратором.
Обновленная дорожная карта Дорожная картаОбдуется Стратегия или портфель изменяются пользователем или приложением.
Обновленный элемент дорожной карты RoadmapItemUpdated Элемент стратегии или портфеля изменяется пользователем или приложением.
Обновленные параметры дорожной карты ProjectForTheWebRoadmaptSettings Параметры стратегии или портфеля обновляются администратором.
Обновленная задача TaskUpdated Задача изменяется пользователем или приложением.
Обновленный проект ProjectUpdated Проект изменяется пользователем или приложением.

действия Аудит Microsoft Purview решения

В следующей таблице перечислены действия, связанные с решениями аудита на портале Microsoft Purview, Портал соответствия требованиям Microsoft Purview и API Graph аудита поиска. Эти действия проверяются в рамках рабочей нагрузки SecurityComplianceCenter . Дополнительные сведения см. в разделе Поиск в журнале аудита.

Аудит действий поиска и экспорта, выполняемых с помощью Search-UnifiedAuditLog , не выполняется.

Понятное имя Операция Описание
Создан поиск аудита AuditSearchCreated Отправляется новый запрос на поиск аудита.
Поиск аудита завершен AuditSearchCompleted Задание поиска аудита завершено.
Аудит поиска отменен AuditSearchCancelled Задание поиска аудита отменяется.
Аудит поиска удален AuditSearchDeleted Задание поиска аудита удаляется.
Аудит созданного задания экспорта поиска AuditSearchExportJobCreated Задание экспорта создается для экспорта результатов поиска в поисковом запросе аудита.
Аудит задания экспорта поиска завершено AuditSearchExportJobCompleted Задание экспорта для экспорта результатов поиска запроса аудита завершено.
Скачанные результаты экспорта аудита поиска AuditSearchExportResultsСкачать Результаты поиска из поискового запроса аудита были загружены.

Действия по управлению Microsoft Purview

В следующей таблице перечислены действия системы управления Microsoft Purview, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения см. в статье Решения для управления Microsoft Purview.

Понятное имя Операция Описание
Созданный ресурс или сущность EntityCreated Новый ресурс или сущность создается или добавляется в существующий ресурс.
Добавлена классификация КлассификацияДобавлено Добавление классификаций в сущность актива.
Создано определение классификации ClassificationDefinitionCreated Создайте тип классификации.
Определение классификации удалено ClassificationDefinitionDeleted Удаление типа классификации.
Обновлено определение классификации ClassificationDefinitionUpdated Обновление типа классификации.
Удалена классификация ClassificationDeleted Удаление классификаций из сущности актива.
Классификация обновлена ClassificationUpdated Обновление классификаций для сущности актива.
Сущность удалена EntityDeleted Ресурс или сущность удаляются из существующего ресурса.
Сущность обновлена EntityUpdated Включает: обновление атрибута, обновление бизнес-атрибута, сведения о коллекции (включая только идентификатор коллекции), обновление контактов, customAttributes, иерархия, homeId, метки, sourceDetails
Назначенный термин глоссария GlossaryTermAssigned Назначьте термины сущности актива.
Созданный термин глоссария GlossaryTermCreated Создайте термин.
Термин глоссария удален GlossaryTermDeleted Удаление термина.
Термин глоссария не связан GlossaryTermDisassociated Отмена связи терминов с сущностью актива.
Термин глоссария обновлен GlossaryTermUpdated Обновление термина.
Метка конфиденциальности изменена SensitivityLabelChanged Метка конфиденциальности добавляется, обновляется или удаляется.

Действия, связанные с Microsoft Stream

В журнале аудита можно искать действия, выполненные в Microsoft Stream. К этим действиям относятся связанные с видео действия, выполняемые пользователями, действия в канале группы и действия администраторов, такие как управление пользователями, управление параметрами организации и экспорт отчетов. Описание этих действий см. в разделе "Действия, регистрируемые в Microsoft Stream" статьи Журналы аудита в Microsoft Stream.

Действия, связанные с Microsoft Teams

В следующей таблице перечислены действия Microsoft Teams, которые регистрируются в журнале аудита Microsoft 365. В журнале аудита можно искать действия пользователей и администраторов, выполненные в Microsoft Teams. Teams — это рабочее пространство на основе чата в Microsoft 365. Это место, в котором собраны все беседы, собрания, файлы и заметки команды. Более подробное руководство по поиску см. в разделе Поиск событий в Microsoft Teams в журнале аудита.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Понятное имя Операция Описание
Бот добавлен в группу BotAddedToTeam Пользователь добавляет бот в группу.
Добавлен канал ChannelAdded Пользователь добавляет канал в группу.
Соединитель добавлен ConnectorAdded Пользователь добавляет соединитель в канал.
Добавлены сведения о собрании Teams 9 MeetingDetail Teams добавила сведения о собрании, включая время начала, время окончания и URL-адрес для присоединения к собранию.
Добавлены сведения об участниках собрания 9 MeetingParticipantDetail Teams добавили сведения об участниках собрания, включая идентификатор пользователя каждого участника, время присоединения участника к собранию и время, когда участник покинул собрание.
Добавлены члены 6, 8 MemberAdded Владелец команды добавляет участников в команду, канал или групповой чат.
Вкладка добавлена TabAdded Пользователь добавляет вкладку в канал.
Примененная метка конфиденциальности SensitivityLabelApplied Пользователь или организатор собрания применил метку конфиденциальности к собранию Teams.
Изменен параметр канала ChannelSettingChanged Операция ChannelSettingChanged записывается в журнал при выполнении участником команды следующих действий. Для каждого из этих действий в столбце Элемент в результатах поиска по журналу аудита отображается описание измененного параметра (показано в скобках).
  • Изменение имени канала команды (название канала)
  • Описание изменений канала группы (описание канала)
Изменен параметр организации TeamsTenantSettingChanged Операция TeamsTenantSettingChanged регистрируется, когда глобальный администратор в Центр администрирования Microsoft 365 выполняет следующие действия. Эти действия влияют на параметры Teams для всей организации. Дополнительные сведения см. в статье Управление параметрами Teams для вашей организации.
Для каждого из этих действий в столбце Элемент в результатах поиска по журналу аудита отображается описание измененного параметра (показано в скобках).
  • Включает или отключает Teams для организации (Microsoft Teams).
  • Включает или отключает взаимодействие между Microsoft Teams и Skype для бизнеса для организации (Skype для бизнеса взаимодействие).
  • Включает или отключает представление организационной диаграммы в клиентах Microsoft Teams (представление организационной диаграммы).
  • Включает или отключает возможность для участников команды планировать частные собрания (планирование частных собраний).
  • Включает или отключает возможность для участников команды планировать собрания каналов (планирование собраний канала).
  • Включает или отключает видеозвонки в собраниях Teams (видео для собраний Skype).
  • Включает или отключает общий доступ к экрану в собраниях Microsoft Teams для организации (демонстрация экрана для собраний Skype).
  • Включает или отключает эту возможность добавления анимированных изображений (под названием Giphys) в беседы Teams (анимированные изображения).
  • Изменяет параметр оценки содержимого для организации (оценка содержимого). Оценка содержимого ограничивает типы анимированных изображений, которые могут отображаться в беседах.
  • Включает или отключает возможность добавления настраиваемых изображений (называемых пользовательскими мемами) из Интернета в беседы группы (настраиваемые изображения из Интернета).
  • Включает или отключает возможность добавления участниками команды редактируемых изображений (называемых наклейками) в беседы группы (редактируемые изображения).
  • Включает или отключает эту возможность для участников команды использовать ботов в чатах и каналах Microsoft Teams (боты на уровне организации).
  • Включает определенных ботов для Microsoft Teams. К этим программам не относится T-Bot — программа-робот для предоставления справки по Teams, которая доступна, когда для организации включена возможность использования программ-роботов (Отдельные программы-роботы).
  • Включает или отключает возможность добавления расширений или вкладок участниками команды (расширения или вкладки).
  • Включает или отключает загрузку неопубликованных ботов для Microsoft Teams (загрузка ботов на стороне).
  • Включает или отключает возможность отправки пользователями сообщений электронной почты на канал Microsoft Teams (электронная почта канала).
Изменена роль участников в команде MemberRoleChanged Владелец команды изменяет роль участников в команде. Следующие значения указывают тип роли, назначенный пользователю.

1 — указывает роль участника.
2 — указывает роль владельца.
3 — указывает на роль "Гость".

Свойство Members также включает имя вашей организации и адрес электронной почты участника.
Изменен параметр группы TeamSettingChanged Операция TeamSettingChanged записывается в журнал при выполнении владельцем команды следующих действий. Для каждого из этих действий в столбце Элемент в результатах поиска по журналу аудита отображается описание измененного параметра (показано в скобках).
  • Изменяет тип доступа для команды. Teams можно задать как частный или общедоступный (тип доступа team). Если команда закрытая (параметр по умолчанию), пользователи могут получить доступ к ней только по приглашению. Общедоступная команда открыта для всех.
  • Изменяет классификацию информации команды (классификация команд). Например, можно классифицировать данные команды как имеющие высокое, среднее или низкое влияние на бизнес.
  • Изменяет имя команды (имя команды).
  • Изменяет описание команды (описание группы).
  • Изменения, внесенные в параметры команды. Чтобы получить доступ к этим параметрам, владелец команды может щелкнуть команду правой кнопкой мыши, выбрать Управление командой, а затем выбрать вкладку Параметры . Для этих действий имя измененного параметра отображается в столбце Элемент в результатах поиска в журнале аудита.
Изменена метка конфиденциальности SensitivityLabelChanged Пользователь изменил метку конфиденциальности на собрании Teams.
Создание чата 1 ChatCreated Создан чат Teams.
Создана группа TeamCreated Пользователь создает команду.
Удалено сообщение 2 MessageDeleted Сообщение в чате или канале было удалено.
Удалены все приложения организации DeletedAllOrganizationApps Удалены все приложения организации из каталога.
Удаленное приложение AppDeletedFromCatalog Приложение удалено из каталога.
Удален канал ChannelDeleted Пользователь удаляет канал из группы.
Удалена группа TeamDeleted Владелец команды удаляет ее.
Изменено сообщение со ссылкой НА URL-адрес в Teams MessageEditedHasLink Пользователь изменяет сообщение и добавляет к нему ССЫЛКу НА URL-адрес в Teams.
Экспортированные сообщения 1,2 MessagesExported Сообщения чата или канала экспортированы.
Экспортированные записи 1 RecordingExported Записи чата экспортированы.
Экспортированные расшифровки 1 TranscriptsExported Стенограммы чата экспортированы.
Не удалось проверить приглашение на общий канал 3 FailedValidation Пользователь отвечает на приглашение на общий канал, но его проверка не пройдена.
Чат с выборкой 1 ChatRetrieved Получен чат Microsoft Teams.
Получено все размещенное содержимое сообщения1 MessageHostedContentsListed Все размещенное в сообщении содержимое, например изображения или фрагменты кода, было извлечено.
Приложение установлено AppInstalled Установлено приложение.
Выполнено действие для карта PerformedCardAction Пользователь выполнил действия с адаптивным карта в чате. Адаптивные карточки обычно используются ботами для эффективного отображения информации и взаимодействия в чатах.

Заметка: В журнале аудита будут доступны только встроенные входные действия для адаптивного карта внутри чата. Например, когда пользователь отправляет ответ на опрос в беседе канала на адаптивном карта, созданном ботом опроса. Действия пользователя, такие как "Просмотр результата", при котором открывается диалоговое окно, или действия пользователя внутри диалогов, не будут доступны в журнале аудита.
Опубликовано новое сообщение 1, 6, 8 MessageSent Новое сообщение было опубликовано в чате или канале.
Опубликованное приложение AppPublishedToCatalog Приложение было добавлено в каталог.
Чтение сообщения 1 MessageRead Получено сообщение чата или канала.
Чтение размещенного содержимого сообщения 1 MessageHostedContentRead Было извлечено размещенное в сообщении содержимое, например изображение или фрагмент кода.
Бот удален из группы BotRemovedFromTeam Пользователь удаляет бот из группы.
Соединитель удален ConnectorRemoved Пользователь удаляет соединитель из канала.
Удаленные члены 8 MemberRemoved Владелец команды удаляет участников из команды, канала или группового чата.
Удалена метка конфиденциальности SensitivityLabelRemoved Пользователь удалил метку конфиденциальности из собрания Teams.
Удален общий доступ к каналу 3 команды TerminatedSharing Команда или владелец канала отключили общий доступ к общему каналу.
Восстановлен общий доступ к каналу 3 команды SharingRestored Команда или владелец канала повторно включил общий доступ для общего канала.
Вкладка удалена TabRemoved Пользователь удаляет вкладку из канала.
Ответ на приглашение для общего канала 3 InviteeResponded Пользователь ответил на приглашение общего канала.
Ответ на ответ приглашенного на общий канал 3 ChannelOwnerResponded Владелец канала ответил на ответ пользователя, который ответил на приглашение общего канала.
Полученные сообщения 1 MessagesListed Сообщения из чата или канала были получены.
Отправлено сообщение со ссылкой НА URL-адрес в Teams MessageCreatedHasLink Пользователь отправляет сообщение, содержащее URL-ссылку в Teams.
Уведомление об отправленных изменениях для создания сообщения 1 MessageCreatedNotification Было отправлено уведомление об изменении, чтобы уведомить приложение прослушивателя с подпиской о новом сообщении.
Отправленное уведомление об изменении для удаления сообщения 1 MessageDeletedNotification Было отправлено уведомление об изменениях, чтобы уведомить приложение прослушивателя с подпиской об удаленном сообщении.
Уведомление об изменении сообщения об обновлении 1 MessageUpdatedNotification Было отправлено уведомление об изменении, чтобы уведомить приложение прослушивателя с подпиской об обновленном сообщении.
Отправленное приглашение для общего канала 3 InviteSent Владелец канала или участник отправляет приглашение на общий канал. Приглашения на общие каналы можно отправлять пользователям за пределами организации, если политика канала настроена для предоставления доступа к каналу внешним пользователям.
Подписка на уведомления об изменении сообщений 1 SubscribedToMessages Подписка была создана приложением-прослушивателем для получения уведомлений об изменениях сообщений.
Удалено приложение AppUninstalled Приложение было удалено.
Обновленное приложение AppUpdatedInCatalog Приложение было обновлено в каталоге.
Обновлен чат 1 ChatUpdated Обновлен чат Teams.
Обновлено сообщение 1 MessageUpdated Обновлено сообщение чата или канала.
Обновлен соединитель ConnectorUpdated Пользователь изменил соединитель в канале.
Вкладка обновлена TabUpdated Пользователь изменил вкладку в канале.
Обновленное приложение AppUpgraded Приложение обновлено до последней версии в каталоге.
Пользователь вошел в Teams TeamsSessionStarted Пользователь входит в клиент Microsoft Teams. Это событие не фиксирует действия по обновлению маркера.
Опубликовано новое сообщение 3,4,6, 8 MessageSent Новое сообщение было опубликовано в чате или канале.

Примечание.

1 Запись аудита для этого события регистрируется только при выполнении операции путем вызова API Graph Майкрософт. Если операция выполняется в клиенте Teams, запись аудита не регистрируется.
2 Это событие доступно только в audit (Premium). Это означает, что пользователям должна быть назначена соответствующая лицензия, прежде чем эти события будут зарегистрированы в журнале аудита. Дополнительные сведения о действиях, доступных только в audit (Premium), см. в разделе Аудит (премиум) в Microsoft Purview. Требования к лицензированию для функции "Аудит" (премиум) см. в статье Решения для аудита в Microsoft 365.
3 Это событие находится в общедоступной предварительной версии.
4Это событие создается для чата только при наличии гостей, федеративных и (или) анонимных пользователей.
5 Это событие в настоящее время недоступно в облаке сообщества для государственных организаций (GCC), облаке сообщества для государственных организаций (GCC-High) и Министерстве обороны (DoD).
6 Это событие включается во всех участвующих клиентах для федеративных чатов.
7 Это событие содержит сведения о домене участника для федеративных чатов 1:1.
8 Это событие включается во все беседы чата между внешними пользователями Teams, управляемыми организацией, и внешними пользователями Teams, не управляемыми организацией.
9 Это событие в настоящее время недоступно в организациях Облака сообщества для государственных организаций (GCC) и Министерства обороны (DoD).

Действия в сфере здравоохранения, связанные с Microsoft Teams

Если в вашей организации используется приложение "Пациенты" в Microsoft Teams, вы можете выполнять в журнале аудита поиск действий, связанных с использованием приложения "Пациенты". Если ваша среда настроена для поддержки приложения "Пациенты", в списке выбора Действия доступна дополнительная группа действий.

Действия в сфере здравоохранения, связанные с Microsoft Teams, в списке выбора действий.

Описания действий приложения "Пациенты" см. в статье Журналы аудита приложения "Пациенты".

Действия, связанные с приложением "Смены" в Microsoft Teams

В следующей таблице перечислены действия приложения Shift в Microsoft Teams, которые регистрируются в журнале аудита Microsoft 365. Если в вашей организации используется приложение "Смены" в Microsoft Teams, вы можете выполнять в журнале аудита поиск действий, связанных с использованием приложения "Смены". Если ваша среда настроена для поддержки приложения "Смены", в списке выбора Действия доступна дополнительная группа действий.

Понятное имя Операция Описание
Добавлена группа планирования ScheduleGroupAdded Пользователь успешно добавляет в расписание новую группу планирования.
Измененная группа планирования ScheduleGroupEdited Пользователь успешно изменяет группу планирования.
Удаленная группа планирования ScheduleGroupDeleted Пользователь успешно удаляет группу планирования из расписания.
Отозвали расписание ScheduleWithdrawn Пользователь успешно отзывает опубликованное расписание.
Добавлена смена ShiftДобавлено Пользователь успешно добавляет смену.
Измененная смена ShiftEdited Пользователь успешно изменяет смену.
Удаленная смена ShiftDeleted Пользователь успешно удаляет смену.
Добавлено время отгула TimeOffAdded Пользователь успешно добавляет время отгула по расписанию.
Измененное время отгула TimeOffEdited Пользователь успешно изменяет время отгула.
Удалено время отгула TimeOffDeleted Пользователь успешно удаляет время отгула.
Добавлена открытая смена OpenShiftAdded Пользователь успешно добавляет открытую смену в группу планирования.
Измененная открытая смена OpenShiftEdited Пользователь успешно изменяет открытую смену в группе планирования.
Удалена открытая смена OpenShiftDeleted Пользователь успешно удаляет открытую смену из группы планирования.
Общее расписание ScheduleShared Пользователь успешно предоставил общий доступ к расписанию команды для диапазона дат.
Синхронизация с использованием часов времени ClockedIn Пользователь успешно выполняет часы с помощью часов времени.
Время ожидания с помощью часов ClockedOut Пользователь успешно выполняет синхронизацию с помощью часов времени.
Запуск перерыва с помощью часов времени BreakStarted Пользователь успешно запускает перерыв во время активного сеанса часов времени.
Окончание перерыва с помощью часов времени BreakEnded Пользователь успешно завершает перерыв во время активного сеанса часов времени.
Добавлена запись time clock TimeClockEntryAdded Пользователь успешно добавляет новую запись часов времени вручную в time sheet.
Запись измененных часов времени TimeClockEntryEdited Пользователь успешно изменяет запись часов в таблице времени.
Запись "Удаленные часы времени" TimeClockEntryDeleted Пользователь успешно удаляет запись time clock в time sheet.
Добавлен запрос на смену RequestAdded Пользователь добавил запрос на смену.
Ответ на запрос на смену RequestRespondedTo Пользователь ответил на запрос смены.
Отмененный запрос на смену RequestCancelled Пользователь отменил запрос на смену.
Изменен параметр расписания ScheduleSettingChanged Пользователь изменяет параметр в параметрах shifts.
Добавлена интеграция с персоналом WorkforceIntegrationДобавлено Приложение Shifts интегрировано со сторонней системой.
Сообщение о принятом отключении смены OffShiftDialogAccepted Пользователь подтверждает сообщение вне смены для доступа к Teams после смены.

Действия microsoft Teams Обновления

В следующей таблице перечислены Обновления приложения в Microsoft Teams, которые регистрируются в журнале аудита Microsoft 365. Если ваша организация использует приложение Обновления в Microsoft Teams, вы можете найти в журнале аудита действия, связанные с , с помощью приложения Обновления. Если ваша среда настроена для поддержки Обновления приложений, в списке Средства выбора действий доступна дополнительная группа действий для этих действий.

Понятное имя Операция Описание
Создание запроса на обновление CreateUpdateRequest Пользователь успешно создает запрос на обновление.
Изменение запроса на обновление EditUpdateRequest Пользователь открывает мастер редактирования запросов и нажимает кнопку Сохранить , чтобы подтвердить и сохранить любые изменения, либо включает или отключает запрос на обновление напрямую.
Отправка обновления SubmitUpdate Пользователь успешно отправляет обновление.
Просмотр сведений об одном обновлении ViewUpdate Пользователь просматривает сведения об обновлении.

Действия Microsoft To Do

В следующей таблице перечислены действия в Microsoft To Do, зарегистрированные в журнале аудита Microsoft 365. Дополнительные сведения о Microsoft To Do см. в разделе Поддержка Microsoft To Do.

Примечание.

События аудита для действий Microsoft To Do требуют платной лицензии Project, план 1 (или выше) в дополнение к соответствующей лицензии Microsoft 365, которая включает права на аудит (премиум).

Понятное имя Операция Описание
Ссылка для общего доступа к папке AcceptedSharingLinkOnFolder Принятая ссылка общего доступа для папки.
Вложение создано ВложениеСоздать Для задачи было создано вложение.
Вложение обновлено AttachmentUpdated Вложение обновлено.
Вложение удалено AttachmentDeleted Вложение удалено.
Общий доступ к папке FolderSharingLinkShared Создал ссылку для общего доступа к папке.
Связанная сущность удалена LinkedEntityDeleted Связанная сущность удалена.
Связанная сущность обновлена LinkedEntityUpdated Связанная сущность обновлена.
Созданная связанная сущность LinkedEntityCreated Создана связанная сущность задачи.
Созданная подзадака SubTaskCreated Создана подзадада.
Удалена подзадака SubTaskDeleted Удалена подзадаче.
Обновлена подзадака SubTaskUpdated Обновлена подзадада.
Созданная задача TaskCreated Задача создана.
Задача удалена TaskDeleted Задача удалена.
Чтение задачи TaskRead Задача была прочитана.
Задача обновлена TaskUpdated Задача обновлена.
Создан список задач TaskListCreated Был создан список задач.
Чтение списка задач TaskListRead Был прочитан список задач.
Список задач обновлен TaskListUpdated Список задач обновлен.
Приглашенный пользователь UserInvited Приглашенный пользователь в папку.

действия Microsoft Viva Insights

Viva Insights дает представление о том, как группы работают в вашей организации. В следующей таблице перечислены действия, выполняемые пользователями, которым назначена роль администратора или аналитика в Viva Insights. Пользователям с назначенной ролью аналитика полностью доступны все функции службы и возможность применения продукта для выполнения анализа. Пользователи, которым назначена роль администратора, могут настраивать параметры конфиденциальности и системные значения по умолчанию, а также могут подготавливать, передавать и проверять данные организации в Viva Insights. Дополнительные сведения см. в разделе Знакомство с Microsoft Viva Insights.

Понятное имя Операция Описание
Посещена ссылка OData AccessedOdataLink Аналитик посетил ссылку OData для запроса.
Добавлен делегированный доступ AddDelegates Пользователь добавил делегированный доступ для аналитики организации или панели мониторинга Copilot.
Отменен запрос CanceledQuery Аналитик отменил выполняемый запрос.
Создано исключение из собрания MeetingExclusionCreated Аналитик создал правило исключения из собрания.
Удален результат DeletedResult Аналитик удалил результат запроса.
Скачан отчет DownloadedReport Аналитик скачал файл результата запроса.
Выполнен запрос ExecutedQuery Аналитик выполнил запрос.
Удален доступ к делегатам RemoveDelegates Пользователь удалил делегированный доступ для аналитики организации или панели мониторинга Copilot.
Изменен параметр доступа к данным UpdatedDataAccessSetting Администратор обновил параметры доступа к данным.
Изменен параметр конфиденциальности UpdatedPrivacySetting Администратор обновленные параметры конфиденциальности, например минимальный размер группы.
Отправлены данные организации UploadedOrgData Администратор отправил файл данных организации.
Пользователь вошел в систему* UserLoggedIn Пользователь выполнил вход в свою учетную запись Microsoft 365.
Пользователь вышел из системы* UserLoggedOff Пользователь вышел из своей учетной записи Microsoft 365.
Просмотрено ViewedExplore Аналитик просмотрел визуализации на одной или нескольких вкладках страницы просмотра.

Примечание.

*событие действия Microsoft Entra входа и выхода создается при входе пользователя. Это действие регистрируется в журнале, даже если в вашей организации не включено Viva Insights. Дополнительные сведения о действиях входа пользователей см. в статье Журналы входа в Microsoft Entra ID.

Действия личной аналитики

В следующей таблице перечислены действия в личной аналитике, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о личной аналитике см. в Администратор руководстве по личной аналитике.

Понятное имя Операция Описание
Обновлены параметры MyAnalytics для организации UpdatedOrganizationMyAnalyticsSettings Администратор обновляет параметры уровня организации для личных аналитических сведений.
Обновлены параметры MyAnalytics для пользователей UpdatedUserMyAnalyticsSettings Администратор обновляет параметры пользователей для личной аналитики.

Карантинная деятельность

В следующей таблице перечислены действия на карантине, которые можно найти в журнале аудита. Дополнительные сведения о карантине см. в разделе Сообщения электронной почты на карантине.

Понятное имя Операция Описание
Удаленное карантинное сообщение QuarantineDeleteMessage Администратор или пользователь удалили сообщение электронной почты, которое было сочтено вредоносным.
Отклонен запрос на выпуск сообщения карантина QuarantineReleaseRequestDeny Отказ администратора в запросе на выпуск от пользователя для сообщения электронной почты, которое было признано вредоносным.
Экспортированное сообщение карантина QuarantineExport Администратор или пользователь экспортировал сообщение электронной почты, которое было сочтено вредоносным.
Предварительно просмотренное сообщение на карантине QuarantinePreview Администратор или пользователь предварительно просмотрил сообщение электронной почты, которое было признано вредоносным.
Выпущенное карантинное сообщение QuarantineRelease Администратор или пользователь выпустил сообщение электронной почты из карантина, которое было признано вредным.
Сообщение о карантине запроса на выпуск QuarantineReleaseRequest Пользователь запросил освобождение сообщения электронной почты, которое было признано вредоносным.
Просмотренный заголовок сообщения карантина QuarantineViewHeader Администратор или пользователь просмотрел заголовок сообщения электронной почты, которое было сочтено вредоносным.

Действия отчетов

В таблице ниже перечислены действия для отчетов об использовании, которые регистрируются в журнале аудита Microsoft 365.

Понятное имя Операция Описание
Обновлены параметры конфиденциальности отчета об использовании UpdateUsageReportsPrivacySetting Администратор обновил параметры конфиденциальности для отчетов об использовании.

Действия, связанные с политикой хранения и метками хранения

В следующей таблице описываются действия настройки политик хранения и меток хранения при их создании, перенастройке или удалении.

Понятное имя Операция Описание
Изменено членство в адаптивной области ApplicableAdaptiveScopeChange Пользователи, сайты или группы добавлены в адаптивную область или удалены из нее. Эти изменения являются результатами выполнения запроса области. Эти изменения были инициированы системой, поэтому в качестве имени пользователя отображается GUID, а не учетная запись пользователя.
Настроены параметры политики хранения NewRetentionComplianceRule Администратор настроил параметры хранения для новой политики хранения. Параметры хранения включают срок хранения элементов и действия в отношении элементов по истечении срока хранения (например, удаление, хранение или хранение и последующее удаление элементов). Это действие также соответствует выполнению командлета New-RetentionComplianceRule.
Адаптивная область создана NewAdaptiveScope Администратор создал адаптивную область.
Создана метка хранения NewComplianceTag Администратор создал новую метку хранения.
Создана политика хранения NewRetentionCompliancePolicy Администратор создал новую политику хранения.
Адаптивная область удалена RemoveAdaptiveScope Администратор удалил адаптивную область.
Удалены параметры из политики хранения RemoveRetentionComplianceRule
Администратор удалил параметры конфигурации политики хранения. Скорее всего, это действие регистрируется, когда администратор удаляет политику хранения или запускает командлет Remove-RetentionComplianceRule.
Удалена метка хранения RemoveComplianceTag Администратор удалил метку хранения.
Удалена политика хранения RemoveRetentionCompliancePolicy
Администратор удалил политику хранения.
Включен параметр записи, отвечающей нормативным требованиям, для меток хранения
SetRestrictiveRetentionUI Администратор запустил командлет Set-RegulatoryComplianceUI, чтобы иметь возможность выбрать параметр конфигурации пользовательского интерфейса, позволяющий пометить содержимое как запись, отвечающую нормативным требованиям, с помощью метки хранения.
Упреждающее хранение элемента электронной почты ExchangeDataProactivelyPreserved Адаптивная защита автоматически применила метку хранения для хранения элемента в Exchange.
Упреждающее хранение файла SharePointDataProactivelyPreserved Адаптивная защита автоматически применила метку хранения для хранения элемента в SharePoint или OneDrive.
Адаптивная область обновлена SetAdaptiveScope Администратор изменил описание или запрос для существующей адаптивной области.
Обновлены параметры политики хранения SetRetentionComplianceRule Администратор изменил параметры хранения для существующей политики хранения. Параметры хранения включают срок хранения элементов и действия в отношении элементов по истечении срока хранения (например, удаление, хранение или хранение и последующее удаление элементов). Это действие также соответствует выполнению командлета Set-RetentionComplianceRule.
Обновлена метка хранения SetComplianceTag Администратор обновил существующую метку хранения.
Обновлена политика хранения SetRetentionCompliancePolicy Администратор обновил существующую политику хранения. К обновлениям, запускающим это событие, относятся добавление и исключение расположений контента, к которым применяется политика хранения.

Действия, связанные с администрированием ролей

В следующей таблице перечислены Microsoft Entra действия администрирования ролей, которые регистрируются, когда администратор управляет ролями администратора в Центр администрирования Microsoft 365 или на портале управления Azure.

Примечание.

Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").

Понятное имя Операция Описание
В роль добавлен участник В роль добавлен участник. Добавил пользователя к роли администратора в Microsoft 365.
Из роли каталога удален пользователь Удаление участника из роли. Удален пользователь из роли администратора в Microsoft 365.
Настройка контактных данных компании Настройка контактных данных компании. Обновлены параметры контактов на уровне компании для вашей организации. Сюда входят адреса электронной почты для подписки, отправляемой Microsoft 365, и технические уведомления об услугах.

Действия типов конфиденциальной информации

В следующей таблице описаны события аудита для действий, связанных с созданием и обновлением типов конфиденциальной информации.

Понятное имя Операция Описание
Создан новый тип конфиденциальной информации CreateRulePackage / EditRulePackage* Создан новый тип конфиденциальной информации. Сюда входят все SIT,созданные путем копирования из коробки SIT.

Примечание. Это действие показано в действиях аудита "Созданный пакет правил" или "Измененный пакет правил".

Изменен тип конфиденциальной информации EditRulePackage Изменен существующий тип конфиденциальной информации. Сюда могут входить такие операции, как добавление или удаление шаблона и редактирование регулярного выражения или ключевое слово, связанных с типом конфиденциальной информации.

Заметка: Это действие всплывает в действии аудита "Измененный пакет правил".

Удален тип конфиденциальной информации EditRulePackage / RemoveRulePackage Существующий тип конфиденциальной информации удален.

Заметка: Это действие будет отображаться в действии аудита "Измененный пакет правил" или "Удаленный пакет правил".

Действия с метками конфиденциальности

В следующей таблице перечислены события, которые возникают в результате использования меток конфиденциальности с сайтами и элементами, управляемыми Microsoft Purview. К элементам относятся документы, сообщения электронной почты и события календаря. Для политик автоматической маркировки элементы также включают файлы и схематизированные ресурсы данных в Схема данных Microsoft Purview.

Понятное имя Операция Описание
Метка конфиденциальности применена к сайту SiteSensitivityLabelApplied Метка конфиденциальности была применена к сайту SharePoint или сайту Teams, который не подключен к группе.
Метка конфиденциальности, примененная к сайту, удалена SiteSensitivityLabelRemoved Метка конфиденциальности была удалена с сайта SharePoint или сайта Teams, который не подключен к группе.
Метка конфиденциальности применена к файлу FileSensitivityLabelApplied

SensitivityLabelApplied
Метка конфиденциальности была применена к элементу с помощью приложений Microsoft 365, Office для Интернета или политики автоматической маркировки.

Операции для этого действия различаются в зависимости от того, как была применена метка:
— Office для Интернета или политики автоматической маркировки (FileSensitivityLabelApplied)
— Приложения Microsoft 365 (SensitivityLabelApplied)
Метка конфиденциальности, примененная к файлу, изменена FileSensitivityLabelChanged

SensitivityLabelUpdated
К элементу применена другая метка конфиденциальности.

Операции для этого действия отличаются в зависимости от изменения метки:
— Office для Интернета или политики автоматической маркировки (FileSensitivityLabelChanged)
- Приложения Microsoft 365 (SensitivityLabelUpdated)
На сайте изменена метка конфиденциальности SiteSensitivityLabelChanged К сайту SharePoint или сайту Teams, который не подключен к группе, применена другая метка конфиденциальности.
Метка конфиденциальности, примененная к файлу, удалена FileSensitivityLabelRemoved

SensitivityLabelRemoved
Метка конфиденциальности была удалена из элемента с помощью приложений Microsoft 365, Office для Интернета, политики автоматической маркировки или командлета Unlock-SPOSensitivityLabelEncryptedFile.

Операции для этого действия различаются в зависимости от того, как была удалена метка:
— Office для Интернета или политики автоматической маркировки (FileSensitivityLabelRemoved)
— Приложения Microsoft 365 (SensitivityLabelRemoved)

Дополнительные сведения об аудите меток конфиденциальности:

Действия, связанные со списками SharePoint

В таблице ниже описаны действия, относящиеся к взаимодействию пользователей со списками и элементами списков в SharePoint Online. Записи аудита для некоторых действий SharePoint указывают, app@sharepoint пользователь выполнил действие от имени пользователя или администратора, который инициировал действие. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.

Понятное имя Операция Описание
Создан список ListCreated Пользователь создал список SharePoint.
Создан столбец списка ListColumnCreated Пользователь создал столбец списка SharePoint. Столбец списка — это столбец, прикрепленный к одному или нескольким спискам SharePoint.
Создан тип контента списка ListContentTypeCreated Пользователь создал тип контента списка. Тип контента списка — это тип контента, прикрепленный к одному или нескольким спискам SharePoint.
Создан элемент списка ListItemCreated Пользователь создал элемент в существующем списке SharePoint.
Создан столбец сайта SiteColumnCreated Пользователь создал столбец сайта SharePoint. Столбец сайта — это столбец, не прикрепленный к списку. Столбец сайта также является структурой метаданных, которую можно использовать в любом списке на определенном веб-сайте.
Создан тип контента сайта Создан объект ContentType сайта Пользователь создал тип контента сайта. Тип контента сайта — это тип контента, прикрепленный к родительскому сайту.
Удален список ListDeleted Пользователь удалил список SharePoint.
Удален столбец списка Столбец списка удален Пользователь удалил столбец списка SharePoint.
Удален тип контента списка ListContentTypeDeleted Пользователь удалил тип контента списка.
Удален элемент списка Элемент списка удален Пользователь удалил элемент списка SharePoint.
Удален столбец сайта SiteColumnDeleted Пользователь удалил столбец сайта SharePoint.
Удален тип контента сайта SiteContentTypeDeleted Пользователь удалил тип контента сайта.
Перемещен в корзину элемент списка ListItemRecycled Пользователь переместил элемент списка SharePoint в корзину.
Восстановлен список ListRestored Пользователь восстановил список SharePoint из корзины.
Восстановлен элемент списка ListItemRestored Пользователь восстановил элемент списка SharePoint из корзины.
Обновлен список ListUpdated Пользователь обновил список SharePoint, изменив одно или несколько свойств.
Обновлен столбец списка ListColumnUpdated Пользователь обновил столбец списка SharePoint, изменив одно или несколько свойств.
Обновлен тип контента списка ListContentTypeUpdated Пользователь обновил тип контента списка, изменив одно или несколько свойств.
Обновлен элемент списка ListItemUpdated Пользователь обновил элемент списка SharePoint, изменив одно или несколько свойств.
Обновленное представление списка ListViewUpdated Пользователь обновил представление списка SharePoint, изменив одно или несколько свойств.
Обновлен столбец сайта SiteColumnUpdated Пользователь обновил столбец сайта SharePoint, изменив одно или несколько свойств.
Обновлен тип контента сайта SiteContentTypeUpdated Пользователь обновил тип контента сайта, изменив одно или несколько свойств.

Действия, связанные с общим доступом и запросами на доступ

В таблице ниже описаны действия, связанные с общим доступом и запросами на доступ пользователей в SharePoint Online и OneDrive для бизнеса. Для совместного доступа к событиям столбец Сведения в разделе Результаты определяет имя пользователя или группы, которым предоставлен общий доступ к элементу, а также их тип (участник или гость организации). Для получения дополнительной информации см. раздел Использование аудита совместного использования в журнале аудита.

Примечание.

Пользователи могут быть членами или гостями на основе свойства UserType объекта пользователя. Как правило, участник — это сотрудник, а гость — подрядчик за пределами организации. Когда пользователь принимает приглашение к общему доступу (и при этом еще не входит в состав организации), для него создается гостевая учетная запись в каталоге организации. После того как для гостевого пользователя будет создана учетная запись в каталоге, ему можно будет напрямую предоставлять общий доступ к ресурсам (без приглашения).

Понятное имя Операция Описание
Добавлен уровень разрешений для семейства веб-сайтов PermissionLevelAdded Для семейства веб-сайтов добавлен уровень разрешений.
Запрос на доступ принят AccessRequestAccepted Запрос на доступ к сайту, папке или документу принят, и запросившему пользователю предоставлен доступ.
Приглашение к совместному использованию принято SharingInvitationAccepted Пользователь (участник или гость) принял приглашение на общий доступ и получил доступ к ресурсу. Это событие содержит сведения о пользователе, который был приглашен, и адресе электронной почты, который использовался для принятия приглашения (они могут различаться). Это действие зачастую сопровождается вторым событием, которое описывает способ предоставления пользователю доступа к ресурсу, например его добавление в группу, у которой есть такой доступ.
Заблокировано приглашение к совместному использованию SharingInvitationBlocked Приглашение к общему доступу, отправленное пользователем вашей организации, заблокировано из-за политики внешнего общего доступа, которая разрешает или запрещает внешний доступ, исходя из домена целевого пользователя. В данном случае приглашение к общему доступу было заблокировано по одной из следующих причин:
Домен целевого пользователя не входит в список разрешенных доменов.
ИЛИ
Домен целевого пользователя включен в список блокируемых доменов.
Дополнительные сведения о разрешении и блокировании внешнего общего доступа в зависимости от домена см. в статье Ограничение общего доступа для доменов в SharePoint Online и OneDrive для бизнеса.
Создан запрос на доступ AccessRequestCreated Пользователь запрашивает доступ к сайту, папке или документу, на доступ к которым у него нет разрешений.
Создана ссылка общего доступа для компании CompanyLinkCreated Пользователь создал на уровне организации ссылку на ресурс. Ссылки на уровне организации могут использовать только участники вашей организации. Их не могут использовать гости.
Создана анонимная ссылка AnonymousLinkCreated Пользователь создал анонимную ссылку на ресурс. По этой ссылке любой пользователь может получить доступ к ресурсу без проверки подлинности.
Создана безопасная ссылка SecureLinkCreated Для элемента создана безопасная ссылка общего доступа.
Приглашение к совместному использованию создано SharingInvitationCreated Пользователь предоставил общий доступ к ресурсу в SharePoint Online или OneDrive для бизнеса другому пользователю, отсутствующему в каталоге организации.
Удалена безопасная ссылка SecureLinkDeleted Безопасная ссылка общего доступа была удалена.
Отклонен запрос на доступ AccessRequestDenied Запрос на доступ к сайту, папке или документу отклонен.
Удалена корпоративная ссылка для общего доступа CompanyLinkRemoved Пользователь удалил корпоративную ссылку на ресурс. Эту ссылку больше нельзя использовать для доступа к ресурсу.
Удалена анонимная ссылка AnonymousLinkRemoved Пользователь удалил анонимную ссылку на ресурс. Эту ссылку больше нельзя использовать для доступа к ресурсу.
Предоставлен общий доступ к файлу, папке или сайту SharingSet Пользователь (участник или гость) предоставил общий доступ к файлу, папке или сайту в SharePoint или OneDrive для бизнеса другому пользователю, присутствующему в каталоге организации. Значение в столбце Сведения для этого действия определяет имя пользователя, которому был предоставлен общий доступ к ресурсу, и его тип (участник или гость).

Это действие зачастую сопровождается вторым событием, описывающим способ предоставления пользователю доступа к ресурсу. Например, его добавление в группу, у которой есть такой доступ.
Обновлен запрос на доступ AccessRequestUpdated Запрос на доступ к элементу был обновлен.
Обновлена анонимная ссылка AnonymousLinkUpdated Пользователь обновил анонимную ссылку на ресурс. При экспорте результатов поиска обновленное поле добавляется в свойство EventData.
Обновлено приглашение к совместному использованию SharingInvitationUpdated Приглашение к внешнему общему доступу было обновлено.
Использована анонимная ссылка AnonymousLinkUsed Анонимный пользователь обратился к ресурсу по анонимной ссылке. Личность пользователя может быть неизвестна, однако можно получить другие сведения, такие как его IP-адрес.
Отменен общий доступ к файлу, папке или сайту SharingRevoked Пользователь (участник или гость) отменил общий доступ к файлу, папке или сайту, к которым ранее был предоставлен общий доступ другому пользователю.
Использована ссылка общего доступа для компании CompanyLinkUsed Пользователь обратился к ресурсу по ссылке на уровне организации.
Использована безопасная ссылка SecureLinkUsed Пользователь использовал безопасную ссылку.
Пользователь добавлен в безопасную ссылку AddedToSecureLink Пользователь был добавлен в список объектов, которые могут использовать безопасную ссылку для общего доступа.
Пользователь удален из безопасной ссылки RemovedFromSecureLink Пользователь был удален из списка объектов, которые могут использовать безопасную ссылку для общего доступа.
Приглашение к совместному использованию отозвано SharingInvitationRevoked Пользователь отозвал приглашение на общий доступ к ресурсу.

Действия, связанные с администрированием сайта

В таблице ниже перечислены события, возникающие в результате действий по администрированию сайта в SharePoint Online. Как упоминалось ранее, записи аудита для некоторых действий SharePoint указывают на то, app@sharepoint пользователь выполнил действия от имени пользователя или администратора, который инициировал действие. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Понятное имя Операция Описание
Добавлено разрешенное расположение данных AllowedDataLocationAdded Администратор SharePoint или глобальный администратор добавил разрешенное расположение данных в среду с поддержкой нескольких регионов.
Добавлен исключаемый агент пользователя ExemptUserAgentSet Администратор SharePoint или глобальный администратор добавил агента пользователя в список исключаемых агентов пользователя в Центре администрирования SharePoint.
Добавлен администратор географического расположения GeoAdminAdded Администратор SharePoint или глобальный администратор добавил пользователя в качестве администратора географического расположения.
Пользователю разрешено создавать группы AllowGroupCreationSet Администратор или владелец сайта добавляет уровень разрешений для сайта, позволяющий пользователю создавать группы на этом сайте.
Отменено географическое перемещение сайта SiteGeoMoveCancelled Администратор SharePoint или глобальный администратор успешно отменяет географические перемещения сайта SharePoint или OneDrive. Возможность Multi-Geo позволяет организации охватывать несколько географических центров Microsoft, которые называются geos. Дополнительную информацию см. в разделе Многофункциональные возможности в OneDrive и SharePoint Online.
Изменена политика общего доступа SharingPolicyChanged Администратор SharePoint или глобальный администратор изменил политику общего доступа SharePoint с помощью Центра администрирования Microsoft 365, Центра администрирования SharePoint или командной консоли SharePoint Online. Любое изменение параметров политики общего доступа в организации регистрируется в журнале. Измененная политика указывается в поле ModifiedProperties подробных свойств записи о событии.
Изменена политика доступа к устройству DeviceAccessPolicyChanged Администратор SharePoint или глобальный администратор изменил политику неуправляемых устройств для организации. Эта политика контролирует доступ к SharePoint, OneDrive и Microsoft 365 с устройств, которые не подключены к вашей организации. Для настройки этой политики необходима подписка на Enterprise Mobility + Security. Дополнительные сведения см. в статье Управление доступом с неуправляемых устройств.
Изменены исключаемые агенты пользователя CustomizeExemptUsers Администратор SharePoint или глобальный администратор настроил список исключаемых агентов пользователя в Центре администрирования SharePoint. Вы можете указать, какие агенты пользователя не должны получать веб-страницы полностью для индексации. Это означает, что когда агент пользователя, указанный как исключение, сталкивается с формой InfoPath, форма возвращается в виде XML-файла, а не всей веб-страницы. Это позволяет ускорить индексацию форм InfoPath.
Изменена политика доступа к сети NetworkAccessPolicyChanged Администратор SharePoint или глобальный администратор изменил политику доступа по расположению (также называемую границей надежной сети) в Центре администрирования SharePoint или с помощью SharePoint Online PowerShell. Политика этого типа регулирует доступ к ресурсам SharePoint и OneDrive в организации на основе указанных вами диапазонов авторизованных IP-адресов. Дополнительные сведения см. в статье Управление доступом к данным SharePoint Online и OneDrive на основе сетевых расположений.
Завершенное задание миграции MigrationJobCompleted Задание миграции успешно завершено.
Завершено географическое перемещение сайта SiteGeoMoveCompleted Географическое перемещение сайта, запланированное глобальным администратором организации, успешно выполнено. Возможность Multi-Geo позволяет организации охватывать несколько географических центров Microsoft, которые называются geos. Дополнительную информацию см. в разделе Многофункциональные возможности в OneDrive и SharePoint Online.
Создано подключение "Отправить пользователю" SendToConnectionAdded Администратор SharePoint или глобальный администратор создает подключение для отправки на странице управления записями в Центре администрирования SharePoint. Подключение для отправки определяет параметры для репозитория документов или центра записей. После создания подключения отправки организатор контента может отправлять документы в указанное расположение.
Создано семейство веб-сайтов SiteCollectionCreated Администратор SharePoint или глобальный администратор создает семейство веб-сайтов в организации SharePoint Online или пользователь подготавливает свой сайт OneDrive для бизнеса.
Удален потерянный центральный сайт HubSiteOrphanHubDeleted Администратор SharePoint или глобальный администратор удалил потерянный центральный сайт, у которого отсутствуют связанные с ним сайты. Возникновение потерянного центрального сайта, скорее всего, вызвано удалением исходного центрального сайта.
Удалены подключения "Отправить пользователю" SendToConnectionRemoved Администратор SharePoint или глобальный администратор удаляет подключение для отправки на странице управления записями в Центре администрирования SharePoint.
Удален сайт SiteDeleted Администратор сайта удаляет сайт.
Включен предварительный просмотр документов PreviewModeEnabledSet Администратор сайта включает предварительный просмотр документов для сайта.
Включен устаревший рабочий процесс LegacyWorkflowEnabledSet Администратор или владелец сайта добавляет тип контента задачи рабочего процесса SharePoint 2013 на сайт. Глобальные администраторы также могут включить рабочие процессы для всей организации в Центре администрирования SharePoint.
Включен Office по запросу OfficeOnDemandSet Администратор сайта включает функцию "Office по запросу", с помощью которой пользователи могут получать доступ к последней версии классических приложений Office. Office on Demand включен в центре администрирования SharePoint и требует подписку Microsoft 365, которая включает в себя полные установленные приложения Office.
Включен источник результатов для поиска людей PeopleResultsScopeSet Администратор сайта создает источник результатов для функции "Поиск людей" на сайте.
Включены RSS-каналы NewsFeedEnabledSet Администратор или владелец сайта включает RSS-каналы для сайта. Глобальные администраторы могут включить RSS-каналы для всей организации в Центре администрирования SharePoint.
Сайт присоединен к центральному сайту HubSiteJoined Владелец сайта связывает свой сайт с центральным сайтом.
Изменена квота семейства веб-сайтов SiteCollectionQuotaModified Администратор сайта изменяет квоту для семейства веб-сайтов.
Зарегистрирован центральный сайт HubSiteRegistered Администратор SharePoint или глобальный администратор создает центральный сайт. В результате сайт будет зарегистрирован как центральный сайт.
Удалено разрешенное расположение данных AllowedDataLocationDeleted Администратор SharePoint или глобальный администратор удалил разрешенное расположение данных из среды с поддержкой нескольких регионов.
Удален администратор географического расположения GeoAdminDeleted Администратор SharePoint или глобальный администратор удалил пользователя из роли администратора географического расположения.
Переименован сайт SiteRenamed Администратор или владелец сайта переименовывает сайт.
Запланировано географическое перемещение сайта SiteGeoMoveScheduled Администратор SharePoint или глобальный администратор успешно планирует географическое перемещение сайта SharePoint или OneDrive. Возможность Multi-Geo позволяет организации охватывать несколько географических центров Microsoft, которые называются geos. Дополнительную информацию см. в разделе Многофункциональные возможности в OneDrive и SharePoint Online.
Настроен сайт узла HostSiteSet Администратор SharePoint или глобальный администратор изменяет сайт, назначенный для размещения личных сайтов или сайтов OneDrive для бизнеса.
Задана квота хранилища для географического расположения GeoQuotaAllocated Администратор SharePoint или глобальный администратор настроил квоту хранилища для географического расположения в среде с поддержкой нескольких регионов.
Сайт отсоединен от центрального сайта HubSiteUnjoined Владелец сайта отсоединяет свой сайт от центрального сайта.
Отменена регистрация центрального сайта HubSiteUnregistered Администратор SharePoint или глобальный администратор отменяет регистрацию сайта в качестве центрального сайта. При отмене регистрации центрального сайта он перестает выполнять функции центрального сайта.

Действия, связанные с разрешениями для сайтов

В таблице ниже перечислены события, связанные с назначением разрешений в SharePoint и использованием групп для предоставления (и отзыва) доступа к сайтам. Как упоминалось ранее, записи аудита для некоторых действий SharePoint указывают на то, app@sharepoint пользователь выполнил действия от имени пользователя или администратора, который инициировал действие. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.

Понятное имя Операция Описание
Добавлен администратор семейства веб-сайтов SiteCollectionAdminAdded Администратор или владелец семейства веб-сайтов добавляет пользователя в качестве администратора семейства веб-сайтов для сайта. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам. Это действие также записывается в журнал, когда администратор предоставляет себе доступ к учетной записи OneDrive пользователя (путем изменения профиля пользователя в Центре администрирования SharePoint или с помощью Центра администрирования Microsoft 365).
В группу SharePoint добавлен пользователь или группа AddedToGroup Пользователь добавил участника или гостя в группу SharePoint. Это может быть как намеренным действием, так и результатом другого действия, например события предоставления общего доступа.
Нарушено наследование уровня разрешений PermissionLevelsInheritanceBroken В результате изменения элемент больше не наследует уровни разрешений от родительского элемента.
Нарушено наследование общего доступа SharingInheritanceBroken В результате изменения элемент больше не наследует разрешения на общий доступ от родительского элемента.
Создана группа GroupAdded Администратор или владелец сайта создает группу для сайта или выполняет задачу, приводящую к созданию группы. Например, когда пользователь впервые создает ссылку на общий доступ к файлу, на сайт OneDrive для бизнеса этого пользователя добавляется системная группа. Это событие также может возникнуть, если пользователь создал ссылку с разрешениями на внесение изменений в общий файл.
Удалена группа GroupRemoved Пользователь удаляет группу с сайта.
Изменен параметр запроса доступа WebRequestAccessModified Параметры запросов на доступ изменились на сайте.
Изменен параметр "Участники могут предоставлять доступ" WebMembersCanShareModified Параметр Участники могут предоставлять доступ был изменен на сайте.
Изменен уровень разрешений для семейства веб-сайтов PermissionLevelModified В семействе веб-сайтов изменен уровень разрешений.
Изменены разрешения сайта SitePermissionsModified Администратор или владелец сайта (либо системная учетная запись) изменяет уровень разрешений, назначенный группе на сайте. Это действие также записывается в журнал при удалении всех разрешений, назначенных группе.

ПРИМЕЧАНИЕ. Эту операцию не рекомендуется использовать в SharePoint Online. Чтобы обнаружить связанные события, можно найти другие действия, связанные с разрешениями, например Добавлен администратор семейства веб-сайтов, В группу SharePoint добавлен пользователь или группа, Пользователю разрешено создавать группы, Создана группа и Удалена группа.
Удален уровень разрешений для семейства веб-сайтов PermissionLevelRemoved Из семейства веб-сайтов удален уровень разрешений.
Удален администратор семейства веб-сайтов SiteCollectionAdminRemoved Администратор или владелец семейства веб-сайтов удаляет пользователя из роли администратора семейства веб-сайтов для сайта. Это действие также записывается в журнал, когда администратор удаляет себя из списка администраторов семейства веб-сайтов для учетной записи OneDrive пользователя (путем изменения профиля пользователя в Центре администрирования SharePoint). Чтобы вернуть это действие в результатах поиска по журналу аудита, необходимо выполнить поиск по всем действиям.
Из группы SharePoint удален пользователь или группа RemovedFromGroup Пользователь удалил участника или гостя из группы SharePoint. Это может быть как намеренным действием, так и результатом другого действия, например события отмены общего доступа.
Запрошены разрешения администратора сайта SiteAdminChangeRequest Пользователь отправил запрос на добавление себя в качестве администратора семейства веб-сайтов. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам.
Восстановлено наследование общего доступа SharingInheritanceReset Выполнено изменение, в результате которого элемент снова наследует разрешения общего доступа от родительского элемента.
Обновлена группа GroupUpdated Администратор или владелец сайта изменяет параметры группы для сайта. Это может быть изменение имени группы, списка пользователей, которые могут просматривать или изменять состав группы, а также способа обработки запросов на вступление в группу.

Действия, связанные с синхронизацией

В таблице ниже перечислены действия, связанные с синхронизацией файлов в SharePoint Online и OneDrive для бизнеса.

Понятное имя Операция Описание
Компьютеру разрешено синхронизировать файлы ManagedSyncClientAllowed Пользователь успешно устанавливает отношение синхронизации с сайтом. Отношение синхронизации установлено успешно, так как компьютер пользователя входит в домен, добавленный в список доменов (так называемый список надежных получателей) и позволяющий получить доступ к библиотекам документов в вашей организации.

Подробнее об этой функции см. в статье Использование командлетов Windows PowerShell для обеспечения синхронизации OneDrive для доменов, включенных в список надежных получателей.
На компьютере заблокирована синхронизация файлов UnmanagedSyncClientBlocked Пользователь пытается установить связь синхронизации с сайтом с компьютера, который не является членом домена вашей организации или членом домена, который не был добавлен в список доменов (список надежных получателей), который может получить доступ к библиотекам документов в вашей организации. Связь синхронизации запрещена, и компьютер пользователя блокирует синхронизацию, скачивание или отправку файлов в библиотеку документов.

Подробнее об этой функции см. в статье Использование командлетов Windows PowerShell для включения синхронизации OneDrive для доменов, включенных в список надежных получателей.
На компьютер скачаны файлы FileSyncDownloadedFull Пользователь скачивает файл на свой компьютер из библиотеки документов SharePoint или OneDrive для бизнеса с помощью приложения синхронизации OneDrive (OneDrive.exe).
На компьютер скачаны изменения в файле FileSyncDownloadedPartial Это событие, а также старое приложение синхронизации OneDrive для бизнеса (Groove.exe) больше не поддерживаются.
Файлы выложены в библиотеку документов FileSyncUploadedFull Пользователь отправляет новый файл или изменения файла в библиотеку документов SharePoint или OneDrive для бизнеса с помощью приложения синхронизации OneDrive (OneDrive.exe).
Изменения в файле выложены в библиотеку документов FileSyncUploadedPartial Это событие, а также старое приложение синхронизации OneDrive для бизнеса (Groove.exe) больше не поддерживаются.

Действия SystemSync

В таблице ниже перечислены действия SystemSync, зарегистрированные в журнале аудита Microsoft 365.

Понятное имя Операция Описание
Создан общий ресурс данных DataShareCreated При создании экспорта данных пользователем.
Удален общий ресурс данных DataShareDeleted При удалении экспорта данных пользователем.
Создание копии данных озера GenerateCopyOfLakeData При создании копии данных озера.
Скачивание копии данных озера DownloadCopyOfLakeData При скачивании копии данных озера.

Действия, связанные с администрированием пользователей

В таблице ниже перечислены действия по администрированию пользователей, которые регистрируются, когда администратор добавляет или изменяет учетную запись пользователя в Центре администрирования Microsoft 365 или на портале управления Azure.

Примечание.

Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").

Действие Операция Описание
Добавлен пользователь Добавление пользователя. Учетная запись пользователя была создана.
Изменена лицензия пользователя Изменение лицензии пользователя. Лицензия, назначенная пользователю, изменилась. Чтобы узнать, какие лицензии изменились, просмотрите соответствующее действие Обновлен пользователь.
Изменен пароль пользователя Смена пароля пользователя. Пользователь изменяет пароль. В организации необходимо включить самостоятельный сброс пароля (для всех или для выбранных пользователей), чтобы пользователи могли сбрасывать пароль. Вы также можете отслеживать действия самостоятельного сброса пароля в Microsoft Entra ID. Дополнительные сведения см. в разделе Параметры отчетов для управления паролями Microsoft Entra.
Удален пользователь Удаление пользователя. Учетная запись пользователя была удалена.
Сброшен пароль пользователя Сброс пароля пользователя. Администратор сбрасывает пароль пользователя.
Назначено свойство, которое заставляет пользователей изменить пароль Установка принудительной смены пароля пользователя. Администратор установил свойство, предписывающее пользователю сменить пароль при следующем входе в Microsoft 365.
Настроить свойства лицензии Настройка свойств лицензии. Администратор изменяет свойства лицензии, назначенной пользователю.
Обновлен пользователь Обновление пользователя. Администратор изменяет одно или несколько свойств учетной записи пользователя. Список свойств пользователя, которые можно обновить, см. в разделе "Обновление атрибутов пользователя" статьи Microsoft Entra событиях отчета аудита.

действия Viva Goals

В следующей таблице перечислены действия пользователей и администраторов в Viva Goals, которые регистрируются для аудита. Таблица содержит понятное имя, отображаемое в столбце Действия, и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.

Выполните поиск в журнале аудита , как найти журналы аудита на портале Microsoft Purview и на портале соответствия требованиям. Пользователь должен быть глобальным администратором или иметь разрешения на чтение аудита для доступа к журналам аудита. С помощью фильтра Действия можно искать определенные действия и выводить список всех Viva Goals действий, которые можно выбрать "VivaGoals" в фильтре типа записи. Вы также можете использовать поля диапазона дат и список Пользователи, чтобы еще больше сузить результаты поиска.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Понятное имя Операция Описание
Организация создана Организация создана Администратор или пользователь создал новую организацию на Viva Goals.
Пользователь добавлен Пользователь добавлен Новый пользователь был добавлен в организацию на Viva Goals.
Пользователь отключен Пользователь отключен Пользователь отключен в организации.
Пользователь удален Пользователь удален Пользователь был удален из организации Viva Goals.
Пользователь вошел в систему Пользователь вошел в систему Пользователь вошел в Viva Goals.
Добавлена команда Добавлена команда В Viva Goals в организации создана новая команда.
Команда обновлена Команда обновлена Команда в организации на Viva Goals была изменена или обновлена.
Команда удалена Команда удалена Команда в организации на Viva Goals была удалена пользователем.
Экспортированные данные Экспортированные данные Пользователь экспортировал список OKR или список пользователей в организации на Viva Goals.
Goals политика обновлена Goals политика обновлена Глобальный администратор изменил политику или параметры на уровне клиента на Viva Goals. Например, глобальный администратор настроил, кто может создавать организации на Viva Goals.
Обновлены параметры организации Обновлены параметры организации Пользователь (обычно владельцы или администраторы организации) обновил параметры организации в Viva Goals.
Обновлены интеграции организации Обновлены интеграции организации Пользователь (обычно владельцы или администраторы организации) настроил стороннюю интеграцию или обновил существующую стороннюю интеграцию для организации на Viva Goals.
OKR или project created OKR или project created Пользователь создал OKR или Project на Viva Goals.
OkR или Project обновлены OkR или Project обновлены OkR/Project был изменен или пользователь включил проверка или интеграцию с Viva Goals.
OkR или Project удалены OkR или Project удалены Пользователь удалил OKR или Project.
Созданная панель мониторинга Созданная панель мониторинга Пользователь создал новую панель мониторинга на Viva Goals
Обновлена панель мониторинга Обновлена панель мониторинга Пользователь обновил панель мониторинга на Viva Goals
Удалена панель мониторинга Удалена панель мониторинга Пользователь удалил панель мониторинга на Viva Goals.

действия Viva Engage

В следующей таблице перечислены действия пользователей и администраторов в Viva Engage, зарегистрированные в журнале аудита. Чтобы вернуть действия, связанные с Viva Engage, из журнала аудита необходимо выбрать Пункт Показать результаты для всех действий в списке Действия. Уточнить результаты поиска можно с помощью полей диапазона дат и списка Пользователи.

Примечание.

Некоторые Viva Engage действия аудита доступны только в разделе Аудит (Премиум). Это означает, что пользователям необходимо назначить соответствующую лицензию, прежде чем эти действия будут зарегистрированы в журнале аудита. Дополнительные сведения см. в разделе Аудит (премиум). Требования к лицензированию для функции "Аудит" (премиум) см. в статье Решения для аудита в Microsoft 365.

В следующей таблице действия, доступные в функции "Аудит" (премиум), выделены звездочкой (*).

Понятное имя Операция Описание
Changed data retention policy (Изменена политика хранения данных) SoftDeleteSettingsUpdated Проверенный администратор изменяет значение параметра сетевой политики хранения данных — задает необратимое или обратимое удаление. Это действие могут выполнять только проверенные администраторы.
Изменена конфигурация сети NetworkConfigurationUpdated Сетевой или проверенный администратор изменяет конфигурацию сети Viva Engage. Операция включает настройку интервала для экспорта данных и включение чата.
Изменены параметры сетевого профиля ProcessProfileFields Администратор сети или проверенный администратор изменяет информацию, отображаемую в профилях участников для сетевых пользователей.
Changed private content mode (Изменен режим личного содержимого) SupervisorAdminToggled Проверенный администратор включает или выключает режим частного содержимого . Этот режим позволяет администратору просматривать записи в закрытых группах и личную переписку между отдельными пользователями (или группами пользователей). Это действие могут выполнять только проверенные администраторы.
Changed security configuration (Изменена конфигурация безопасности) NetworkSecurityConfigurationUpdated Проверенный администратор обновляет конфигурацию безопасности сети Viva Engage. Операция включает настройку политик времени прекращения действия и ограничений для IP-адресов. Это действие могут выполнять только проверенные администраторы.
Created file (Создан файл) FileCreated Пользователь добавляет файл.
Создана группа GroupCreation Пользователь создает группу.
Создано сообщение Создание сообщения Пользователь создает сообщение.
Удалена группа GroupDeletion Группа удаляется из Viva Engage.
Deleted message (Удалено сообщение) MessageDeleted Пользователь удаляет сообщение.
Скачан файл FileDownloaded Пользователь скачивает файл.
Exported data (Экспортированы данные) DataExport Проверенный администратор экспортирует Viva Engage сетевые данные. Это действие могут выполнять только проверенные администраторы.
Не удалось получить доступ к сообществу CommunityAccessFailure Пользователю не удалось получить доступ к сообществу.
Не удалось получить доступ к файлу FileAccessFailure Пользователю не удалось получить доступ к файлу.
Не удалось получить доступ к сообщению MessageAccessFailure Пользователю не удалось получить доступ к сообщению.
Реагировал на сообщение MarkedMessageChanged Пользователь отреагировал на сообщение.
Удалить курируемый раздел* RemoveCuratedTopic Пользователь удаляет курируемый раздел.
Пользователь поделился файлом FileShared Пользователь делится файлом с другим пользователем.
Suspended network user (Приостановлен пользователь сети) NetworkUserSuspended Сетевой или проверенный администратор приостанавливает (деактивирует) пользователя от Viva Engage.
Suspended user (Приостановлен пользователь) UserSuspension Активность учетной записи пользователя приостановлена (деактивирована).
Updated file description (Обновлено описание файла) FileUpdateDescription Пользователь изменяет описание файла.
Updated file name (Обновлено имя файла) FileUpdateName Пользователь изменяет имя файла.
Обновлено сообщение MessageUpdated Пользователь обновляет сообщение.
Viewed file (Просмотрен файл) FileVisited Пользователь просматривает файл.
Просмотрено сообщение MessageViewed Пользователь просматривает сообщение.

Viva активности Pulse

В следующей таблице перечислены действия пользователей и администраторов в Viva Pulse, зарегистрированные для аудита. Таблица содержит понятное имя, отображаемое в столбце Действия, и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.

Выполните поиск в журнале аудита , как найти журналы аудита на портале Microsoft Purview и на портале соответствия требованиям. Пользователь должен быть глобальным администратором или иметь разрешения на чтение аудита для доступа к журналам аудита. Фильтр Действия можно использовать для поиска определенных действий и для перечисления всех действий Viva Pulse можно выбрать VivaPulse в фильтре Типа записи. Вы также можете использовать поля диапазона дат и список Пользователи, чтобы еще больше сузить результаты поиска.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Понятное имя Операция Описание
Пользователь отправил ответ на опрос пульса PulseSubmit Администратор или пользователь предоставили отзыв для запроса обратной связи Viva Pulse.
Пользователь создал опрос Pulse PulseCreate Создается новый запрос обратной связи Viva Pulse.
Пользователь продлил крайний срок опроса пульса PulseExtendDeadline Крайний срок для существующего запроса обратной связи Viva Pulse был продлен.
Пользователь пригласил дополнительных пользователей в опрос Pulse PulseInvite Дополнительные пользователи были приглашены на существующий запрос обратной связи Viva Pulse.
Пользователь отменил опрос Pulse PulseCancel Пользователь отменил опрос Pulse.
Пользователь предоставил общий доступ к отчету pulse PulseShareResults Viva результат обратной связи Pulse был предоставлен пользователям.
Пользователь создал черновик Pulse PulseCreateDraft Пользователь создал черновик Pulse.
Пользователь удалил черновик Pulse PulseDeleteDraft Пользователь удалил черновик Pulse.
Администратор удалены данные пользователя PulseDeleteUserData Администратор удалены данные пользователя.
Администратор обновлены параметры клиента PulseTenantSettingsUpdate Администратор обновлен параметр организации для Viva Pulse.

Windows 365 действия с хранилищем для клиентов

В следующей таблице перечислены действия пользователей и администраторов в Windows 365 customer Lockbox, зарегистрированные в журнале аудита. Чтобы вернуть Windows 365 действий, связанных с защищенной папкой клиента, из журнала аудита выберите Windows365CustomerLockbox в разделе Типы записей. Уточнить результаты поиска можно с помощью полей диапазона дат и списка Пользователи.

Понятное имя Операция Описание
Активация исправления устройства Активация исправления устройства Активируйте исправление устройства.
Отправка папки в BLOB-объект Отправка папки в BLOB-объект Сжать и передать папку устройства клиента в большой двоичный объект.
Проверка политики выполнения PowerShell Проверка политики выполнения PowerShell Проверьте политику выполнения PowerShell.
Установка агента RD Установка агента RD Установите агент RD на устройстве пользователя.
Запуск гибридного расширения AADJ Запуск гибридного расширения AADJ Запустите гибридное расширение AADJ на устройстве пользователя.
Создание запроса VmExtension Создание запроса VmExtention Создает запросы на расширение виртуальной машины для выполнения расширения виртуальной машины для выполнения пользовательских сценариев на устройстве клиента.
Триггер оркестратора Триггер оркестратора Активировать оркестратор для пользователя.
Активация универсального действия SaaF Активация универсального действия SaaF Активировать действие устройства (retargeting, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) для пользователя.
Универсальное действие триггера Универсальное действие триггера Активировать действие устройства для пользователя.
Активация универсального действия с параметрами Активация универсального действия с параметрами Активируйте действие устройства с параметрами параметров, более мощными, чем при универсальном действии триггера.
Создание новых рабочих элементов (планировщик) Создание новых рабочих элементов (планировщик) Создание новых рабочих элементов, например подготовка, отзыв, повторная подготовка и т. д.
Операция после удаленного действия Операция после удаленного действия Опубликуйте удаленное действие, а также опрашиваете результат с помощью операции GetActions.
Выполнение команд OCE на виртуальной машине Выполнение команд OCE на виртуальной машине Выполните команды по идентификатору клиента, списку идентификаторов устройств и скрипту.
Создание запроса LogCollection Создание запроса LogCollection Создайте запрос на сбор журналов на облачный компьютер.
Запуск агента CMD Canary проверка. Запуск агента CMD Canary проверка. Запуск проверка агента CMD на определенном устройстве.
Выполнение AppHealthPlugin Выполнение AppHealthPlugin Выполните AppHealthPlugin.
Агент CMD backfill Операция AddDevicesToBackfill Резервное заполнение агента CMD на облачном компьютере.
Переустановка агента CMD Операция AddDevicesToReinstall Переустановите агент CMD по запросу.
Массовая переустановка агента CMD Операция TriggerClientAgentCheckBulkAction Массовая переустановка агента CMD по запросу.
Создание удаленной операции действия в ActionModeratorService Создание удаленной операции действия в ActionModeratorService Создание удаленного действия по идентификаторам клиента, workspaceID, actionType, actionParameters.