Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Sie die Ergebnisse einer Überwachungsprotokollsuche aus dem Microsoft Purview-Portal exportieren, können Sie alle Ergebnisse herunterladen, die Ihren Suchkriterien entsprechen. Sie können diese Informationen exportieren, indem Sie auf der Seite Überwachungsprotokollsuche die Option Ergebnisse> exportierenAlle Ergebnisse herunterladen auswählen. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls.
Wenn Sie alle Ergebnisse für eine Überwachungsprotokollsuche exportieren, werden die Rohdaten aus dem einheitlichen Überwachungsprotokoll in eine CSV-Datei (Comma-Separated Value) kopiert, die Sie auf Ihren lokalen Computer herunterladen. Diese Datei enthält zusätzliche Eigenschafteninformationen aus jedem Überwachungsaktivitätsdatensatz in einer Spalte mit dem Namen AuditData. Diese Spalte enthält eine mehrwertige Eigenschaft für mehrere Eigenschaften aus dem Überwachungsprotokolldatensatz. Jedes der Eigenschafts-:-Wertpaare in dieser mehrwertigen Eigenschaft wird durch ein Komma getrennt.
In der folgenden Tabelle werden die Aktivitätseigenschaften beschrieben, die (abhängig vom Dienst, in dem eine Aktivität auftritt) in der AuditData-Spalte mit mehreren Eigenschaften enthalten sind. Der Microsoft-Dienst mit dieser Eigenschaftsspalte gibt den Dienst und den Typ der Aktivität (Benutzer oder Administrator) an, die die Eigenschaft enthält. Ausführlichere Informationen zu diesen Eigenschaften oder zu Eigenschaften, die in diesem Artikel möglicherweise nicht aufgeführt sind, finden Sie unter Schema der Verwaltungsaktivitäts-API.
Tipp
Sie können die JSON-Transformationsfunktion in Power Query in Excel verwenden, um die Spalte AuditData in mehrere Spalten aufzuteilen, sodass jede Eigenschaft über eine eigene Spalte verfügt. Mit diesem Feature können Sie eine oder mehrere dieser Eigenschaften sortieren und filtern. Informationen dazu finden Sie unter Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokolldatensätzen.
| Eigenschaft | Beschreibung | Microsoft-Dienst mit dieser Eigenschaft |
|---|---|---|
| Akteur | Das Benutzer- oder Dienstkonto, das die Aktion ausgeführt hat. | Microsoft Entra-ID |
| AddOnName | Der Name eines Add-Ons, das in einem Team hinzugefügt, entfernt oder aktualisiert wurde. Der Typ von Add-Ons in Microsoft Teams ist ein Bot, ein Connector oder eine Registerkarte. | Microsoft Teams |
| AddOnType | Der Typ eines Add-Ons, das in einem Team hinzugefügt, entfernt oder aktualisiert wurde. Die folgenden Werte geben den Typ des Add-Ons an. 1 – Gibt einen Bot an. 2 – Gibt einen Connector an. 3 – Gibt eine Registerkarte an. |
Microsoft Teams |
| AppAccessContext | Der Anwendungskontext für den Benutzer oder Dienstprinzipal, der die Aktion ausgeführt hat. | Microsoft Teams |
| ArtifactShared | Dateien oder Inhalte, die vom Benutzer freigegeben werden. | Microsoft Teams |
| AzureActiveDirectoryEventType | Der Typ der Microsoft Entra ID Aktivität. Die folgenden Werte geben den Typ der Aktivität an. 0 – Gibt eine Kontoanmeldungsaktivität an. 1 – Gibt eine Azure Anwendungssicherheitsaktivität an. |
Microsoft Entra-ID |
| ChannelGuid | Die ID eines Microsoft Teams-Kanals. Das Team, in dem sich der Kanal befindet, wird durch die Eigenschaften TeamName und TeamGuid identifiziert. | Microsoft Teams |
| ChannelName | Der Name eines Microsoft Teams-Kanals. Das Team, in dem sich der Kanal befindet, wird durch die Eigenschaften TeamName und TeamGuid identifiziert. | Microsoft Teams |
| Client | Das Clientgerät, das Gerätebetriebssystem und der Gerätebrowser, der für die Anmeldeaktivität verwendet wird (z. B. Nokia Lumia 920; Windows Phone 8; IE Mobile 11). | Microsoft Entra-ID |
| ClientInfoString | Informationen zum E-Mail-Client, der zum Ausführen des Vorgangs verwendet wurde, z. B. browserversion, Outlook-Version und Informationen zu mobilen Geräten | Exchange (Postfachaktivität) |
| ClientIP | Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse einer vertrauenswürdigen Anwendung (z.B. Office in den Web-Apps), die anstelle eines Benutzers in den Dienst einruft und nicht die IP-Adresse des Geräts, das von der Person, die die Aktivität ausgeführt hat, verwendet wird. Außerdem wird bei Administratoraktivitäten (oder aktivitäten, die von einem Systemkonto ausgeführt werden) für Microsoft Entra ID-bezogene Aktivitäten die IP-Adresse nicht protokolliert, und der Wert für die ClientIP-Eigenschaft lautet null. |
Microsoft Entra ID, Exchange, SharePoint |
| CreationTime | Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), wann der Überwachungsprotokolldatensatz generiert wird. | Alle |
| CurrentProtectionType | Ein komplexer Eigenschaftentyp, der Felder enthält, um den aktuellen Schutz status eines Dokuments zu beschreiben. Umfasst Folgendes: ProtectionType: Listet den Schutztyp auf, der auf das Dokument angewendet wird. Diese Werte und ihre Bedeutung gelten: 0 (kein Schutz), 1 (vorlagenbasierter Schutz), 2 (nicht weiterleiten, für E-Mail), 3 (nur verschlüsseln) und 4 (benutzerdefinierter, vom Benutzer konfigurierter Schutz) Besitzer: Die E-Mail-Adresse des Benutzers, der den Schutz konfiguriert hat. TemplateId: Wenn ProtectionType auf 1 (Vorlage) festgelegt ist, enthält dieses Feld die GUID der Vorlage, die auf das Dokument angewendet wird. Wenn der Wert von ProtectionType nicht gleich 1 ist, ist dieses Feld leer. DocumentEncrypted: Boolesches Flag, das angibt, ob eine Art von Verschlüsselung auf das Dokument angewendet wird. Die Werte sind True oder False. |
Alle |
| DestinationFileExtension | Der Erweiterung der Datei, die kopiert oder verschoben wurde. Diese Eigenschaft wird nur für die Benutzeraktivitäten FileCopied und FileMoved angezeigt. | SharePoint |
| DestinationFileName | Der Name der Datei wird kopiert oder verschoben. Diese Eigenschaft wird nur für die Aktionen FileCopied und FileMoved angezeigt. | SharePoint |
| DestinationRelativeUrl | Die URL des Zielordners, in den eine Datei kopiert oder verschoben wurde. Die Kombination der Werte für die SiteURL, die DestinationRelativeURL und die DestinationFileName-Eigenschaft ist identisch mit dem Wert für die ObjectID-Eigenschaft , die den vollständigen Pfadnamen für die kopierte Datei darstellt. Diese Eigenschaft wird nur für die Benutzeraktivitäten FileCopied und FileMoved angezeigt. | SharePoint |
| EventSource | Gibt an, dass eine Aktivität in SharePoint aufgetreten ist. Mögliche Werte sind SharePoint und ObjectModel. | SharePoint |
| ExtendedProperties | Die erweiterten Eigenschaften für Microsoft Purview und Microsoft Entra ID Aktivitäten. | Microsoft Entra-ID Microsoft Purview |
| ExternalAccess | Gibt für Exchange-Administratoraktivitäten an, ob das Cmdlet von einem Benutzer in Ihrem organization, von Microsoft-Rechenzentrumsmitarbeitern oder einem Rechenzentrumsdienstkonto oder von einem delegierten Administrator ausgeführt wurde. Der Wert False gibt an, dass das Cmdlet von einer Person in Ihrer Organisation ausgeführt wurde. Der Wert True gibt an, dass das Cmdlet von Mitarbeiter des Rechenzentrums, einem Rechenzentrum-Dienstkonto oder einem delegierten Administrator ausgeführt wurde. Gibt für Exchange-Postfachaktivitäten an, ob ein Benutzer außerhalb Ihres organization auf ein Postfach zugreift. |
Exchange |
| ID | Die ID des Berichtseintrags. Die ID identifiziert den Berichtseintrag eindeutig. | Alle |
| InternalLogonType | Für die interne Verwendung reserviert. | Exchange (Postfachaktivität) |
| IsJoinedFromLobby | Gibt an, ob der Benutzer über den Wartebereich einer Teams-Sitzung beigetreten ist oder nicht. | Microsoft Teams |
| ItemType | Der Typ des Objekts, auf das zugegriffen bzw. das geändert wurde. Mögliche Werte sind File, Folder, Web, Site, Tenant und DocumentLibrary. | SharePoint |
| LoginStatus | Identifiziert Anmeldefehler, die möglicherweise aufgetreten sind. | Microsoft Entra-ID |
| LogonType | Der Typ des Postfachzugriffs. Die folgenden Werte geben den Typ des Benutzers an, der auf das Postfach zugegriffen hat. 0 – Gibt einen Postfachbesitzer an. 1 – Gibt einen Administrator an. 2 – Gibt einen Delegaten an. 3 – Gibt den Transportdienst im Microsoft-Rechenzentrum an. 4 – Gibt ein Dienstkonto im Microsoft-Rechenzentrum an. 6 – Gibt einen delegierten Administrator an. |
Exchange (Postfachaktivität) |
| MailboxGuid | Die Exchange-GUID des Postfachs, auf das zugegriffen wurde. | Exchange (Postfachaktivität) |
| MailboxOwnerUPN | Die E-Mail-Adresse der Person, die das Postfach besitzt, auf das zugegriffen wurde. | Exchange (Postfachaktivität) |
| Members | Listet die Benutzer auf, die einem Team hinzugefügt oder entfernt wurden. Die folgenden Werte geben den Rollentyp an, der dem Benutzer zugewiesen wurde. 1 – Gibt die Memberrolle an. 2 – Gibt die Rolle Besitzer an. 3 - Gibt die Gastrolle an. Die Eigenschaft „Mitglieder“ enthält auch den Namen Ihrer Organisation und die E-Mail-Adresse des Mitglieds. |
Microsoft Teams |
| ModifiedProperties (Name, NewValue, OldValue) | Die -Eigenschaft ist für Administratoraktivitäten enthalten, z. B. das Hinzufügen eines Benutzers als Mitglied einer Website oder einer Websitesammlungsadministratorgruppe. Die Eigenschaft enthält den Namen der Eigenschaft, die geändert wurde (z. B. die Gruppe Site Admin), den neuen Wert der geänderten Eigenschaft (z. B. den Benutzer, der als Websiteadministrator hinzugefügt wurde, und den vorherigen Wert des geänderten Objekts). | Alle (Administratoraktivität) |
| NewValue | Der Wert nach einer Änderung enthält alle aktualisierten oder gelöschten Eigenschaften. | Microsoft Purview (Governance) |
| ObjectFullyQualifiedName | Der vollqualifizierte Name für eine Entität. | Microsoft Purview (Governance) |
| ObjectId | Für Exchange-Verwaltungsüberwachungsprotokolle der Name des Objekts, das vom Cmdlet geändert wurde. Bei SharePoint-Aktivitäten der vollständige URL-Pfadname der Datei oder des Ordners, auf die ein Benutzer zugreift. Bei Azure AD-Aktivität der Name des Benutzerkontos, das geändert wurde. |
Alle |
| ObjectName | Der Name der Hauptentität. | Microsoft Purview (Governance) |
| ObjectType | Der Entitätstyp. | Microsoft Purview (Governance) |
| OldValue | Der Wert vor einer Änderung enthält alle aktualisierten oder gelöschten Eigenschaften. | Microsoft Purview (Governance) |
| Vorgang | Der Name der Benutzer- oder Verwaltungsaktivität. Der Wert dieser Eigenschaft entspricht dem Wert, der in der Dropdownliste Aktivitäten ausgewählt wurde. Wenn Ergebnisse für alle Aktivitäten anzeigen ausgewählt wurde, enthält der Bericht Einträge für alle Benutzer- und Administratoraktivitäten für alle Dienste. Eine Beschreibung der Vorgänge/Aktivitäten, die im Überwachungsprotokoll protokolliert werden, finden Sie auf der Registerkarte Überwachte Aktivitäten unter Durchsuchen des Überwachungsprotokolls im Office 365. Für Exchange-Administratoraktivitäten gibt diese Eigenschaft den Namen des Cmdlets an, das ausgeführt wurde. |
Alle |
| OrganizationId | Die GUID für Ihre organization. | Alle |
| Parameter | Bei Exchange-Administratoraktivitäten der Name und der Wert für alle Parameter, die mit dem Cmdlet verwendet wurden, das in der Operation-Eigenschaft identifiziert wird. | Exchange (Administratoraktivität) |
| ParticipantInfo | Zusätzliche Eigenschaften zur Teilnehmeridentität. | Microsoft Teams |
| ParticipatingDomainInformation | Domäneninformationen zum Teilnehmer. | Microsoft Teams |
| Pfad | Der Name des Postfachordners, in dem sich die Nachricht, auf die zugegriffen wurde, befindet. Diese Eigenschaft identifiziert auch den Ordner a, in dem eine Nachricht erstellt oder kopiert/verschoben wird. | Exchange (Postfachaktivität) |
| PreviousProtectionType | Ein komplexer Eigenschaftentyp, der Felder enthält, um den vorherigen Schutz status eines Dokuments zu beschreiben. Umfasst Folgendes: ProtectionType: Listet den Schutztyp auf, der auf das Dokument angewendet wird. Diese Werte und ihre Bedeutungen gelten: 0 (kein Schutz), 1 (vorlagenbasierter Schutz), 2 (nicht weiterleiten, für E-Mail), 3 (nur verschlüsseln), 4 (benutzerdefinierter, vom Benutzer konfigurierter Schutz) Besitzer: Die E-Mail-Adresse des Benutzers, der den Schutz konfiguriert hat. TemplateId: Wenn ProtectionType auf 1 (Vorlage) festgelegt ist, enthält dieses Feld die GUID der Vorlage, die auf das Dokument angewendet wird. Wenn der Wert von ProtectionType nicht gleich 1 ist, ist dieses Feld leer. DocumentEncrypted: Boolesches Flag, das angibt, ob eine Art von Verschlüsselung auf das Dokument angewendet wird. Die Werte sind True oder False. |
Alle |
| ProtectionEventType | Listet auf, wie der Schutz durch den überwachten Vorgang geändert wurde. Es gelten die folgenden Werte und Bedeutungen: 0 – Gibt unverändert an. 1 – Gibt an, dass hinzugefügt wurde. 2 – Gibt an, dass geändert wurde. 3 – Gibt an, dass entfernt wurde. |
Alle |
| RecordType | Der vom Datensatz angegebene Vorgangstyp. Diese Eigenschaft gibt den Dienst oder das Feature an, in dem der Vorgang ausgelöst wurde. Eine Liste der Datensatztypen und ihren entsprechenden ENUM-Wert (der in der RecordType-Eigenschaft in einem Überwachungsdatensatz angezeigte Wert) finden Sie unter Überwachungsprotokolldatensatztyp. | |
| ResultStatus | Gibt an, ob die Aktion (in der Operation-Eigenschaft angegeben) erfolgreich war oder nicht. Für Exchange-Administratoraktivitäten ist der Wert entweder True (erfolgreich) oder False (Fehler). |
Alle |
| SecurityComplianceCenterEventType | Gibt an, dass es sich bei der Aktivität um eine Microsoft Purview-Portalaktivität handelt. Alle Microsoft Purview-Portalaktivitäten haben den Wert 0 für diese Eigenschaft. | Microsoft Purview-Portal |
| SensitivityLabel | Die Vertraulichkeitsbezeichnung, die einem bestimmten E-Mail-Element zugewiesen ist. | Exchange |
| SharingType | Der Typ der Freigabeberechtigungen, die Sie dem Benutzer zugewiesen haben, für den Sie die Ressource freigegeben haben. Dieser Benutzer wird in der UserSharedWith-Eigenschaft identifiziert. | SharePoint |
| Website | Die GUID der Website, auf der sich die Datei oder der Ordner, auf die bzw. den der Benutzer zugegriffen hat, befindet. | SharePoint |
| SiteUrl | Die URL der Website, auf der sich die Datei oder der Ordner, auf die bzw. den der Benutzer zugegriffen hat, befindet. | SharePoint |
| SourceFileExtension | Die Dateierweiterung der Datei, auf die der Benutzer zugegriffen hat. Diese Eigenschaft ist leer, wenn das Objekt, auf das zugegriffen wurde, ein Ordner ist. | SharePoint |
| SourceFileName | Der Name der Datei oder des Ordners, auf die der Benutzer zugegriffen hat. | SharePoint |
| SourceRelativeUrl | Die URL des Ordners, der die Datei enthält, auf die der Benutzer zugegriffen hat. Die Kombination der Werte für siteURL, SourceRelativeURL und sourceFileName-Eigenschaft ist identisch mit dem Wert für die ObjectID-Eigenschaft , die den vollständigen Pfadnamen für die Datei darstellt, auf die der Benutzer zugegriffen hat. | SharePoint |
| Subject | Die Betreffzeile der Nachricht, auf die zugegriffen wurde. | Exchange (Postfachaktivität) |
| TabType | Der Typ der Registerkarte, die in einem Team hinzugefügt, entfernt oder aktualisiert wurde. Gültige Werte für diese Eigenschaft sind: Excel-Pin : Eine Excel-Registerkarte. Erweiterung : Alle Erst- und Drittanbieter-Apps; z. B. Klassenzeitplan, VSTS und Formulare. Notizen : OneNote-Registerkarte. Pdfpin : Eine PDF-Registerkarte. Powerbi : Eine Power BI-Registerkarte. Powerpointpin : Eine PowerPoint-Registerkarte. Sharepointfiles : Eine SharePoint-Registerkarte. Webseite : Eine angeheftete Websiteregisterkarte. Wiki-Registerkarte: Eine Wiki-Registerkarte . Wordpin: Eine Word Registerkarte. |
Microsoft Teams |
| Ziel | Der Benutzer, für den die Aktion (identifiziert in der Operation-Eigenschaft ) ausgeführt wurde. Wenn beispielsweise ein Gast zu SharePoint oder einem Microsoft-Team hinzugefügt wird, wird dieser Benutzer in dieser Eigenschaft aufgeführt. | Microsoft Entra-ID |
| TeamGuid | Die ID eines Teams in Microsoft Teams. | Microsoft Teams |
| TeamName | Der Name eines Teams in Microsoft Teams. | Microsoft Teams |
| UserAgent | Informationen zum Browser des Benutzers. Der Browser stellt diese Informationen bereit. | SharePoint |
| UserDomain | Identitätsinformationen zum Mandanten organization des Benutzers (Akteurs), der die Aktion ausgeführt hat. | Microsoft Entra-ID |
| UserId | Der Benutzer, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft ), die dazu geführt hat, dass der Datensatz protokolliert wurde. Überwachungsdatensätze für Aktivitäten, die von Systemkonten (z. B. SHAREPOINT\system oder NT AUTHORITY\SYSTEM) ausgeführt werden, sind ebenfalls im Überwachungsprotokoll enthalten. Ein weiterer allgemeiner Wert für die UserId-Eigenschaft ist app@sharepoint. Dieser Wert gibt an, dass der "Benutzer", der die Aktivität ausgeführt hat, eine Anwendung war, die über die erforderlichen Berechtigungen in SharePoint verfügt, um organization-weite Aktionen (z. B. eine SharePoint-Website oder ein OneDrive-Konto durchsuchen) im Namen eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter: Der app@sharepoint Benutzer in Überwachungsdatensätzen oder Systemkonten in Exchange-Postfachüberwachungsdatensätzen. |
Alle |
| UserKey | Enthält eine gültige Microsoft Entra ID-Objekt-ID im GUID-Format oder hexax-Format. In Szenarien, in denen der primäre Akteur kein Benutzer ist, ist userKey eine leere Zeichenfolge. Ausführliche Informationen zu verschiedenen UserKey-Szenarien finden Sie unter UserType- und UserKey-Szenarien. | Alle |
| UserType | Der Typ des Benutzers, der den Vorgang ausgeführt hat. Ausführliche Informationen zu verschiedenen UserType-Szenarien finden Sie unter UserType- und UserKey-Szenarien. | Alle |
| Version | Gibt die Versionsnummer der aktivität (identifiziert durch die Operation-Eigenschaft ) an, die protokolliert wird. | Alle |
| Arbeitslast | Der Microsoft 365-Dienst, in dem die Aktivität aufgetreten ist. | Alle |
UserType- und UserKey-Szenarien
Die folgende Tabelle enthält Details zu UserType - und UserKey-Szenarien :
| Wert | UserType-Membername | Beschreibung | UserKey |
|---|---|---|---|
| 0 | Regular | Ein regulärer Benutzer ohne Administratorberechtigungen. | Microsoft Entra Objekt-ID im GUID-Format |
| 2 | Administrator | Ein Administrator in Ihrem Microsoft 365-organization.1 | Microsoft Entra Objekt-ID im GUID-Format |
| 3 | DCAdmin | Ein Microsoft-Rechenzentrumsadministrator- oder Rechenzentrumssystemkonto. | Microsoft Entra Objekt-ID im GUID-Format |
| 4 | System | Ein Überwachungsereignis, das von serverseitiger Logik ausgelöst wird. Beispielsweise Windows-Dienste oder Hintergrundprozesse. | Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000) |
| 5 | Anwendung | Ein Überwachungsereignis, das von einer Microsoft Entra Anwendung ausgelöst wird. | Microsoft Entra Anwendungsname oder Anwendungs-ID (sofern verfügbar). Andernfalls eine leere Zeichenfolge. |
| 6 | ServicePrincipal | Ein Dienstprinzipal. | Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000) |
| 7 | CustomPolicy | Eine vom Kunden erstellte oder verwaltete Richtlinie. | Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000) |
| 8 | SystemPolicy | Eine von Microsoft verwaltete Oder Systemrichtlinie. | Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000) |
| 9 | PartnerTechniker | Der Benutzer eines Partnermandanten, der im Namen des Kundenmandanten (in GDAP-Szenarien ) arbeitet. | Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000) |
| 10 | Gast | Ein Gast oder anonymer Benutzer. | Guid.Empty.ToString() (oder der Wert '00000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000) |
| 11 | Agent | Ein KI-Agent | Microsoft Entra Objekt-ID des primären Agents im GUID-Format. |
Hinweis
1 Bei Microsoft Entra zugehörigen Ereignissen wird der Wert für einen Administrator nicht in einem Überwachungsdatensatz verwendet. Überwachungsdatensätze für Aktivitäten, die von Administratoren ausgeführt werden, deuten darauf hin, dass ein normaler Benutzer (z. B . UserType: 0) die Aktivität ausgeführt hat. Die UserID-Eigenschaft identifiziert die Person (regulärer Benutzer oder Administrator), die die Aktivität ausgeführt hat.