Office 365 活動報告中的稽核事件

 

適用版本: Exchange Online, Office 365, OneDrive for Business, SharePoint Online

上次修改主題的時間: 2015-10-14

 

Office 365 活動報告在 Office 365 規範中心中還無法使用。

Office 365 活動報告在 Office 365 規範中心是用來檢視您的 Office 365 組織中的使用者和系統管理活動。報告包含 Exchange Online、SharePoint Online 和 商務用 OneDrive 中活動的項目。報告也包含 Azure Active Directory 中系統管理活動的項目,也就是 Office 365 的目錄服務。本主題說明記錄的最常見事件。如需有關執行報告的詳細資訊,請參閱Run the Office 365 activity report

下列各節說明所有 Office 365 服務的事件,該服務是透過 Office 365 活動報告稽核和傳回。

在以下每個小節 (Exchange 系統管理稽核記錄檔除外),每個事件會包含下列資訊:

  • 事件   事件名稱,該事件顯示在所選事件之報告的詳細資料窗格中。

  • 易記名稱   報告和活動下拉式清單的 [活動] 欄位中顯示的名稱。

  • 描述   事件的描述。

  • 在活動清單中?   表示事件是否列在 [顯示此使用者活動的結果] 下方的清單中。如果列出事件,您可以選取它以僅傳回該事件的記錄。如果未列出事件,您必須選取 [所有活動] 以傳回所有事件的記錄。然後您可以排序記錄的清單以檢視特定事件的記錄。

    選取 [所有活動],以傳回下拉式清單中未列出的事件記錄

Exchange 系統管理員稽核記錄 - 預設在 Office 365 中啟用 - 會在系統管理員 (或已被指派系統管理權限的使用者) 在您的 Exchange Online 組織中進行變更時,於 Office 365 使用者活動報告中記錄事件。使用 Exchange 系統管理中心或執行 Windows PowerShell 中的 Cmdlet 所做的變更會記錄在 Exchange 系統管理稽核記錄中。這些項目會提供執行的 Cmdlet、使用的參數值、Cmdlet 的執行者,以及受影響的物件的相關資訊。如需有關 Exchange 中系統管理稽核記錄的詳細資訊,請參閱系統管理員稽核記錄

若要從 Exchange 系統管理稽核記錄傳回項目,您必須在 Office 365 活動報告的使用者活動清單中選取 [所有活動]。使用 [日期範圍] 方塊和 [顯示這些使用者的結果] 下拉式清單,來縮小特定 Exchange 系統管理員執行的 Cmdlet 的稽核記錄項目的搜尋結果。

回到頁首

信箱稽核記錄會記錄當系統管理員、委派的使用者或信箱擁有者存取 Exchange 信箱時產生的事件。存取信箱的使用者所執行的動作的相關資訊會記錄在 Exchange Online 中,並且顯示在 Office 365 使用者活動報告。信箱稽核記錄的項目包含下列資訊:

  • 存取的信箱。

  • 存取信箱的人員 (系統管理員、代理人或擁有者) 及存取時間。

  • 存取的郵件及其資料夾位置。

  • 使用者執行的動作和動作是否成功。

重要重要事項:
信箱稽核記錄必須針對使用者信箱啟用。不過,當您啟用信箱稽核時,不會稽核信箱擁有者執行的任何動作。您必須指定要稽核哪些擁有者動作。如需詳細資訊,請參閱啟用 Office 365中的信箱稽核

下表列出信箱稽核記錄所記錄的事件。表格也會識別事件是在系統管理員、代理人或信箱擁有者存取信箱時記錄。Office 365 活動報告上的 [顯示此使用者活動的結果] 底下不會列出任何信箱稽核記錄事件。若要傳回信箱稽核事件的記錄,您必須在使用者活動清單中選取 [所有活動]。使用 [日期範圍] 方塊和 [顯示這些使用者的結果] 下拉式清單,來縮小特定信箱的稽核記錄項目的搜尋結果。

 

事件描述管理員代理人***擁有者

複製

將項目複製到其他資料夾。

建立

在信箱中建立項目 (例如傳送或接收的郵件)。請注意,資料夾建立將不予稽核。

是*

是*

FolderBind

信箱是由系統管理員或代理人存取。使用此事件以識別存取信箱的時機或是由擁有者以外的其他人開啟。

是*

是**

HardDelete

永久刪除 (清除) [可復原的項目] 資料夾中的項目。

是*

是*

MailboxLogin

使用者登入其信箱。

MessageBind

在讀取窗格存取或開啟項目。

Move

將項目移至其他資料夾。

是*

MoveToDeletedItems

將項目刪除並移至 [刪除的郵件] 資料夾。

是*

SendAs

使用「以下列傳送」權限傳送郵件。

是*

是*

SendOnBehalf

使用「代理傳送者」權限傳送郵件。

是*

SoftDelete

項目會永久刪除或從 [刪除的郵件] 資料夾中刪除,在這兩種情況下,項目會移至 [可復原的項目] 資料夾。

是*

是*

Update

更新項目的屬性。

是*

是*

註記附註:
* 在啟用信箱的稽核時依預設稽核。
** 合併代理人執行的資料夾繫結動作項目。針對 24 小時時間範圍內的個別資料夾存取產生一個記錄項目。
*** 獲指派使用者信箱「完整存取」權限的系統管理員會被視為委派使用者。

回到頁首

下表列出 SharePoint 和 商務用 OneDrive 中的使用者活動所產生的檔案和資料夾相關事件。

 

事件好記名稱描述可在活動清單中?

FileCheckedIn

存回檔案

使用者將他們從 SharePoint 或 商務用 OneDrive 文件庫取出的文件存回。

FileCheckedOut

取出檔案

使用者取出位於 SharePoint 或 商務用 OneDrive 文件庫的文件。使用者可以取出與他們共用的文件並且進行變更。

FileCheckOutDiscarded

捨棄取出檔案

使用者捨棄 (或復原) 取出的檔案。這表示對取出的文件所做的任何變更會被捨棄,不儲存到文件庫中的文件版本。

FileCopied

複製檔案

使用者從 SharePoint 或 商務用 OneDrive 網站複製文件。複製的檔案可以儲存到網站上的另一個資料夾。

FileDeleted

刪除檔案

使用者從 SharePoint 或 商務用 OneDrive 網站刪除文件。

1

FileDownloaded

下載檔案

使用者從 SharePoint 或 商務用 OneDrive 網站下載文件。

FileFetched

存取檔案

使用者或系統帳戶存取檔案。當使用者或系統對檔案執行作業時,必須找出檔案並且存取。FileFetched 事件指出該擷取動作。請注意,許多檔案和資料夾相關事件會有一或多個對應的 FileFetched 記錄項目。

FileModified

修改檔案

使用者或系統帳戶修改位於 SharePoint 或 商務用 OneDrive 網站的文件的內容或屬性。

FileMoved

移動檔案

使用者將文件從它在 SharePoint 或 商務用 OneDrive 網站上的目前位置移至新位置。

FileRenamed

重新命名檔案

使用者重新命名 SharePoint 或 商務用 OneDrive 網站上的文件。

1

FileRestored

還原檔案

使用者從 SharePoint 或 商務用 OneDrive 網站的資源回收筒還原文件。

1

FileUploaded

上傳檔案

使用者將文件上傳至 SharePoint 或 商務用 OneDrive 網站上的資料夾。

FileViewed

檢視檔案

使用者檢視 SharePoint 或 商務用 OneDrive 網站上的文件。系統帳戶也可以產生 FileViewed 事件。

註記附註:
1 您必須在 Office 365 活動報告的使用者活動清單中選取 [所有活動],以傳回此事件的記錄。

回到頁首

下表列出當使用者藉由在 SharePoint 和 商務用 OneDrive 中傳送或要求存取邀請以共用內容時產生的事件。

 

事件好記名稱描述可在活動清單中?

AccessInvitationAccepted

接受邀請

檢視或編輯共用的檔案 (或資料夾) 的邀請的收件者,透過按一下邀請中的連結來存取共用的檔案。

AccessInvitationCreated

建立的邀請

使用者將檢視或編輯 SharePoint 或 商務用 OneDrive 網站上共用的檔案或資料夾的邀請,傳送給其他人員 (在其組織內部或外部)。事件項目的詳細資料會識別共用的檔案的名稱、收到邀請的使用者,以及傳送邀請的人員所選取的共用權限類型。

AccessInvitationExpired

邀請過期

傳送給外部使用者的邀請過期。依預設,傳送給組織外部使用者的邀請若未被接受,則會在 7 天後過期。

AccessInvitationRevoked

邀請撤回

網站管理員或網站擁有者或者 SharePoint 或 商務用 OneDrive 中的文件,會撤回傳送給組織外部使用者的邀請。邀請只能在被接受之前撤回。

AccessInvitationUpdated

重新傳送邀請

建立並傳送邀請給其他人以檢視或編輯 SharePoint 或 商務用 OneDrive 網站的共用檔案 (或資料夾) 的使用者重新傳送邀請。

AccessRequestApproved

核准存取要求

網站管理員或網站擁有者或者 SharePoint 或 商務用 OneDrive 的文件核准使用者對於存取網站或文件的要求。

AccessRequestCreated

建立存取要求

使用者要求存取他們沒有權限可以存取的 SharePoint 或 商務用 OneDrive 中的網站或文件。

AccessRequestExpired

存取要求過期

如果網站管理員或擁有者未接受或拒絕使用者對於存取 SharePoint 中的網站或文件的要求,要求將在 7 天後過期。

AccessRequestRejected

拒絕存取要求

網站管理員或網站擁有者或者 SharePoint 的文件拒絕使用者對於存取網站或文件的要求。

註記附註:
1 您必須在 Office 365 活動報告的使用者活動清單中選取 [所有活動],以傳回此事件的記錄。

回到頁首

下表列出使用者在 SharePoint 和 商務用 OneDrive 共用內容時所產生的事件。

 

事件好記名稱描述可在活動清單中?

ExternalSharingSet

與外部使用者共用的檔案或資料夾

使用者與組織外部的使用者共用位於 SharePoint 或 商務用 OneDrive 的檔案或資料夾。

1

SharedLinkCreated

建立共用連結

使用者建立 SharePoint 或 商務用 OneDrive 中共用檔案的連結。此連結可以傳送給其他人以授與他們檔案的存取權。使用者可以建立兩種類型的連結:可讓使用者檢視和編輯共用檔案的連結,或僅可讓使用者檢視檔案的連結。

SharedLinkDisabled

停用共用連結

使用者停用 (永遠) 建立來共用檔案的連結。

SharingRevoked

取消共用檔案或資料夾

使用者取消共用先前與其他使用者共用的檔案或資料夾。當使用者停止與其他使用者共用檔案時會記錄此事件。

SharingSet

共用檔案或資料夾

使用者與組織內部的其他使用者共用位於 SharePoint 或 商務用 OneDrive 的檔案或資料夾。

註記附註:
1 您必須在 Office 365 活動報告的使用者活動清單中選取 [所有活動],以傳回此事件的記錄。

回到頁首

下表列出 SharePoint 和 商務用 OneDrive 中的網站管理工作所產生的事件。

註記附註:
Office 365 活動報告上的 [顯示此使用者活動的結果] 底下不會列出任何網站管理事件。若要傳回網站管理事件的記錄,您必須在使用者活動清單中選取 [所有活動]。

 

事件好記名稱描述

AllowGroupCreationSet

使用者可以建立群組

網站管理員或擁有者將權限等級新增至 SharePoint 或 商務用 OneDrive 網站,讓獲指派該權限的使用者可以建立該網站的群組。

CustomizeExemptUsers

變更免除使用者代理程式

全域管理員在 SharePoint 系統管理中心自訂免除使用者代理程式清單。您可以指定要免除哪些使用者代理程式接收要編製索引的整個網頁。這表示當您指定為免除的使用者代理程式遇到 InfoPath 表單時,會以 XML 檔案傳回該表單,而不是整個網頁。這樣可以讓編製索引 InfoPath 表單更快速。

ExemptUserAgentSet

新增免除使用者代理程式

全域管理員會將使用者代理程式新增至 SharePoint 系統管理中心的免除使用者代理程式清單。

GroupAdded

建立群組

網站管理員或擁有者會建立 SharePoint 或 商務用 OneDrive 網站的群組,或是執行會造成建立群組的工作。例如,第一次使用者建立連結以共用檔案時,系統群組會新增至使用者的 商務用 OneDrive 網站。此事件也可以透過使用者建立具有共用檔案編輯權限的連結而產生。

GroupRemoved

刪除群組

使用者從 SharePoint 或 商務用 OneDrive 網站刪除群組。

GroupUpdated

更新群組

網站管理員或擁有者變更 SharePoint 或 商務用 OneDrive 網站的群組設定。這可以包括變更群組的名稱、可以檢視或編輯群組成員資格的人員,以及成員資格要求的處理方式。

HostSiteSet

主機網站集合

全域管理員變更指定的網站來主控個人或 商務用 OneDrive 網站。

LegacyWorkflowEnabledSet

啟用舊版的工作流程

網站管理員或擁有者將 SharePoint 2013 工作流程工作內容類型新增至網站。全域管理員也可以在 SharePoint 系統管理中心啟用整個組織的工作流程。

NewsFeedEnabledSet

啟用 RSS 摘要

網站管理員或擁有者啟用 SharePoint 或 商務用 OneDrive 網站的 RSS 摘要。全域管理員可以在 SharePoint 系統管理中心啟用整個組織的 RSS 摘要。

OfficeOnDemandSet

啟用 Office on Demand

網站管理員啟用 Office on Demand,讓使用者存取最新版本的 Office 桌面應用程式。Office on Demand 是在 SharePoint 系統管理中心啟用,並且需要 Office 365 訂閱,該訂閱包含完整、已安裝的 Office 應用程式。

PeopleResultsScopeSet

啟用人員搜尋的結果來源

網站管理員建立或變更 SharePoint 網站的人員搜尋的結果來源。

PreviewModeEnabledSet

啟用文件預覽

網站管理員啟用 SharePoint 網站的文件預覽。

SendToConnectionAdded

建立傳送至連線

全域管理員在 SharePoint 系統管理中心的 [記錄] 管理頁面上建立新的「傳送至」連線。「傳送至」連線指定文件存放庫或記錄中心的設定。「傳送至」連線建立時,[內容組合管理] 可以將文件提交至指定位置。

SendToConnectionRemoved

刪除傳送至連線

全域管理員在 SharePoint 系統管理中心的 [記錄] 管理頁面上刪除「傳送至」連線。

SiteAdminChangeRequest

要求網站管理員權限

使用者要求新增為 SharePoint 網站集合的網站集合管理員。網站集合管理員擁有網站集合及其所有子網站的完整控制權限。

SiteCollectionAdminAdded

新增網站集合管理員

網站集合管理員或擁有者將人員新增為 SharePoint 或 商務用 OneDrive 網站的網站集合管理員。網站集合管理員擁有網站集合及其所有子網站的完整控制權限。

SiteCollectionCreated

建立網站集合

全域管理員在您的 SharePoint Online 組織中建立新的網站集合。

SitePermissionsModified

修改網站權限

網站管理員或擁有者 (或系統帳戶) 變更指派給 SharePoint 或 商務用 OneDrive 網站上的群組的權限等級。如果從群組移除所有權限也會記錄此事件。

SiteRenamed

重新命名網站

網站管理員或擁有者重新命名 SharePoint 或 商務用 OneDrive 網站

UserAddedToGroup

將使用者新增至群組

網站管理員或擁有者將人員新增至 SharePoint 或 商務用 OneDrive 網站的群組。將人員新增至群組會授與使用者已指派給群組的權限。

UserRemovedFromGroup

從群組移除使用者

網站管理員或擁有者從 SharePoint 或 商務用 OneDrive 網站的群組移除人員。移除人員之後,他們不會被授與已指派給群組的權限。

回到頁首

下表列出 SharePoint 和 商務用 OneDrive 中的檔案同步處理事件。

 

事件好記名稱描述可在活動清單中?

FileSyncDownloadedFull

檔案下載至電腦

使用者建立同步處理關係並且第一次從 SharePoint 或 商務用 OneDrive 文件庫成功下載檔案至其電腦。

FileSyncDownloadedPartial

檔案變更下載至電腦

使用者順利從 SharePoint 或 商務用 OneDrive 文件庫下載任何檔案變更。此事件表示對文件庫中的檔案所做的任何變更已下載至使用者的電腦。因為使用者先前已下載文件庫 (如 FileSyncDownloadedFull 事件所指示),所以只會下載變更。

FileSyncUploadedFull

檔案上傳至文件庫

使用者建立同步處理關係並且第一次從其電腦將檔案上傳至 SharePoint 或 商務用 OneDrive 文件庫。

FileSyncUploadedPartial

檔案變更上傳至文件庫

使用者順利將檔案變更上傳至 SharePoint 或 商務用 OneDrive 文件庫。此事件表示對文件庫檔案的本機版本所做的任何變更都已成功上傳至文件庫。因為使用者先前已上傳這些檔案 (如 FileSyncUploadedFull 事件所指示),所以只會上傳變更。

ManagedSyncClientAllowed

允許電腦同步處理檔案

使用者成功建立與 SharePoint 或 商務用 OneDrive 網站的同步處理關係。同步處理關係成功,因為使用者的電腦是已新增至網域清單之網域的成員 (稱為「安全收件者清單」),可以存取您的組織中的文件庫。

如需此功能的詳細資訊,請參閱使用 Windows PowerShell Cmdlet 來啟用安全收件者清單上的網域的 OneDrive 同步處理

SyncGetChanges

同步處理檔案變更

使用者按一下 SharePoint 或 商務用 OneDrive 的動作匣中的 [同步處理],以將文件庫中檔案的任何變更同步處理至其電腦。

1

UnmanagedSyncClientBlocked

電腦無法同步處理檔案

使用者嘗試從不是您組織的網域的成員或尚未新增至網域清單的網域成員的電腦 (稱為「安全收件者清單」),該電腦可以存取您的組織中的文件庫,建立與 SharePoint 或 商務用 OneDrive 網站的同步處理關係。不允許同步處理關係,並且禁止使用者的電腦同步處理、下載或上傳文件庫的檔案。

如需此功能的詳細資訊,請參閱使用 Windows PowerShell Cmdlet 來啟用安全收件者清單上的網域的 OneDrive 同步處理

註記附註:
1 您必須在 Office 365 活動報告的使用者活動清單中選取 [所有活動],以傳回此事件的記錄。

Office 365 活動報告包含系統管理員在 Office 365 系統管理中心中執行的使用者和網域管理工作的事件。因為 Azure Active Directory 是 Office 365 的目錄服務,所以報告為 Azure Active Directory 事件。如需可以顯示在 Office 365 活動報告中的 Azure Active Directory 事件的描述,請參閱 Azure Active Directory 稽核報告事件

註記附註:
您也可以在 Azure Active Directory 管理入口網站的 Azure Active Directory 稽核報告中檢視這些事件。

若要檢視 Azure Active Directory 事件,您必須在使用者活動清單中選取 [所有活動] 以傳回所有事件的記錄。然後您可以排序記錄的清單以檢視特定 Azure Active Directory 事件的記錄。

回到頁首

 
顯示: