auditLogQuery を作成する
名前空間: microsoft.graph.security
重要
Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。
新しい auditLogQuery オブジェクトを作成します。
この API は、次の国内クラウド展開で使用できます。
| グローバル サービス | 米国政府機関 L4 | 米国政府機関 L5 (DOD) | 21Vianet が運営する中国 |
|---|---|---|---|
| ✅ | ❌ | ❌ | ❌ |
アクセス許可
監査データには、Microsoft 365 サービス レベルで分類される次のアクセス許可を使用して、Microsoft Purview 監査 Search API を介してアクセスできます。 アクセス許可の選択方法などの詳細については、「アクセス許可」を参照してください。
| Microsoft 365 サービス | 委任 (職場または学校のアカウント) | 委任 (個人用 Microsoft アカウント) | アプリケーション |
|---|---|---|---|
| Microsoft OneDrive | AuditLogsQuery-OneDrive.Read.All | 非サポート | AuditLogsQuery-OneDrive.Read.All |
| Microsoft Exchange | AuditLogsQuery-Exchange.Read.All | 非サポート | AuditLogsQuery-Exchange.Read.All |
| Microsoft SharePoint | AuditLogsQuery-SharePoint.Read.All | 非サポート | AuditLogsQuery-SharePoint.Read.All |
| Microsoft Intune | AuditLogsQuery-Endpoint.Read.All | 非サポート | AuditLogsQuery-Endpoint.Read.All |
| Microsoft Dynamics CRM | AuditLogsQuery-CRM.Read.All | 非サポート | AuditLogsQuery-CRM.Read.All |
| Microsoft Entra | AuditLogsQuery-Entra.Read.All | 非サポート | AuditLogsQuery-Entra.Read.All |
| すべての監査ログ | AuditLogsQuery.Read.All | 非サポート | AuditLogsQuery.Read.All |
HTTP 要求
POST /security/auditLog/queries
要求ヘッダー
| 名前 | 説明 |
|---|---|
| Authorization | ベアラー {token}。 必須です。 認証と認可についての詳細をご覧ください。 |
| Content-Type | application/json. 必須です。 |
要求本文
要求本文で、 auditLogQuery オブジェクトの JSON 表現を指定します。
auditLogQuery を作成するときに、次のプロパティを指定できます。
| プロパティ | 型 | 説明 |
|---|---|---|
| displayName | String | 保存された監査ログ クエリの表示名。 省略可能。 |
| filterStartDateTime | DateTimeOffset | クエリの日付範囲の開始日。 省略可能。 |
| filterEndDateTime | DateTimeOffset | クエリの日付範囲の終了日。 省略可能。 |
| recordTypeFilters | microsoft.graph.security.auditLogRecordType の Collection(string) | レコードによって示される操作の種類または型。 The possible values are: exchangeAdmin, exchangeItem, exchangeItemGroup, sharePoint, syntheticProbe, sharePointFileOperation, oneDrive, azureActiveDirectory, azureActiveDirectoryAccountLogon, dataCenterSecurityCmdlet, complianceDLPSharePoint, sway, complianceDLPExchange, sharePointSharingOperation, azureActiveDirectoryStsLogon, skypeForBusinessPSTNUsage, skypeForBusinessUsersBlocked, securityComplianceCenterEOPCmdlet, exchangeAggregatedOperation, powerBIAudit, crm, yammer, skypeForBusinessCmdlets, discovery, microsoftTeams, threatIntelligence, mailSubmission, microsoftFlow, aeD, microsoftStream, complianceDLPSharePointClassification, threatFinder, project, sharePointListOperation, sharePointCommentOperation, dataGovernance, kaizala, securityComplianceAlerts, threatIntelligenceUrl, securityComplianceInsights, mipLabel, workplaceAnalytics, powerAppsApp, powerAppsPlan, threatIntelligenceAtpContent, labelContentExplorer, teamsHealthcare, exchangeItemAggregated, hygieneEvent, dataInsightsRestApiAudit, informationBarrierPolicyApplication, sharePointListItemOperation, sharePointContentTypeOperation, sharePointFieldOperation, microsoftTeamsAdmin, hrSignal, microsoftTeamsDevice, microsoftTeamsAnalytics, informationWorkerProtection, campaign, dlpEndpoint, airInvestigation, quarantine, microsoftForms, applicationAudit, complianceSupervisionExchange, customerKeyServiceEncryption, officeNative, mipAutoLabelSharePointItem, mipAutoLabelSharePointPolicyLocation, microsoftTeamsShifts, secureScore, mipAutoLabelExchangeItem, cortanaBriefing, search, wdatpAlerts, powerPlatformAdminDlp, powerPlatformAdminEnvironment, mdatpAudit, sensitivityLabelPolicyMatch, sensitivityLabelAction, sensitivityLabeledFileAction, attackSim, airManualInvestigation, securityComplianceRBAC, userTraining, airAdminActionInvestigation, mstic, physicalBadgingSignal, teamsEasyApprovals, aipDiscover, aipSensitivityLabelAction, aipProtectionAction, aipFileDeleted, aipHeartBeat, mcasAlerts, onPremisesFileShareScannerDlp, onPremisesSharePointScannerDlp, exchangeSearch, sharePointSearch, privacyDataMinimization, labelAnalyticsAggregate, myAnalyticsSettings, securityComplianceUserChange, complianceDLPExchangeClassification, complianceDLPEndpoint, mipExactDataMatch, msdeResponseActions, msdeGeneralSettings, msdeIndicatorsSettings, ms365DCustomDetection, msdeRolesSettings, mapgAlerts, mapgPolicy, mapgRemediation, privacyRemediationAction, privacyDigestEmail, mipAutoLabelSimulationProgress, mipAutoLabelSimulationCompletion, mipAutoLabelProgressFeedback, dlpSensitiveInformationType, mipAutoLabelSimulationStatistics, largeContentMetadata, microsoft365Group, cdpMlInferencingResult, filteringMailMetadata, cdpClassificationMailItem, cdpClassificationDocument, officeScriptsRunAction, filteringPostMailDeliveryAction, cdpUnifiedFeedback, tenantAllowBlockList, consumptionResource, healthcareSignal, dlpImportResult, cdpCompliancePolicyExecution, multiStageDisposition, privacyDataMatch, filteringDocMetadata, filteringEmailFeatures, powerBIDlp, filteringUrlInfo, filteringAttachmentInfo, coreReportingSettings, complianceConnector, powerPlatformLockboxResourceAccessRequest, powerPlatformLockboxResourceCommand, cdpPredictiveCodingLabel, cdpCompliancePolicyUserFeedback, webpageActivityEndpoint, omePortal, cmImprovementActionChange, filteringUrlClick, mipLabelAnalyticsAuditRecord, filteringEntityEvent, filteringRuleHits, filteringMailSubmission, labelExplorer, microsoftManagedServicePlatform, powerPlatformServiceActivity, scorePlatformGenericAuditRecord, filteringTimeTravelDocMetadata, alert, alertStatus, alertIncident, incidentStatus, case, caseInvestigation, recordsManagement, privacyRemediation, dataShareOperation, cdpDlpSensitive, ehrConnector, filteringMailGradingResult, publicFolder, privacyTenantAuditHistoryRecord, aipScannerDiscoverEvent, eduDataLakeDownloadOperation, m365ComplianceConnector, microsoftGraphDataConnectOperation, microsoftPurview, filteringEmailContentFeatures, powerPagesSite, powerAppsResource, plannerPlan, plannerCopyPlan, plannerTask, plannerRoster, plannerPlanList, plannerTaskList, plannerTenantSettings, projectForTheWebProject, projectForTheWebTask, projectForTheWebRoadmap, projectForTheWebRoadmapItem, projectForTheWebProjectSettings, projectForTheWebRoadmapSettings, quarantineMetadata, microsoftTodoAudit, timeTravelFilteringDocMetadata, teamsQuarantineMetadata, sharePointAppPermissionOperation, microsoftTeamsSensitivityLabelAction, filteringTeamsMetadata, filteringTeamsUrlInfo, filteringTeamsPostDeliveryAction, mdcAssessments, mdcRegulatoryComplianceStandards, mdcRegulatoryComplianceControls, mdcRegulatoryComplianceAssessments, mdcSecurityConnectors, mdaDataSecuritySignal, vivaGoals, filteringRuntimeInfo, attackSimAdmin, microsoftGraphDataConnectConsent, filteringAtpDetonationInfo, privacyPortal, managedTenants, unifiedSimulationMatchedItem, unifiedSimulationSummary, updateQuarantineMetadata, ms365DSuppressionRule, purviewDataMapOperation, filteringUrlPostClickAction, irmUserDefinedDetectionSignal, teamsUpdates, plannerRosterSensitivityLabel, ms365DIncident, filteringDelistingMetadata, complianceDLPSharePointClassificationExtended、 microsoftDefenderForIdentityAudit、 supervisoryReviewDayXInsight、 defenderExpertsforXDRAdmin、 cdpEdgeBlockedMessage、 hostedRpa、 cdpContentExplorerAggregateRecord、 cdpHygieneAttachmentInfo、 cdpHygieneSummarycdpPostMailDeliveryAction、 cdpEmailFeatures、 cdpHygieneUrlInfo、 cdpUrlClick、 cdpPackageManagerHygieneEvent、 filteringDocScan、 timeTravelFilteringDocScan、 mapgOnboard、 unknownFutureValue。 省略可能。 |
| keywordFilter | String | 監査ログのインデックスのないプロパティを検索するフリー テキスト フィールド。 省略可能。 |
| serviceFilter | String | 監査レコード内のワークロード プロパティを参照します。 これは、アクティビティが発生した Microsoft サービスです。 省略可能。 |
| operationFilters | String collection | ユーザーまたは管理者アクティビティの名前。 一般的な操作/アクティビティの説明については、「Office 365 プロテクション センターでの監査ログの検索」を参照してください。 省略可能。 |
| userPrincipalNameFilters | String collection | レコードがログに記録されたアクション (operation プロパティで指定) を実行したユーザーの UPN (ユーザー プリンシパル名)。たとえば、 my_name@my_domain_name。 省略可能。 |
| ipAddressFilters | String collection | アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 省略可能。 |
| objectIdFilters | String collection | SharePoint および OneDrive for Business のアクティビティの場合、ユーザーによりアクセスされるファイルまたはフォルダーの完全パス名。 Exchange 管理者の監査ログの場合は、コマンドレットによって変更されたオブジェクトの名前。 省略可能。 |
| administrativeUnitIdFilters | String collection | 監査ログ レコードにタグ付けされた管理単位。 省略可能。 |
| status | microsoft.graph.security.auditLogQueryStatus | クエリの現在の状態。 使用可能な値: notStarted、running、succeeded、failed、cancelled、unknownFutureValue。 省略可能。 |
応答
成功した場合、このメソッドは応答コード 201 Created と、応答本文に auditLogQuery オブジェクトを返します。
例
要求
次の例は要求を示しています。
POST https://graph.microsoft.com/beta/security/auditLog/queries
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.security.auditLogQuery",
"displayName": "String",
"filterStartDateTime": "String (timestamp)",
"filterEndDateTime": "String (timestamp)",
"recordTypeFilters": [
"String"
],
"keywordFilter": "String",
"serviceFilter": "String",
"operationFilters": [
"String"
],
"userPrincipalNameFilters": [
"String"
],
"ipAddressFilters": [
"String"
],
"objectIdFilters": [
"String"
],
"administrativeUnitIdFilters": [
"String"
],
"status": "String"
}
応答
次の例は応答を示しています。
注: ここに示す応答オブジェクトは、読みやすさのために短縮されている場合があります。
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.security.auditLogQuery",
"id": "168ec429-084b-a489-90d8-504a87846305",
"displayName": "String",
"filterStartDateTime": "String (timestamp)",
"filterEndDateTime": "String (timestamp)",
"recordTypeFilters": [
"String"
],
"keywordFilter": "String",
"serviceFilter": "String",
"operationFilters": [
"String"
],
"userPrincipalNameFilters": [
"String"
],
"ipAddressFilters": [
"String"
],
"objectIdFilters": [
"String"
],
"administrativeUnitIdFilters": [
"String"
],
"status": "String"
}