Propiedades de actividad detalladas en el registro de auditoría
Al exportar los resultados de una búsqueda de registros de auditoría desde el portal de Microsoft Purview o desde el portal de cumplimiento de Microsoft Purview, puede descargar todos los resultados que cumplan los criterios de búsqueda. Para exportar esta información, seleccione Exportar resultados>Descargar todos los resultados en la página Búsqueda de registros de auditoría . Para obtener más información, vea Buscar en el registro de auditoría.
Al exportar todos los resultados de una búsqueda de registros de auditoría, los datos sin procesar del registro de auditoría unificado se copian en un archivo de valores separados por comas (CSV) que se descarga en el equipo local. Este archivo contiene información de propiedad adicional de cada registro de actividad de auditoría de una columna denominada AuditData. Esta columna contiene una propiedad de varios valores para varias propiedades del registro de auditoría. Cada una de las propiedades: los pares de valores de esta propiedad multivalor se separan por comas.
En la tabla siguiente se describen las propiedades de actividad que se incluyen (en función del servicio en el que se produce una actividad) en la columna AuditData de varias propiedades. El servicio de Microsoft que tiene esta columna de propiedad indica el servicio y el tipo de actividad (usuario o administrador) que incluye la propiedad. Para obtener información más detallada sobre estas propiedades o sobre las propiedades que pueden no aparecer en este artículo, consulte Esquema de api de actividad de administración.
Sugerencia
Puede usar la característica de transformación JSON en Power Query en Excel para dividir la columna AuditData en varias columnas para que cada propiedad tenga su propia columna. Esto le permitirá ordenar y filtrar en una o más de estas propiedades. Para obtener información sobre cómo hacerlo, consulte Exportación, configuración y visualización de registros de auditoría.
| Propiedad | Descripción | Servicio de Microsoft que tiene esta propiedad |
|---|---|---|
| Actor | La cuenta de usuario o servicio que realizó la acción. | Azure Active Directory |
| AddOnName | Nombre de un complemento que se agregó, quitó o actualizó en un equipo. El tipo de complementos de Microsoft Teams es un bot, un conector o una pestaña. | Microsoft Teams |
| AddOnType | Tipo de un complemento que se agregó, quitó o actualizó en un equipo. Los siguientes valores indican el tipo de complemento. 1 : indica un bot. 2 : indica un conector. 3 : indica una pestaña. |
Microsoft Teams |
| AppAccessContext | El contexto de aplicación para el usuario o la entidad de servicio que realizó la acción. | Microsoft Teams |
| ArtifactShared | Archivos o contenido compartidos por el usuario. | Microsoft Teams |
| AzureActiveDirectoryEventType | Tipo de actividad de Azure Active Directory. Los valores siguientes indican el tipo de actividad. 0 : indica una actividad de inicio de sesión de cuenta. 1 : indica una actividad de seguridad de la aplicación de Azure. |
Azure Active Directory |
| ChannelGuid | Identificador de un canal de Microsoft Teams. El equipo en el que se encuentra el canal se identifica mediante las propiedades TeamName y TeamGuid . | Microsoft Teams |
| ChannelName | Nombre de un canal de Microsoft Teams. El equipo en el que se encuentra el canal se identifica mediante las propiedades TeamName y TeamGuid . | Microsoft Teams |
| Cliente | El dispositivo cliente, el sistema operativo del dispositivo y el explorador del dispositivo utilizado para la actividad de inicio de sesión (por ejemplo, Nokia Lumia 920; Windows Phone 8; IE Mobile 11). | Azure Active Directory |
| ClientInfoString | Información sobre el cliente de correo electrónico que se usó para realizar la operación, como una versión del explorador, la versión de Outlook y la información del dispositivo móvil | Exchange (actividad de buzón) |
| ClientIP | La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad. Además, para la actividad de administrador (o actividad realizada por una cuenta del sistema) para las actividades relacionadas con Azure Active Directory, la dirección IP no se registra y el valor de la propiedad ClientIP es null. |
Azure Active Directory, Exchange, SharePoint |
| CreationTime | Fecha y hora en hora universal coordinada (UTC) cuando se genera el registro de auditoría. | todas |
| CurrentProtectionType | Un tipo de propiedad complejo que contiene campos para describir el estado de protección actual de un documento. Incluye lo siguiente: ProtectionType: enumera el tipo de protección aplicado al documento. Estos valores y sus significados se aplican: 0 (sin protección), 1 (protección basada en plantillas), 2 (no reenviar, para correo electrónico), 3 (solo cifrar) y 4 (protección personalizada configurada por el usuario) Propietario: dirección de correo electrónico del usuario que configuró la protección. TemplateId: cuando ProtectionType se establece en 1 (plantilla), este campo contiene el GUID de la plantilla aplicada al documento. Cuando el valor de ProtectionType no es igual a 1, este campo está en blanco. DocumentEncrypted: marca booleana que indica si se aplica algún tipo de cifrado al documento. Los valores son True o False. |
todas |
| DestinationFileExtension | La extensión del archivo que se copia o mueve. Esta propiedad solo se muestra para las actividades de usuario FileCopied y FileMoved. | SharePoint |
| DestinationFileName | El nombre del archivo se copia o mueve. Esta propiedad solo se muestra para las acciones FileCopied y FileMoved. | SharePoint |
| DestinationRelativeUrl | La dirección URL de la carpeta de destino donde se copia o se mueve un archivo. La combinación de los valores de SiteURL, DestinationRelativeURL y la propiedad DestinationFileName es la misma que el valor de la propiedad ObjectID , que es el nombre de la ruta de acceso completa del archivo que se copió. Esta propiedad solo se muestra para las actividades de usuario FileCopied y FileMoved. | SharePoint |
| EventSource | Identifica que se ha producido una actividad en SharePoint. Los valores posibles son SharePoint y ObjectModel. | SharePoint |
| ExternalAccess | En el caso de la actividad de administrador de Exchange, especifica si el cmdlet lo ejecutó un usuario de su organización, el personal del centro de datos de Microsoft o una cuenta de servicio del centro de datos, o un administrador delegado. El valor False indica que el cmdlet lo ejecutó algún usuario de su organización. El valor True indica que el cmdlet lo ejecutó el personal del centros de datos, una cuenta de servicio del centro de datos o un administrador delegado. En el caso de la actividad de buzón de Exchange, especifica si un usuario fuera de la organización ha accedido a un buzón de correo. |
Exchange |
| ExtendedProperties | Propiedades extendidas de una actividad de Azure Active Directory. | Azure Active Directory |
| Id. | Identificador de la entrada del informe. El identificador identifica de forma única la entrada del informe. | todas |
| InternalLogonType | Reservado para uso interno. | Exchange (actividad de buzón) |
| ItemType | El tipo de objeto al que se obtuvo acceso o que se modificó. Entre los valores posibles se incluyen File, Folder, Web, Site, Tenant y DocumentLibrary. | SharePoint |
| IsJoinedFromLobby | Independientemente de si el usuario se unió a una sesión de Teams desde la sala de espera. | Microsoft Teams |
| LoginStatus | Identifica los errores de inicio de sesión que podrían haberse producido. | Azure Active Directory |
| LogonType | Tipo de acceso al buzón. Los siguientes valores indican el tipo de usuario que ha accedido al buzón. 0 : indica el propietario de un buzón. 1 : indica un administrador. 2 : indica un delegado. 3 : indica el servicio de transporte en el centro de datos de Microsoft. 4 : indica una cuenta de servicio en el centro de datos de Microsoft. 6 : indica un administrador delegado. |
Exchange (actividad de buzón) |
| MailboxGuid | El GUID de Exchange del buzón al que se obtuvo acceso. | Exchange (actividad de buzón) |
| MailboxOwnerUPN | La dirección de correo electrónico del propietario del buzón al que se obtuvo acceso. | Exchange (actividad de buzón) |
| Members | Enumera los usuarios que se han agregado o quitado de un equipo. Los siguientes valores indican el tipo de rol asignado al usuario. 1 - Indica el rol del propietario. 2 - Indica el rol del miembro. 3- Indica el rol del invitado. La propiedad Miembros también incluye el nombre de su organización y la dirección de correo electrónico del miembro. |
Microsoft Teams |
| ModifiedProperties (Name, NewValue, OldValue) | La propiedad se incluye para actividades de administración, como agregar un usuario como miembro de un sitio o un grupo de administración de colección de sitios. La propiedad incluye el nombre de la propiedad que se modificó (por ejemplo, el grupo administrador del sitio) el nuevo valor de la propiedad modificada (por ejemplo, el usuario que se agregó como administrador del sitio y el valor anterior del objeto modificado). | Todo (actividad de administrador) |
| ObjectFullyQualifiedName | Nombre completo de una entidad. | Microsoft Purview (gobernanza) |
| ObjectId | Para el registro de auditoría de Exchange, el nombre del objeto modificado por el cmdlet. Para la actividad de SharePoint, el nombre completo de la ruta de acceso url del archivo o carpeta al que accede un usuario. Para la actividad de Azure AD, el nombre de la cuenta de usuario que se modificó. |
todas |
| ObjectName | Nombre de la entidad principal. | Microsoft Purview (gobernanza) |
| ObjectType | Tipo de entidad. | Microsoft Purview (gobernanza) |
| OldValue | El valor antes de un cambio incluye todas las propiedades actualizadas o eliminadas. | Microsoft Purview (gobernanza) |
| Operación | El nombre de la actividad de usuario o administrador. El valor de esta propiedad corresponde al valor que se seleccionó en la lista desplegable Actividades . Si se seleccionó Mostrar resultados para todas las actividades , el informe incluirá entradas para todas las actividades de usuario y administrador de todos los servicios. Para obtener una descripción de las operaciones o actividades que se registran en el registro de auditoría, vea la pestaña Actividades auditadas en Buscar el registro de auditoría en Office 365. Esta propiedad identifica el nombre del cmdlet ejecutado para la actividad de administración de Exchange. |
todas |
| OrganizationId | GUID de la organización. | todas |
| NewValue | El valor después de un cambio incluye todas las propiedades actualizadas o eliminadas. | Microsoft Purview (gobernanza) |
| Ruta de acceso | El nombre de la carpeta del buzón donde se encuentra el mensaje al que se obtuvo acceso. Esta propiedad también identifica la carpeta en la que se crea un mensaje o se copia o se mueve a. | Exchange (actividad de buzón) |
| Parameters | Para la actividad de administrador de Exchange, el nombre y el valor de todos los parámetros que se usaron con el cmdlet que se identifica en la propiedad Operation. | Exchange (actividad de administrador) |
| ParticipantInfo | Propiedades adicionales sobre la identidad del participante. | Microsoft Teams |
| ParticipatingDomainInformation | Información de dominio sobre el participante. | Microsoft Teams |
| PreviousProtectionType | Un tipo de propiedad complejo que contiene campos para describir el estado de protección anterior de un documento. Incluye lo siguiente: ProtectionType: enumera el tipo de protección aplicado al documento. Estos valores y sus significados se aplican: 0 (sin protección), 1 (protección basada en plantillas), 2 (no reenviar, para correo electrónico), 3 (solo cifrar) y 4 (protección personalizada configurada por el usuario) Propietario: dirección de correo electrónico del usuario que configuró la protección. TemplateId: cuando ProtectionType se establece en 1 (plantilla), este campo contiene el GUID de la plantilla aplicada al documento. Cuando el valor de ProtectionType no es igual a 1, este campo está en blanco. DocumentEncrypted: marca booleana que indica si se aplica algún tipo de cifrado al documento. Los valores son True o False. |
todas |
| ProtectionEventType | Enumera cómo cambió la protección la operación que se está auditando. Se aplican los siguientes valores y significados: 0 : indica sin cambios. 1 : indica que se ha agregado. 2 : indica que se ha cambiado. 3 : indica que se ha quitado. |
todas |
| RecordType | El tipo de operación indicado por el registro. Esta propiedad indica el servicio o característica en el que se desencadenó la operación. Para obtener una lista de tipos de registro y su valor ENUM correspondiente (que es el valor mostrado en la propiedad RecordType en un registro de auditoría), consulte Tipo de registro de auditoría. | |
| ResultStatus | Indica si la acción (especificada en la propiedad Operation ) se realizó correctamente o no. Para la actividad de administrador de Exchange, el valor es True (correcto) o False (error). |
todas |
| SecurityComplianceCenterEventType | Indica que la actividad era un portal de Microsoft Purview y una actividad del portal de cumplimiento. Todas las actividades del portal de Microsoft Purview y del portal de cumplimiento tendrán un valor de 0 para esta propiedad. | Portal Microsoft Purview Portal de cumplimiento de Microsoft Purview. |
| SensitivityLabel | Etiqueta de confidencialidad asignada a un elemento de correo específico. | Exchange |
| SharingType | Tipo de permisos de uso compartido que se asignaron al usuario con el que se compartió el recurso. Este usuario se identifica en la propiedad UserSharedWith . | SharePoint |
| Site | El GUID del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario. | SharePoint |
| SiteUrl | La dirección URL del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario. | SharePoint |
| SourceFileExtension | La extensión del archivo al que obtuvo acceso el usuario. Esta propiedad está en blanco si el objeto al que se obtuvo acceso es una carpeta. | SharePoint |
| SourceFileName | El nombre del archivo o carpeta al que obtuvo acceso el usuario. | SharePoint |
| SourceRelativeUrl | La dirección URL de la carpeta que contiene el archivo al que obtuvo acceso el usuario. La combinación de los valores de SiteURL, SourceRelativeURL y la propiedad SourceFileName es la misma que el valor de la propiedad ObjectID , que es el nombre de la ruta de acceso completa para el archivo al que accede el usuario. | SharePoint |
| Asunto | La línea de asunto del mensaje al que se obtuvo acceso. | Exchange (actividad de buzón) |
| TabType | Tipo de pestaña agregada, quitada o actualizada en un equipo. Los valores posibles de esta propiedad son: Pin de Excel : una pestaña de Excel. Extensión : todas las aplicaciones de terceros y de terceros; como programación de clases, VSTS y formularios. Notas : pestaña De OneNote. Pdfpin : una pestaña PDF. Powerbi : una pestaña de Power BI. Powerpointpin : una pestaña de PowerPoint. Sharepointfiles : una pestaña de SharePoint. Página web : pestaña de sitio web anclado. Wiki-tab : una pestaña wiki. Wordpin : una pestaña de Word. |
Microsoft Teams |
| Target | El usuario en el que se realizó la acción (identificada en la propiedad Operation ). Por ejemplo, si se agrega un invitado a SharePoint o a un equipo de Microsoft, ese usuario aparecería en esta propiedad. | Azure Active Directory |
| TeamGuid | Identificador de un equipo en Microsoft Teams. | Microsoft Teams |
| TeamName | Nombre de un equipo en Microsoft Teams. | Microsoft Teams |
| UserAgent | Información sobre el explorador del usuario. Esta información la proporciona el explorador. | SharePoint |
| UserDomain | Información de identidad sobre la organización del inquilino del usuario (actor) que realizó la acción. | Azure Active Directory |
| UserId | El usuario que realizó la acción (especificada en la propiedad Operation ) que provocó que se registrara el registro. Los registros de auditoría de la actividad realizada por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM) también se incluyen en el registro de auditoría. Otro valor común para la propiedad UserId es app@sharepoint. Esto indica que el "usuario" que llevó a cabo esta actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio. Para más información, vea: El usuario app@sharepoint en los registros de auditoría Otra posibilidad: Cuentas del sistema en registros de auditoría de buzones de Exchange. |
todas |
| UserKey | Contiene un identificador de objeto de Azure Active Directory válido en formato GUID o hexadecimal. En escenarios en los que el actor principal no es un usuario, UserKey es una cadena vacía. Consulte Escenarios UserType y UserKey para obtener más información sobre varios escenarios userkey . | todas |
| UserType | El tipo de usuario que llevó a cabo la operación. Consulte los escenarios UserType y UserKey para obtener más información sobre varios escenarios de UserType . | todas |
| Versión | Indica el número de versión de la actividad (identificada por la propiedad Operation ) que se registra. | todas |
| Carga de trabajo | Servicio de Microsoft 365 donde se produjo la actividad. | todas |
Escenarios UserType y UserKey
En la tabla siguiente se proporcionan detalles para los escenarios UserType y UserKey :
| Valor | Nombre del miembro UserType | Descripción | UserKey |
|---|---|---|---|
| 0 | Regular | Un usuario normal sin permisos de administrador. | Identificador de objeto de Microsoft Entra en formato GUID |
| 2 | Admin | Administrador de la organización de Microsoft 365. 1 | Identificador de objeto de Microsoft Entra en formato GUID |
| 3 | DCAdmin | Una cuenta de sistema de centro de datos o administrador del centro de datos de Microsoft. | Identificador de objeto de Microsoft Entra en formato GUID |
| 4 | Sistema | Un evento de auditoría desencadenado por la lógica del lado servidor. Por ejemplo, servicios de Windows o procesos en segundo plano. | Guid.Empty.ToString() (o el valor '000000000-0000-0000-0000-0000000000000000'). |
| 5 | Application | Evento de auditoría desencadenado por una aplicación Microsoft Entra. | Nombre de aplicación o identificador de aplicación de Microsoft Entra (cuando esté disponible). De lo contrario, una cadena vacía. |
| 6 | ServicePrincipal | Un servicio principal. | Guid.Empty.ToString() (o el valor '000000000-0000-0000-0000-0000000000000000'). |
| 7 | CustomPolicy | Directiva administrada o creada por un cliente. | Guid.Empty.ToString() (o el valor '000000000-0000-0000-0000-0000000000000000'). |
| 8 | SystemPolicy | Una directiva de sistema o administrada por Microsoft. | Guid.Empty.ToString() (o el valor '000000000-0000-0000-0000-0000000000000000'). |
| 9 | PartnerTechnician | Usuario de un inquilino asociado que trabaja en nombre del inquilino del cliente (en escenarios de GDAP ). | Guid.Empty.ToString() (o el valor '000000000-0000-0000-0000-0000000000000000'). |
| 10 | Guest | Un invitado o un usuario anónimo. | Guid.Empty.ToString() (o el valor '000000000-0000-0000-0000-0000000000000000'). |
Nota:
1 Para eventos relacionados con Microsoft Entra, el valor de un administrador no se usa en un registro de auditoría. Los registros de auditoría de las actividades realizadas por los administradores indicarán que un usuario normal (por ejemplo, UserType: 0) realizó la actividad. La propiedad UserID identificará a la persona (usuario o administrador normal) que realizó la actividad.