Compartir a través de


Propiedades de actividad detalladas en el registro de auditoría

Al exportar los resultados de una búsqueda de registros de auditoría desde el portal de Microsoft Purview o desde el portal de cumplimiento de Microsoft Purview, puede descargar todos los resultados que cumplan los criterios de búsqueda. Para exportar esta información, seleccione Exportar resultados>Descargar todos los resultados en la página Búsqueda de registros de auditoría . Para obtener más información, vea Buscar en el registro de auditoría.

Al exportar todos los resultados de una búsqueda de registros de auditoría, los datos sin procesar del registro de auditoría unificado se copian en un archivo de valores separados por comas (CSV) que se descarga en el equipo local. Este archivo contiene información de propiedad adicional de cada registro de actividad de auditoría de una columna denominada AuditData. Esta columna contiene una propiedad de varios valores para varias propiedades del registro de auditoría. Cada una de las propiedades: los pares de valores de esta propiedad multivalor se separan por comas.

En la tabla siguiente se describen las propiedades de actividad que se incluyen (en función del servicio en el que se produce una actividad) en la columna AuditData de varias propiedades. El servicio de Microsoft que tiene esta columna de propiedad indica el servicio y el tipo de actividad (usuario o administrador) que incluye la propiedad. Para obtener información más detallada sobre estas propiedades o sobre las propiedades que pueden no aparecer en este artículo, consulte Esquema de api de actividad de administración.

Sugerencia

Puede usar la característica de transformación JSON en Power Query en Excel para dividir la columna AuditData en varias columnas para que cada propiedad tenga su propia columna. Esto le permitirá ordenar y filtrar en una o más de estas propiedades. Para obtener información sobre cómo hacerlo, consulte Exportación, configuración y visualización de registros de auditoría.

Propiedad Descripción Servicio de Microsoft que tiene esta propiedad
Actor La cuenta de usuario o servicio que realizó la acción. Azure Active Directory
AddOnName Nombre de un complemento que se agregó, quitó o actualizó en un equipo. El tipo de complementos de Microsoft Teams es un bot, un conector o una pestaña. Microsoft Teams
AddOnType Tipo de un complemento que se agregó, quitó o actualizó en un equipo. Los siguientes valores indican el tipo de complemento.
1 : indica un bot.
2 : indica un conector.
3 : indica una pestaña.
Microsoft Teams
AppAccessContext El contexto de aplicación para el usuario o la entidad de servicio que realizó la acción. Microsoft Teams
ArtifactShared Archivos o contenido compartidos por el usuario. Microsoft Teams
AzureActiveDirectoryEventType Tipo de actividad de Azure Active Directory. Los valores siguientes indican el tipo de actividad.
0 : indica una actividad de inicio de sesión de cuenta.
1 : indica una actividad de seguridad de la aplicación de Azure.
Azure Active Directory
ChannelGuid Identificador de un canal de Microsoft Teams. El equipo en el que se encuentra el canal se identifica mediante las propiedades TeamName y TeamGuid . Microsoft Teams
ChannelName Nombre de un canal de Microsoft Teams. El equipo en el que se encuentra el canal se identifica mediante las propiedades TeamName y TeamGuid . Microsoft Teams
Cliente El dispositivo cliente, el sistema operativo del dispositivo y el explorador del dispositivo utilizado para la actividad de inicio de sesión (por ejemplo, Nokia Lumia 920; Windows Phone 8; IE Mobile 11). Azure Active Directory
ClientInfoString Información sobre el cliente de correo electrónico que se usó para realizar la operación, como una versión del explorador, la versión de Outlook y la información del dispositivo móvil Exchange (actividad de buzón)
ClientIP La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.

Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad.

Además, para la actividad de administrador (o actividad realizada por una cuenta del sistema) para las actividades relacionadas con Azure Active Directory, la dirección IP no se registra y el valor de la propiedad ClientIP es null.
Azure Active Directory, Exchange, SharePoint
CreationTime Fecha y hora en hora universal coordinada (UTC) cuando se genera el registro de auditoría. todas
CurrentProtectionType Un tipo de propiedad complejo que contiene campos para describir el estado de protección actual de un documento. Incluye lo siguiente:

ProtectionType: enumera el tipo de protección aplicado al documento. Estos valores y sus significados se aplican: 0 (sin protección), 1 (protección basada en plantillas), 2 (no reenviar, para correo electrónico), 3 (solo cifrar) y 4 (protección personalizada configurada por el usuario)
Propietario: dirección de correo electrónico del usuario que configuró la protección.
TemplateId: cuando ProtectionType se establece en 1 (plantilla), este campo contiene el GUID de la plantilla aplicada al documento. Cuando el valor de ProtectionType no es igual a 1, este campo está en blanco.
DocumentEncrypted: marca booleana que indica si se aplica algún tipo de cifrado al documento. Los valores son True o False.
todas
DestinationFileExtension La extensión del archivo que se copia o mueve. Esta propiedad solo se muestra para las actividades de usuario FileCopied y FileMoved. SharePoint
DestinationFileName El nombre del archivo se copia o mueve. Esta propiedad solo se muestra para las acciones FileCopied y FileMoved. SharePoint
DestinationRelativeUrl La dirección URL de la carpeta de destino donde se copia o se mueve un archivo. La combinación de los valores de SiteURL, DestinationRelativeURL y la propiedad DestinationFileName es la misma que el valor de la propiedad ObjectID , que es el nombre de la ruta de acceso completa del archivo que se copió. Esta propiedad solo se muestra para las actividades de usuario FileCopied y FileMoved. SharePoint
EventSource Identifica que se ha producido una actividad en SharePoint. Los valores posibles son SharePoint y ObjectModel. SharePoint
ExternalAccess En el caso de la actividad de administrador de Exchange, especifica si el cmdlet lo ejecutó un usuario de su organización, el personal del centro de datos de Microsoft o una cuenta de servicio del centro de datos, o un administrador delegado. El valor False indica que el cmdlet lo ejecutó algún usuario de su organización. El valor True indica que el cmdlet lo ejecutó el personal del centros de datos, una cuenta de servicio del centro de datos o un administrador delegado.
En el caso de la actividad de buzón de Exchange, especifica si un usuario fuera de la organización ha accedido a un buzón de correo.
Exchange
ExtendedProperties Propiedades extendidas de una actividad de Azure Active Directory. Azure Active Directory
Id. Identificador de la entrada del informe. El identificador identifica de forma única la entrada del informe. todas
InternalLogonType Reservado para uso interno. Exchange (actividad de buzón)
ItemType El tipo de objeto al que se obtuvo acceso o que se modificó. Entre los valores posibles se incluyen File, Folder, Web, Site, Tenant y DocumentLibrary. SharePoint
IsJoinedFromLobby Independientemente de si el usuario se unió a una sesión de Teams desde la sala de espera. Microsoft Teams
LoginStatus Identifica los errores de inicio de sesión que podrían haberse producido. Azure Active Directory
LogonType Tipo de acceso al buzón. Los siguientes valores indican el tipo de usuario que ha accedido al buzón.

0 : indica el propietario de un buzón.
1 : indica un administrador.
2 : indica un delegado.
3 : indica el servicio de transporte en el centro de datos de Microsoft.
4 : indica una cuenta de servicio en el centro de datos de Microsoft.
6 : indica un administrador delegado.
Exchange (actividad de buzón)
MailboxGuid El GUID de Exchange del buzón al que se obtuvo acceso. Exchange (actividad de buzón)
MailboxOwnerUPN La dirección de correo electrónico del propietario del buzón al que se obtuvo acceso. Exchange (actividad de buzón)
Members Enumera los usuarios que se han agregado o quitado de un equipo. Los siguientes valores indican el tipo de rol asignado al usuario.

1 - Indica el rol del propietario.
2 - Indica el rol del miembro.
3- Indica el rol del invitado.

La propiedad Miembros también incluye el nombre de su organización y la dirección de correo electrónico del miembro.
Microsoft Teams
ModifiedProperties (Name, NewValue, OldValue) La propiedad se incluye para actividades de administración, como agregar un usuario como miembro de un sitio o un grupo de administración de colección de sitios. La propiedad incluye el nombre de la propiedad que se modificó (por ejemplo, el grupo administrador del sitio) el nuevo valor de la propiedad modificada (por ejemplo, el usuario que se agregó como administrador del sitio y el valor anterior del objeto modificado). Todo (actividad de administrador)
ObjectFullyQualifiedName Nombre completo de una entidad. Microsoft Purview (gobernanza)
ObjectId Para el registro de auditoría de Exchange, el nombre del objeto modificado por el cmdlet.
Para la actividad de SharePoint, el nombre completo de la ruta de acceso url del archivo o carpeta al que accede un usuario.
Para la actividad de Azure AD, el nombre de la cuenta de usuario que se modificó.
todas
ObjectName Nombre de la entidad principal. Microsoft Purview (gobernanza)
ObjectType Tipo de entidad. Microsoft Purview (gobernanza)
OldValue El valor antes de un cambio incluye todas las propiedades actualizadas o eliminadas. Microsoft Purview (gobernanza)
Operación El nombre de la actividad de usuario o administrador. El valor de esta propiedad corresponde al valor que se seleccionó en la lista desplegable Actividades . Si se seleccionó Mostrar resultados para todas las actividades , el informe incluirá entradas para todas las actividades de usuario y administrador de todos los servicios. Para obtener una descripción de las operaciones o actividades que se registran en el registro de auditoría, vea la pestaña Actividades auditadas en Buscar el registro de auditoría en Office 365.
Esta propiedad identifica el nombre del cmdlet ejecutado para la actividad de administración de Exchange.
todas
OrganizationId GUID de la organización. todas
NewValue El valor después de un cambio incluye todas las propiedades actualizadas o eliminadas. Microsoft Purview (gobernanza)
Ruta de acceso El nombre de la carpeta del buzón donde se encuentra el mensaje al que se obtuvo acceso. Esta propiedad también identifica la carpeta en la que se crea un mensaje o se copia o se mueve a. Exchange (actividad de buzón)
Parameters Para la actividad de administrador de Exchange, el nombre y el valor de todos los parámetros que se usaron con el cmdlet que se identifica en la propiedad Operation. Exchange (actividad de administrador)
ParticipantInfo Propiedades adicionales sobre la identidad del participante. Microsoft Teams
ParticipatingDomainInformation Información de dominio sobre el participante. Microsoft Teams
PreviousProtectionType Un tipo de propiedad complejo que contiene campos para describir el estado de protección anterior de un documento. Incluye lo siguiente:

ProtectionType: enumera el tipo de protección aplicado al documento. Estos valores y sus significados se aplican: 0 (sin protección), 1 (protección basada en plantillas), 2 (no reenviar, para correo electrónico), 3 (solo cifrar) y 4 (protección personalizada configurada por el usuario)
Propietario: dirección de correo electrónico del usuario que configuró la protección.
TemplateId: cuando ProtectionType se establece en 1 (plantilla), este campo contiene el GUID de la plantilla aplicada al documento. Cuando el valor de ProtectionType no es igual a 1, este campo está en blanco.
DocumentEncrypted: marca booleana que indica si se aplica algún tipo de cifrado al documento. Los valores son True o False.
todas
ProtectionEventType Enumera cómo cambió la protección la operación que se está auditando. Se aplican los siguientes valores y significados:

0 : indica sin cambios.
1 : indica que se ha agregado.
2 : indica que se ha cambiado.
3 : indica que se ha quitado.
todas
RecordType El tipo de operación indicado por el registro. Esta propiedad indica el servicio o característica en el que se desencadenó la operación. Para obtener una lista de tipos de registro y su valor ENUM correspondiente (que es el valor mostrado en la propiedad RecordType en un registro de auditoría), consulte Tipo de registro de auditoría.
ResultStatus Indica si la acción (especificada en la propiedad Operation ) se realizó correctamente o no.
Para la actividad de administrador de Exchange, el valor es True (correcto) o False (error).
todas
SecurityComplianceCenterEventType Indica que la actividad era un portal de Microsoft Purview y una actividad del portal de cumplimiento. Todas las actividades del portal de Microsoft Purview y del portal de cumplimiento tendrán un valor de 0 para esta propiedad. Portal Microsoft Purview
Portal de cumplimiento de Microsoft Purview.
SensitivityLabel Etiqueta de confidencialidad asignada a un elemento de correo específico. Exchange
SharingType Tipo de permisos de uso compartido que se asignaron al usuario con el que se compartió el recurso. Este usuario se identifica en la propiedad UserSharedWith . SharePoint
Site El GUID del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario. SharePoint
SiteUrl La dirección URL del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario. SharePoint
SourceFileExtension La extensión del archivo al que obtuvo acceso el usuario. Esta propiedad está en blanco si el objeto al que se obtuvo acceso es una carpeta. SharePoint
SourceFileName El nombre del archivo o carpeta al que obtuvo acceso el usuario. SharePoint
SourceRelativeUrl La dirección URL de la carpeta que contiene el archivo al que obtuvo acceso el usuario. La combinación de los valores de SiteURL, SourceRelativeURL y la propiedad SourceFileName es la misma que el valor de la propiedad ObjectID , que es el nombre de la ruta de acceso completa para el archivo al que accede el usuario. SharePoint
Asunto La línea de asunto del mensaje al que se obtuvo acceso. Exchange (actividad de buzón)
TabType Tipo de pestaña agregada, quitada o actualizada en un equipo. Los valores posibles de esta propiedad son:

Pin de Excel : una pestaña de Excel.
Extensión : todas las aplicaciones de terceros y de terceros; como programación de clases, VSTS y formularios.
Notas : pestaña De OneNote.
Pdfpin : una pestaña PDF.
Powerbi : una pestaña de Power BI.
Powerpointpin : una pestaña de PowerPoint.
Sharepointfiles : una pestaña de SharePoint.
Página web : pestaña de sitio web anclado.
Wiki-tab : una pestaña wiki.
Wordpin : una pestaña de Word.
Microsoft Teams
Target El usuario en el que se realizó la acción (identificada en la propiedad Operation ). Por ejemplo, si se agrega un invitado a SharePoint o a un equipo de Microsoft, ese usuario aparecería en esta propiedad. Azure Active Directory
TeamGuid Identificador de un equipo en Microsoft Teams. Microsoft Teams
TeamName Nombre de un equipo en Microsoft Teams. Microsoft Teams
UserAgent Información sobre el explorador del usuario. Esta información la proporciona el explorador. SharePoint
UserDomain Información de identidad sobre la organización del inquilino del usuario (actor) que realizó la acción. Azure Active Directory
UserId El usuario que realizó la acción (especificada en la propiedad Operation ) que provocó que se registrara el registro. Los registros de auditoría de la actividad realizada por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM) también se incluyen en el registro de auditoría. Otro valor común para la propiedad UserId es app@sharepoint. Esto indica que el "usuario" que llevó a cabo esta actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio.

Para más información, vea:
El usuario app@sharepoint en los registros de auditoría
Otra posibilidad:
Cuentas del sistema en registros de auditoría de buzones de Exchange.
todas
UserKey Contiene un identificador de objeto de Azure Active Directory válido en formato GUID o hexadecimal. En escenarios en los que el actor principal no es un usuario, UserKey es una cadena vacía. Consulte Escenarios UserType y UserKey para obtener más información sobre varios escenarios userkey . todas
UserType El tipo de usuario que llevó a cabo la operación. Consulte los escenarios UserType y UserKey para obtener más información sobre varios escenarios de UserType . todas
Versión Indica el número de versión de la actividad (identificada por la propiedad Operation ) que se registra. todas
Carga de trabajo Servicio de Microsoft 365 donde se produjo la actividad. todas

Escenarios UserType y UserKey

En la tabla siguiente se proporcionan detalles para los escenarios UserType y UserKey :

Valor Nombre del miembro UserType Descripción UserKey
0 Regular Un usuario normal sin permisos de administrador. Identificador de objeto de Microsoft Entra en formato GUID
2 Admin Administrador de la organización de Microsoft 365. 1 Identificador de objeto de Microsoft Entra en formato GUID
3 DCAdmin Una cuenta de sistema de centro de datos o administrador del centro de datos de Microsoft. Identificador de objeto de Microsoft Entra en formato GUID
4 Sistema Un evento de auditoría desencadenado por la lógica del lado servidor. Por ejemplo, servicios de Windows o procesos en segundo plano. Guid.Empty.ToString() (o el valor '000000000-0000-0000-0000-0000000000000000').
5 Application Evento de auditoría desencadenado por una aplicación Microsoft Entra. Nombre de aplicación o identificador de aplicación de Microsoft Entra (cuando esté disponible). De lo contrario, una cadena vacía.
6 ServicePrincipal Un servicio principal. Guid.Empty.ToString() (o el valor '000000000-0000-0000-0000-0000000000000000').
7 CustomPolicy Directiva administrada o creada por un cliente. Guid.Empty.ToString() (o el valor '000000000-0000-0000-0000-0000000000000000').
8 SystemPolicy Una directiva de sistema o administrada por Microsoft. Guid.Empty.ToString() (o el valor '000000000-0000-0000-0000-0000000000000000').
9 PartnerTechnician Usuario de un inquilino asociado que trabaja en nombre del inquilino del cliente (en escenarios de GDAP ). Guid.Empty.ToString() (o el valor '000000000-0000-0000-0000-0000000000000000').
10 Guest Un invitado o un usuario anónimo. Guid.Empty.ToString() (o el valor '000000000-0000-0000-0000-0000000000000000').

Nota:

1 Para eventos relacionados con Microsoft Entra, el valor de un administrador no se usa en un registro de auditoría. Los registros de auditoría de las actividades realizadas por los administradores indicarán que un usuario normal (por ejemplo, UserType: 0) realizó la actividad. La propiedad UserID identificará a la persona (usuario o administrador normal) que realizó la actividad.