Propiedades detalladas del registro de auditoría
Al exportar los resultados de una búsqueda de registros de auditoría desde el portal de cumplimiento Microsoft Purview, puede descargar todos los resultados que cumplan los criterios de búsqueda. Para exportar esta información, seleccione Exportar resultados>Descargar todos los resultados en la página Búsqueda de registros de auditoría . Para obtener más información, vea Buscar en el registro de auditoría.
Cuando exporta todos los resultados de una búsqueda de registros de auditoría, los datos sin procesar del registro de auditoría unificado se copian en un archivo de valores separados por comas (CSV) que se descarga en el equipo local. Este archivo contiene información adicional de cada registro de auditoría de una columna denominada AuditData. Esta columna contiene una propiedad de varios valores para varias propiedades del registro de auditoría. Cada una de las propiedades: los pares de valores de esta propiedad multivalor se separan por comas.
En las secciones y tablas siguientes se describen las propiedades que se incluyen (en función del servicio en el que se produce un evento) en la columna AuditData de varias propiedades. Para obtener información más detallada sobre estas propiedades o sobre las propiedades que pueden no aparecer en este artículo, consulte Esquema de api de actividad de administración.
Sugerencia
Puede usar la característica de transformación JSON en Power Query en Excel para dividir la columna AuditData en varias columnas para que cada propiedad tenga su propia columna. Esto le permitirá ordenar y filtrar en una o más de estas propiedades. Para obtener información sobre cómo hacerlo, consulte Exportación, configuración y visualización de registros de auditoría.
Todos los servicios
| Propiedad | Descripción |
|---|---|
| CreationTime | La fecha y hora en formato Hora universal coordinada (UTC) en las que el usuario ha realizado la actividad. |
| CurrentProtectionType | Un tipo de propiedad complejo que contiene campos para describir el estado de protección actual de un documento. Incluye lo siguiente: ProtectionType: enumera el tipo de protección aplicado al documento. Estos valores y sus significados se aplican: 0 (sin protección), 1 (protección basada en plantillas), 2 (no reenviar, para correo electrónico), 3 (solo cifrar) y 4 (protección personalizada configurada por el usuario) Propietario: dirección de correo electrónico del usuario que configuró la protección. TemplateId: cuando ProtectionType se establece en 1 (plantilla), este campo contiene el GUID de la plantilla aplicada al documento. Cuando el valor de ProtectionType no es igual a 1, este campo está en blanco. DocumentEncrypted: marca booleana que indica si se aplica algún tipo de cifrado al documento. Los valores son True o False. |
| Id. | Identificador de la entrada del informe. El identificador identifica de forma única la entrada del informe. |
| ModifiedProperties (Name, NewValue, OldValue) | La propiedad se incluye para los eventos de administración, como agregar un usuario como miembro de un sitio o un grupo de administradores de colección de sitios. La propiedad incluye el nombre de la propiedad que se modificó (por ejemplo, el grupo De sitio Administración) el nuevo valor de la propiedad modificada (por ejemplo, el usuario que se agregó como administrador del sitio y el valor anterior del objeto modificado). |
| ObjectId | Para el registro de auditoría del administrador de Exchange, el nombre del objeto modificado por el cmdlet. Para la actividad de SharePoint, el nombre completo de la ruta de acceso url del archivo o carpeta al que accede un usuario. Para Microsoft Entra actividad, el nombre de la cuenta de usuario que se modificó. |
| Operación | El nombre de la actividad de usuario o administrador. El valor de esta propiedad corresponde al valor que se seleccionó en la lista desplegable Actividades . Si se seleccionó Mostrar resultados para todas las actividades , el informe incluye entradas para todas las actividades de usuario y administrador de todos los servicios. Para obtener una descripción de las operaciones o actividades que se registran en el registro de auditoría, consulte la pestaña Actividades auditadas en Buscar el registro de auditoría en el Office 365. Esta propiedad identifica el nombre del cmdlet ejecutado para la actividad de administración de Exchange. |
| OrganizationId | GUID de la organización. |
| Operación | El nombre de la actividad de usuario o administrador. El valor de esta propiedad corresponde al valor que se seleccionó en la lista desplegable Actividades . Si se seleccionó Mostrar resultados para todas las actividades , el informe incluye entradas para todas las actividades de usuario y administrador de todos los servicios. Para obtener una descripción de las operaciones o actividades que se registran en el registro de auditoría, consulte la pestaña Actividades auditadas en Buscar el registro de auditoría en el Office 365. Esta propiedad identifica el nombre del cmdlet ejecutado para la actividad de administración de Exchange. |
| OrganizationId | GUID de la organización. |
| UserId | El usuario que realizó la acción (especificada en la propiedad Operation ) que provocó que se registrara el registro. Los registros de auditoría de la actividad realizada por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM) también se incluyen en el registro de auditoría. Otro valor común para la propiedad UserId es app@sharepoint. Esta propiedad indica que el "usuario" que realizó la actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o una cuenta de OneDrive) en nombre de un usuario, administrador o servicio. Para obtener más información, consulte: El usuario app@sharepoint en los registros de auditoría o Cuentas del sistema en registros de auditoría de buzones de Exchange. |
| UserKey | Contiene un identificador de objeto de Microsoft Entra válido en formato GUID o hexadecimal. En escenarios en los que el actor principal no es un usuario, UserKey es una cadena vacía. Consulte Escenarios UserType y UserKey para obtener más información sobre varios escenarios userkey . |
| UserType | El tipo de usuario que llevó a cabo la operación. Consulte los escenarios UserType y UserKey para obtener más información sobre varios escenarios de UserType . |
| Versión | Indica el número de versión de la actividad (identificada por la propiedad Operation ) que se registra. |
| Carga de trabajo | Servicio de Microsoft 365 donde se produjo la actividad. |
Microsoft Copilot para Microsoft 365
| Propiedad | Descripción |
|---|---|
| AccessedResources | Referencias a todos los archivos y documentos que Copilot usó en servicios M365 como OneDrive y SharePointOnline para responder a la solicitud del usuario. Un tipo de propiedad complejo que contiene campos adicionales, incluidos los siguientes: Identificador: identificador de los archivos de los servicios de Microsoft 365, como SharePoint y OneDrive. Tipo: tipo de archivos dentro de los servicios de Microsoft 365, como SharePoint y OneDrive. Nombre: nombre de los archivos de los servicios de Microsoft 365, como SharePoint y OneDrive. SensitivityLabelId: identificador de etiqueta de confidencialidad asignado al archivo. Este valor es un identificador único en forma de GUID. Este valor es null si no hay una etiqueta de confidencialidad presente. |
| AppHost | Tipo de copilot usado durante la interacción. Por ejemplo, bizchat hace referencia a la experiencia de Microsoft 365 Chat en Bing y Teams. Appchat hace referencia a las experiencias de copilot en aplicaciones como Excel, PowerPoint, Teams y mucho más. Ejemplo: AppHost: appchat, AppHost: bizchat |
| Contextos | Context contiene una colección de atributos dentro de AppChat en torno a la interacción del usuario para ayudar a describir dónde estaba el usuario durante la interacción del copiloto. Por ejemplo, si copilot se usa en Excel, el contexto es el identificador de la hoja de cálculo de Excel y el tipo de archivo. Un tipo de propiedad complejo que contiene campos adicionales, incluidos los siguientes: Id: identificador del recurso que se usa durante la interacción de Copilot. Tipo: nombre de la aplicación o servicio dentro del contexto. Algunos ejemplos de aplicaciones y servicios admitidos incluyen archivos de Office de Microsoft 365 (docx, pptx, xlsx), TeamsMeeting, TeamsChannel y TeamsChat. |
| MessageIds | Esto está reservado actualmente para uso interno de Microsoft. |
| ThreadId | Identificador del copiloto y el subproceso de interacción del usuario. |
Microsoft Entra ID
| Propiedad | Descripción |
|---|---|
| Actor | La cuenta de usuario o servicio que realizó la acción. |
| AzureActiveDirectoryEventType | Tipo de evento de Microsoft Entra. Los siguientes valores indican el tipo de evento. 0 : indica un evento de inicio de sesión de cuenta. 1 : indica un evento de seguridad de la aplicación de Azure. |
| Cliente | El dispositivo cliente, el sistema operativo del dispositivo y el explorador del dispositivo utilizados para el evento de inicio de sesión (por ejemplo, Nokia Lumia 920; Windows Phone 8; IE Mobile 11). |
| ClientIP | La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad. Además, para la actividad de administrador (o actividad realizada por una cuenta del sistema) para Microsoft Entra eventos relacionados, la dirección IP no se registra y el valor de la propiedad ClientIP es null. |
| ExtendedProperties | Propiedades extendidas de un evento de Microsoft Entra. |
| LoginStatus | Identifica los errores de inicio de sesión que podrían haberse producido. |
| Target | El usuario en el que se realizó la acción (identificada en la propiedad Operation ). Por ejemplo, si se agrega un invitado a SharePoint o a un equipo de Microsoft, ese usuario aparecería en esta propiedad. |
| UserDomain | Información de identidad sobre la organización del inquilino del usuario (actor) que realizó la acción. |
Microsoft Exchange
| Propiedad | Description |
|---|---|
| ClientInfoString | Información sobre el cliente de correo electrónico que se usó para realizar la operación, como una versión del explorador, la versión de Outlook y la información del dispositivo móvil |
| ClientIP | La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad. Además, para la actividad de administrador (o actividad realizada por una cuenta del sistema) para Microsoft Entra eventos relacionados, la dirección IP no se registra y el valor de la propiedad ClientIP es null. |
| ExternalAccess | En el caso de la actividad de administrador de Exchange, especifica si el cmdlet lo ejecutó un usuario de su organización, el personal del centro de datos de Microsoft o una cuenta de servicio del centro de datos, o un administrador delegado. El valor False indica que el cmdlet lo ejecutó algún usuario de su organización. El valor True indica que el cmdlet lo ejecutó el personal del centros de datos, una cuenta de servicio del centro de datos o un administrador delegado. En el caso de la actividad de buzón de Exchange, especifica si un usuario fuera de la organización ha accedido a un buzón de correo. |
| InternalLogonType | Reservado para uso interno. |
| LogonType | Tipo de acceso al buzón. Los siguientes valores indican el tipo de usuario que ha accedido al buzón. 0 : indica el propietario de un buzón. 1 : indica un administrador. 2 : indica un delegado. 3 : indica el servicio de transporte en el centro de datos de Microsoft. 4 : indica una cuenta de servicio en el centro de datos de Microsoft. 6 : indica un administrador delegado. |
| MailboxGuid | El GUID de Exchange del buzón al que se obtuvo acceso. |
| MailboxOwnerUPN | La dirección de correo electrónico del propietario del buzón al que se obtuvo acceso. |
| Ruta de acceso | El nombre de la carpeta del buzón donde se encuentra el mensaje al que se obtuvo acceso. Esta propiedad también identifica la carpeta en la que se crea un mensaje o se copia o se mueve a. |
| Parameters | Para la actividad de administrador de Exchange, el nombre y el valor de todos los parámetros que se usaron con el cmdlet que se identifica en la propiedad Operation. |
| Asunto | La línea de asunto del mensaje al que se obtuvo acceso. |
Microsoft Purview
| Propiedad | Descripción |
|---|---|
| ObjectFullyQualifiedName | Nombre completo de una entidad. |
| ObjectName | Nombre de la entidad principal. |
| ObjectType | Tipo de entidad. Microsoft Purview (gobernanza). |
| OldValue | Valor antes de un cambio. Incluye todas las propiedades actualizadas o eliminadas. |
| NewValue | Valor después de un cambio. Incluye todas las propiedades actualizadas o eliminadas. |
Portal de cumplimiento de Microsoft Purview.
| Propiedad | Descripción |
|---|---|
| SecurityComplianceCenterEventType | Indica que la actividad era un evento del portal de cumplimiento. Todas las actividades del portal de cumplimiento tienen un valor de 0 para esta propiedad. |
Microsoft SharePoint
| Propiedad | Descripción |
|---|---|
| ClientIP | La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad. Además, para la actividad de administrador (o actividad realizada por una cuenta del sistema) para Microsoft Entra eventos relacionados, la dirección IP no se registra y el valor de la propiedad ClientIP es null. |
| DestinationFileExtension | La extensión del archivo que se copia o mueve. Esta propiedad solo se muestra para las actividades de usuario FileCopied y FileMoved. |
| DestinationFileName | El nombre del archivo se copia o mueve. Esta propiedad solo se muestra para las acciones FileCopied y FileMoved. |
| DestinationRelativeUrl | La dirección URL de la carpeta de destino donde se copia o se mueve un archivo. La combinación de los valores de SiteURL, DestinationRelativeURL y la propiedad DestinationFileName es la misma que el valor de la propiedad ObjectID , que es el nombre de la ruta de acceso completa del archivo que se copió. Esta propiedad solo se muestra para las actividades de usuario FileCopied y FileMoved. |
| EventSource | Identifica que un evento se produjo en SharePoint. Los valores posibles son SharePoint y ObjectModel. |
| ItemType | El tipo de objeto al que se obtuvo acceso o que se modificó. Entre los valores posibles se incluyen File, Folder, Web, Site, Tenant y DocumentLibrary. |
| SharingType | Tipo de permisos de uso compartido que se asignaron al usuario con el que se compartió el recurso. Este usuario se identifica en la propiedad UserSharedWith . |
| Site | El GUID del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario. |
| SiteUrl | La dirección URL del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario. |
| SourceFileExtension | La extensión del archivo al que obtuvo acceso el usuario. Esta propiedad está en blanco si el objeto al que se obtuvo acceso es una carpeta. |
| SourceFileName | El nombre del archivo o carpeta al que obtuvo acceso el usuario. |
| SourceRelativeUrl | La dirección URL de la carpeta que contiene el archivo al que obtuvo acceso el usuario. La combinación de los valores de SiteURL, SourceRelativeURL y la propiedad SourceFileName es la misma que el valor de la propiedad ObjectID , que es el nombre de la ruta de acceso completa para el archivo al que accede el usuario. |
| UserAgent | Información sobre el explorador del usuario. Esta información la proporciona el explorador. |
Microsoft Teams
| Propiedad | Descripción |
|---|---|
| AddOnName | Nombre de un complemento que se agregó, quitó o actualizó en un equipo. El tipo de complementos de Microsoft Teams es un bot, un conector o una pestaña. |
| AddOnType | Tipo de un complemento que se agregó, quitó o actualizó en un equipo. Los siguientes valores indican el tipo de complemento. 1 : indica un bot. 2 : indica un conector. 3 : indica una pestaña. |
| ChannelGuid | Identificador de un canal de Microsoft Teams. El equipo en el que se encuentra el canal se identifica mediante las propiedades TeamName y TeamGuid . |
| ChannelName | Nombre de un canal de Microsoft Teams. El equipo en el que se encuentra el canal se identifica mediante las propiedades TeamName y TeamGuid . |
| Members | Enumera los usuarios que se han agregado o quitado de un equipo. Los siguientes valores indican el tipo de rol asignado al usuario. 1 - Indica el rol del propietario. 2 - Indica el rol del miembro. 3- Indica el rol del invitado. La propiedad Miembros también incluye el nombre de su organización y la dirección de correo electrónico del miembro. |
| TabType | Tipo de pestaña agregada, quitada o actualizada en un equipo. Los valores posibles de esta propiedad son: Pin de Excel : una pestaña de Excel. Extensión : todas las aplicaciones de terceros y de terceros; como programación de clases, VSTS y formularios. Notas : pestaña De OneNote. Pdfpin : una pestaña PDF. Powerbi : una pestaña de Power BI. Powerpointpin : una pestaña de PowerPoint. Sharepointfiles : una pestaña de SharePoint. Página web : pestaña de sitio web anclado. Wiki-tab : una pestaña wiki. Wordpin: pestaña Word. |
| TeamGuid | Identificador de un equipo en Microsoft Teams. |
| TeamName | Nombre de un equipo en Microsoft Teams. |
Escenarios UserType y UserKey
En la tabla siguiente se proporcionan detalles para los escenarios UserType y UserKey :
| Valor | Nombre del miembro UserType | Descripción | UserKey |
|---|---|---|---|
| 0 | Regular | Un usuario normal sin permisos de administrador. | Microsoft Entra id. de objeto en formato GUID |
| 2 | Admin | Administrador de la organización de Microsoft 365. 1 | Microsoft Entra id. de objeto en formato GUID |
| 3 | DCAdmin | Una cuenta de sistema de centro de datos o administrador del centro de datos de Microsoft. | Microsoft Entra id. de objeto en formato GUID |
| 4 | Sistema | Un evento de auditoría desencadenado por la lógica del lado servidor. Por ejemplo, servicios de Windows o procesos en segundo plano. | Cadena vacía |
| 5 | Application | Evento de auditoría desencadenado por una aplicación de Microsoft Entra. | Microsoft Entra nombre de aplicación o identificador de aplicación (cuando esté disponible). De lo contrario, una cadena vacía. |
| 6 | ServicePrincipal | Un servicio principal. | Cadena vacía |
| 7 | CustomPolicy | Directiva administrada o creada por un cliente. | Cadena vacía |
| 8 | SystemPolicy | Una directiva de sistema o administrada por Microsoft. | Cadena vacía |
| 9 | PartnerTechnician | Usuario de un inquilino asociado que trabaja en nombre del inquilino del cliente (en escenarios de GDAP ). | Cadena vacía |
| 10 | Guest | Un invitado o un usuario anónimo. | Cadena vacía |
Nota:
1 Para Microsoft Entra eventos relacionados, el valor de un administrador no se usa en un registro de auditoría. Los registros de auditoría de las actividades realizadas por los administradores indicarán que un usuario normal (por ejemplo, UserType: 0) realizó la actividad. La propiedad UserID identificará a la persona (usuario o administrador normal) que realizó la actividad.
Comentarios
Enviar y ver comentarios de