Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce tableau fait partie d’Identité et accès réseau, qui contient les journaux d’audit Microsoft 365 enrichis. Ces journaux d’activité peuvent être utilisés pour la gestion des stratégies, des risques et du trafic, ainsi que pour surveiller l’expérience des utilisateurs.
Attributs de la table
| Attribut | Valeur |
|---|---|
| Types de ressources | - |
| Catégories | Sécurité, réseau, outils de gestion informatique |
| Solutions | Gestion des logs |
| Journal de base | Oui |
| Transformation au moment de l’ingestion | Non |
| Exemples de requêtes | - |
Colonnes
| Colonne | Catégorie | Descriptif |
|---|---|---|
| Type d'utilisateur de l'acteur | ficelle | Le type d’utilisateur qui a effectué l’opération. Les types possibles incluent : Admin, System, Application, Service Principal et Other. |
| Propriétés supplémentaires | dynamique | Champs d’activité supplémentaires |
| _BilledSize | réel | Taille de l’enregistrement en octets |
| ClientIp | ficelle | L’adresse IP du terminal qui a été utilisée lorsque l’activité a été enregistrée. L’adresse IP s’affiche au format d’adresse IPv4 ou IPv6. Pour certains services, la valeur affichée dans cette propriété peut être l’adresse IP d’une application approuvée (par exemple, Office sur le Web applications) appelant le service pour le compte d’un utilisateur et non l’adresse IP de l’appareil utilisé par la personne qui a effectué l’activité. En outre, pour les événements liés à Azure Active Directory, l’adresse IP n’est pas journalisée et la valeur de la propriété ClientIP est null. |
| DeviceId | ficelle | ID de l’appareil source comme indiqué dans l’enregistrement. |
| Système d'exploitation de l'appareil | ficelle | Le type de système d’exploitation du client connecté. |
| VersionDuSystèmeD'exploitationDuDispositif | ficelle | La version du système d'exploitation de connexion du client. |
| Id | ficelle | Identificateur unique d’un enregistrement d’audit. |
| _IsBillable | ficelle | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| Identifiant d'objet (ObjectId) | ficelle | Pour l'activité SharePoint et OneDrive for Business, le chemin d'accès complet du fichier ou du dossier consulté par l’utilisateur. Pour la journalisation de l’audit d’administration Exchange, nom de l’objet modifié par l’applet de commande. |
| Opération | ficelle | Nom de l’activité utilisateur ou administrateur qui a effectué l’activité. |
| Identifiant de l'Organisation | ficelle | Le GUID pour le client Office 365 de votre organisation. Cette valeur est toujours la même pour votre organisation, quel que soit le service Office 365 dans lequel il se produit. |
| Type d'enregistrement | ent | Type d’opération indiqué par l’enregistrement. Pour plus d’informations sur les types d’enregistrements du journal d’audit, consultez la table AuditLogRecordType. |
| ResultStatus | ficelle | Indique si l’action (spécifiée dans la propriété d'opération) est réussie ou non. Les valeurs possibles sont Réussie, Partiellement réussie ou Échec. |
| SourceIp | ficelle | Adresse IP d’origine de la connexion ou de la session. |
| SourceSystem | ficelle | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| Id de locataire | ficelle | ID de l’espace de travail Log Analytics |
| TimeGenerated | date et heure | Date et heure UTC lorsque l’utilisateur a effectué l’activité. |
| Catégorie | ficelle | Le nom de la table |
| UniqueTokenId | ficelle | Identificateur de jeton unique |
| ID utilisateur | ficelle | UPN (nom d’utilisateur principal) de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journalisation de l’enregistrement ; par exemple, my_name@my_domain_name. Notez que les enregistrements d’activité effectués par les comptes système (tels que SHAREPOINT\system ou NT AUTHORITY\SYSTEM) sont également inclus. Dans SharePoint, une autre valeur affichée dans la propriété UserId est app@sharepoint. Cela indique que l'« utilisateur » qui a effectué l’activité était une application disposant des autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de l’organisation (telles que la recherche d’un site SharePoint ou d’un compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. Pour plus d’informations, consultez l’utilisateur app@sharepoint dans les enregistrements d’audit. |
| Clé utilisateur | ficelle | Un autre ID pour l’utilisateur identifié dans la propriété UserId. Par exemple, cette propriété est remplie par l’ID unique du passeport (PUID) pour les événements exécutés par les utilisateurs dans SharePoint, OneDrive entreprise et Exchange. Cette propriété peut également spécifier la même valeur que la propriété UserID pour les événements qui se produisent dans d’autres services et événements effectués par des comptes système. |
| Type d'utilisateur | ficelle | Le type d’utilisateur qui a effectué l’opération. |
| Charge de travail | ficelle | Service Office 365 où l’activité s’est produite. |