Condividi tramite


Proprietà attività dettagliate nel log di controllo

Quando si esportano i risultati di una ricerca nel log di controllo dal portale di Microsoft Purview o dal portale di conformità di Microsoft Purview, è possibile scaricare tutti i risultati che soddisfano i criteri di ricerca. È possibile esportare queste informazioni selezionando Esporta risultati>Scarica tutti i risultati nella pagina Ricerca log di controllo . Per altre informazioni, vedere Cercare nel log di controllo.

Quando si esportano tutti i risultati per una ricerca nel log di controllo, i dati non elaborati dal log di controllo unificato vengono copiati in un file CSV (Comma-Separated Value) scaricato nel computer locale. Questo file contiene informazioni aggiuntive sulle proprietà di ogni record di attività di controllo in una colonna denominata AuditData. Questa colonna contiene una proprietà multivalore per più proprietà del record del log di controllo. Ogni proprietà: le coppie di valori in questa proprietà multivalore sono separate da una virgola.

Nella tabella seguente vengono descritte le proprietà dell'attività incluse (a seconda del servizio in cui si verifica un'attività) nella colonna AuditData multiproprietà. Il servizio Microsoft con questa colonna di proprietà indica il servizio e il tipo di attività (utente o amministratore) che include la proprietà . Per informazioni più dettagliate su queste proprietà o sulle proprietà che potrebbero non essere elencate in questo articolo, vedere Schema dell'API attività di gestione.

Consiglio

È possibile usare la funzionalità di trasformazione JSON in Power Query in Excel per suddividere la colonna AuditData in più colonne in modo che ogni proprietà abbia una propria colonna. In questo modo è possibile ordinare e filtrare in base a una o più di queste proprietà. Per informazioni su come eseguire questa operazione, vedere Esportare, configurare e visualizzare i record del log di controllo.

Proprietà Descrizione Servizio Microsoft con questa proprietà
Attore L'account utente o del servizio che ha eseguito l'azione. Azure Active Directory
AddOnName Nome di un componente aggiuntivo aggiunto, rimosso o aggiornato in un team. Il tipo di componenti aggiuntivi in Microsoft Teams è un bot, un connettore o una scheda. Microsoft Teams
AddOnType Tipo di componente aggiuntivo aggiunto, rimosso o aggiornato in un team. I valori seguenti indicano il tipo di componente aggiuntivo.
1 - Indica un bot.
2 - Indica un connettore.
3 - Indica una scheda.
Microsoft Teams
AppAccessContext Contesto dell'applicazione per l'utente o l'entità servizio che ha eseguito l'azione. Microsoft Teams
ArtifactShared File o contenuto condiviso dall'utente. Microsoft Teams
AzureActiveDirectoryEventType Tipo di attività di Azure Active Directory. I valori seguenti indicano il tipo di attività.
0 - Indica un'attività di accesso all'account.
1 - Indica un'attività di sicurezza dell'applicazione Azure.
Azure Active Directory
ChannelGuid ID di un canale di Microsoft Teams. Il team in cui si trova il canale è identificato dalle proprietà TeamName e TeamGuid . Microsoft Teams
ChannelName Nome di un canale di Microsoft Teams. Il team in cui si trova il canale è identificato dalle proprietà TeamName e TeamGuid . Microsoft Teams
Client Il dispositivo client, il sistema operativo del dispositivo e il browser del dispositivo usati per l'attività di accesso (ad esempio, Nokia Lumia 920; Windows Phone 8; IE Mobile 11). Azure Active Directory
ClientInfoString Informazioni sul client di posta elettronica usato per eseguire l'operazione, ad esempio una versione del browser, la versione di Outlook e le informazioni sui dispositivi mobili Exchange (attività cassetta postale)
ClientIP Indirizzo IP del dispositivo usato durante la registrazione dell'attività. L'indirizzo IP viene visualizzato in formato IPv4 o IPv6.

Per alcuni servizi, il valore visualizzato in questa proprietà potrebbe essere l'indirizzo IP di un'applicazione attendibile ,ad esempio Office nelle app Web, che chiama nel servizio per conto di un utente e non l'indirizzo IP del dispositivo usato dalla persona che ha eseguito l'attività.

Inoltre, per l'attività di amministratore (o l'attività eseguita da un account di sistema) per le attività correlate ad Azure Active Directory, l'indirizzo IP non viene registrato e il valore della proprietà ClientIP è null.
Azure Active Directory, Exchange, SharePoint
CreationTime Data e ora dell'ora UTC (Coordinated Universal Time) in cui viene generato il record del log di controllo. Tutti
CurrentProtectionType Tipo di proprietà complesso contenente campi per descrivere lo stato di protezione corrente di un documento. Include quanto segue:

ProtectionType: enumera il tipo di protezione applicato al documento. Questi valori e i relativi significati si applicano: 0 (nessuna protezione), 1 (protezione basata su modello), 2 (non inoltrare, per la posta elettronica), 3 (solo crittografia) e 4 (protezione personalizzata configurata dall'utente)
Proprietario: indirizzo di posta elettronica dell'utente che ha configurato la protezione.
TemplateId: quando ProtectionType è impostato su 1 (modello), questo campo contiene il GUID del modello applicato al documento. Quando il valore di ProtectionType non è uguale a 1, questo campo è vuoto.
DocumentEncrypted: flag booleano che indica se al documento viene applicato qualsiasi tipo di crittografia. I valori sono True o False.
Tutti
DestinationFileExtension Estensione di file di un file copiato o spostato. Questa proprietà viene visualizzata solo per le attività utente FileCopied e FileMoved. SharePoint
DestinationFileName Il nome del file viene copiato o spostato. Questa proprietà viene visualizzata solo per le azioni FileCopied e FileMoved. SharePoint
DestinationRelativeUrl URL della cartella di destinazione in cui un file viene copiato o spostato. La combinazione dei valori per SiteURL, DestinationRelativeURL e la proprietà DestinationFileName corrisponde al valore della proprietà ObjectID , ovvero il nome completo del percorso del file copiato. Questa proprietà viene visualizzata solo per le attività utente FileCopied e FileMoved. SharePoint
Eventsource Identifica che si è verificata un'attività in SharePoint. I valori possibili sono SharePoint e ObjectModel. SharePoint
ExternalAccess Per l'attività di amministratore di Exchange, specifica se il cmdlet è stato eseguito da un utente dell'organizzazione, dal personale del data center Microsoft o da un account del servizio data center o da un amministratore delegato. Il valore False indica che il cmdlet è stato eseguito da un utente dell'organizzazione. Il valore True indica che il cmdlet è stato eseguito dal personale del data center, da un account del servizio data center o da un amministratore delegato.
Per l'attività cassetta postale di Exchange, specifica se un utente esterno all'organizzazione ha eseguito l'accesso a una cassetta postale.
Exchange
ExtendedProperties Proprietà estese per un'attività di Azure Active Directory. Azure Active Directory
ID ID della voce del report. L'ID identifica in modo univoco la voce del report. Tutti
InternalLogonType Riservato per uso interno. Exchange (attività cassetta postale)
ItemType Tipo di oggetto a cui è stato eseguito l'accesso o modificato. I valori possibili includono File, Cartella, Web, Sito, Tenant e DocumentLibrary. SharePoint
IsJoinedFromLobby Indica se l'utente ha partecipato o meno a una sessione di Teams dalla sala di attesa. Microsoft Teams
LoginStatus Identifica gli errori di accesso che potrebbero essersi verificati. Azure Active Directory
LogonType Tipo di accesso alla cassetta postale. I valori seguenti indicano il tipo di utente che ha eseguito l'accesso alla cassetta postale.

0 - Indica un proprietario della cassetta postale.
1 - Indica un amministratore.
2 - Indica un delegato.
3 - Indica il servizio di trasporto nel data center Microsoft.
4 - Indica un account del servizio nel data center Microsoft.
6 - Indica un amministratore delegato.
Exchange (attività cassetta postale)
MailboxGuid GUID di Exchange della cassetta postale a cui è stato eseguito l'accesso. Exchange (attività cassetta postale)
MailboxOwnerUPN Indirizzo di posta elettronica della persona proprietaria della cassetta postale a cui è stato eseguito l'accesso. Exchange (attività cassetta postale)
Membri Elenca gli utenti che sono stati aggiunti o rimossi da un team. I valori seguenti indicano il tipo di ruolo assegnato all'utente.

1 - Indica il ruolo Proprietario.
2 - Indica il ruolo Membro.
3 - Indica il ruolo Guest.

La proprietà Members include anche il nome dell'organizzazione e l'indirizzo di posta elettronica del membro.
Microsoft Teams
ModifiedProperties (Name, NewValue, OldValue) La proprietà è inclusa per le attività di amministratore, ad esempio l'aggiunta di un utente come membro di un sito o di un gruppo di amministratori della raccolta siti. La proprietà include il nome della proprietà modificata, ad esempio il gruppo Amministratore sito, il nuovo valore della proprietà modificata, ad esempio l'utente aggiunto come amministratore del sito e il valore precedente dell'oggetto modificato. Tutto (attività di amministratore)
ObjectFullyQualifiedName Nome completo per un'entità. Microsoft Purview (governance)
ObjectId Per la registrazione di controllo dell'amministratore di Exchange, il nome dell'oggetto modificato dal cmdlet.
Per l'attività di SharePoint, il nome completo del percorso URL del file o della cartella a cui un utente accede.
Per l'attività di Azure AD, il nome dell'account utente modificato.
Tutti
ObjectName Nome dell'entità principale. Microsoft Purview (governance)
ObjectType Tipo di entità. Microsoft Purview (governance)
OldValue Il valore prima di una modifica include tutte le proprietà aggiornate o eliminate. Microsoft Purview (governance)
Operazione Nome dell'attività utente o amministratore. Il valore di questa proprietà corrisponde al valore selezionato nell'elenco a discesa Attività . Se è stato selezionato Mostra risultati per tutte le attività , il report includerà le voci per tutte le attività utente e amministratore per tutti i servizi. Per una descrizione delle operazioni/attività registrate nel log di controllo, vedere la scheda Attività controllate in Cercare il log di controllo in Office 365.
Per l'attività di amministratore di Exchange, questa proprietà identifica il nome del cmdlet eseguito.
Tutti
OrganizationId GUID dell'organizzazione. Tutti
NuovoValore Il valore dopo una modifica include tutte le proprietà aggiornate o eliminate. Microsoft Purview (governance)
Percorso Nome della cartella della cassetta postale in cui si trova il messaggio a cui è stato eseguito l'accesso. Questa proprietà identifica anche la cartella in cui viene creato o copiato/spostato un messaggio. Exchange (attività cassetta postale)
Parametri Per l'attività di amministratore di Exchange, il nome e il valore per tutti i parametri usati con il cmdlet identificato nella proprietà Operation. Exchange (attività di amministratore)
ParticipantInfo Proprietà aggiuntive sull'identità del partecipante. Microsoft Teams
ParticipatingDomainInformation Informazioni sul dominio sul partecipante. Microsoft Teams
PreviousProtectionType Tipo di proprietà complesso contenente campi per descrivere lo stato di protezione precedente di un documento. Include quanto segue:

ProtectionType: enumera il tipo di protezione applicato al documento. Questi valori e i relativi significati si applicano: 0 (nessuna protezione), 1 (protezione basata su modello), 2 (non inoltrare, per la posta elettronica), 3 (solo crittografia) e 4 (protezione personalizzata configurata dall'utente)
Proprietario: indirizzo di posta elettronica dell'utente che ha configurato la protezione.
TemplateId: quando ProtectionType è impostato su 1 (modello), questo campo contiene il GUID del modello applicato al documento. Quando il valore di ProtectionType non è uguale a 1, questo campo è vuoto.
DocumentEncrypted: flag booleano che indica se al documento viene applicato qualsiasi tipo di crittografia. I valori sono True o False.
Tutti
ProtectionEventType Enumera il modo in cui la protezione è stata modificata dall'operazione sottoposta a controllo. Si applicano i valori e i significati seguenti:

0 - Indica che non è stato modificato.
1 - Indica l'aggiunta.
2 - Indica la modifica.
3 - Indica che è stato rimosso.
Tutti
RecordType Tipo di operazione indicato dal record. Questa proprietà indica il servizio o la funzionalità in cui è stata attivata l'operazione. Per un elenco dei tipi di record e del relativo valore ENUM corrispondente ,ovvero il valore visualizzato nella proprietà RecordType in un record di controllo, vedere Tipo di record di log di controllo.
ResultStatus Indica se l'azione (specificata nella proprietà Operation ) ha avuto esito positivo o meno.
Per l'attività di amministratore di Exchange, il valore è True (operazione riuscita) o False (operazione non riuscita).
Tutti
SecurityComplianceCenterEventType Indica che l'attività era un'attività del portale di Microsoft Purview e del portale di conformità. Tutte le attività del portale di Microsoft Purview e del portale di conformità avranno un valore pari a 0 per questa proprietà. Portale di Microsoft Purview
Portale di conformità di Microsoft Purview
SensitivityLabel Etichetta di riservatezza assegnata a un elemento di posta specifico. Exchange
SharingType Tipo di autorizzazioni di condivisione assegnate all'utente con cui è stata condivisa la risorsa. L'utente viene identificato nella proprietà UserSharedWith . SharePoint
Sito GUID del sito in cui si trova il file o la cartella a cui l'utente accede. SharePoint
SiteUrl URL del sito in cui si trova il file o la cartella a cui l'utente accede. SharePoint
SourceFileExtension Estensione del file a cui l'utente ha eseguito l'accesso. Questa proprietà è vuota se l'oggetto a cui è stato eseguito l'accesso è una cartella. SharePoint
NomeFileOrigine Nome del file o della cartella a cui l'utente accede. SharePoint
SourceRelativeUrl URL della cartella che contiene il file a cui l'utente accede. La combinazione dei valori per SiteURL, SourceRelativeURL e la proprietà SourceFileName corrisponde al valore della proprietà ObjectID , ovvero il nome completo del percorso per il file a cui l'utente accede. SharePoint
Oggetto Riga dell'oggetto del messaggio a cui è stato eseguito l'accesso. Exchange (attività cassetta postale)
TabType Tipo di scheda aggiunta, rimossa o aggiornata in un team. I valori possibili per questa proprietà sono:

Aggiungi a Excel - Scheda Excel.
Estensione : tutte le app di prima parte e di terze parti; ad esempio Pianificazione classi, VSTS e Moduli.
Note - Scheda OneNote.
Pdfpin - Una scheda PDF.
Powerbi - Scheda di Power BI.
Powerpointpin - Scheda di PowerPoint.
Sharepointfiles - Scheda di SharePoint.
Pagina Web : scheda di un sito Web aggiunto.
Scheda Wiki - Scheda wiki.
Wordpin - Scheda Word.
Microsoft Teams
Destinazione L'utente su cui è stata eseguita l'azione (identificata nella proprietà Operation ). Ad esempio, se un guest viene aggiunto a SharePoint o a un team Microsoft, tale utente verrà elencato in questa proprietà. Azure Active Directory
TeamGuid ID di un team in Microsoft Teams. Microsoft Teams
TeamName Nome di un team in Microsoft Teams. Microsoft Teams
UserAgent Informazioni sul browser dell'utente. Queste informazioni vengono fornite dal browser. SharePoint
UserDomain Informazioni sull'identità dell'organizzazione tenant dell'utente (attore) che ha eseguito l'azione. Azure Active Directory
UserId L'utente che ha eseguito l'azione (specificata nella proprietà Operation ) che ha causato la registrazione del record. I record di controllo per l'attività eseguita dagli account di sistema,ad esempio SHAREPOINT\system o NT AUTHORITY\SYSTEM, sono inclusi anche nel log di controllo. Un altro valore comune per la proprietà UserId è app@sharepoint. Ciò indica che l'"utente" che ha eseguito l'attività è un'applicazione con le autorizzazioni necessarie in SharePoint per eseguire azioni a livello di organizzazione (ad esempio la ricerca in un sito di SharePoint o in un account OneDrive) per conto di un utente, un amministratore o un servizio.

Per altre informazioni, vedere:
L'utente app@sharepoint nei record di controllo
o
Account di sistema nei record di controllo delle cassette postali di Exchange.
Tutti
UserKey Contiene un ID oggetto di Azure Active Directory valido in formato GUID o esadecimale. Per gli scenari in cui l'attore primario non è un utente, UserKey è una stringa vuota. Per informazioni dettagliate sui vari scenari UserKey, vedere Scenari UserType e UserKey. Tutti
Usertype Tipo di utente che ha eseguito l'operazione. Per informazioni dettagliate sui vari scenari UserType, vedere gli scenari UserType e UserKey. Tutti
Versione Indica il numero di versione dell'attività (identificata dalla proprietà Operation ) registrata. Tutti
Carico di lavoro Servizio Microsoft 365 in cui si è verificata l'attività. Tutti

Scenari UserType e UserKey

La tabella seguente fornisce informazioni dettagliate per gli scenari UserType e UserKey :

Valore Nome membro UserType Descrizione UserKey
0 Regolare Un utente normale senza autorizzazioni di amministratore. ID oggetto Microsoft Entra in formato GUID
2 Amministratore Un amministratore nell'organizzazione di Microsoft 365. 1 ID oggetto Microsoft Entra in formato GUID
3 DCAdmin Un amministratore del data center Microsoft o un account di sistema del data center. ID oggetto Microsoft Entra in formato GUID
4 Sistema Evento di controllo attivato dalla logica lato server. Ad esempio, servizi Windows o processi in background. Guid.Empty.ToString() (o il valore '000000000-0000-0000-0000-000000000000000').
5 Applicazione Un evento di controllo attivato da un'applicazione Microsoft Entra. Nome applicazione o ID applicazione Di Microsoft Entra (se disponibile). In caso contrario, una stringa vuota.
6 ServicePrincipal Entità servizio. Guid.Empty.ToString() (o il valore '000000000-0000-0000-0000-000000000000000').
7 CustomPolicy Criteri creati o gestiti da un cliente. Guid.Empty.ToString() (o il valore '000000000-0000-0000-0000-000000000000000').
8 SystemPolicy Criteri di sistema o gestiti da Microsoft. Guid.Empty.ToString() (o il valore '000000000-0000-0000-0000-000000000000000').
9 PartnerTechnician L'utente di un tenant partner che lavora per conto del tenant del cliente (negli scenari GDAP ). Guid.Empty.ToString() (o il valore '000000000-0000-0000-0000-000000000000000').
10 Guest Utente guest o anonimo. Guid.Empty.ToString() (o il valore '000000000-0000-0000-0000-000000000000000').

Nota

1 Per gli eventi correlati a Microsoft Entra, il valore per un amministratore non viene usato in un record di controllo. I record di controllo per le attività eseguite dagli amministratori indicheranno che un utente normale ,ad esempio UserType: 0, ha eseguito l'attività. La proprietà UserID identificherà la persona (utente o amministratore normale) che ha eseguito l'attività.