監査ログの詳細なアクティビティ プロパティ
監査ログ検索の結果を Microsoft Purview ポータルまたは Microsoft Purview コンプライアンス ポータルからエクスポートする場合は、検索条件を満たすすべての結果をダウンロードできます。 この情報をエクスポートするには、[結果のエクスポート] を選択します>監査ログ検索ページですべての結果をダウンロードします。 詳細については、「監査ログの検索」を参照してください。
監査ログ検索のすべての結果をエクスポートすると、統合監査ログの生データが、ローカル コンピューターにダウンロードされるコンマ区切り値 (CSV) ファイルにコピーされます。 このファイルには、 AuditData という名前の列の各監査アクティビティ レコードからの追加のプロパティ情報が含まれています。 この列には、監査ログ レコードからの複数のプロパティに対する複数値プロパティが含まれています。 この複数値プロパティに含まれる各 プロパティ: 値 ペアはカンマで区切られています。
次の表では、複数プロパティ の AuditData 列に含まれる (アクティビティが発生するサービスに応じて) アクティビティ プロパティについて説明します。 このプロパティ列を持つ Microsoft サービスは、プロパティを含むサービスとアクティビティの種類 (ユーザーまたは管理者) を示します。 これらのプロパティの詳細、またはこの記事に記載されていない可能性があるプロパティの詳細については、「 管理アクティビティ API スキーマ」を参照してください。
ヒント
Excel の Power Query に含まれる JSON 変換機能を使用すると、[AuditData] 列を複数の列に分割し、プロパティごとに個別の列を設定できます。 このようにすると、これらの 1 つ以上のプロパティで並べ替えやフィルター処理を行うことができます。 これを行う方法については、「監査ログ レコードをエクスポート、構成、表示する」を参照してください。
| Property | 説明 | このプロパティを持つ Microsoft サービス |
|---|---|---|
| Actor | アクションを実行したユーザーまたはサービス アカウント。 | Azure Active Directory |
| AddOnName | チームで追加、削除、または更新されたアドオンの名前。 Microsoft Teams のアドオンの種類には、ボット、コネクタ、またはタブがあります。 | Microsoft Teams |
| AddOnType | チームで追加、削除、または更新されたアドオンの種類。 次の値は、アドオンの種類を示しています。 1 -ボットを意味します。 2 -コネクタを意味します。 3 -タブを意味します。 |
Microsoft Teams |
| AppAccessContext | アクションを実行したユーザーまたはサービス プリンシパルのアプリケーション コンテキスト。 | Microsoft Teams |
| ArtifactShared | ユーザーが共有するファイルまたはコンテンツ。 | Microsoft Teams |
| AzureActiveDirectoryEventType | Azure Active Directory アクティビティの種類。 次の値は、アクティビティの種類を示しています。 0 - アカウント ログイン アクティビティを示します。 1 - Azure アプリケーションのセキュリティ アクティビティを示します。 |
Azure Active Directory |
| ChannelGuid | Microsoft Teams チャネルの ID。 チャネルが配置されているチームは、 TeamName プロパティと TeamGuid プロパティによって識別されます。 | Microsoft Teams |
| ChannelName | Microsoft Teams チャネルの名前。 チャネルが配置されているチームは、 TeamName プロパティと TeamGuid プロパティによって識別されます。 | Microsoft Teams |
| Client | ログイン アクティビティに使用されるクライアント デバイス、デバイス OS、デバイス ブラウザー (Nokia Lumia 920 など)。Windows Phone 8;IE Mobile 11)。 | Azure Active Directory |
| ClientInfoString | 操作を実行するために使用されたメール クライアントに関する情報 (ブラウザーのバージョン、Outlook のバージョン、およびモバイル デバイスの情報など)。 | Exchange (メールボックス アクティビティ) |
| ClientIP | アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 一部のサービスでは、このプロパティに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。 また、Azure Active Directory 関連のアクティビティの管理者アクティビティ (またはシステム アカウントによって実行されるアクティビティ) の場合、IP アドレスはログに記録されません。ClientIP プロパティの値は null。 |
Azure Active Directory、Exchange、SharePoint |
| CreationTime | 監査ログ レコードが生成されたときの協定世界時 (UTC) の日付と時刻。 | すべて |
| CurrentProtectionType | ドキュメントの現在の保護状態を記述するフィールドを含む複合プロパティ型。 次の機能が含まれます。 ProtectionType: ドキュメントに適用される保護の種類を列挙します。 これらの値とその意味が適用されます: 0 (保護なし)、 1 (テンプレート ベースの保護)、 2 (電子メールの場合は転送しない)、 3 (暗号化のみ)、 4 (カスタム、ユーザー構成の保護) 所有者: 保護を構成したユーザーの電子メール アドレス。 TemplateId: ProtectionType が 1 (テンプレート) に設定されている場合、このフィールドには、ドキュメントに適用されるテンプレートの GUID が含まれます。 ProtectionType の値が 1 に等しくない場合、このフィールドは空白になります。 DocumentEncrypted: ドキュメントに何らかの種類の暗号化が適用されているかどうかを示すブール型のフラグ。 値は True または False です。 |
すべて |
| DestinationFileExtension | コピーまたは移動したファイルのファイル拡張子。 このプロパティは、FileCopied および FileMoved ユーザー アクティビティに対してのみ表示されます。 | SharePoint |
| DestinationFileName | ファイルの名前がコピーまたは移動されます。 このプロパティは、FileCopied アクションと FileMoved アクションに対してのみ表示されます。 | SharePoint |
| DestinationRelativeUrl | ファイルのコピー先または移動先フォルダーの URL。 SiteURL、DestinationRelativeURL、および DestinationFileName プロパティの値の組み合わせは、ObjectID プロパティの値と同じであり、コピーされたファイルの完全パス名です。 このプロパティは、FileCopied および FileMoved ユーザー アクティビティに対してのみ表示されます。 | SharePoint |
| EventSource | SharePoint でアクティビティが発生したことを識別します。 使用できる値は SharePoint と ObjectModel です。 | SharePoint |
| ExternalAccess | Exchange 管理者アクティビティの場合は、コマンドレットが組織内のユーザーによって実行されたか、Microsoft データセンター担当者またはデータセンター サービス アカウントによって実行されたか、委任された管理者によって実行されたかを指定します。 値 False は、コマンドレットが組織内のユーザーによって実行されたことを示します。 値 True は、コマンドレットがデータセンターの担当者、データセンターのサービス アカウント、または代理管理者によって実行されたことを示します。 Exchange メールボックス アクティビティの場合は、メールボックスにアクセスしたのが組織外のユーザーであるかどうかを示します。 |
Exchange |
| ExtendedProperties | Azure Active Directory アクティビティの拡張プロパティ。 | Azure Active Directory |
| ID | レポート エントリの ID。 ID は、レポート エントリを一意に識別します。 | すべて |
| InternalLogonType | 内部使用のため予約済み。 | Exchange (メールボックス アクティビティ) |
| ItemType | アクセスまたは変更されたオブジェクトの種類。 指定できる値には、 File、 Folder、 Web、 Site、 Tenant、 DocumentLibrary などがあります。 | SharePoint |
| IsJoinedFromLobby | ユーザーがロビーから Teams セッションに参加したかどうか。 | Microsoft Teams |
| LoginStatus | 発生した可能性のあるログイン失敗を識別します。 | Azure Active Directory |
| LogonType | メールボックス アクセスの種類。 次の値は、メールボックスにアクセスしたユーザーの種類を示します。 0 - メールボックスの所有者を意味します。 1 - 管理者を意味します。 2 - 代理人を意味します。 3 - Microsoft データセンターのトランスポート サービスを意味します。 4 - Microsoft データセンター内のサービス アカウントを示します。 6 - 代理管理者を意味します。 |
Exchange (メールボックス アクティビティ) |
| MailboxGuid | アクセスされたメールボックスの Exchange GUID。 | Exchange (メールボックス アクティビティ) |
| MailboxOwnerUPN | アクセスされたメールボックスの所有者のメール アドレス。 | Exchange (メールボックス アクティビティ) |
| Members | チームに追加または削除されたユーザーを一覧表示します。 次の値は、ユーザーに割り当てられる役割の種類を示します。 1 - 所有者ロールを示します。 2 - メンバー ロールを意味します。 3 - ゲスト ロールを意味します。 Members プロパティには、組織の名前とメンバーのメール アドレスも含まれます。 |
Microsoft Teams |
| ModifiedProperties (Name、NewValue、OldValue) | プロパティは、サイトまたはサイト コレクション管理グループのメンバーとしてユーザーを追加するなど、管理アクティビティに含まれます。 プロパティには、変更されたプロパティの名前 (サイト管理者グループなど) に、変更されたプロパティの新しい値 (サイト管理者として追加されたユーザー、変更されたオブジェクトの以前の値など) が含まれます。 | すべて (管理者のアクティビティ) |
| ObjectFullyQualifiedName | エンティティの完全修飾名。 | Microsoft Purview (ガバナンス) |
| ObjectId | Exchange 管理者の監査ログの場合は、コマンドレットによって変更されたオブジェクトの名前。 SharePoint アクティビティの場合は、ユーザーがアクセスしたファイルまたはフォルダーの完全な URL パス名。 Azure AD アクティビティの場合は、変更されたユーザー アカウントの名前。 |
すべて |
| ObjectName | メイン エンティティ名。 | Microsoft Purview (ガバナンス) |
| ObjectType | エンティティ型。 | Microsoft Purview (ガバナンス) |
| OldValue | 変更前の値には、更新または削除されたすべてのプロパティが含まれます。 | Microsoft Purview (ガバナンス) |
| Operation | ユーザーまたは管理アクティビティの名前。 このプロパティの値は、[アクティビティ] ドロップ ダウン リストで選択した値に対応します。 [すべてのアクティビティの結果を表示] を選択した場合、レポートにはすべてのサービスのすべてのユーザーと管理アクティビティのエントリが取り込まれます。 監査ログに記録される操作/アクティビティの説明については、「Office 365 で監査ログを検索する」の「監査されたアクティビティ」タブを参照してください。 Exchange 管理者アクティビティでは、このプロパティは、実行されたコマンドレットの名前を識別します。 |
すべて |
| OrganizationId | 組織の GUID。 | すべて |
| NewValue | 変更後の値には、更新または削除されたすべてのプロパティが含まれます。 | Microsoft Purview (ガバナンス) |
| Path | アクセスされたメッセージが置かれているメールボックス フォルダーの名前。 このプロパティは、メッセージが作成またはコピーまたは移動されるフォルダーも識別します。 | Exchange (メールボックス アクティビティ) |
| Parameters | Exchange 管理者のアクティビティの場合、Operation プロパティで識別されたコマンドレットで使用された、すべてのパラメーターの名前と値。 | Exchange (管理者のアクティビティ) |
| ParticipantInfo | 参加者 ID に関する追加のプロパティ。 | Microsoft Teams |
| ParticipatingDomainInformation | 参加者に関するドメイン情報。 | Microsoft Teams |
| PreviousProtectionType | ドキュメントの以前の保護状態を表すフィールドを含む複合プロパティ型。 次の機能が含まれます。 ProtectionType: ドキュメントに適用される保護の種類を列挙します。 これらの値とその意味が適用されます: 0 (保護なし)、 1 (テンプレート ベースの保護)、 2 (電子メールの場合は転送しない)、 3 (暗号化のみ)、 4 (カスタム、ユーザー構成の保護) 所有者: 保護を構成したユーザーの電子メール アドレス。 TemplateId: ProtectionType が 1 (テンプレート) に設定されている場合、このフィールドには、ドキュメントに適用されるテンプレートの GUID が含まれます。 ProtectionType の値が 1 に等しくない場合、このフィールドは空白になります。 DocumentEncrypted: ドキュメントに何らかの種類の暗号化が適用されているかどうかを示すブール型のフラグ。 値は True または False です。 |
すべて |
| ProtectionEventType | 監査対象の操作によって保護がどのように変更されたかを列挙します。 次の値と意味が適用されます。 0 - 変更なしを示します。 1 - 追加を示します。 2 - 変更を示します。 3 - 削除を示します。 |
すべて |
| RecordType | レコードによって示される操作の種類。 このプロパティは、操作がトリガーされたサービスまたは機能を示します。 レコードの種類とそれに対応する ENUM 値 (監査レコードの RecordType プロパティに表示される値) の一覧については、「 監査ログ レコードの種類」を参照してください。 | |
| ResultStatus | (Operation プロパティで指定された) アクションが正常に終了したかどうかを示します。 Exchange 管理者アクティビティでは、値は True (成功) または False (失敗) のいずれかになります。 |
すべて |
| SecurityComplianceCenterEventType | アクティビティが Microsoft Purview ポータルとコンプライアンス ポータルのアクティビティであることを示します。 すべての Microsoft Purview ポータルとコンプライアンス ポータルのアクティビティには、このプロパティの値 が 0 になります。 | Microsoft Purview ポータル Microsoft Purview コンプライアンス ポータル |
| SensitivityLabel | 特定のメール アイテムに割り当てられた秘密度ラベル。 | Exchange |
| SharingType | リソースが共有されたユーザーに割り当てられた共有アクセス許可の種類。 このユーザーは、 UserSharedWith プロパティで識別されます。 | SharePoint |
| Site | ユーザーがアクセスしたファイルまたはフォルダーが置かれているサイトの GUID。 | SharePoint |
| SiteUrl | ユーザーがアクセスしたファイルまたはフォルダーが置かれているサイトの URL。 | SharePoint |
| SourceFileExtension | ユーザーがアクセスしたファイルのファイル拡張子。 このプロパティは、アクセスされたオブジェクトがフォルダーの場合には、空白になります。 | SharePoint |
| SourceFileName | ユーザーがアクセスしたファイルまたはフォルダーの名前。 | SharePoint |
| SourceRelativeUrl | ユーザーがアクセスするファイルが含まれているフォルダーの URL。 SiteURL、SourceRelativeURL、および SourceFileName プロパティの値の組み合わせは、ObjectID プロパティの値と同じであり、ユーザーがアクセスするファイルの完全パス名です。 | SharePoint |
| Subject | アクセスされたメッセージの件名。 | Exchange (メールボックス アクティビティ) |
| TabType | チームで追加、削除、または更新されたタブの種類。 このプロパティに指定可能な値は次のとおりです。 Excel pin - Excel のタブ。 Extension - すべてのファースト パーティおよびサード パーティのアプリ (Class Schedule、VSTS、Forms など)。 Notes - OneNote のタブ。 Pdfpin - PDF のタブ。 Powerbi - Power BI タブ。 Powerpointpin - PowerPoint のタブ。 Sharepointfiles - SharePoint のタブ。 Webpage - ピン留めされた Web サイトのタブ。 Wiki-tab - Wiki のタブ。 Wordpin - Word のタブ。 |
Microsoft Teams |
| Target | 操作 ( Operation プロパティで識別) が実行されたユーザー。 たとえば、ゲストが SharePoint または Microsoft チームに追加された場合、そのユーザーがこのプロパティに一覧表示されます。 | Azure Active Directory |
| TeamGuid | Microsoft Teams のチームの ID。 | Microsoft Teams |
| TeamName | Microsoft Teams のチームの名前。 | Microsoft Teams |
| UserAgent | ユーザーのブラウザーに関する情報。 この情報はブラウザーによって提供されます。 | SharePoint |
| UserDomain | アクションを実行したユーザー (アクター) のテナント組織に関する情報を示します。 | Azure Active Directory |
| UserId | 結果としてログ記録されているレコードが生成されたアクション (Operation プロパティで指定された) を実行したユーザー。 システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) によって実行されたアクティビティの監査レコードも監査ログに含まれます。 UserId プロパティのもう 1 つの一般的な値は app@sharepoint です。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。 詳細については、以下を参照してください: 監査レコードのapp@sharepointユーザー または Exchange メールボックス監査レコードのシステム アカウント。 |
すべて |
| UserKey | GUID 形式または 16 進形式の有効な Azure Active Directory オブジェクト ID が含まれています。 プライマリ アクターがユーザーではないシナリオの場合、 UserKey は空の文字列です。 さまざまな UserKey シナリオの詳細については、「 UserType シナリオとUserKey シナリオ」を 参照してください。 | すべて |
| UserType | 操作を実行したユーザーの種類。 さまざまな UserType シナリオの詳細については、UserType シナリオと UserKey シナリオに関するページを参照してください。 | すべて |
| Version | ログに記録された (Operation プロパティで識別された) アクティビティのバージョン番号を示します。 | すべて |
| Workload | アクティビティが発生した Microsoft 365 サービス。 | すべて |
UserType シナリオと UserKey シナリオ
次の表に、 UserType シナリオと UserKey シナリオの詳細を示します。
| 値 | UserType メンバー名 | 説明 | UserKey |
|---|---|---|---|
| 0 | Regular | 管理者権限のない通常のユーザー。 | GUID 形式の Microsoft Entra オブジェクト ID |
| 2 | Admin | Microsoft 365 組織の管理者。1 | GUID 形式の Microsoft Entra オブジェクト ID |
| 3 | DCAdmin | Microsoft データセンター管理者またはデータセンター システム アカウント。 | GUID 形式の Microsoft Entra オブジェクト ID |
| 4 | System | サーバー側ロジックによってトリガーされる監査イベント。 たとえば、Windows サービスやバックグラウンド プロセスなどです。 | Guid.Empty.ToString() (または値 '00000000-0000-0000-0000-0000000000')。 |
| 5 | Application | Microsoft Entra アプリケーションによってトリガーされる監査イベント。 | Microsoft Entra アプリケーション名またはアプリケーション ID (使用可能な場合)。 それ以外の場合は、空の文字列。 |
| 6 | ServicePrincipal | サービス プリンシパル。 | Guid.Empty.ToString() (または値 '00000000-0000-0000-0000-0000000000')。 |
| 7 | CustomPolicy | 顧客が作成または管理するポリシー。 | Guid.Empty.ToString() (または値 '00000000-0000-0000-0000-0000000000')。 |
| 8 | SystemPolicy | Microsoft が管理するポリシーまたはシステム ポリシー。 | Guid.Empty.ToString() (または値 '00000000-0000-0000-0000-0000000000')。 |
| 9 | PartnerTechnician | パートナー テナントのユーザーが顧客テナントに代わって作業している ( GDAP シナリオの場合)。 | Guid.Empty.ToString() (または値 '00000000-0000-0000-0000-0000000000')。 |
| 10 | Guest | ゲストまたは匿名ユーザー。 | Guid.Empty.ToString() (または値 '00000000-0000-0000-0000-0000000000')。 |
注:
1 Microsoft Entra 関連のイベントの場合、管理者の値は監査レコードでは使用されません。 管理者によって実行されたアクティビティの監査レコードは、通常のユーザー (たとえば、UserType: 0) がアクティビティを実行したことを意味します。 UserID プロパティは、アクティビティを実行したユーザー (通常のユーザーまたは管理者) を識別します。