次の方法で共有


監査ログの詳細なアクティビティ プロパティ

監査ログ検索の結果を Microsoft Purview ポータルまたは Microsoft Purview コンプライアンス ポータルからエクスポートする場合は、検索条件を満たすすべての結果をダウンロードできます。 この情報をエクスポートするには、[結果のエクスポート] を選択します>監査ログ検索ページですべての結果をダウンロードします。 詳細については、「監査ログの検索」を参照してください。

監査ログ検索のすべての結果をエクスポートすると、統合監査ログの生データが、ローカル コンピューターにダウンロードされるコンマ区切り値 (CSV) ファイルにコピーされます。 このファイルには、 AuditData という名前の列の各監査アクティビティ レコードからの追加のプロパティ情報が含まれています。 この列には、監査ログ レコードからの複数のプロパティに対する複数値プロパティが含まれています。 この複数値プロパティに含まれる各 プロパティ: 値 ペアはカンマで区切られています。

次の表では、複数プロパティ の AuditData 列に含まれる (アクティビティが発生するサービスに応じて) アクティビティ プロパティについて説明します。 このプロパティ列を持つ Microsoft サービスは、プロパティを含むサービスとアクティビティの種類 (ユーザーまたは管理者) を示します。 これらのプロパティの詳細、またはこの記事に記載されていない可能性があるプロパティの詳細については、「 管理アクティビティ API スキーマ」を参照してください。

ヒント

Excel の Power Query に含まれる JSON 変換機能を使用すると、[AuditData] 列を複数の列に分割し、プロパティごとに個別の列を設定できます。 このようにすると、これらの 1 つ以上のプロパティで並べ替えやフィルター処理を行うことができます。 これを行う方法については、「監査ログ レコードをエクスポート、構成、表示する」を参照してください。

Property 説明 このプロパティを持つ Microsoft サービス
Actor アクションを実行したユーザーまたはサービス アカウント。 Azure Active Directory
AddOnName チームで追加、削除、または更新されたアドオンの名前。 Microsoft Teams のアドオンの種類には、ボット、コネクタ、またはタブがあります。 Microsoft Teams
AddOnType チームで追加、削除、または更新されたアドオンの種類。 次の値は、アドオンの種類を示しています。
1 -ボットを意味します。
2 -コネクタを意味します。
3 -タブを意味します。
Microsoft Teams
AppAccessContext アクションを実行したユーザーまたはサービス プリンシパルのアプリケーション コンテキスト。 Microsoft Teams
ArtifactShared ユーザーが共有するファイルまたはコンテンツ。 Microsoft Teams
AzureActiveDirectoryEventType Azure Active Directory アクティビティの種類。 次の値は、アクティビティの種類を示しています。
0 - アカウント ログイン アクティビティを示します。
1 - Azure アプリケーションのセキュリティ アクティビティを示します。
Azure Active Directory
ChannelGuid Microsoft Teams チャネルの ID。 チャネルが配置されているチームは、 TeamName プロパティと TeamGuid プロパティによって識別されます。 Microsoft Teams
ChannelName Microsoft Teams チャネルの名前。 チャネルが配置されているチームは、 TeamName プロパティと TeamGuid プロパティによって識別されます。 Microsoft Teams
Client ログイン アクティビティに使用されるクライアント デバイス、デバイス OS、デバイス ブラウザー (Nokia Lumia 920 など)。Windows Phone 8;IE Mobile 11)。 Azure Active Directory
ClientInfoString 操作を実行するために使用されたメール クライアントに関する情報 (ブラウザーのバージョン、Outlook のバージョン、およびモバイル デバイスの情報など)。 Exchange (メールボックス アクティビティ)
ClientIP アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。

一部のサービスでは、このプロパティに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。

また、Azure Active Directory 関連のアクティビティの管理者アクティビティ (またはシステム アカウントによって実行されるアクティビティ) の場合、IP アドレスはログに記録されません。ClientIP プロパティの値は null
Azure Active Directory、Exchange、SharePoint
CreationTime 監査ログ レコードが生成されたときの協定世界時 (UTC) の日付と時刻。 すべて
CurrentProtectionType ドキュメントの現在の保護状態を記述するフィールドを含む複合プロパティ型。 次の機能が含まれます。

ProtectionType: ドキュメントに適用される保護の種類を列挙します。 これらの値とその意味が適用されます: 0 (保護なし)、 1 (テンプレート ベースの保護)、 2 (電子メールの場合は転送しない)、 3 (暗号化のみ)、 4 (カスタム、ユーザー構成の保護)
所有者: 保護を構成したユーザーの電子メール アドレス。
TemplateId: ProtectionType1 (テンプレート) に設定されている場合、このフィールドには、ドキュメントに適用されるテンプレートの GUID が含まれます。 ProtectionType の値が 1 に等しくない場合、このフィールドは空白になります。
DocumentEncrypted: ドキュメントに何らかの種類の暗号化が適用されているかどうかを示すブール型のフラグ。 値は True または False です
すべて
DestinationFileExtension コピーまたは移動したファイルのファイル拡張子。 このプロパティは、FileCopied および FileMoved ユーザー アクティビティに対してのみ表示されます。 SharePoint
DestinationFileName ファイルの名前がコピーまたは移動されます。 このプロパティは、FileCopied アクションと FileMoved アクションに対してのみ表示されます。 SharePoint
DestinationRelativeUrl ファイルのコピー先または移動先フォルダーの URL。 SiteURLDestinationRelativeURL、および DestinationFileName プロパティの値の組み合わせは、ObjectID プロパティの値と同じであり、コピーされたファイルの完全パス名です。 このプロパティは、FileCopied および FileMoved ユーザー アクティビティに対してのみ表示されます。 SharePoint
EventSource SharePoint でアクティビティが発生したことを識別します。 使用できる値は SharePointObjectModel です SharePoint
ExternalAccess Exchange 管理者アクティビティの場合は、コマンドレットが組織内のユーザーによって実行されたか、Microsoft データセンター担当者またはデータセンター サービス アカウントによって実行されたか、委任された管理者によって実行されたかを指定します。 値 False は、コマンドレットが組織内のユーザーによって実行されたことを示します。 値 True は、コマンドレットがデータセンターの担当者、データセンターのサービス アカウント、または代理管理者によって実行されたことを示します。
Exchange メールボックス アクティビティの場合は、メールボックスにアクセスしたのが組織外のユーザーであるかどうかを示します。
Exchange
ExtendedProperties Azure Active Directory アクティビティの拡張プロパティ。 Azure Active Directory
ID レポート エントリの ID。 ID は、レポート エントリを一意に識別します。 すべて
InternalLogonType 内部使用のため予約済み。 Exchange (メールボックス アクティビティ)
ItemType アクセスまたは変更されたオブジェクトの種類。 指定できる値には、 FileFolderWebSiteTenantDocumentLibrary などがあります SharePoint
IsJoinedFromLobby ユーザーがロビーから Teams セッションに参加したかどうか。 Microsoft Teams
LoginStatus 発生した可能性のあるログイン失敗を識別します。 Azure Active Directory
LogonType メールボックス アクセスの種類。 次の値は、メールボックスにアクセスしたユーザーの種類を示します。

0 - メールボックスの所有者を意味します。
1 - 管理者を意味します。
2 - 代理人を意味します。
3 - Microsoft データセンターのトランスポート サービスを意味します。
4 - Microsoft データセンター内のサービス アカウントを示します。
6 - 代理管理者を意味します。
Exchange (メールボックス アクティビティ)
MailboxGuid アクセスされたメールボックスの Exchange GUID。 Exchange (メールボックス アクティビティ)
MailboxOwnerUPN アクセスされたメールボックスの所有者のメール アドレス。 Exchange (メールボックス アクティビティ)
Members チームに追加または削除されたユーザーを一覧表示します。 次の値は、ユーザーに割り当てられる役割の種類を示します。

1 - 所有者ロールを示します。
2 - メンバー ロールを意味します。
3 - ゲスト ロールを意味します。

Members プロパティには、組織の名前とメンバーのメール アドレスも含まれます。
Microsoft Teams
ModifiedProperties (Name、NewValue、OldValue) プロパティは、サイトまたはサイト コレクション管理グループのメンバーとしてユーザーを追加するなど、管理アクティビティに含まれます。 プロパティには、変更されたプロパティの名前 (サイト管理者グループなど) に、変更されたプロパティの新しい値 (サイト管理者として追加されたユーザー、変更されたオブジェクトの以前の値など) が含まれます。 すべて (管理者のアクティビティ)
ObjectFullyQualifiedName エンティティの完全修飾名。 Microsoft Purview (ガバナンス)
ObjectId Exchange 管理者の監査ログの場合は、コマンドレットによって変更されたオブジェクトの名前。
SharePoint アクティビティの場合は、ユーザーがアクセスしたファイルまたはフォルダーの完全な URL パス名。
Azure AD アクティビティの場合は、変更されたユーザー アカウントの名前。
すべて
ObjectName メイン エンティティ名。 Microsoft Purview (ガバナンス)
ObjectType エンティティ型。 Microsoft Purview (ガバナンス)
OldValue 変更前の値には、更新または削除されたすべてのプロパティが含まれます。 Microsoft Purview (ガバナンス)
Operation ユーザーまたは管理アクティビティの名前。 このプロパティの値は、[アクティビティ] ドロップ ダウン リストで選択した値に対応します。 [すべてのアクティビティの結果を表示] を選択した場合、レポートにはすべてのサービスのすべてのユーザーと管理アクティビティのエントリが取り込まれます。 監査ログに記録される操作/アクティビティの説明については、「Office 365 で監査ログを検索する」の「監査されたアクティビティ」タブを参照してください。
Exchange 管理者アクティビティでは、このプロパティは、実行されたコマンドレットの名前を識別します。
すべて
OrganizationId 組織の GUID。 すべて
NewValue 変更後の値には、更新または削除されたすべてのプロパティが含まれます。 Microsoft Purview (ガバナンス)
Path アクセスされたメッセージが置かれているメールボックス フォルダーの名前。 このプロパティは、メッセージが作成またはコピーまたは移動されるフォルダーも識別します。 Exchange (メールボックス アクティビティ)
Parameters Exchange 管理者のアクティビティの場合、Operation プロパティで識別されたコマンドレットで使用された、すべてのパラメーターの名前と値。 Exchange (管理者のアクティビティ)
ParticipantInfo 参加者 ID に関する追加のプロパティ。 Microsoft Teams
ParticipatingDomainInformation 参加者に関するドメイン情報。 Microsoft Teams
PreviousProtectionType ドキュメントの以前の保護状態を表すフィールドを含む複合プロパティ型。 次の機能が含まれます。

ProtectionType: ドキュメントに適用される保護の種類を列挙します。 これらの値とその意味が適用されます: 0 (保護なし)、 1 (テンプレート ベースの保護)、 2 (電子メールの場合は転送しない)、 3 (暗号化のみ)、 4 (カスタム、ユーザー構成の保護)
所有者: 保護を構成したユーザーの電子メール アドレス。
TemplateId: ProtectionType1 (テンプレート) に設定されている場合、このフィールドには、ドキュメントに適用されるテンプレートの GUID が含まれます。 ProtectionType の値が 1 に等しくない場合、このフィールドは空白になります。
DocumentEncrypted: ドキュメントに何らかの種類の暗号化が適用されているかどうかを示すブール型のフラグ。 値は True または False です
すべて
ProtectionEventType 監査対象の操作によって保護がどのように変更されたかを列挙します。 次の値と意味が適用されます。

0 - 変更なしを示します。
1 - 追加を示します。
2 - 変更を示します。
3 - 削除を示します。
すべて
RecordType レコードによって示される操作の種類。 このプロパティは、操作がトリガーされたサービスまたは機能を示します。 レコードの種類とそれに対応する ENUM 値 (監査レコードの RecordType プロパティに表示される値) の一覧については、「 監査ログ レコードの種類」を参照してください。
ResultStatus (Operation プロパティで指定された) アクションが正常に終了したかどうかを示します。
Exchange 管理者アクティビティでは、値は True (成功) または False (失敗) のいずれかになります。
すべて
SecurityComplianceCenterEventType アクティビティが Microsoft Purview ポータルとコンプライアンス ポータルのアクティビティであることを示します。 すべての Microsoft Purview ポータルとコンプライアンス ポータルのアクティビティには、このプロパティの値 が 0 になります。 Microsoft Purview ポータル
Microsoft Purview コンプライアンス ポータル
SensitivityLabel 特定のメール アイテムに割り当てられた秘密度ラベル。 Exchange
SharingType リソースが共有されたユーザーに割り当てられた共有アクセス許可の種類。 このユーザーは、 UserSharedWith プロパティで識別されます。 SharePoint
Site ユーザーがアクセスしたファイルまたはフォルダーが置かれているサイトの GUID。 SharePoint
SiteUrl ユーザーがアクセスしたファイルまたはフォルダーが置かれているサイトの URL。 SharePoint
SourceFileExtension ユーザーがアクセスしたファイルのファイル拡張子。 このプロパティは、アクセスされたオブジェクトがフォルダーの場合には、空白になります。 SharePoint
SourceFileName ユーザーがアクセスしたファイルまたはフォルダーの名前。 SharePoint
SourceRelativeUrl ユーザーがアクセスするファイルが含まれているフォルダーの URL。 SiteURLSourceRelativeURL、および SourceFileName プロパティの値の組み合わせは、ObjectID プロパティの値と同じであり、ユーザーがアクセスするファイルの完全パス名です。 SharePoint
Subject アクセスされたメッセージの件名。 Exchange (メールボックス アクティビティ)
TabType チームで追加、削除、または更新されたタブの種類。 このプロパティに指定可能な値は次のとおりです。

Excel pin - Excel のタブ。
Extension - すべてのファースト パーティおよびサード パーティのアプリ (Class Schedule、VSTS、Forms など)。
Notes - OneNote のタブ。
Pdfpin - PDF のタブ。
Powerbi - Power BI タブ。
Powerpointpin - PowerPoint のタブ。
Sharepointfiles - SharePoint のタブ。
Webpage - ピン留めされた Web サイトのタブ。
Wiki-tab - Wiki のタブ。
Wordpin - Word のタブ。
Microsoft Teams
Target 操作 ( Operation プロパティで識別) が実行されたユーザー。 たとえば、ゲストが SharePoint または Microsoft チームに追加された場合、そのユーザーがこのプロパティに一覧表示されます。 Azure Active Directory
TeamGuid Microsoft Teams のチームの ID。 Microsoft Teams
TeamName Microsoft Teams のチームの名前。 Microsoft Teams
UserAgent ユーザーのブラウザーに関する情報。 この情報はブラウザーによって提供されます。 SharePoint
UserDomain アクションを実行したユーザー (アクター) のテナント組織に関する情報を示します。 Azure Active Directory
UserId 結果としてログ記録されているレコードが生成されたアクション (Operation プロパティで指定された) を実行したユーザー。 システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) によって実行されたアクティビティの監査レコードも監査ログに含まれます。 UserId プロパティのもう 1 つの一般的な値は app@sharepoint です。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。

詳細については、以下を参照してください:
監査レコードのapp@sharepointユーザー
または
Exchange メールボックス監査レコードのシステム アカウント
すべて
UserKey GUID 形式または 16 進形式の有効な Azure Active Directory オブジェクト ID が含まれています。 プライマリ アクターがユーザーではないシナリオの場合、 UserKey は空の文字列です。 さまざまな UserKey シナリオの詳細については、「 UserType シナリオとUserKey シナリオ」を 参照してください。 すべて
UserType 操作を実行したユーザーの種類。 さまざまな UserType シナリオの詳細については、UserType シナリオと UserKey シナリオに関するページを参照してください。 すべて
Version ログに記録された (Operation プロパティで識別された) アクティビティのバージョン番号を示します。 すべて
Workload アクティビティが発生した Microsoft 365 サービス。 すべて

UserType シナリオと UserKey シナリオ

次の表に、 UserType シナリオと UserKey シナリオの詳細を示します。

UserType メンバー名 説明 UserKey
0 Regular 管理者権限のない通常のユーザー。 GUID 形式の Microsoft Entra オブジェクト ID
2 Admin Microsoft 365 組織の管理者。1 GUID 形式の Microsoft Entra オブジェクト ID
3 DCAdmin Microsoft データセンター管理者またはデータセンター システム アカウント。 GUID 形式の Microsoft Entra オブジェクト ID
4 System サーバー側ロジックによってトリガーされる監査イベント。 たとえば、Windows サービスやバックグラウンド プロセスなどです。 Guid.Empty.ToString() (または値 '00000000-0000-0000-0000-0000000000')。
5 Application Microsoft Entra アプリケーションによってトリガーされる監査イベント。 Microsoft Entra アプリケーション名またはアプリケーション ID (使用可能な場合)。 それ以外の場合は、空の文字列。
6 ServicePrincipal サービス プリンシパル。 Guid.Empty.ToString() (または値 '00000000-0000-0000-0000-0000000000')。
7 CustomPolicy 顧客が作成または管理するポリシー。 Guid.Empty.ToString() (または値 '00000000-0000-0000-0000-0000000000')。
8 SystemPolicy Microsoft が管理するポリシーまたはシステム ポリシー。 Guid.Empty.ToString() (または値 '00000000-0000-0000-0000-0000000000')。
9 PartnerTechnician パートナー テナントのユーザーが顧客テナントに代わって作業している ( GDAP シナリオの場合)。 Guid.Empty.ToString() (または値 '00000000-0000-0000-0000-0000000000')。
10 Guest ゲストまたは匿名ユーザー。 Guid.Empty.ToString() (または値 '00000000-0000-0000-0000-0000000000')。

注:

1 Microsoft Entra 関連のイベントの場合、管理者の値は監査レコードでは使用されません。 管理者によって実行されたアクティビティの監査レコードは、通常のユーザー (たとえば、UserType: 0) がアクティビティを実行したことを意味します。 UserID プロパティは、アクティビティを実行したユーザー (通常のユーザーまたは管理者) を識別します。