| AADGroupId |
строка |
Идентификатор группы Azure Active Directory |
| AADTarget |
строка |
Пользователь, на который было выполнено действие (определяемое свойством Operation) |
| Действие (Activity) |
строка |
Действие, которое выполнил пользователь. |
| Субъект |
строка |
Субъект-пользователь или субъект-служба, которые выполнили действие |
| ActorContextId |
строка |
GUID организации, к которой принадлежит субъект |
| ActorIpAddress |
строка |
IP-адрес субъекта в формате IPV4 или IPV6 |
| AddOnGuid |
строка |
Уникальный идентификатор создаваемой надстройки этого события |
| AddonName |
строка |
Имя надстройки, создающей это событие |
| AddOnType |
строка |
Тип надстройки, создающей это событие |
| AffectedItems |
строка |
Сведения о каждом элементе в группе |
| AppDistributionMode |
строка |
Режим распространения приложений |
| AppId |
строка |
Application ID |
| Приложение |
строка |
Имя приложения |
| ApplicationId |
строка |
Идентификатор приложения SharePoint |
| AppPoolName |
строка |
Имя пула приложений |
| AzureActiveDirectory_EventType |
строка |
Тип события Azure AD |
| AzureADAppId |
строка |
Идентификатор Azure AD приложения Teams |
| _BilledSize |
real |
Размер записи в байтах |
| ChannelGuid |
строка |
Уникальный идентификатор для проверяемого канала |
| НазваниеКанала |
строка |
Имя проверяемого канала |
| ChannelType |
строка |
Тип аудита канала (стандартный или частный) |
| Имя чата |
строка |
Имя чата |
| ChatThreadId |
строка |
Идентификатор потока чата |
| Клиент |
строка |
Сведения о клиентском устройстве, ОС устройства и браузере устройств, который использовался для события входа учетной записи |
| Client_IPAddress |
строка |
IP-адрес устройства, который использовался при регистрации операции |
| ClientAppId |
строка |
Идентификатор клиентского приложения |
| ClientInfoString |
строка |
Сведения о клиенте электронной почты, который использовался для выполнения операции |
| ClientIP |
строка |
IP-адрес устройства, который использовался при регистрации действия |
| ClientMachineName |
строка |
Имя компьютера, на котором размещен клиент Outlook |
| ClientProcessName |
строка |
Клиент электронной почты, используемый для доступа к почтовому ящику |
| ClientVersion |
строка |
Версия клиента электронной почты |
| CommunicationType |
строка |
Тип коммуникаций, проведенных |
| CrossMailboxOperations |
bool |
Указывает, связана ли операция с несколькими почтовыми ящиками |
| CustomEvent |
строка |
Необязательная строка для пользовательских событий |
| DataCenterSecurityEventType |
INT |
Тип события dmdlet в поле блокировки |
| DestFolder |
строка |
Целевая папка |
| DestinationFileExtension |
строка |
Расширение файла, скопированного или перемещенного |
| DestinationFileName |
строка |
Имя файла, скопированного или перемещаемого |
| DestinationRelativeUrl |
строка |
URL-адрес целевой папки, в которой копируется или перемещается файл. |
| DestMailboxId |
строка |
Установка только в том случае, если параметр CrossMailboxOperations имеет значение True |
| DestMailboxOwnerMasterAccountSid |
строка |
Установка только в том случае, если параметр CrossMailboxOperations имеет значение True |
| DestMailboxOwnerSid |
строка |
Установка только в том случае, если параметр CrossMailboxOperations имеет значение True |
| DestMailboxOwnerUPN |
строка |
Установка только в том случае, если параметр CrossMailboxOperations имеет значение True |
| EffectiveOrganization |
строка |
Имя клиента, на который нацелена функция повышения или командлета |
| ElevationApprovedTime |
datetime |
Метка времени утверждения повышения |
| ElevationApprover |
строка |
Имя руководителя Майкрософт |
| ElevationDuration |
INT |
Длительность, в течение которой повышение было активным (в часах) |
| ElevationRequestId |
строка |
Уникальный идентификатор запроса на повышение прав |
| ElevationRole |
строка |
Роль, для для нее было запрошено повышение прав |
| ElevationTime |
datetime |
Время начала повышения высоты |
| Event_Data |
строка |
Необязательные полезные данные для пользовательских событий |
| EventSource |
строка |
Указывает, что событие произошло в SharePoint. Возможные значения: SharePoint или ObjectModel |
| ExtendedProperties |
строка |
Расширенные свойства события Azure AD |
| ExternalAccess |
строка |
Указывает, был ли командлет запущен пользователем в организации. |
| ExtraProperties |
по строкам |
Список дополнительных свойств |
| Папка |
строка |
Папка, в которой находится группа элементов |
| Папки |
строка |
Сведения об исходных папках, участвующих в операции |
| GenericInfo |
строка |
Используется для комментариев и других универсальных сведений |
| InternalLogonType |
INT |
Зарезервировано для внутреннего использования |
| InterSystemsId |
строка |
GUID, отслеживающий действия между компонентами в службе Office 365 |
| IntraSystemId |
строка |
GUID, созданный Azure Active Directory для отслеживания действия |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| IsManagedDevice |
bool |
Указывает, была ли операция создана устройством, управляемым организацией |
| IssuedAtTime |
datetime |
Выдано при установке, если маркер Microsoft Entra доступен для запроса и указывает, когда произошла проверка подлинности для этого маркера Microsoft Entra. |
| Товар |
строка |
Представляет элемент, в отношении которого выполнялась операция. |
| Название товара |
строка |
Строка в поле темы сообщения электронной почты |
| ItemType |
строка |
Тип объекта, к которому осуществлялся доступ или который был изменен. Дополнительные сведения о типах объектов см. в таблице ItemType |
| LoginStatus |
INT |
Это свойство получается непосредственно из параметра OrgIdLogon.LoginStatus. Сопоставление различных интересных сбоев входа можно сделать с помощью алгоритмов оповещения |
| Logon_Type |
строка |
Указывает тип пользователя, который получил доступ к почтовому ящику и выполнил операцию, которая была зарегистрирована. |
| LogonUserDisplayName |
строка |
Понятное имя пользователя, выполнившего операцию |
| LogonUserSid |
строка |
Идентификатор безопасности пользователя, выполнившего операцию |
| MachineDomainInfo |
строка |
Сведения об операциях синхронизации устройств |
| MachineId |
строка |
Сведения об операциях синхронизации устройств |
| MailboxGuid |
строка |
GUID Exchange почтового ящика, к которому был доступ |
| MailboxOwnerMasterAccountSid |
строка |
Идентификатор безопасности главной учетной записи владельца почтового ящика |
| MailboxOwnerSid |
строка |
Идентификатор безопасности владельца почтового ящика |
| MailboxOwnerUPN |
строка |
Адрес электронной почты пользователя, которому принадлежит почтовый ящик, к которому был доступ. |
| Участники |
по строкам |
Список пользователей в команде |
| MessageId |
строка |
Идентификатор сообщения чата или канала |
| ModifiedObjectResolvedName |
строка |
Это понятное имя объекта, измененного командлетом. |
| ModifiedProperties |
строка |
Свойство включается для событий администратора, таких как добавление пользователя в качестве члена сайта или группы администрирования семейства веб-сайтов. |
| Имя. |
строка |
Присутствует только для событий параметров. Имя измененного параметра |
| NewValue |
строка |
Присутствует только для событий параметров. Новое значение параметра |
| OfficeId |
строка |
Уникальный идентификатор записи аудита |
| OfficeObjectId |
строка |
Для действий SharePoint и OneDrive для бизнеса |
| OfficeTenantId |
строка |
Идентификатор клиента Office |
| OfficeWorkload |
строка |
Служба Office 365, в которой произошло действие |
| OldValue |
строка |
Присутствует только для событий параметров. Старое значение параметра |
| Операция |
строка |
Имя операции, выполняемой пользователем |
| OperationProperties |
по строкам |
Дополнительные свойства операции |
| Действие OperationScope |
строка |
Область выполнения операции |
| OrganizationId |
строка |
Идентификатор GUID для клиента Office 365 организации. Это значение всегда будет одинаковым для вашей организации. |
| OrganizationName |
строка |
Имя клиента |
| OriginatingServer |
строка |
Имя сервера, с которого был выполнен командлет. |
| Параметры |
строка |
Имя и значение для всех параметров, которые использовались с командлетом, который определен в свойстве Operations |
| RecordType |
строка |
Тип операции, указанной записью. Дополнительные сведения о типах записей журнала аудита см. в таблице AuditLogRecordType |
| _ResourceId |
строка |
Уникальный идентификатор ресурса, с которым связана запись. |
| ResultReasonType |
строка |
Причина результата, сообщаемого в ResultType |
| ResultStatus |
строка |
Указывает, успешно ли выполнено действие (указанное в свойстве Operation) |
| SendAsUserMailboxGuid |
строка |
GUID Exchange почтового ящика, к которому был доступ для отправки электронной почты в качестве |
| SendAsUserSmtp |
строка |
SMTP-адрес пользователя, который олицетворен |
| SendonBehalfOfUserMailboxGuid |
строка |
GUID Exchange почтового ящика, к которому был доступ для отправки почты от имени |
| SendOnBehalfOfUserSmtp |
строка |
SMTP-адрес пользователя, от имени которого отправляется сообщение электронной почты |
| SharingType |
строка |
Тип разрешений на совместное использование, назначенных пользователю, которому был предоставлен доступ к ресурсу. Этот пользователь определяется параметром UserSharedWith |
| Site_ |
строка |
GUID сайта, на котором находится файл или папка, доступ к которой находится пользователь |
| Site_Url |
строка |
URL-адрес сайта, на котором находится файл или папка, доступ к которой находится пользователь |
| Source_Name |
строка |
Сущность, которая активировала отслеживаемую операцию. Возможные значения: SharePoint или ObjectModel |
| SourceFileExtension |
строка |
Расширение файла, к которому обращается пользователь |
| SourceFileName |
строка |
Имя файла или папки, к которым обращается пользователь |
| SourceRecordId |
строка |
Уникальный идентификатор записи аудита |
| SourceRelativeUrl |
строка |
URL-адрес папки, содержащей файл, к которому обращается пользователь. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| SRPolicyId |
строка |
ИД политики |
| SRPolicyName |
строка |
Имя политики |
| SRRuleMatchDetails |
по строкам |
Сведения о правиле |
| Start_Time |
datetime |
Дата и время выполнения командлета |
| _SubscriptionId |
строка |
Уникальный идентификатор подписки, с которой связана запись |
| SupportTicketId |
строка |
Идентификатор запроса в службу поддержки клиентов для действия в ситуациях "от имени" |
| TabType |
строка |
Тип вкладки, создающей это событие |
| TargetContextId |
строка |
GUID организации, к которой принадлежит целевой пользователь |
| TargetUserId |
строка |
Идентификатор целевого пользователя |
| TargetUserOrGroupName |
строка |
Сохраняет имя участника-пользователя или группы, с которым был предоставлен общий доступ к ресурсу. |
| TargetUserOrGroupType |
строка |
Определяет, является ли целевой пользователь или группа участником, гостем, группой или партнером. |
| TeamGuid |
строка |
Уникальный идентификатор для проверяемой команды |
| Имя команды |
строка |
Имя проверяемой команды |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| TimeGenerated |
datetime |
Дата и время в формате UTC, когда пользователь выполнил действие. |
| Тип |
строка |
Имя таблицы. |
| UniqueTokenId |
строка |
UniqueTokenId получает задание, если маркер Microsoft Entra доступен для запроса. Это уникальный идентификатор для каждого маркера, который учитывает регистр. |
| UserAgent |
строка |
Агент пользователя |
| UserDomain |
строка |
Домен пользователя |
| UserId |
строка |
Имя участника-пользователя (имя участника-пользователя), выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи. |
| UserKey |
строка |
Альтернативный идентификатор пользователя, определенный в свойстве UserId |
| UserSharedWith |
строка |
Пользователь, которому предоставлен общий доступ к ресурсу |
| UserType |
строка |
Тип пользователя, выполнившего операцию. Дополнительные сведения о типах пользователей см. в таблице UserType |