Имя субъекта |
строка |
Имя участника-пользователя (имя участника-пользователя), выполнившего действие (указанное в свойстве Operation), в результате чего запись регистрируется; например, my_name@my_domain_name. Обратите внимание, что записи для действий, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM), также включаются. В SharePoint другое значение, отображаемое в свойстве UserId, app@sharepoint. Это означает, что пользователь, выполняющий действие, был приложением, которое имеет необходимые разрешения в SharePoint для выполнения действий на уровне организации (например, поиска на сайте SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита. |
ActorUserId |
строка |
Альтернативный идентификатор пользователя, определенного в свойстве UserId. Например, значение этого свойства может заполняться уникальным идентификатором Passport (PUID) для событий, выполняемых пользователями в SharePoint, OneDrive для бизнеса и Exchange. Это свойство также может указать то же значение, что и свойство UserID для событий, происходящих в других службах и событиях, выполняемых системными учетными записями. |
ActorUserType |
строка |
Тип пользователя, выполнившего операцию. Возможные типы: администратор, система, приложение, субъект-служба и другие. |
AdditionalInfo |
по строкам |
Дополнительные сведения, например имя среды. |
_BilledSize |
real |
Размер записи в байтах |
EventOriginalType |
строка |
Имя действия пользователя или администратора, выполняющего действие. Описание наиболее распространенных операций и действий см. в разделе "Поиск журнала аудита" в Центре защиты Office 365. Для действий администратора Exchange это свойство определяет имя выполняемого командлета. Для событий защиты от потери данных это может быть "DlpRuleMatch", "DlpRuleUndo" или "DlpInfo", которые описаны ниже в разделе "Схема защиты от потери данных". |
EventOriginalUid |
строка |
Уникальный идентификатор записи аудита. |
EventResult |
строка |
Указывает, было ли успешным действие (указанное в свойстве Operation). Возможные значения: Succeeded (Успешно), PartiallySucceeded (Выполнено частично) и Failed (Сбой). |
FlowConnectorNames |
строка |
Имена соединителей, перечисленные в потоке. |
FlowDetailsUrl |
строка |
Ссылка на страницу сведений о потоке. |
_IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
LicenseDisplayName |
строка |
Отображаемое имя лицензии. |
ObjectId |
строка |
Полное имя пути файла или папки, к которым обращается пользователь. Для ведения журнала аудита администратора Exchange имя объекта, измененного командлетом. |
OrganizationId |
строка |
Идентификатор GUID для клиента Office 365 организации. Это значение для вашей организации всегда будет одинаковым независимо от службы Office 365, в которой оно встречается. |
RecipientUpn |
строка |
Если разрешение было обновлено, отображает имя участника-пользователя разрешения. |
RecordType |
строка |
Тип операции, указанной записью. Дополнительные сведения о типах записей журнала аудита см. в таблице AuditLogRecordType. |
SharingPermission |
строка |
Тип разрешения, доступного другому пользователю (3 = владелец/ReadWrite, 2 = пользователь только для запуска или чтение). |
SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
SrcIpAddr |
строка |
IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, Office в Интернете приложений), вызывающим службу от имени пользователя, а не IP-адреса устройства, используемого пользователем, который выполнял действие. Кроме того, для событий, связанных с Azure Active Directory, IP-адрес не регистрируется, а значение свойства ClientIP равно NULL. |
TenantId |
строка |
Идентификатор рабочей области Log Analytics |
TimeGenerated |
datetime |
Дата и время в формате UTC, когда пользователь выполнил действие. |
Тип |
строка |
Имя таблицы. |
UserUpn |
строка |
Уникальный ИД пользователя. Всегда эквивалентен UserKey. |
Рабочая нагрузка |
строка |
Служба Office 365, в которой произошло действие. |