| Имя субъекта |
строка |
Имя участника-пользователя (имя участника-пользователя), выполнившего действие (указанное в свойстве Operation), в результате чего запись регистрируется; например, my_name@my_domain_name. Обратите внимание, что записи для действий, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM), также включаются. В SharePoint другое значение, отображаемое в свойстве UserId, app@sharepoint. Это означает, что пользователь, выполняющий действие, был приложением, которое имеет необходимые разрешения в SharePoint для выполнения действий на уровне организации (например, поиска на сайте SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита. |
| ActorUserId |
строка |
Альтернативный идентификатор пользователя, определенного в свойстве UserId. Например, значение этого свойства может заполняться уникальным идентификатором Passport (PUID) для событий, выполняемых пользователями в SharePoint, OneDrive для бизнеса и Exchange. Это свойство также может указать то же значение, что и свойство UserID для событий, происходящих в других службах и событиях, выполняемых системными учетными записями. |
| ActorUserType |
строка |
Тип пользователя, выполнившего операцию. Возможные типы: администратор, система, приложение, субъект-служба и другие. |
| AdditionalInfo |
по строкам |
Дополнительные сведения, например имя среды. |
| _BilledSize |
real |
Размер записи в байтах |
| EventOriginalType |
строка |
Имя действия пользователя или администратора, выполняющего действие. Описание наиболее распространенных операций и действий см. в разделе "Поиск журнала аудита" в Центре защиты Office 365. Для действий администратора Exchange это свойство определяет имя выполняемого командлета. Для событий защиты от потери данных это может быть "DlpRuleMatch", "DlpRuleUndo" или "DlpInfo", которые описаны ниже в разделе "Схема защиты от потери данных". |
| EventOriginalUid |
строка |
Уникальный идентификатор записи аудита. |
| EventResult |
строка |
Указывает, было ли успешным действие (указанное в свойстве Operation). Возможные значения: Succeeded (Успешно), PartiallySucceeded (Выполнено частично) и Failed (Сбой). |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| ObjectId |
строка |
Полное имя пути файла или папки, к которым обращается пользователь. Для ведения журнала аудита администратора Exchange имя объекта, измененного командлетом. |
| OrganizationId |
строка |
Идентификатор GUID для клиента Office 365 организации. Это значение для вашей организации всегда будет одинаковым независимо от службы Office 365, в которой оно встречается. |
| PolicyName |
строка |
Имя политики защиты от потери данных. |
| RecordType |
строка |
Тип операции, указанной записью. Дополнительные сведения о типах записей журнала аудита см. в таблице AuditLogRecordType. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| SrcIpAddr |
строка |
IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, Office в Интернете приложений), вызывающим службу от имени пользователя, а не IP-адреса устройства, используемого пользователем, который выполнял действие. Кроме того, для событий, связанных с Azure Active Directory, IP-адрес не регистрируется, а значение свойства ClientIP равно NULL. |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| TimeGenerated |
datetime |
Дата и время в формате UTC, когда пользователь выполнил действие. |
| Тип |
строка |
Имя таблицы. |
| Рабочая нагрузка |
строка |
Служба Office 365, в которой произошло действие. |