감사 로그의 자세한 활동 속성
Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털에서 감사 로그 검색 결과를 내보낼 때 검색 조건에 맞는 모든 결과를 다운로드할 수 있습니다. 결과 내보내기를 선택하여 이 정보를 내보낼> 수 있습니다. 감사 로그 검색 페이지에서모든 결과 다운로드를 선택합니다. 자세한 내용은 감사 로그 검색을 참조하세요.
감사 로그 검색에 대한 모든 결과를 내보내면 통합 감사 로그의 원시 데이터가 로컬 컴퓨터에 다운로드되는 쉼표로 구분된 값(CSV) 파일로 복사됩니다. 이 파일에는 AuditData라는 열에 있는 각 감사 활동 레코드의 추가 속성 정보가 포함되어 있습니다. 이 열에는 감사 로그 레코드의 여러 속성에 대한 다중 값 속성이 포함되어 있습니다. 각 속성: 이 다중 값 속성의 값 쌍은 쉼표로 구분됩니다.
다음 표에서는 다중 속성 AuditData 열에 포함된 작업 속성(활동이 발생하는 서비스에 따라 다름)에 대해 설명합니다. 이 속성 열이 있는 Microsoft 서비스는 속성이 포함된 서비스 및 활동 유형(사용자 또는 관리자)을 나타냅니다. 이러한 속성 또는 이 문서에 나열되지 않을 수 있는 속성에 대한 자세한 내용은 관리 활동 API 스키마를 참조하세요.
팁
Excel의 파워 쿼리에서 JSON 변환 기능을 사용하여 AuditData 열을 여러 열로 분할하여 각 속성에 고유한 열이 있도록 할 수 있습니다. 이렇게 하면 하나 이상의 속성을 기준으로 정렬 및 필터링할 수 있습니다. 이 작업을 수행하는 방법을 알아보려면 감사 로그 레코드 내보내기, 구성 및 보기를 참조하세요.
속성 | 설명 | 이 속성이 있는 Microsoft 서비스 |
---|---|---|
배우 | 작업을 수행한 사용자 또는 서비스 계정입니다. | Azure Active Directory |
AddOnName | 팀에서 추가, 제거 또는 업데이트된 추가 기능의 이름입니다. Microsoft Teams의 추가 기능 유형은 봇, 커넥터 또는 탭입니다. | Microsoft Teams |
AddOnType | 팀에서 추가, 제거 또는 업데이트된 추가 기능의 유형입니다. 다음 값은 추가 기능의 유형을 나타냅니다. 1 - 봇을 나타냅니다. 2 - 커넥터를 나타냅니다. 3 - 탭을 나타냅니다. |
Microsoft Teams |
AppAccessContext | 작업을 수행한 사용자 또는 서비스 주체에 대한 애플리케이션 컨텍스트입니다. | Microsoft Teams |
ArtifactShared | 사용자가 공유하는 파일 또는 콘텐츠입니다. | Microsoft Teams |
AzureActiveDirectoryEventType | Azure Active Directory 활동의 유형입니다. 다음 값은 활동 유형을 나타냅니다. 0 - 계정 로그인 활동을 나타냅니다. 1 - Azure 애플리케이션 보안 활동을 나타냅니다. |
Azure Active Directory |
ChannelGuid | Microsoft Teams 채널의 ID입니다. 채널이 있는 팀은 TeamName 및 TeamGuid 속성으로 식별됩니다. | Microsoft Teams |
ChannelName | Microsoft Teams 채널의 이름입니다. 채널이 있는 팀은 TeamName 및 TeamGuid 속성으로 식별됩니다. | Microsoft Teams |
클라이언트 | 로그인 작업에 사용되는 클라이언트 디바이스, 디바이스 OS 및 디바이스 브라우저(예: Nokia Lumia 920; Windows Phone 8; IE Mobile 11). | Azure Active Directory |
ClientInfoString | 브라우저 버전, Outlook 버전 및 모바일 디바이스 정보와 같이 작업을 수행하는 데 사용된 전자 메일 클라이언트에 대한 정보 | Exchange(사서함 활동) |
ClientIP | 활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 활동을 수행한 사람이 사용하는 디바이스의 IP 주소가 아니라 사용자를 대신하여 서비스를 호출하는 신뢰할 수 있는 애플리케이션(예: 웹앱의 Office)에 대한 IP 주소일 수 있습니다. 또한 Azure Active Directory 관련 활동에 대한 관리자 활동(또는 시스템 계정에서 수행하는 활동)의 경우 IP 주소가 기록되지 않고 ClientIP 속성의 값은 입니다 null . |
Azure Active Directory, Exchange, SharePoint |
CreationTime | 감사 로그 레코드가 생성되는 UTC(협정 세계시)의 날짜 및 시간입니다. | 전체 |
CurrentProtectionType | 문서의 현재 보호 상태를 설명하는 필드를 포함하는 복합 속성 형식입니다. 다음을 포함합니다. ProtectionType: 문서에 적용되는 보호 유형을 열거합니다. 이러한 값과 그 의미는 0 (보호 없음), 1 (템플릿 기반 보호), 2 (전달하지 않음, 전자 메일), 3 (암호화 전용) 및 4 (사용자 지정, 사용자 구성 보호) 소유자: 보호를 구성한 사용자의 이메일 주소입니다. TemplateId: ProtectionType 이 1 (템플릿)으로 설정된 경우 이 필드에는 문서에 적용된 템플릿의 GUID가 포함됩니다. ProtectionType 값이 1과 같지 않으면 이 필드는 비어 있습니다. DocumentEncrypted: 문서에 암호화 유형이 적용되는지 여부를 나타내는 부울 플래그입니다. 값은 True 또는 False입니다. |
전체 |
DestinationFileExtension | 복사되거나 이동된 파일의 파일 확장명입니다. 이 속성은 FileCopied 및 FileMoved 사용자 활동에 대해서만 표시됩니다. | SharePoint |
DestinationFileName | 파일 이름이 복사되거나 이동됩니다. 이 속성은 FileCopied 및 FileMoved 작업에 대해서만 표시됩니다. | SharePoint |
DestinationRelativeUrl | 파일이 복사되거나 이동되는 대상 폴더의 URL입니다. SiteURL, DestinationRelativeURL 및 DestinationFileName 속성 값의 조합은 복사된 파일의 전체 경로 이름인 ObjectID 속성의 값과 동일합니다. 이 속성은 FileCopied 및 FileMoved 사용자 활동에 대해서만 표시됩니다. | SharePoint |
EventSource | SharePoint에서 활동이 발생했음을 식별합니다. 가능한 값은 SharePoint 및 ObjectModel입니다. | SharePoint |
ExternalAccess | Exchange 관리자 활동의 경우 조직의 사용자, Microsoft 데이터 센터 담당자 또는 데이터 센터 서비스 계정 또는 위임된 관리자가 cmdlet을 실행했는지 여부를 지정합니다.
False 값은 조직의 누군가가 cmdlet을 실행했음을 나타냅니다.
True 값은 cmdlet이 데이터 센터 담당자, 데이터 센터 서비스 계정 또는 위임된 관리자에 의해 실행되었음을 나타냅니다. Exchange 사서함 작업의 경우 조직 외부의 사용자가 사서함에 액세스했는지 여부를 지정합니다. |
Exchange |
ExtendedProperties | Azure Active Directory 작업에 대한 확장 속성입니다. | Azure Active Directory |
ID | 보고서 항목의 ID입니다. ID는 보고서 항목을 고유하게 식별합니다. | 전체 |
InternalLogonType | 내부용으로 예약되어 있습니다. | Exchange(사서함 활동) |
ItemType | 액세스하거나 수정한 개체의 형식입니다. 가능한 값으로는 파일, 폴더, 웹, 사이트, 테넌트 및 DocumentLibrary가 있습니다. | SharePoint |
IsJoinedFromLobby | 사용자가 로비에서 Teams 세션에 참가했는지 여부입니다. | Microsoft Teams |
LoginStatus | 발생할 수 있는 로그인 실패를 식별합니다. | Azure Active Directory |
LogonType | 사서함 액세스 유형입니다. 다음 값은 사서함에 액세스한 사용자의 유형을 나타냅니다. 0 - 사서함 소유자를 나타냅니다. 1 - 관리자를 나타냅니다. 2 - 대리자를 나타냅니다. 3 - Microsoft 데이터 센터의 전송 서비스를 나타냅니다. 4 - Microsoft 데이터 센터의 서비스 계정을 나타냅니다. 6 - 위임된 관리자를 나타냅니다. |
Exchange(사서함 활동) |
MailboxGuid | 액세스된 사서함의 Exchange GUID입니다. | Exchange(사서함 활동) |
MailboxOwnerUPN | 액세스한 사서함을 소유한 사람의 전자 메일 주소입니다. | Exchange(사서함 활동) |
구성원 | 팀에서 추가되거나 제거된 사용자를 나열합니다. 다음 값은 사용자에게 할당된 역할 유형을 나타냅니다. 1 - 소유자 역할을 나타냅니다. 2 - 구성원 역할을 나타냅니다. 3 - 게스트 역할을 나타냅니다. 구성원 속성에는 조직의 이름 및 구성원의 전자 메일 주소도 포함됩니다. |
Microsoft Teams |
ModifiedProperties(Name, NewValue, OldValue) | 속성은 사이트 또는 사이트 모음 관리 그룹의 구성원으로 사용자를 추가하는 등의 관리 활동에 포함됩니다. 속성에는 수정된 속성의 이름(예: 사이트 관리자 그룹) 수정된 속성의 새 값(사이트 관리자로 추가된 사용자 및 수정된 개체의 이전 값)이 포함됩니다. | 모두(관리자 활동) |
ObjectFullyQualifiedName | 엔터티의 정규화된 이름입니다. | Microsoft Purview(거버넌스) |
ObjectId | Exchange 관리자 감사 로깅의 경우 cmdlet에서 수정한 개체의 이름입니다. SharePoint 작업의 경우 사용자가 액세스하는 파일 또는 폴더의 전체 URL 경로 이름입니다. Azure AD 작업의 경우 수정된 사용자 계정의 이름입니다. |
전체 |
ObjectName | 주 엔터티 이름입니다. | Microsoft Purview(거버넌스) |
ObjectType | 엔터티 형식입니다. | Microsoft Purview(거버넌스) |
OldValue | 변경 전의 값에는 업데이트되거나 삭제된 모든 속성이 포함됩니다. | Microsoft Purview(거버넌스) |
작업 | 사용자 또는 관리자 활동의 이름입니다. 이 속성의 값은 활동 드롭다운 목록에서 선택한 값에 해당합니다.
모든 활동에 대한 결과 표시를 선택한 경우 보고서에는 모든 서비스에 대한 모든 사용자 및 관리자 활동에 대한 항목이 포함됩니다. 감사 로그에 기록된 작업/활동에 대한 설명은 Office 365에서 감사 로그 검색의 감사 활동 탭을 참조하세요. Exchange 관리자 작업의 경우 이 속성은 실행된 cmdlet의 이름을 식별합니다. |
전체 |
OrganizationId | 조직의 GUID입니다. | 전체 |
NewValue | 변경 후의 값에는 업데이트되거나 삭제된 모든 속성이 포함됩니다. | Microsoft Purview(거버넌스) |
경로 | 액세스된 메시지가 있는 사서함 폴더의 이름입니다. 또한 이 속성은 메시지가 만들어지거나 복사/이동되는 폴더를 식별합니다. | Exchange(사서함 활동) |
매개 변수 | Exchange 관리자 작업의 경우 Operation 속성에서 식별된 cmdlet과 함께 사용된 모든 매개 변수의 이름과 값입니다. | Exchange(관리자 활동) |
ParticipantInfo | 참가자 ID에 대한 추가 속성입니다. | Microsoft Teams |
ParticipatingDomainInformation | 참가자에 대한 도메인 정보입니다. | Microsoft Teams |
PreviousProtectionType | 문서의 이전 보호 상태를 설명하는 필드를 포함하는 복합 속성 형식입니다. 다음을 포함합니다. ProtectionType: 문서에 적용되는 보호 유형을 열거합니다. 이러한 값과 그 의미는 0 (보호 없음), 1 (템플릿 기반 보호), 2 (전달하지 않음, 전자 메일), 3 (암호화 전용) 및 4 (사용자 지정, 사용자 구성 보호) 소유자: 보호를 구성한 사용자의 이메일 주소입니다. TemplateId: ProtectionType 이 1 (템플릿)으로 설정된 경우 이 필드에는 문서에 적용된 템플릿의 GUID가 포함됩니다. ProtectionType 값이 1과 같지 않으면 이 필드는 비어 있습니다. DocumentEncrypted: 문서에 암호화 유형이 적용되는지 여부를 나타내는 부울 플래그입니다. 값은 True 또는 False입니다. |
전체 |
ProtectionEventType | 감사 중인 작업에 의해 보호가 변경된 방법을 열거합니다. 다음 값과 의미가 적용됩니다. 0 - 변경되지 않음을 나타냅니다. 1 - 추가됨을 나타냅니다. 2 - 변경됨을 나타냅니다. 3 - 제거됨을 나타냅니다. |
전체 |
RecordType | 레코드로 표시된 작업의 형식입니다. 이 속성은 작업이 트리거된 서비스 또는 기능을 나타냅니다. 레코드 형식 목록 및 해당 ENUM 값(감사 레코드의 RecordType 속성에 표시되는 값)은 감사 로그 레코드 형식을 참조하세요. | |
ResultStatus |
작업(Operation 속성에 지정됨)이 성공했는지 여부를 나타냅니다. Exchange 관리자 작업의 경우 값은 True (성공) 또는 False (실패)입니다. |
전체 |
SecurityComplianceCenterEventType | 활동이 Microsoft Purview 포털 및 규정 준수 포털 활동임을 나타냅니다. 모든 Microsoft Purview 포털 및 규정 준수 포털 활동 값은 이 속성에 대해 0 입니다. | Microsoft Purview 포털 Microsoft Purview 규정 준수 포털 |
SensitivityLabel | 특정 메일 항목에 할당된 민감도 레이블입니다. | Exchange |
SharingType | 리소스가 공유된 사용자에게 할당된 공유 권한의 유형입니다. 이 사용자는 UserSharedWith 속성에서 식별됩니다. | SharePoint |
사이트 | 사용자가 액세스하는 파일 또는 폴더가 있는 사이트의 GUID입니다. | SharePoint |
SiteUrl | 사용자가 액세스하는 파일 또는 폴더가 있는 사이트의 URL입니다. | SharePoint |
SourceFileExtension | 사용자가 액세스한 파일의 파일 확장명입니다. 액세스된 개체가 폴더인 경우 이 속성은 비어 있습니다. | SharePoint |
SourceFileName | 사용자가 액세스하는 파일 또는 폴더의 이름입니다. | SharePoint |
SourceRelativeUrl | 사용자가 액세스하는 파일이 포함된 폴더의 URL입니다. SiteURL, SourceRelativeURL 및 SourceFileName 속성 값의 조합은 사용자가 액세스하는 파일의 전체 경로 이름인 ObjectID 속성의 값과 동일합니다. | SharePoint |
제목 | 액세스된 메시지의 제목 줄입니다. | Exchange(사서함 활동) |
TabType | 팀에서 추가, 제거 또는 업데이트된 탭의 유형입니다. 이 속성에 사용할 수 있는 값은 다음과 같습니다. Excel 핀 - Excel 탭. 확장 - 모든 자사 및 타사 앱; 클래스 일정, VSTS 및 Forms와 같은 참고 - OneNote 탭. Pdfpin - PDF 탭입니다. Powerbi - Power BI 탭. Powerpointpin - PowerPoint 탭. Sharepointfiles - SharePoint 탭. 웹 페이지 - 고정된 웹 사이트 탭입니다. Wiki 탭 - 위키 탭입니다. Wordpin - Word 탭입니다. |
Microsoft Teams |
대상 | 작업(작업 속성에서 식별됨)이 수행된 사용자입니다. 예를 들어 게스트가 SharePoint 또는 Microsoft 팀에 추가되면 해당 사용자가 이 속성에 나열됩니다. | Azure Active Directory |
TeamGuid | Microsoft Teams에 있는 팀의 ID입니다. | Microsoft Teams |
TeamName | Microsoft Teams의 팀 이름입니다. | Microsoft Teams |
UserAgent | 사용자의 브라우저에 대한 정보입니다. 이 정보는 브라우저에서 제공합니다. | SharePoint |
UserDomain | 작업을 수행한 사용자(행위자)의 테넌트 조직에 대한 ID 정보입니다. | Azure Active Directory |
UserId | 레코드가 기록된 작업( Operation 속성에 지정됨)을 수행한 사용자입니다. 시스템 계정(예: SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM)이 수행하는 활동에 대한 감사 레코드도 감사 로그에 포함됩니다. UserId 속성의 또 다른 일반적인 값은 app@sharepoint. 이는 활동을 수행한 "사용자"가 SharePoint에서 사용자, 관리자 또는 서비스를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행하는 데 필요한 권한이 있는 애플리케이션임을 나타냅니다. 자세한 내용은 다음 항목을 참조하세요. 감사 레코드의 app@sharepoint 사용자 또는 Exchange 사서함 감사 레코드의 시스템 계정. |
전체 |
UserKey | GUID 형식 또는 16진수 형식의 유효한 Azure Active Directory 개체 ID를 포함합니다. 주 행위자가 사용자가 아닌 시나리오의 경우 UserKey 는 빈 문자열입니다. 다양한 UserKey 시나리오에 대한 자세한 내용은 UserType 및 UserKey 시나리오를 참조하세요. | 전체 |
UserType | 작업을 수행한 사용자 유형입니다. 다양한 UserType 시나리오에 대한 자세한 내용은 UserType 및 UserKey 시나리오를 참조하세요. | 전체 |
버전 | 기록된 작업의 버전 번호( Operation 속성으로 식별됨)를 나타냅니다. | 전체 |
워크로드 | 활동이 발생한 Microsoft 365 서비스입니다. | 전체 |
UserType 및 UserKey 시나리오
다음 표에서는 UserType 및 UserKey 시나리오에 대한 세부 정보를 제공합니다.
값 | UserType 멤버 이름 | 설명 | UserKey |
---|---|---|---|
0 | 레귤러 | 관리자 권한이 없는 일반 사용자입니다. | GUID 형식의 Microsoft Entra 개체 ID |
2 | 관리자 | Microsoft 365 조직의 관리자입니다. 1 | GUID 형식의 Microsoft Entra 개체 ID |
3 | DCAdmin | Microsoft 데이터 센터 관리자 또는 데이터 센터 시스템 계정. | GUID 형식의 Microsoft Entra 개체 ID |
4 | 시스템 | 서버 쪽 논리에 의해 트리거되는 감사 이벤트입니다. 예를 들어 Windows 서비스 또는 백그라운드 프로세스입니다. | Guid.Empty.ToString() (또는 값 '000000000-0000-0000-0000-000000000000'). |
5 | 응용 프로그램 | Microsoft Entra 애플리케이션에 의해 트리거되는 감사 이벤트입니다. | Microsoft Entra 애플리케이션 이름 또는 애플리케이션 ID(사용 가능한 경우). 그렇지 않으면 빈 문자열입니다. |
6 | ServicePrincipal | 서비스 주체입니다. | Guid.Empty.ToString() (또는 값 '000000000-0000-0000-0000-000000000000'). |
7 | CustomPolicy | 고객이 만들거나 관리되는 정책입니다. | Guid.Empty.ToString() (또는 값 '000000000-0000-0000-0000-000000000000'). |
8 | SystemPolicy | Microsoft 관리 또는 시스템 정책. | Guid.Empty.ToString() (또는 값 '000000000-0000-0000-0000-000000000000'). |
9 | PartnerTechnician | 고객 테넌트 대신 작업하는 파트너 테넌트의 사용자( GDAP 시나리오). | Guid.Empty.ToString() (또는 값 '000000000-0000-0000-0000-000000000000'). |
10 | 손님 | 게스트 또는 익명 사용자입니다. | Guid.Empty.ToString() (또는 값 '000000000-0000-0000-0000-000000000000'). |
참고
1 Microsoft Entra 관련 이벤트의 경우 관리자의 값이 감사 레코드에 사용되지 않습니다. 관리자가 수행한 활동에 대한 감사 레코드는 일반 사용자(예 : UserType: 0)가 활동을 수행했음을 나타냅니다. UserID 속성은 활동을 수행한 사람(일반 사용자 또는 관리자)을 식별합니다.