| Nazwa aktora |
string |
Nazwa UPN (główna nazwa użytkownika) użytkownika, który wykonał akcję (określoną we właściwości Operation), co spowodowało zarejestrowanie rekordu; na przykład my_name@my_domain_name. Należy pamiętać, że uwzględniane są również rekordy aktywności wykonywanej przez konta systemowe (takie jak SHAREPOINT\system lub NT AUTHORITY\SYSTEM). W programie SharePoint kolejna wartość wyświetlana we właściwości UserId jest app@sharepoint. Oznacza to, że "użytkownik", który wykonał działanie, był aplikacją, która ma niezbędne uprawnienia w programie SharePoint do wykonywania akcji dotyczących całej organizacji (takich jak wyszukiwanie witryny programu SharePoint lub konta usługi OneDrive) w imieniu użytkownika, administratora lub usługi. Aby uzyskać więcej informacji, zobacz app@sharepoint użytkownika w rekordach inspekcji. |
| AktorUserId |
string |
Alternatywny identyfikator użytkownika zidentyfikowanego we właściwości UserId. Na przykład ta właściwość jest wypełniana unikatowym identyfikatorem paszportu (PUID) dla zdarzeń wykonywanych przez użytkowników w programie SharePoint, OneDrive dla Firm i exchange. Ta właściwość może również określać tę samą wartość co właściwość UserID dla zdarzeń występujących w innych usługach i zdarzeniach wykonywanych przez konta systemowe. |
| AktorUserType |
string |
Typ użytkownika, który wykonał operację. Możliwe typy to: Administrator, System, Aplikacja, Jednostka usługi i Inne. |
| AdditionalInfo |
dynamiczna |
Więcej informacji, na przykład nazwa środowiska. |
| _BilledSize |
rzeczywiste |
Rozmiar rekordu w bajtach |
| Identyfikator łącznika |
string |
Identyfikator unikatowy zasobu. Przykłady: niestandardowy interfejs API i połączenie lub brama. |
| EventOriginalType |
string |
Nazwa działania użytkownika lub administratora, które wykonało działanie. Opis najczęstszych operacji/działań znajduje się w temacie "Przeszukaj dziennik inspekcji" w Centrum ochrony usługi Office 365. W przypadku działania administratora programu Exchange ta właściwość identyfikuje nazwę polecenia cmdlet, które zostało uruchomione. W przypadku zdarzeń Dlp może to być "DlpRuleMatch", "DlpRuleUndo" lub "DlpInfo", które są opisane w sekcji "Schemat DLP" poniżej. |
| EventOriginalUid |
string |
Unikatowy identyfikator rekordu inspekcji. |
| EventResult |
string |
Wskazuje, czy akcja (określona we właściwości Operation) zakończyła się powodzeniem, czy też nie. Możliwe wartości to Powodzenie, CzęściowoSucceeded lub Niepowodzenie. |
| _IsBillable |
string |
Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| ObjectId |
string |
Pełna nazwa ścieżki pliku lub folderu, do których użytkownik uzyskuje dostęp. W przypadku rejestrowania inspekcji administratora programu Exchange nazwa obiektu, który został zmodyfikowany przez polecenie cmdlet . |
| OrganizationId |
string |
Identyfikator GUID dzierżawy usługi Office 365 organizacji. Ta wartość będzie zawsze taka sama dla twojej organizacji, niezależnie od usługi Office 365, w której występuje. |
| RecordType |
string |
Typ operacji wskazywany przez rekord. Aby uzyskać szczegółowe informacje na temat typów rekordów dziennika inspekcji, zobacz tabelę AuditLogRecordType. |
| SourceSystem |
string |
Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| SrcIpAddr |
string |
Adres IP urządzenia, który był używany podczas rejestrowania działania. Adres IP jest wyświetlany w formacie IPv4 lub IPv6. W przypadku niektórych usług wartość wyświetlana w tej właściwości może być adresem IP zaufanej aplikacji (na przykład Office w sieci Web aplikacji) wywołującym usługę w imieniu użytkownika, a nie adresem IP urządzenia używanego przez osobę wykonującą działanie. Ponadto w przypadku zdarzeń związanych z usługą Azure Active Directory adres IP nie jest rejestrowany, a wartość właściwości ClientIP ma wartość null. |
| TenantId |
string |
Identyfikator obszaru roboczego usługi Log Analytics |
| TimeGenerated |
datetime |
Data i godzina w (UTC), kiedy użytkownik wykonał działanie. |
| Typ |
string |
Nazwa tabeli |
| Obciążenie |
string |
Usługa Office 365, w której wystąpiło działanie. |