Compartilhar via


Propriedades de atividade detalhadas no registo de auditoria

Ao exportar os resultados de uma pesquisa de registo de auditoria a partir do portal do Microsoft Purview ou do portal de conformidade do Microsoft Purview, pode transferir todos os resultados que cumprem os critérios de pesquisa. Pode exportar estas informações ao selecionar Exportar resultados>Transferir todos os resultados na página Pesquisa de registos de auditoria . Para obter mais informações, veja Pesquisar o registo de auditoria.

Quando exporta todos os resultados para uma pesquisa de registo de auditoria, os dados não processados do registo de auditoria unificado são copiados para um ficheiro de valores separados por vírgulas (CSV) que é transferido para o seu computador local. Este ficheiro contém informações de propriedade adicionais de cada registo de atividade de auditoria numa coluna denominada AuditData. Esta coluna contém uma propriedade de múltiplos valores para várias propriedades do registo de auditoria. Cada uma das propriedades: os pares de valores nesta propriedade de valores múltiplos são separados por uma vírgula.

A tabela seguinte descreve as propriedades de atividade que estão incluídas (consoante o serviço em que ocorre uma atividade) na coluna AuditData de várias propriedades. O serviço Microsoft que tem esta coluna de propriedade indica o serviço e o tipo de atividade (utilizador ou administrador) que inclui a propriedade . Para obter informações mais detalhadas sobre estas propriedades ou sobre propriedades que podem não estar listadas neste artigo, veja Esquema da API de Atividade de Gestão.

Dica

Pode utilizar a funcionalidade de transformação JSON no Power Query no Excel para dividir a coluna AuditData em múltiplas colunas para que cada propriedade tenha a sua própria coluna. Isso permitirá que você classifique e filtre uma ou mais dessas propriedades. Para saber como fazê-lo, veja Exportar, configurar e ver registos de auditoria.

Propriedade Descrição Serviço Microsoft que tem esta propriedade
Actor A conta de utilizador ou serviço que efetuou a ação. Azure Active Directory
AddOnName O nome de um suplemento que foi adicionado, removido ou atualizado numa equipa. O tipo de suplementos no Microsoft Teams é um bot, um conector ou um separador. Microsoft Teams
AddOnType O tipo de um suplemento que foi adicionado, removido ou atualizado numa equipa. Os seguintes valores indicam o tipo de suplemento.
1 - Indica um bot.
2 - Indica um conector.
3 - Indica um separador.
Microsoft Teams
AppAccessContext O contexto do aplicativo para o usuário ou principal de serviço que executou a ação. Microsoft Teams
ArtifactShared Ficheiros ou conteúdos partilhados pelo utilizador. Microsoft Teams
AzureActiveDirectoryEventType O tipo de atividade do Azure Active Directory. Os seguintes valores indicam o tipo de atividade.
0 - Indica uma atividade de início de sessão de conta.
1 - Indica uma atividade de segurança de aplicações do Azure.
Azure Active Directory
ChannelGuid O ID de um canal do Microsoft Teams. A equipa na qual o canal está localizado é identificada pelas propriedades TeamName e TeamGuid . Microsoft Teams
ChannelName O nome de um canal do Microsoft Teams. A equipa na qual o canal está localizado é identificada pelas propriedades TeamName e TeamGuid . Microsoft Teams
Cliente O dispositivo cliente, o SO do dispositivo e o browser do dispositivo utilizados para a atividade de início de sessão (por exemplo, Nokia Lumia 920; Windows Phone 8; IE Mobile 11). Azure Active Directory
ClientInfoString Informações sobre o cliente de e-mail que foi utilizado para executar a operação, como uma versão do browser, a versão do Outlook e as informações do dispositivo móvel Exchange (atividade de caixa de correio)
ClientIP O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.

Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade.

Além disso, para a atividade de administrador (ou atividade realizada por uma conta de sistema) para atividades relacionadas com o Azure Active Directory, o endereço IP não é registado e o valor da propriedade ClientIP é null.
Azure Active Directory, Exchange, SharePoint
CreationTime A data e hora na Hora Universal Coordenada (UTC) quando o registo de auditoria é gerado. Todos
CurrentProtectionType Um tipo de propriedade complexo que contém campos para descrever o estado de proteção atual de um documento. Inclui o seguinte:

ProtectionType: enumera o tipo de proteção aplicado ao documento. Estes valores e os respetivos significados aplicam-se: 0 (sem proteção), 1 (proteção baseada em modelos), 2 (não reencaminhar, para e-mail), 3 (encriptar apenas) e 4 (proteção personalizada configurada pelo utilizador)
Proprietário: o endereço de e-mail do utilizador que configurou a proteção.
TemplateId: quando o ProtectionType está definido como 1 (modelo), este campo contém o GUID do modelo aplicado ao documento. Quando o valor de ProtectionType não for igual a 1, este campo está em branco.
DocumentEncrypted: sinalizador booleano que indica se algum tipo de encriptação é aplicado ao documento. Os valores são Verdadeiro ou Falso.
Todos
DestinationFileExtension A extensão de um arquivo que foi copiado ou movido. Esta propriedade é apresentada apenas para as atividades de utilizador FileCopied e FileMoved. SharePoint
DestinationFileName O nome do ficheiro é copiado ou movido. Esta propriedade é apresentada apenas para as ações FileCopied e FileMoved. SharePoint
DestinationRelativeUrl A URL da pasta de destino em que um arquivo é copiado ou movido. A combinação dos valores da propriedade SiteURL, DestinationRelativeURL e DestinationFileName é igual ao valor da propriedade ObjectID , que é o nome completo do caminho para o ficheiro que foi copiado. Esta propriedade é apresentada apenas para as atividades de utilizador FileCopied e FileMoved. SharePoint
EventSource Identifica que ocorreu uma atividade no SharePoint. Os valores possíveis são SharePoint e ObjectModel. SharePoint
ExternalAccess Para a atividade de administrador do Exchange, especifica se o cmdlet foi executado por um utilizador na sua organização, por pessoal do datacenter da Microsoft ou por uma conta de serviço do datacenter ou por um administrador delegado. O valor Falso indica que o cmdlet foi executado por alguém em sua organização. O valor Verdadeiro indica que o cmdlet foi executado pela equipe do datacenter, por uma conta de serviço do datacenter ou por um administrador delegado.
Para a atividade da caixa de correio do Exchange, especifica se uma caixa de correio foi acedida por um utilizador fora da sua organização.
Exchange
ExtendedProperties As propriedades expandidas para uma atividade do Azure Active Directory. Azure Active Directory
ID O ID da entrada do relatório. O ID identifica exclusivamente a entrada do relatório. Todos
InternalLogonType Reservado para uso interno. Exchange (atividade de caixa de correio)
ItemType O tipo de objeto que foi acessado ou modificado. Os valores possíveis incluem Ficheiro, Pasta, Web, Site, Inquilino e DocumentLibrary. SharePoint
IsJoinedFromLobby Se o utilizador entrou ou não numa sessão do Teams a partir da sala de espera. Microsoft Teams
LoginStatus Identifica falhas de início de sessão que possam ter ocorrido. Azure Active Directory
LogonType O tipo de acesso à caixa de correio. Os seguintes valores indicam o tipo de utilizador que acedeu à caixa de correio.

0 - Indica um proprietário de caixa de correio.
1 - Indica um administrador.
2 - Indica um delegado.
3 - Indica o serviço de transporte no datacenter da Microsoft.
4 - Indica uma conta de serviço no datacenter da Microsoft.
6 - Indica um administrador delegado.
Exchange (atividade de caixa de correio)
MailboxGuid O GUID do Exchange da caixa de correio que foi acessada. Exchange (atividade de caixa de correio)
MailboxOwnerUPN O endereço de email da pessoa que possui a caixa de correio que foi acessada. Exchange (atividade de caixa de correio)
Members Lista os utilizadores que foram adicionados ou removidos de uma equipa. Os valores a seguir indicam o tipo de função atribuída ao usuário.

1 – Indica a função de Proprietário.
2 – Indica a função de Membro.
3 – Indica a função de Convidado.

A propriedade Membros inclui também o nome da sua organização e o endereço de email do membro.
Microsoft Teams
ModifiedProperties (Name, NewValue, OldValue) A propriedade está incluída para atividades de administrador, como adicionar um utilizador como membro de um site ou grupo de administradores de coleções de sites. A propriedade inclui o nome da propriedade que foi modificada (por exemplo, o grupo Administrador do Site) o novo valor da propriedade modificada (tal como o utilizador que foi adicionado como administrador do site e o valor anterior do objeto modificado). Todos (atividade de administrador)
ObjectFullyQualifiedName O nome completamente qualificado para uma entidade. Microsoft Purview (governação)
ObjectId Para o log de auditoria do administrador do Exchange, o nome do objeto que foi modificado pelo cmdlet.
Para a atividade do SharePoint, o nome completo do caminho do URL do ficheiro ou pasta acedido por um utilizador.
Para a atividade do Azure AD, o nome da conta de utilizador que foi modificada.
Todos
ObjectName O nome da entidade principal. Microsoft Purview (governação)
ObjectType O tipo de entidade. Microsoft Purview (governação)
OldValue O valor antes de uma alteração inclui todas as propriedades atualizadas ou eliminadas. Microsoft Purview (governação)
Operação O nome do usuário ou atividade administrativa. O valor desta propriedade corresponde ao valor que foi selecionado na lista pendente Atividades . Se a opção Mostrar resultados para todas as atividades tiver sido selecionada, o relatório incluirá entradas para todas as atividades de utilizador e administrador para todos os serviços. Para obter uma descrição das operações/atividades registadas no registo de auditoria, consulte o separador Atividades auditadas em Pesquisar o registo de auditoria no Office 365.
Para a atividade de administração do Exchange, essa propriedade identifica o nome do cmdlet que foi executado.
Todos
OrganizationId O GUID da sua organização. Todos
NewValue O valor após uma alteração inclui todas as propriedades atualizadas ou eliminadas. Microsoft Purview (governação)
Caminho O nome da pasta da caixa de correio em que a mensagem que foi acessada está localizada. Esta propriedade também identifica a pasta onde uma mensagem é criada ou copiada/movida para. Exchange (atividade de caixa de correio)
Parâmetros Para a atividade de administrador do Exchange, o nome e o valor de todos os parâmetros que foram utilizados com o cmdlet identificado na propriedade Operação. Exchange (atividade de administrador)
ParticipantInfo Propriedades adicionais sobre a identidade do participante. Microsoft Teams
ParticipatingDomainInformation Informações de domínio sobre o participante. Microsoft Teams
PreviousProtectionType Um tipo de propriedade complexo que contém campos para descrever o estado de proteção anterior de um documento. Inclui o seguinte:

ProtectionType: enumera o tipo de proteção aplicado ao documento. Estes valores e os respetivos significados aplicam-se: 0 (sem proteção), 1 (proteção baseada em modelos), 2 (não reencaminhar, para e-mail), 3 (encriptar apenas) e 4 (proteção personalizada configurada pelo utilizador)
Proprietário: o endereço de e-mail do utilizador que configurou a proteção.
TemplateId: quando o ProtectionType está definido como 1 (modelo), este campo contém o GUID do modelo aplicado ao documento. Quando o valor de ProtectionType não for igual a 1, este campo está em branco.
DocumentEncrypted: sinalizador booleano que indica se algum tipo de encriptação é aplicado ao documento. Os valores são Verdadeiro ou Falso.
Todos
ProtectionEventType Enumera a forma como a proteção foi alterada pela operação que está a ser auditada. Aplicam-se os seguintes valores e significados:

0 - Indica inalterado.
1 - Indica adicionado.
2 - Indica alterado.
3 - Indica que foi removido.
Todos
RecordType O tipo de operação indicado pelo registro. Esta propriedade indica o serviço ou funcionalidade em que a operação foi acionada. Para obter uma lista de tipos de registo e o respetivo valor ENUM correspondente (que é o valor apresentado na propriedade RecordType num registo de auditoria), veja Tipo de registo de auditoria.
ResultStatus Indica se a ação (especificada na propriedade Operação ) foi ou não bem-sucedida.
Para a atividade de administrador do Exchange, o valor é Verdadeiro (com êxito) ou Falso (com falha).
Todos
SecurityComplianceCenterEventType Indica que a atividade era uma atividade do portal do Microsoft Purview e do portal de conformidade. Todas as atividades do portal do Microsoft Purview e do portal de conformidade terão um valor de 0 para esta propriedade. Portal do Microsoft Purview
Portal de conformidade do Microsoft Purview
SensitivityLabel A etiqueta de confidencialidade atribuída a um item de correio específico. Exchange
SharingType O tipo de permissões de partilha atribuídas ao utilizador com o qual o recurso foi partilhado. Este utilizador é identificado na propriedade UserSharedWith . SharePoint
Site O GUID do site onde o arquivo ou pasta acessado pelo usuário está localizado. SharePoint
SiteUrl A URL do site onde o arquivo ou pasta acessado pelo usuário está localizado. SharePoint
SourceFileExtension A extensão do arquivo que foi acessado pelo usuário. Esta propriedade fica em branco se o objeto que foi acessado for uma pasta. SharePoint
SourceFileName O nome do arquivo ou pasta acessado pelo usuário. SharePoint
SourceRelativeUrl O URL da pasta que contém o arquivo acessado pelo usuário. A combinação dos valores da propriedade SiteURL, SourceRelativeURL e SourceFileName é igual ao valor da propriedade ObjectID , que é o nome do caminho completo para o ficheiro acedido pelo utilizador. SharePoint
Assunto A linha de assunto da mensagem que foi acessada. Exchange (atividade de caixa de correio)
TabType O tipo de separador adicionado, removido ou atualizado numa equipa. Os valores possíveis para esta propriedade são:

Afixar no Excel – um separador do Excel.
Extensão – todas as aplicações originais e de terceiros; por exemplo, Agendamento de Classes, VSTS e Formulários.
Notas - separador OneNote.
Pdfpin – um separador PDF.
Powerbi – um separador do Power BI.
Powerpointpin – um separador do PowerPoint.
Sharepointfiles – um separador do SharePoint.
Página Web – um separador de site afixado.
Wiki-tab - Um separador wiki.
Wordpin – um separador do Word.
Microsoft Teams
Target O utilizador no qual a ação (identificada na propriedade Operação ) foi executada. Por exemplo, se um convidado for adicionado ao SharePoint ou a uma Equipa da Microsoft, esse utilizador será listado nesta propriedade. Azure Active Directory
TeamGuid O ID de uma equipa no Microsoft Teams. Microsoft Teams
TeamName O nome de uma equipa no Microsoft Teams. Microsoft Teams
UserAgent Informações sobre o browser do utilizador. Estas informações são fornecidas pelo browser. SharePoint
UserDomain Informações de identidade sobre a organização do inquilino do utilizador (ator) que efetuou a ação. Azure Active Directory
UserId O utilizador que efetuou a ação (especificada na propriedade Operação ) que resultou na sessão do registo. Os registos de auditoria da atividade realizada por contas de sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também estão incluídos no registo de auditoria. Outro valor comum para a propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço.

Para saber mais, confira:
O utilizador app@sharepoint nos registos de auditoria
ou
Contas de sistema nos registos de auditoria da caixa de correio do Exchange.
Todos
UserKey Contém um ID de Objeto do Azure Active Directory válido no formato GUID ou hexadecima. Para cenários em que o ator principal não é um utilizador, o UserKey é uma cadeia vazia. Veja Cenários UserType e UserKey para obter detalhes sobre vários cenários UserKey . Todos
UserType O tipo de usuário que executou a operação. Veja os cenários UserType e UserKey para obter detalhes sobre vários cenários UserType . Todos
Versão Indica o número da versão da atividade (identificado pela propriedade Operação ) que está registada. Todos
Workload O serviço Do Microsoft 365 onde ocorreu a atividade. Todos

Cenários UserType e UserKey

A tabela seguinte fornece detalhes para cenários UserType e UserKey :

Valor Nome do membro UserType Descrição UserKey
0 Regular Um utilizador normal sem permissões de administrador. ID de Objeto do Microsoft Entra no formato GUID
2 Admin Um administrador na sua organização do Microsoft 365. 1 ID de Objeto do Microsoft Entra no formato GUID
3 DCAdmin Uma conta de sistema de datacenter ou administrador de datacenter da Microsoft. ID de Objeto do Microsoft Entra no formato GUID
4 System Um evento de auditoria acionado pela lógica do lado do servidor. Por exemplo, serviços do Windows ou processos em segundo plano. Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000").
5 Application Um evento de auditoria acionado por uma aplicação Microsoft Entra. Nome da Aplicação Microsoft Entra ou ID da Aplicação (quando disponível). Caso contrário, uma cadeia vazia.
6 ServicePrincipal Uma entidade de serviço. Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000").
7 CustomPolicy Um cliente criou ou geriu uma política. Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000").
8 SystemPolicy Uma política de sistema ou gerida pela Microsoft. Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000").
9 PartnerTechnician O utilizador de um inquilino parceiro a trabalhar em nome do inquilino do cliente (em cenários GDAP ). Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000").
10 Guest Um utilizador convidado ou anónimo. Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000").

Observação

1 Para eventos relacionados com o Microsoft Entra, o valor de um administrador não é utilizado num registo de auditoria. Os registos de auditoria das atividades realizadas pelos administradores indicarão que um utilizador normal (por exemplo, UserType: 0) realizou a atividade. A propriedade UserID identificará a pessoa (utilizador ou administrador normal) que efetuou a atividade.