Propriedades de atividade detalhadas no log de auditoria
Ao exportar os resultados de uma pesquisa de log de auditoria no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview, você pode baixar todos os resultados que atendem aos critérios de pesquisa. Você pode exportar essas informações selecionando Exportar resultados>Baixe todos os resultados na página de pesquisa de log de auditoria . Para obter mais informações, consulte Pesquisa o log de auditoria.
Quando você exporta todos os resultados para uma pesquisa de log de auditoria, os dados brutos do log de auditoria unificado são copiados para um arquivo CSV (valor separado por vírgula) que é baixado no computador local. Este arquivo contém informações adicionais de propriedade de cada registro de atividade de auditoria em uma coluna chamada AuditData. Esta coluna contém uma propriedade de vários valores para várias propriedades do registro de log de auditoria. Cada uma das propriedades: os pares de valor nesta propriedade de vários valores são separados por uma vírgula.
A tabela a seguir descreve as propriedades de atividade incluídas (dependendo do serviço em que ocorre uma atividade) na coluna AuditData de várias propriedades. O serviço microsoft 365 que tem essa coluna de propriedade indica o serviço e o tipo de atividade (usuário ou administrador) que inclui a propriedade. Para obter informações mais detalhadas sobre essas propriedades ou sobre propriedades que podem não estar listadas neste artigo, consulte Esquema de API de Atividade de Gerenciamento.
Dica
Você pode usar o recurso de transformação JSON no Power Query no Excel para dividir a coluna AuditData em várias colunas para que cada propriedade tenha sua própria coluna. Isso permitirá que você classifique e filtre uma ou mais dessas propriedades. Para saber como fazer isso, consulte Exportar, configurar e exibir registros de log de auditoria.
| Propriedade | Descrição | Serviço microsoft 365 que tem essa propriedade |
|---|---|---|
| Actor | O usuário ou a conta de serviço que executou a ação. | Azure Active Directory |
| AddOnName | O nome de um complemento que foi adicionado, removido ou atualizado em uma equipe. O tipo de complementos no Microsoft Teams é um bot, um conector ou uma guia. | Microsoft Teams |
| AddOnType | O tipo de complemento que foi adicionado, removido ou atualizado em uma equipe. Os valores a seguir indicam o tipo de complemento. 1 – Indica um bot. 2 – Indica um conector. 3 – Indica uma guia. |
Microsoft Teams |
| AppAccessContext | O contexto do aplicativo para o usuário ou principal de serviço que executou a ação. | Microsoft Teams |
| ArtifactShared | Arquivos ou conteúdo compartilhados pelo usuário. | Microsoft Teams |
| AzureActiveDirectoryEventType | O tipo de atividade do Azure Active Directory. Os valores a seguir indicam o tipo de atividade. 0 – Indica uma atividade de logon da conta. 1 – Indica uma atividade de segurança do aplicativo do Azure. |
Azure Active Directory |
| ChannelGuid | A ID de um canal do Microsoft Teams. A equipe em que o canal está localizado é identificada pelas propriedades TeamName e TeamGuid . | Microsoft Teams |
| ChannelName | O nome de um canal do Microsoft Teams. A equipe em que o canal está localizado é identificada pelas propriedades TeamName e TeamGuid . | Microsoft Teams |
| Cliente | O dispositivo cliente, o sistema operacional do dispositivo e o navegador do dispositivo usado para a atividade de logon (por exemplo, Nokia Lumia 920; Windows Phone 8; IE Mobile 11). | Azure Active Directory |
| ClientInfoString | Informações sobre o cliente de email que foi usado para executar a operação, como uma versão do navegador, versão do Outlook e informações de dispositivo móvel | Exchange (atividade de caixa de correio) |
| ClientIP | O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para atividade de administrador (ou atividade executada por uma conta do sistema) para atividades relacionadas ao Azure Active Directory, o endereço IP não é registrado e o valor da propriedade ClientIP é null. |
Azure Active Directory, Exchange, SharePoint |
| CreationTime | A data e hora no Tempo Universal Coordenado (UTC) de quando o usuário realizou a atividade. | Todos |
| CurrentProtectionType | Um tipo de propriedade complexo que contém campos para descrever a proteção atual status de um documento. Inclui o seguinte: ProtectionType: enumera o tipo de proteção aplicada ao documento. Esses valores e seus significados se aplicam: 0 (sem proteção), 1 (proteção baseada em modelo), 2 (não encaminhar, para email), 3 (criptografar somente) e 4 (proteção personalizada configurada pelo usuário) Proprietário: o endereço de email do usuário que configurou a proteção. TemplateId: quando o ProtectionType é definido como 1 (modelo), este campo contém o GUID do modelo aplicado ao documento. Quando o valor de ProtectionType não é igual a 1, esse campo fica em branco. DocumentEncrypted: sinalizador booliano indicando se qualquer tipo de criptografia é aplicada ao documento. Os valores são True ou False. |
Todos |
| DestinationFileExtension | A extensão de um arquivo que foi copiado ou movido. Essa propriedade é exibida apenas para as atividades de usuário FileCopied e FileMoved. | SharePoint |
| DestinationFileName | O nome do arquivo é copiado ou movido. Essa propriedade é exibida apenas para as ações FileCopied e FileMoved. | SharePoint |
| DestinationRelativeUrl | A URL da pasta de destino em que um arquivo é copiado ou movido. A combinação dos valores para o SiteURL, o DestinationRelativeURL e a propriedade DestinationFileName é a mesma que o valor da propriedade ObjectID , que é o nome completo do caminho para o arquivo copiado. Essa propriedade é exibida apenas para as atividades de usuário FileCopied e FileMoved. | SharePoint |
| EventSource | Identifica que ocorreu uma atividade no SharePoint. Os valores possíveis são SharePoint e ObjectModel. | SharePoint |
| ExternalAccess | Para a atividade de administrador do Exchange, especifica se o cmdlet foi executado por um usuário em sua organização, pelo pessoal do datacenter da Microsoft ou por uma conta de serviço do datacenter ou por um administrador delegado. O valor Falso indica que o cmdlet foi executado por alguém em sua organização. O valor Verdadeiro indica que o cmdlet foi executado pela equipe do datacenter, por uma conta de serviço do datacenter ou por um administrador delegado. Para a atividade de caixa de correio do Exchange, especifica se uma caixa de correio foi acessada por um usuário fora de sua organização. |
Exchange |
| ExtendedProperties | As propriedades estendidas para uma atividade do Azure Active Directory. | Azure Active Directory |
| ID | A ID da entrada do relatório. A ID identifica exclusivamente a entrada do relatório. | Todos |
| InternalLogonType | Reservado para uso interno. | Exchange (atividade de caixa de correio) |
| ItemType | O tipo de objeto que foi acessado ou modificado. Os valores possíveis incluem Arquivo, Pasta, Web, Site, Locatário e DocumentLibrary. | SharePoint |
| IsJoinedFromLobby | Se o usuário ingressou ou não em uma sessão do Teams do lobby. | Microsoft Teams |
| LoginStatus | Identifica falhas de logon que podem ter ocorrido. | Azure Active Directory |
| LogonType | O tipo de acesso à caixa de correio. Os valores a seguir indicam o tipo de usuário que acessou a caixa de correio. 0 – Indica um proprietário de caixa de correio. 1 – Indica um administrador. 2 – Indica um delegado. 3 – Indica o serviço de transporte no datacenter da Microsoft. 4 – Indica uma conta de serviço no datacenter da Microsoft. 6 – Indica um administrador delegado. |
Exchange (atividade de caixa de correio) |
| MailboxGuid | O GUID do Exchange da caixa de correio que foi acessada. | Exchange (atividade de caixa de correio) |
| MailboxOwnerUPN | O endereço de email da pessoa que possui a caixa de correio que foi acessada. | Exchange (atividade de caixa de correio) |
| Members | Listas os usuários que foram adicionados ou removidos de uma equipe. Os valores a seguir indicam o tipo de função atribuída ao usuário. 1 – Indica a função de Proprietário. 2 – Indica a função de Membro. 3 – Indica a função de Convidado. A propriedade Membros inclui também o nome da sua organização e o endereço de email do membro. |
Microsoft Teams |
| ModifiedProperties (Name, NewValue, OldValue) | A propriedade está incluída para atividades de administrador, como adicionar um usuário como membro de um site ou um grupo de administradores de coleção de sites. A propriedade inclui o nome da propriedade que foi modificada (por exemplo, o grupo Site Administração) o novo valor da propriedade modificada (como o usuário que foi adicionado como administrador do site e o valor anterior do objeto modificado). | Todos (atividade de administrador) |
| ObjectFullyQualifiedName | O nome totalmente qualificado para uma entidade. | Microsoft Purview (governança) |
| ObjectId | Para o log de auditoria do administrador do Exchange, o nome do objeto que foi modificado pelo cmdlet. Para a atividade do SharePoint, o nome completo do caminho de URL do arquivo ou pasta acessado por um usuário. Para Azure AD atividade, o nome da conta de usuário que foi modificada. |
Todos |
| ObjectName | O main nome da entidade. | Microsoft Purview (governança) |
| ObjectType | O tipo de entidade. | Microsoft Purview (governança) |
| OldValue | O valor antes de uma alteração inclui todas as propriedades atualizadas ou excluídas. | Microsoft Purview (governança) |
| Operação | O nome do usuário ou atividade administrativa. O valor dessa propriedade corresponde ao valor selecionado na lista suspensa Atividades . Se Mostrar resultados de todas as atividades tiver sido selecionado, o relatório incluirá entradas para todas as atividades de usuário e administrador para todos os serviços. Para obter uma descrição das operações/atividades registradas no log de auditoria, consulte a guia Atividades auditadas no Pesquisa log de auditoria no Office 365. Para a atividade de administração do Exchange, essa propriedade identifica o nome do cmdlet que foi executado. |
Todos |
| OrganizationId | O GUID para sua organização. | Todos |
| NewValue | O valor após uma alteração inclui todas as propriedades atualizadas ou excluídas. | Microsoft Purview (governança) |
| Caminho | O nome da pasta da caixa de correio em que a mensagem que foi acessada está localizada. Essa propriedade também identifica a pasta para a qual uma mensagem é criada ou copiada/movida. | Exchange (atividade de caixa de correio) |
| Parâmetros | Para a atividade de administrador do Exchange, o nome e o valor de todos os parâmetros que foram usados com o cmdlet identificado na propriedade Operation. | Exchange (atividade de administrador) |
| ParticipantInfo | Propriedades adicionais sobre a identidade do participante. | Microsoft Teams |
| ParticipatingDomainInformation | Informações de domínio sobre o participante. | Microsoft Teams |
| PreviousProtectionType | Um tipo de propriedade complexo que contém campos para descrever a proteção anterior status de um documento. Inclui o seguinte: ProtectionType: enumera o tipo de proteção aplicada ao documento. Esses valores e seus significados se aplicam: 0 (sem proteção), 1 (proteção baseada em modelo), 2 (não encaminhar, para email), 3 (criptografar somente) e 4 (proteção personalizada configurada pelo usuário) Proprietário: o endereço de email do usuário que configurou a proteção. TemplateId: quando o ProtectionType é definido como 1 (modelo), este campo contém o GUID do modelo aplicado ao documento. Quando o valor de ProtectionType não é igual a 1, esse campo fica em branco. DocumentEncrypted: sinalizador booliano indicando se qualquer tipo de criptografia é aplicada ao documento. Os valores são True ou False. |
Todos |
| ProtectionEventType | Enumera como a proteção foi alterada pela operação que está sendo auditada. Os seguintes valores e significados se aplicam: 0 – Indica inalterado. 1 – Indica adicionado. 2 – Indica alteração. 3 – Indica removido. |
Todos |
| RecordType | O tipo de operação indicado pelo registro. Essa propriedade indica o serviço ou o recurso no qual a operação foi disparada. Para obter uma lista de tipos de registro e seu valor ENUM correspondente (que é o valor exibido na propriedade RecordType em um registro de auditoria), consulte Tipo de registro de log de auditoria. | |
| ResultStatus | Indica se a ação (especificada na propriedade Operation ) foi bem-sucedida ou não. Para a atividade de administrador do Exchange, o valor é True (bem-sucedido) ou False (falha). |
Todos |
| SecurityComplianceCenterEventType | Indica que a atividade foi um portal do Microsoft Purview e uma atividade do portal de conformidade. Todas as atividades do portal e do portal de conformidade do Microsoft Purview terão um valor 0 para essa propriedade. | Portal do Microsoft Purview Portal de conformidade do Microsoft Purview |
| SensitivityLabel | O rótulo de confidencialidade atribuído a um item de email específico. | Exchange |
| SharingType | O tipo de permissões de compartilhamento atribuídas ao usuário com o qual o recurso foi compartilhado. Esse usuário é identificado na propriedade UserSharedWith . | SharePoint |
| Site | O GUID do site onde o arquivo ou pasta acessado pelo usuário está localizado. | SharePoint |
| SiteUrl | A URL do site onde o arquivo ou pasta acessado pelo usuário está localizado. | SharePoint |
| SourceFileExtension | A extensão do arquivo que foi acessado pelo usuário. Esta propriedade fica em branco se o objeto que foi acessado for uma pasta. | SharePoint |
| SourceFileName | O nome do arquivo ou pasta acessado pelo usuário. | SharePoint |
| SourceRelativeUrl | O URL da pasta que contém o arquivo acessado pelo usuário. A combinação dos valores para o SiteURL, o SourceRelativeURL e a propriedade SourceFileName é a mesma que o valor da propriedade ObjectID , que é o nome de caminho completo para o arquivo acessado pelo usuário. | SharePoint |
| Assunto | A linha de assunto da mensagem que foi acessada. | Exchange (atividade de caixa de correio) |
| TabType | O tipo de guia adicionada, removida ou atualizada em uma equipe. Os valores possíveis para esta propriedade são: Pino do Excel – uma guia do Excel. Extensão – Todos os aplicativos de primeiro e terceiros; como Agendamento de Classes, VSTS e Forms. Notas – guia OneNote. Pdfpin – uma guia PDF. Powerbi – uma guia do Power BI. Powerpointpin – uma guia do PowerPoint. Sharepointfiles – uma guia do SharePoint. Página da Web – uma guia de site fixada. Guia wiki – uma guia wiki. Wordpin – uma guia Word. |
Microsoft Teams |
| Target | O usuário em que a ação (identificada na propriedade Operação ) foi executada. Por exemplo, se um convidado for adicionado ao SharePoint ou a um Microsoft Team, esse usuário será listado nesta propriedade. | Azure Active Directory |
| TeamGuid | A ID de uma equipe no Microsoft Teams. | Microsoft Teams |
| TeamName | O nome de uma equipe no Microsoft Teams. | Microsoft Teams |
| UserAgent | Informações sobre o navegador do usuário. Essas informações são fornecidas pelo navegador. | SharePoint |
| UserDomain | Informações de identidade sobre a organização de locatário do usuário (ator) que realizou a ação. | Azure Active Directory |
| UserId | O usuário que realizou a ação (especificada na propriedade Operation ) que resultou no registro sendo registrado. Registros de auditoria para atividades executadas por contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos no log de auditoria. Outro valor comum para a propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para saber mais, veja: O usuário app@sharepoint em registros de auditoria ou Contas do sistema nos registros de auditoria da caixa de correio do Exchange. |
Todos |
| UserKey | Contém uma ID de Objeto do Azure Active Directory válida no formato GUID ou no formato hex. Para cenários em que o ator principal não é um usuário, o UserKey é uma cadeia de caracteres vazia. Consulte Cenários UserType e UserKey para obter detalhes sobre vários cenários userkey . | Todos |
| UserType | O tipo de usuário que executou a operação. Consulte os cenários UserType e UserKey para obter detalhes sobre vários cenários do UserType . | Todos |
| Versão | Indica o número de versão da atividade (identificada pela propriedade Operation ) registrada. | Todos |
| Workload | O serviço microsoft 365 em que a atividade ocorreu. | Todos |
Cenários UserType e UserKey
A tabela a seguir fornece detalhes para cenários UserType e UserKey :
| Valor | Nome do membro UserType | Descrição | UserKey |
|---|---|---|---|
| 0 | Regular | Um usuário regular sem permissões de administrador. | Microsoft Entra ID do objeto no formato GUID |
| 2 | Admin | Um administrador em sua organização do Microsoft 365. 1 | Microsoft Entra ID do objeto no formato GUID |
| 3 | DCAdmin | Uma conta do sistema de datacenter ou administrador do datacenter da Microsoft. | Microsoft Entra ID do objeto no formato GUID |
| 4 | System | Um evento de auditoria disparado pela lógica do lado do servidor. Por exemplo, serviços do Windows ou processos em segundo plano. | Guid.Empty.ToString() (ou o valor '0000000-0000-0000-0000-0000-0000000000'). |
| 5 | Application | Um evento de auditoria disparado por um aplicativo Microsoft Entra. | Microsoft Entra Nome do Aplicativo ou ID do Aplicativo (quando disponível). Caso contrário, uma cadeia de caracteres vazia. |
| 6 | ServicePrincipal | Uma entidade de serviço. | Guid.Empty.ToString() (ou o valor '0000000-0000-0000-0000-0000-0000000000'). |
| 7 | CustomPolicy | Um cliente criou ou gerenciou a política. | Guid.Empty.ToString() (ou o valor '0000000-0000-0000-0000-0000-0000000000'). |
| 8 | SystemPolicy | Uma política de sistema ou gerenciada pela Microsoft. | Guid.Empty.ToString() (ou o valor '0000000-0000-0000-0000-0000-0000000000'). |
| 9 | PartnerTechnician | O usuário de um locatário parceiro que trabalha em nome do locatário do cliente (em cenários de GDAP ). | Guid.Empty.ToString() (ou o valor '0000000-0000-0000-0000-0000-0000000000'). |
| 10 | Guest | Um usuário convidado ou anônimo. | Guid.Empty.ToString() (ou o valor '0000000-0000-0000-0000-0000-0000000000'). |
Observação
1 Para eventos relacionados Microsoft Entra, o valor de um administrador não é usado em um registro de auditoria. Os registros de auditoria das atividades executadas pelos administradores indicarão que um usuário regular (por exemplo, UserType: 0) executou a atividade. A propriedade UserID identificará a pessoa (usuário ou administrador regular) que realizou a atividade.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de