Propriedades de atividade detalhadas no log de auditoria

Ao exportar os resultados de uma pesquisa de log de auditoria do portal de conformidade do Microsoft Purview, você pode baixar todos os resultados que atendem aos critérios de pesquisa. Você pode exportar essas informações selecionando Exportar resultados>Baixe todos os resultados na página de pesquisa de log de auditoria . Para obter mais informações, consulte Pesquisar o log de auditoria.

Quando você exporta todos os resultados para uma pesquisa de log de auditoria, os dados brutos do log de auditoria unificado são copiados para um arquivo CSV (valor separado por vírgula) que é baixado no computador local. Este arquivo contém informações adicionais de propriedade de cada registro de atividade de auditoria em uma coluna chamada AuditData. Esta coluna contém uma propriedade de vários valores para várias propriedades do registro de log de auditoria. Cada uma das propriedades: os pares de valor nesta propriedade de vários valores são separados por uma vírgula.

A tabela a seguir descreve as propriedades de atividade incluídas (dependendo do serviço em que ocorre uma atividade) na coluna AuditData de várias propriedades. O serviço microsoft 365 que tem essa coluna de propriedade indica o serviço e o tipo de atividade (usuário ou administrador) que inclui a propriedade. Para obter informações mais detalhadas sobre essas propriedades ou sobre propriedades que podem não estar listadas neste artigo, consulte Esquema de API de Atividade de Gerenciamento.

Dica

Você pode usar o recurso de transformação JSON no Power Query no Excel para dividir a coluna AuditData em várias colunas para que cada propriedade tenha sua própria coluna. Isso permitirá que você classifique e filtre uma ou mais dessas propriedades. Para saber como fazer isso, consulte Exportar, configurar e exibir registros de log de auditoria.

Propriedade Descrição Serviço microsoft 365 que tem essa propriedade
Actor O usuário ou a conta de serviço que executou a ação. Azure Active Directory
AddOnName O nome de um complemento que foi adicionado, removido ou atualizado em uma equipe. O tipo de complementos no Microsoft Teams é um bot, um conector ou uma guia. Microsoft Teams
AddOnType O tipo de complemento que foi adicionado, removido ou atualizado em uma equipe. Os valores a seguir indicam o tipo de complemento.
1 – Indica um bot.
2 – Indica um conector.
3 – Indica uma guia.
Microsoft Teams
AppAccessContext O contexto do aplicativo para o usuário ou principal de serviço que executou a ação. Microsoft Teams
ArtifactShared Arquivos ou conteúdo compartilhados pelo usuário. Microsoft Teams
AzureActiveDirectoryEventType O tipo de atividade do Azure Active Directory. Os valores a seguir indicam o tipo de atividade.
0 – Indica uma atividade de logon da conta.
1 – Indica uma atividade de segurança do aplicativo do Azure.
Azure Active Directory
ChannelGuid A ID de um canal do Microsoft Teams. A equipe em que o canal está localizado é identificada pelas propriedades TeamName e TeamGuid . Microsoft Teams
ChannelName O nome de um canal do Microsoft Teams. A equipe em que o canal está localizado é identificada pelas propriedades TeamName e TeamGuid . Microsoft Teams
Cliente O dispositivo cliente, o sistema operacional do dispositivo e o navegador do dispositivo usado para a atividade de logon (por exemplo, Nokia Lumia 920; Windows Phone 8; IE Mobile 11). Azure Active Directory
ClientInfoString Informações sobre o cliente de email que foi usado para executar a operação, como uma versão do navegador, versão do Outlook e informações de dispositivo móvel Exchange (atividade de caixa de correio)
ClientIP O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.

Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade.

Além disso, para atividade de administrador (ou atividade executada por uma conta do sistema) para atividades relacionadas ao Azure Active Directory, o endereço IP não é registrado e o valor da propriedade ClientIP é null.
Azure Active Directory, Exchange, SharePoint
CreationTime A data e hora no Tempo Universal Coordenado (UTC) de quando o usuário realizou a atividade. Todos
CurrentProtectionType Um tipo de propriedade complexo que contém campos para descrever a proteção atual status de um documento. Inclui o seguinte:

ProtectionType: enumera o tipo de proteção aplicada ao documento. Esses valores e seus significados se aplicam: 0 (sem proteção), 1 (proteção baseada em modelo), 2 (não encaminhar, para email), 3 (criptografar somente) e 4 (proteção personalizada configurada pelo usuário)
Proprietário: o endereço de email do usuário que configurou a proteção.
TemplateId: quando o ProtectionType é definido como 1 (modelo), este campo contém o GUID do modelo aplicado ao documento. Quando o valor de ProtectionType não é igual a 1, esse campo fica em branco.
DocumentEncrypted: sinalizador booliano indicando se qualquer tipo de criptografia é aplicada ao documento. Os valores são True ou False.
Todos
DestinationFileExtension A extensão de um arquivo que foi copiado ou movido. Essa propriedade é exibida apenas para as atividades de usuário FileCopied e FileMoved. SharePoint
DestinationFileName O nome do arquivo é copiado ou movido. Essa propriedade é exibida apenas para as ações FileCopied e FileMoved. SharePoint
DestinationRelativeUrl A URL da pasta de destino em que um arquivo é copiado ou movido. A combinação dos valores para o SiteURL, o DestinationRelativeURL e a propriedade DestinationFileName é a mesma que o valor da propriedade ObjectID , que é o nome completo do caminho para o arquivo copiado. Essa propriedade é exibida apenas para as atividades de usuário FileCopied e FileMoved. SharePoint
EventSource Identifica que ocorreu uma atividade no SharePoint. Os valores possíveis são SharePoint e ObjectModel. SharePoint
ExternalAccess Para a atividade de administrador do Exchange, especifica se o cmdlet foi executado por um usuário em sua organização, pelo pessoal do datacenter da Microsoft ou por uma conta de serviço do datacenter ou por um administrador delegado. O valor Falso indica que o cmdlet foi executado por alguém em sua organização. O valor Verdadeiro indica que o cmdlet foi executado pela equipe do datacenter, por uma conta de serviço do datacenter ou por um administrador delegado.
Para a atividade de caixa de correio do Exchange, especifica se uma caixa de correio foi acessada por um usuário fora de sua organização.
Exchange
ExtendedProperties As propriedades estendidas para uma atividade do Azure Active Directory. Azure Active Directory
ID A ID da entrada do relatório. A ID identifica exclusivamente a entrada do relatório. Todos
InternalLogonType Reservado para uso interno. Exchange (atividade de caixa de correio)
ItemType O tipo de objeto que foi acessado ou modificado. Os valores possíveis incluem Arquivo, Pasta, Web, Site, Locatário e DocumentLibrary. SharePoint
IsJoinedFromLobby Se o usuário ingressou ou não em uma sessão do Teams do lobby. Microsoft Teams
LoginStatus Identifica falhas de logon que podem ter ocorrido. Azure Active Directory
LogonType O tipo de acesso à caixa de correio. Os valores a seguir indicam o tipo de usuário que acessou a caixa de correio.

0 – Indica um proprietário de caixa de correio.
1 – Indica um administrador.
2 – Indica um delegado.
3 – Indica o serviço de transporte no datacenter da Microsoft.
4 – Indica uma conta de serviço no datacenter da Microsoft.
6 – Indica um administrador delegado.
Exchange (atividade de caixa de correio)
MailboxGuid O GUID do Exchange da caixa de correio que foi acessada. Exchange (atividade de caixa de correio)
MailboxOwnerUPN O endereço de email da pessoa que possui a caixa de correio que foi acessada. Exchange (atividade de caixa de correio)
Members Listas os usuários que foram adicionados ou removidos de uma equipe. Os valores a seguir indicam o tipo de função atribuída ao usuário.

1 – Indica a função de Proprietário.
2 – Indica a função de Membro.
3 – Indica a função de Convidado.

A propriedade Membros inclui também o nome da sua organização e o endereço de email do membro.
Microsoft Teams
ModifiedProperties (Name, NewValue, OldValue) A propriedade está incluída para atividades de administrador, como adicionar um usuário como membro de um site ou um grupo de administradores de coleção de sites. A propriedade inclui o nome da propriedade que foi modificada (por exemplo, o grupo Site Administração) o novo valor da propriedade modificada (como o usuário que foi adicionado como administrador do site e o valor anterior do objeto modificado). Todos (atividade de administrador)
ObjectFullyQualifiedName O nome totalmente qualificado para uma entidade. Microsoft Purview (governança)
ObjectId Para o log de auditoria do administrador do Exchange, o nome do objeto que foi modificado pelo cmdlet.
Para a atividade do SharePoint, o nome completo do caminho de URL do arquivo ou pasta acessado por um usuário.
Para Azure AD atividade, o nome da conta de usuário que foi modificada.
Todos
ObjectName O main nome da entidade. Microsoft Purview (governança)
ObjectType O tipo de entidade. Microsoft Purview (governança)
OldValue O valor antes de uma alteração inclui todas as propriedades atualizadas ou excluídas. Microsoft Purview (governança)
Operação O nome do usuário ou atividade administrativa. O valor dessa propriedade corresponde ao valor selecionado na lista suspensa Atividades . Se Mostrar resultados de todas as atividades tiver sido selecionado, o relatório incluirá entradas para todas as atividades de usuário e administrador para todos os serviços. Para obter uma descrição das operações/atividades registradas no log de auditoria, consulte a guia Atividades auditadas em Pesquisar o log de auditoria no Office 365.
Para a atividade de administração do Exchange, essa propriedade identifica o nome do cmdlet que foi executado.
Todos
OrganizationId O GUID para sua organização. Todos
NewValue O valor após uma alteração inclui todas as propriedades atualizadas ou excluídas. Microsoft Purview (governança)
Caminho O nome da pasta da caixa de correio em que a mensagem que foi acessada está localizada. Essa propriedade também identifica a pasta para a qual uma mensagem é criada ou copiada/movida. Exchange (atividade de caixa de correio)
Parâmetros Para a atividade de administrador do Exchange, o nome e o valor de todos os parâmetros que foram usados com o cmdlet identificado na propriedade Operation. Exchange (atividade de administrador)
ParticipantInfo Propriedades adicionais sobre a identidade do participante. Microsoft Teams
ParticipatingDomainInformation Informações de domínio sobre o participante. Microsoft Teams
PreviousProtectionType Um tipo de propriedade complexo que contém campos para descrever a proteção anterior status de um documento. Inclui o seguinte:

ProtectionType: enumera o tipo de proteção aplicada ao documento. Esses valores e seus significados se aplicam: 0 (sem proteção), 1 (proteção baseada em modelo), 2 (não encaminhar, para email), 3 (criptografar somente) e 4 (proteção personalizada configurada pelo usuário)
Proprietário: o endereço de email do usuário que configurou a proteção.
TemplateId: quando o ProtectionType é definido como 1 (modelo), este campo contém o GUID do modelo aplicado ao documento. Quando o valor de ProtectionType não é igual a 1, esse campo fica em branco.
DocumentEncrypted: sinalizador booliano indicando se qualquer tipo de criptografia é aplicada ao documento. Os valores são True ou False.
Todos
ProtectionEventType Enumera como a proteção foi alterada pela operação que está sendo auditada. Os seguintes valores e significados se aplicam:

0 – Indica inalterado.
1 – Indica adicionado.
2 – Indica alteração.
3 – Indica removido.
Todos
RecordType O tipo de operação indicado pelo registro. Essa propriedade indica o serviço ou o recurso no qual a operação foi disparada. Para obter uma lista de tipos de registro e seu valor ENUM correspondente (que é o valor exibido na propriedade RecordType em um registro de auditoria), consulte Tipo de registro de log de auditoria.
ResultStatus Indica se a ação (especificada na propriedade Operation ) foi bem-sucedida ou não.
Para a atividade de administrador do Exchange, o valor é True (bem-sucedido) ou False (falha).
Todos
SecurityComplianceCenterEventType Indica que a atividade era uma atividade de portal de conformidade. Todas as atividades do portal de conformidade terão um valor de 0 para essa propriedade. Portal de conformidade do Microsoft Purview
SensitivityLabel O rótulo de confidencialidade atribuído a um item de email específico. Exchange
SharingType O tipo de permissões de compartilhamento atribuídas ao usuário com o qual o recurso foi compartilhado. Esse usuário é identificado na propriedade UserSharedWith . SharePoint
Site O GUID do site onde o arquivo ou pasta acessado pelo usuário está localizado. SharePoint
SiteUrl A URL do site onde o arquivo ou pasta acessado pelo usuário está localizado. SharePoint
SourceFileExtension A extensão do arquivo que foi acessado pelo usuário. Esta propriedade fica em branco se o objeto que foi acessado for uma pasta. SharePoint
SourceFileName O nome do arquivo ou pasta acessado pelo usuário. SharePoint
SourceRelativeUrl O URL da pasta que contém o arquivo acessado pelo usuário. A combinação dos valores para o SiteURL, o SourceRelativeURL e a propriedade SourceFileName é a mesma que o valor da propriedade ObjectID , que é o nome de caminho completo para o arquivo acessado pelo usuário. SharePoint
Assunto A linha de assunto da mensagem que foi acessada. Exchange (atividade de caixa de correio)
TabType O tipo de guia adicionada, removida ou atualizada em uma equipe. Os valores possíveis para esta propriedade são:

Pino do Excel – uma guia do Excel.
Extensão – Todos os aplicativos de primeiro e terceiros; como Agendamento de Classes, VSTS e Formulários.
Notas – guia OneNote.
Pdfpin – uma guia PDF.
Powerbi – uma guia do Power BI.
Powerpointpin – uma guia do PowerPoint.
Sharepointfiles – uma guia do SharePoint.
Página da Web – uma guia de site fixada.
Guia wiki – uma guia wiki.
Wordpin – uma guia Word.
Microsoft Teams
Target O usuário em que a ação (identificada na propriedade Operação ) foi executada. Por exemplo, se um convidado for adicionado ao SharePoint ou a um Microsoft Team, esse usuário será listado nesta propriedade. Azure Active Directory
TeamGuid A ID de uma equipe no Microsoft Teams. Microsoft Teams
TeamName O nome de uma equipe no Microsoft Teams. Microsoft Teams
UserAgent Informações sobre o navegador do usuário. Essas informações são fornecidas pelo navegador. SharePoint
UserDomain Informações de identidade sobre a organização de locatário do usuário (ator) que realizou a ação. Azure Active Directory
UserId O usuário que realizou a ação (especificada na propriedade Operation ) que resultou no registro sendo registrado. Registros de auditoria para atividades executadas por contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos no log de auditoria. Outro valor comum para a propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço.

Para saber mais, veja:
O usuário app@sharepoint em registros de auditoria
ou
Contas do sistema nos registros de auditoria da caixa de correio do Exchange.
Todos
UserKey Contém uma ID de Objeto do Azure Active Directory válida no formato GUID ou no formato hex. Para cenários em que o ator principal não é um usuário, o UserKey é uma cadeia de caracteres vazia. Consulte Cenários UserType e UserKey para obter detalhes sobre vários cenários userkey . Todos
UserType O tipo de usuário que executou a operação. Consulte os cenários UserType e UserKey para obter detalhes sobre vários cenários do UserType . Todos
Versão Indica o número de versão da atividade (identificada pela propriedade Operation ) registrada. Todos
Workload O serviço microsoft 365 em que a atividade ocorreu. Todos

Cenários UserType e UserKey

A tabela a seguir fornece detalhes para cenários UserType e UserKey :

Valor Nome do membro UserType Descrição UserKey
0 Regular Um usuário regular sem permissões de administrador. Microsoft Entra ID do objeto no formato GUID
2 Admin Um administrador em sua organização do Microsoft 365. 1 Microsoft Entra ID do objeto no formato GUID
3 DCAdmin Uma conta do sistema de datacenter ou administrador do datacenter da Microsoft. Microsoft Entra ID do objeto no formato GUID
4 System Um evento de auditoria disparado pela lógica do lado do servidor. Por exemplo, serviços do Windows ou processos em segundo plano. Guid.Empty.ToString() (ou o valor '0000000-0000-0000-0000-0000-0000000000').
5 Application Um evento de auditoria disparado por um aplicativo Microsoft Entra. Microsoft Entra Nome do Aplicativo ou ID do Aplicativo (quando disponível). Caso contrário, uma cadeia de caracteres vazia.
6 ServicePrincipal Uma entidade de serviço. Guid.Empty.ToString() (ou o valor '0000000-0000-0000-0000-0000-0000000000').
7 CustomPolicy Um cliente criou ou gerenciou a política. Guid.Empty.ToString() (ou o valor '0000000-0000-0000-0000-0000-0000000000').
8 SystemPolicy Uma política de sistema ou gerenciada pela Microsoft. Guid.Empty.ToString() (ou o valor '0000000-0000-0000-0000-0000-0000000000').
9 PartnerTechnician O usuário de um locatário parceiro que trabalha em nome do locatário do cliente (em cenários de GDAP ). Guid.Empty.ToString() (ou o valor '0000000-0000-0000-0000-0000-0000000000').
10 Guest Um usuário convidado ou anônimo. Guid.Empty.ToString() (ou o valor '0000000-0000-0000-0000-0000-0000000000').

Observação

1 Para eventos relacionados Microsoft Entra, o valor de um administrador não é usado em um registro de auditoria. Os registros de auditoria das atividades executadas pelos administradores indicarão que um usuário regular (por exemplo, UserType: 0) executou a atividade. A propriedade UserID identificará a pessoa (usuário ou administrador regular) que realizou a atividade.