Подробные свойства действий в журнале аудита
При экспорте результатов поиска по журналам аудита на портале Microsoft Purview или на портале соответствия требованиям Microsoft Purview можно скачать все результаты, соответствующие условиям поиска. Эти сведения можно экспортировать, выбрав Экспорт результатов>Скачать все результаты на странице Поиска по журналу аудита . Дополнительные сведения см. в разделе Поиск в журнале аудита.
При экспорте всех результатов поиска по журналу аудита необработанные данные из единого журнала аудита копируются в csv-файл с разделиющими запятыми значениями (CSV), который загружается на локальный компьютер. Этот файл содержит дополнительные сведения о свойствах из каждой записи действия аудита в столбце AuditData. Этот столбец содержит свойство с несколькими значениями для нескольких свойств из записи журнала аудита. Каждая из пар property: value в этом многозначном свойстве разделена запятой.
В следующей таблице описаны свойства действия, включенные (в зависимости от службы, в которой происходит действие) в столбце AuditData с несколькими свойствами. Служба Майкрософт, содержащая этот столбец свойств, указывает службу и тип действия (пользователя или администратора), включающего свойство . Дополнительные сведения об этих свойствах или свойствах, которые могут не быть перечислены в этой статье, см. в статье Схема API действий управления.
Совет
Вы можете использовать функцию преобразования JSON в Power Query в Excel, чтобы разделить столбец AuditData на несколько столбцов, чтобы у каждого свойства был свой собственный столбец. Это позволит выполнять сортировку и фильтрацию по одному или нескольким из этих свойств. Сведения о том, как это сделать, см. в статье Экспорт, настройка и просмотр записей журнала аудита.
| Свойство | Описание | Служба Майкрософт с этим свойством |
|---|---|---|
| Actor | Учетная запись пользователя или службы, которая выполнила действие. | Azure Active Directory |
| AddOnName | Имя надстройки, которая была добавлена, удалена или обновлена в команде. Тип надстроек в Microsoft Teams — это бот, соединитель или вкладка. | Microsoft Teams |
| AddOnType | Тип надстройки, которая была добавлена, удалена или обновлена в команде. Следующие значения указывают тип надстройки. 1 — указывает бота. 2 — указывает соединитель. 3 — указывает вкладку. |
Microsoft Teams |
| AppAccessContext | Контекст приложения пользователя или субъекта-службы, которые выполнили действие. | Microsoft Teams |
| ArtifactShared | Файлы или содержимое, к которым предоставлен доступ пользователь. | Microsoft Teams |
| AzureActiveDirectoryEventType | Тип действия Azure Active Directory. Следующие значения указывают тип действия. 0 — указывает действие входа в учетную запись. 1 — указывает действие безопасности приложений Azure. |
Azure Active Directory |
| ChannelGuid | Идентификатор канала Microsoft Teams. Команда, в которую находится канал, определяется свойствами TeamName и TeamGuid . | Microsoft Teams |
| ChannelName | Имя канала Microsoft Teams. Команда, в которую находится канал, определяется свойствами TeamName и TeamGuid . | Microsoft Teams |
| Клиент | Клиентское устройство, ОС устройства и браузер устройства, используемые для действия входа (например, Nokia Lumia 920; Windows Phone 8; IE Mobile 11). | Azure Active Directory |
| ClientInfoString | Сведения о почтовом клиенте, который использовался для выполнения операции, такие как версия браузера, версия Outlook и сведения о мобильном устройстве | Exchange (действие почтового ящика) |
| ClientIP | IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. Кроме того, для действий администратора (или действий, выполняемых системной учетной записью) для действий, связанных с Azure Active Directory, IP-адрес не регистрируется в журнале, а значение для свойства ClientIP равно null. |
Azure Active Directory, Exchange, SharePoint |
| CreationTime | Дата и время в формате UTC, когда создается запись журнала аудита. | Все |
| CurrentProtectionType | Сложный тип свойства, содержащий поля для описания текущего состояния защиты документа. Включает следующее: ProtectionType: перечисляет тип защиты, применяемый к документу. Применяются следующие значения и их значения: 0 (без защиты), 1 (защита на основе шаблона), 2 (не пересылать, для электронной почты), 3 (только шифрование) и 4 (настраиваемая защита, настроенная пользователем) Владелец: адрес электронной почты пользователя, настроив защиту. TemplateId: если параметру ProtectionType присвоено значение 1 (шаблон), это поле содержит GUID шаблона, примененного к документу. Если значение ProtectionType не равно 1, это поле будет пустым. DocumentEncrypted: логический флаг, указывающий, применяется ли к документу какой-либо тип шифрования. Значения: True или False. |
Все |
| DestinationFileExtension | Расширение скопированного или перемещенного файла. Это свойство отображается только для действий пользователя FileCopied и FileMoved. | SharePoint |
| DestinationFileName | Имя файла копируется или перемещается. Это свойство отображается только для действий FileCopied и FileMoved. | SharePoint |
| DestinationRelativeUrl | URL-адрес конечной папки, в которую копируется или перемещается файл. Сочетание значений для SiteURL, DestinationRelativeURL и Свойства DestinationFileName совпадает со значением свойства ObjectID , которое представляет собой полное имя пути к скопированному файлу. Это свойство отображается только для действий пользователя FileCopied и FileMoved. | SharePoint |
| EventSource | Определяет, что произошло действие в SharePoint. Возможные значения: SharePoint и ObjectModel. | SharePoint |
| ExternalAccess | Для действий администратора Exchange указывает, был ли командлет запущен пользователем в вашей организации, персоналом центра обработки данных Майкрософт или учетной записью службы центра обработки данных или делегированным администратором. Значение False означает, что командлет был запущен пользователем в вашей организации. Значение True значит, что командлет запустили сотрудник центра данных Майкрософт, учетная запись службы центра данных или полномочный администратор. Для действия почтового ящика Exchange указывает, был ли доступ к почтовому ящику пользователю за пределами вашей организации. |
Exchange |
| ExtendedProperties | Расширенные свойства для действия Azure Active Directory. | Azure Active Directory |
| ИД | Идентификатор записи отчета. Идентификатор однозначно идентифицирует запись отчета. | Все |
| InternalLogonType | Зарезервировано для внутреннего использования. | Exchange (действие почтового ящика) |
| ItemType | Тип объекта, который был открыт или изменен. Возможные значения: File, Folder, Web, Site, Tenant и DocumentLibrary. | SharePoint |
| IsJoinedFromLobby | Независимо от того, присоединился ли пользователь к сеансу Teams из лобби. | Microsoft Teams |
| LoginStatus | Определяет сбои входа, которые могли возникнуть. | Azure Active Directory |
| LogonType | Тип доступа к почтовому ящику. Следующие значения указывают тип пользователя, который обращается к почтовому ящику. 0 — указывает владельца почтового ящика. 1 — указывает администратора. 2 — указывает делегат. 3 — указывает транспортную службу в центре обработки данных Майкрософт. 4 — указывает учетную запись службы в центре обработки данных Майкрософт. 6 — указывает делегированного администратора. |
Exchange (действие почтового ящика) |
| MailboxGuid | GUID почтового ящика Exchange, к которому получен доступ. | Exchange (действие почтового ящика) |
| MailboxOwnerUPN | Адрес электронной почты пользователя, владеющего почтовым ящиком, к которому получен доступ. | Exchange (действие почтового ящика) |
| Members | Список пользователей, которые были добавлены или удалены из команды. Перечисленные ниже значения указывают на тип роли, назначенной пользователю. 1 — указывает на роль "Владелец". 2 — указывает на роль "Участник". 3 — указывает на роль "Гость". Свойство Members также включает название организации и адрес электронной почты участника. |
Microsoft Teams |
| ModifiedProperties (Name, NewValue, OldValue) | Свойство включается для действий администратора, таких как добавление пользователя в качестве члена сайта или группы администраторов семейства веб-сайтов. Свойство включает имя свойства, которое было изменено (например, группа администраторов сайта), новое значение измененного свойства (например, пользователь, который был добавлен в качестве администратора сайта, и предыдущее значение измененного объекта). | Все (действия администратора) |
| ObjectFullyQualifiedName | Полное имя сущности. | Microsoft Purview (управление) |
| ObjectId | Что касается ведения журнала аудита действий администратора Exchange, это имя объекта, измененного командлетом. Для действия SharePoint — полное имя URL-адреса файла или папки, к которым обращается пользователь. Для действия Azure AD — имя учетной записи пользователя, которая была изменена. |
Все |
| ObjectName | Имя основной сущности. | Microsoft Purview (управление) |
| ObjectType | Тип сущности. | Microsoft Purview (управление) |
| OldValue | Значение перед изменением включает все обновленные или удаленные свойства. | Microsoft Purview (управление) |
| Operation | Название действия пользователя или администратора. Значение этого свойства соответствует значению, выбранному в раскрывающемся списке Действия . Если выбран параметр Показать результаты для всех действий , отчет будет включать записи для всех действий пользователей и администраторов для всех служб. Описание операций и действий, зарегистрированных в журнале аудита, см. на вкладке Действия аудита в разделе Поиск журнала аудита в Office 365. Что касается действий администратора Exchange, это свойство определяет имя запущенного командлета. |
Все |
| OrganizationId | GUID для организации. | Все |
| NewValue | Значение после изменения включает все свойства, обновленные или удаленные. | Microsoft Purview (управление) |
| Path | Имя папки почтового ящика, где расположено сообщение, к которому получен доступ. Это свойство также идентифицирует папку , в которую создается сообщение, в которое копируется или перемещается. | Exchange (действие почтового ящика) |
| Параметры | Для действий администратора Exchange — имя и значение всех параметров, которые использовались с командлетом, указанным в свойстве Operation. | Exchange (действия администратора) |
| УчастникИнфо | Дополнительные свойства удостоверения участника. | Microsoft Teams |
| ParticipatingDomainInformation | Сведения о домене участника. | Microsoft Teams |
| PreviousProtectionType | Сложный тип свойства, содержащий поля для описания предыдущего состояния защиты документа. Включает следующее: ProtectionType: перечисляет тип защиты, применяемый к документу. Применяются следующие значения и их значения: 0 (без защиты), 1 (защита на основе шаблона), 2 (не пересылать, для электронной почты), 3 (только шифрование) и 4 (настраиваемая защита, настроенная пользователем) Владелец: адрес электронной почты пользователя, настроив защиту. TemplateId: если параметру ProtectionType присвоено значение 1 (шаблон), это поле содержит GUID шаблона, примененного к документу. Если значение ProtectionType не равно 1, это поле будет пустым. DocumentEncrypted: логический флаг, указывающий, применяется ли к документу какой-либо тип шифрования. Значения: True или False. |
Все |
| ProtectionEventType | Перечисляет изменение защиты в ходе проверяемой операции. Применяются следующие значения и значения: 0 — указывает без изменений. 1 — указывает, что добавлено. 2 — указывает, изменено. 3 — указывает, удалено. |
Все |
| RecordType | Тип операции, указанный в записи. Это свойство указывает службу или функцию, в которую была активирована операция. Список типов записей и соответствующее им значение ENUM (которое является значением, отображаемым в свойстве RecordType в записи аудита) см. в разделе Тип записи журнала аудита. | |
| ResultStatus | Указывает, было ли действие (указанное в свойстве Operation ) успешным или нет. Для действий администратора Exchange значение равно True (успешно) или False (сбой). |
Все |
| SecurityComplianceCenterEventType | Указывает, что действие было действием на портале Microsoft Purview и на портале соответствия требованиям. Все действия портала Microsoft Purview и портала соответствия требованиям будут иметь значение 0 для этого свойства. | Портал Microsoft Purview Портал соответствия требованиям Microsoft Purview |
| SensitivityLabel | Метка конфиденциальности, назначенная конкретному почтовому элементу. | Exchange |
| SharingType | Тип разрешений на общий доступ, назначенных пользователю, которому предоставлен общий доступ к ресурсу. Этот пользователь идентифицируется в свойстве UserSharedWith . | SharePoint |
| Site | GUID сайта, на котором расположены файл или папка, к которым получил доступ пользователь. | SharePoint |
| SiteUrl | URL-адрес сайта, на котором расположены файл или папка, к которым получил доступ пользователь. | SharePoint |
| SourceFileExtension | Расширение файла, к которому получил доступ пользователь. Это свойство пустое, если объект, к которому получен доступ, представляет собой папку. | SharePoint |
| SourceFileName | Имя файла или папки, к которым получил доступ пользователь. | SharePoint |
| SourceRelativeUrl | URL-адрес папки с файлом, к которому получил доступ пользователь. Сочетание значений для SiteURL, SourceRelativeURL и Свойства SourceFileName совпадает со значением свойства ObjectID , которое представляет собой полное имя пути к файлу, к которому обращается пользователь. | SharePoint |
| Subject | Строка темы сообщения, к которому получен доступ. | Exchange (действие почтового ящика) |
| TabType | Тип вкладки, добавленной, удаленной или обновленной в команде. Вот возможные значения этого свойства: Закрепление Excel — вкладка Excel. Расширение — все сторонние и сторонние приложения; например, Class Schedule, VSTS и Forms. Заметки — вкладка OneNote. Pdfpin — вкладка PDF. Powerbi — вкладка Power BI. Powerpointpin — вкладка PowerPoint. Sharepointfiles — вкладка SharePoint. Веб-страница — закрепленная вкладка веб-сайта. Вики-вкладка — вики-вкладка . Wordpin — вкладка Word. |
Microsoft Teams |
| Target | Пользователь, с которым было выполнено действие (определенное в свойстве Operation ). Например, если гость добавлен в SharePoint или Microsoft Team, этот пользователь будет указан в этом свойстве. | Azure Active Directory |
| TeamGuid | Идентификатор команды в Microsoft Teams. | Microsoft Teams |
| TeamName | Имя команды в Microsoft Teams. | Microsoft Teams |
| UserAgent | Сведения о браузере пользователя. Эти сведения предоставляются браузером. | SharePoint |
| UserDomain | Сведения об удостоверении организации клиента пользователя (субъекта), выполнившего действие. | Azure Active Directory |
| UserId | Пользователь, выполнивший действие (указанное в свойстве Operation ), которое привело к регистрации записи. Записи аудита для действий, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM), также включаются в журнал аудита. Другим общим значением для свойства UserId является app@sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе: Пользователь app@sharepoint в записях аудита или Системные учетные записи в записях аудита почтовых ящиков Exchange. |
Все |
| UserKey | Содержит допустимый идентификатор объекта Azure Active Directory в формате GUID или шестнадцатеричном формате. В случаях, когда основной субъект не является пользователем, UserKey является пустой строкой. Дополнительные сведения о различных сценариях UserKey см. в разделах Сценарии UserType и UserKey. | Все |
| UserType | Тип пользователя, который выполнил операцию. Дополнительные сведения о различных сценариях UserType см. в разделах Сценарии UserType и UserKey. | Все |
| Версия | Указывает номер версии действия (определяемого свойством Operation ), которое регистрируется в журнале. | Все |
| Workload | Служба Microsoft 365, в которой произошло действие. | Все |
Сценарии UserType и UserKey
В следующей таблице приведены сведения о сценариях UserType и UserKey .
| Значение | Имя члена UserType | Описание | UserKey |
|---|---|---|---|
| 0 | Regular | Обычный пользователь без разрешений администратора. | Идентификатор объекта Microsoft Entra в формате GUID |
| 2 | Admin | Администратор в организации Microsoft 365. 1 | Идентификатор объекта Microsoft Entra в формате GUID |
| 3 | DCAdmin | Администратор центра обработки данных Майкрософт или системная учетная запись центра обработки данных. | Идентификатор объекта Microsoft Entra в формате GUID |
| 4 | System | Событие аудита, активируется логикой на стороне сервера. Например, службы Windows или фоновые процессы. | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
| 5 | Application | Событие аудита, активируется приложением Microsoft Entra. | Имя приложения Microsoft Entra или идентификатор приложения (если доступно). В противном случае — пустая строка. |
| 6 | ServicePrincipal | Субъект-служба. | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
| 7 | CustomPolicy | Клиент, созданная или управляемая политика. | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
| 8 | SystemPolicy | Под управлением Майкрософт или системная политика. | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
| 9 | PartnerTechnician | Пользователь клиента партнера, работающий от имени клиента клиента (в сценариях GDAP ). | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
| 10 | Guest | Гостевой или анонимный пользователь. | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
Примечание.
1 Для событий, связанных с Microsoft Entra, значение администратора не используется в записи аудита. Записи аудита для действий, выполняемых администраторами, будут указывать, что обычный пользователь (например, UserType: 0) выполнил действие. Свойство UserID определяет пользователя (обычного пользователя или администратора), выполнившего действие.