| Вид занятий |
строка |
Имя действия пользователя или администратора. |
| ActivityId |
строка |
Уникальный идентификатор действия. |
| Имя субъекта |
строка |
Имя участника-пользователя (имя участника-пользователя), выполнившего действие (указанное в свойстве Operation), в результате чего запись регистрируется; например, my_name@my_domain_name. Обратите внимание, что записи для действий, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM), также включаются. В SharePoint другое значение, отображаемое в свойстве UserId, app@sharepoint. Это означает, что пользователь, выполняющий действие, был приложением, которое имеет необходимые разрешения в SharePoint для выполнения действий на уровне организации (например, поиска на сайте SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита. |
| ActorUserId |
строка |
Альтернативный идентификатор пользователя, определенного в свойстве UserId. Например, значение этого свойства может заполняться уникальным идентификатором Passport (PUID) для событий, выполняемых пользователями в SharePoint, OneDrive для бизнеса и Exchange. Это свойство также может указать то же значение, что и свойство UserID для событий, происходящих в других службах и событиях, выполняемых системными учетными записями. |
| ActorUserType |
строка |
Тип пользователя, выполнившего операцию. Возможные типы: администратор, система, приложение, субъект-служба и другие. |
| _BilledSize |
real |
Размер записи в байтах |
| Панель мониторинга |
строка |
Идентификатор панели мониторинга, на которую выполнено действие. |
| Имя панели мониторинга |
строка |
Имя панели мониторинга, в которой произошло событие. |
| DataClassification |
строка |
Классификация данных, если она существует, для панели мониторинга, в которой произошло событие. |
| DatasetName |
строка |
Имя набора данных, в котором произошло событие. |
| DistributionMethod |
строка |
Указывает метод распространения содержимого. |
| EventOriginalType |
строка |
Имя действия пользователя или администратора, выполняющего действие. Описание наиболее распространенных операций и действий см. в разделе "Поиск журнала аудита" в Центре защиты Office 365. Для действий администратора Exchange это свойство определяет имя выполняемого командлета. Для событий защиты от потери данных это может быть "DlpRuleMatch", "DlpRuleUndo" или "DlpInfo", которые описаны ниже в разделе "Схема защиты от потери данных". |
| EventOriginalUid |
строка |
Уникальный идентификатор записи аудита. |
| EventProduct |
строка |
Имя продукта Майкрософт (PowerBI). |
| EventResult |
строка |
Указывает, было ли успешным действие (указанное в свойстве Operation). Возможные значения: Succeeded (Успешно), PartiallySucceeded (Выполнено частично) и Failed (Сбой). |
| EventVendor |
строка |
Имя поставщика услуг. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| IsSuccess |
строка |
Указывает, выполнено ли действие успешно или нет. |
| Название товара |
строка |
Имя элемента, на который было выполнено действие. |
| MembershipInformation |
строка |
Сведения о членстве в группе. |
| ObjectId |
строка |
Полное имя пути файла или папки, к которым обращается пользователь. Для ведения журнала аудита администратора Exchange имя объекта, измененного командлетом. |
| OrganizationId |
строка |
Идентификатор GUID для клиента Office 365 организации. Это значение для вашей организации всегда будет одинаковым независимо от службы Office 365, в которой оно встречается. |
| OrgAppPermission |
строка |
Список разрешений для приложения организации (вся организация, определенные пользователи или определенные группы). |
| PbiWorkspaceName |
строка |
Имя рабочей области PowerBI, в которой произошло событие. |
| RecordType |
строка |
Тип операции, указанной записью. Дополнительные сведения о типах записей журнала аудита см. в таблице AuditLogRecordType. |
| ReportName |
строка |
Имя отчета, в котором произошло событие. |
| RequestId |
строка |
Уникальный идентификатор запроса. |
| Область |
строка |
Событие можно создать с помощью размещенной службы Office 365 или локального сервера. Возможные значения — online и onprem. Обратите внимание, что SharePoint — это единственная рабочая нагрузка, которая в настоящее время отправляет события из локальной среды в Office 365. |
| SharingInformation |
строка |
Сведения о человеке, которому отправляется приглашение на общий доступ. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| SrcIpAddr |
строка |
IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, Office в Интернете приложений), вызывающим службу от имени пользователя, а не IP-адреса устройства, используемого пользователем, который выполнял действие. Кроме того, для событий, связанных с Azure Active Directory, IP-адрес не регистрируется, а значение свойства ClientIP равно NULL. |
| SwitchState |
строка |
Сведения о состоянии различных коммутаторов уровня клиента. |
| TargetAppName |
строка |
Имя приложения, в котором произошло событие. |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| TimeGenerated |
datetime |
Дата и время в формате UTC, когда пользователь выполнил действие. |
| Тип |
строка |
Имя таблицы. |
| UserAgent |
строка |
Сведения о браузере пользователя. Эти сведения предоставляются браузером. |
| UserType |
строка |
Тип пользователя, выполнившего операцию. Возможные типы: администратор, система, приложение, субъект-служба и другие. |
| Рабочая нагрузка |
строка |
Служба Office 365, в которой произошло действие. |
| WorkspaceId |
строка |
Идентификатор рабочей области PowerBI. |