审核日志中的详细活动属性

从 Microsoft Purview 门户或 Microsoft Purview 合规性门户导出审核日志搜索结果时,可以下载满足搜索条件的所有结果。 可以通过在“审核日志搜索”页上选择“导出结果>”“下载所有结果”来导出此信息。 有关详细信息,请参阅 搜索审核日志

导出审核日志搜索的所有结果时,统一审核日志中的原始数据将复制到下载到本地计算机的 CSV) 文件 (逗号分隔值。 此文件包含在名为 AuditData 的列中每个审核活动记录中的其他属性信息。 此列包含审核日志记录中的多个属性的多值属性。 每个 属性: 此多值属性中的值对用逗号分隔。

下表描述了 (包含的活动属性,具体取决于在多属性 AuditData 列中) 发生活动的服务。 具有此属性列的Microsoft服务指示包含 属性 (用户或管理员) 活动的服务和类型。 有关这些属性或本文中可能未列出的属性的更多详细信息,请参阅 管理活动 API 架构

提示

可以使用 Excel 中的 Power Query 中的 JSON 转换功能将 AuditData 列拆分为多个列,以便每个属性都有自己的列。 这让你能够对一个或多个属性进行排序和筛选。 若要了解如何执行此操作,请参阅 导出、配置和查看审核日志记录

属性 说明 Microsoft具有此属性的服务
Actor 执行操作的用户或服务帐户。 Azure Active Directory
AddOnName 在团队中添加、删除或更新的加载项的名称。 Microsoft Teams 中的加载项类型是机器人、连接器或选项卡。 Microsoft Teams
AddOnType 在团队中添加、删除或更新的加载项的类型。 以下值指示加载项的类型。
1 - 指示机器人。
2 - 指示连接器。
3 - 指示选项卡。
Microsoft Teams
AppAccessContext 执行该操作的用户或服务主体的应用程序上下文。 Microsoft Teams
ArtifactShared 用户共享的文件或内容。 Microsoft Teams
AzureActiveDirectoryEventType Azure Active Directory 活动的类型。 以下值指示活动的类型。
0 - 指示帐户登录活动。
1 - 指示 Azure 应用程序安全活动。
Azure Active Directory
ChannelGuid Microsoft Teams 频道的 ID。 频道所在的团队由 TeamNameTeamGuid 属性标识。 Microsoft Teams
ChannelName Microsoft Teams 频道的名称。 频道所在的团队由 TeamNameTeamGuid 属性标识。 Microsoft Teams
客户端 用于登录活动的客户端设备、设备 OS 和设备浏览器 (例如 Nokia Lumia 920;Windows Phone 8;IE Mobile 11) 。 Azure Active Directory
ClientInfoString 有关用于执行操作的电子邮件客户端的信息,例如浏览器版本、Outlook 版本和移动设备信息 Exchange (邮箱活动)
ClientIP 记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。

对于某些服务,此属性中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员使用的设备的 IP 地址。

此外,对于管理员活动 (或由系统帐户) 为 Azure Active Directory 相关活动执行的活动,不会记录 IP 地址,并且 ClientIP 属性 null的值为 。
Azure Active Directory、Exchange、SharePoint
CreationTime 协调世界时 (UTC) 生成审核日志记录时的日期和时间。 全部
CurrentProtectionType 包含用于描述文档当前保护状态的字段的复杂属性类型。 包括以下功能:

ProtectionType:枚举应用于文档的保护类型。 这些值及其含义适用: 0 (无保护 ) ,1 (基于模板的保护 ) ,2 (不转发,对于电子邮件 ) ,3 (仅加密 ) ,4 (自定义、用户配置的保护)
所有者:配置保护的用户的电子邮件地址。
TemplateId:当 ProtectionType 设置为 1 (模板) 时,此字段包含应用于文档的模板的 GUID。 当 ProtectionType 的值不等于 1 时,此字段为空。
DocumentEncrypted:布尔标志,指示是否对文档应用了任何类型的加密。 值为 TrueFalse
全部
DestinationFileExtension 复制或移动的文件的文件扩展名。 此属性仅针对 FileCopied 和 FileMoved 用户活动显示。 SharePoint
DestinationFileName 复制或移动文件的名称。 此属性仅针对 FileCopied 和 FileMoved 操作显示。 SharePoint
DestinationRelativeUrl 在其中复制或移动文件的目标文件夹的 URL。 SiteURLDestinationRelativeURLDestinationFileName 属性的值的组合与 ObjectID 属性的值相同,ObjectID 属性是复制的文件的完整路径名称。 此属性仅针对 FileCopied 和 FileMoved 用户活动显示。 SharePoint
EventSource 标识 SharePoint 中发生了活动。 可能的值为 SharePointObjectModel SharePoint
ExternalAccess 对于 Exchange 管理员活动,指定 cmdlet 是由组织中的用户、Microsoft数据中心人员或数据中心服务帐户运行的,还是由委派的管理员运行。 值 False 表示 cmdlet 由组织中的某人运行。 值 True 表示 cmdlet 由数据中心人员、数据中心服务帐户或委托的管理员运行。
对于 Exchange 邮箱活动,指定邮箱是否由组织外部用户访问。
Exchange
ExtendedProperties Azure Active Directory 活动的扩展属性。 Azure Active Directory
ID 报表条目的 ID。 该 ID 唯一标识报表条目。 全部
InternalLogonType 仅供内部使用。 Exchange (邮箱活动)
ItemType 访问或修改的对象类型。 可能的值包括 FileFolderWebSiteTenantDocumentLibrary SharePoint
IsJoinedFromLobby 用户是否从大厅加入 Teams 会话。 Microsoft Teams
LoginStatus 标识可能已发生的登录失败。 Azure Active Directory
LogonType 邮箱访问的类型。 以下值指示访问邮箱的用户的类型。

0 - 指示邮箱所有者。
1 - 指示管理员。
2 - 指示委托。
3 - 指示Microsoft数据中心内的传输服务。
4 - 指示Microsoft数据中心内的服务帐户。
6 - 指示委派的管理员。
Exchange (邮箱活动)
MailboxGuid 访问邮箱的 Exchange GUID。 Exchange (邮箱活动)
MailboxOwnerUPN 拥有已访问邮箱的人员的电子邮件地址。 Exchange (邮箱活动)
Members 列出已从团队添加或删除的用户。 以下值表示分配给用户的角色类型。

1 - 表示“所有者”角色。
2 - 表示“成员”角色。
3 - 表示“来宾”角色。

成员属性还包括组织的名称和成员的电子邮件地址。
Microsoft Teams
ModifiedProperties (Name、NewValue、OldValue) 属性包含在管理员活动中,例如将用户添加为网站或网站集管理组的成员。 属性包括 (修改的属性的名称,例如,网站管理员组) 修改后属性的新值 (添加为网站管理员的用户,以及) 修改对象的先前值。 所有 (管理员活动)
ObjectFullyQualifiedName 实体的完全限定名称。 Microsoft Purview (治理)
ObjectId 对于 Exchange 管理员审核日志,通过 cmdlet 修改的对象的名称。
对于 SharePoint 活动,是用户访问的文件或文件夹的完整 URL 路径名称。
对于 Azure AD 活动,为已修改的用户帐户的名称。
全部
ObjectName 主实体名称。 Microsoft Purview (治理)
ObjectType 实体类型。 Microsoft Purview (治理)
OldValue 更改前的值包括更新或删除的所有属性。 Microsoft Purview (治理)
操作 用户或管理员活动的名称。 此属性的值对应于在 “活动 ”下拉列表中选择的值。 如果选择了 “显示所有活动的结果 ”,则报表将包括所有用户和所有服务的管理员活动的条目。 有关在审核日志中记录的操作/活动的说明,请参阅在 Office 365 中搜索审核日志中的“已审核活动”选项卡。
对于 Exchange 管理员活动,此属性标识已运行的 cmdlet 名称。
全部
OrganizationId 组织的 GUID。 全部
NewValue 更改后的值包括更新或删除的所有属性。 Microsoft Purview (治理)
Path 访问的邮件所在的邮箱文件夹的名称。 此属性还标识在其中创建邮件或将邮件复制/移动到的文件夹 。 Exchange (邮箱活动)
参数 对于 Exchange 管理员活动,是与 Operation 属性中标识的 cmdlet 一起使用的所有参数的名称和值。 Exchange (管理员活动)
ParticipantInfo 有关参与者标识的其他属性。 Microsoft Teams
ParticipatingDomainInformation 有关参与者的域信息。 Microsoft Teams
PreviousProtectionType 包含用于描述文档先前保护状态的字段的复杂属性类型。 包括以下功能:

ProtectionType:枚举应用于文档的保护类型。 这些值及其含义适用: 0 (无保护 ) ,1 (基于模板的保护 ) ,2 (不转发,对于电子邮件 ) ,3 (仅加密 ) ,4 (自定义、用户配置的保护)
所有者:配置保护的用户的电子邮件地址。
TemplateId:当 ProtectionType 设置为 1 (模板) 时,此字段包含应用于文档的模板的 GUID。 当 ProtectionType 的值不等于 1 时,此字段为空。
DocumentEncrypted:布尔标志,指示是否对文档应用了任何类型的加密。 值为 TrueFalse
全部
ProtectionEventType 枚举正在审核的操作如何更改保护。 以下值和含义适用:

0 - 指示未更改。
1 - 指示已添加。
2 - 指示已更改。
3 - 指示已删除。
全部
RecordType 记录指示的操作类型。 此属性指示触发操作的服务或功能。 有关记录类型及其相应 ENUM 值的列表 (这是在审核记录) 的 RecordType 属性中显示的值,请参阅 审核日志记录类型
ResultStatus 指示 operation 属性中指定的操作 () 是否成功。
对于 Exchange 管理员活动,值为 True (成功) 或 False (失败) 。
全部
SecurityComplianceCenterEventType 指示活动是Microsoft Purview 门户和合规性门户活动。 对于此属性,所有Microsoft Purview 门户和合规性门户活动的值都将为 0 Microsoft Purview 门户
Microsoft Purview 合规性门户
敏感度标签 分配给特定邮件项目的敏感度标签。 Exchange
SharingType 分配给共享资源的用户的共享权限的类型。 此用户是在 UserSharedWith 属性中标识的。 SharePoint
Site 用户访问的文件或文件夹所在网站的 GUID。 SharePoint
SiteUrl 用户访问的文件或文件夹所在网站的 URL。 SharePoint
SourceFileExtension 用户访问的文件的文件扩展名。 如果访问对象是一个文件夹,则此属性为空。 SharePoint
SourceFileName 用户访问的文件或文件夹名称。 SharePoint
SourceRelativeUrl 包含用户访问文件的文件夹的 URL。 SiteURLSourceRelativeURLSourceFileName 属性的值的组合与 ObjectID 属性的值相同,ObjectID 属性是用户访问的文件的完整路径名称。 SharePoint
主题 访问的邮件的主题行。 Exchange (邮箱活动)
TabType 在团队中添加、删除或更新的选项卡的类型。 此属性的可能值为:

Excel 图钉 - Excel 选项卡。
扩展 - 所有第一方和第三方应用;例如类计划、VSTS 和窗体。
备注 - OneNote 选项卡。
Pdfpin - PDF 选项卡。
Powerbi - Power BI 选项卡。
Powerpointpin - PowerPoint 选项卡。
Sharepointfiles - SharePoint 选项卡。
网页 - 固定的网站选项卡。
Wiki-tab - Wiki 选项卡。
Wordpin - Word 选项卡。
Microsoft Teams
Target 操作 () 执行的操作属性中 标识的用户。 例如,如果将来宾添加到 SharePoint 或Microsoft团队,该用户将列在此属性中。 Azure Active Directory
TeamGuid Microsoft Teams 中团队的 ID。 Microsoft Teams
TeamName Microsoft Teams 中的团队名称。 Microsoft Teams
UserAgent 有关用户浏览器的信息。 此信息由浏览器提供。 SharePoint
UserDomain 有关执行操作的用户 (参与者) 租户组织的标识信息。 Azure Active Directory
UserID 执行操作的用户 (操作属性中指定的 用户) 导致记录被记录。 审核日志中还包括由系统帐户 ((如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) )执行的活动的审核记录。 UserId 属性的另一个常见值是 app@sharepoint。 这表明执行活动的“用户”是在 SharePoint 中拥有必要权限的应用程序,代表用户、管理员或服务执行组织范围内操作(例如,搜索 SharePoint 网站或 OneDrive 帐户)。

有关更多信息,请参阅:
审核记录中的app@sharepoint用户

Exchange 邮箱审核记录中的系统帐户
全部
UserKey 包含 GUID 格式或十六进制格式的有效 Azure Active Directory 对象 ID。 对于主执行组件不是用户的情况, UserKey 是空字符串。 有关各种 UserKey 方案的详细信息,请参阅 UserType 和UserKey 方案。 全部
UserType 执行操作的用户类型。 有关各种 UserType 方案的详细信息,请参阅 UserType 和 UserKey 方案。 全部
版本 指示由记录的 Operation 属性) 标识的活动 (版本号。 全部
Workload 发生活动的 Microsoft 365 服务。 全部

UserType 和 UserKey 方案

下表提供了 UserTypeUserKey 方案的详细信息:

UserType 成员名称 说明 UserKey
0 Regular 没有管理员权限的普通用户。 以 GUID 格式Microsoft Entra 对象 ID
2 Admin Microsoft 365 组织中的管理员。1 以 GUID 格式Microsoft Entra 对象 ID
3 DCAdmin Microsoft数据中心管理员或数据中心系统帐户。 以 GUID 格式Microsoft Entra 对象 ID
4 System 服务器端逻辑触发的审核事件。 例如,Windows 服务或后台进程。 Guid.Empty.ToString () (或值'00000000-0000-0000-0000-0000-0000000000') 。
5 Application 由 Microsoft Entra 应用程序触发的审核事件。 Microsoft项应用程序名称或应用程序 ID ((如果可用) )。 否则为空字符串。
6 ServicePrincipal 服务主体。 Guid.Empty.ToString () (或值'00000000-0000-0000-0000-0000-0000000000') 。
7 CustomPolicy 客户创建或托管策略。 Guid.Empty.ToString () (或值'00000000-0000-0000-0000-0000-0000000000') 。
8 SystemPolicy Microsoft托管策略或系统策略。 Guid.Empty.ToString () (或值'00000000-0000-0000-0000-0000-0000000000') 。
9 PartnerTechnician 合作伙伴租户的用户代表客户租户 (在 GDAP 方案中) 。 Guid.Empty.ToString () (或值'00000000-0000-0000-0000-0000-0000000000') 。
10 Guest 来宾或匿名用户。 Guid.Empty.ToString () (或值'00000000-0000-0000-0000-0000-0000000000') 。

注意

1 对于Microsoft Entra 相关事件,审核记录中不使用管理员的值。 管理员执行的活动的审核记录将指示常规用户 (例如 UserType: 0) 执行该活动。 UserID 属性将标识执行活动 (普通用户或管理员) 的人员。