Office 365 管理活动 API 架构
Office 365管理活动 API 架构在两个层中作为数据服务提供:
常见架构。 用于访问核心 Office 365 审核概念(如 Record Type、Creation Time、User Type 和 Action),以及提供核心维度(如 User ID)、具体位置细节(如 Client IP address)和特定于产品的属性(如 Object ID)的接口。 它建立一致且统一的视图,以便用户使用适当参数在少数顶级视图中提取所有 Office 365 审核数据,并为所有数据源提供固定架构,从而极大地降低了学习成本。 常见架构源自于归每个产品团队(如 Exchange、SharePoint、Azure Active Directory、Yammer 和 OneDrive for Business)所有的产品数据。 Microsoft 365 产品团队可以扩展对象 ID 字段,以添加特定于服务的属性。
特定于服务的架构。 基于通用架构构建,提供一组 Microsoft 365 服务特定的属性;例如,SharePoint 架构、OneDrive for Business 架构和 Exchange 管理员架构。
Office 365 管理 API 架构
本文提供有关通用架构以及特定于服务的架构的详细信息。 下表描述了可用的架构。
| 架构名称 | 说明 |
|---|---|
| 常见架构 | 用于提取 Record Type、User ID、Client IP、User Type 和 Action 以及核心维度,如用户属性(如 UserID)、位置属性(如 Client IP)和特定于产品的属性(如 Object ID)的视图。 |
| Copilot 架构 | 事件包括如何以及何时与 Copilot 交互、活动发生Microsoft 365 服务,以及引用存储在 Microsoft 365 中在交互期间访问的文件。 |
| SharePoint 基本架构 | 使用特定于所有 SharePoint 审核数据的属性扩展常见架构。 |
| SharePoint 文件操作 | 使用特定于 SharePoint 中的文件访问和操作的属性扩展 SharePoint 基本架构。 |
| SharePoint 列表操作 | 使用特定于与 SharePoint Online 中的列表和列表项的交互的属性扩展 SharePoint 基本架构。 |
| SharePoint 共享架构 | 使用特定于文件共享的属性扩展 SharePoint 基本架构。 |
| SharePoint 架构 | 使用特定于 SharePoint 但与文件访问和操作无关的属性扩展 SharePoint基本架构。 |
| 项目架构 | 使用特定于 Project 的属性扩展 SharePoint 基本架构。 |
| Exchange 管理员架构 | 使用特定于所有 Exchange 管理员审核数据的属性扩展常见架构。 |
| Exchange 邮箱架构 | 使用特定于所有 Exchange 邮箱审核数据的属性扩展常见架构。 |
| OWA 身份验证架构 | 使用特定于 OWA 身份验证数据的属性扩展通用架构。 |
| Microsoft Entra ID基本架构 | 使用特定于所有审核数据的属性扩展通用架构Microsoft Entra。 |
| Microsoft Entra帐户登录架构 | 使用特定于所有Microsoft Entra登录事件的属性扩展 Microsoft Entra ID Base 架构。 |
| Microsoft Entra ID安全 STS 登录架构 | 使用特定于所有Microsoft Entra ID安全令牌服务 (STS) 登录事件的属性扩展 Microsoft Entra ID 基本架构。 |
| Microsoft Entra架构 | 使用特定于所有审核数据的属性扩展通用架构Microsoft Entra。 |
| DLP 架构 | 使用特定于数据丢失防护事件的属性扩展常见架构。 |
| 安全与合规中心架构 | 使用特定于所有安全与合规中心事件的属性扩展常见架构。 |
| 安全与合规警报中心 | 使用特定于所有 Office 365 安全与合规警报的属性扩展常见架构。 |
| Yammer 架构 | 使用特定于所有 Yammer 事件的属性扩展常见架构。 |
| 数据中心安全基本架构 | 使用特定于所有数据中心安全审核数据的属性扩展常见架构。 |
| 数据中心安全 Cmdlet 架构 | 使用特定于所有数据中心安全 cmdlet 审核数据的属性扩展数据中心安全基本架构。 |
| Microsoft Teams 架构 | 使用特定于所有 Microsoft Teams 事件的属性扩展常见架构。 |
| Microsoft Defender for Office 365 和威胁调查与响应架构 | 使用特定于 Defender for Office 365 与威胁调查和响应数据的属性扩展常见架构。 |
| 提交架构 | 使用 Microsoft Defender for Office 365 中特定于用户和管理员提交的属性来扩展常见架构。 |
| 自动调查和响应事件架构 | 使用特定于 Office 365 自动调查和响应 (AIR) 事件的属性扩展常见架构。 要查看示例,请参阅技术社区博客:使用 Microsoft Defender for Office 365 和 O365 管理 API 改进 SOC 的有效性。 |
| 卫生事件架构 | 使用特定于 Exchange Online Protection 和 Microsoft Defender for Office 365 中的事件的属性扩展常见架构。 |
| Power BI 架构 | 使用特定于所有 Power BI 事件的属性扩展常见架构。 |
| Dynamics 365 架构 | 使用特定于所有 Dynamics 365 事件的属性扩展常见架构。 |
| 工作区分析架构 | 使用特定于所有 Microsoft 工作区分析事件的属性扩展常见架构。 |
| 隔离架构 | 使用特定于所有隔离事件的属性扩展常见架构。 |
| Microsoft Forms 架构 | 使用特定于所有 Microsoft Forms 事件的属性扩展常见架构。 |
| MIP 标签架构 | 使用特定于通过手动或自动方式应用到电子邮件的敏感度标签的属性扩展常见架构。 |
| 加密的消息门户事件架构 | 使用特定于外部收件人访问的加密邮件门户的属性扩展通用架构。 |
| 通信合规性 Exchange 架构 | 使用特定于通信合规性冒犯性语言模型的属性扩展常见架构。 |
| 报告架构 | 使用特定于所有报告事件的属性扩展常见架构。 |
| 合规性连接器架构 | 使用特定于使用数据连接器导入非 Microsoft 数据的属性扩展 Common 架构。 |
| SystemSync 架构 | 使用特定于通过 SystemSync 引入的数据的属性扩展通用架构。 |
| Viva Goals架构 | 使用特定于所有Viva Goals事件的属性扩展通用架构。 |
| Microsoft Planner架构 | 使用特定于Microsoft Planner事件的属性扩展通用架构。 |
| Microsoft Project 网页版架构 | 使用特定于 Microsoft Project For Web 事件的属性扩展通用架构。 |
| Viva Pulse 架构 | 使用特定于所有Viva Pulse 事件的属性扩展通用架构。 |
| 合规性管理器架构 | 使用特定于合规性管理器事件的属性扩展公共架构。 |
| 备份策略架构 | 使用特定于 Microsoft 365 备份 策略的属性扩展通用架构。 |
| 还原任务架构 | 使用特定于还原任务的属性扩展通用架构Microsoft 365 备份。 |
| 备份项架构 | 使用特定于Microsoft 365 备份项目的属性扩展通用架构。 |
| 还原项架构 | 使用特定于还原项的属性扩展公共架构Microsoft 365 备份。 |
常见架构
EntityType 名称:AuditRecord
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| Id | Combination GUIDEdm.Guid | 是 | 审核记录的唯一标识符。 |
| RecordType | Self.AuditLogRecordType | 是 | 记录指示的操作类型。 有关审核日志记录类型的详细信息表,请参阅 AuditLogRecordType。 |
| CreationTime | Edm.Date | 是 | 协调世界时 (UTC 的日期和时间) 生成审核日志记录时。 |
| Operation | Edm.String | 是 | 用户或管理员活动的名称。 有关最常见操作/活动的说明,请参阅在 Office 365 保护中心搜索审核日志。 对于 Exchange 管理员活动,此属性标识已运行的 cmdlet 名称。 对于 DLp 事件,这可以是“DLP 架构”下描述的“DlpRuleMatch”、“DlpRuleUndo”或“DlpInfo”。 |
| OrganizationId | Edm.Guid | 是 | 组织 Office 365 租户的 GUID。 对于组织而言,该值始终相同,而不管它是在哪个 Office 365 服务中出现。 |
| UserType | Self.UserType | 是 | 执行操作的用户类型。 有关用户类型的详细信息,请参阅 UserType 表。 |
| UserKey | Edm.String | 是 | UserID 属性中标识的用户的备选 ID。 此属性填充 SharePoint、OneDrive for Business 和 Exchange 中用户执行的事件的 passport 唯一 ID (PUID)。 |
| Workload | Edm.String | 是 | 其中发生活动的 Office 365 服务。 |
| ResultStatus | Edm.String | 否 | 指示操作(在 Operation 属性中指定)成功还是失败。 可能的值为:Succeeded、PartiallySucceeded 或 Failed。 对于 Exchange 管理员活动,值为 True 或 False。 重要说明:不同的工作负载可能会覆盖 ResultStatus 属性的值。 例如,对于Microsoft Entra ID STS 登录事件,ResultStatus 的“成功”值仅指示 HTTP 操作成功;并不意味着登录成功。 若要确定实际登录是否成功,请参阅 STS 登录架构中的 LogonError Microsoft Entra ID 属性。 如果登录失败,则此属性的值将包含登录尝试失败的原因。 |
| ObjectId | Edm.string | 否 | 对于 SharePoint 和 OneDrive for Business 活动,用户访问的文件或文件夹的完整路径名称。 对于 Exchange 管理员审核日志,通过 cmdlet 修改的对象的名称。 |
| UserID | Edm.string | 是 | 执行导致记录被记录的操作(在 Operation 属性中指定)的用户的 UPN(用户主体名称);例如 my_name@my_domain_name。 注意,系统帐户执行的活动记录(例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM)也包括在内。 在 SharePoint 中,UserId 属性中的另一个数值显示为 app@sharepoint。 这表明执行活动的“用户”是在 SharePoint 中拥有必要权限的应用程序,代表用户、管理员或服务执行组织范围内操作(例如,搜索 SharePoint 网站或 OneDrive 帐户)。 有关详细信息,请参阅审核记录中的 app@sharepoint 用户。 |
| ClientIP | Edm.String | 是 | 记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 对于某些服务,此属性中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员使用的设备的 IP 地址。 此外,对于Microsoft Entra ID相关事件,不会记录 IP 地址,并且 ClientIP 属性 null的值为 。 |
| 范围 | Self.AuditLogScope | 否 | 此事件是由托管的 O365 服务还是本地服务器创建的? 可能的值为 online 和 onprem。 请注意,SharePoint 是当前将事件从本地发送到 O365 的唯一工作负载。 |
| AppAccessContext | CollectionSelf.AppAccessContext | 否 | 执行该操作的用户或服务主体的应用程序上下文。 |
枚举:AuditLogRecordType - 类型:Edm.Int32
AuditLogRecordType
| 值 | 成员名称 | 说明 |
|---|---|---|
| 1 | ExchangeAdmin | 来自 Exchange 管理员审核日志的事件。 |
| 2 | ExchangeItem | 来自 Exchange 邮箱审核日志的事件,用于对单个项执行的操作,例如创建或接收电子邮件。 |
| 3 | ExchangeItemGroup | 来自 Exchange 邮箱审核日志的事件,用于可对多个项执行的操作,例如移动或删除一个或多个电子邮件。 |
| 4 | SharePoint | SharePoint 事件。 |
| 6 | SharePointFileOperation | SharePoint 文件操作事件。 |
| 7 | OneDrive | Skype for Business 事件。 |
| 8 | AzureActiveDirectory | Microsoft Entra ID事件。 |
| 9 | AzureActiveDirectoryAccountLogon | Microsoft Entra ID orgId 登录事件 (弃用) 。 |
| 10 | DataCenterSecurityCmdlet | 数据中心安全 cmdlet 事件。 |
| 11 | ComplianceDLPSharePoint | SharePoint 和 OneDrive for Business 中的数据丢失保护 (DLP) 事件。 |
| 13 | ComplianceDLPExchange | 通过统一 DLP 策略配置时,Exchange 中的数据丢失保护 (DLP) 事件。 不支持基于 Exchange 传输规则的 DLP 事件。 |
| 14 | SharePointSharingOperation | SharePoint 共享事件。 |
| 15 | AzureActiveDirectoryStsLogon | 安全令牌服务 (STS) Microsoft Entra ID 中的登录事件。 |
| 16 | SkypeForBusinessPSTNUsage | Skype for Business 中的公共交换电话网络 (PSTN) 事件。 |
| 17 | SkypeForBusinessUsersBlocked | 已阻止 Skype for Business 中的用户事件。 |
| 18 | SecurityComplianceCenterEOPCmdlet | 来自安全与合规中心的 Admin 操作。 |
| 19 | ExchangeAggregatedOperation (19) | 聚合 Exchange 邮箱审计事件。 |
| 20 | PowerBIAudit | Power BI 事件。 |
| 21 | CRM | Dynamics 365 事件。 |
| 22 | Yammer | Yammer 事件。 |
| 23 | SkypeForBusinessCmdlets | Skype for Business 事件。 |
| 24 | Discovery | 通过在安全与合规中心中运行内容搜索和管理电子数据展示案例执行的电子数据展示活动事件。 |
| 25 | MicrosoftTeams | Microsoft Teams 中的事件。 |
| 28 | ThreatIntelligence | Exchange Online Protection 和 Microsoft Defender for Office 365 中的网络钓鱼和恶意软件事件。 |
| 29 | MailSubmission | Exchange Online Protection 和 Microsoft Defender for Office 365 中的提交事件。 |
| 30 | MicrosoftFlow | Microsoft Power Automate(以前称为 Microsoft Flow)事件。 |
| 31 | AeD | 高级电子数据展示事件。 |
| 32 | MicrosoftStream | Microsoft Stream 事件。 |
| 33 | ComplianceDLPSharePointClassification | 与 SharePoint 中 DLP 分类有关的事件。 |
| 34 | ThreatFinder | Microsoft Defender for Office 365 中与活动相关的事件。 |
| 35 | Project | Microsoft Project 事件。 |
| 36 | SharePointListOperation | Sharepoint 列表事件。 |
| 37 | SharePointCommentOperation (37) | SharePoint 批注事件。 |
| 38 | DataGovernance | 与安全与合规中心中的保留策略和保留标签相关的事件 |
| 39 | Kaizala | Kaizala 事件。 |
| 40 | SecurityComplianceAlerts | 安全与合规警报信号。 |
| 41 | ThreatIntelligenceUrl | Microsoft Defender for Office 365 中的安全链接信息块时间和信息块覆盖事件。 |
| 42 | SecurityComplianceInsights | 与 Office 365 安全与合规中心中的见解和报告有关的事件。 |
| 43 | MIPLabel | 与检测传输管道中(以手动或自动方式)标记了敏感度标签的电子邮件相关的事件。 |
| 44 | WorkplaceAnalytics | 工作区分析事件。 |
| 45 | PowerAppsApp | Power Apps 事件。 |
| 46 | PowerAppsPlan | 适用于 Power 应用的订阅计划事件。 |
| 47 | ThreatIntelligenceAtpContent | 在 Microsoft Defender for Office 365 中,SharePoint、OneDrive for Business 和 Microsoft Teams 中的文件的网络钓鱼和恶意软件事件。 |
| 48 | LabelContentExplorer | 与数据分类内容资源管理器相关的事件。 |
| 49 | TeamsHealthcare | 与 Microsoft Teams for Healthcare 中的患者应用程序相关的事件。 |
| 50 | ExchangeItemAggregated | 与 MailItemsAccessed 邮箱审核操作相关的事件。 |
| 51 | HygieneEvent | 与出站垃圾邮件保护相关的事件。 |
| 52 | DataInsightsRestApiAudit | 数据见解 REST API 事件。 |
| 53 | InformationBarrierPolicyApplication | 与信息屏障策略的应用有关的事件。 |
| 54 | SharePointListItemOperation | SharePoint 列表项事件。 |
| 55 | SharePointContentTypeOperation | SharePoint 列表内容类型事件。 |
| 56 | SharePointFieldOperation | SharePoint 列表字段事件。 |
| 57 | MicrosoftTeamsAdmin | Teams 管理员事件。 |
| 58 | HRSignal | 与支持内部风险管理解决方案的 HR 数据信号相关的事件。 |
| 59 | MicrosoftTeamsDevice | Teams 设备事件。 |
| 60 | MicrosoftTeamsAnalytics | Teams 分析事件。 |
| 61 | InformationWorkerProtection | 有关已损坏用户警报的事件。 |
| 62 | Campaign | Microsoft Defender for Office 365 中的电子邮件活动事件。 |
| 63 | DLPEndpoint | Endpoint DLP 事件。 |
| 64 | AirInvestigation | 自动事件响应 (AIR) 事件。 |
| 65 | Quarantine | 隔离事件。 |
| 66 | MicrosoftForms | Microsoft Forms 事件。 |
| 67 | ApplicationAudit | 应用程序审核事件。 |
| 68 | ComplianceSupervisionExchange | 由通信合规性的冒犯性语言模型跟踪的事件。 |
| 69 | CustomerKeyServiceEncryption | 与客户密钥加密服务相关的事件。 |
| 70 | OfficeNative | 有关应用于 Office 文档的灵敏度标签的事件。 |
| 71 | MipAutoLabelSharePointItem | SharePoint 中自动标记的事件。 |
| 72 | MipAutoLabelSharePointPolicyLocation | SharePoint 中自动标记的策略事件。 |
| 73 | MicrosoftTeamsShifts | Teams 排班事件。 |
| 75 | MipAutoLabelExchangeItem | Exchange 中自动标记的事件。 |
| 76 | CortanaBriefing | 工作概述电子邮件事件。 |
| 78 | WDATPAlerts | 与 Windows Defender for Endpoint 生成的警报相关的事件。 |
| 79 | PowerAppsResource | 与 Microsoft Power Platform Connectors 相关的事件 (预览版) 。 |
| 82 | SensitivityLabelPolicyMatch | 打开或重命名标有灵敏度标签的文件时生成的事件。 |
| 83 | SensitivityLabelAction | 在应用、更新或从文件中删除灵敏度标签时生成的事件。 |
| 84 | SensitivityLabeledFileAction | 打开或重命名标有灵敏度标签的文件时生成的事件。 |
| 85 | AttackSim | 与攻击模拟中的用户活动相关的事件 & Microsoft Defender for Office 365训练。 |
| 86 | AirManualInvestigation | 有关自动化调查和响应 (AIR) 中手动调查的事件。 |
| 87 | SecurityComplianceRBAC | 安全性和合规性 RBAC 事件。 |
| 88 | UserTraining | 与攻击模拟中的用户训练相关的事件 & Microsoft Defender for Office 365训练。 |
| 89 | AirAdminActionInvestigation | 与自动调查和响应中的管理操作相关的事件 (AIR) 。 |
| 90 | MSTIC | Microsoft Defender for Office 365 中的威胁智能事件。 |
| 91 | PhysicalBadgingSignal | 与支持内部风险管理解决方案的 无力标记信号相关的事件。 |
| 93 | AipDiscover | AIP 扫描程序事件 |
| 94 | AipSensitivityLabelAction | AIP 敏感度标签事件 |
| 95 | AipProtectionAction | AIP 保护事件 |
| 96 | AipFileDeleted | AIP 文件删除事件 |
| 97 | AipHeartBeat | AIP 检测信号事件 |
| 98 | MCASAlerts | 由 Microsoft Cloud App Security 触发的警报对应的事件。 |
| 99 | OnPremisesFileShareScannerDlp | 有关扫描文件共享上的敏感数据的事件。 |
| 100 | OnPremisesSharePointScannerDlp | 有关扫描 SharePoint 中敏感数据的事件。 |
| 101 | ExchangeSearch | 有关使用 Outlook 网页版 (OWA) 搜索邮箱项目的相关事件。 |
| 102 | SharePointSearch | 有关搜索组织的 SharePoint 主网站的事件。 |
| 103 | PrivacyInsights | 隐私洞察事件。 |
| 105 | MyAnalyticsSettings | MyAnalytics 事件。 |
| 106 | SecurityComplianceUserChange | 有关修改或删除用户的事件。 |
| 107 | ComplianceDLPExchangeClassification | Exchange DLP 分类事件。 |
| 109 | MipExactDataMatch | 精确数据匹配 (EDM) 分类事件。 |
| 113 | MS365DCustomDetection | 与 Microsoft 365 Defender 中的自定义检测操作相关的事件。 |
| 147 | CoreReportingSettings | 报告设置事件。 |
| 148 | ComplianceConnector | 与在 Microsoft Purview 合规门户中使用数据连接器导入非 Microsoft 数据相关的事件。 |
| 154 | OMEPortal | 外部收件人生成的加密邮件门户事件日志。 |
| 164 | ScorePlatformGenericAuditRecord | 用于数据连接器的通用审核记录。 |
| 174 | DataShareOperation | 与共享通过 SystemSync 引入的数据相关的事件。 |
| 181 | EduDataLakeDownloadOperation | 与从湖中导出 SystemSync 引入的数据相关的事件。 |
| 183 | MicrosoftGraphDataConnectOperation | 与数据连接Microsoft Graph提取相关的事件。 |
| 186 | PowerPagesSite | 与 Power Pages 网站相关的活动。 |
| 187 | PowerPlatformAdminDlp | 与Microsoft Power Platform DLP (预览版) 相关的事件。 |
| 188 | PlannerPlan | Microsoft Planner计划事件。 |
| 189 | PlannerCopyPlan | Microsoft Planner复制计划事件。 |
| 190 | PlannerTask | Microsoft Planner任务事件。 |
| 191 | PlannerRoster | Microsoft Planner名册和名册成员身份活动。 |
| 192 | PlannerPlanList | Microsoft Planner计划列表事件。 |
| 193 | PlannerTaskList | Microsoft Planner任务列表事件。 |
| 194 | PlannerTenantSettings | Microsoft Planner租户设置事件。 |
| 195 | ProjectForThewebProject | Microsoft Project 网页版项目事件。 |
| 196 | ProjectForThewebTask | Microsoft Project 网页版任务事件。 |
| 197 | ProjectForThewebRoadmap | Microsoft Project 网页版路线图事件。 |
| 198 | ProjectForThewebRoadmapItem | Microsoft Project 网页版路线图项事件。 |
| 199 | ProjectForThewebProjectSettings | Microsoft Project 网页版项目租户设置事件。 |
| 200 | ProjectForThewebRoadmapSettings | Microsoft Project 网页版路线图租户设置事件。 |
| 216 | Viva Goals | Viva Goals事件。 |
| 217 | MicrosoftGraphDataConnectConsent | 租户管理员对 Microsoft Graph Data Connect 应用程序执行的同意操作的事件。 |
| 218 | AttackSimAdmin | 与攻击模拟中的管理活动相关的事件 & Microsoft Defender for Office 365中的培训。 |
| 230 | TeamsUpdates | Teams 汇报应用事件。 |
| 231 | PlannerRosterSensitivityLabel | Microsoft Planner名单敏感度标签事件。 |
| 237 | DefenderExpertsforXDRAdmin | Microsoft Defender专家管理员操作事件。 |
| 251 | VfamCreatePolicy | Viva访问管理策略创建事件。 |
| 252 | VfamUpdatePolicy | Viva访问管理策略更新事件。 |
| 253 | VfamDeletePolicy | Viva访问管理策略删除事件。 |
| 261 | CopilotInteraction | Copilot 交互事件。 |
| 275 | OWAAuth | 资源的访问令牌已成功颁发事件。 |
| 280 | VivaPulseResponse | Viva Pulse 调查响应事件。 |
| 281 | VivaPulseOrganizer | Viva Pulse 调查组织者事件。 |
| 282 | VivaPulseAdmin | Viva Pulse 管理事件。 |
| 283 | VivaPulseReport | Viva Pulse 报告相关事件。 |
| 287 | ProjectForThewebAssignedToMeSettings | Microsoft Project 网页版分配给我的租户设置事件。 |
| 298 | BackupPolicy | 与Microsoft 365 备份策略相关的事件。 |
| 299 | RestoreTask | 与Microsoft 365 备份还原任务相关的事件。 |
| 300 | RestoreItem | 与使用 Microsoft 365 备份 备份的项目相关的事件。 |
| 301 | BackupItem | 与使用 Microsoft 365 备份 还原的项相关的事件。 |
| 332 | ComplianceSettingsChange | Microsoft Purview 符合性设置更改事件。 |
枚举:User Type - 类型:Edm.Int32
User Type
| 值 | 成员名称 | 说明 |
|---|---|---|
| 0 | Regular | 没有管理员权限的普通用户。 |
| 1 | Reserved | 保留值,不供使用。 |
| 2 | Admin | Microsoft 365 组织中的管理员。 ** |
| 3 | DCAdmin | Microsoft数据中心管理员或数据中心系统帐户。 |
| 4 | System | 服务器端逻辑触发的审核事件。 例如,Windows 服务或后台进程。 |
| 5 | Application | 由Microsoft Entra应用程序触发的审核事件。 |
| 6 | ServicePrincipal | 服务主体。 |
| 7 | CustomPolicy | 客户创建或托管策略。 |
| 8 | SystemPolicy | Microsoft托管策略或系统策略。 |
| 9 | PartnerTechnician | 代表客户租户工作的合作伙伴租户用户) 在 GDAP 方案中 (。 |
| 10 | Guest | 来宾或匿名用户。 |
注意
** 对于Microsoft Entra相关事件,管理员的值不在审核记录中使用。 管理员执行的活动的审核记录将指示常规用户 (例如 UserType: 0) 执行该活动。 UserID 属性将标识执行此活动 (普通用户或管理员) 的人员。
枚举:AuditLogScope - 类型:Edm.Int32
AuditLogScope
| 值 | 成员名称 | 说明 |
|---|---|---|
| 0 | Online | 此事件由托管的 O365 服务创建。 |
| 1 | Onprem | 此事件由本地服务器创建。 |
复杂类型 AppAccessContext
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| AADSessionId | Edm.String | 否 | 应用代表用户执行的 Entra 登录的 Microsoft Entra SessionId。 |
| APIId | Edm.String | 否 | 用于访问资源的 API 路径的 ID;例如,通过 Microsoft Graph API 访问。 |
| ClientAppId | Edm.String | 否 | 代表用户执行访问的Microsoft Entra应用的 ID。 |
| ClientAppName | Edm.String | 否 | 代表用户执行访问的Microsoft Entra应用的名称。 |
| CorrelationId | Edm.String | 否 | 可用于跨 Microsoft 365 服务关联特定用户操作的标识符。 |
| UniqueTokenId | Edm.String | 否 | 如果Microsoft Entra令牌可用于请求,则会设置 UniqueTokenId。 它是区分大小写的唯一每个令牌标识符。 |
| IssuedAtTime | Edm.Date | 否 | 如果Microsoft Entra令牌可用于请求,并且指示此Microsoft Entra令牌的身份验证发生时间,则会设置“颁发时间”。 |
SharePoint 基本架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| Site | Edm.Guid | 否 | 用户访问的文件或文件夹所在网站的 GUID。 |
| ItemType | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" | 否 | 访问或修改的对象类型。 有关对象类型的详细信息,请参阅 ItemType 表。 |
| EventSource | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" | 否 | 识别在 SharePoint 中发生的事件。 可能的值为 SharePoint 或 ObjectModel。 |
| SourceName | Edm.String | 否 | 触发已审核操作的实体。 可能的值为 SharePoint 或 ObjectModel。 |
| UserAgent | Edm.String | 否 | 有关用户客户端或浏览器的信息。 此信息由客户端或浏览器提供。 |
| MachineDomainInfo | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | 否 | 有关设备同步操作的信息。 只有在请求中存在该信息时才会报告该信息。 |
| MachineId | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | 否 | 有关设备同步操作的信息。 只有在请求中存在该信息时才会报告该信息。 |
| ListItemUniqueId | Edm.Guid | 否 | 列表的可识别项的唯一 GUID。 仅当此信息适用时,此信息才存在。 |
| ListID | Edm.Guid | 否 | 警报的 GUID。 仅当此信息适用时,此信息才存在。 |
| ApplicationId | Edm.String | 否 | 执行操作的应用程序的 ID。 |
| ApplicationDisplayName | Edm.String | 否 | 执行操作的应用程序的显示名称。 |
| IsWorkflow | Edm.Boolean | 否 | 如果 SharePoint 工作流触发了审核的事件,则设置为 True。 |
枚举:ItemType - 类型:Edm.Int32
ItemType
| 值 | 成员名称 | 说明 |
|---|---|---|
| 0 | Invalid | 项目不是其他项目类型(在此表中列出)。 |
| 1 | File | 项目为文件。 |
| 5 | Folder | 项目为文件夹。 |
| 6 | web | 该项是 Web。 |
| 7 | Site | 项目为网站。 |
| 8 | Tenant | 项目为租户。 |
| 9 | DocumentLibrary | 项目为文档库。 |
| 11 | Page | 项目为页面。 |
枚举:EventSource - 类型:Edm.Int32
EventSource
| 值 | 成员名称 | 说明 |
|---|---|---|
| 0 | SharePoint | 事件源是 SharePoint。 |
| 1 | ObjectModel | 事件源是 ObjectModel。 |
枚举:SharePointAuditOperation - 类型:Edm.Int32
| 成员名称 | 说明 |
|---|---|
| AccessInvitationAccepted | 邀请查看或编辑共享文件(或文件夹)的收件人已通过单击邀请中的链接访问共享文件。 |
| AccessInvitationCreated | 用户向其他人发出邀请(在其组织内部或外部)来查看或编辑 SharePoint 或 OneDrive for Business 网站上的共享文件或文件夹。 事件条目的详细信息标识共享文件的名称、接收邀请的用户以及发送邀请的人员所选择的共享权限的类型。 |
| AccessInvitationExpired | 向外部用户发送的邀请过期。 默认情况下,如果在 7 天内未接受邀请,那么发送给组织外部用户的邀请将过期。 |
| AccessInvitationRevoked | SharePoint 或 OneDrive for Business 中的网站管理员或网站或文档所有者撤回发送给组织外部用户的邀请。 邀请只有在被接受之前才能撤回。 |
| AccessInvitationUpdated | 在 SharePoint 或 OneDrive for Business 网站上创建并向其他人发送邀请以查看或编辑共享文件(或文件夹)的用户可以重新发送邀请。 |
| AccessRequestApproved | SharePoint 或 OneDrive for Business 中的网站管理员或网站或文档所有者批准用户访问网站或文档的请求。 |
| AccessRequestCreated | 用户请求访问 SharePoint 或 OneDrive for Business 中无权限访问的网站或文档。 |
| AccessRequestRejected | SharePoint 中的网站管理员或网站或文档所有者拒绝用户访问网站或文档的请求。 |
| ActivationEnabled | 用户可以对以下表单模板启用浏览器功能:不包含表单代码、要求完全信任、启用移动设备上的呈现功能或使用由服务器管理员管理的数据连接。 |
| AdministratorAddedToTermStore | 已添加术语库管理员。 |
| AdministratorDeletedFromTermStore | 已删除术语库管理员。 |
| AllowGroupCreationSet | 网站管理员或所有者向 SharePoint 或 OneDrive for Business 网站添加权限级别,允许分配该权限的用户为该网站创建组。 |
| AppCatalogCreated | 创建的应用程序目录为 SharePoint 环境提供自定义业务应用。 |
| AuditPolicyRemoved | 文档生命周期策略已在网站集中删除。 |
| AuditPolicyUpdate | 文档生命周期策略已在网站集中更新。 |
| AzureStreamingEnabledSet | 视频门户所有者允许来自 Azure 的视频流。 |
| CollaborationTypeModified | 网站(例如 intranet、extranet 或公共网站)上允许的协作类型已被修改。 |
| ConnectedSiteSettingModified | 用户已创建、修改或删除项目与项目网站之间的链接,或者用户修改 Project Web 应用中链接上的同步设置。 |
| CreateSSOApplication | 在 Secure Store Service 中创建的目标应用程序。 |
| CustomFieldOrLookupTableCreated | 用户在 Project Web 应用中创建自定义字段或查阅表/项。 |
| CustomFieldOrLookupTableDeleted | 用户在 Project Web 应用中删除了自定义字段或查阅表/项。 |
| CustomFieldOrLookupTableModified | 用户在 Project Web 应用中修改了自定义字段或查阅表/项。 |
| CustomizeExemptUsers | 全局管理员自定义 SharePoint 管理中心的豁免用户代理列表。 你可以指定免于接收要索引的整个网页的用户代理。 这意味着,当指定为豁免的用户代理遇到 InfoPath 表单时,该表单将作为 XML 文件而不是整个网页返回。 这可以加速对 InfoPath 表单编制索引。 |
| DefaultLanguageChangedInTermStore* | 术语库中的语言设置发生更改。 |
| DelegateModified | 用户在 Project Web 应用中创建或修改了安全委托。 |
| DelegateRemoved | 用户在 Project Web 应用中删除了安全委托。 |
| DeleteSSOApplication | 删除了 SSO 应用程序。 |
| eDiscoveryHoldApplied | 就地保留置于内容源上。 通过使用 SharePoint 中的电子数据展示网站集(比如电子数据展示中心)来管理就地保存。 |
| eDiscoveryHoldRemoved | 从内容源中删除就地保留。 通过使用 SharePoint 中的电子数据展示网站集(比如电子数据展示中心)来管理就地保存。 |
| eDiscoverySearchPerformed | 在 SharePoint 中使用电子数据展示网站集执行电子数据展示搜索。 |
| EngagementAccepted | 用户接受 Project Web 应用中的资源预订。 |
| EngagementModified | 用户修改 Project Web 应用中的资源预订。 |
| EngagementRejected | 用户拒绝 Project Web 应用中的资源预订。 |
| EnterpriseCalendarModified | 用户在 Project Web 应用中复制、修改或删除企业日历。 |
| EntityDeleted | 用户在 Project Web 应用中删除时间表。 |
| EntityForceCheckedIn | 用户在 Project Web 应用中强制检查日历、自定义字段或查阅表格。 |
| ExemptUserAgentSet | 全局管理员向 SharePoint 管理中心的豁免用户代理列表添加用户代理。 |
| FileAccessed | 用户或系统帐户访问 SharePoint 或 OneDrive for Business 网站上的文件。 系统帐户还可以生成 FileAccessed 事件。 |
| FileCheckOutDiscarded | 用户放弃(或撤销)签出的文件。 这意味着他们在签出文件时对文件所做的任何更改都将被放弃,而不会保存到文档库中的文档版本中。 |
| FileCheckedIn | 用户签入在 SharePoint 或 OneDrive for Business 文档库中签出的文档。 |
| FileCheckedOut | 用户签出位于 SharePoint 或 OneDrive for Business 文档库的文档。 用户可以对与其共享的文档执行签出和更改操作。 |
| FileCopied | 用户从 SharePoint 或 OneDrive for Business 网站复制文档。 可以将复制的文件保存到网站上的另一个文件夹。 |
| FileDeleted | 用户从 SharePoint 或 OneDrive for Business 网站删除文档。 |
| FileDeletedFirstStageRecycleBin | 用户从 SharePoint 或 OneDrive for Business 网站上的回收站删除文件。 |
| FileDeletedSecondStageRecycleBin | 用户从 SharePoint 或 OneDrive for Business 网站上的第二阶段回收站删除文件。 |
| FileDownloaded | 用户从 SharePoint 或 OneDrive for Business 网站下载文档。 |
| FileFetched | 此事件已被 FileAccessed 事件取代,并且已弃用。 |
| FileModified | 用户或系统帐户修改位于 SharePoint 或 OneDrive for Business 网站上的文档内容或属性。 |
| FileMoved | 用户将文档从 SharePoint 或 OneDrive for Business 的当前位置移动到新位置。 |
| FilePreviewed | 用户在 SharePoint 或 OneDrive for Business 网站上预览文档。 |
| FileRecycled | 用户将文档移动到 SharePoint 或 OneDrive 回收站。 |
| FileRenamed | 用户在 SharePoint 或 OneDrive for Business 网站上重命名文档。 |
| FileRestored | 用户从 SharePoint 或 OneDrive for Business 网站的回收站中恢复文档。 |
| FileSyncDownloadedFull | 用户使用 OneDrive 同步应用 (OneDrive.exe) 从 SharePoint 文档库或 OneDrive for Business 将文件下载到计算机。 |
| FileSyncDownloadedPartial | 此事件已与旧的 OneDrive for Business 同步应用 (Groove.exe) 一起弃用。 |
| FileSyncUploadedFull | 用户使用 OneDrive 同步应用 (OneDrive.exe) 上传新文件或将更改上传到 SharePoint 文档库或 OneDrive for Business 中的文件。 |
| FileSyncUploadedPartial | 此事件已与旧的 OneDrive for Business 同步应用 (Groove.exe) 一起弃用。 |
| FileUploaded | 用户将文档上传到 SharePoint 或 OneDrive for Business 网站上的文件夹。 |
| FileViewed | 此事件已被 FileAccessed 事件取代,并且已弃用。 |
| FolderCopied | 用户将文件夹从 SharePoint 或 OneDrive for Business 网站复制到 SharePoint 或 OneDrive for Business 的其他位置。 |
| FolderCreated | 用户在 SharePoint 或 OneDrive for Business 网站上创建文件夹。 |
| FolderDeleted | 用户从 SharePoint 或 OneDrive for Business 网站删除文件夹。 |
| FolderDeletedFirstStageRecycleBin | 用户从 SharePoint 或 OneDrive for Business 网站上的回收站删除文件夹。 |
| FolderDeletedSecondStageRecycleBin | 用户从 SharePoint 或 OneDrive for Business 网站上的第二阶段回收站删除文件夹。 |
| FolderModified | 用户在 SharePoint 或 OneDrive for Business 网站上修改文件夹。 此事件包含文件夹元数据更改,如标签和属性。 |
| FolderMoved | 用户从 SharePoint 或 OneDrive for Business 网站移动文件夹。 |
| FolderRecycled | 用户将文件夹移动到 SharePoint 或 OneDrive 回收站。 |
| FolderRenamed | 用户在 SharePoint 或 OneDrive for Business 网站上重命名文件夹。 |
| FolderRestored | 用户从 SharePoint 或 OneDrive for Business 网站上的回收站恢复文件夹。 |
| GroupAdded | 网站管理员或所有者为 SharePoint 或 OneDrive for Business 网站创建组,或者执行导致创建组的任务。 例如,当用户首次创建共享文件的链接时,系统组会被添加到用户的 OneDrive for Business 网站中。 此事件也可以是用户使用编辑权限创建共享文件链接的结果。 |
| GroupRemoved | 用户从 SharePoint 或 OneDrive for Business 网站删除组。 |
| GroupUpdated | 网站管理员或所有者更改 SharePoint 或 OneDrive for Business 网站的组设置。 这可能包括更改组名、可以查看或编辑组成员身份的人员,以及成员身份请求的处理方式。 |
| LanguageAddedToTermStore | 向术语库中添加了语言。 |
| LanguageRemovedFromTermStore | 从术语库中删除了语言。 |
| LegacyWorkflowEnabledSet | 网站管理员或所有者向网站添加 SharePoint 工作流任务内容类型。 全局管理员还可以在 SharePoint 管理中心中对整个组织启用工作流。 |
| LookAndFeelModified | 用户修改快速启动、甘特图格式或组格式。 或者,用户在 Project Web 应用中创建、修改或删除视图。 |
| ManagedSyncClientAllowed | 用户成功建立与 SharePoint 或 OneDrive for Business 网站的同步关系。 同步关系之所以成功,是因为用户计算机是添加到域列表(称为“安全收件人列表”)的域成员,可以访问组织中的文档库。 有关详细信息,请参阅使用 SharePoint Online PowerShell 为安全收件人列表中的域启用OneDrive 同步。 |
| MaxQuotaModified | 修改了网站的最大限额。 |
| MaxResourceUsageModified | 修改了网站所允许的最大资源使用量。 |
| MySitePublicEnabledSet | SharePoint 管理员设置了使用户拥有公共 MySites 的标志。 |
| NewsFeedEnabledSet | 网站管理员或所有者启用 SharePoint 或 OneDrive for Business 网站的 RSS 源。 全局管理员可以在 SharePoint 管理中心中对整个组织启用 RSS 源。 |
| ODBNextUXSettings | 已启用 OneDrive for Business 的新 UI。 |
| OfficeOnDemandSet | 网站管理员启用 Office on Demand,允许用户访问最新版本的 Office 桌面应用程序。 SharePoint 管理中心启用了 Office on Demand,并需要包括全套已安装的 Office 应用程序的 Office 365 订阅。 |
| PageViewed | 用户在 SharePoint 网站或 OneDrive for Business 网站上查看页面。 这不包括在浏览器上从 SharePoint 网站或 One Drive for Business 网站查看文档库文件。 |
| PeopleResultsScopeSet | 网站管理员创建或更改 SharePoint 网站人员搜索的结果来源。 |
| PermissionSyncSettingModified | 用户修改 Project Web 应用中的项目权限同步设置。 |
| PermissionTemplateModified | 用户在 Project Web 应用中创建、修改或删除权限模板。 |
| PortfolioDataAccessed | 用户在 Project Web 应用中访问项目组合内容 (驱动程序库、驱动程序优先级、项目组合分析) 。 |
| PortfolioDataModified | 用户在 Project Web 应用中创建、修改或删除项目组合数据 (驱动程序库、驱动程序优先级、项目组合分析) 。 |
| PreviewModeEnabledSet | 网站管理员启用 SharePoint 网站的文档预览。 |
| ProjectAccessed | 用户访问 Project Web 应用中的项目内容。 |
| ProjectCheckedIn | 用户签入他们从 Project Web 应用签出的项目。 |
| ProjectCheckedOut | 用户签出位于 Project Web 应用中的项目。 用户可以签出他们有权打开的项目并对其进行更改。 |
| ProjectCreated | 用户在 Project Web 应用中创建项目。 |
| ProjectDeleted | 用户删除 Project Web 应用中的项目。 |
| ProjectForceCheckedIn | 用户在 Project Web 应用中强制检查项目。 |
| ProjectModified | 用户在 Project Web 应用中修改项目。 |
| ProjectPublished | 用户在 Project Web 应用中发布项目。 |
| ProjectWorkflowRestarted | 用户在 Project Web 应用中重启工作流。 |
| PWASettingsAccessed | 用户通过 CSOM 访问 Project Web 应用设置。 |
| PWASettingsModified | 用户修改 Project Web 应用配置。 |
| QueueJobStateModified | 用户取消或重启 Project Web 应用中的队列作业。 |
| QuotaWarningEnabledModified | 修改了存储配额警告。 |
| RenderingEnabled | 启用浏览器功能的表单模板将由 InfoPath Forms Services 呈现。 |
| ReportingAccessed | 用户访问了 Project Web 应用中的报告终结点。 |
| ReportingSettingModified | 用户修改 Project Web 应用中的报告配置。 |
| ResourceAccessed | 用户访问 Project Web 应用中的企业资源内容。 |
| ResourceCheckedIn | 用户签入从 Project Web 应用签出的企业资源。 |
| ResourceCheckedOut | 用户签出位于 Project Web 应用中的企业资源。 |
| ResourceCreated | 用户在 Project Web 应用中创建企业资源。 |
| ResourceDeleted | 用户删除 Project Web 应用中的企业资源。 |
| ResourceForceCheckedIn | 用户在 Project Web 应用中强制签入企业资源。 |
| ResourceModified | 用户在 Project Web 应用中修改企业资源。 |
| ResourcePlanCheckedInOrOut | 用户在 Project Web 应用中签入或签出资源计划。 |
| ResourcePlanModified | 用户在 Project Web 应用中修改资源计划。 |
| ResourcePlanPublished | 用户在 Project Web 应用中发布资源计划。 |
| ResourceRedacted | 用户编辑企业资源,删除 Project Web 应用中的所有个人信息。 |
| ResourceWarningEnabledModified | 修改了资源配额警告。 |
| SSOGroupCredentialsSet | 在 Secure Store Service 中设置了组凭据。 |
| SSOUserCredentialsSet | 在 Secure Store Service 中设置了用户凭据。 |
| SearchCenterUrlSet | 设置了搜索中心 URL。 |
| SecondaryMySiteOwnerSet | 用户向其 MySite 添加了第二所有者。 |
| SecurityCategoryModified | 用户在 Project Web 应用中创建、修改或删除安全类别。 |
| SecurityGroupModified | 用户在 Project Web 应用中创建、修改或删除安全组。 |
| SendToConnectionAdded | 全局管理员在 SharePoint 管理中心中的“记录管理”页上创建新“发送至”连接。 “发送至”连接指定文档存储库或记录中心设置。 创建“收件人”连接时,内容管理器可以将文档提交到指定位置。 |
| SendToConnectionRemoved | 全局管理员在 SharePoint 管理中心的“记录管理”页上删除“发送至”连接。 |
| SharedLinkCreated | 用户在 SharePoint 或 OneDrive for Business 中创建共享文件的链接。 此链接可以发送给其他人,以便授予其对文件的访问权限。 用户可创建两个类型的链接:允许用户查看和编辑共享文件的链接,或仅允许用户查看文件的链接。 |
| SharedLinkDisabled | 用户禁用(永久)为共享文件而创建的链接。 |
| SharingInvitationAccepted* | 用户接受共享文件或文件夹的邀请。 当用户与其他用户共享文件时,将记录此事件。 |
| SharingRevoked | 用户取消共享之前与其他用户共享的文件或文件夹。 当用户停止与其他用户共享文件时,将记录此事件。 |
| SharingSet | 用户与组织内的其他用户共享位于 SharePoint 或 OneDrive for Business 中的文件或文件夹。 |
| SiteAdminChangeRequest | 用户请求添加为 SharePoint 网站集的网站集管理员。 网站集管理员具有网站集和所有子网站的完全控制权限。 |
| SiteCollectionAdminAdded* | 网站集管理员或所有者添加人员,作为 SharePoint 或 OneDrive for Business 网站的网站集管理员。 网站集管理员具有网站集和所有子网站的完全控制权限。 |
| SiteCollectionCreated | 全局管理员在 SharePoint 组织中创建新的网站集。 |
| SiteRenamed | 网站管理员或所有者重命名 SharePoint 或 OneDrive for Business 网站 |
| StatusReportModified | 用户在 Project Web 应用中创建、修改或删除状态报表。 |
| SyncGetChanges | 用户在 SharePoint 或 OneDrive for Business 的操作任务栏中单击“同步”,以便将对文档库中的文件所做的任何更改都同步到他们的计算机。 |
| SyntexBillingSubscriptionSettingsChanged | Syntex 计费订阅设置已更改。 Syntex 试用版过期时会触发此事件。 |
| TaskStatusAccessed | 用户访问 Project Web 应用中的一个或多个任务的状态。 |
| TaskStatusApproved | 用户批准 Project Web 应用中一个或多个任务的状态更新。 |
| TaskStatusRejected | 用户拒绝 Project Web 应用中一个或多个任务的状态更新。 |
| TaskStatusSaved | 用户在 Project Web 应用中保存一个或多个任务的状态更新。 |
| TaskStatusSubmitted | 用户在 Project Web 应用中提交一个或多个任务的状态更新。 |
| TimesheetAccessed | 用户访问 Project Web 应用中的时间表。 |
| TimesheetApproved | 用户在 Project Web 应用中批准时间表。 |
| TimesheetRejected | 用户拒绝 Project Web 应用中的时间表。 |
| TimesheetSaved | 用户在 Project Web 应用中保存时间表。 |
| TimesheetSubmitted | 用户在 Project Web 应用中提交状态时间表。 |
| UnmanagedSyncClientBlocked | 用户尝试从不是组织域成员或者是尚未添加到可访问组织文档库的域列表(称为“安全收件人列表”)的域成员的计算机与 SharePoint 或 OneDrive for Business 网站建立同步关系。 不允许同步关系,并阻止用户计算机在文档库上同步、下载或上传文件。 有关此功能的信息,请参阅使用 Windows PowerShell cmdlet 为安全收件人列表中的域启用 OneDrive 同步。 |
| UpdateSSOApplication | Secure Store Service 中更新了目标应用程序。 |
| UserAddedToGroup | 网站管理员或所有者向 SharePoint 或 OneDrive for Business 网站上的组添加人员。 向组添加人员授予用户已分配给组的权限。 |
| UserRemovedFromGroup | 网站管理员或所有者从 SharePoint 或 OneDrive for Business 网站上的组删除人员。 删除该人员后,不再向其授予已分配给组的权限。 |
| WorkflowModified | 用户在 Project Web 应用中创建、修改或删除企业项目类型或工作流阶段。 |
SharePoint 文件操作
在在合规中心内搜索审核日志的“文件和文件夹活动”部分列出的与文件相关的 SharePoint 事件使用此架构。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| SiteUrl | Edm.String | 是 | 用户访问的文件或文件夹所在网站的 URL。 |
| SourceRelativeUrl | Edm.String | 否 | 包含用户访问文件的文件夹的 URL。 SiteURL、SourceRelativeURL 和 SourceFileName 参数的值的组合与 ObjectID 属性的值相同,ObjectID 属性是用户访问的文件的完整路径名称。 |
| SourceFileName | Edm.String | 是 | 用户访问的文件或文件夹名称。 |
| SourceFileExtension | Edm.String | 否 | 用户访问的文件的文件扩展名。 如果访问对象是一个文件夹,则此属性为空。 |
| DestinationRelativeUrl | Edm.String | 否 | 在其中复制或移动文件的目标文件夹的 URL。 SiteURL、DestinationRelativeURL 和 DestinationFileName 参数的值的组合与 ObjectID 属性的值相同,ObjectID 属性是复制的文件的完整路径名称。 此属性仅对 FileCopied 和 FileMoved 事件显示。 |
| DestinationFileName | Edm.String | 否 | 复制或移动的文件的名称。 此属性仅对 FileCopied 和 FileMoved 事件显示。 |
| DestinationFileExtension | Edm.String | 否 | 复制或移动的文件的文件扩展名。 此属性仅对 FileCopied 和 FileMoved 事件显示。 |
| UserSharedWith | Edm.String | 否 | 与之共享资源的用户。 |
| SharingType | Edm.String | 否 | 分配给与之共享资源的用户的共享权限的类型。 此用户由 UserSharedWith 参数标识。 |
| SourceLabel | Edm.String | 否 | 由用户操作更改文件之前的文件的原始标签。 |
| DestinationLabel | Edm.String | 否 | 由用户操作更改后的文件的最终标签。 |
| SensitivityLabelOwnerEmail | Edm.String | 否 | 敏感度标签所有者的电子邮件地址。 |
| SensitivityLabelId | Edm.String | 否 | 文件的当前敏感度标签 ID。 |
SharePoint 列表操作
在合规中心中搜索审核日志中的“SharePoint 列表活动”节中列出的 SharePoint 列表和列表项相关事件使用此架构。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| ListTitle | Edm.String | 否 | SharePoint 列表的标题。 |
| ListName | Edm.String | 否 | SharePoint 列表的名称。 |
| ListUrl | Edm.String | 否 | 列表相对于包含网站的 URL。 |
| ListBaseType | Edm.String | 否 | 指定列表的基本类型。 |
| ListBaseTemplateType | Edm.String | 否 | 列表所基于的列表定义类型。 |
| IsHiddenList | Edm.Boolean | 否 | 如果 SharePoint 列表已隐藏,则此值设置为 True。 |
| IsDocLib | Edm.Boolean | 否 | 如果 SharePoint 列表属于“文档库”类型,则此值设置为 True。 |
SharePoint 共享架构
与文件共享相关的 SharePoint 事件。 它们不同于与文件和文件夹相关的事件,因为用户正在执行对另一个用户有一定影响的操作。 有关 SharePoint 共享架构信息,请参阅在审核日志中使用共享审核。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| TargetUserOrGroupName | Edm.String | 否 | 存储与之共享资源的目标用户或组的 UPN 或名称。 |
| TargetUserOrGroupType | Edm.String | 否 | 标识目标用户或组是成员、来宾、组还是合作伙伴。 |
| EventData | XML 代码 | 否 | 传达有关已发生的共享操作的后续信息,例如向组中添加用户或授予编辑权限。 |
| SiteUrl | Edm.String | 否 | 用户访问的文件或文件夹所在网站的 URL。 |
| SourceRelativeUrl | Edm.String | 否 | 包含用户访问文件的文件夹的 URL。 SiteURL、SourceRelativeURL 和 SourceFileName 参数的值的组合与 ObjectID 属性的值相同,ObjectID 属性是用户访问的文件的完整路径名称。 |
| SourceFileName | Edm.String | 否 | 用户访问的文件或文件夹名称。 |
| SourceFileExtension | Edm.String | 否 | 用户访问的文件的文件扩展名。 如果访问对象是一个文件夹,则此属性为空。 |
| UniqueSharingId | Edm.String | 否 | 与共享操作关联的唯一共享 ID。 |
SharePoint 架构
在在合规中心内搜索审核日志中列出的 SharePoint 事件(除了文件和文件夹事件)使用此架构。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| CustomEvent | Edm.String | 否 | 自定义事件的可选字符串。 |
| EventData | Edm.String | 否 | 自定义事件的可选负载。 |
| ModifiedProperties | Collection(ModifiedProperty) | 否 | 属性包含在管理员事件中,例如将用户添加为网站或网站集管理组的成员。 该属性包括已修改属性的名称(例如,Site Admin 组)、已修改属性的新值(例如添加为网站管理员的用户)和已修改对象的先前值。 |
Project 架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| Entity | Edm.String | 是 | 审核针对的 ProjectEntity。 |
| Action | Edm.String | 是 | 采取的 ProjectAction。 |
| OnBehalfOfResId | Edm.Guid | 否 | 代表其执行操作的资源 ID。 |
枚举:Project Action - 类型:Edm.Int32
Project 操作
| 成员名称 | 说明 |
|---|---|
| Accepted | 用户接受事件或工作流。 |
| Accessed | 用户访问实体。 |
| Activated | 用户激活实体、事件或工作流。 |
| Cancelled | 用户取消事件或工作流。 |
| CheckedIn | 用户签入实体。 |
| CheckedOut | 用户签出实体。 |
| Copied | 用户复制实体。 |
| Created | 用户创建实体。 |
| Deactivated | 用户停用实体。 |
| Deleted | 用户删除实体。 |
| Exported | 用户导出实体。 |
| ForceCheckedIn | 用户强制签入实体。 |
| Modified | 用户修改实体。 |
| Published | 用户发布实体。 |
| Redacted | 用户编辑实体。 |
| Rejected | 用户拒绝实体。 |
| Restarted | 用户重启事件或工作流。 |
| Saved | 用户保留实体。 |
| Sent | 用户发送实体。 |
| Submitted | 用户提交进行审阅的实体或工作流。 |
枚举:Project Entity - 类型:Edm.Int32
Project 实体
| 成员名称 | 说明 |
|---|---|
| CustomField | 表示企业自定义域。 |
| Driver | 表示项目组合驱动程序。 |
| DriverPrioritization | 表示项目组合优先顺序。 |
| Engagement | 表示资源预订。 |
| EnterpriseCalendar | 表示企业资源日历。 |
| EnterpriseProjectType | 表示企业项目类型。 |
| FiscalPeriod | 表示会计期间。 |
| GanttChartFormat | 表示甘特图格式。 |
| GroupingFormat | 表示视图分组格式。 |
| LineClassification | 表示时间表行分类。 |
| LookupTable | 表示企业版查找表。 |
| PermissionTemplate | 表示安全权限模板。 |
| PortfolioAnalysis | 表示项目组合分析。 |
| Project | 表示一个项目。 |
| QueueJob | 表示队列作业。 |
| QuickLaunch | 表示快速启动项。 |
| Reporting | 表示报告终结点。 |
| Resource | 表示企业资源。 |
| ResourcePlan | 表示与项目关联的资源计划。 |
| SecurityCategory | 表示安全类别。 |
| SecurityGroup | 表示安全组。 |
| Setting | 表示 Project Web 应用设置 |
| Statusing | 表示任务状态更新。 |
| StatusReport | 表示状态报告。 |
| TimeReportingPeriod | 表示时间表的一段时间 |
| Timesheet | 表示时间表实体。 |
| TimesheetAuditLog | 表示时间表审核日志。 |
| TimesheetManager | 表示时间表管理员。 |
| UserDelegate | 表示其他用户的用户委派。 |
| View | 表示视图定义。 |
| WorkflowPhase | 表示工作流中的阶段。 |
| WorkflowStage | 表示工作流中的阶段。 |
Exchange 管理员架构
| 参数 | 类型 | 强制 | 说明 |
|---|---|---|---|
| ModifiedObjectResolvedName | Edm.String | 否 | 这是通过 cmdlet 修改的对象的用户友好名称。 只有当 cmdlet 修改对象时才会记录此参数。 |
| 参数 | Collection(Common.NameValuePair) | 否 | 与 Operations 属性中标识的 cmdlet 结合使用的所有参数的名称和值。 |
| ModifiedProperties | Collection(Common.ModifiedProperty) | 否 | 该属性包含在管理员事件中。 该属性包括已修改属性的名称、已修改属性的新值和已修改对象的先前值。 |
| ExternalAccess | Edm.Boolean | 是 | 指定 cmdlet 是由组织中的用户、Microsoft 数据中心人员或数据中心服务帐户,还是由委托的管理员运行。 值 False 表示 cmdlet 由组织中的某人运行。 值 True 表示 cmdlet 由数据中心人员、数据中心服务帐户或委托的管理员运行。 |
| OriginatingServer | Edm.String | 否 | 从中执行 cmdlet 的服务器的名称。 |
| OrganizationName | Edm.String | 否 | 租户名称。 |
Exchange 邮箱架构
| 参数 | 类型 | 强制 | 说明 |
|---|---|---|---|
| LogonType | Self.LogonType | 否 | 指示访问邮箱并执行已记录操作的用户类型。 |
| InternalLogonType | Self.LogonType | 否 | 仅供内部使用。 |
| MailboxGuid | Edm.String | 否 | 访问邮箱的 Exchange GUID。 |
| MailboxOwnerUPN | Edm.String | 否 | 拥有已访问邮箱的人员的电子邮件地址。 |
| MailboxOwnerSid | Edm.String | 否 | 邮箱所有者的 SID。 |
| MailboxOwnerMasterAccountSid | Edm.String | 否 | 邮箱所有者帐户的主帐户 SID。 |
| LogonUserSid | Edm.String | 否 | 执行操作的用户的 SID。 |
| LogonUserDisplayName | Edm.String | 否 | 执行操作的用户的用户友好名称。 |
| ExternalAccess | Edm.Boolean | 是 | 如果登录用户的域与邮箱所有者的域不同,则为 true。 |
| OriginatingServer | Edm.String | 否 | 这是操作的源位置。 |
| OrganizationName | Edm.String | 否 | 租户名称。 |
| ClientInfoString | Edm.String | 否 | 有关用于执行此操作的电子邮件客户端的信息,如浏览器版本、Outlook 版本和移动设备信息。 |
| ClientIPAddress | Edm.String | 否 | 记录操作时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 |
| ClientMachineName | Edm.String | 否 | 托管 Outlook 客户端的计算机名称。 |
| ClientProcessName | Edm.String | 否 | 用于访问邮箱的电子邮件客户端。 |
| ClientVersion | Edm.String | 否 | 电子邮件客户端版本。 |
枚举:LogonType - 类型:Edm.Int32
LogonType
| 值 | 成员名称 | 说明 |
|---|---|---|
| 0 | Owner | 邮箱所有者。 |
| 1 | Admin | 对某人的邮箱具有管理权限的人员。 |
| 2 | Delegated | 对某人的邮箱具有委派权限的人员。 |
| 3 | Transport | Microsoft 数据中心的传输服务。 |
| 4 | SystemService | 中Microsoft 数据中心的服务帐户 |
| 5 | BestAccess | 仅供内部使用。 |
| 6 | DelegatedAdmin | 委派的管理员。 |
ExchangeMailboxAuditGroupRecord 架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| Folder | Self.ExchangeFolder | 否 | 一组项目的所在文件夹。 |
| CrossMailboxOperations | Edm.Boolean | 否 | 指示操作是否涉及多个邮箱。 |
| DestMailboxId | Edm.Guid | 否 | 仅当 CrossMailboxOperations 参数为 True 时设置。 指定目标邮箱的 GUID。 |
| DestMailboxOwnerUPN | Edm.String | 否 | 仅当 CrossMailboxOperations 参数为 True 时设置。 指定目标邮箱所有者的 UPN。 |
| DestMailboxOwnerSid | Edm.String | 否 | 仅当 CrossMailboxOperations 参数为 True 时设置。 指定目标邮箱的 SID。 |
| DestMailboxOwnerMasterAccountSid | Edm.String | 否 | 仅当 CrossMailboxOperations 参数为 True 时设置。 指定对目标邮箱所有者主帐户 SID 的 SID。 |
| DestFolder | Self.ExchangeFolder | 否 | 用于移动等操作的目标文件夹。 |
| Folders | Collection(Self.ExchangeFolder) | 否 | 涉及操作的源文件夹信息;例如,如果选择文件夹然后删除。 |
| AffectedItems | Collection(Self.ExchangeItem) | 否 | 有关组中每个项目的信息。 |
ExchangeMailboxAuditRecord 架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| Item | Self.ExchangeItem | 否 | 表示在对其执行操作的项 |
| ModifiedProperties | Collection(Edm.String) | 否 | 待定 |
| SendAsUserSmtp | Edm.String | 否 | 所模拟的用户的 SMTP 地址。 |
| SendAsUserMailboxGuid | Edm.Guid | 否 | 所访问的用于发送邮件的邮箱的 Exchange GUID。 |
| SendOnBehalfOfUserSmtp | Edm.String | 否 | 代表其发送电子邮件的用户的 SMTP 地址。 |
| SendOnBehalfOfUserMailboxGuid | Edm.Guid | 否 | 所访问的代表发送邮件的邮箱的 Exchange GUID。 |
ExchangeItem 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| Id | Edm.String | 是 | 存储 ID。 |
| Subject | Edm.String | 否 | 访问的邮件的主题行。 |
| ParentFolder | Edm.ExchangeFolder | 否 | 项目所在的文件夹名称。 |
| Attachments | Edm.String | 否 | 附加到邮件中的所有项的名称和文件大小列表。 |
ExchangeFolder 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| Id | Edm.String | 是 | 文件夹对象的存储 ID。 |
| Path | Edm.String | 否 | 访问的邮件所在的邮箱文件夹的名称。 |
OWA 身份验证架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| UniqueTokenIdentifier | Edm.String | 否 | 资源的唯一标识符。 |
| ResourceURL | Edm.String | 否 | 资源 URL。 |
Azure Active Directory 基本架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| AzureActiveDirectoryEventType | Self.AzureActiveDirectoryEventType | 是 | Microsoft Entra 事件的类型。 |
| ExtendedProperties | Collection(Common.NameValuePair) | 否 | Microsoft Entra 事件的扩展属性。 |
| ModifiedProperties | Collection(Common.ModifiedProperty) | 否 | 该属性包含在管理员事件中。 该属性包括已修改属性的名称、已修改属性的新值和已修改属性的先前值。 |
枚举:AzureActiveDirectoryEventType - 类型 - Edm.Int32
AzureActiveDirectoryEventType
| 成员名称 | 说明 |
|---|---|
| AccountLogon | 帐户登录事件。 |
| AzureApplicationAuditEvent | Azure 应用程序安全事件。 |
Azure Active Directory 帐户登录架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| Application | Edm.String | 否 | 触发帐户登录活动的应用程序,如 Office 15。 |
| Client | Edm.String | 否 | 有关客户端设备、设备 OS 和用于帐户登录事件的设备浏览器的详细信息。 |
| LoginStatus | Edm.Int32 | 是 | 此属性直接来自 OrgIdLogon.LoginStatus。 各种有趣的登录失败映射可以通过警报算法来完成。 |
| UserDomain | Edm.String | 是 | 租户标识信息 (TII)。 |
枚举:CredentialType - 类型:Edm.Int32
| 值 | 成员名称 | 说明 |
|---|---|---|
| -1 | Other | 其他身份验证。 |
| 0 | Password | 用户凭据是用户名和密码。 |
| 1 | MobilePhone | 用户凭据是移动电话。 |
| 2 | SecretQuestion | 用户凭据是机密问题。 |
| 3 | SecurePin | 用户凭据是安全 PIN。 |
| 4 | SecurePinReset | 用户凭据是安全 PIN 重置。 |
| 11 | EasyID | 用户凭据是 EasyID。 |
| 14 | PasswordIndexCredentialType | 用户凭据是 PasswordIndexCredentialType。 |
| 16 | Device | 用户凭据是设备。 |
| 17 | ForeignRealmIndex | 用户凭据是 ForeignRealmIndex。 |
枚举:LoginType - 类型:Edm.Int32
| 值 | 成员名称 | 说明 |
|---|---|---|
| -1 | Other | 其他 i 类型。 |
| 1 | InitialAuth | 使用初始身份验证登录 |
| 2 | CookieCopy | 使用 cookie 登录。 |
| 3 | SilentReAuth | 通过无提示重新身份验证登录。 |
枚举:AuthenticationMethod - 类型:Edm.Int32
| 值 | 成员名称 | 说明 |
|---|---|---|
| 0 | Min | 身份验证方法是 Min |
| 1 | Password | 身份验证方法是密码。 |
| 2 | Digest | 身份验证方法是摘要。 |
| 3 | ProxyAuth | 身份验证方法是 ProxyAuth。 |
| 4 | InfoCard | 身份验证方法是 InfoCard。 |
| 5 | DAToken | 身份验证方法是 DAToken。 |
| 6 | Sha1RememberMyPassword | 身份验证方法是 Sha1RememberMyPassword。 |
| 7 | LMPasswordHash | 身份验证方法是 LMPasswordHash。 |
| 8 | ADFSFederatedToken | 身份验证方法是 ADFSFederatedToken。 |
| 9 | EID | 身份验证方法是 EID。 |
| 10 | DeviceID | 身份验证方法是 DeviceID。 |
| 11 | MD5 | 身份验证方法是 MD5。 |
| 12 | EncProxyPasswordHash | 身份验证方法是 EncProxyPasswordHash。 |
| 13 | LWAFederation | 身份验证方法是 LWAFederation。 |
| 14 | Sha1HashedPassword | 身份验证方法是 Sha1HashedPassword。 |
| 15 | SecurePin | 身份验证方法是安全 Pin。 |
| 16 | SecurePinReset | 身份验证方法是安全 PIN 重置。 |
| 17 | SAML20PostSimpleSign | 身份验证方法是 SAML20PostSimpleSign。 |
| 18 | SAML20Post | 身份验证方法是 SAML20Post。 |
| 19 | OneTimeCode | 身份验证方法是一次性代码。 |
Azure Active Directory 架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| Actor | Collection(Self.IdentityTypeValuePair) | 否 | 执行操作的用户或服务主体。 |
| ActorContextId | Edm.String | 否 | 参与者所属组织的 GUID。 |
| ActorIpAddress | Edm.String | 否 | IPV4 或 IPV6 地址格式的参与者 IP 地址。 |
| InterSystemsId | Edm.String | 否 | 在 Office 365 服务的组件之间跟踪操作的 GUID。 |
| IntraSystemsId | Edm.String | 否 | Azure Active Directory 生成的用来跟踪操作的 GUID。 |
| SupportTicketId | Edm.String | 否 | 在“代表操作”情况下针对操作的客户支持票证 ID。 |
| Target | Collection(Self.IdentityTypeValuePair) | 否 | 对其执行操作(由 Operation 属性标识)的用户。 |
| TargetContextId | Edm.String | 否 | 目标用户所属组织的 GUID。 |
复杂类型 IdentityTypeValuePair
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| ID | Edm.String | 是 | 给定类型的标识值。 |
| Type | Self.IdentityType | 是 | 标识类型。 |
枚举:IdentityType - 类型:Edm.Int32
IdentityType
| 成员名称 | 说明 |
|---|---|
| Claim | 标识是用于授权目的的声明。 |
| Name | 审核操作参与者或目标标识显示名称。 |
| Other | 参与者标识是其他类型,例如由 Office 365 服务生成的 GUID 的 ObjectId。 |
| PUID | 审核操作参与者或目标 passport 唯一 ID (PUID)。 |
| SPN | 如果操作是由 Office 365 服务执行的,服务主体的身份。 |
| UPN | 用户主体名称。 |
Azure Active Directory 安全令牌服务 (STS) 登录架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| ApplicationId | Edm.String | 否 | 表示正在请求登录的应用程序的 GUID。 可以通过 Azure Active Directory Graph API 查找显示名称。 |
| Client | Edm.String | 否 | 客户端设备信息,由执行登录的浏览器提供。 |
| DeviceProperties | Collection(Common.NameValuePair) | 否 | 此属性包含各种设备详细信息,包括 ID、显示名称、操作系统、浏览器、IsCompliant、IsCompliantAndManaged、SessionId 和 DeviceTrustType。 DeviceTrustType 属性可具有以下值: 0 - 已注册Microsoft Entra 1 - 已加入Microsoft Entra 2 - 已加入混合Microsoft Entra |
| ErrorCode | Edm.String | 否 | 对于失败的登录("操作"属性的值为 UserLoginFailed),此属性包含 Azure Active Directory STS (AADSTS) 错误代码。 有关这些错误代码的说明,请参阅 身份验证和授权错误。 登录名 0 表示登录成功。 |
| LogonError | Edm.String | 否 | 对于登录失败,此属性包含用户可阅读的登录失败原因说明。 |
DLP 架构
DLP 事件适用于 Exchange Online、Endpoint (设备) 和 SharePoint Online 以及 OneDrive For Business。 请注意,Exchange 中的 DLP 事件仅适用于基于统一 DLP 策略的事件(例如通过安全与合规中心配置的事件)。 不支持基于 Exchange 传输规则的 DLP 事件。
在常见架构中,DLP(数据丢失防护)事件始终具有 UserKey=“DlpAgent”。 有三种类型的 DlpEvents,它们被存储为常见架构的 Operation 属性值:
DlpRuleMatch:表示匹配某个规则。 这些事件存在于所有 Exchange、Endpoint (设备) 和 SharePoint Online 和OneDrive for Business中。 对于 Exchange,它包含误报和重写信息。 对于 SharePoint Online 和 OneDrive for Business,误报和重写会生成单独事件。
DlpRuleUndo:仅存在于 SharePoint Online 和 OneDrive for Business 中,指示以前应用的策略操作已“撤销”,因为用户指定误报/重写,或者因为文件不再受策略的制约(由于策略更改或文档内容的更改)。
DlpInfo:仅存在于 SharePoint Online 和 OneDrive for Business 中,指示指定的误报,但没有“撤销”任何操作。
| 参数 | 类型 | 强制 | 说明 |
|---|---|---|---|
| SharePointMetaData | Self.SharePointMetadata | 否 | 说明 SharePoint 或 OneDrive for Business 中有关包含敏感信息的文档的元数据。 |
| ExchangeMetaData | Self.ExchangeMetadata | 否 | 介绍有关包含敏感信息的电子邮件的元数据。 |
| EndpointMetaData | 自我。EndpointMetadata | 否 | 描述包含敏感信息的终结点中有关文档的元数据 |
| ExceptionInfo | Edm.String | 否 | 确定策略不再适用的原因和/或最终用户指出的有关误报和/或重写的任何信息。 |
| PolicyDetails | Collection(Self.PolicyDetails) | 是 | 有关触发 DLP 事件的一个或多个策略的信息。 |
| SensitiveInfoDetectionIsIncluded | Boolean | 是 | 指示事件是否包含来自源内容的敏感数据类型和相关上下文的值。 访问敏感数据需要 Azure Active Directory 中的“读取包括敏感详细信息的 DLP 策略事件”权限。 |
SharePointMetadata 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| From | Edm.String | 是 | 触发事件的用户。 这将是 FileOwner、LastModifier 或 LastSharer。 |
| itemCreationTime | Edm.Date | 是 | 记录事件时的 UTC 日期时间戳。 |
| SiteCollectionGuid | Edm.Guid | 是 | 网站集的 GUID。 |
| SiteCollectionUrl | Edm.String | 是 | SharePoint 网站名称。 |
| FileName | Edm.String | 是 | 路径名称。 |
| FileOwner | Edm.String | 是 | 文档所有者。 |
| FilePathUrl | Edm.String | 是 | 文档的 URL |
| DocumentLastModifier | Edm.String | 是 | 上次修改文档的用户。 |
| DocumentSharer | Edm.String | 是 | 上次修改共享文档的用户。 |
| UniqueId | Edm.String | 是 | 标识文件的 guid。 |
| LastModifiedTime | Edm.DateTime | 是 | 上次修改文档时的 UTC 时间戳。 |
| IsViewableByExternalUsers | Edm.Boolean | 是 | 确定文件是否可供任何外部用户访问。 |
ExchangeMetadata 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| MessageID | Edm.String | 是 | 触发事件的电子邮件消息 ID。 |
| From | Edm.String | 是 | 发送电子邮件的用户。 |
| To | Collection(Edm.String) | 否 | 邮件“收件人”行上的电子邮件地址集合。 |
| CC | Collection(Edm.String) | 否 | 邮件“抄送”行上的电子邮件地址集合。 |
| BCC | Collection(Edm.String) | 否 | 邮件“密件抄送”行上的电子邮件地址集合。 |
| Subject | Edm.String | 是 | 电子邮件主题。 |
| 发件箱 | Edm.DateTime | 是 | 发送电子邮件时的 UTC 时间。 |
| RecipientCount | Edm.Int32 | 是 | 邮件“收件人”、“抄送”和“密件抄送”行上的所有收件人总数。 |
EndpointMetadata 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | 否 | 有关检测到的敏感信息类型的信息。 |
| EnforcementMode | Edm.String | 是 | 指示 DLP 规则是否设置为 1/2/3/4/5,描述审核/警告 (块,并分别) /警告和绕过/阻止/允许 (审核而不) 警报。 |
| FileExtension | Edm.String | 否 | 包含敏感信息的文档的文件扩展名。 |
| FileType | Edm.String | 否 | 包含敏感信息的文档的文件类型。 |
| DeviceName | Edm.String | 否 | 检测到 DLP 规则匹配的设备的名称。 |
PolicyDetails 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| PolicyId | Edm.Guid | 是 | 此事件 DLP 策略的 guid。 |
| PolicyName | Edm.String | 是 | 此事件 DLP 策略的友好名称。 |
| Rules | Collection(Self.Rules) | 是 | 关于策略中匹配此事件的规则的信息。 |
Rules 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| RuleId | Edm.Guid | 是 | 此事件 DLP 规则的 guid。 |
| RuleName | Edm.String | 是 | 此事件 DLP 规则的友好名称。 |
| Actions | Collection(Edm.String) | 否 | 由于 DLP RuleMatch 事件而采取的操作列表。 |
| OverriddenActions | Collection(Edm.String) | 否 | 先前采取的由于 DLPRuleUndo 事件而撤销的操作列表。 |
| Severity | Edm.String | 否 | 规则匹配的严重性(低、中和高)。 |
| RuleMode | Edm.String | 是 | 指示 DLP 规则是否设置为“强制使用”、“在通知情况下审核”或“仅审核”。 |
| ConditionsMatched | Self.ConditionsMatched | 否 | 关于此事件匹配规则条件的详细信息。 |
ConditionsMatched 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | 否 | 有关检测到的敏感信息类型的信息。 |
| DocumentProperties | Collection(NameValuePair) | 否 | 有关触发规则匹配的文档属性的信息。 |
| OtherConditions | Collection(NameValuePair) | 否 | 描述匹配的任何其他条件的键值对列表。 |
SensitiveInformation 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| Confidence | Edm.Int | 是 | 敏感信息类型的所有模式匹配聚合置信度。 |
| Count | Edm.Int | 是 | 检测到的敏感实例总数。 |
| 位置 | Edm.String | 否 | |
| SensitiveType | Edm.Guid | 是 | 识别检测到的敏感数据类型的 guid。 |
| SensitiveInformationDetections | Self.SensitiveInformationDetections | 否 | 包含具有以下详细信息的敏感信息数据的对象数组 - 匹配值和匹配值上下文。 |
| SensitiveInformationDetailedClassificationAttributes | Collection(SensitiveInformationDetailedConfidenceLevelResult) | 是 | 关于三个置信度级别(高、中和低)的每个级别上检测到的敏感信息类型计数信息,以及其是否匹配 DLP 规则 |
| SensitiveInformationTypeName | Edm.String | 否 | 敏感信息类型的名称。 |
| UniqueCount | Edm.Int32 | 是 | 检测到的敏感实例唯一计数。 |
SensitiveInformationDetailedClassificationAttributes complex type
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| Confidence | Edm.Int32 | 是 | 检测到的模式置信度水平。 |
| 计数 | Edm.Int32 | 是 | 特定置信度水平上检测到的敏感实例数量。 |
| IsMatch | Edm.Boolean | 是 | 指示检测到的敏感类型的给定计数和置信度水平是否导致 DLP 规则匹配。 |
SensitiveInformationDetections 复杂类型
只有已拥有“读取 DLP 敏感数据”权限的用户,才能通过活动源 API 访问 DLP 敏感数据。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| DetectedValues | Collection(Common.NameValuePair) | 是 | 检测到的敏感信息数组。 信息包含 Value = 匹配值的键值对 (例如。信用卡) 和 Context 的值 = 包含匹配值的源内容的摘录。 |
| ResultsTruncated | Edm.Boolean | 是 | 指示日志是否由于大量结果而被截断。 |
ExceptionInfo 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| Reason | Edm.String | 否 | 对于 DLPRuleUndo 事件,这说明了为什么规则不再适用,原因可能是以下 3 个中的一个:重写、文档更改或策略更改 |
| FalsePositive | Edm.Boolean | 否 | 指示用户是否将此事件指定为误报。 |
| Justification | Edm.String | 否 | 如果用户选择重写策略,则可以在此捕获任何用户指定的理由。 |
| Rules | Collection(Edm.Guid) | 否 | 每个指定为误报或重写的规则或未撤销操作的规则的 guid 集合。 |
安全与合规中心架构
| 参数 | 类型 | 强制 | 说明 |
|---|---|---|---|
| StartTime | Edm.Date | 否 | 执行 cmdlet 时的日期和时间。 |
| ClientRequestId | Edm.String | 否 | 可用于将此 cmdlet 与安全与合规中心 UX 操作关联起来的 GUID。 此信息仅供 Microsoft 支持部门使用。 |
| CmdletVersion | Edm.String | 否 | 执行 cmdlet 时的内部版本号。 |
| EffectiveOrganization | Edm.String | 否 | 受 cmdlet 影响的组织 GUID。 (弃用:此参数以后将停止显示。) |
| UserServicePlan | Edm.String | 否 | 分配给执行 cmdlet 的用户的 Exchange Online Protection 服务计划。 |
| ClientApplication | Edm.String | 否 | 如果 cmdlet 是由应用程序(而非远程 PowerShell)执行的,则此字段包含该应用程序的名称。 |
| 参数 | Edm.String | 否 | 与不包含个人身份信息的 cmdlet 结合使用的参数的名称和值。 |
| NonPiiParameters | Edm.String | 否 | 与包含个人身份信息的 cmdlet 结合使用的参数的名称和值。 (弃用:此字段将在以后停止显示,其内容将与 Parameters 字段合并。) |
安全与合规警报架构
警报信号包括:
- 基于安全与合规中心的警报策略生成的所有警报。
- 在 Office 365 云应用安全和 Microsoft Cloud App Security 中生成的 Office 365 相关警报。
这些事件的 UserId 和 UserKey 始终为 SecurityComplianceAlerts。 有三种类型的警报事件,它们被存储为常见架构的 Operation 属性值:
AlertTriggered:由于策略匹配而生成新警报。
AlertEntityGenerated:向警报添加新实体。 此事件仅适用于基于安全与合规中心的警报策略生成的警报。 每个生成的警报都可与一个或多个上述事件相关联。 例如,如果任何用户在 5 分钟内删除了超过 100 个文件,则定义警报策略以触发警报。 如果两个用户几乎同时超过阈值,则会有两个 AlertEntityGenerated 事件,但只有一个 AlertTriggered 事件。
AlertUpdated - 已对警报的元数据进行更新。 当警报的状态发生更改以及在有人向该警报添加评论时,将记录此事件(例如,从 “活动” 更改为 “已解决”)。
| 参数 | 类型 | 强制 | 说明 |
|---|---|---|---|
| AlertId | Edm.Guid | 是 | 警报的 GUID。 |
| AlertType | Self.String | 是 | 警报的类型。 警报类型包括:
|
| Name | Edm.String | 是 | 警报的名称。 |
| PolicyId | Edm.Guid | 否 | 触发了警报的策略的 GUID。 |
| Status | Edm.String | 否 | 警报的状态。 状态包括:
|
| Severity | Edm.String | 否 | 警报的严重性。 严重性级别包括:
|
| 类别 | Edm.String | 否 | 警报的类别。 类别包括:
|
| Source | Edm.String | 否 | 警报的来源。 来源包括:
|
| Comments | Edm.String | 否 | 查看过警报的用户留下的注释。 默认情况下为“新警报”。 |
| Data | Edm.String | 否 | 警报或警报实体的详细数据 blob。 |
| AlertEntityId | Edm.String | 否 | 警报实体的标识符。 此参数仅适用于 AlertEntityGenerated 事件。 |
| EntityType | Edm.String | 否 | 警报或警报实体的类型。 实体类型包括:
|
Yammer 架构
在在安全与合规中心搜索审核日志中列出的 Yammer 事件将使用此架构。
| 参数 | 类型 | 强制 | 说明 |
|---|---|---|---|
| ActorUserId | Edm.String | 否 | 执行操作的用户的电子邮件。 |
| ActorYammerUserId | Edm.Int64 | 否 | 执行操作的用户的 ID。 |
| DataExportType | Edm.String | 否 | 如果数据导出包括邮件、备注、文件、主题、用户和组,则返回“data”;如果数据导出仅包括用户,则返回“user”。 |
| FileId | Edm.Int64 | 否 | 操作中的文件 ID。 |
| FileName | Edm.String | 否 | 操作中的文件名称。 如果与操作不相关,将显示空白。 |
| GroupName | Edm.String | 否 | 操作中的组名称。 如果与操作不相关,将显示空白。 |
| IsSoftDelete | Edm.Boolean | 否 | 如果网络数据保留策略设置为“软删除”,返回“true”;如果网络数据保留策略设置为“硬删除”,则返回“false”。 |
| MessageId | Edm.Int64 | 否 | 操作中的消息 ID。 |
| YammerNetworkId | Edm.Int64 | 否 | 执行操作的用户的网络 ID。 |
| TargetUserId | Edm.String | 否 | 操作中的目标用户的电子邮件。 如果与操作不相关,将显示空白。 |
| TargetYammerUserId | Edm.Int64 | 否 | 操作中的目标用户的 ID。 |
| VersionId | Edm.Int64 | 否 | 操作中文件的版本 ID。 |
数据中心安全基本架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| DataCenterSecurityEventType | Self.DataCenterSecurityEventType | 是 | 锁定框中的 cmdlet 事件的类型。 |
枚举:DataCenterSecurityEventType - 类型:Edm.Int32
DataCenterSecurityEventType
| 成员名称 | 说明 |
|---|---|
| DataCenterSecurityCmdletAuditEvent | 这是 cmdlet 审核类型事件的枚举值。 |
数据中心安全 Cmdlet 架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| StartTime | Edm.Date | 是 | Cmdlet 执行的开始时间。 |
| EffectiveOrganization | Edm.String | 是 | 提升/cmdlet 面向的租户的名称。 |
| ElevationTime | Edm.Date | 是 | 提升的开始时间。 |
| ElevationApprover | Edm.String | 是 | Microsoft 管理员名称。 |
| ElevationApprovedTime | Edm.Date | 否 | 批准提升的时间戳。 |
| ElevationRequestId | Edm.Guid | 是 | 提升请求的唯一标识符。 |
| ElevationRole | Edm.String | 否 | 为其请求提升的角色。 |
| ElevationDuration | Edm.Int32 | 是 | 提升处于活动状态的持续时间。 |
| GenericInfo | Edm.String | 否 | 用于注释和其他通用信息。 |
Microsoft Teams 架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| Action | Edm.String | 否 | 对于共享频道事件,是被邀请者或频道所有者为与团队邀请共享而采取的操作。 |
| AddOnGuid | Edm.Guid | 否 | 生成此事件的加载项的唯一标识符。 |
| AddOnName | Edm.String | 否 | 生成此事件的加载项名称。 |
| AddOnType | Self.AddOnType | 否 | 生成此事件的加载项类型。 |
| ChannelGuid | Edm.Guid | 否 | 审核中的频道的唯一标识符。 |
| ChannelName | Edm.String | 否 | 审核中的频道名称。 |
| ChannelType | Edm.String | 否 | 审核中的频道类型(标准/私有)。 |
| ExtraProperties | Collection(Self.KeyValuePair) | 否 | 额外属性的列表。 |
| HostedContents | Collection(Self.HostedContent) | 不支持 | 聊天或频道消息托管内容的集合。 |
| 被邀请者 | Edm.String | 否 | 对于共享频道事件,接受或拒绝与团队邀请共享邀请的被邀请者团队所有者的 UPN。 |
| Members | Collection(Self.MicrosoftTeamsMember) | 否 | 团队中的用户列表。 |
| MessageId | Edm.String | 否 | 聊天或频道消息的标识符。 |
| MessageURLs | Edm.String | 否 | 为在 Teams 邮件中发送的任何 URL 进行演示。 |
| 消息 | Collection(Self.Message) | 不支持 | 聊天或频道消息的集合。 |
| MessageSizeInBytes | Edm.Int64 | 否 | 使用 UTF-16 编码的聊天或频道消息的大小(以字节为单位)。 |
| 名称 | Edm.String | 否 | 仅用于设置事件。 已更改的设置的名称。 |
| NewValue | Edm.String | 否 | 仅用于设置事件。 设置的新值。 |
| OldValue | Edm.String | 否 | 仅用于设置事件。 设置的旧值。 |
| SubscriptionId | Edm.String | 否 | Microsoft Graph更改通知订阅的唯一标识符。 |
| TabType | Edm.String | 否 | 仅用于选项卡事件。 生成此事件的选项卡类型。 |
| TeamGuid | Edm.Guid | 否 | 审核中团队的唯一标识符。 |
| TeamName | Edm.String | 否 | 审核中的团队名称。 |
MicrosoftTeamsMember 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| UPN | Edm.String | 否 | 用户的用户主体名称。 |
| Role | Self.MemberRoleType | 否 | 团队中用户的角色。 |
| DisplayName | Edm.String | 否 | 用户的显示名称。 |
枚举:MemberRoleType - 类型:Edm.Int32
MemberRoleType
| 值 | 成员名称 | 说明 |
|---|---|---|
| 0 | Member | 属于团队成员的用户。 |
| 1 | Owner | 担任团队所有者的用户。 |
| 2 | Guest | 不属于团队成员的用户。 |
KeyValuePair 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| 键 | Edm.String | 否 | 键值对的键。 |
| 值 | Edm.String | 否 | 键值对的值。 |
枚举:AddOnType - 类型:Edm.Int32
AddOnType
| 值 | 成员名称 | 说明 |
|---|---|---|
| 1 | Bot | Microsoft Teams 机器人。 |
| 2 | Connector | Microsoft Teams 连接器。 |
| 3 | Tab | Microsoft Teams 选项卡。 |
HostedContent 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| Id | Edm.String | 是 | 邮件托管内容的唯一标识符。 |
| SizeInBytes | Edm.Int64 | 否 | 邮件托管的内容大小(以字节为单位)。 |
消息复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| AADGroupId | Edm.String | 否 | 消息所属的组Azure Active Directory的唯一标识符。 |
| Id | Edm.String | 是 | 聊天或频道消息的唯一标识符。 |
| ChannelGuid | Edm.String | 否 | 消息所属通道的唯一标识符。 |
| ChannelName | Edm.String | 否 | 消息所属的通道的名称。 |
| ChannelType | Edm.String | 否 | 消息所属的通道的类型。 |
| ChatName | Edm.String | 否 | 消息所属的聊天的名称。 |
| ChatThreadId | Edm.String | 否 | 消息所属聊天的唯一标识符。 |
| ParentMessageId | Edm.String | 否 | 父聊天或频道消息的唯一标识符。 |
| SizeInBytes | Edm.Int64 | 否 | 具有 UTF-16 编码的消息大小(以字节为单位)。 |
| TeamGuid | Edm.String | 否 | 消息所属团队的唯一标识符。 |
| TeamName | Edm.String | 否 | 消息所属的团队的名称。 |
| 版本 | Edm.String | 否 | 聊天或频道消息的版本。 |
Microsoft Defender for Office 365 和威胁调查与响应架构
Microsoft Defender for Office 365 和威胁调查与响应事件适用于拥有 Defender for Office 365 计划 1、Defender for Office 365 计划 2 或 E5 订阅的 Office 365 客户。 Defender for Office 365 源中的每个事件都与确定包含威胁的以下事件相对应:
由组织中的用户发送或接收电子邮件,同时对送达的邮件进行检测,并从零时差自动清除检测邮件。
组织中的用户单击 URL,基于 Defender for Office 365 中的安全链接保护被检测为恶意。
SharePoint Online、OneDrive for Business 或 Microsoft Teams 中的文件由 Microsoft Defender for Office 365 保护检测为“恶意”。
触发并启动自动调查的警报。
注意
Microsoft Defender for Office 365 和 Office 365 威胁调查和响应(以前称为 Office 365 威胁智能)功能现在是 Defender for Office 365 计划 2 的一部分,具有附加的威胁保护功能。 若要了解详细信息,请参阅 Microsoft Defender for Office 365 计划和定价以及 Defender for Office 365 服务说明。
电子邮件事件
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| AttachmentData | Collection(Self.AttachmentData) | 否 | 有关触发事件的电子邮件中附件的数据。 |
| DetectionType | Edm.String | 是 | 检测类型(例如,“Inline” - 在传递时检测到;“Delayed” - 在传递后检测到;“ZAP” - 消息由零时差自动清除删除)。 使用 ZAP 检测类型的事件通常前面是“Delayed”检测类型的邮件。 |
| DetectionMethod | Edm.String | 是 | Defender for Office 365 用于检测的方法或技术。 |
| InternetMessageId | Edm.String | 是 | Internet 邮件 ID。 |
| NetworkMessageId | Edm.String | 是 | Exchange Online 网络消息 ID。 |
| P1Sender | Edm.String | 是 | 电子邮件发件人的返回路径。 |
| P2Sender | Edm.String | 是 | 电子邮件的发件人。 |
| Policy | Self.Policy | 是 | 与电子邮件相关的筛选策略类型(例如,“反垃圾邮件”或“反钓鱼”)和相关操作类型(例如,“高可信度垃圾邮件”、“垃圾邮件”或“网络钓鱼”)。 |
| Policy | Self.PolicyAction | 是 | 与电子邮件相关的筛选策略中配置的操作(例如,“移动到垃圾邮件文件夹”或“隔离”)。 |
| P2Sender | Edm.String | 是 | 电子邮件的“发件人:”。 |
| Recipients | Collection(Edm.String) | 是 | 电子邮件的收件人数组。 |
| SenderIp | Edm.String | 是 | 提交 Office 365 电子邮件的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 |
| Subject | Edm.String | 是 | 邮件的主题行。 |
| Verdict | Edm.String | 是 | 邮件裁定。 |
| MessageTime | Edm.Date | 是 | 接收或发送电子邮件的协调世界时 (UTC) 日期和时间。 |
| EventDeepLink | Edm.String | 是 | 指向资源管理器中的电子邮件事件的深层链接或 Office 365 安全与合规中心中的实时报表。 |
| 发送操作 | Edm.String | 是 | 电子邮件上的原始送达操作。 |
| 原始送达位置 | Edm.String | 是 | 电子邮件的原始送达位置。 |
| 最新送达位置 | Edm.String | 是 | 事件发生时电子邮件的最新送达位置。 |
| 方向性 | Edm.String | 是 | 标识电子邮件是入站、出站还是组织内邮件。 |
| ThreatsAndDetectionTech | Edm.String | 是 | 威胁和相应的检测技术。 此字段显示电子邮件的所有威胁,包括垃圾邮件垃圾邮件程序上的最新威胁。 例如,["Phish: [Spoof DMARC]","垃圾邮件:[URL 恶意名称]"]。 下面介绍了不同的检测威胁和检测技术。 |
| AdditionalActionsAndResults | Collection(Edm.String) | 否 | 已对电子邮件执行的其他操作,例如 ZAP 或手动修正。 还包括相应的结果。 |
| 连接器 | Edm.String | 否 | 与该电子邮件关联的连接器名称和 GUID。 |
| AuthDetails | Collection(Self.AuthDetails) | 否 | 对电子邮件进行的身份验证检查。 还包括 SPF、DKIM、DMARC 和 CompAuth 的值。 |
| SystemOverrides | Collection(Self.SystemOverrides) | 否 | 适用于电子邮件的替代。 这些可以是系统或用户替代。 |
| 网络钓鱼可信度 | Edm.String | 否 | 指示与网络钓鱼裁定相关的可信度。 它可以是普通或高。 |
注意
建议使用新的 ThreatsAndDetectionTech 字段,因为它显示多个子项和更新的检测技术。 此字段还会与威胁资源管理器和高级搜索等其他体验内看到的值保持一致。
检测技术
| 名称 | 说明 |
|---|---|
| 高级筛选器 | 基于机器学习的钓鱼信号。 |
| 反恶意软件引擎 | 来自反恶意软件引擎的检测。 |
| Campaign | 被标识为活动一部分的消息。 |
| 域的信誉 | 基于域的信誉进行分析。 |
| 文件设置 | 发现文件附件在阻止分析过程中错误。 |
| 文件创建的信誉 | 由于以前的组织信誉而标记为错误的文件附件。 |
| 文件信誉 | 文件附件由于声誉错误而标记错误。 |
| 指纹匹配 | 由于之前的邮件,该邮件被标记为错误。 |
| 常规筛选器 | 根据规则钓鱼信号。 |
| 模拟品牌 | 附件的文件类型。 |
| 模拟域 | 模拟客户拥有或定义的域。 |
| 模拟用户 | 模拟由管理员定义的用户或通过邮箱智能了解的用户。 |
| 邮箱智能模拟 | 基于邮箱智能的模拟。 |
| 混合分析检测 | 此邮件包括多个筛选器。 |
| 欺骗 DMARC | 邮件的 DMARC 身份验证失败。 |
| 欺骗外部域 | 发件人试图欺骗一些其他域。 |
| 欺骗内部组织 | 发件人试图欺骗收件人域。 |
| URL 设置 | 由于以前的恶意 URL 的攻击,此邮件被视为错误。 |
| URL 组织的信誉 | 恶意 URL 阻止将邮件视为错误。 |
| URL 恶意声誉 | 此邮件被视为恶意 URL 错误。 |
AttachmentData 复杂类型
AttachmentData
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| FileName | Edm.String | 是 | 附件的文件名。 |
| FileType | Edm.String | 是 | 附件的文件类型。 |
| FileVerdict | Self.FileVerdict | 是 | 文件恶意软件裁定。 |
| MalwareFamily | Edm.String | 否 | 文件恶意软件系列。 |
| SHA256 | Edm.String | 是 | 文件 SHA256 哈希。 |
注意
在 Malware 系列中,你将能够看到确切的 MalwareFamily 名称 (例如 HTML/Phish.VS!MSR) 或恶意有效负载作为静态字符串。 未识别特定名称时,恶意负载仍可被视为恶意电子邮件。
SystemOverrides 复杂类型
SystemOverrides
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| 详细信息 | Edm.String | 否 | 有关已应用的特定替代(例如 ETR 或安全发件人)的详细信息。 |
| FinalOverride | Edm.String | 否 | 指示在多个替代的情况下影响传递的替代。 |
| 结果 | Edm.String | 否 | 指示是否根据替代将电子邮件设置为已允许或已阻止。 |
| Source | Edm.String | 否 | 指示替代是用户配置的还是租户配置的。 |
AuthDetails 复杂类型
AuthDetails
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| 名称 | Edm.String | 否 | 特定身份验证检查的名称,如 DKIM 或 DMARC。 |
| 值 | Edm.String | 否 | 与特定身份验证检查关联的值,如 True 或 False。 |
枚举:FileVerdict - 类型:Edm.Int32
FileVerdict
| 值 | 成员名称 | 说明 |
|---|---|---|
| 0 | Good | 未检测到任何威胁。 |
| 1 | Bad | 在附件中发现恶意软件。 |
| -1 | Error | 扫描/分析错误。 |
| -2 | Timeout | 扫描/分析超时。 |
| -3 | Pending | 扫描/分析未完成。 |
枚举:Policy - 类型:Edm.Int32
策略类型和操作类型
| 值 | 成员名称 | 说明 |
|---|---|---|
| 1 | Anti-spam, HSPM | 反垃圾邮件策略中的高可信度垃圾邮件 (HSPM) 操作。 |
| 2 | Anti-spam, SPM | 反垃圾邮件策略中的垃圾邮件 (SPM) 操作。 |
| 3 | Anti-spam, Bulk | 反垃圾邮件策略中的批量操作。 |
| 4 | Anti-spam, PHSH | 反垃圾邮件策略中的网络钓鱼 (PHSH) 操作。 |
| 5 | Anti-phish, DIMP | 反钓鱼策略中的域模拟 (DIMP) 操作。 |
| 6 | Anti-phish, UIMP | 反钓鱼策略中的用户模拟 (UIMP) 操作。 |
| 7 | Anti-phish, SPOOF | 反钓鱼策略中的欺骗操作。 |
| 8 | Anti-phish, GIMP | 反钓鱼策略中的邮箱智能操作。 |
| 9 | Anti-malware, AMP | 反恶意软件策略中的恶意软件策略操作。 |
| 10 | 安全附件、SAP | Defender for Office 365 策略安全附件中的策略操作。 |
| 11 | Exchange transport rule, ETR | Exchange 传输规则中的策略操作。 |
| 12 | Anti-malware, ZAPM | 应用于零时差自动清除 (ZAP) 的反恶意软件策略中的恶意软件策略操作。 |
| 13 | Anti-phish, ZAPP | 应用于 ZAP 的反钓鱼策略中的钓鱼策略操作。 |
| 14 | Anti-phish, ZAPS | 应用于 ZAP 的反垃圾邮件策略中的垃圾邮件策略操作。 |
| 15 | 反垃圾邮件、高可信度钓鱼电子邮件 (HPHISH) | 反垃圾邮件策略中的高可信度钓鱼策略操作。 |
| 17 | 反垃圾邮件、出站垃圾邮件策略 (OSPM) | 反垃圾邮件中出站垃圾邮件筛选策略中的策略操作。 |
枚举:PolicyAction - 类型:Edm.Int32
策略操作
| 值 | 成员名称 | 说明 |
|---|---|---|
| 0 | MoveToJMF | 策略操作是移动到“垃圾邮件”文件夹。 |
| 1 | AddXHeader | 策略操作是将 X 标头添加到电子邮件。 |
| 2 | ModifySubject | 策略操作是使用筛选策略指定的信息修改电子邮件中的主题。 |
| 3 | Redirect | 策略操作是将电子邮件重定向到筛选策略指定的电子邮件地址。 |
| 4 | Delete | 策略操作是删除电子邮件。 |
| 5 | Quarantine | 策略操作是隔离电子邮件。 |
| 6 | NoAction | 策略被配置为不对电子邮件执行任何操作。 |
| 7 | BccMessage | 策略操作是将电子邮件密送至筛选策略指定的电子邮件地址。 |
| 8 | ReplaceAttachment | 策略操作是按照筛选策略指定的信息更换电子邮件中的附件。 |
URL 单击时事件
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| UserID | Edm.String | 是 | 单击 URL 的用户的标识符(例如电子邮件地址)。 |
| AppName | Edm.String | 是 | 从中单击 URL 的 Office 365 服务(例如邮件)。 |
| URLClickAction | Self.URLClickAction | 是 | URL 的单击操作基于组织针对 Defender for Office 365 中的安全链接的策略。 |
| SourceId | Edm.String | 是 | 从中单击 URL 的 Office 365 服务的标识符(例如,对于邮件而言,这是 Exchange Online 网络消息 ID)。 |
| TimeOfClick | Edm.Date | 是 | 用户单击 URL 时的协调世界时 (UTC) 日期和时间。 |
| URL | Edm.String | 是 | 用户单击 URL。 |
| UserIp | Edm.String | 是 | 单击 URL 的用户的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 |
枚举:URLClickAction - 类型:Edm.Int32
URLClickAction
| 值 | 成员名称 | 说明 |
|---|---|---|
| 2 | Blockpage | Defender for Office 365 中的安全链接阻止用户导航到该 URL。 |
| 3 | PendingDetonationPage | Defender for Office 365 中的安全链接向用户显示引爆待定页。 |
| 4 | BlockPageOverride | Defender for Office 365 中的安全链接阻止用户导航到该 URL;但用户忽略阻碍以导航到该 URL。 |
| 5 | PendingDetonationPageOverride | Defender for Office 365 中的安全链接向用户显示引爆页;但用户忽略以导航到该 URL。 |
文件事件
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| FileData | Self.FileData | 是 | 有关触发事件的文件的数据。 |
| SourceWorkload | Self.SourceWorkload | 是 | 找到该文件的工作负载和服务(例如 SharePoint Online、OneDrive for Business 或 Microsoft Teams) |
| DetectionMethod | Edm.String | 是 | Microsoft Defender for Office 365 用于检测的方法或技术。 |
| LastModifiedDate | Edm.Date | 是 | 创建文件或上次修改文件时的协调世界时 (UTC) 日期和时间。 |
| LastModifiedBy | Edm.String | 是 | 创建或上次修改文件的用户的标识符(例如,电子邮件地址)。 |
| EventDeepLink | Edm.String | 是 | 指向资源管理器中的文件事件的深层链接或安全与合规中心中的实时报表。 |
FileData 复杂类型
FileData
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| DocumentId | Edm.String | 是 | SharePoint、OneDrive 或 Microsoft Teams 中文件的唯一标识符。 |
| FileName | Edm.String | 是 | 触发事件的文件的名称。 |
| FilePath | Edm.String | 是 | SharePoint、OneDrive 或 Microsoft Teams 中文件的路径(位置)。 |
| FileVerdict | Self.FileVerdict | 是 | 文件恶意软件裁定。 |
| MalwareFamily | Edm.String | 否 | 文件恶意软件系列。 |
| SHA256 | Edm.String | 是 | 文件 SHA256 哈希。 |
| FileSize | Edm.String | 是 | 文件大小(以字节为单位)。 |
枚举:SourceWorkload - 类型:Edm.Int32
SourceWorkload
| 值 | 成员名称 |
|---|---|
| 0 | SharePoint Online |
| 1 | OneDrive for Business |
| 2 | Microsoft Teams |
提交架构
提交 事件适用于每个 Office 365 客户,因为它附带安全。 这包括使用 Exchange Online Protection 和 Microsoft Defender for Office 365 的组织。 提交源中的每个事件对应于作为以下内容提交的误报或漏报:
- 管理员提交。 提交给 Microsoft 进行分析的消息、文件或 URL。
- 用户报告的项。 最终用户向管理员或 Microsoft 报告以供审阅的消息。
提交事件
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| AdminSubmissionRegistered | Edm.String | 否 | 管理员提交已注册,正在等待处理。 |
| AdminSubmissionDeliveryCheck | Edm.String | 否 | 管理员提交系统已检查电子邮件的策略。 |
| AdminSubmissionSubmitting | Edm.String | 否 | 管理员提交系统正在提交电子邮件。 |
| AdminSubmissionSubmitted | Edm.String | 否 | 管理员提交系统已提交电子邮件。 |
| AdminSubmissionTriage | Edm.String | 否 | 管理员提交由评分器进行会审。 |
| AdminSubmissionTimeout | Edm.String | 否 | 管理员提交超时,无结果。 |
| UserSubmission | Edm.String | 否 | 提交首先由最终用户报告。 |
| UserSubmissionTriage | Edm.String | 否 | 用户提交由评分器进行会审。 |
| CustomSubmission | Edm.String | 否 | 用户报告的邮件已按照用户报告邮件设置中的设置发送到组织的自定义邮箱。 |
| AttackSimUserSubmission | Edm.String | 否 | 用户报告的消息实际上是网络钓鱼模拟训练消息。 |
| AdminSubmissionTablAllow | Edm.String | 否 | 在提交时创建了允许,以便在重新扫描类似邮件时立即对其执行操作。 |
| SubmissionNotification | Edm.String | 否 | 管理员反馈发送给最终用户。 |
Office 365 中的自动调查和响应事件
Office 365 自动调查和响应 (AIR) 事件适用于订阅了 Microsoft Defender for Office 365 计划 2 或 Office 365 E5 的 Office 365 客户。将根据调查状态的变化记录调查事件。 将根据调查状态的变化记录调查事件。 例如,当管理员执行将调查状态从“挂起的操作”更改为“已完成”的操作时,将记录一个事件。
目前,仅记录自动调查事件。 (手动生成调查的事件即将提供。)将记录以下状态值:
- 已开始调查
- 未发现威胁
- 已由系统终止
- 挂起的操作
- 发现威胁
- 已修正
- 已失败
- 已通过限制终止
- 已由用户终止
- 正在运行
主调查架构
| 名称 | 类型 | 说明 |
|---|---|---|
| InvestigationId | Edm.String | 调查 ID/GUID |
| InvestigationName | Edm.String | 调查的名称 |
| InvestigationType | Edm.String | 调查的类型。 可以是下列值之一: - 用户报告的邮件 - 零时差自动清除恶意软件 - 零时差自动清除网络钓鱼 - URL 裁定更改 (目前尚未提供手动调查,即将推出。) |
| LastUpdateTimeUtc | Edm.Date | 上次更新调查的 UTC 时间 |
| StartTimeUtc | Edm.Date | 调查的开始时间 |
| 状态 | Edm.String | 调查的状态,正在运行、挂起的操作等。 |
| DeeplinkURL | Edm.String | Office 365 安全与合规中心中的调查的深度链接 URL |
| 操作 | 集合 (Edm.String) | 调查建议的操作集合 |
| Data | Edm.String | 数据字符串,其中包含有关调查实体的更多详细信息,以及有关调查警报的信息。 实体位于数据 Blob 内的单独节点中。 |
操作
| 字段 | 类型 | 说明 |
|---|---|---|
| ID | Edm.String | 操作 ID |
| ActionType | Edm.String | 操作的类型,如电子邮件修正 |
| ActionStatus | Edm.String | 值包括: - 挂起 - 正在运行 - 正在等待资源 - 已完成 - 已失败 |
| ApprovedBy | Edm.String | 如果自动批准,则为 Null;否则,则为用户名/ID(即将推出) |
| TimestampUtc | Edm.DateTime | 操作状态更改的时间戳 |
| ActionId | Edm.String | 操作的唯一标识符 |
| InvestigationId | Edm.String | 调查的唯一标识符 |
| RelatedAlertIds | Collection(Edm.String) | 有关调查的警报 |
| StartTimeUtc | Edm.DateTime | 操作创建的时间戳 |
| EndTimeUtc | Edm.DateTime | 操作最终状态更新时间戳 |
| 资源标识符 | Edm.String | 包含 Azure Active Directory 租户 ID。 |
| 实体 | Collection(Edm.String) | 按操作列出的一个或多个受影响的实体 |
| 相关警报 ID | Edm.String | 与调查相关的警报 |
实体
MailMessage(电子邮件)
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | Edm.String | “邮件-消息” |
| 文件 | 集合 (Self.File) | 有关此邮件附件中的文件的详细信息 |
| 收件人 | Edm.String | 此邮件的收件人 |
| URL | 集合 (Self.URL) | 此邮件中包含的 URL |
| 发件人 | Edm.String | 发件人的电子邮件地址 |
| SenderIP | Edm.String | 发件人的 IP 地址 |
| ReceivedDate | Edm.DateTime | 此邮件的接收日期 |
| NetworkMessageId | Edm.Guid | 此邮件消息的网络消息 ID |
| InternetMessageId | Edm.String | 此邮件消息的 Internet 消息 ID |
| Subject | Edm.String | 此邮件的主题 |
IP
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | Edm.String | “ip” |
| 地址 | Edm.String | 字符串形式的 IP 地址,例如 127.0.0.1 |
URL
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | Edm.String | “url” |
| URL | Edm.String | 实体指向的完整 URL |
邮箱(也相当于用户)
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | Edm.String | “邮箱” |
| MailboxPrimaryAddress | Edm.String | 邮箱的主要地址 |
| DisplayName | Edm.String | 邮箱的显示名称 |
| UPN | Edm.String | 邮箱的 UPN |
文件
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | Edm.String | “文件” |
| 名称 | Edm.String | 不带路径的文件名 |
| FileHashes | 集合 (Edm.String) | 与文件关联的文件哈希 |
FileHash
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | Edm.String | “filehash” |
| 算法 | Edm.String | 哈希算法类型,可为以下值之一: - 未知 - MD5 - SHA1 - SHA256 - SHA256AC |
| 值 | Edm.String | 哈希值 |
MailCluster
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | Edm.String | “MailCluster” 确定所讨论的实体类型 |
| NetworkMessageIds | 集合 (Edm.String) | 作为邮件群集一部分的邮件消息 ID 列表 |
| CountByDeliveryStatus | 集合 (Edm.String) | 通过 DeliveryStatus 字符串表示的邮件消息计数 |
| CountByThreatType | 集合 (Edm.String) | 通过 ThreatType 字符串表示的邮件消息计数 |
| 威胁 | 集合 (Edm.String) | 作为邮件群集一部分的邮件消息威胁数。 威胁包括网络钓鱼和恶意软件等值。 |
| 查询 | Edm.String | 用于标识邮件群集消息的查询 |
| QueryTime | Edm.DateTime | 查询时间 |
| MailCount | Edm.Int | 作为邮件群集一部分的邮件消息数 |
| Source | 字符串 | 邮件群集的来源;群集源的值。 |
卫生事件架构
与出站垃圾邮件保护相关的卫生事件。 这些事件与被限制发送电子邮件的用户相关。 有关更多信息,请参阅:
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| Audit | Edm.String | 否 | 与卫生事件相关的系统信息。 |
| Event | Edm.String | 否 | 卫生事件的类型。 此参数的值为已列出或已从列表中删除。 |
| EventId | Edm.Int64 | 否 | 卫生事件类型的 ID。 |
| EventValue | Edm.String | 否 | 受影响的用户。 |
| Reason | Edm.String | 否 | 有关卫生事件的详细信息。 |
Power BI 架构
在在 Office 365 保护中心搜索审核日志中列出的 Power BI 事件将使用此架构。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| AppName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | 否 | 发生事件的应用名称。 |
| DashboardName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | 否 | 发生事件的仪表板名称。 |
| DataClassification | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | 否 | 数据分类(如果有),针对发生事件的仪表板。 |
| DatasetName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | 否 | 发生事件的数据集名称。 |
| MembershipInformation | 集合 (MembershipInformationType) Term=“Microsoft.Office.Audit.Schema.PIIFlag” Bool=“true” | 否 | 与组相关的成员身份信息。 |
| OrgAppPermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | 否 | 组织应用(整个组织、特定用户或特定组)的权限列表。 |
| ReportName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | 否 | 发生事件的报表名称。 |
| SharingInformation | Collection (SharingInformationType) Term=“Microsoft.Office.Audit.Schema.PIIFlag” Bool=“true” | 否 | 与向其发送共享邀请的人员相关的信息。 |
| SwitchState | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | 否 | 与不同租户级开关的状态相关的信息。 |
| WorkSpaceName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | 否 | 发生事件的工作区名称。 |
MembershipInformationType 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| MemberEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | 否 | 组的电子邮件地址。 |
| 状态 | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | 否 | 目前尚未填充。 |
SharingInformationType 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| RecipientEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | 否 | 共享邀请的收件人的电子邮件地址。 |
| RecipientName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | 否 | 共享邀请的收件人的名称。 |
| ResharePermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | 否 | 授予此收件人的权限。 |
Dynamics 365 架构
Dynamics 365 事件中与模型驱动应用相关的事件的审核记录同时使用基操作架构和实体操作架构。 了解更多信息,请参阅启用和禁用活动日志记录。
Dynamics 365 基本架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| CrmOrganizationUniqueName | Edm.String | 是 | 组织的唯一名称。 |
| InstanceUrl | Edm.String | 是 | 实例的 URL。 |
| ItemUrl | Edm.String | 否 | 发出日志记录的 URL。 |
| ItemType | Edm.String | 否 | 实体的名称。 |
| UserAgent | Edm.String | 否 | 组织中用户 GUID 的唯一标识符。 |
| 字段 | Collection(Common.NameValuePair) | 否 | 一个 JSON 对象,包含已创建或更新的属性键值对。 |
Dynamics 365 实体操作架构
Dynamics 365 中模型驱动应用程的实体事件使用此架构在 Dynamics 365 基本架构上构建。 此架构包含有关触发已审核事件的实体操作的信息。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| entityId | Edm.Guid | 否 | 实体的唯一标识符。 |
| EntityName | Edm.String | 是 | 组织中实体的名称。 实体示例包含 contact 或 authentication |
| 邮件 | Edm.String | 是 | 此参数包含对实体执行的相关操作。。 例如,如果创建了一个新联系人,则 Message 属性 Create 的值为 ,EntityName 属性 contact的相应值为 。 |
| 查询 | Edm.String | 否 | 执行 FetchXML 操作时所用的筛选查询参数。 |
| PrimaryFieldValue | Edm.String | 否 | 指示实体的主要字段的属性值。 |
工作区分析架构
在在 Office 365 安全与合规中心搜索审核日志中列出的工作区分析事件将使用此架构。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| WpaUserRole | Edm.String | 否 | 执行操作的用户的工作区分析角色。 |
| ModifiedProperties | 集合 (Common.ModifiedProperty) | 否 | 该属性包括已修改属性的名称、已修改属性的新值和已修改属性的先前值。 |
| OperationDetails | 集合 (Common.NameValuePair) | 否 | 已更改的设置的扩展属性列表。 每个属性都将具有 Name 和 Value。 |
隔离架构
在 Office 365 安全与合规中心搜索审核日志中列出的隔离事件将使用此架构。 有关隔离的详细信息,请参阅 Office 365 中的隔离电子邮件。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| RequestType | Self.RequestType | 否 | 由用户执行的隔离请求的类型。 |
| RequestSource | Self.RequestSource | 否 | 隔离请求的来源可以是安全与合规中心 (SCC)、cmdlet 或 URLlink。 |
| NetworkMessageId | Edm.String | 否 | 已隔离的电子邮件的网络消息 ID。 |
| ReleaseTo | Edm.String | 否 | 电子邮件的收件人。 |
Enum: RequestType - Type: Edm.Int32
| 值 | 成员名称 | 说明 |
|---|---|---|
| 0 | 预览 | 这是用户请求预览被认为有危害的电子邮件。 |
| 1 | 删除 | 这是用户请求删除被认为有危害的电子邮件。 |
| 2 | 发布 | 这是用户请求发布被认为有危害的电子邮件。 |
| 3 | 导出 | 这是用户请求导出被认为有危害的电子邮件。 |
| 4 | ViewHeader | 这是用户请求查看被认为有危害的电子邮件标头。 |
| 5 | 发布请求 | 这是用户发出的发布请求,用于发布被视为有害的电子邮件。 |
Enum: RequestSource - Type: Edm.Int32
| 值 | 成员名称 | 说明 |
|---|---|---|
| 0 | SCC | 安全与合规中心 (SCC) 是用户请求的来源,用户可预览、删除、发布、导出或查看潜在有危害电子邮件可能源头的标头。 |
| 1 | Cmdlet | Cmdlet 是用户请求的来源,用户可预览、删除、发布、导出或查看潜在有危害电子邮件可能源头的标头。 |
| 2 | URLlink | 它是是用户请求的来源,用户可预览、删除、发布、导出或查看潜在有危害电子邮件可能源头的标头。 |
Microsoft Forms 架构
Office 365 安全与合规中心 搜索审核日志"中列出的 Microsoft Forms 将使用此架构。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| FormsUserTypes | Collection(Self.FormsUserTypes) | 是 | 执行操作的用户的角色。 此参数的值为“管理员”、“所有者”、“响应者人”或“合著者”。 |
| SourceApp | Edm.String | 是 | 指示操作是来自 Forms 网站还是其他应用。 |
| FormName | Edm.String | 否 | 当前表单的名称。 |
| FormId | Edm.String | 否 | 目标表单的 ID。 |
| FormTypes | Collection(Self.FormTypes) | 否 | 指示这是表单、测验还是调查。 |
| ActivityParameters | Edm.String | 否 | 包含活动参数的 JSON 字符串。 有关更多详细信息,请参阅在 Office 365 安全与合规中心搜索审核日志。 |
枚举:FormsUserTypes - 类型:Edm.Int32
FormsUserTypes
| 值 | 表单用户类型 | 说明 |
|---|---|---|
| 0 | 管理员 | 有权访问表单的管理员。 |
| 1 | 所有者 | 担任表单所有者的用户。 |
| 2 | 响应者 | 已向表单提交回复的用户。 |
| 3 | 合著者 | 已使用表单所有者提供的协作链接登录和编辑表单的用户。 |
枚举:FormTypes - 类型:Edm.Int32
FormTypes
| 值 | 表单类型 | 说明 |
|---|---|---|
| 0 | 表单 | 使用“新建表单”选项创建的表单。 |
| 1 | 测验 | 使用“新建测验”选项创建的测验。 测验是表单的一种特殊类型,包含得分值、自动和手动评分、批注等附加功能。 |
| 2 | 调查 | 使用“新建调查”选项创建的调查。 调查是表单的一种特殊类型,包含 CMS 集成和对流程规则的支持等附加功能。 |
MIP 标签架构
如果 Microsoft 365 检测到由应用了敏感度标签的传输管道中的代理处理的电子邮件,将触发 Microsoft Purview 信息保护标签架构中的事件。 敏感度标签可能是手动或自动应用的,也可能是在传输管道内部或外部应用的。 可通过自动应用标签策略将敏感度标签自动应用于电子邮件。
此审核架构的目的即表示全部带有敏感度标签的电子邮件活动的总和。 换言之,对于向组织中用户发送或发送的每封电子邮件,应存在一个记录的审核活动,并应用了敏感度标签,而不考虑何时或如何应用敏感度标签。 有关敏感度标签的详细信息,请参阅:
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| 发件人 | Edm.String | 否 | 电子邮件的“发件人”字段中的电子邮件地址。 |
| 收件人 | Collection(Edm.String) | 否 | 电子邮件的“收件人”、“抄送”和“密件抄送”字段中的所有电子邮件地址。 |
| ItemName | Edm.String | 否 | 电子邮件的“主题”字段中的字符串。 |
| LabelId | Edm.Guid | 否 | 应用于电子邮件的敏感度标签的 GUID。 |
| LabelName | Edm.String | 否 | 应用于电子邮件的敏感度标签的名称。 |
| LabelAction | Edm.String | 否 | 敏感度标签所指定的操作会在邮件进入邮件传输管道之前应用于电子邮件。 |
| LabelAppliedDateTime | Edm.Date | 否 | 将敏感度标签应用于电子邮件的日期。 |
| ApplicationMode | Edm.String | 否 | 指定敏感度标签应用于电子邮件的方式。 Privileged 值表示用户已手动应用该标签。 Standard 值表示标签已由客户端或服务端标记流程自动应用。 |
加密的消息门户事件架构
当 Purview 邮件加密检测到外部收件人通过门户访问加密的电子邮件时,将触发加密邮件门户架构的事件。 邮件可能已使用敏感度标签或 RMS 模板手动加密,或者由传输规则、数据丢失防护策略或自动标记策略自动加密。
此审核架构的目的是表示涉及外部收件人访问加密邮件的所有门户活动的总和。 换言之,对于尝试登录门户的收件人以及与访问加密邮件相关的任何活动,都应有记录的审核活动。 这包括在应用了加密后向组织中的用户发送或从他们处接收的邮件,而不考虑何时或如何应用加密。 有关详细信息,请参阅“了解加密的消息门户日志”。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| MessageId | Edm.String | 否 | 消息 ID。 |
| 收件人 | Edm.String | 否 | 收件人电子邮件地址。 |
| 发件人 | Edm.String | 否 | 发件人的电子邮件地址。 |
| AuthenticationMethod | Self.AuthenticationMethod | 否 | 访问邮件时的身份验证方法,即 OTP、Yahoo、Gmail、Microsoft。 |
| AuthenticationStatus | Self.AuthenticationStatus | 否 | 0 – 成功,1 - 失败。 |
| OperationStatus | Self.OperationStatus | 否 | 0 – 成功,1 - 失败。 |
| AttachmentName | Edm.String | 否 | 附件名称。 |
| OperationProperties | Collection(Common.NameValuePair) | 否 | 额外属性,即发送的 OTP 密码数、电子邮件主题等。 |
通信合规性 Exchange 架构
Office 365 审核日志中列出的通信合规性事件使用此架构。 这包括当电子邮件内容包含由反垃圾邮件模型识别的冒犯性语言时生成的 SupervisoryReviewOLAudit 操作的审核记录,匹配准确率 >= 99.5%。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| ExchangeDetails | ExchangeDetails | 否 | 触发 SupervisoryReviewOLAudit 事件的电子邮件属性。 |
Enum: ExchangeDetails - Type: ExchangeDetails
ExchangeDetails
| 成员名称 | 类型 | 说明 |
|---|---|---|
| NetworkMessageId | Edm.Guid | 此邮件消息的网络消息 ID。 |
| InternetMessageId | Edm.String | 此邮件消息的 Internet 消息 ID。 |
| AttachmentData | 集合 (AttachmentDetails) | 有关附加到电子邮件的文件的信息。 |
| 收件人 | Collection(Edm.String) | 电子邮件的“收件人”、“抄送”和“密件抄送”字段中的电子邮件地址。 |
| 主题 | Edm.String | 电子邮件的“主题”字段中的文本。 |
| MessageTime | Edm.Date | 发送电子邮件的日期和时间。 |
| From | Edm.String | 电子邮件的“发件人”字段中的电子邮件地址。 |
| 方向性 | Edm.String | 电子邮件的初始状态。 |
Enum: AttachmentDetails - Type: Edm.Int32
AttachmentDetails
| 成员名称 | 类型 | 说明 |
|---|---|---|
| FileName | Edm.String | 附加到电子邮件的文件的名称。 |
| FileType | Edm.String | 附加到电子邮件的文件的文件扩展名。 |
| SHA256 | Edm.String | 附加到电子邮件的文件的 SHA-256 哈希。 |
报告架构
在 Office 365 安全与合规中心搜索审核日志中列出的报告事件将使用此架构。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| ModifiedProperties | 集合 (Common.ModifiedProperty) | 否 | 该属性包括已修改属性的名称、已修改属性的新值和已修改属性的先前值。 |
合规性连接器架构
当数据连接器导入的项跳过或无法导入到用户邮箱时,会触发合规性连接器架构中的事件。 有关数据连接器的详细信息,请参阅了解第三方数据的连接器。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| JobId | Edm.String | 否 | 这是数据连接器的唯一标识符。 |
| TaskId | Edm.String | 否 | 定期数据连接器实例的唯一标识符。 数据连接器按定期时间间隔导入数据。 |
| JobType | Edm.String | 否 | 数据连接器的名称。 |
| ItemId | Edm.String | 否 | 导入的项(例如,电子邮件)的唯一标识符。 |
| ItemSize | Edm.Int64 | 否 | 要导入的项的大小。 |
| SourceUserId | Edm.String | 否 | 第三方数据源中用户的唯一标识符。 例如,对于 Slack 数据连接器,此属性指定 Slack 工作区中的用户 ID。 |
| FailureType | Self.FailureType | 不支持 | 指示数据导入失败的类型。 例如,值 incorrectusermapping 表示项未导入,因为找不到第三方数据源与 Microsoft 365 之间的用户映射。 |
| ResultMessage | Edm.String | 否 | 指示故障的类型,例如重复消息。 |
| IsRetry | Edm.Boolean | 否 | 指示是否重试数据连接器以导入项。 |
| 附件 | 集合。附件 | 不支持 | 从第三方数据源接收的附件列表。 |
枚举: FailureType - 类型: Edm.Int32
| 值 | 成员名称 |
|---|---|
| 0 | 默认值 |
| 1 | MailboxWrite |
附件复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| FileName | Edm.String | 否 | 附件名称。 |
| 详细信息 | Edm.String | 否 | 有关附件的其他详细信息。 |
SystemSync 架构
当 SystemSync 引入的数据通过 Data Lake 导出或通过其他服务共享时,将触发 SystemSync 架构中的事件。
DataLakeExportOperationAuditRecord
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| DataStoreType | DataStoreType | 是 | 指示从哪个数据存储下载数据。 有关所有可能的值,请参阅 DataStoreType。 |
| UserAction | DataLakeUserAction | 是 | 指示用户对数据存储执行的操作。 有关所有可能的值,请参阅 DataLakeUserAction。 |
| ExportTriggeredAt | Edm.DateTimeOffset | 是 | 指示何时触发数据导出。 |
| NameOfDownloadedZipFile | Edm.String | 否 | 管理员从 Data Lake 下载的压缩文件的名称。 |
DataShareOperationAuditRecord
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| 邀请 | DataShareInvitationType | 否 | 发送给 Data Share 收件人的邀请的详细信息。 |
DataShareInvitationType 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| ShareId | Edm.Guid | 是 | 系统为 Data Share 分配的标识符。 |
| 受邀者 | Collection(Edm.Guid) | 是 | 向其发送邀请的管理员用户列表。 |
| InviteeTenantId | Edm.Guid | 是 | 邀请的目标租户。 |
| ShareName | Edm.String | 是 | 系统为 Data Share 分配的名称。 |
| SyncFrequency | Self.SyncFrequency | 是 | 建立共享后数据同步到目标存储帐户的频率。 有关可能的值,请参阅 SyncFrequency。 |
| SyncStartTime | Edm.DateTimeOffset | 是 | 第一次同步的日期和时间。 |
枚举:SyncFrequency - 类型:Edm.Int32
| 值 | 成员名称 | 说明 |
|---|---|---|
| 0 | 每小时 | 指示数据将每小时同步一次。 |
| 1 | 每天 | 指示数据将每天同步一次。 |
枚举:DataStoreType - 类型:Edm.Int32
| 值 | 成员名称 | 说明 |
|---|---|---|
| 0 | CanonicalStore | 指示将从规范存储下载数据。 |
| 1 | StagingStore | 指示将从暂存存储下载数据。 |
枚举:DataLakeUserAction - 类型:Edm.Int32
| 值 | 成员名称 | 说明 |
|---|---|---|
| 0 | TriggerExport | 管理员用户触发了从 Data Lake 导出。 |
| 1 | DownloadZipFile | 管理员用户下载了导出的数据。 |
MicrosoftGraphDataConnectOperation 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| ApplicationId | Edm.Guid | 是 | 应用程序标识。 |
| ApplicationName | Edm.String | 是 | 应用程序名称。 |
| PipelineName | Edm.String | 是 | 管道名称。 |
| PipelineRunId | Edm.Guid | 否 | 此管道运行的标识。 |
| CopyActivityRunId | Edm.Guid | 否 | ADF 复制活动的标识。 |
| RunStartTime | Edm.Date | 是 | 提取的日期和时间。 |
| RunEndTime | Edm.Date | 是 | 提取的日期和时间。 |
| DatasetName | Edm.String | 是 | 正在提取的数据集名称。 |
| DatasetColumns | Edm.String | 是 | 正在提取的选定列集。 |
| ScopeList | Edm.String | 是 | 提取的范围。 |
| ScopeCountRequested | Edm.Int64 | 否 | 此提取的请求范围计数。 |
| ScopeCountDelivered | Edm.Int64 | 否 | 此提取的传递范围计数。 |
| UndeliveredScope | Edm.String | 否 | 提取的未送达范围。 |
| RowCount | Edm.Int64 | 否 | 提取的行数。 |
| 状态 | Edm.String | 是 | 提取状态。 |
| Reason | Edm.String | 否 | 失败时的错误消息。 |
AipDiscover
下表包含与 Azure 信息保护 (AIP) 扫描程序事件相关的信息。
| 事件 | 说明 |
|---|---|
| ApplicationId | 执行操作的应用程序的 ID。 |
| ApplicationName | 执行操作的应用程序的友好名称。 用于电子邮件) 的 Outlook (、电子邮件) 的 OWA (、文件) Word (、用于文件) 的 Excel (、文件) 的 PowerPoint (。 |
| ClientIP | 记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 对于某些服务,此属性中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员使用的设备的 IP 地址。 此外,对于与 Azure Active Directory 相关的事件,不会记录 IP 地址,并且 ClientIP 属性的值为 null。 IP 地址显示为 IPv4 或 IPv6 地址格式。 |
| CreationTime | 生成审核日志记录时,协调世界时 (UTC 格式的日期和时间) ISO8601格式。 |
| DataState | 描述数据的状态。 |
| DeviceName | 发生活动的设备。 |
| Id | 当前记录的 GUID。 |
| IsProtected | 是否受保护:True/False |
| 位置 | 文档相对于用户设备的位置。 可能的值为未知、localMedia、removableMedia、fileshare 和 cloud。 |
| ObjectId | 文件完整路径 (URL) 。 对于 SharePoint 和 OneDrive for Business 活动,用户访问的文件或文件夹的完整路径名称。 |
| 操作 | 描述访问类型。 |
| OrganizationId | 组织 Office 365 租户的 GUID。 对于组织而言,该值始终相同,而不管它是在哪个 Office 365 服务中出现。 |
| 平台 | 设备平台 (Win、OSX、Android、iOS) |
| ProcessName | 相关进程名称,例如 Outlook、msip.app、WinWord。 |
| productVersion | AIP 客户端的版本。 |
| ProtectionOwner | 采用 UPN 格式的 Rights Management 所有者。 |
| ProtectionType | 保护类型可以是模板保护类型,也可以是临时保护类型。 |
| RecordType | 记录指示的操作类型。 有关审核日志记录类型的详细信息表,请参阅 AuditLogRecordType。 有关 Log RecordType 的完整更新列表和完整说明,请参阅通过 O365 管理 API Microsoft 365 合规性审核日志活动博客文章。 此处仅列出相关的 MIP 记录类型。 |
| 范围 | 此事件是由托管的 O365 服务还是本地服务器创建的? 可能的值为 online 和 onprem。 请注意,SharePoint 是当前将事件从本地发送到 O365 的唯一工作负载。 |
| SensitiveInfoTypeData | 存储敏感信息类型数据的数据类型。 |
| SensitivityLabelId | 当前 MIP 敏感度标签 GUID。 使用 cmdlt Get-Label 获取 GUID 的完整值。 |
| TemplateId | 用于获取特定模板的 TemplateID 参数。 Get-AipServiceTemplate cmdlet 从 Azure 信息保护获取所有现有或选定的保护模板。 |
| UserID | UPN (用户主体名称) 执行操作的用户 (操作属性中指定的) 导致记录被记录的用户;例如,my_name@my_domain_name。 注意,系统帐户执行的活动记录(例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM)也包括在内。 在 SharePoint 中,UserId 属性中的另一个数值显示为 app@sharepoint。 这表明执行活动的“用户”是在 SharePoint 中拥有必要权限的应用程序,代表用户、管理员或服务执行组织范围内操作(例如,搜索 SharePoint 网站或 OneDrive 帐户)。 有关详细信息,请参阅审核记录中的app@sharepoint用户。 |
| UserKey | UserID 属性中标识的用户的备选 ID。 此属性填充 SharePoint、OneDrive for Business 和 Exchange 中用户执行的事件的 passport 唯一 ID (PUID)。 |
| UserType | 执行操作的用户类型。 有关用户类型的详细信息,请参阅 UserType 表。 0 = 常规 1 = 保留 2 = 管理员 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| 版本 | 操作中文件的版本 ID。 |
| Workload | 存储发生活动的Office 365服务。 |
AipSensitivityLabelAction
下表包含与 AIP 敏感度标签事件相关的信息。
| 事件 | 说明 |
|---|---|
| ApplicationId | 对应于Microsoft Entra应用程序 ID。 |
| ApplicationName | 执行操作的应用程序的应用程序友好名称。 |
| CreationDate | 协调世界时 (UTC 中的日期和时间) 在用户执行活动时采用ISO8601格式。 |
| DataState | 指定数据的状态。 |
| DeviceName | 用户设备的名称。 |
| 标识 | 要进行身份验证的用户或服务的标识。 |
| IsProtected | 是否受保护:True/False |
| IsProtectedBefore | 更改前内容是否受到保护:True/False |
| IsValid | 布尔值 |
| 位置 | 文档相对于用户设备的位置。 可能的值为 unknown、localMedia、removableMedia、fileshare 和 cloud。 |
| ObjectState | 指定 对象的状态。 |
| 操作 | 审核日志的操作类型。用户或管理员活动的名称。 有关最常见操作/活动的说明: SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened。 |
| 标识 | 要进行身份验证的用户或服务的标识。 |
| PSComputerName | Computer Name |
| PSShowComputerName | 对于在 Office 365 中记录的记录,值为 False。 |
| 平台 | 设备平台 (Win、OSX、Android、iOS) 。 |
| ProcessName | 托管 MIP SDK 的进程。 |
| productVersion | 执行审核操作的 Azure 信息保护 客户端的版本。 |
| ProtectionType | 保护类型可以是模板保护类型,也可以是临时保护类型。 |
| RecordType | 显示“标签操作”的值。 记录指示的操作类型。 有关详细信息,请参阅记录类型的完整列表。 |
| RunspaceId | Runspace 是 PowerShell 的特定实例,其中包含命令行用户可用的命令、提供程序、变量、函数和语言元素的可修改集合。 |
| SensitiveInfoTypeData | 存储敏感信息类型数据的数据类型 |
| TemplateId | 用于获取特定模板的 TemplateID 参数。 Get-AipServiceTemplate cmdlet 从 Azure 信息保护获取所有现有或选定的保护模板。 |
| UserID | 用户主体名称 (执行操作的用户的 UPN) (操作属性中指定的) 导致记录;例如,my_name@my_domain_name。 注意,系统帐户执行的活动记录(例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM)也包括在内。 在 SharePoint 中,UserId 属性中的另一个数值显示为 app@sharepoint。 这表明执行活动的“用户”是在 SharePoint 中拥有必要权限的应用程序,代表用户、管理员或服务执行组织范围内操作(例如,搜索 SharePoint 网站或 OneDrive 帐户)。 |
AipProtectionAction
| 事件 | 说明 |
|---|---|
| PSComputerName | 计算机名称 |
| RunspaceId | Runspace 是 PowerShell 的特定实例,其中包含命令行用户可用的命令、提供程序、变量、函数和语言元素的可修改集合。 |
| PSShowComputerName | 对于在 Office 365 中编辑的文档,该值为 false。 |
| RecordType | 显示“标签操作”的值。 记录指示的操作类型。 此处仅列出相关的 MIP 记录类型。 有关详细信息,请参阅 记录类型的完整列表。 |
| CreationTime | 生成审核日志记录时,协调世界时 (UTC 格式的日期和时间) ISO8601格式。 |
| UserID | 执行操作的用户的用户主体名称 (UPN) (在操作属性) 中指定的,导致记录被记录。 例如,my_name@my_domain_name。 注意,系统帐户执行的活动记录(例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM)也包括在内。 在 SharePoint 中,UserId 属性中的另一个数值显示为 app@sharepoint。 这表明执行活动的“用户”是在 SharePoint 中拥有必要权限的应用程序,代表用户、管理员或服务执行组织范围内操作(例如,搜索 SharePoint 网站或 OneDrive 帐户)。 有关详细信息,请参阅 审核记录中的app@sharepoint用户。 |
| 操作 | 审核日志的操作类型。 用户或管理员活动的名称。 有关最常见操作/活动的说明。 SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened。 |
| 标识 | 要进行身份验证的用户或服务的标识。 |
| ObjectState | 当前事件之后的 Object 状态。 |
| ApplicationId | 活动发生并显示在 GUID 中的应用程序。 |
| ApplicationName | 执行操作的应用程序的应用程序友好名称。用于电子邮件) 的 Outlook (、电子邮件) 的 OWA (、文件) Word (、用于文件) 的 Excel (、文件) 的 PowerPoint (。 |
| ProcessName | Office 应用程序的进程名称。 |
| 平台 | 发生活动的平台。 例如,Windows。 |
| DeviceName | 记录事件的设备。 |
| productVersion | 执行审核操作的 Azure 信息保护 客户端的版本。 |
| UserID | 执行操作的用户的 UPN (Operation 属性中指定的) 导致记录被记录;例如,my_name@my_domain_name。 注意,系统帐户执行的活动记录(例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM)也包括在内。 在 SharePoint 中,UserId 属性中的另一个数值显示为 app@sharepoint。 这表明执行活动的“用户”是在 SharePoint 中拥有必要权限的应用程序,代表用户、管理员或服务执行组织范围内操作(例如,搜索 SharePoint 网站或 OneDrive 帐户)。 有关详细信息,请参阅 审核记录中的app@sharepoint用户。 |
| ClientIP | 记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 对于某些服务,此属性中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员使用的设备的 IP 地址。 此外,对于与 Azure Active Directory 相关的事件,不会记录 IP 地址,并且 ClientIP 属性的值为 null。 IP 地址显示为 IPv4 或 IPv6 地址格式。 |
| Id | 当前记录的 GUID。 |
| RecordType | 显示“标签操作”的值。 记录指示的操作类型。 此处仅列出相关的 MIP 记录类型。 |
| CreationTime | 生成审核日志记录时,协调世界时 (UTC 格式的日期和时间) ISO8601格式。 |
| 操作 | 用户或管理员活动的名称。 有关最常见操作/活动的说明,请参阅在 Office 365 保护中心搜索审核日志。 |
| OrganizationId | 组织 Office 365 租户的 GUID。 对于组织而言,该值始终相同,而不管它是在哪个 Office 365 服务中出现。 |
| UserType | 执行操作的用户类型。 有关用户类型的详细信息,请参阅 UserType 表。 0 = 常规 1 = 保留 2 = 管理员 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | UserID 属性中标识的用户的备选 ID。 此属性填充 SharePoint、OneDrive for Business 和 Exchange 中用户执行的事件的 passport 唯一 ID (PUID)。 |
| Workload | 存储发生活动的Office 365服务。 |
| 版本 | 执行审核操作的 Azure 信息保护 客户端的版本 |
| 范围 | 指定范围。 |
AipFileDeleted
| 事件 | 说明 |
|---|---|
| PSComputerName | 计算机名称 |
| RunspaceId | Runspace 是 PowerShell 的特定实例,其中包含命令行用户可用的命令、提供程序、变量、函数和语言元素的可修改集合。 |
| PSShowComputerName | 对于在 Office 365 中编辑的文档,该值为 false。 |
| RecordType | 显示“标签操作”的值。 记录指示的操作类型。 此处仅列出相关的 MIP 记录类型。 有关详细信息,请参阅 记录类型的完整列表。 |
| CreationTime | 生成审核日志记录时,协调世界时 (UTC 格式的日期和时间) ISO8601格式。 |
| UserID | 执行操作的用户的用户主体名称 (UPN) (在操作属性) 中指定的,导致记录被记录。 例如,my_name@my_domain_name。 注意,系统帐户执行的活动记录(例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM)也包括在内。 在 SharePoint 中,UserId 属性中的另一个数值显示为 app@sharepoint。 这表明执行活动的“用户”是在 SharePoint 中拥有必要权限的应用程序,代表用户、管理员或服务执行组织范围内操作(例如,搜索 SharePoint 网站或 OneDrive 帐户)。 有关详细信息,请参阅 审核记录中的app@sharepoint用户。 |
| 操作 | 审核日志的操作类型。 用户或管理员活动的名称。 有关最常见操作/活动的说明。 SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened。 |
| 标识 | 要进行身份验证的用户或服务的标识。 |
| ObjectState | 当前事件之后的 Object 状态。 |
| ApplicationId | 活动发生并显示在 GUID 中的应用程序。 |
| ApplicationName | 执行操作的应用程序的应用程序友好名称。用于电子邮件) 的 Outlook (、电子邮件) 的 OWA (、文件) Word (、用于文件) 的 Excel (、文件) 的 PowerPoint (。 |
| ProcessName | Office 应用程序的进程名称。 |
| 平台 | 发生活动的平台。 例如,Windows。 |
| DeviceName | 记录事件的设备。 |
| productVersion | 执行审核操作的 Azure 信息保护 客户端的版本。 |
| UserID | 执行操作的用户的 UPN (Operation 属性中指定的) 导致记录被记录;例如,my_name@my_domain_name。 注意,系统帐户执行的活动记录(例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM)也包括在内。 在 SharePoint 中,UserId 属性中的另一个数值显示为 app@sharepoint。 这表明执行活动的“用户”是在 SharePoint 中拥有必要权限的应用程序,代表用户、管理员或服务执行组织范围内操作(例如,搜索 SharePoint 网站或 OneDrive 帐户)。 有关详细信息,请参阅 审核记录中的app@sharepoint用户。 |
| ClientIP | 记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 对于某些服务,此属性中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员使用的设备的 IP 地址。 此外,对于与 Azure Active Directory 相关的事件,不会记录 IP 地址,并且 ClientIP 属性的值为 null。 IP 地址显示为 IPv4 或 IPv6 地址格式。 |
| Id | 当前记录的 GUID。 |
| RecordType | 显示“标签操作”的值。 记录指示的操作类型。 此处仅列出相关的 MIP 记录类型。 |
| CreationTime | 生成审核日志记录时,协调世界时 (UTC 格式的日期和时间) ISO8601格式。 |
| 操作 | 用户或管理员活动的名称。 有关最常见操作/活动的说明,请参阅在 Office 365 保护中心搜索审核日志。 |
| OrganizationId | 组织 Office 365 租户的 GUID。 对于组织而言,该值始终相同,而不管它是在哪个 Office 365 服务中出现。 |
| UserType | 执行操作的用户类型。 有关用户类型的详细信息,请参阅 UserType 表。 0 = 常规 1 = 保留 2 = 管理员 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | UserID 属性中标识的用户的备选 ID。 此属性填充 SharePoint、OneDrive for Business 和 Exchange 中用户执行的事件的 passport 唯一 ID (PUID)。 |
| Workload | 存储发生活动的Office 365服务。 |
| 版本 | 执行审核操作的 Azure 信息保护 客户端的版本 |
| 范围 | 指定范围。 |
AipHeartBeat
下表包含与 AIP 检测信号事件相关的信息。
| 事件 | 说明 |
|---|---|
| ApplicationId | 对应于Microsoft Entra应用程序 ID。 |
| ApplicationName | 执行操作的应用程序的应用程序友好名称。 |
| CreationDate | 协调世界时 (UTC 中的日期和时间) 在用户执行活动时采用ISO8601格式。 |
| DataState | 指定数据的状态。 |
| DeviceName | 用户设备的名称。 |
| 标识 | 要进行身份验证的用户或服务的标识。 |
| IsProtected | 是否受保护:True/False |
| IsProtectedBefore | 更改前内容是否受到保护:True/False |
| IsValid | 布尔值 |
| 位置 | 文档相对于用户设备的位置。 可能的值为 unknown、localMedia、removableMedia、fileshare 和 cloud。 |
| ObjectState | 指定 对象的状态。 |
| 操作 | 审核日志的操作类型。用户或管理员活动的名称。 有关最常见操作/活动的说明: |
| PSComputerName | Computer Name |
| PSShowComputerName | 对于在 Office 365 中记录的记录,值为 False。 |
| 平台 | 设备平台 (Win、OSX、Android、iOS) 。 |
| ProcessName | 托管 MIP SDK 的进程。 |
| productVersion | 执行审核操作的 Azure 信息保护 客户端的版本。 |
| ProtectionType | 保护类型可以是模板保护类型,也可以是临时保护类型。 |
| RecordType | 显示“标签操作”的值。 记录指示的操作类型。 有关详细信息,请参阅记录类型的完整列表。 |
| RunspaceId | Runspace 是 PowerShell 的特定实例,其中包含命令行用户可用的命令、提供程序、变量、函数和语言元素的可修改集合。 |
| SensitiveInfoTypeData | 存储敏感信息类型数据的数据类型 |
| TemplateId | 用于获取特定模板的 TemplateID 参数。 Get-AipServiceTemplate cmdlet 从 Azure 信息保护获取所有现有或选定的保护模板。 |
| UserID | 执行操作的用户的 UPN (Operation 属性中指定的) 导致记录被记录;例如,my_name@my_domain_name。 注意,系统帐户执行的活动记录(例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM)也包括在内。 在 SharePoint 中,UserId 属性中的另一个数值显示为 app@sharepoint。 这表明执行活动的“用户”是在 SharePoint 中拥有必要权限的应用程序,代表用户、管理员或服务执行组织范围内操作(例如,搜索 SharePoint 网站或 OneDrive 帐户)。 有关详细信息,请参阅审核记录中的app@sharepoint用户。 |
| UserType | 执行操作的用户类型。 有关用户类型的详细信息,请参阅 UserType 表。 0 = 常规 1 = 保留 2 = 管理员 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | UserID 属性中标识的用户的备选 ID。 此属性填充 SharePoint、OneDrive for Business 和 Exchange 中用户执行的事件的 passport 唯一 ID (PUID)。 |
MicrosoftGraphDataConnectConsent 复杂类型
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| ApplicationId | Edm.Guid | 是 | 应用程序标识。 |
| ApplicationVersion | Edm.String | 是 | 应用程序版本。 |
| AppRegistrationTenantId | Edm.Guid | 是 | 应用程序注册租户 ID。 |
| 审批者 | Edm.String | 是 | 审批者的用户主体名称。 |
| ApprovalUpdatedDateInUTC | Edm.Date | 是 | 以 UTC 表示的更新日期时间。 |
| ApprovalExpiryDateInUTC | Edm.Date | 是 | 以 UTC 表示的到期日期时间。 |
| ApprovalValidDays | Edm.Int32 | 是 | 从更新开始,审批将生效的天数。 |
| DestinationSinks | Edm.String | 是 | 目标接收器。 |
| DestinationTenantId | Edm.Guid | 是 | 目标租户 ID。 |
| Reason | Edm.String | 否 | 执行操作的管理员提供的原因。 |
| 状态 | Edm.String | 是 | 同意状态。 |
| 数据集 | CollectionSelf。MGDCDataset | 是 | 有关在此操作中同意的数据集的详细信息。 |
复杂类型 MGDCDataset
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| DatasetName | Edm.String | 是 | 同意操作中数据集的名称。 |
| DatasetColumns | Edm.String | 是 | 同意操作中数据集的列列表。 |
| DenyGroups | Edm.String | 否 | 同意操作中数据集的拒绝组列表。 |
| 范围 | Edm.String | 是 | 同意操作中数据集的范围类型。 可能的值为 All、List 和 FilterUri。 |
| ScopeFiltersUris | Edm.String | 否 | 许可操作中数据集的范围筛选 URI。 |
| ScopeList | Edm.String | 否 | 同意操作中数据集的范围组列表。 |
| PrivacyPolicyType | Edm.String | 是 | 同意操作中数据集的隐私策略类型。 可能的值为 None 和 DenyList。 |
Viva Goals架构
与Viva Goals相关的事件的审核记录除了使用通用架构) 外,还使用此架构 (。 有关如何从合规性门户搜索审核日志的详细信息,请参阅 在安全 & 合规中心中搜索审核日志。 有关捕获与Viva Goals相关的事件和活动的详细信息,请参阅审核日志活动。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| 详情 | Edm.String | 否 | Viva Goals中发生的事件或活动的说明。 |
| 用户名 | Edm.String Term=“Microsoft.Office.Audit.Schema.PIIFlag” Bool=“true” |
否 | 尝试事件的用户的名称。 |
| UserRole | Edm.String | 否 | 在Viva Goals中尝试此事件的用户的角色。 如果用户是组织管理员或所有者,这将提及。 |
| OrganizationName | Edm.String Term=“Microsoft.Office.Audit.Schema.PIIFlag” Bool=“true” |
否 | 触发事件Viva Goals中的组织名称。 |
| OrganizationOwner | Edm.String Term=“Microsoft.Office.Audit.Schema.PIIFlag” Bool=“true” |
否 | 事件发生Viva Goals的组织所有者。 |
| OrganizationAdmins | 集合 (Edm.String) Term=“Microsoft.Office.Audit.Schema.PIIFlag” Bool=“true” |
否 | 发生事件的Viva Goals中的组织的管理员 () 。 组织中可以有一个或多个管理员。 |
| UserAgent | Edm.String Term=“Microsoft.Office.Audit.Schema.PIIFlag” Bool=“true” |
否 | 用户代理 (浏览器详细信息) 触发事件的用户。 系统生成事件时,UserAgent 可能不存在。 |
| ModifiedFields | Collection(Common.NameValuePair) | 否 | 已修改的属性列表,以及其新值和旧值输出为 JSON。 |
| ItemDetails | Collection(Common.NameValuePair) | 否 | 有关已修改的对象的其他属性。 |
Microsoft Planner架构
Microsoft Planner覆盖通用架构中 ObjectId 和 ResultStatus 的定义。 Microsoft Planner的 ObjectId 定义绑定到每个Microsoft Planner的记录类型,并将单独说明。
Microsoft Planner的 ResultStatus 定义如下。
枚举:ResultStatus - 类型:Edm.Int32
ResultStatus
| 值 | 成员名称 | 说明 |
|---|---|---|
| 1 | 成功 | 用户请求成功。 |
| 2 | 失败 | 由于授权以外的原因,用户请求失败。 |
| 3 | AuthorizationFailure | 由于授权失败,请求的用户失败。 |
Microsoft Planner使用以下记录类型扩展通用架构。
PlannerPlan 记录类型
| Properties | 类型 | 说明 |
|---|---|---|
| ObjectId | Edm.String | 请求的计划 ID。 |
| ContainerType | 自我。ContainerType | 与计划关联的容器的类型。 |
| ContainerId | Edm.String | 与计划关联的容器的 ID。 |
| SharedWithContainerId | Edm.String | 对计划具有共享访问权限的容器的 ID。 |
| SharedWithContainerType | 自我。ContainerType | 对计划具有共享访问权限的容器类型。 |
| SharedWithContainerAccessLevel | 自我。PlanAccessLevel | 授予具有共享计划访问权限的容器的访问权限级别。 |
枚举:ContainerType - 类型 Edm.Int32
ContainerType
| 值 | 成员名称 | 说明 |
|---|---|---|
| 0 | Invalid | 在找不到请求的计划时使用。 |
| 2 | 组 | 该计划与 M365 组相关联。 |
| 3 | TeamsConversation | 该计划与 Teams 对话相关联。 |
| 4 | OfficeDocument | 该计划与 Office 文档相关联。 |
| 5 | 花名册 | 该计划与名册组相关联。 |
| 6 | Project | 该计划源自 Microsoft Project。 |
枚举:PlanAccessLevel - 类型 Edm.Int32
PlanAccessLevel
| 值 | 成员名称 | 说明 |
|---|---|---|
| 1 | ReadAccess | 读取计划的访问权限 |
| 2 | ReadWriteAccess | 读取和写入计划的访问权限 |
| 3 | FullAccess | 访问读取、写入和配置计划 |
PlannerCopyPlan 记录类型
| Properties | 类型 | 说明 |
|---|---|---|
| ObjectId | Edm.String | 正在复制的计划 ID。 |
| OriginalPlanId | Edm.String | 正在复制的计划 ID。 与 ObjectId 相同。 |
| OriginalContainerType | 自我。ContainerType | 与原始计划关联的容器的类型。 |
| OriginalContainerId | Edm.String | 与原始计划关联的容器的 ID。 |
| NewPlanId | Edm.String | 新计划的 ID。 操作失败时为 Null。 |
| NewContainerType | 自我。ContainerType | 与新计划关联的容器的类型。 |
| NewContainerId | Edm.String | 与新计划关联的容器的 ID。 |
PlannerTask 记录类型
| Properties | 类型 | 说明 |
|---|---|---|
| ObjectId | Edm.String | 请求的任务 ID。 |
| PlanId | Edm.String | 包含任务的计划的 ID。 |
PlannerRoster 记录类型
| Properties | 类型 | 说明 |
|---|---|---|
| ObjectId | Edm.String | 请求的名单的 ID。 |
| MemberIds | Edm.String | 已更改为名单的成员 ID 的逗号分隔字符串。 |
PlannerPlanList 记录类型
| Properties | 类型 | 说明 |
|---|---|---|
| ObjectId | Edm.String | 计划列表的视图查询的表示形式。 |
| PlanList | Edm.String | 查询的计划 ID 的逗号分隔字符串。 |
PlannerTaskList 记录类型
| Properties | 类型 | 说明 |
|---|---|---|
| ObjectId | Edm.String | 任务列表的视图查询的表示形式。 |
| PlanList | Edm.String | 查询的任务 ID 的逗号分隔字符串。 |
PlannerTenantSettings 记录类型
| Properties | 类型 | 说明 |
|---|---|---|
| ObjectId | Edm.String | JSON 中的原始租户设置。 |
| TenantSettings | Edm.String | JSON 中的新租户设置。 |
PlannerRosterSensitivityLabel 记录类型
| Properties | 类型 | 说明 |
|---|---|---|
| ObjectId | Edm.String | 敏感度标签的 ID。 删除敏感度标签时为 Null。 |
| 花名册 | Edm.String | 敏感度标签更改为的名单的 ID。 |
| AssignmentMethod | 自我。SensitivityLabelAssignmentMethod | 敏感度标签的赋值方法。 |
枚举:SensitivityLabelAssignmentMethod - 类型 Edm.Int32
SensitivityLabelAssignmentMethod
| 值 | 成员名称 | 说明 |
|---|---|---|
| 0 | 标准 | 将自动应用敏感度标签,但不允许覆盖特权标签分配。 |
| 1 | 特权 | 敏感度标签由用户或管理员手动应用。 |
| 2 | 自动 | 将自动应用敏感度标签,并允许覆盖特权标签分配。 |
Microsoft Project 网页版架构
Microsoft Project For Web 使用以下记录类型扩展 通用架构 。
ProjectForThewebProject 记录类型
| Properties | 类型 | 强制? | 说明 |
|---|---|---|---|
| ProjectId | Edm.Guid | 否 | 正在审核的项目的 ID。 |
| AdditionalInfo | CollectionSelf。AdditionalInfo | 否 | 其他信息。 |
ProjectForThewebTask 记录类型
| Properties | 类型 | 强制? | 说明 |
|---|---|---|---|
| ProjectId | Edm.Guid | 是 | 正在审核的项目的 ID。 |
| TaskId | Edm.Guid | 是 | 正在审核的任务的 ID。 |
| AdditionalInfo | CollectionSelf。AdditionalInfo | 否 | 其他信息。 |
ProjectForThewebRoadmap 记录类型
| Properties | 类型 | 强制? | 说明 |
|---|---|---|---|
| RoadmapId | Edm.Guid | 是 | 正在审核的路线图的 ID。 |
| AdditionalInfo | CollectionSelf。AdditionalInfo | 否 | 其他信息。 |
ProjectForThewebRoadmapItem 记录类型
| Properties | 类型 | 强制? | 说明 |
|---|---|---|---|
| RoadmapItemId | Edm.Guid | 是 | 正在审核的路线图项的 ID。 |
| AdditionalInfo | CollectionSelf。AdditionalInfo | 否 | 其他信息。 |
复杂类型 AdditionalInfo
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| EnvironmentName | Edm.String | 否 | 执行操作的环境的 ID。 |
ProjectForThewebProjectSetting 记录类型
| Properties | 类型 | 强制? | 说明 |
|---|---|---|---|
| ProjectEnabled | Edm.Boolean | 是 | 为 Project 网页版 (1= 已启用、0 禁用) 设置的值。 |
ProjectForThewebRoadampSetting 记录类型
| Properties | 类型 | 强制? | 说明 |
|---|---|---|---|
| RoadmapEnabled | Edm.Boolean | 是 | 为路线图设置的值 (1= 已启用,0 禁用) 。 |
ProjectForThewebAssignedToMeSetting 记录类型
| Properties | 类型 | 强制? | 说明 |
|---|---|---|---|
| AssignedToMeEnabled | Edm.Boolean | 是 | 为 AssignedToMe 设置的值 (1= 已启用,0 禁用) 。 |
Viva Pulse 架构
与 Viva Pulse 相关的事件的审核记录除了使用通用架构) 外,还使用此架构 (。 有关如何从合规性门户搜索审核日志的详细信息,请参阅 在安全 & 合规中心中搜索审核日志。 有关捕获与 Viva Pulse 相关的事件和活动的详细信息,请参阅审核日志活动。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| EventName | Edm.String | 否 | Viva Pulse 中发生的事件或活动的说明。 |
| PulseId | Edm.String | 否 | 脉冲调查的 ID。 |
| EventDetails | Collection(Common.NameValuePair) | 否 | 有关事件的其他属性。 |
某些 VivaPulse 事件在 EventDetails 中记录不同的属性。 表中介绍了 EventDetail 中记录的每个属性。
| EventName | PropertName | 说明 |
|---|---|---|
| PulseReportShare | 收件人 | 与之共享脉冲调查的收件人 ID 列表。 |
| PulseCreate | 收件人 | 参与诊断脉搏调查的用户 ID 列表。 |
| PulseInvite | 收件人 | 其他受邀加入 pulse 的用户 ID 列表。 |
| PulseTenantSettingsUpdate | TenantSettingName | 更改了设置名称。 |
| PulseSubmit | 不适用 | 此事件不会将任何属性记录到 EventDetails 中。 |
| PulseExtendDeadline | 不适用 | 此事件不会将任何属性记录到 EventDetails 中。 |
| PulseCancel | 不适用 | 此事件不会将任何属性记录到 EventDetails 中。 |
| PulseCreateDraft | 不适用 | 此事件不会将任何属性记录到 EventDetails 中。 |
| PulseDeleteDraft | 不适用 | 此事件不会将任何属性记录到 EventDetails 中。 |
| PulseDeleteUserData | 不适用 | 此事件不会将任何属性记录到 EventDetails 中。 |
合规性管理器架构
与 Microsoft Purview 合规性管理器相关的事件的审核记录除了使用通用架构) 外,还使用此 架构 (。 有关如何从合规性门户搜索审核日志的详细信息,请参阅 在安全 & 合规中心中搜索审核日志。 有关捕获与合规性管理器相关的事件和活动的详细信息,请参阅 审核日志活动。
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| 详细信息 | 集合 (设置更改) | 否 | Microsoft Purview 合规性管理器发生的事件的说明。 |
下表描述了“详细信息”中 SettingsChange 属性为不同操作使用的值。
| 操作 | PropertyName | 说明 |
|---|---|---|
| 所有操作 | 名称 | 合规性管理器操作中涉及的设置的名称 |
| 所有操作 | NewValue | 新设置的新值。 |
| 所有操作 | OriginalValue | 新设置的原始值。 |
请注意 -
- 对于角色更改,名称将是角色类型
- 审核记录将反映更改事件,例如用户分配了角色或吊销了角色
- 原始值和新值将包含角色已更改的用户的电子邮件
- 如果角色没有更改,则审核记录中不会显示该角色类型。
备份策略架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| PolicyID | Edm.String | 是 | 策略的 ID。 |
| EditMethodology | Edm.String | 否 | 策略的创建/编辑方式。 |
| CountOfArtifactsBeingAdded | Edm.Int32 | 否 | 要添加的项目数。 |
| CountOfArtifactsBeingRemoved | Edm.Int32 | 否 | 要删除的项目数。 |
| ServiceType | Edm.String | 否 | 无论是 SharePoint、Exchange 还是 OneDriveForBusiness 策略。 |
还原任务架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| TaskID | Edm.String | 是 | 还原任务的 ID。 |
| CreationMethodology | Edm.String | 否 | 还原任务的创建/编辑方式。 |
| CountOfArtifactsBeingAdded | Edm.Int32 | 否 | 要添加的项目数。 |
| CountOfArtifactsBeingRemoved | Edm.Int32 | 否 | 要删除的项目数。 |
| ServiceType | Edm.String | 否 | 无论是 SharePoint、Exchange 还是 OneDriveForBusiness 策略。 |
还原项架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| RestoreTime | Edm.DateTime | 是 | 项还原到的时间。 |
| RestoreLocationType | Edm.String | 是 | 项目要还原到的位置类型。 |
| RestoreLocation | Edm.String | 否 | 项要还原到的位置。 |
| TaskID | Edm.String | 是 | 还原任务的 ID。 |
| BackupItemID | Edm.String | 是 | 正在还原的备份项的 ID。 |
| ProtectionUnitID | Edm.String | 是 | 正在还原的项的保护单元 ID。 |
| SuccessStatus | Edm.String | 否 | 还原操作是否成功。 |
| BackupItemType | Edm.String | 是 | 备份项是否为站点/帐户/邮箱。 |
| ServiceType | Edm.String | 否 | 无论是 SharePoint、Exchange 还是 OneDriveForBusiness 策略。 |
备份项架构
| 参数 | 类型 | 强制? | 说明 |
|---|---|---|---|
| PolicyID | Edm.String | 是 | 项目要添加到的策略的策略 ID。 |
| ItemID | Edm.String | 是 | 备份项的 ID。 |
| ProtectionUnitID | Edm.String | 是 | 正在备份的项的保护单元 ID。 |
| ResultStatus | Edm.String | 否 | 还原操作是否成功。 |
| BackupItemType | Edm.String | 是 | 备份项是否为站点/帐户/邮箱。 |
| EditMethodology | Edm.String | 否 | 如何添加备份项。 |
| ServiceType | Edm.String | 否 | 无论是 SharePoint、Exchange 还是 OneDriveForBusiness 策略。 |