审核日志中的详细活动属性
从 Microsoft Purview 门户或 Microsoft Purview 合规性门户导出审核日志搜索结果时,可以下载满足搜索条件的所有结果。 可以通过在“审核日志搜索”页上选择“导出结果>”“下载所有结果”来导出此信息。 有关详细信息,请参阅 搜索审核日志。
导出审核日志搜索的所有结果时,统一审核日志中的原始数据将复制到下载到本地计算机的 CSV) 文件 (逗号分隔值。 此文件包含在名为 AuditData 的列中每个审核活动记录中的其他属性信息。 此列包含审核日志记录中的多个属性的多值属性。 每个 属性: 此多值属性中的值对用逗号分隔。
下表描述了 (包含的活动属性,具体取决于在多属性 AuditData 列中) 发生活动的服务。 具有此属性列的Microsoft服务指示包含 属性 (用户或管理员) 活动的服务和类型。 有关这些属性或本文中可能未列出的属性的更多详细信息,请参阅 管理活动 API 架构。
提示
可以使用 Excel 中的 Power Query 中的 JSON 转换功能将 AuditData 列拆分为多个列,以便每个属性都有自己的列。 这让你能够对一个或多个属性进行排序和筛选。 若要了解如何执行此操作,请参阅 导出、配置和查看审核日志记录。
| 属性 | 说明 | Microsoft具有此属性的服务 |
|---|---|---|
| Actor | 执行操作的用户或服务帐户。 | Azure Active Directory |
| AddOnName | 在团队中添加、删除或更新的加载项的名称。 Microsoft Teams 中的加载项类型是机器人、连接器或选项卡。 | Microsoft Teams |
| AddOnType | 在团队中添加、删除或更新的加载项的类型。 以下值指示加载项的类型。 1 - 指示机器人。 2 - 指示连接器。 3 - 指示选项卡。 |
Microsoft Teams |
| AppAccessContext | 执行该操作的用户或服务主体的应用程序上下文。 | Microsoft Teams |
| ArtifactShared | 用户共享的文件或内容。 | Microsoft Teams |
| AzureActiveDirectoryEventType | Azure Active Directory 活动的类型。 以下值指示活动的类型。 0 - 指示帐户登录活动。 1 - 指示 Azure 应用程序安全活动。 |
Azure Active Directory |
| ChannelGuid | Microsoft Teams 频道的 ID。 频道所在的团队由 TeamName 和 TeamGuid 属性标识。 | Microsoft Teams |
| ChannelName | Microsoft Teams 频道的名称。 频道所在的团队由 TeamName 和 TeamGuid 属性标识。 | Microsoft Teams |
| 客户端 | 用于登录活动的客户端设备、设备 OS 和设备浏览器 (例如 Nokia Lumia 920;Windows Phone 8;IE Mobile 11) 。 | Azure Active Directory |
| ClientInfoString | 有关用于执行操作的电子邮件客户端的信息,例如浏览器版本、Outlook 版本和移动设备信息 | Exchange (邮箱活动) |
| ClientIP | 记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 对于某些服务,此属性中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员使用的设备的 IP 地址。 此外,对于管理员活动 (或由系统帐户) 为 Azure Active Directory 相关活动执行的活动,不会记录 IP 地址,并且 ClientIP 属性 null的值为 。 |
Azure Active Directory、Exchange、SharePoint |
| CreationTime | 协调世界时 (UTC) 生成审核日志记录时的日期和时间。 | 全部 |
| CurrentProtectionType | 包含用于描述文档当前保护状态的字段的复杂属性类型。 包括以下功能: ProtectionType:枚举应用于文档的保护类型。 这些值及其含义适用: 0 (无保护 ) ,1 (基于模板的保护 ) ,2 (不转发,对于电子邮件 ) ,3 (仅加密 ) ,4 (自定义、用户配置的保护) 所有者:配置保护的用户的电子邮件地址。 TemplateId:当 ProtectionType 设置为 1 (模板) 时,此字段包含应用于文档的模板的 GUID。 当 ProtectionType 的值不等于 1 时,此字段为空。 DocumentEncrypted:布尔标志,指示是否对文档应用了任何类型的加密。 值为 True 或 False。 |
全部 |
| DestinationFileExtension | 复制或移动的文件的文件扩展名。 此属性仅针对 FileCopied 和 FileMoved 用户活动显示。 | SharePoint |
| DestinationFileName | 复制或移动文件的名称。 此属性仅针对 FileCopied 和 FileMoved 操作显示。 | SharePoint |
| DestinationRelativeUrl | 在其中复制或移动文件的目标文件夹的 URL。 SiteURL、DestinationRelativeURL 和 DestinationFileName 属性的值的组合与 ObjectID 属性的值相同,ObjectID 属性是复制的文件的完整路径名称。 此属性仅针对 FileCopied 和 FileMoved 用户活动显示。 | SharePoint |
| EventSource | 标识 SharePoint 中发生了活动。 可能的值为 SharePoint 和 ObjectModel。 | SharePoint |
| ExternalAccess | 对于 Exchange 管理员活动,指定 cmdlet 是由组织中的用户、Microsoft数据中心人员或数据中心服务帐户运行的,还是由委派的管理员运行。 值 False 表示 cmdlet 由组织中的某人运行。 值 True 表示 cmdlet 由数据中心人员、数据中心服务帐户或委托的管理员运行。 对于 Exchange 邮箱活动,指定邮箱是否由组织外部用户访问。 |
Exchange |
| ExtendedProperties | Azure Active Directory 活动的扩展属性。 | Azure Active Directory |
| ID | 报表条目的 ID。 该 ID 唯一标识报表条目。 | 全部 |
| InternalLogonType | 仅供内部使用。 | Exchange (邮箱活动) |
| ItemType | 访问或修改的对象类型。 可能的值包括 File、 Folder、 Web、 Site、 Tenant 和 DocumentLibrary。 | SharePoint |
| IsJoinedFromLobby | 用户是否从大厅加入 Teams 会话。 | Microsoft Teams |
| LoginStatus | 标识可能已发生的登录失败。 | Azure Active Directory |
| LogonType | 邮箱访问的类型。 以下值指示访问邮箱的用户的类型。 0 - 指示邮箱所有者。 1 - 指示管理员。 2 - 指示委托。 3 - 指示Microsoft数据中心内的传输服务。 4 - 指示Microsoft数据中心内的服务帐户。 6 - 指示委派的管理员。 |
Exchange (邮箱活动) |
| MailboxGuid | 访问邮箱的 Exchange GUID。 | Exchange (邮箱活动) |
| MailboxOwnerUPN | 拥有已访问邮箱的人员的电子邮件地址。 | Exchange (邮箱活动) |
| Members | 列出已从团队添加或删除的用户。 以下值表示分配给用户的角色类型。 1 - 表示“所有者”角色。 2 - 表示“成员”角色。 3 - 表示“来宾”角色。 成员属性还包括组织的名称和成员的电子邮件地址。 |
Microsoft Teams |
| ModifiedProperties (Name、NewValue、OldValue) | 属性包含在管理员活动中,例如将用户添加为网站或网站集管理组的成员。 属性包括 (修改的属性的名称,例如,网站管理员组) 修改后属性的新值 (添加为网站管理员的用户,以及) 修改对象的先前值。 | 所有 (管理员活动) |
| ObjectFullyQualifiedName | 实体的完全限定名称。 | Microsoft Purview (治理) |
| ObjectId | 对于 Exchange 管理员审核日志,通过 cmdlet 修改的对象的名称。 对于 SharePoint 活动,是用户访问的文件或文件夹的完整 URL 路径名称。 对于 Azure AD 活动,为已修改的用户帐户的名称。 |
全部 |
| ObjectName | 主实体名称。 | Microsoft Purview (治理) |
| ObjectType | 实体类型。 | Microsoft Purview (治理) |
| OldValue | 更改前的值包括更新或删除的所有属性。 | Microsoft Purview (治理) |
| 操作 | 用户或管理员活动的名称。 此属性的值对应于在 “活动 ”下拉列表中选择的值。 如果选择了 “显示所有活动的结果 ”,则报表将包括所有用户和所有服务的管理员活动的条目。 有关在审核日志中记录的操作/活动的说明,请参阅在 Office 365 中搜索审核日志中的“已审核活动”选项卡。 对于 Exchange 管理员活动,此属性标识已运行的 cmdlet 名称。 |
全部 |
| OrganizationId | 组织的 GUID。 | 全部 |
| NewValue | 更改后的值包括更新或删除的所有属性。 | Microsoft Purview (治理) |
| Path | 访问的邮件所在的邮箱文件夹的名称。 此属性还标识在其中创建邮件或将邮件复制/移动到的文件夹 。 | Exchange (邮箱活动) |
| 参数 | 对于 Exchange 管理员活动,是与 Operation 属性中标识的 cmdlet 一起使用的所有参数的名称和值。 | Exchange (管理员活动) |
| ParticipantInfo | 有关参与者标识的其他属性。 | Microsoft Teams |
| ParticipatingDomainInformation | 有关参与者的域信息。 | Microsoft Teams |
| PreviousProtectionType | 包含用于描述文档先前保护状态的字段的复杂属性类型。 包括以下功能: ProtectionType:枚举应用于文档的保护类型。 这些值及其含义适用: 0 (无保护 ) ,1 (基于模板的保护 ) ,2 (不转发,对于电子邮件 ) ,3 (仅加密 ) ,4 (自定义、用户配置的保护) 所有者:配置保护的用户的电子邮件地址。 TemplateId:当 ProtectionType 设置为 1 (模板) 时,此字段包含应用于文档的模板的 GUID。 当 ProtectionType 的值不等于 1 时,此字段为空。 DocumentEncrypted:布尔标志,指示是否对文档应用了任何类型的加密。 值为 True 或 False。 |
全部 |
| ProtectionEventType | 枚举正在审核的操作如何更改保护。 以下值和含义适用: 0 - 指示未更改。 1 - 指示已添加。 2 - 指示已更改。 3 - 指示已删除。 |
全部 |
| RecordType | 记录指示的操作类型。 此属性指示触发操作的服务或功能。 有关记录类型及其相应 ENUM 值的列表 (这是在审核记录) 的 RecordType 属性中显示的值,请参阅 审核日志记录类型。 | |
| ResultStatus | 指示 operation 属性中指定的操作 () 是否成功。 对于 Exchange 管理员活动,值为 True (成功) 或 False (失败) 。 |
全部 |
| SecurityComplianceCenterEventType | 指示活动是Microsoft Purview 门户和合规性门户活动。 对于此属性,所有Microsoft Purview 门户和合规性门户活动的值都将为 0 。 | Microsoft Purview 门户 Microsoft Purview 合规性门户 |
| 敏感度标签 | 分配给特定邮件项目的敏感度标签。 | Exchange |
| SharingType | 分配给共享资源的用户的共享权限的类型。 此用户是在 UserSharedWith 属性中标识的。 | SharePoint |
| Site | 用户访问的文件或文件夹所在网站的 GUID。 | SharePoint |
| SiteUrl | 用户访问的文件或文件夹所在网站的 URL。 | SharePoint |
| SourceFileExtension | 用户访问的文件的文件扩展名。 如果访问对象是一个文件夹,则此属性为空。 | SharePoint |
| SourceFileName | 用户访问的文件或文件夹名称。 | SharePoint |
| SourceRelativeUrl | 包含用户访问文件的文件夹的 URL。 SiteURL、SourceRelativeURL 和 SourceFileName 属性的值的组合与 ObjectID 属性的值相同,ObjectID 属性是用户访问的文件的完整路径名称。 | SharePoint |
| 主题 | 访问的邮件的主题行。 | Exchange (邮箱活动) |
| TabType | 在团队中添加、删除或更新的选项卡的类型。 此属性的可能值为: Excel 图钉 - Excel 选项卡。 扩展 - 所有第一方和第三方应用;例如类计划、VSTS 和窗体。 备注 - OneNote 选项卡。 Pdfpin - PDF 选项卡。 Powerbi - Power BI 选项卡。 Powerpointpin - PowerPoint 选项卡。 Sharepointfiles - SharePoint 选项卡。 网页 - 固定的网站选项卡。 Wiki-tab - Wiki 选项卡。 Wordpin - Word 选项卡。 |
Microsoft Teams |
| Target | 操作 () 执行的操作属性中 标识的用户。 例如,如果将来宾添加到 SharePoint 或Microsoft团队,该用户将列在此属性中。 | Azure Active Directory |
| TeamGuid | Microsoft Teams 中团队的 ID。 | Microsoft Teams |
| TeamName | Microsoft Teams 中的团队名称。 | Microsoft Teams |
| UserAgent | 有关用户浏览器的信息。 此信息由浏览器提供。 | SharePoint |
| UserDomain | 有关执行操作的用户 (参与者) 租户组织的标识信息。 | Azure Active Directory |
| UserID | 执行操作的用户 (操作属性中指定的 用户) 导致记录被记录。 审核日志中还包括由系统帐户 ((如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) )执行的活动的审核记录。 UserId 属性的另一个常见值是 app@sharepoint。 这表明执行活动的“用户”是在 SharePoint 中拥有必要权限的应用程序,代表用户、管理员或服务执行组织范围内操作(例如,搜索 SharePoint 网站或 OneDrive 帐户)。 有关更多信息,请参阅: 审核记录中的app@sharepoint用户 或 Exchange 邮箱审核记录中的系统帐户。 |
全部 |
| UserKey | 包含 GUID 格式或十六进制格式的有效 Azure Active Directory 对象 ID。 对于主执行组件不是用户的情况, UserKey 是空字符串。 有关各种 UserKey 方案的详细信息,请参阅 UserType 和UserKey 方案。 | 全部 |
| UserType | 执行操作的用户类型。 有关各种 UserType 方案的详细信息,请参阅 UserType 和 UserKey 方案。 | 全部 |
| 版本 | 指示由记录的 Operation 属性) 标识的活动 (版本号。 | 全部 |
| Workload | 发生活动的 Microsoft 365 服务。 | 全部 |
UserType 和 UserKey 方案
下表提供了 UserType 和 UserKey 方案的详细信息:
| 值 | UserType 成员名称 | 说明 | UserKey |
|---|---|---|---|
| 0 | Regular | 没有管理员权限的普通用户。 | 以 GUID 格式Microsoft Entra 对象 ID |
| 2 | Admin | Microsoft 365 组织中的管理员。1 | 以 GUID 格式Microsoft Entra 对象 ID |
| 3 | DCAdmin | Microsoft数据中心管理员或数据中心系统帐户。 | 以 GUID 格式Microsoft Entra 对象 ID |
| 4 | System | 服务器端逻辑触发的审核事件。 例如,Windows 服务或后台进程。 | Guid.Empty.ToString () (或值'00000000-0000-0000-0000-0000-0000000000') 。 |
| 5 | Application | 由 Microsoft Entra 应用程序触发的审核事件。 | Microsoft项应用程序名称或应用程序 ID ((如果可用) )。 否则为空字符串。 |
| 6 | ServicePrincipal | 服务主体。 | Guid.Empty.ToString () (或值'00000000-0000-0000-0000-0000-0000000000') 。 |
| 7 | CustomPolicy | 客户创建或托管策略。 | Guid.Empty.ToString () (或值'00000000-0000-0000-0000-0000-0000000000') 。 |
| 8 | SystemPolicy | Microsoft托管策略或系统策略。 | Guid.Empty.ToString () (或值'00000000-0000-0000-0000-0000-0000000000') 。 |
| 9 | PartnerTechnician | 合作伙伴租户的用户代表客户租户 (在 GDAP 方案中) 。 | Guid.Empty.ToString () (或值'00000000-0000-0000-0000-0000-0000000000') 。 |
| 10 | Guest | 来宾或匿名用户。 | Guid.Empty.ToString () (或值'00000000-0000-0000-0000-0000-0000000000') 。 |
注意
1 对于Microsoft Entra 相关事件,审核记录中不使用管理员的值。 管理员执行的活动的审核记录将指示常规用户 (例如 UserType: 0) 执行该活动。 UserID 属性将标识执行活动 (普通用户或管理员) 的人员。