EnrichedMicrosoft365AuditLogs

下表是身分識別和網路存取的一部分，其中包含擴充的 Microsoft 365 稽核記錄。 這些記錄可用於原則、風險和流量管理，以及監視用戶體驗。

數據表屬性

屬性	值
資源類型	-
類別	安全性、網路、IT & 管理工具
方案	LogManagement
基本記錄檔	No
擷取時間轉換	No
範例查詢	-

資料行

資料行	類型	Description
ActorUserType	字串	執行作業的使用者類型。 可能的型別包括：管理員、系統、應用程式、服務主體和其他。
AdditionalProperties	動態	其他活動欄位
_BilledSize	real	以位元組為單位的記錄大小
ClientIp	字串	記錄活動時使用的裝置的 IP 位址。 IP 位址會以 IPv4 或 IPv6 位址格式顯示。 對於某些服務，此屬性中顯示的值可能是受信任應用程式的IP位址 (，例如，Office 網頁版 應用程式) 代表使用者呼叫服務，而不是執行活動的人員所使用的裝置IP位址。 此外，針對 Azure Active Directory 相關事件，不會記錄 IP 位址，而且 ClientIP 屬性的值是 Null。
DeviceId	字串	如記錄中所報告的來源裝置識別碼。
DeviceOperatingSystem	字串	線上作業系統類型的用戶端。
DeviceOperatingSystemVersion	字串	線上作業系統版本的用戶端。
識別碼	字串	稽核記錄的唯一識別碼。
_IsBillable	字串	指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時
ObjectId	字串	針對 SharePoint 和商務用 OneDrive 活動，使用者存取之檔案或資料夾的完整路徑名稱。 針對 Exchange 系統管理員稽核記錄，Cmdlet 修改的物件名稱。
作業	字串	執行活動的使用者或系統管理員活動名稱。
OrganizationId	字串	貴組織的 Office 365 租用戶 GUID。 無論此值是在哪一個 Office 365 服務中發生，對於貴組織而言它將會一律相同。
RecordType	int	記錄所指出的作業類型。 如需稽核記錄記錄類型的詳細資料，請參閱 AuditLogRecordType 資料表。
ResultStatus	字串	指出 (Operation 屬性中指定的) 動作是否成功。 可能的值為 Succeeded、PartiallySucceeded 或 Failed。
SourceIp	字串	連線或工作階段的來源 IP 位址。
SourceSystem	字串	事件所收集的代理程序類型。 例如，針對 Windows 代理程式、OpsManager直接連線或 Operations Manager、Linux所有 Linux 代理程式，或Azure針對 Azure 診斷
TenantId	字串	Log Analytics 工作區標識符
TimeGenerated	Datetime	使用者執行活動的 UTC 日期和時間。
類型	字串	資料表的名稱
UniqueTokenId	字串	唯一令牌標識碼
UserId	字串	執行導致記錄該筆記錄之動作 (在 Operation 屬性中指定) 的使用者 UPN (使用者主體名稱)，例如，my_name@my_domain_name。 請注意，系統帳戶 (例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) 所執行的活動記錄也包含在內。 在 SharePoint 中，UserId 屬性中的另一個值會顯示app@sharepoint。 這表示執行活動的「使用者」是具有 SharePoint 中必要許可權的應用程式，可執行全組織動作 (，例如代表使用者、系統管理員或服務搜尋 SharePoint 網站或 OneDrive) 帳戶。 如需詳細資訊，請參閱稽核記錄中的app@sharepoint使用者。
UserKey	字串	UserId 屬性所識別之使用者的替代識別碼。 例如，針對由使用者在 SharePoint、商務用 OneDrive 及 Exchange 中所執行的事件，此屬性都會填入 Passport 唯一識別碼 (PUID)。 這個屬性也可以針對系統帳戶所執行的其他服務和事件，指定與UserID屬性相同的值。
使用者類型	字串	執行作業的使用者類型。
工作負載	字串	發生活動的 Office 365 服務。