稽核記錄中的詳細活動屬性
當您從 Microsoft Purview 入口網站或從 Microsoft Purview 合規性入口網站匯出稽核記錄搜尋的結果時,您可以下載符合搜尋準則的所有結果。 您可以選取 [匯出結果>],在 [稽核記錄搜尋] 頁面上選取 [下載所有結果],以導出此資訊。 如需詳細資訊,請 參閱搜尋稽核記錄。
當您匯出稽核記錄搜尋的所有結果時,統一稽核記錄的原始數據會複製到下載到本機計算機的 CSV) 檔案 (逗號分隔值。 此檔案包含 AuditData 資料行中每個稽核活動記錄的其他屬性資訊。 此數據行包含稽核記錄檔記錄中多個屬性的多重值屬性。 每個 屬性:這個多重值 屬性中的值組會以逗號分隔。
下表描述 (包含的活動屬性,視活動在多重屬性 AuditData 數據行中) 的服務而定。 具有此屬性數據行的Microsoft服務會指出包含 屬性之使用者或系統管理員) (服務和活動類型。 如需這些屬性或本文中可能未列出之屬性的詳細資訊,請參閱 管理活動 API 架構。
提示
您可以在 Excel 的 Power Query 中使用 JSON 轉換功能,將 AuditData 數據行分割成多個數據行,讓每個屬性都有自己的數據行。 這樣您就可以排序及篩選一或多個屬性。 若要瞭解如何執行這項操作,請參閱導出、設定和檢視稽核記錄。
| 屬性 | 描述 | Microsoft具有此屬性的服務 |
|---|---|---|
| 演員 | 執行動作的用戶或服務帳戶。 | Azure Active Directory |
| AddOnName | 在小組中新增、移除或更新的附加元件名稱。 Microsoft Teams 中的附加元件類型是 Bot、連接器或索引標籤。 | Microsoft Teams |
| AddOnType | 在小組中新增、移除或更新的附加元件類型。 下列值表示附加元件的類型。 1 - 指出 Bot。 2 - 指出連接器。 3 - 指出索引標籤。 |
Microsoft Teams |
| AppAccessContext | 執行動作之用戶或服務主體的應用程式內容。 | Microsoft Teams |
| ArtifactShared | 用戶共用的檔案或內容。 | Microsoft Teams |
| AzureActiveDirectoryEventType | Azure Active Directory 活動的類型。 下列值表示活動類型。 0 - 指出帳戶登入活動。 1 - 指出 Azure 應用程式安全性活動。 |
Azure Active Directory |
| ChannelGuid | Microsoft Teams 頻道的標識符。 頻道所在的小組是由 TeamName 和 TeamGuid 屬性所識別。 | Microsoft Teams |
| ChannelName | Microsoft Teams 頻道的名稱。 頻道所在的小組是由 TeamName 和 TeamGuid 屬性所識別。 | Microsoft Teams |
| 用戶端 | 用於登入活動的用戶端裝置、裝置OS和裝置瀏覽器 (例如 Nokia Lumia 920;Windows Phone 8;IE Mobile 11) 。 | Azure Active Directory |
| ClientInfoString | 用來執行作業的電子郵件用戶端相關信息,例如瀏覽器版本、Outlook 版本和行動裝置資訊 | Exchange (信箱活動) |
| ClientIP | 記錄活動時所使用的裝置之 IP 位址。 IP 位址會以 IPv4 或 IPv6 位址格式顯示。 對於某些服務,此屬性中顯示的值可能是受信任應用程式的IP位址 (例如,Web 應用程式上的 Office) 代表使用者呼叫服務,而不是執行活動人員所使用之裝置的IP位址。 此外,對於系統帳戶所執行的系統管理活動 (或活動,) Azure Active Directory 相關活動,則不會記錄 IP 位址,且 ClientIP 屬性的值為 null。 |
Azure Active Directory、Exchange、SharePoint |
| CreationTime | 產生稽核記錄檔記錄時,國際標準時間 (UTC) 的日期和時間。 | 全部 |
| CurrentProtectionType | 複雜屬性類型,包含描述檔目前保護狀態的欄位。 包含下列專案: ProtectionType:列舉套用至文件的保護類型。 這些值及其意義適用: 0 (無保護) 、 1 個 (範本型保護) 、 2 個 (不轉寄、電子郵件) 、 3 個僅) 加密 (, 以及 4 個 (自定義使用者設定的保護) 擁有者:設定保護之使用者的電子郵件位址。 TemplateId:當 ProtectionType 設定為 1 (範本) 時,此欄位會包含套用至檔之範本的 GUID。 當 ProtectionType 的值不等於 1 時,此字段為空白。 DocumentEncrypted:布爾值旗標,指出是否將任何類型的加密套用至檔。 值為 True 或 False。 |
全部 |
| DestinationFileExtension | 複製或移動之檔案的擴展名。 這個屬性只會針對 FileCopied 和 FileMoved 用戶活動顯示。 | SharePoint |
| DestinationFileName | 檔名會複製或移動。 這個屬性只會針對 FileCopied 和 FileMoved 動作顯示。 | SharePoint |
| DestinationRelativeUrl | 複製或移動檔案之目的地資料夾的URL。 SiteURL、DestinationRelativeURL 和 DestinationFileName 屬性的值組合與 ObjectID 屬性的值相同,也就是所複製檔案的完整路徑名稱。 這個屬性只會針對 FileCopied 和 FileMoved 用戶活動顯示。 | SharePoint |
| EventSource | 識別 SharePoint 中發生的活動。 可能的值為 SharePoint 和 ObjectModel。 | SharePoint |
| ExternalAccess | 針對 Exchange 系統管理員活動,指定 Cmdlet 是由您組織中的使用者、Microsoft數據中心人員或數據中心服務帳戶,還是由委派的系統管理員執行。
False 值表示 Cmdlet 是由您組織中的某人執行。
值 True 表示 Cmdlet 是由資料中心人員、數據中心服務帳戶或委派的系統管理員所執行。 針對 Exchange 信箱活動,指定貴組織外部的使用者是否存取信箱。 |
Exchange |
| ExtendedProperties | Azure Active Directory 活動的擴充屬性。 | Azure Active Directory |
| 識別碼 | 報表項目的標識碼。 標識碼可唯一識別報表專案。 | 全部 |
| InternalLogonType | 保留給內部使用。 | Exchange (信箱活動) |
| ItemType | 已存取或修改的物件類型。 可能的值包括 [檔案]、 [資料夾]、[ Web]、[ 網站]、[ 租使用者] 和 [DocumentLibrary]。 | SharePoint |
| IsJoinedFromLobby | 使用者是否從大廳加入 Teams 會話。 | Microsoft Teams |
| LoginStatus | 識別可能發生的登入失敗。 | Azure Active Directory |
| LogonType | 信箱存取的類型。 下列值指出存取信箱的用戶類型。 0 - 指出信箱擁有者。 1 - 指出系統管理員。 2 - 表示委派。 3 - 指出Microsoft數據中心的傳輸服務。 4 - 指出Microsoft數據中心內的服務帳戶。 6 - 指出委派的系統管理員。 |
Exchange (信箱活動) |
| MailboxGuid | 已存取之信箱的 Exchange GUID。 | Exchange (信箱活動) |
| MailboxOwnerUPN | 擁有所存取信箱之人員的電子郵件位址。 | Exchange (信箱活動) |
| 成員 | 列出已從小組新增或移除的使用者。 下列值指出已指派使用者的角色類型。 1 - 代表「擁有者」角色。 2 - 代表「成員」角色。 3 - 代表「來賓」角色。 成員屬性也會包含貴組織名稱與成員的電子郵件。 |
Microsoft Teams |
| ModifiedProperties (Name、NewValue、OldValue) | 屬性包含在系統管理活動中,例如將使用者新增為網站或網站集合系統管理員群組的成員。 屬性包含已修改 (的屬性名稱,例如,Site Admin 群組) 修改屬性的新值 (例如新增為網站管理員的使用者,以及修改物件的上一個值) 。 | 所有 (系統管理活動) |
| ObjectFullyQualifiedName | 實體的完整名稱。 | Microsoft Purview (治理) |
| ObjectId | 針對 Exchange 系統管理員稽核記錄,這是 Cmdlet 修改的物件名稱。 若為 SharePoint 活動,則為使用者存取之檔案或資料夾的完整 URL 路徑名稱。 針對 Azure AD 活動,為已修改的用戶帳戶名稱。 |
全部 |
| ObjectName | 主要實體名稱。 | Microsoft Purview (治理) |
| ObjectType | 實體類型。 | Microsoft Purview (治理) |
| OldValue | 變更前的值包含所有更新或刪除的屬性。 | Microsoft Purview (治理) |
| 作業 | 使用者或系統管理員活動的名稱。 這個屬性的值會對應至 [ 活動 ] 下拉式清單中選取的值。 如果已選取 [顯示所有活動的結果 ],報表會包含所有服務的所有用戶和系統管理員活動專案。 如需稽核記錄中所記錄作業/活動的描述,請參閱在 Office 365 中搜尋稽核記錄中的 [稽核活動] 索引卷標。 針對 Exchange 系統管理員活動,此屬性會識別已執行的 Cmdlet 名稱。 |
全部 |
| OrganizationId | 貴組織的 GUID。 | 全部 |
| NewValue | 變更后的值包含所有更新或刪除的屬性。 | Microsoft Purview (治理) |
| 路徑 | 存取郵件所在的信箱資料夾名稱。 此屬性也會識別在 其中建立訊息或複製/移動至的資料夾。 | Exchange (信箱活動) |
| 參數 | 針對 Exchange 系統管理員活動,這是與 Operation 屬性中識別的 Cmdlet 搭配使用之所有參數的名稱和值。 | Exchange (系統管理活動) |
| ParticipantInfo | 關於參與者身分識別的其他屬性。 | Microsoft Teams |
| ParticipatingDomainInformation | 參與者的相關網域資訊。 | Microsoft Teams |
| PreviousProtectionType | 複雜屬性類型,包含用來描述檔先前保護狀態的欄位。 包含下列專案: ProtectionType:列舉套用至文件的保護類型。 這些值及其意義適用: 0 (無保護) 、 1 個 (範本型保護) 、 2 個 (不轉寄、電子郵件) 、 3 個僅) 加密 (, 以及 4 個 (自定義使用者設定的保護) 擁有者:設定保護之使用者的電子郵件位址。 TemplateId:當 ProtectionType 設定為 1 (範本) 時,此欄位會包含套用至檔之範本的 GUID。 當 ProtectionType 的值不等於 1 時,此字段為空白。 DocumentEncrypted:布爾值旗標,指出是否將任何類型的加密套用至檔。 值為 True 或 False。 |
全部 |
| ProtectionEventType | 列舉稽核作業變更保護的方式。 適用下列值和意義: 0 - 表示未變更。 1 - 指出已新增。 2 - 指出已變更。 3 - 表示已移除。 |
全部 |
| RecordType | 記錄所指示的作業類型。 這個屬性表示觸發作業的服務或功能。 如需記錄類型清單及其對應的 ENUM 值 (這是稽核記錄) 中 RecordType 屬性中顯示的值,請參閱 稽核記錄類型。 | |
| ResultStatus | 指出 operation 屬性中 指定的動作 () 是否成功。 針對 Exchange 系統管理員活動,此值為 True (成功) 或 False (失敗) 。 |
全部 |
| SecurityComplianceCenterEventType | 指出活動是 Microsoft Purview 入口網站和合規性入口網站活動。 所有Microsoft的 Purview 入口網站和合規性入口網站活動,此屬性的值為 0 。 | Microsoft Purview 入口網站 Microsoft Purview 合規性入口網站 |
| SensitivityLabel | 指派給特定郵件專案的敏感度標籤。 | Exchange |
| SharingType | 指派給共用資源之使用者的共享許可權類型。 此使用者是在 UserSharedWith 屬性中識別。 | SharePoint |
| 網站 | 使用者存取之檔案或資料夾所在的網站 GUID。 | SharePoint |
| SiteUrl | 使用者存取之檔案或資料夾所在的網站URL。 | SharePoint |
| SourceFileExtension | 使用者所存取之檔案的擴展名。 如果存取的對像是資料夾,則此屬性為空白。 | SharePoint |
| SourceFileName | 使用者所存取之檔案或資料夾的名稱。 | SharePoint |
| SourceRelativeUrl | 包含使用者存取之檔案的資料夾URL。 SiteURL、SourceRelativeURL 和 SourceFileName 屬性的值組合與 ObjectID 屬性的值相同,這是使用者存取之檔案的完整路徑名稱。 | SharePoint |
| 主旨 | 已存取之訊息的主旨行。 | Exchange (信箱活動) |
| TabType | 小組中新增、移除或更新的索引標籤型態。 此屬性的可能值為: Excel 釘選 - Excel 索引標籤。 擴 充功能 - 所有第一方和第三方應用程式;例如類別排程、VSTS 和表單。 附註 - OneNote 索引標籤。 Pdfpin - PDF 索引標籤。 Powerbi - Power BI 索引標籤。 Powerpointpin - PowerPoint 索引標籤。 Sharepointfiles - SharePoint 索引卷標。 網頁 - 釘選的網站索引標籤。 Wiki 索引標籤 - Wiki 索引標籤。 Wordpin - Word 索引標籤。 |
Microsoft Teams |
| Target | 在 Operation 屬性中 (識別的動作) 執行所在的使用者。 例如,如果來賓新增至 SharePoint 或Microsoft小組,該使用者會列在此屬性中。 | Azure Active Directory |
| TeamGuid | Microsoft Teams 中小組的標識符。 | Microsoft Teams |
| TeamName | Microsoft Teams 中的小組名稱。 | Microsoft Teams |
| UserAgent | 用戶瀏覽器的相關信息。 此資訊是由瀏覽器提供。 | SharePoint |
| UserDomain | 執行動作的使用者 (動作專案) 租用戶組織的身分識別資訊。 | Azure Active Directory |
| UserId | 執行動作的使用者 (Operation 屬性中指定的) ,導致記錄被記錄。 稽核記錄中也會包含系統帳戶 (例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) 所執行活動的稽核記錄。 UserId 屬性的另一個常見值是app@sharepoint。 這表示執行活動的「使用者」是在 SharePoint 中具有必要許可權的應用程式,可執行整個組織的動作, (例如代表使用者、系統管理員或服務搜尋 SharePoint 網站或 OneDrive 帳戶) 。 如需詳細資訊,請參閱: 稽核記錄中的app@sharepoint使用者 或 Exchange 信箱稽核記錄中的系統帳戶。 |
全部 |
| UserKey | 包含 GUID 格式或十六進位格式的有效 Azure Active Directory 物件識別碼。 在主要執行者不是用戶的情況下, UserKey 是空字串。 如需各種UserKey案例的詳細資訊,請參閱UserType和UserKey案例。 | 全部 |
| UserType | 執行作業的用戶類型。 如需各種UserType案例的詳細資訊,請參閱UserType和UserKey案例。 | 全部 |
| 版本 | 指出記錄的 Operation 屬性) 所識別之活動 (的版本號碼。 | 全部 |
| 工作負載 | 活動發生的Microsoft 365 服務。 | 全部 |
UserType 和 UserKey 案例
下表提供 UserType 和 UserKey 案例的詳細資料:
| 值 | UserType 成員名稱 | 描述 | UserKey |
|---|---|---|---|
| 0 | 標準 | 沒有系統管理員許可權的一般使用者。 | Microsoft GUID 格式的 Entra 物件識別碼 |
| 2 | 系統管理員 | Microsoft 365 組織中的系統管理員。1 | Microsoft GUID 格式的 Entra 物件識別碼 |
| 3 | DCAdmin | Microsoft數據中心系統管理員或數據中心系統帳戶。 | Microsoft GUID 格式的 Entra 物件識別碼 |
| 4 | 系統 | 伺服器端邏輯所觸發的稽核事件。 例如,Windows 服務或背景進程。 | Guid.Empty.ToString () (或值 '000000000-0000-0000-0000-000000000000') 。 |
| 5 | 應用程式 | Microsoft Entra 應用程式所觸發的稽核事件。 | Microsoft可用的應用程式名稱或應用程式識別碼 () 。 否則為空字串。 |
| 6 | ServicePrincipal | 服務主體。 | Guid.Empty.ToString () (或值 '000000000-0000-0000-0000-000000000000') 。 |
| 7 | CustomPolicy | 客戶建立或受控原則。 | Guid.Empty.ToString () (或值 '000000000-0000-0000-0000-000000000000') 。 |
| 8 | SystemPolicy | Microsoft管理或系統原則。 | Guid.Empty.ToString () (或值 '000000000-0000-0000-0000-000000000000') 。 |
| 9 | PartnerTechnician | 在 GDAP 案例中代表客戶租使用者 (工作的合作夥伴租用戶使用者) 。 | Guid.Empty.ToString () (或值 '000000000-0000-0000-0000-000000000000') 。 |
| 10 | 客人 | 來賓或匿名使用者。 | Guid.Empty.ToString () (或值 '000000000-0000-0000-0000-000000000000') 。 |
注意事項
1 針對Microsoft相關事件,稽核記錄中不會使用系統管理員的值。 系統管理員所執行活動的稽核記錄會指出一般使用者 (例如 UserType: 0) 執行活動。 UserID 屬性會識別執行活動的一般用戶或系統管理員) (人員。