Compartir a través de


EnrichedMicrosoft365AuditLogs

Esta tabla forma parte de Identity and Network Access, que contiene registros de auditoría de Microsoft 365 enriquecidos. Estos registros se pueden aprovechar para la administración de directivas, riesgos y tráfico, así como para supervisar la experiencia de los usuarios.

Atributos de tabla

Attribute Valor
Tipos de recursos -
Categorías Seguridad, red, herramientas de TI y administración
Soluciones LogManagement
Registro básico No
Transformación en tiempo de ingesta No
Consultas de ejemplo -

Columnas

Columna Type Descripción
ActorUserType string El tipo de usuario que realizó la operación. Los tipos posibles incluyen: Admin, System, Application, Service Principal y Other.
AdditionalProperties dinámico Campos de actividad adicionales
_BilledSize real Tamaño del registro en bytes
ClientIp string La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. Para algunos servicios, el valor mostrado en esta propiedad podría ser la dirección IP de una aplicación de confianza (por ejemplo, Office en la Web aplicaciones) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo usado por la persona que realizó la actividad. Además, para los eventos relacionados con Azure Active Directory, la dirección IP no se registra y el valor de la propiedad ClientIP es NULL.
DeviceId string Identificador del dispositivo de origen tal y como se muestra en el registro.
DeviceOperatingSystem string El cliente que conecta el tipo de sistema operativo.
DeviceOperatingSystemVersion string El cliente que conecta la versión del sistema operativo.
Id string Identificador único de un registro de auditoría.
_IsBillable string Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure
ObjectId string Para la actividad de SharePoint y OneDrive para la empresa, el nombre de ruta de acceso completo del archivo o carpeta al que tiene acceso el usuario. Para el registro de auditoría de administrador de Exchange, el nombre del objeto modificado por el cmdlet .
Operación string Nombre del usuario o la actividad de administrador que realizó la actividad.
OrganizationId string El identificador único GUID del inquilino de Office 365 de su organización. Este valor siempre será el mismo para su organización, con independencia del servicio de Office 365 en el que se produce.
RecordType int Tipo de operación indicado por el registro. Consulte la tabla AuditLogRecordType para obtener más información sobre los tipos de registros de auditoría.
ResultStatus string Indica si la acción (especificada en la propiedad Operation) se realizó correctamente o no. Los valores posibles son Succeeded (correcta), PartiallySucceeded (parcialmente correcta) o Failed (con errores).
SourceIp string Dirección IP desde la que se originó la conexión o la sesión.
SourceSystem string Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics
TenantId string Id. del área de trabajo de Log Analytics
TimeGenerated datetime Fecha y hora en UTC cuando el usuario realizó la actividad.
Tipo string Nombre de la tabla.
UniqueTokenId string Identificador de token único
UserId string UpN (nombre principal de usuario) del usuario que realizó la acción (especificada en la propiedad Operation) que dio lugar a que se registrara el registro; por ejemplo, my_name@my_domain_name. Tenga en cuenta que también se incluyen los registros de actividad realizados por cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Esto indica que el "usuario" que realizó la actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones de toda la organización (como buscar un sitio de SharePoint o una cuenta de OneDrive) en nombre de un usuario, administrador o servicio. Para obtener más información, consulte el app@sharepoint usuario en los registros de auditoría.
UserKey string Un identificador alternativo para el usuario identificado en la propiedad UserId. Por ejemplo, esta propiedad se rellena con el identificador único de Passport (PUID) para los eventos producidos por los usuarios de SharePoint, OneDrive para la empresa y Exchange. Esta propiedad también puede especificar el mismo valor que la propiedad UserID para los eventos que se producen en otros servicios y eventos realizados por cuentas del sistema.
UserType string El tipo de usuario que realizó la operación.
Carga de trabajo string El servicio de Office 365 donde se produjo la actividad.