AADGroupId |
string |
Identificador de grupo de Azure Active Directory |
AADTarget |
string |
El usuario en el que se realizó la acción (identificada por la propiedad Operation) |
Actividad |
string |
Actividad que realizó el usuario. |
Actor |
string |
El usuario o la entidad de servicio que realizó la acción |
ActorContextId |
string |
GUID de la organización a la que pertenece el actor |
ActorIpAddress |
string |
Dirección IP del actor en formato de dirección IPV4 o IPV6 |
AddOnGuid |
string |
Identificador único del complemento generado este evento |
AddonName |
string |
Nombre del complemento que generó este evento |
AddOnType |
string |
Tipo de complemento que generó este evento |
AffectedItems |
string |
Información sobre cada elemento del grupo |
AppDistributionMode |
string |
Modo de distribución de aplicaciones |
AppId |
string |
Identificador de aplicación |
Application |
string |
El nombre de la aplicación |
ApplicationId |
string |
Id. de aplicación de SharePoint |
AppPoolName |
string |
Nombre del grupo de aplicaciones |
AzureActiveDirectory_EventType |
string |
El tipo de evento de Azure AD |
AzureADAppId |
string |
Identificador de Azure AD de la aplicación teams |
_BilledSize |
real |
Tamaño del registro en bytes |
ChannelGuid |
string |
Un identificador único para el canal que se va a auditar |
ChannelName |
string |
Nombre del canal que se va a auditar |
ChannelType |
string |
Tipo de canal que se audita (Estándar/Privado) |
ChatName |
string |
Nombre del chat |
ChatThreadId |
string |
Identificador del subproceso de chat |
Cliente |
string |
Detalles sobre el dispositivo cliente, el sistema operativo del dispositivo y el explorador de dispositivos que se usó para el del evento de inicio de sesión de la cuenta |
Client_IPAddress |
string |
Dirección IP del dispositivo que se usó cuando se registró la operación. |
ClientAppId |
string |
Id. de la aplicación cliente |
ClientInfoString |
string |
Información sobre el cliente de correo electrónico que se usó para realizar la operación |
ClientIP |
string |
Dirección IP del dispositivo que se usó cuando se registró la actividad. |
ClientMachineName |
string |
Nombre del equipo que hospeda el cliente de Outlook |
ClientProcessName |
string |
Cliente de correo electrónico que se usó para acceder al buzón |
ClientVersion |
string |
La versión del cliente de correo electrónico |
CommunicationType |
string |
Tipo de comunicaciones realizadas |
CrossMailboxOperations |
bool |
Indica si la operación implica más de un buzón |
CustomEvent |
string |
Cadena opcional para eventos personalizados |
DataCenterSecurityEventType |
int |
Tipo de evento dmdlet en el cuadro de bloqueo |
DestFolder |
string |
La carpeta de destino |
DestinationFileExtension |
string |
Extensión de archivo de un archivo que se copia o se mueve |
DestinationFileName |
string |
Nombre del archivo que se copia o se mueve. |
DestinationRelativeUrl |
string |
Dirección URL de la carpeta de destino donde se copia o mueve un archivo. |
DestMailboxId |
string |
Establezca solo si el parámetro CrossMailboxOperations es True |
DestMailboxOwnerMasterAccountSid |
string |
Establezca solo si el parámetro CrossMailboxOperations es True |
DestMailboxOwnerSid |
string |
Establezca solo si el parámetro CrossMailboxOperations es True |
DestMailboxOwnerUPN |
string |
Establezca solo si el parámetro CrossMailboxOperations es True |
EffectiveOrganization |
string |
Nombre del inquilino al que se ha dirigido la elevación o el cmdlet |
ElevationApprovedTime |
datetime |
Marca de tiempo para cuando se aprobó la elevación. |
ElevationApprover |
string |
Nombre de un administrador de Microsoft |
ElevationDuration |
int |
Duración durante la cual la elevación estaba activa (en horas) |
ElevationRequestId |
string |
Identificador único de la solicitud de elevación |
ElevationRole |
string |
Rol al que se solicitó la elevación |
ElevationTime |
datetime |
Hora de inicio de la elevación |
Event_Data |
string |
Carga opcional para eventos personalizados |
EventSource |
string |
Identifica que se ha producido un evento en SharePoint. Los valores posibles son SharePoint o ObjectModel |
ExtendedProperties |
string |
Propiedades extendidas del evento de Azure AD |
ExternalAccess |
string |
Especifica si un usuario de la organización ejecutó el cmdlet. |
ExtraProperties |
dinámico |
Lista de propiedades adicionales |
Carpeta |
string |
Carpeta donde se encuentra un grupo de elementos |
Carpetas |
string |
Información sobre las carpetas de origen implicadas en una operación |
GenericInfo |
string |
Se usa para comentarios y otra información genérica |
InternalLogonType |
int |
Reservado para uso interno |
InterSystemsId |
string |
GUID que realiza un seguimiento de las acciones entre componentes dentro del servicio de Office 365 |
IntraSystemId |
string |
Guid generado por Azure Active Directory para realizar un seguimiento de la acción |
_IsBillable |
string |
Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure |
IsManagedDevice |
bool |
Indica si una operación la creó un dispositivo administrado por la organización. |
IssuedAtTime |
datetime |
Emitido at se establece si el token de Microsoft Entra está disponible para la solicitud e indica cuándo se produjo la autenticación de este token de Microsoft Entra. |
Elemento |
string |
Representa el elemento en el que se realizó la operación |
ItemName |
string |
Cadena en el campo Asunto del mensaje de correo electrónico |
ItemType |
string |
El tipo de objeto al que se ha accedido o modificado. Consulte la tabla ItemType para obtener más información sobre los tipos de objetos. |
LoginStatus |
int |
Esta propiedad viene directamente de OrgIdLogon.LoginStatus. La asignación de varios errores de inicio de sesión interesantes se puede realizar mediante algoritmos de alerta |
Logon_Type |
string |
Indica el tipo de usuario al que obtuvo acceso al buzón y realizó la operación que se registró. |
LogonUserDisplayName |
string |
Nombre descriptivo del usuario que realizó la operación |
LogonUserSid |
string |
SID del usuario que realizó la operación |
MachineDomainInfo |
string |
Información sobre las operaciones de sincronización de dispositivos |
MachineId |
string |
Información sobre las operaciones de sincronización de dispositivos |
MailboxGuid |
string |
GUID de Exchange del buzón al que se ha accedido |
MailboxOwnerMasterAccountSid |
string |
SID de cuenta maestra de la cuenta maestra del buzón de correo |
MailboxOwnerSid |
string |
El SID del propietario del buzón |
MailboxOwnerUPN |
string |
La dirección de correo electrónico de la persona que posee el buzón al que se ha accedido |
Miembros |
dinámico |
Una lista de usuarios dentro de un equipo |
MessageId |
string |
Identificador de un mensaje de chat o canal |
ModifiedObjectResolvedName |
string |
Este es el nombre descriptivo del objeto modificado por el cmdlet |
ModifiedProperties |
string |
La propiedad se incluye para eventos de administrador, como agregar un usuario como miembro de un sitio o un grupo de administradores de colección de sitios. |
Nombre |
string |
Solo está presente para los eventos de configuración. Nombre de la configuración que cambió |
NewValue |
string |
Solo está presente para los eventos de configuración. Nuevo valor de la configuración |
OfficeId |
string |
Identificador único de un registro de auditoría |
OfficeObjectId |
string |
Para la actividad de SharePoint y OneDrive para la Empresa |
OfficeTenantId |
string |
Id. de inquilino de office |
OfficeWorkload |
string |
El servicio de Office 365 donde se produjo la actividad |
OldValue |
string |
Solo está presente para los eventos de configuración. Valor anterior de la configuración |
Operación |
string |
Nombre de la operación que el usuario está realizando |
OperationProperties |
dinámico |
Propiedades de operación adicionales |
OperationScope |
string |
Ámbito en el que se realizó la operación |
OrganizationId |
string |
El identificador único GUID del inquilino de Office 365 de su organización. Este valor siempre será el mismo para su organización. |
OrganizationName |
string |
Nombre del inquilino |
OriginatingServer |
string |
Nombre del servidor desde el que se ejecutó el cmdlet. |
Parámetros |
string |
Nombre y valor de todos los parámetros que se usaron con el cmdlet identificado en la propiedad Operations |
RecordType |
string |
Tipo de operación indicado por el registro. Consulte la tabla AuditLogRecordType para obtener más información sobre los tipos de registros de auditoría. |
_ResourceId |
string |
Identificador único del recurso al que está asociado el registro. |
ResultReasonType |
string |
Motivo del resultado notificado en ResultType |
ResultStatus |
string |
Indica si la acción (especificada en la propiedad Operation) se realizó correctamente o no. |
SendAsUserMailboxGuid |
string |
GUID de Exchange del buzón al que se tuvo acceso para enviar correo electrónico como |
SendAsUserSmtp |
string |
Dirección SMTP del usuario que se está suplantando |
SendonBehalfOfUserMailboxGuid |
string |
GUID de Exchange del buzón al que se tuvo acceso para enviar correo en nombre de |
SendOnBehalfOfUserSmtp |
string |
Dirección SMTP del usuario en cuyo nombre se envía el correo electrónico |
SharingType |
string |
El tipo de permisos que se asignaron al usuario con el que se ha compartido el recurso. Este usuario se identifica mediante el parámetro UserSharedWith. |
Site_ |
string |
Guid del sitio donde se encuentra el archivo o carpeta al que tiene acceso el usuario. |
Site_Url |
string |
Dirección URL del sitio donde se encuentra el archivo o la carpeta a la que tiene acceso el usuario. |
Source_Name |
string |
La entidad que desencadenó la operación auditada. Los valores posibles son SharePoint o ObjectModel |
SourceFileExtension |
string |
Extensión de archivo del archivo al que ha accedido el usuario. |
SourceFileName |
string |
Nombre del archivo o carpeta al que tiene acceso el usuario. |
SourceRecordId |
string |
Identificador único de un registro de auditoría |
SourceRelativeUrl |
string |
Dirección URL de la carpeta que contiene el archivo al que tiene acceso el usuario. |
SourceSystem |
string |
Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
SRPolicyId |
string |
Id. de directiva |
SRPolicyName |
string |
Nombre de la directiva |
SRRuleMatchDetails |
dinámico |
Detalles de la regla |
Start_Time |
datetime |
Fecha y hora en que se ejecutó el cmdlet |
_SubscriptionId |
string |
Identificador único de la suscripción a la que está asociado el registro. |
SupportTicketId |
string |
Identificador de incidencia de soporte al cliente para la acción en situaciones de "actuar en nombre de" |
TabType |
string |
Tipo de pestaña que generó este evento |
TargetContextId |
string |
Guid de la organización a la que pertenece el usuario de destino |
TargetUserId |
string |
Id. de usuario de destino |
TargetUserOrGroupName |
string |
Almacena el UPN o el nombre del usuario o grupo de destino con el que se compartió un recurso. |
TargetUserOrGroupType |
string |
Identifica si el usuario o grupo de destino es miembro, invitado, grupo o asociado |
TeamGuid |
string |
Un identificador único para el equipo que se está auditando |
TeamName |
string |
Nombre del equipo que se está auditando |
TenantId |
string |
Id. del área de trabajo de Log Analytics |
TimeGenerated |
datetime |
Fecha y hora en hora universal coordinada (UTC) cuando el usuario realizó la actividad. |
Tipo |
string |
Nombre de la tabla. |
UniqueTokenId |
string |
UniqueTokenId se establece si el token de Microsoft Entra está disponible para la solicitud. Es un identificador único por token que distingue mayúsculas de minúsculas. |
UserAgent |
string |
Agente de usuario |
UserDomain |
string |
Dominio del usuario |
UserId |
string |
UpN (nombre principal de usuario) del usuario que realizó la acción (especificada en la propiedad Operation) que dio lugar a que se registrara el registro. |
UserKey |
string |
Un identificador alternativo para el usuario identificado en la propiedad UserId |
UserSharedWith |
string |
Usuario con el que se compartió un recurso |
UserType |
string |
El tipo de usuario que realizó la operación. Consulte la tabla UserType para obtener más información sobre los tipos de usuarios. |