| AADGroupId |
string |
Identificador de grupo de Azure Active Directory |
| AADTarget |
string |
El usuario en el que se realizó la acción (identificada por la propiedad Operation) |
| Actividad |
string |
Actividad que realizó el usuario. |
| Actor |
string |
El usuario o la entidad de servicio que realizó la acción |
| ActorContextId |
string |
GUID de la organización a la que pertenece el actor |
| ActorIpAddress |
string |
Dirección IP del actor en formato de dirección IPV4 o IPV6 |
| AddOnGuid |
string |
Identificador único del complemento generado este evento |
| AddonName |
string |
Nombre del complemento que generó este evento |
| AddOnType |
string |
Tipo de complemento que generó este evento |
| AffectedItems |
string |
Información sobre cada elemento del grupo |
| AppDistributionMode |
string |
Modo de distribución de aplicaciones |
| AppId |
string |
Identificador de aplicación |
| Application |
string |
El nombre de la aplicación |
| ApplicationId |
string |
Id. de aplicación de SharePoint |
| AppPoolName |
string |
Nombre del grupo de aplicaciones |
| AzureActiveDirectory_EventType |
string |
El tipo de evento de Azure AD |
| AzureADAppId |
string |
Identificador de Azure AD de la aplicación teams |
| _BilledSize |
real |
Tamaño del registro en bytes |
| ChannelGuid |
string |
Un identificador único para el canal que se va a auditar |
| ChannelName |
string |
Nombre del canal que se va a auditar |
| ChannelType |
string |
Tipo de canal que se audita (Estándar/Privado) |
| ChatName |
string |
Nombre del chat |
| ChatThreadId |
string |
Identificador del subproceso de chat |
| Cliente |
string |
Detalles sobre el dispositivo cliente, el sistema operativo del dispositivo y el explorador de dispositivos que se usó para el del evento de inicio de sesión de la cuenta |
| Client_IPAddress |
string |
Dirección IP del dispositivo que se usó cuando se registró la operación. |
| ClientAppId |
string |
Id. de la aplicación cliente |
| ClientInfoString |
string |
Información sobre el cliente de correo electrónico que se usó para realizar la operación |
| ClientIP |
string |
Dirección IP del dispositivo que se usó cuando se registró la actividad. |
| ClientMachineName |
string |
Nombre del equipo que hospeda el cliente de Outlook |
| ClientProcessName |
string |
Cliente de correo electrónico que se usó para acceder al buzón |
| ClientVersion |
string |
La versión del cliente de correo electrónico |
| CommunicationType |
string |
Tipo de comunicaciones realizadas |
| CrossMailboxOperations |
bool |
Indica si la operación implica más de un buzón |
| CustomEvent |
string |
Cadena opcional para eventos personalizados |
| DataCenterSecurityEventType |
int |
Tipo de evento dmdlet en el cuadro de bloqueo |
| DestFolder |
string |
La carpeta de destino |
| DestinationFileExtension |
string |
Extensión de archivo de un archivo que se copia o se mueve |
| DestinationFileName |
string |
Nombre del archivo que se copia o se mueve. |
| DestinationRelativeUrl |
string |
Dirección URL de la carpeta de destino donde se copia o mueve un archivo. |
| DestMailboxId |
string |
Establezca solo si el parámetro CrossMailboxOperations es True |
| DestMailboxOwnerMasterAccountSid |
string |
Establezca solo si el parámetro CrossMailboxOperations es True |
| DestMailboxOwnerSid |
string |
Establezca solo si el parámetro CrossMailboxOperations es True |
| DestMailboxOwnerUPN |
string |
Establezca solo si el parámetro CrossMailboxOperations es True |
| EffectiveOrganization |
string |
Nombre del inquilino al que se ha dirigido la elevación o el cmdlet |
| ElevationApprovedTime |
datetime |
Marca de tiempo para cuando se aprobó la elevación. |
| ElevationApprover |
string |
Nombre de un administrador de Microsoft |
| ElevationDuration |
int |
Duración durante la cual la elevación estaba activa (en horas) |
| ElevationRequestId |
string |
Identificador único de la solicitud de elevación |
| ElevationRole |
string |
Rol al que se solicitó la elevación |
| ElevationTime |
datetime |
Hora de inicio de la elevación |
| Event_Data |
string |
Carga opcional para eventos personalizados |
| EventSource |
string |
Identifica que se ha producido un evento en SharePoint. Los valores posibles son SharePoint o ObjectModel |
| ExtendedProperties |
string |
Propiedades extendidas del evento de Azure AD |
| ExternalAccess |
string |
Especifica si un usuario de la organización ejecutó el cmdlet. |
| ExtraProperties |
dinámico |
Lista de propiedades adicionales |
| Carpeta |
string |
Carpeta donde se encuentra un grupo de elementos |
| Carpetas |
string |
Información sobre las carpetas de origen implicadas en una operación |
| GenericInfo |
string |
Se usa para comentarios y otra información genérica |
| InternalLogonType |
int |
Reservado para uso interno |
| InterSystemsId |
string |
GUID que realiza un seguimiento de las acciones entre componentes dentro del servicio de Office 365 |
| IntraSystemId |
string |
Guid generado por Azure Active Directory para realizar un seguimiento de la acción |
| _IsBillable |
string |
Especifica si la ingesta de los datos es facturable. Cuando _IsBillable la ingesta no se false factura a su cuenta de Azure |
| IsManagedDevice |
bool |
Indica si una operación la creó un dispositivo administrado por la organización. |
| IssuedAtTime |
datetime |
Emitido at se establece si el token de Microsoft Entra está disponible para la solicitud e indica cuándo se produjo la autenticación de este token de Microsoft Entra. |
| Elemento |
string |
Representa el elemento en el que se realizó la operación |
| ItemName |
string |
Cadena en el campo Asunto del mensaje de correo electrónico |
| ItemType |
string |
El tipo de objeto al que se ha accedido o modificado. Consulte la tabla ItemType para obtener más información sobre los tipos de objetos. |
| LoginStatus |
int |
Esta propiedad viene directamente de OrgIdLogon.LoginStatus. La asignación de varios errores de inicio de sesión interesantes se puede realizar mediante algoritmos de alerta |
| Logon_Type |
string |
Indica el tipo de usuario al que obtuvo acceso al buzón y realizó la operación que se registró. |
| LogonUserDisplayName |
string |
Nombre descriptivo del usuario que realizó la operación |
| LogonUserSid |
string |
SID del usuario que realizó la operación |
| MachineDomainInfo |
string |
Información sobre las operaciones de sincronización de dispositivos |
| MachineId |
string |
Información sobre las operaciones de sincronización de dispositivos |
| MailboxGuid |
string |
GUID de Exchange del buzón al que se ha accedido |
| MailboxOwnerMasterAccountSid |
string |
SID de cuenta maestra de la cuenta maestra del buzón de correo |
| MailboxOwnerSid |
string |
El SID del propietario del buzón |
| MailboxOwnerUPN |
string |
La dirección de correo electrónico de la persona que posee el buzón al que se ha accedido |
| Miembros |
dinámico |
Una lista de usuarios dentro de un equipo |
| MessageId |
string |
Identificador de un mensaje de chat o canal |
| ModifiedObjectResolvedName |
string |
Este es el nombre descriptivo del objeto modificado por el cmdlet |
| ModifiedProperties |
string |
La propiedad se incluye para eventos de administrador, como agregar un usuario como miembro de un sitio o un grupo de administradores de colección de sitios. |
| Nombre |
string |
Solo está presente para los eventos de configuración. Nombre de la configuración que cambió |
| NewValue |
string |
Solo está presente para los eventos de configuración. Nuevo valor de la configuración |
| OfficeId |
string |
Identificador único de un registro de auditoría |
| OfficeObjectId |
string |
Para la actividad de SharePoint y OneDrive para la Empresa |
| OfficeTenantId |
string |
Id. de inquilino de office |
| OfficeWorkload |
string |
El servicio de Office 365 donde se produjo la actividad |
| OldValue |
string |
Solo está presente para los eventos de configuración. Valor anterior de la configuración |
| Operación |
string |
Nombre de la operación que el usuario está realizando |
| OperationProperties |
dinámico |
Propiedades de operación adicionales |
| OperationScope |
string |
Ámbito en el que se realizó la operación |
| OrganizationId |
string |
El identificador único GUID del inquilino de Office 365 de su organización. Este valor siempre será el mismo para su organización. |
| OrganizationName |
string |
Nombre del inquilino |
| OriginatingServer |
string |
Nombre del servidor desde el que se ejecutó el cmdlet. |
| Parámetros |
string |
Nombre y valor de todos los parámetros que se usaron con el cmdlet identificado en la propiedad Operations |
| RecordType |
string |
Tipo de operación indicado por el registro. Consulte la tabla AuditLogRecordType para obtener más información sobre los tipos de registros de auditoría. |
| _ResourceId |
string |
Identificador único del recurso al que está asociado el registro. |
| ResultReasonType |
string |
Motivo del resultado notificado en ResultType |
| ResultStatus |
string |
Indica si la acción (especificada en la propiedad Operation) se realizó correctamente o no. |
| SendAsUserMailboxGuid |
string |
GUID de Exchange del buzón al que se tuvo acceso para enviar correo electrónico como |
| SendAsUserSmtp |
string |
Dirección SMTP del usuario que se está suplantando |
| SendonBehalfOfUserMailboxGuid |
string |
GUID de Exchange del buzón al que se tuvo acceso para enviar correo en nombre de |
| SendOnBehalfOfUserSmtp |
string |
Dirección SMTP del usuario en cuyo nombre se envía el correo electrónico |
| SharingType |
string |
El tipo de permisos que se asignaron al usuario con el que se ha compartido el recurso. Este usuario se identifica mediante el parámetro UserSharedWith. |
| Site_ |
string |
Guid del sitio donde se encuentra el archivo o carpeta al que tiene acceso el usuario. |
| Site_Url |
string |
Dirección URL del sitio donde se encuentra el archivo o la carpeta a la que tiene acceso el usuario. |
| Source_Name |
string |
La entidad que desencadenó la operación auditada. Los valores posibles son SharePoint o ObjectModel |
| SourceFileExtension |
string |
Extensión de archivo del archivo al que ha accedido el usuario. |
| SourceFileName |
string |
Nombre del archivo o carpeta al que tiene acceso el usuario. |
| SourceRecordId |
string |
Identificador único de un registro de auditoría |
| SourceRelativeUrl |
string |
Dirección URL de la carpeta que contiene el archivo al que tiene acceso el usuario. |
| SourceSystem |
string |
Tipo de agente por el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Diagnósticos de Azure |
| SRPolicyId |
string |
Id. de directiva |
| SRPolicyName |
string |
Nombre de la directiva |
| SRRuleMatchDetails |
dinámico |
Detalles de la regla |
| Start_Time |
datetime |
Fecha y hora en que se ejecutó el cmdlet |
| _SubscriptionId |
string |
Identificador único de la suscripción a la que está asociado el registro. |
| SupportTicketId |
string |
Identificador de incidencia de soporte al cliente para la acción en situaciones de "actuar en nombre de" |
| TabType |
string |
Tipo de pestaña que generó este evento |
| TargetContextId |
string |
Guid de la organización a la que pertenece el usuario de destino |
| TargetUserId |
string |
Id. de usuario de destino |
| TargetUserOrGroupName |
string |
Almacena el UPN o el nombre del usuario o grupo de destino con el que se compartió un recurso. |
| TargetUserOrGroupType |
string |
Identifica si el usuario o grupo de destino es miembro, invitado, grupo o asociado |
| TeamGuid |
string |
Un identificador único para el equipo que se está auditando |
| TeamName |
string |
Nombre del equipo que se está auditando |
| TenantId |
string |
Id. del área de trabajo de Log Analytics |
| TimeGenerated |
datetime |
Fecha y hora en hora universal coordinada (UTC) cuando el usuario realizó la actividad. |
| Tipo |
string |
Nombre de la tabla. |
| UniqueTokenId |
string |
UniqueTokenId se establece si el token de Microsoft Entra está disponible para la solicitud. Es un identificador único por token que distingue mayúsculas de minúsculas. |
| UserAgent |
string |
Agente de usuario |
| UserDomain |
string |
Dominio del usuario |
| UserId |
string |
UpN (nombre principal de usuario) del usuario que realizó la acción (especificada en la propiedad Operation) que dio lugar a que se registrara el registro. |
| UserKey |
string |
Un identificador alternativo para el usuario identificado en la propiedad UserId |
| UserSharedWith |
string |
Usuario con el que se compartió un recurso |
| UserType |
string |
El tipo de usuario que realizó la operación. Consulte la tabla UserType para obtener más información sobre los tipos de usuarios. |