| AADGroupId |
string |
ID de groupe Azure Active Directory |
| AADTarget |
string |
Utilisateur sur lequel l’action (identifiée par la propriété Operation) a été effectuée sur |
| Activité |
string |
Activité effectuée par l’utilisateur. |
| Acteur |
string |
L'utilisateur ou le principal du service qui a effectué l'action |
| ActorContextId |
string |
GUID de l’organisation à laquelle appartient l’acteur |
| ActorIpAddress |
string |
Adresse IP de l’acteur au format d’adresse IPV4 ou IPV6 |
| AddOnGuid |
string |
Identificateur unique du module complémentaire généré par cet événement |
| AddonName |
string |
Nom du module complémentaire qui a généré cet événement |
| AddOnType |
string |
Type de module complémentaire qui a généré cet événement |
| AffectedItems |
string |
Informations sur chaque élément du groupe |
| AppDistributionMode |
string |
Mode de distribution d’application |
| AppId |
string |
ID de l'application |
| Application |
string |
Nom de l’application |
| ApplicationId |
string |
ID d’application SharePoint |
| AppPoolName |
string |
Nom du pool d’applications |
| AzureActiveDirectory_EventType |
string |
Type d’événement Azure AD |
| AzureADAppId |
string |
ID Azure AD d’application Teams |
| _BilledSize |
real |
Taille de l’enregistrement en octets |
| ChannelGuid |
string |
Identificateur unique du canal audité |
| ChannelName |
string |
Nom du canal audité |
| ChannelType |
string |
Type de canal audité (Standard/Privé) |
| ChatName |
string |
Nom de la conversation |
| ChatThreadId |
string |
ID du fil de conversation |
| Client |
string |
Détails sur l’appareil client, le système d’exploitation de l’appareil et le navigateur d’appareil utilisés pour l’événement de connexion de compte |
| Client_IPAddress |
string |
Adresse IP de l’appareil utilisé lors de la journalisation de l’opération |
| ClientAppId |
string |
ID application cliente |
| ClientInfoString |
string |
Informations sur le client de messagerie utilisé pour effectuer l’opération |
| ClientIP |
string |
Adresse IP de l’appareil utilisé lors de la journalisation de l’activité |
| ClientMachineName |
string |
Nom de l’ordinateur qui héberge le client Outlook |
| ClientProcessName |
string |
Client de messagerie utilisé pour accéder à la boîte aux lettres |
| ClientVersion |
string |
Version du client de messagerie |
| CommunicationType |
string |
Type de communications effectuées |
| CrossMailboxOperations |
bool |
Indique si l’opération implique plusieurs boîtes aux lettres |
| CustomEvent |
string |
Chaîne facultative pour les événements personnalisés |
| DataCenterSecurityEventType |
int |
Type d’événement dmdlet dans la zone de verrouillage |
| DestFolder |
string |
Dossier de destination |
| DestinationFileExtension |
string |
Extension de fichier d’un fichier copié ou déplacé |
| DestinationFileName |
string |
Nom du fichier copié ou déplacé |
| DestinationRelativeUrl |
string |
URL du dossier de destination où un fichier est copié ou déplacé |
| DestMailboxId |
string |
Définir uniquement si le paramètre CrossMailboxOperations a la valeur True |
| DestMailboxOwnerMasterAccountSid |
string |
Définir uniquement si le paramètre CrossMailboxOperations a la valeur True |
| DestMailboxOwnerSid |
string |
Définir uniquement si le paramètre CrossMailboxOperations a la valeur True |
| DestMailboxOwnerUPN |
string |
Définir uniquement si le paramètre CrossMailboxOperations a la valeur True |
| EffectiveOrganization |
string |
Nom du locataire auquel l’élévation/applet de commande a été ciblée |
| ElevationApprovedTime |
DATETIME |
Horodatage pour lequel l’élévation a été approuvée |
| ElevationApprover |
string |
Nom d’un responsable Microsoft |
| ElevationDuration |
int |
Durée pendant laquelle l’élévation était active (en heures) |
| ElevationRequestId |
string |
Identificateur unique de la requête d’élévation |
| ElevationRole |
string |
Le rôle pour lequel l’élévation a été demandée |
| ElevationTime |
DATETIME |
Heure de début de l’élévation |
| Event_Data |
string |
Charge utile facultative pour les événements personnalisés |
| EventSource |
string |
Identifie qu’un événement s’est produit dans SharePoint. Les valeurs possibles sont SharePoint ou ObjectModel |
| ExtendedProperties |
string |
Propriétés étendues de l’événement Azure AD |
| ExternalAccess |
string |
Spécifie si l’applet de commande a été exécutée par un utilisateur de votre organisation |
| ExtraProperties |
dynamic |
Liste des propriétés supplémentaires |
| Dossier |
string |
Dossier où se trouve un groupe d’éléments |
| Dossiers |
string |
Informations sur les dossiers sources impliqués dans une opération |
| GenericInfo |
string |
Utilisé pour les commentaires et d’autres informations génériques |
| InternalLogonType |
int |
Réservé à une utilisation interne |
| InterSystemsId |
string |
GUID qui suit les actions entre les composants du service Office 365 |
| IntraSystemId |
string |
GUID généré par Azure Active Directory pour suivre l’action |
| _IsBillable |
string |
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| IsManagedDevice |
bool |
Indique si l’opération a été créée par un appareil géré par l’organisation |
| IssuedAtTime |
DATETIME |
Émis à l’emplacement défini si le jeton Microsoft Entra est disponible pour la demande et indique quand l’authentification pour ce jeton Microsoft Entra s’est produite. |
| Article |
string |
Représente l’élément sur lequel l’opération a été effectuée |
| ItemName |
string |
Chaîne dans le champ Objet du message électronique |
| ItemType |
string |
Le type d’objet qui a été ouvert ou modifié. Pour plus d’informations sur les types d’objets, consultez la table ItemType |
| LoginStatus |
int |
Cette propriété est directement issue de OrgIdLogon.LoginStatus. Le mappage de différents échecs d’ouverture de session intéressants peut être effectué par des algorithmes d’alerte |
| Logon_Type |
string |
Indique le type d’utilisateur qui a accédé à la boîte aux lettres et effectué l’opération enregistrée |
| LogonUserDisplayName |
string |
Nom convivial de l’utilisateur qui a effectué l’opération |
| LogonUserSid |
string |
SID de l’utilisateur qui a effectué l’opération |
| MachineDomainInfo |
string |
Informations sur les opérations de synchronisation des appareils |
| MachineId |
string |
Informations sur les opérations de synchronisation des appareils |
| MailboxGuid |
string |
GUID Exchange de la boîte aux lettres accessible |
| MailboxOwnerMasterAccountSid |
string |
SID du compte propriétaire de boîte aux lettres |
| MailboxOwnerSid |
string |
SID du propriétaire de la boîte aux lettres |
| MailboxOwnerUPN |
string |
Adresse e-mail de la personne propriétaire de la boîte aux lettres accessible |
| Membres |
dynamic |
Liste des utilisateurs au sein d’une équipe |
| MessageId |
string |
Identificateur d’un message de conversation ou de canal |
| ModifiedObjectResolvedName |
string |
Il s’agit du nom convivial de l’objet modifié par l’applet de commande |
| ModifiedProperties |
string |
La propriété est incluse pour les événements d’administration, tels que l’ajout d’un utilisateur en tant que membre d’un site ou d’un groupe d’administration de collection de sites |
| Nom |
chaîne |
Présente uniquement pour les événements de paramètres. Nom du paramètre qui a changé |
| NewValue |
string |
Présente uniquement pour les événements de paramètres. Nouvelle valeur du paramètre |
| OfficeId |
string |
Identificateur unique d’un enregistrement d’audit |
| OfficeObjectId |
string |
Pour l’activité SharePoint et OneDrive Entreprise |
| OfficeTenantId |
string |
ID de locataire Office |
| OfficeWorkload |
string |
Service Office 365 où l’activité s’est produite |
| OldValue |
string |
Présente uniquement pour les événements de paramètres. Ancienne valeur du paramètre |
| Opération |
string |
Nom de l’opération effectuée par l’utilisateur |
| OperationProperties |
dynamic |
Propriétés d’opération supplémentaires |
| OperationScope |
string |
L’étendue de l’opération a été effectuée sur |
| OrganizationId |
string |
Le GUID pour le client Office 365 de votre organisation. Cette valeur sera toujours la même pour votre organisation. |
| OrganizationName |
string |
Nom du locataire |
| OriginatingServer |
string |
Nom du serveur à partir duquel l’applet de commande a été exécutée |
| Paramètres |
string |
Nom et valeur de tous les paramètres utilisés avec l’applet de commande identifiée dans la propriété Operations |
| RecordType |
string |
Type d’opération indiqué par l’enregistrement. Pour plus d’informations sur les types d’enregistrements du journal d’audit, consultez la table AuditLogRecordType |
| _ResourceId |
string |
Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| ResultReasonType |
string |
Motif du résultat signalé dans ResultType |
| ResultStatus |
string |
Indique si l’action (spécifiée dans la propriété Operation) a réussi ou non |
| SendAsUserMailboxGuid |
string |
GUID Exchange de la boîte aux lettres accessible pour envoyer un e-mail en tant que |
| SendAsUserSmtp |
string |
Adresse SMTP de l’utilisateur qui est emprunt d’identité |
| SendonBehalfOfUserMailboxGuid |
string |
GUID Exchange de la boîte aux lettres accessible pour envoyer du courrier pour le compte de |
| SendOnBehalfOfUserSmtp |
string |
Adresse SMTP de l’utilisateur au nom duquel l’e-mail est envoyé |
| SharingType |
string |
Le type d’autorisations de partage attribuées à l’utilisateur avec lequel la ressource a été partagée. Cet utilisateur est identifié par le paramètre UserSharedWith |
| Site_ |
string |
GUID du site où se trouve le fichier ou le dossier accessible par l’utilisateur |
| Site_Url |
string |
URL du site où se trouve le fichier ou le dossier accessible par l’utilisateur |
| Source_Name |
string |
L’entité qui a déclenché l’opération d’audit. Les valeurs possibles sont SharePoint ou ObjectModel |
| SourceFileExtension |
string |
Extension de fichier du fichier accessible par l’utilisateur |
| SourceFileName |
string |
Nom du fichier ou du dossier accessible par l’utilisateur |
| SourceRecordId |
string |
Identificateur unique d’un enregistrement d’audit |
| SourceRelativeUrl |
string |
URL du dossier qui contient le fichier accessible par l’utilisateur |
| SourceSystem |
string |
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| SRPolicyId |
string |
ID de stratégie |
| SRPolicyName |
string |
Nom de stratégie |
| SRRuleMatchDetails |
dynamic |
Détails de la règle |
| start_time |
DATETIME |
Date et heure à laquelle l’applet de commande a été exécutée |
| _SubscriptionId |
string |
Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| SupportTicketId |
string |
ID du ticket de support client pour l’action dans les situations « act-on-behalf-of » |
| TabType |
string |
Type d’onglet qui a généré cet événement |
| TargetContextId |
string |
GUID de l’organisation à laquelle appartient l’utilisateur ciblé |
| TargetUserId |
string |
ID d’utilisateur cible |
| TargetUserOrGroupName |
string |
Stocke l’UPN ou le nom de l’utilisateur ou du groupe cible avec lequel une ressource a été partagée |
| TargetUserOrGroupType |
string |
Identifie si l’utilisateur ou le groupe cible est membre, invité, groupe ou partenaire |
| TeamGuid |
string |
Identificateur unique de l’équipe auditée |
| TeamName |
string |
Nom de l’équipe auditée |
| TenantId |
string |
ID de l’espace de travail Log Analytics |
| TimeGenerated |
DATETIME |
Date et heure en temps universel coordonné (UTC) lorsque l’utilisateur a effectué l’activité |
| Type |
string |
Le nom de la table |
| UniqueTokenId |
string |
UniqueTokenId est défini si le jeton Microsoft Entra est disponible pour la demande. Il s’agit d’un identificateur unique par jeton qui respecte la casse. |
| UserAgent |
string |
Agent utilisateur |
| UserDomain |
string |
Domaine de l’utilisateur |
| ID utilisateur |
chaîne |
UPN (nom d’utilisateur principal) de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journalisation de l’enregistrement |
| UserKey |
string |
UN AUTRE ID pour l’utilisateur identifié dans la propriété UserId |
| UserSharedWith |
string |
Utilisateur avec lequel une ressource a été partagée |
| UserType |
string |
Le type d’utilisateur qui a effectué l’opération. Pour plus d’informations sur les types d’utilisateurs, consultez la table UserType |