이 테이블은 보강된 Microsoft 365 감사 로그를 포함하는 ID 및 네트워크 액세스의 일부입니다. 이러한 로그는 정책, 위험 및 트래픽 관리에 활용할 수 있을 뿐만 아니라 사용자 환경을 모니터링할 수 있습니다.
테이블 특성
attribute
값
리소스 종류
-
범주
보안, 네트워크, IT 및 관리 도구
솔루션
LogManagement
기본 로그
아니요
수집 시간 변환
아니요
샘플 쿼리
-
열
Column
Type
설명
ActorUserType
string
작업을 수행한 사용자의 유형입니다. 가능한 유형에는 Admin, System, Application, Service Principal 및 Other가 포함됩니다.
AdditionalProperties
dynamic
추가 활동 필드
_BilledSize
real
레코드 크기(바이트)
ClientIp
string
활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 활동을 수행한 사용자가 사용하는 디바이스의 IP 주소가 아니라 사용자를 대신하여 서비스를 호출하는 신뢰할 수 있는 애플리케이션(예: 웹용 Office 앱)의 IP 주소일 수 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소가 기록되지 않고 ClientIP 속성의 값이 null입니다.
DeviceId
string
레코드에 보고된 원본 디바이스의 ID입니다.
DeviceOperatingSystem
string
클라이언트 연결 운영 체제 유형입니다.
DeviceOperatingSystemVersion
string
클라이언트 연결 운영 체제 버전입니다.
ID
string
감사 레코드의 고유 식별자입니다.
_IsBillable
string
데이터 수집이 청구 가능한지 여부를 지정합니다. _IsBillable이 false인 경우 수집 비용은 Azure 계정에 청구되지 않습니다.
ObjectId
string
SharePoint 및 비즈니스용 OneDrive 활동의 경우 사용자가 액세스하는 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리자 감사 로깅의 경우 cmdlet에 의해 수정된 개체의 이름입니다.
연산
string
활동을 수행한 사용자 또는 관리자 활동의 이름입니다.
OrganizationId
string
조직의 Office 365 테넌트 GUID입니다. 이 값은 값이 나타나는 Office 365 서비스에 관계없이 조직에서 항상 동일하게 유지됩니다.
RecordType
int
레코드가 나타내는 작업의 형식입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 AuditLogRecordType 테이블을 참조하세요.
ResultStatus
string
Operation 속성에 지정된 작업이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다.
SourceIp
string
연결 또는 세션이 시작된 IP 주소입니다.
SourceSystem
string
이벤트가 수집된 에이전트의 형식. 예를 들어, Windows 에이전트(직접 연결 또는 Operations Manager)의 경우 OpsManager, 모든 Linux 에이전트의 경우 Linux, Azure Diagnostics의 경우 Azure
TenantId
string
Log Analytics 작업 영역 ID
TimeGenerated
날짜/시간
사용자가 활동을 수행한 날짜 및 시간(UTC)입니다.
Type
string
테이블의 이름입니다.
UniqueTokenId
string
고유 토큰 식별자
사용자 ID
string
레코드가 기록된 작업(작업 속성에 지정됨)을 수행한 사용자의 UPN(사용자 계정 이름)입니다. 예를 들어 my_name@my_domain_name. 시스템 계정(예: SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM)에서 수행하는 활동에 대한 레코드도 포함됩니다. SharePoint에서 UserId 속성의 다른 값 표시는 app@sharepoint. 이는 활동을 수행한 "사용자"가 사용자, 관리자 또는 서비스를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행하는 데 필요한 권한을 가진 응용 프로그램임을 나타냅니다. 자세한 내용은 감사 레코드의 app@sharepoint 사용자를 참조하세요.
UserKey
string
UserId 속성에 나와 있는 사용자의 대체 ID입니다. 예를 들어 SharePoint, 비즈니스용 OneDrive 및 Exchange에서 사용자가 수행한 이벤트의 경우에는 이 속성에 PUID(Passport 고유 ID)가 입력됩니다. 이 속성은 시스템 계정에서 수행하는 다른 서비스 및 이벤트에서 발생하는 이벤트에 대해 UserID 속성과 동일한 값을 지정할 수도 있습니다.