AADGroupId |
string |
ID do grupo do Azure Active Directory |
AADTarget |
string |
O usuário no qual a ação (identificada pela propriedade Operation) foi executada |
Atividade |
string |
A atividade que o usuário executou. |
Ator |
string |
O usuário ou a entidade de serviço que executou a ação |
ActorContextId |
string |
O GUID da organização à qual o ator pertence |
ActorIpAddress |
string |
O endereço IP do ator no formato de endereço IPV4 ou IPV6 |
AddOnGuid |
string |
O identificador exclusivo do complemento gerou esse evento |
Nome do Addon |
string |
O nome do complemento que gerou esse evento |
AddOnType |
string |
O tipo de complemento que gerou esse evento |
AffectedItems |
string |
Informações sobre cada item do grupo |
Modo de distribuição de aplicativos |
string |
Modo de distribuição de aplicativos |
AppId |
string |
ID do aplicativo |
Aplicativo |
string |
O nome do aplicativo |
ApplicationId |
string |
ID do aplicativo do SharePoint |
AppPoolName |
string |
O nome do pool de aplicativos |
AzureActiveDirectory_EventType |
string |
O tipo de evento do Azure AD |
AzureADAppId |
string |
ID do Azure AD do aplicativo Teams |
_BilledSize |
real |
O tamanho do registro em bytes |
ChannelGuid |
string |
Um identificador exclusivo para o canal que está sendo auditado |
ChannelName |
string |
O nome do canal que está sendo auditado |
ChannelType |
string |
O tipo de canal que está sendo auditado (Padrão/Privado) |
ChatName |
string |
O nome do chat |
ChatThreadId |
string |
O ID do tópico de chat |
Cliente |
string |
Detalhes sobre o dispositivo cliente, o sistema operacional do dispositivo e o navegador do dispositivo que foi usado para o evento de login da conta |
Client_IPAddress |
string |
O endereço IP do dispositivo que foi usado quando a operação foi registrada |
ClientAppId |
string |
ID da solicitação de emprego do cliente |
ClientInfoString |
string |
Informações sobre o cliente de e-mail que foi usado para executar a operação |
ClientIP |
string |
O endereço IP do dispositivo que foi usado quando a atividade foi registrada |
ClientMachineName |
string |
O nome do computador que hospeda o cliente do Outlook |
ClientProcessName |
string |
O cliente de email usado para acessar a caixa de correio |
ClientVersion |
string |
A versão do cliente de e-mail |
Tipo de comunicação |
string |
O tipo de comunicação que foi realizada |
CrossMailboxOperations |
bool |
Indica se a operação envolveu mais de uma caixa de correio |
CustomEvent |
string |
Cadeia de caracteres opcional para eventos personalizados |
DataCenterSecurityEventType |
int |
O tipo de evento dmdlet no cofre |
DestFolder |
string |
A pasta de destino |
DestinationFileExtension |
string |
A extensão de arquivo de um arquivo que é copiado ou movido |
DestinationFileName |
string |
O nome do arquivo que é copiado ou movido |
DestinationRelativeUrl |
string |
A URL da pasta de destino para onde um arquivo é copiado ou movido |
DestMailboxId |
string |
Defina somente se o parâmetro CrossMailboxOperations for True |
DestMailboxOwnerMasterAccountSid |
string |
Defina somente se o parâmetro CrossMailboxOperations for True |
DestMailboxOwnerSid |
string |
Defina somente se o parâmetro CrossMailboxOperations for True |
DestMailboxOwnerUPN |
string |
Defina somente se o parâmetro CrossMailboxOperations for True |
EffectiveOrganization |
string |
O nome do locatário ao qual a elevação/cmdlet foi direcionada |
ElevationApprovedTime |
datetime |
O carimbo de data/hora de quando a elevação foi aprovada |
ElevationApprover |
string |
O nome de um gerente da Microsoft |
ElevationDuration |
int |
A duração durante a qual a elevação esteve ativa (em horas) |
ElevationRequestId |
string |
Um identificador exclusivo para a solicitação de elevação |
ElevationRole |
string |
A função para a qual a elevação foi solicitada |
ElevationTime |
datetime |
A hora de início da elevação |
Event_Data |
string |
Carga opcional para eventos personalizados |
EventSource |
string |
Identifica o que ocorreu um evento no SharePoint. Os valores possíveis são SharePoint ou ObjectModel |
ExtendedProperties |
string |
As propriedades estendidas do evento do Azure AD |
ExternalAccess |
string |
Especifica se o cmdlet foi executado por um usuário em sua organização |
ExtraProperties |
dinâmico |
Uma lista de propriedades extras |
Pasta |
string |
A pasta onde um grupo de itens está localizado |
Pastas |
string |
Informações sobre as pastas de origem envolvidas em uma operação |
Informações genéricas |
string |
Usado para comentários e outras informações genéricas |
InternalLogonType |
int |
Reservado para uso interno |
InterSystemsId |
string |
O GUID que rastreia as ações entre componentes no serviço Office 365 |
IntraSystemId |
string |
O GUID gerado pelo Azure Active Directory para acompanhar a ação |
_IsBillable |
string |
Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure |
IsManagedDevice |
bool |
Indica se a operação foi criada por um dispositivo gerenciado pela organização |
IssuedAtTime |
datetime |
Emitido em é definido se o token do Microsoft Entra estiver disponível para a solicitação e indica quando ocorreu a autenticação desse token do Microsoft Entra. |
Item |
string |
Representa o item no qual a operação foi executada |
ItemName |
string |
A cadeia de caracteres no campo Assunto da mensagem de email |
ItemType |
string |
O tipo de objeto acessado ou modificado. Consulte a tabela ItemType para obter detalhes sobre os tipos de objetos |
LoginStatus |
int |
Esta propriedade é diretamente de OrgIdLogon.LoginStatus. O mapeamento de várias falhas de logon interessantes pode ser feito por algoritmos de alerta |
Logon_Type |
string |
Indica o tipo de usuário que acessou a caixa de correio e executou a operação que foi registrada |
LogonUserDisplayName |
string |
O nome amigável do usuário que executou a operação |
LogonUserSid |
string |
O SID do usuário que executou a operação |
MachineDomainInfo |
string |
Informações sobre operações de sincronização de dispositivos |
MachineId |
string |
Informações sobre operações de sincronização de dispositivos |
MailboxGuid |
string |
O GUID do Exchange da caixa de correio que foi acessada |
MailboxOwnerMasterAccountSid |
string |
SID da conta mestra da conta do proprietário da caixa de correio |
MailboxOwnerSid |
string |
O SID do proprietário da caixa de correio |
MailboxOwnerUPN |
string |
O endereço de email da pessoa proprietária da caixa de correio que foi acessada |
Membros |
dinâmico |
Uma lista de usuários dentro de uma equipe |
MessageId |
string |
Um identificador para uma mensagem de chat ou canal |
ModifiedObjectResolvedName |
string |
Esse é o nome amigável do objeto que foi modificado pelo cmdlet |
ModifiedProperties |
string |
A propriedade é incluída para eventos de administrador, como adicionar um usuário como membro de um site ou de um grupo de administradores de conjunto de sites |
Nome |
string |
Presente apenas para eventos de configurações. Nome da configuração que mudou |
NewValue |
string |
Presente apenas para eventos de configurações. Novo valor da configuração |
ID do escritório |
string |
Identificador exclusivo de um registro de auditoria |
OfficeObjectId |
string |
Para atividades do SharePoint e do OneDrive for Business |
Código_do_inquilino |
string |
A ID do locatário do escritório |
OfficeWorkload |
string |
O serviço do Office 365 em que a atividade ocorreu |
OldValue |
string |
Presente apenas para eventos de configurações. Valor antigo da configuração |
Operação |
string |
O nome da operação que o usuário está executando |
OperationProperties |
dinâmico |
Propriedades adicionais da operação |
OperationScope |
string |
O escopo em que a operação foi executada |
OrganizationId |
string |
O GUID do locatário do Office 365 da sua organização. Esse valor será sempre o mesmo para sua organização |
OrganizationName |
string |
O nome do locatário |
OriginatingServer |
string |
O nome do servidor do qual o cmdlet foi executado |
Parâmetros |
string |
O nome e o valor de todos os parâmetros que foram usados com o cmdlet identificado na propriedade Operations |
RecordType |
string |
O tipo de operação indicado pelo registro. Consulte a tabela AuditLogRecordType para obter detalhes sobre os tipos de registros de log de auditoria |
_ResourceId |
string |
Identificador exclusivo do recurso ao qual o registro está associado |
ResultadoMotivoTipo |
string |
Motivo do resultado relatado em ResultType |
ResultStatus |
string |
Indica se a ação (especificada na propriedade Operation) foi bem-sucedida ou não |
SendAsUserMailboxGuid |
string |
O GUID do Exchange da caixa de correio que foi acessada para enviar emails como |
SendAsUserSmtp |
string |
Endereço SMTP do usuário que está sendo representado |
SendonBehalfOfUserMailboxGuid |
string |
O GUID do Exchange da caixa de correio que foi acessada para enviar emails em nome de |
SendOnBehalfOfUserSmtp |
string |
Endereço SMTP do usuário em nome do qual o e-mail é enviado |
SharingType |
string |
O tipo de permissões de compartilhamento atribuídas ao usuário com o qual o recurso foi compartilhado. Esse usuário é identificado pelo parâmetro UserSharedWith |
Site_ |
string |
O GUID do site em que o arquivo ou pasta acessado pelo usuário está localizado |
Site_Url |
string |
A URL do site onde o arquivo ou pasta acessada pelo usuário está localizado |
Source_Name |
string |
A entidade que disparou a operação auditada. Os valores possíveis são SharePoint ou ObjectModel |
SourceFileExtension |
string |
A extensão do arquivo que foi acessado pelo usuário |
SourceFileName |
string |
O nome do arquivo ou pasta acessado pelo usuário |
SourceRecordId |
string |
Identificador exclusivo de um registro de auditoria |
SourceRelativeUrl |
string |
A URL da pasta que contém o arquivo acessado pelo usuário |
SourceSystem |
string |
O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure |
SRPolicyId |
string |
ID da política |
SRPolicyName |
string |
Nome de política |
SRRuleMatchDetails |
dinâmico |
Detalhes da regra |
Start_Time |
datetime |
A data e a hora em que o cmdlet foi executado |
_SubscriptionId |
string |
Identificador exclusivo da assinatura à qual o registro está associado |
SupportTicketId |
string |
O ID do tíquete de suporte ao cliente para a ação em situações de "agir em nome de" |
Tipo de guia |
string |
O tipo de guia que gerou esse evento |
TargetContextId |
string |
O GUID da organização à qual o usuário de destino pertence |
TargetUserId |
string |
ID do usuário de destino |
TargetUserOrGroupName |
string |
Armazena o UPN ou o nome do usuário ou grupo de destino com o qual um recurso foi compartilhado |
TargetUserOrGroupType |
string |
Identifica se o usuário ou grupo de destino é um membro, convidado, grupo ou parceiro |
TeamGuid |
string |
Um identificador exclusivo para a equipe que está sendo auditada |
Nome da equipe |
string |
O nome da equipe que está sendo auditada |
TenantId |
string |
A ID do workspace do Log Analytics |
TimeGenerated |
datetime |
A data e a hora em UTC (Tempo Universal Coordenado) em que o usuário executou a atividade |
Type |
string |
O nome da tabela |
UniqueTokenId |
string |
UniqueTokenId será definido se o token do Microsoft Entra estiver disponível para a solicitação. É um identificador exclusivo por token que diferencia maiúsculas de minúsculas. |
UserAgent |
string |
O agente do usuário |
UserDomain |
string |
O domínio do usuário |
ID do Usuário |
string |
O UPN (Nome Principal do Usuário) do usuário que executou a ação (especificado na propriedade Operation) que resultou no registro do registro |
UserKey |
string |
Uma ID alternativa para o usuário identificado na propriedade UserId |
UserSharedWith |
string |
O usuário com o qual um recurso foi compartilhado |
UserType |
string |
O tipo de usuário que realizou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de usuários |