| Имя субъекта |
строка |
Имя участника-пользователя (имя участника-пользователя), выполнившего действие (указанное в свойстве Operation), в результате чего запись регистрируется; например, my_name@my_domain_name. Обратите внимание, что записи для действий, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM), также включаются. В SharePoint другое значение, отображаемое в свойстве UserId, app@sharepoint. Это означает, что пользователь, выполняющий действие, был приложением, которое имеет необходимые разрешения в SharePoint для выполнения действий на уровне организации (например, поиска на сайте SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита. |
| ActorUserId |
строка |
Альтернативный идентификатор пользователя, определенного в свойстве UserId. Например, значение этого свойства может заполняться уникальным идентификатором Passport (PUID) для событий, выполняемых пользователями в SharePoint, OneDrive для бизнеса и Exchange. Это свойство также может указать то же значение, что и свойство UserID для событий, происходящих в других службах и событиях, выполняемых системными учетными записями. |
| ActorUserType |
строка |
Тип пользователя, выполнившего операцию. Возможные типы включают: администратор, система, приложение, субъект-служба и другие. |
| _BilledSize |
real |
Размер записи в байтах |
| EventOriginalType |
строка |
Имя пользователя или администратора, выполняющего действие. Описание наиболее распространенных операций и действий см. в разделе "Поиск журнала аудита" в Центре защиты Office 365. Для действий администратора Exchange это свойство определяет имя выполняемого командлета. Для событий защиты от потери данных это может быть "DlpRuleMatch", "DlpRuleUndo" или "DlpInfo", которые описаны ниже в разделе "Схема защиты от потери данных". |
| EventOriginalUid |
строка |
Уникальный идентификатор записи аудита. |
| EventProduct |
строка |
Имя службы Майкрософт. |
| EventVendor |
строка |
Имя службы поставщика. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| IsPolicyHit |
bool |
Указывает, есть ли попадание в определенную политику. |
| ObjectId |
строка |
Для действий SharePoint и OneDrive для бизнеса полный путь к файлу или папке, к которым обращается пользователь. Для ведения журнала аудита администратора Exchange имя объекта, измененного командлетом. |
| OrganizationId |
строка |
Идентификатор GUID для клиента Office 365 организации. Это значение для вашей организации всегда будет одинаковым независимо от службы Office 365, в которой оно встречается. |
| RecordType |
строка |
Тип операции, указанной записью. Дополнительные сведения о типах записей журнала аудита см. в таблице AuditLogRecordType. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| SRPolicyId |
строка |
Идентификатор политики. |
| SRPolicyName |
строка |
Имя политики. |
| SRRuleMatchDetails |
по строкам |
Соответствует политике. |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| TimeGenerated |
datetime |
Дата и время в формате UTC, когда пользователь выполнил действие. |
| Тип |
строка |
Имя таблицы. |
| UserType |
строка |
Тип пользователя, выполнившего операцию. |
| Рабочая нагрузка |
строка |
Служба Office 365, в которой произошло действие. |