Подробные свойства действий в журнале аудита
При экспорте результатов поиска по журналам аудита на портале Microsoft Purview можно скачать все результаты, соответствующие условиям поиска. Эти сведения можно экспортировать, выбрав Экспорт результатов>Скачать все результаты на странице Поиска по журналу аудита . Дополнительные сведения см. в разделе Поиск в журнале аудита.
При экспорте всех результатов поиска по журналу аудита необработанные данные из единого журнала аудита копируются в csv-файл с разделиющими запятыми значениями (CSV), который загружается на локальный компьютер. Этот файл содержит дополнительные сведения о свойствах из каждой записи действия аудита в столбце AuditData. Этот столбец содержит свойство с несколькими значениями для нескольких свойств из записи журнала аудита. Каждая из пар property: value в этом многозначном свойстве разделена запятой.
В следующей таблице описаны свойства действия, включенные (в зависимости от службы, в которой происходит действие) в столбце AuditData с несколькими свойствами. Служба Майкрософт, содержащая этот столбец свойств, указывает службу и тип действия (пользователя или администратора), включающего свойство . Дополнительные сведения об этих свойствах или свойствах, которые могут не быть перечислены в этой статье, см. в разделе Схема API действий управления.
Совет
Функцию преобразования JSON можно использовать в Power Query в Excel, чтобы разделить столбец AuditData на несколько столбцов, чтобы каждое свойство было собственным. Это позволит выполнять сортировку и фильтрацию по одному или нескольким из этих свойств. Сведения о том, как это сделать, см. в статье Экспорт, настройка и просмотр записей журнала аудита.
| Свойство | Описание | Служба Майкрософт с этим свойством |
|---|---|---|
| Actor | Учетная запись пользователя или службы, которая выполнила действие. | Azure Active Directory |
| AddOnName | Имя надстройки, которая была добавлена, удалена или обновлена в команде. Тип надстроек в Microsoft Teams — это бот, соединитель или вкладка. | Microsoft Teams |
| AddOnType | Тип надстройки, которая была добавлена, удалена или обновлена в команде. Следующие значения указывают тип надстройки. 1 — указывает бота. 2 — указывает соединитель. 3 — указывает вкладку. |
Microsoft Teams |
| AppAccessContext | Контекст приложения пользователя или субъекта-службы, которые выполнили действие. | Microsoft Teams |
| ArtifactShared | Файлы или содержимое, к которым предоставлен доступ пользователь. | Microsoft Teams |
| AzureActiveDirectoryEventType | Тип действия Azure Active Directory. Следующие значения указывают тип действия. 0 — указывает действие входа в учетную запись. 1 — указывает действие безопасности приложений Azure. |
Azure Active Directory |
| ChannelGuid | Идентификатор канала Microsoft Teams. Команда, в которую находится канал, определяется свойствами TeamName и TeamGuid . | Microsoft Teams |
| ChannelName | Имя канала Microsoft Teams. Команда, в которую находится канал, определяется свойствами TeamName и TeamGuid . | Microsoft Teams |
| Клиент | Клиентское устройство, ОС устройства и браузер устройства, используемые для входа (например, Nokia Lumia 920; Windows Phone 8; IE Mobile 11). | Azure Active Directory |
| ClientInfoString | Сведения о почтовом клиенте, который использовался для выполнения операции, такие как версия браузера, версия Outlook и сведения о мобильном устройстве | Exchange (действие почтового ящика) |
| ClientIP | IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. Кроме того, для действий администратора (или действий, выполняемых системной учетной записью) для действий, связанных с Azure Active Directory, IP-адрес не регистрируется в журнале, а значение для свойства ClientIP равно null. |
Azure Active Directory, Exchange, SharePoint |
| CreationTime | Дата и время в формате UTC, когда создается запись журнала аудита. | Все |
| CurrentProtectionType | Сложный тип свойства, содержащий поля для описания текущего состояния защиты документа. Включает следующее: ProtectionType: перечисляет тип защиты, применяемый к документу. Применяются следующие значения и их значения: 0 (без защиты), 1 (защита на основе шаблона), 2 (не пересылать, для электронной почты), 3 (только шифрование) и 4 (настраиваемая защита, настроенная пользователем) Владелец: адрес электронной почты пользователя, настроив защиту. TemplateId: если параметру ProtectionType присвоено значение 1 (шаблон), это поле содержит GUID шаблона, примененного к документу. Если значение ProtectionType не равно 1, это поле будет пустым. DocumentEncrypted: логический флаг, указывающий, применяется ли к документу какой-либо тип шифрования. Значения: True или False. |
Все |
| DestinationFileExtension | Расширение скопированного или перемещенного файла. Это свойство отображается только для действий пользователя FileCopied и FileMoved. | SharePoint |
| DestinationFileName | Имя файла копируется или перемещается. Это свойство отображается только для действий FileCopied и FileMoved. | SharePoint |
| DestinationRelativeUrl | URL-адрес конечной папки, в которую копируется или перемещается файл. Сочетание значений для SiteURL, DestinationRelativeURL и Свойства DestinationFileName совпадает со значением свойства ObjectID , которое представляет собой полное имя пути к скопированному файлу. Это свойство отображается только для действий пользователя FileCopied и FileMoved. | SharePoint |
| EventSource | Определяет, что произошло действие в SharePoint. Возможные значения: SharePoint и ObjectModel. | SharePoint |
| ExternalAccess | Для действий администратора Exchange указывает, был ли командлет запущен пользователем в вашей организации, персоналом центра обработки данных Майкрософт или учетной записью службы центра обработки данных или делегированным администратором. Значение False означает, что командлет был запущен пользователем в вашей организации. Значение True значит, что командлет запустили сотрудник центра данных Майкрософт, учетная запись службы центра данных или полномочный администратор. Для действия почтового ящика Exchange указывает, был ли доступ к почтовому ящику пользователю за пределами вашей организации. |
Exchange |
| ExtendedProperties | Расширенные свойства для действия Azure Active Directory. | Azure Active Directory |
| ИД | Идентификатор записи отчета. Идентификатор однозначно идентифицирует запись отчета. | Все |
| InternalLogonType | Зарезервировано для внутреннего использования. | Exchange (действие почтового ящика) |
| ItemType | Тип объекта, который был открыт или изменен. Возможные значения: File, Folder, Web, Site, Tenant и DocumentLibrary. | SharePoint |
| IsJoinedFromLobby | Независимо от того, присоединился ли пользователь к сеансу Teams из лобби. | Microsoft Teams |
| LoginStatus | Определяет сбои входа, которые могли возникнуть. | Azure Active Directory |
| LogonType | Тип доступа к почтовому ящику. Следующие значения указывают тип пользователя, который обращается к почтовому ящику. 0 — указывает владельца почтового ящика. 1 — указывает администратора. 2 — указывает делегат. 3 — указывает транспортную службу в центре обработки данных Майкрософт. 4 — указывает учетную запись службы в центре обработки данных Майкрософт. 6 — указывает делегированного администратора. |
Exchange (действие почтового ящика) |
| MailboxGuid | GUID почтового ящика Exchange, к которому получен доступ. | Exchange (действие почтового ящика) |
| MailboxOwnerUPN | Адрес электронной почты пользователя, владеющего почтовым ящиком, к которому получен доступ. | Exchange (действие почтового ящика) |
| Members | Списки пользователей, которые были добавлены или удалены из команды. Перечисленные ниже значения указывают на тип роли, назначенной пользователю. 1 — указывает на роль "Владелец". 2 — указывает на роль "Участник". 3 — указывает на роль "Гость". Свойство Members также включает название организации и адрес электронной почты участника. |
Microsoft Teams |
| ModifiedProperties (Name, NewValue, OldValue) | Свойство включается для действий администратора, таких как добавление пользователя в качестве члена сайта или группы администраторов семейства веб-сайтов. Свойство включает имя измененного свойства (например, группа Администратор сайта), новое значение измененного свойства (например, пользователь, который был добавлен в качестве администратора сайта, и предыдущее значение измененного объекта). | Все (действия администратора) |
| ObjectFullyQualifiedName | Полное имя сущности. | Microsoft Purview (управление) |
| ObjectId | Что касается ведения журнала аудита действий администратора Exchange, это имя объекта, измененного командлетом. Для действия SharePoint — полное имя URL-адреса файла или папки, к которым обращается пользователь. Для Azure AD действий — имя учетной записи пользователя, которая была изменена. |
Все |
| ObjectName | Имя сущности main. | Microsoft Purview (управление) |
| ObjectType | Тип сущности. | Microsoft Purview (управление) |
| OldValue | Значение перед изменением включает все обновленные или удаленные свойства. | Microsoft Purview (управление) |
| Operation | Название действия пользователя или администратора. Значение этого свойства соответствует значению, выбранному в раскрывающемся списке Действия . Если выбран параметр Показать результаты для всех действий , отчет будет включать записи для всех действий пользователей и администраторов для всех служб. Описание операций и действий, зарегистрированных в журнале аудита, см. на вкладке Действия аудита в разделе Поиск журнала аудита в Office 365. Что касается действий администратора Exchange, это свойство определяет имя запущенного командлета. |
Все |
| OrganizationId | GUID для организации. | Все |
| NewValue | Значение после изменения включает все свойства, обновленные или удаленные. | Microsoft Purview (управление) |
| Path | Имя папки почтового ящика, где расположено сообщение, к которому получен доступ. Это свойство также идентифицирует папку , в которую создается сообщение, в которое копируется или перемещается. | Exchange (действие почтового ящика) |
| Параметры | Для действий администратора Exchange — имя и значение всех параметров, которые использовались с командлетом, указанным в свойстве Operation. | Exchange (действия администратора) |
| УчастникИнфо | Дополнительные свойства удостоверения участника. | Microsoft Teams |
| ParticipatingDomainInformation | Сведения о домене участника. | Microsoft Teams |
| PreviousProtectionType | Сложный тип свойства, содержащий поля для описания предыдущего состояния защиты документа. Включает следующее: ProtectionType: перечисляет тип защиты, применяемый к документу. Применяются следующие значения и их значения: 0 (без защиты), 1 (защита на основе шаблона), 2 (не пересылать, для электронной почты), 3 (только шифрование) и 4 (настраиваемая защита, настроенная пользователем) Владелец: адрес электронной почты пользователя, настроив защиту. TemplateId: если параметру ProtectionType присвоено значение 1 (шаблон), это поле содержит GUID шаблона, примененного к документу. Если значение ProtectionType не равно 1, это поле будет пустым. DocumentEncrypted: логический флаг, указывающий, применяется ли к документу какой-либо тип шифрования. Значения: True или False. |
Все |
| ProtectionEventType | Перечисляет изменение защиты в ходе проверяемой операции. Применяются следующие значения и значения: 0 — указывает без изменений. 1 — указывает, что добавлено. 2 — указывает, изменено. 3 — указывает, удалено. |
Все |
| RecordType | Тип операции, указанный в записи. Это свойство указывает службу или функцию, в которую была активирована операция. Список типов записей и соответствующее им значение ENUM (которое является значением, отображаемым в свойстве RecordType в записи аудита) см. в разделе Тип записи журнала аудита. | |
| ResultStatus | Указывает, было ли действие (указанное в свойстве Operation ) успешным или нет. Для действий администратора Exchange значение равно True (успешно) или False (сбой). |
Все |
| SecurityComplianceCenterEventType | Указывает, что действие было действием портала Microsoft Purview. Все действия портала Microsoft Purview имеют значение 0 для этого свойства. | Портал Microsoft Purview |
| SensitivityLabel | Метка конфиденциальности, назначенная конкретному почтовому элементу. | Exchange |
| SharingType | Тип разрешений на общий доступ, назначенных пользователю, которому предоставлен общий доступ к ресурсу. Этот пользователь идентифицируется в свойстве UserSharedWith . | SharePoint |
| Site | GUID сайта, на котором расположены файл или папка, к которым получил доступ пользователь. | SharePoint |
| SiteUrl | URL-адрес сайта, на котором расположены файл или папка, к которым получил доступ пользователь. | SharePoint |
| SourceFileExtension | Расширение файла, к которому получил доступ пользователь. Это свойство пустое, если объект, к которому получен доступ, представляет собой папку. | SharePoint |
| SourceFileName | Имя файла или папки, к которым получил доступ пользователь. | SharePoint |
| SourceRelativeUrl | URL-адрес папки с файлом, к которому получил доступ пользователь. Сочетание значений для SiteURL, SourceRelativeURL и Свойства SourceFileName совпадает со значением свойства ObjectID , которое представляет собой полное имя пути к файлу, к которому обращается пользователь. | SharePoint |
| Subject | Строка темы сообщения, к которому получен доступ. | Exchange (действие почтового ящика) |
| TabType | Тип вкладки, добавленной, удаленной или обновленной в команде. Вот возможные значения этого свойства: Закрепление Excel — вкладка Excel. Расширение — все сторонние и сторонние приложения; например Расписание классов, VSTS и Forms. Заметки — вкладка OneNote. Pdfpin — вкладка PDF. Powerbi — вкладка Power BI. Powerpointpin — вкладка PowerPoint. Sharepointfiles — вкладка SharePoint. Веб-страница — закрепленная вкладка веб-сайта. Вики-вкладка — вики-вкладка . Wordpin — вкладка Word. |
Microsoft Teams |
| Target | Пользователь, с которым было выполнено действие (определенное в свойстве Operation ). Например, если гость добавлен в SharePoint или Microsoft Team, этот пользователь будет указан в этом свойстве. | Azure Active Directory |
| TeamGuid | Идентификатор команды в Microsoft Teams. | Microsoft Teams |
| TeamName | Имя команды в Microsoft Teams. | Microsoft Teams |
| UserAgent | Сведения о браузере пользователя. Эти сведения предоставляются браузером. | SharePoint |
| UserDomain | Сведения об удостоверении организации клиента пользователя (субъекта), выполнившего действие. | Azure Active Directory |
| UserId | Пользователь, выполнивший действие (указанное в свойстве Operation ), которое привело к регистрации записи. Записи аудита для действий, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM), также включаются в журнал аудита. Другим общим значением для свойства UserId является app@sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе: Пользователь app@sharepoint в записях аудита или Системные учетные записи в записях аудита почтовых ящиков Exchange. |
Все |
| UserKey | Содержит допустимый идентификатор объекта Azure Active Directory в формате GUID или шестнадцатеричном формате. В случаях, когда основной субъект не является пользователем, UserKey является пустой строкой. Дополнительные сведения о различных сценариях UserKey см. в разделах Сценарии UserType и UserKey. | Все |
| UserType | Тип пользователя, который выполнил операцию. Дополнительные сведения о различных сценариях UserType см. в разделах Сценарии UserType и UserKey. | Все |
| Версия | Указывает номер версии действия (определяемого свойством Operation ), которое регистрируется в журнале. | Все |
| Workload | Служба Microsoft 365, в которой произошло действие. | Все |
Сценарии UserType и UserKey
В следующей таблице приведены сведения о сценариях UserType и UserKey .
| Значение | Имя члена UserType | Описание | UserKey |
|---|---|---|---|
| 0 | Regular | Обычный пользователь без разрешений администратора. | Microsoft Entra идентификатор объекта в формате GUID |
| 2 | Admin | Администратор в организации Microsoft 365. 1 | Microsoft Entra идентификатор объекта в формате GUID |
| 3 | DCAdmin | Администратор центра обработки данных Майкрософт или системная учетная запись центра обработки данных. | Microsoft Entra идентификатор объекта в формате GUID |
| 4 | System | Событие аудита, активируется логикой на стороне сервера. Например, службы Windows или фоновые процессы. | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
| 5 | Application | Событие аудита, активируется приложением Microsoft Entra. | Microsoft Entra имя приложения или идентификатор приложения (если доступно). В противном случае — пустая строка. |
| 6 | ServicePrincipal | Субъект-служба. | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
| 7 | CustomPolicy | Клиент, созданная или управляемая политика. | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
| 8 | SystemPolicy | Под управлением Майкрософт или системная политика. | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
| 9 | PartnerTechnician | Пользователь клиента партнера, работающий от имени клиента клиента (в сценариях GDAP ). | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
| 10 | Guest | Гостевой или анонимный пользователь. | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
Примечание.
1 Для Microsoft Entra связанных событий значение администратора не используется в записи аудита. Записи аудита для действий, выполняемых администраторами, указывают на то, что обычный пользователь (например, UserType: 0) выполнил действие. Свойство UserID идентифицирует пользователя (обычного пользователя или администратора), выполнившего действие.