UPN (användarens huvudnamn) för den användare som utförde åtgärden (anges i egenskapen Operation) som resulterade i att posten loggades. till exempel my_name@my_domain_name. Observera att poster för aktivitet som utförs av systemkonton (till exempel SHAREPOINT\system eller NT AUTHORITY\SYSTEM) också ingår. I SharePoint visas ett annat värde i egenskapen UserId app@sharepoint. Detta anger att den "användare" som utförde aktiviteten var ett program som har de behörigheter som krävs i SharePoint för att utföra organisationsomfattande åtgärder (till exempel att söka efter en SharePoint-webbplats eller ett OneDrive-konto) för en användare, administratör eller tjänst. Mer information finns i app@sharepoint användare i granskningsposter.
ActorUserId
sträng
Ett alternativt ID för användaren som identifieras i egenskapen UserId. Den här egenskapen fylls till exempel med passets unika ID (PUID) för händelser som utförs av användare i SharePoint, OneDrive för företag och Exchange. Den här egenskapen kan också ange samma värde som egenskapen UserID för händelser som inträffar i andra tjänster och händelser som utförs av systemkonton.
ActorUserType
sträng
Den typ av användare som utförde åtgärden. Möjliga typer inkluderar: Admin, System, Application, Service Principal och Other.
_BilledSize
real
Poststorleken i byte
EventOriginalType
sträng
Namnet på den användare eller administratör som utförde aktiviteten. En beskrivning av de vanligaste åtgärderna/aktiviteterna finns i "Sök i granskningsloggen" i Office 365 Protection Center. För Exchange-administratörsaktivitet identifierar den här egenskapen namnet på den cmdlet som kördes. För Dlp-händelser kan detta vara "DlpRuleMatch", "DlpRuleUndo" eller "DlpInfo", som beskrivs under "DLP-schema" nedan.
EventOriginalUid
sträng
Unik identifierare för en granskningspost.
EventProduct
sträng
Namnet på Microsoft-tjänsten.
EventVendor
sträng
Leverantörens tjänstnamn.
_IsBillable
sträng
Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto
IsPolicyHit
bool
Ange om det finns en träff på en definierad princip.
ObjectId
sträng
För SharePoint- och OneDrive för företag-aktivitet är det fullständiga sökvägen till filen eller mappen som användaren har åtkomst till. För Granskningsloggning för Exchange-administratör är namnet på det objekt som ändrades av cmdleten.
OrganizationId
sträng
GUID för organisationens Office 365-klientorganisation. Det här värdet kommer alltid att vara detsamma för din organisation, oavsett i vilken Office 365-tjänst det sker.
RecordType
sträng
Den typ av åtgärd som anges av posten. Mer information om typer av granskningsloggposter finns i tabellen AuditLogRecordType.
SourceSystem
sträng
Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics
SRPolicyId
sträng
Princip-ID.
SRPolicyName
sträng
Principnamn.
SRRuleMatchDetails
dynamisk
Principmatchningar.
TenantId
sträng
Log Analytics-arbetsytans ID
TimeGenerated
datetime
Datum och tid i UTC när användaren utförde aktiviteten.