| ActorUserType |
sträng |
Den typ av användare som utförde åtgärden. Möjliga typer inkluderar: Admin, System, Application, Service Principal och Other. |
| Ytterligareegenskaper |
dynamisk |
Ytterligare aktivitetsfält |
| _BilledSize |
real |
Poststorleken i byte |
| ClientIp |
sträng |
IP-adressen för den enhet som användes när aktiviteten loggades. IP-adressen visas i IPv4- eller IPv6-adressformat. För vissa tjänster kan värdet som visas i den här egenskapen vara IP-adressen för ett betrott program (till exempel Office på webben appar) som anropar tjänsten för en användares räkning och inte IP-adressen för den enhet som används av den person som utförde aktiviteten. För Azure Active Directory-relaterade händelser loggas inte IP-adressen och värdet för egenskapen ClientIP är null. |
| DeviceId |
sträng |
ID:t för källenheten enligt rapporten i posten. |
| DeviceOperatingSystem |
sträng |
Den klient som ansluter operativsystemtyp. |
| DeviceOperatingSystemVersion |
sträng |
Klienten ansluter operativsystemversionen. |
| Id |
sträng |
Unik identifierare för en granskningspost. |
| _IsBillable |
sträng |
Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| ObjectId |
sträng |
För SharePoint- och OneDrive för företag-aktivitet är det fullständiga sökvägen till filen eller mappen som användaren har åtkomst till. För Granskningsloggning för Exchange-administratör är namnet på det objekt som ändrades av cmdleten. |
| Åtgärd |
sträng |
Namnet på den användar- eller administratörsaktivitet som utförde aktiviteten. |
| OrganizationId |
sträng |
GUID för organisationens Office 365-klientorganisation. Det här värdet kommer alltid att vara detsamma för din organisation, oavsett i vilken Office 365-tjänst det sker. |
| RecordType |
heltal |
Den typ av åtgärd som anges av posten. Mer information om typer av granskningsloggposter finns i tabellen AuditLogRecordType. |
| ResultStatus |
sträng |
Anger om åtgärden (som anges i egenskapen Operation) lyckades eller inte. Möjliga värden är Succeeded, PartiallySucceeded eller Failed. |
| SourceIp |
sträng |
DEN IP-adress som anslutningen eller sessionen kommer från. |
| SourceSystem |
sträng |
Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| TenantId |
sträng |
Log Analytics-arbetsytans ID |
| TimeGenerated |
datetime |
Datum och tid i UTC när användaren utförde aktiviteten. |
| Typ |
sträng |
Namnet på tabellen |
| UniqueTokenId |
sträng |
Den unika tokenidentifieraren |
| AnvändarID |
sträng |
UPN (användarens huvudnamn) för den användare som utförde åtgärden (anges i egenskapen Operation) som resulterade i att posten loggades. till exempel my_name@my_domain_name. Observera att poster för aktivitet som utförs av systemkonton (till exempel SHAREPOINT\system eller NT AUTHORITY\SYSTEM) också ingår. I SharePoint visas ett annat värde i egenskapen UserId app@sharepoint. Detta anger att den "användare" som utförde aktiviteten var ett program som har de behörigheter som krävs i SharePoint för att utföra organisationsomfattande åtgärder (till exempel att söka efter en SharePoint-webbplats eller ett OneDrive-konto) för en användare, administratör eller tjänst. Mer information finns i app@sharepoint användare i granskningsposter. |
| UserKey |
sträng |
Ett alternativt ID för användaren som identifieras i egenskapen UserId. Den här egenskapen fylls till exempel med passets unika ID (PUID) för händelser som utförs av användare i SharePoint, OneDrive för företag och Exchange. Den här egenskapen kan också ange samma värde som egenskapen UserID för händelser som inträffar i andra tjänster och händelser som utförs av systemkonton. |
| UserType |
sträng |
Den typ av användare som utförde åtgärden. |
| Arbetsbelastning |
sträng |
Office 365-tjänsten där aktiviteten inträffade. |