共用方式為

EnrichedMicrosoft365AuditLogs

  • 發行項

下表是 Identity 和 Network Access 的一部分,其中包含擴充Microsoft 365 稽核記錄。 這些記錄可用於原則、風險和流量管理,以及監視用戶體驗。

數據表屬性

屬性
資源類型 -
類別 安全性、網路、IT 和管理工具
方案 LogManagement
基本記錄 No
擷取時間轉換 No
範例查詢 -

資料行

資料行 類型​ 描述
ActorUserType 字串 執行作業的使用者類型。 可能的類型包括:系統管理、系統、應用程式、服務主體和其他。
AdditionalProperties dynamic 其他活動欄位
_BilledSize real 以位元組為單位的記錄大小
ClientIp 字串 記錄活動時所使用的裝置之 IP 位址。 IP 位址會以 IPv4 或 IPv6 位址格式顯示。 對於某些服務,此屬性中顯示的值可能是信任應用程式(例如,Office 網頁版 應用程式)代表使用者呼叫服務的IP位址,而不是執行活動的人員所使用的裝置IP位址。 此外,針對 Azure Active Directory 相關事件,不會記錄 IP 位址,且 ClientIP 屬性的值為 Null。
DeviceId 字串 記錄中所報告的來源裝置標識碼。
DeviceOperatingSystem 字串 線上作業系統類型的用戶端。
DeviceOperatingSystemVersion 字串 線上作業系統版本的用戶端。
Id 字串 稽核記錄的唯一標識碼。
_IsBillable 字串 指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費
ObjectId 字串 針對 SharePoint 和商務用 OneDrive 活動,使用者所存取之檔案或資料夾的完整路徑名稱。 針對 Exchange 系統管理員稽核記錄,Cmdlet 所修改的物件名稱。
作業 字串 執行活動的使用者或系統管理員活動名稱。
OrganizationId 字串 貴組織的 Office 365 租用戶 GUID。 無論此值是在哪一個 Office 365 服務中發生,對於貴組織而言它將會一律相同。
RecordType int 記錄所指示的作業類型。 如需稽核記錄類型的詳細資訊,請參閱 AuditLogRecordType 數據表。
ResultStatus 字串 指出 (Operation 屬性中指定的) 動作是否成功。 可能的值為 Succeeded、PartiallySucceeded 或 Failed。
SourceIp 字串 線上或會話的來源IP位址。
SourceSystem 字串 收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷
TenantId 字串 Log Analytics 工作區識別碼
TimeGenerated Datetime 使用者執行活動的 UTC 日期和時間。
型別 string 資料表的名稱
UniqueTokenId 字串 唯一令牌標識碼
UserId 字串 執行動作之使用者的UPN(用戶主體名稱)(在Operation 屬性中指定)導致記錄的記錄;例如,my_name@my_domain_name。 請注意,系統帳戶所執行活動的記錄也會包含(例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM)。 在 SharePoint 中,UserId 屬性中顯示的另一個值是app@sharepoint。 這表示執行活動的「使用者」是代表使用者、系統管理員或服務執行全組織動作(例如搜尋 SharePoint 網站或 OneDrive 帳戶)所需許可權的應用程式。 如需詳細資訊,請參閱稽核記錄中的app@sharepoint使用者。
UserKey 字串 UserId 屬性所識別之使用者的替代識別碼。 例如,針對由使用者在 SharePoint、商務用 OneDrive 及 Exchange 中所執行的事件,此屬性都會填入 Passport 唯一識別碼 (PUID)。 此屬性也可以針對系統帳戶所執行之其他服務和事件中發生的事件,指定與 UserID 屬性相同的值。
UserType 字串 執行作業的使用者類型。
工作負載 字串 發生活動的 Office 365 服務。