Microsoft Purview 資訊保護 稽核記錄。
數據表屬性
| 屬性 |
值 |
| 資源類型 |
- |
| 類別 |
安全性、稽核 |
| 方案 |
SecurityInsights |
| 基本記錄 |
No |
| 擷取時間轉換 |
Yes |
| 範例查詢 |
是 |
資料行
| 資料行 |
類型 |
描述 |
| ActionSource |
字串 |
標籤動作來源。 |
| ActionSourceDetail |
字串 |
標籤動作來源的詳細數據。 |
| AppAccessContext |
dynamic |
執行動作之用戶或服務主體的應用程式內容。 |
| 申請 |
字串 |
發生活動的應用程式。 |
| ApplicationMode |
字串 |
標籤應用程式模式,如何套用標籤。 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| ClientIP |
字串 |
記錄活動時所使用的裝置之 IP 位址。 IP 位址會以 IPv4 或 IPv6 位址格式顯示。 |
| 常見 |
dynamic |
Azure 資訊保護 - 常見的事件數據。 |
| ConditionMatch |
dynamic |
觸發自動套用標籤的條件比對。 |
| ContentType |
字串 |
內容類型。 |
| CorrelationId |
字串 |
相互關聯標識碼。 |
| CurrentProtectionType |
dynamic |
目前的保護事件資訊。 |
| CurrentProtectionTypeName |
字串 |
套用的保護類型。 |
| DataState |
字串 |
Azure 資訊保護 - 數據狀態。 |
| DeviceName |
字串 |
活動發生所在的裝置。 |
| EmailInfo |
dynamic |
internalTarget 為電子郵件時所需的資訊。 |
| ExchangeMetaData |
dynamic |
Exchange 自動套用標籤數據。 |
| ExecutionRuleId |
字串 |
已執行之規則的識別碼。 |
| ExecutionRuleName |
字串 |
執行的規則名稱。 |
| ExecutionRuleVersion |
字串 |
執行的規則版本。 |
| Id |
字串 |
稽核記錄的唯一標識碼。 |
| IrmContentId |
字串 |
作業完成之後用來識別加密檔的唯一標識碼。 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| IsViewableByExternalUsers |
bool |
可由外部用戶檢視。 |
| ItemCreationTime |
Datetime |
建立專案的日期和時間。 |
| ItemLastModifiedTime |
Datetime |
上次修改專案的日期和時間。 |
| ItemName |
字串 |
專案名稱。 |
| ItemSize |
字串 |
項目大小。 |
| JustificationText |
字串 |
在敏感度標籤原則中由系統管理員設定時,只有在用戶降級或移除敏感度標籤時,才提供的理由。 |
| LabelAction |
字串 |
標籤所套用的動作。 |
| LabelAppliedDateTime |
Datetime |
套用標籤的日期和時間。 |
| LabelEventType |
字串 |
卷標作業。 |
| LabelName |
字串 |
套用至專案的標籤名稱。 |
| LabelVersion |
字串 |
自動套用標籤原則所套用的標籤版本。 |
| MachineName |
字串 |
計算機名稱。 |
| MgtRuleId |
字串 |
管理規則標識碼。 |
| ObjectId |
字串 |
針對 SharePoint 和 商務用 OneDrive 活動,使用者所存取之檔案或資料夾的完整路徑名稱。 針對 Exchange 系統管理員稽核記錄,Cmdlet 所修改的物件名稱。 |
| OldSensitivityLabelId |
字串 |
先前套用至檔的敏感度標籤標識碼,再變更/移除卷標的作業觸發。 |
| OldSensitivityLabelOwnerEmail |
字串 |
舊敏感度標籤擁有者的電子郵件位址。 |
| 作業 |
字串 |
使用者或管理員活動的名稱。 |
| OrganizationId |
字串 |
貴組織的 Office 365 租用戶 GUID。 無論此值是在哪一個 Office 365 服務中發生,對於貴組織而言它將會一律相同。 |
| OverriddenActions |
dynamic |
規則動作所覆寫的動作。 |
| OverRideReason |
字串 |
覆寫敏感度標籤的原因。 |
| OverRideType |
字串 |
覆寫類型。 |
| 平台 |
字串 |
活動發生的平臺。 |
| PolicyId |
字串 |
原則標識碼。 |
| PolicyName |
字串 |
原則名稱。 |
| PolicyVersion |
字串 |
原則版本。 |
| PreviousProtectionType |
dynamic |
先前的保護事件資訊。 |
| PreviousProtectionTypeName |
字串 |
先前的保護類型。 |
| ProtectionEventData |
dynamic |
Azure 資訊保護 - 保護事件數據。 |
| ProtectionEventTypeName |
字串 |
保護事件類型名稱。 |
| 接收器 |
dynamic |
接收者的電子郵件位址。 |
| RecordType |
int |
記錄所指示的作業類型。 |
| RecordTypeName |
字串 |
記錄類型名稱。 |
| ResultStatus |
字串 |
指出 (Operation 屬性中指定的) 動作是否成功。 可能的值為 Succeeded、PartiallySucceeded 或 Failed。 對於 Exchange 管理員活動,這個值將會是 True 或 False。 |
| RuleActions |
dynamic |
規則所定義的動作。 |
| RuleMode |
字串 |
規則的目前模式。 |
| 範圍 |
字串 |
這是由裝載的 O365 服務或內部部署伺服器所建立的事件。 |
| ScopedLocationId |
字串 |
觸發原則比對的位址。 |
| Sender |
字串 |
寄件者的電子郵件位址。 |
| SensitiveInfoDetectionIsIncluded |
bool |
判斷是否包含敏感性資訊偵測。 |
| SensitiveInfoTypeData |
dynamic |
Azure 資訊保護 - 敏感性信息類型。 |
| SensitivityLabelId |
字串 |
建議的敏感度標籤標識碼,根據根據文件的內容比對的原則。 |
| SensitivityLabelOwnerEmail |
字串 |
敏感度標籤擁有者的電子郵件位址。 |
| SensitivityLabelPolicyId |
字串 |
根據文件內容相符的敏感度標籤原則標識碼。 |
| 嚴重性 |
字串 |
自動標籤原則相符的嚴重性。 |
| SharePointMetaData |
dynamic |
SharePoint 自動套用標籤數據。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
| TargetLocation |
字串 |
與使用者裝置相關的檔位置。 |
| TenantId |
字串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
Datetime |
使用者執行活動的日期和時間。 |
| 型別 |
string |
資料表的名稱 |
| UserId |
字串 |
執行動作之使用者的UPN (用戶主體名稱)(在 Operation 屬性中指定)導致記錄的記錄。 |
| UserKey |
字串 |
UserId 屬性所識別之使用者的替代識別碼。 此屬性會填入 SharePoint、商務用 OneDrive 和 Exchange 中使用者所執行事件的 passport 唯一識別碼 (PUID)。 |
| UserType |
字串 |
執行作業的使用者類型。 |
| 工作負載 |
字串 |
發生活動的 Office 365 服務。 |
| WorkLoadItemId |
字串 |
工作負載專案標識碼。 |