| AADGroupId |
字串 |
Azure Active Directory 群組標識符 |
| AADTarget |
字串 |
執行動作的使用者(由 Operation 屬性識別) |
| 活動 |
字串 |
使用者執行的活動。 |
| 演員 |
字串 |
執行動作的用戶或服務主體 |
| ActorContextId |
字串 |
動作專案所屬組織的 GUID |
| ActorIpAddress |
字串 |
IPV4 或 IPV6 位址格式的動作專案 IP 位址 |
| AddOnGuid |
字串 |
產生此事件之附加元件的唯一標識符 |
| AddonName |
字串 |
產生此事件的附加元件名稱 |
| AddOnType |
字串 |
產生此事件的附加元件類型 |
| AffectedItems |
字串 |
群組中每個項目的相關信息 |
| AppDistributionMode |
字串 |
應用程式散發模式 |
| AppId |
字串 |
Application ID |
| 申請 |
字串 |
應用程式名稱 |
| ApplicationId |
字串 |
SharePoint 應用程式識別碼 |
| AppPoolName |
字串 |
應用程式集區名稱 |
| AzureActiveDirectory_EventType |
字串 |
Azure AD 事件的類型 |
| AzureADAppId |
字串 |
Teams 應用程式 Azure AD 識別碼 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| ChannelGuid |
字串 |
正在稽核之通道的唯一標識符 |
| ChannelName |
字串 |
正在稽核的通道名稱 |
| ChannelType |
字串 |
正在稽核的通道類型(標準/私人) |
| ChatName |
字串 |
聊天的名稱 |
| ChatThreadId |
字串 |
聊天對話的標識碼 |
| 用戶端 |
字串 |
用於帳戶登入事件之用戶端裝置、裝置 OS 和裝置瀏覽器的詳細數據 |
| Client_IPAddress |
字串 |
記錄作業時所使用的裝置IP位址 |
| ClientAppId |
字串 |
用戶端應用程式識別碼 |
| ClientInfoString |
字串 |
用來執行作業的電子郵件客戶端相關信息 |
| ClientIP |
字串 |
記錄活動時使用的裝置IP位址 |
| ClientMachineName |
字串 |
裝載 Outlook 用戶端的電腦名稱 |
| ClientProcessName |
字串 |
用來存取信箱的電子郵件用戶端 |
| ClientVersion |
字串 |
電子郵件用戶端的版本 |
| CommunicationType |
字串 |
進行的通訊類型 |
| CrossMailboxOperations |
bool |
指出作業是否涉及多個信箱 |
| CustomEvent |
字串 |
自訂事件的選擇性字串 |
| DataCenterSecurityEventType |
int |
鎖定框中的 dmdlet 事件類型 |
| DestFolder |
字串 |
目的地資料夾 |
| DestinationFileExtension |
字串 |
已複製或移動之檔案的擴展名 |
| DestinationFileName |
字串 |
複製或移動的檔名 |
| DestinationRelativeUrl |
字串 |
複製或移動檔案之目的地資料夾的URL |
| DestMailboxId |
字串 |
只有在 CrossMailboxOperations 參數為 True 時設定 |
| DestMailboxOwnerMasterAccountSid |
字串 |
只有在 CrossMailboxOperations 參數為 True 時設定 |
| DestMailboxOwnerSid |
字串 |
只有在 CrossMailboxOperations 參數為 True 時設定 |
| DestMailboxOwnerUPN |
字串 |
只有在 CrossMailboxOperations 參數為 True 時設定 |
| EffectiveOrganization |
字串 |
提高許可權/Cmdlet 的目標租用戶名稱 |
| ElevationApprovedTime |
Datetime |
核准提高許可權時的時間戳 |
| ElevationApprover |
字串 |
Microsoft管理員的名稱 |
| ElevationDuration |
int |
提高權限作用中的持續時間(以小時為單位) |
| ElevationRequestId |
字串 |
提高許可權要求的唯一標識符 |
| ElevationRole |
字串 |
要求提高許可權的角色 |
| ElevationTime |
Datetime |
提高許可權的開始時間 |
| Event_Data |
字串 |
自定義事件的選擇性承載 |
| EventSource |
字串 |
識別事件在 SharePoint 中發生。 可能的值為 SharePoint 或 ObjectModel |
| ExtendedProperties |
字串 |
Azure AD 事件的擴充屬性 |
| ExternalAccess |
字串 |
指定 Cmdlet 是否由組織中的用戶執行 |
| ExtraProperties |
dynamic |
額外屬性的清單 |
| Folder |
字串 |
專案群組所在的資料夾 |
| 資料夾 |
字串 |
作業中涉及之源資料夾的相關信息 |
| GenericInfo |
字串 |
用於批注和其他泛型資訊 |
| InternalLogonType |
int |
保留供內部使用 |
| InterSystemsId |
字串 |
追蹤 Office 365 服務內元件動作的 GUID |
| IntraSystemId |
字串 |
Azure Active Directory 產生以追蹤動作的 GUID |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| IsManagedDevice |
bool |
指出作業是否由組織管理的裝置所建立 |
| IssuedAtTime |
Datetime |
發出 At 會設定Microsoft Entra 令牌是否可供要求使用,並指出何時發生此Microsoft Entra 令牌的驗證。 |
| 項目 |
字串 |
表示對之執行作業的項目 |
| ItemName |
字串 |
電子郵件訊息的 [主旨] 字段中的字串 |
| ItemType |
字串 |
被存取或修改之物件的類型。 如需物件類型的詳細資訊,請參閱 ItemType 數據表 |
| LoginStatus |
int |
此屬性直接來自 OrgIdLogon.LoginStatus。 警示演算法可以完成各種有趣登入失敗的對應 |
| Logon_Type |
字串 |
指出存取信箱並執行已記錄之作業的用戶類型 |
| LogonUserDisplayName |
字串 |
執行作業的使用者易記名稱 |
| LogonUserSid |
字串 |
執行作業的使用者 SID |
| MachineDomainInfo |
字串 |
裝置同步作業的相關信息 |
| MachineId |
字串 |
裝置同步作業的相關信息 |
| MailboxGuid |
字串 |
已存取之信箱的 Exchange GUID |
| MailboxOwnerMasterAccountSid |
字串 |
信箱擁有者帳戶的主要帳戶 SID |
| MailboxOwnerSid |
字串 |
信箱擁有者的 SID |
| MailboxOwnerUPN |
字串 |
擁有所存取信箱之人員的電子郵件位址 |
| 成員 |
dynamic |
Team 內的使用者清單 |
| MessageId |
字串 |
聊天或頻道訊息的標識碼 |
| ModifiedObjectResolvedName |
字串 |
這是 Cmdlet 修改的物件使用者易記名稱 |
| ModifiedProperties |
字串 |
系統管理事件包含 屬性,例如將使用者新增為網站或網站集合管理員群組的成員 |
| 名稱 |
字串 |
僅適用於設定事件。 已變更之設定的名稱 |
| NewValue |
字串 |
僅適用於設定事件。 設定的新值 |
| OfficeId |
字串 |
稽核記錄的唯一標識碼 |
| OfficeObjectId |
字串 |
針對 SharePoint 和 商務用 OneDrive 活動 |
| OfficeTenantId |
字串 |
Office 租用戶標識碼 |
| OfficeWorkload |
字串 |
發生活動的 Office 365 服務 |
| OldValue |
字串 |
僅適用於設定事件。 設定的舊值 |
| 作業 |
字串 |
使用者正在執行的作業名稱 |
| OperationProperties |
dynamic |
其他作業屬性 |
| OperationScope |
字串 |
作業執行的範圍 |
| OrganizationId |
字串 |
貴組織的 Office 365 租用戶 GUID。 對於您的組織而言,此值一律相同 |
| OrganizationName |
字串 |
租用戶的名稱 |
| OriginatingServer |
字串 |
執行 Cmdlet 的伺服器名稱 |
| 參數 |
字串 |
與 Operations 屬性中識別之 Cmdlet 搭配使用之所有參數的名稱和值 |
| RecordType |
字串 |
記錄所指示的作業類型。 如需稽核記錄檔記錄類型的詳細資訊,請參閱 AuditLogRecordType 數據表 |
| _ResourceId |
string |
記錄相關資源的唯一識別碼 |
| ResultReasonType |
字串 |
ResultType 中回報結果的原因 |
| ResultStatus |
字串 |
指出動作是否成功(在 Operation 屬性中指定) |
| SendAsUserMailboxGuid |
字串 |
用來傳送電子郵件之信箱的 Exchange GUID |
| SendAsUserSmtp |
字串 |
正在模擬之使用者的 SMTP 位址 |
| SendonBehalfOfUserMailboxGuid |
字串 |
用來代表傳送郵件之信箱的 Exchange GUID |
| SendOnBehalfOfUserSmtp |
字串 |
代表電子郵件傳送之使用者的 SMTP 位址 |
| SharingType |
字串 |
指派給與之共用資源之使用者的共用權限類型。 此使用者是由 UserSharedWith 參數所識別 |
| Site_ |
字串 |
使用者存取之檔案或資料夾所在的月臺 GUID |
| Site_Url |
字串 |
使用者所存取檔案或資料夾所在的網站URL |
| Source_Name |
字串 |
觸發已稽核作業的實體。 可能的值為 SharePoint 或 ObjectModel |
| SourceFileExtension |
字串 |
使用者所存取之檔案的擴展名 |
| SourceFileName |
字串 |
使用者存取的檔案或資料夾名稱 |
| SourceRecordId |
字串 |
稽核記錄的唯一標識碼 |
| SourceRelativeUrl |
字串 |
包含使用者所存取檔案的資料夾URL |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
| SRPolicyId |
字串 |
原則識別碼 |
| SRPolicyName |
字串 |
原則名稱 |
| SRRuleMatchDetails |
dynamic |
規則詳細資料 |
| Start_Time |
Datetime |
執行 Cmdlet 的日期和時間 |
| _SubscriptionId |
string |
與記錄相關的訂用帳戶唯一識別碼 |
| SupportTicketId |
字串 |
「代表行動」情況中動作的客戶支援票證標識碼 |
| TabType |
字串 |
產生此事件的索引標籤類型 |
| TargetContextId |
字串 |
目標用戶所屬組織的 GUID |
| TargetUserId |
字串 |
目標用戶識別碼 |
| TargetUserOrGroupName |
字串 |
儲存與資源分享的目標使用者或群組的UPN或名稱 |
| TargetUserOrGroupType |
字串 |
識別目標使用者或群組是否為成員、來賓、群組或合作夥伴 |
| TeamGuid |
字串 |
正在稽核之小組的唯一標識碼 |
| TeamName |
字串 |
正在稽核的小組名稱 |
| TenantId |
字串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
Datetime |
當使用者執行活動時,以國際標準時間 (UTC) 表示的日期和時間 |
| 型別 |
string |
資料表的名稱 |
| UniqueTokenId |
字串 |
如果Microsoft Entra 令牌可供要求使用,UniqueTokenId 就會設定。 這是區分大小寫的唯一個別令牌標識碼。 |
| UserAgent |
字串 |
使用者代理程式 |
| UserDomain |
字串 |
使用者的網域 |
| UserId |
字串 |
執行動作的使用者 UPN (用戶主體名稱)(在 Operation 屬性中指定)導致記錄的記錄 |
| UserKey |
字串 |
UserId 屬性中識別之使用者的替代標識碼 |
| UserSharedWith |
字串 |
與資源分享的使用者 |
| UserType |
字串 |
執行作業的使用者類型。 如需使用者類型的詳細資訊,請參閱 UserType 數據表 |