MicrosoftPurviewInformationProtection

Microsoft Purview 信息保护审核日志。

数据表属性

Attribute Value
资源类型 -
Categories 安全性、审核
Solutions SecurityInsights
基本日志 Yes
引入时转换 Yes
示例查询 Yes

Columns

Column 类型 Description
ActionSource 字符串 标签操作的源。
ActionSourceDetail 字符串 有关标签操作源的更多详细信息。
AppAccessContext dynamic 执行该操作的用户或服务主体的应用程序上下文。
Application 字符串 发生活动的应用程序。
ApplicationMode 字符串 标签应用程序模式,如何应用标签。
AutoSensitivityLabelPolicyInfo dynamic 自动敏感度标签策略信息
_BilledSize real 记录大小(字节)
ClientIP 字符串 记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。
Common dynamic Azure 信息保护 - 常见事件数据。
ConditionMatch dynamic 触发自动标记的条件匹配。
ContentType 字符串 内容类型。
CorrelationId 字符串 相关性 ID。
CurrentProtectionType dynamic 当前保护事件信息。
CurrentProtectionTypeName 字符串 应用的保护类型。
DataState 字符串 Azure 信息保护 - 数据状态。
DeviceName 字符串 发生活动的设备。
EmailInfo dynamic internalTarget 是电子邮件时所需的信息。
ExchangeMetaData dynamic Exchange 自动标记元数据。
ExecutionRuleId 字符串 已执行的规则的 ID。
ExecutionRuleName 字符串 已执行的规则的名称。
ExecutionRuleVersion 字符串 已执行的规则的版本。
Id 字符串 审核记录的唯一标识符。
IrmContentId 字符串 操作完成后用于识别加密文档的唯一 ID。
_IsBillable 字符串 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
IsViewableByExternalUsers bool 可由外部用户查看。
ItemCreationTime 日期/时间 创建项的日期和时间。
ItemLastModifiedTime 日期/时间 上次修改项的日期和时间。
ItemName 字符串 项的名称。
ItemSize 字符串 项大小。
JustificationText 字符串 在敏感度标签策略中由管理员配置时,仅当用户降级或移除敏感度标签时才提供的理由。
LabelAction 字符串 标签应用的操作。
LabelAppliedDateTime 日期/时间 应用标签的日期和时间。
LabelEventType 字符串 标签操作。
LabelName 字符串 应用于项的标签名称。
LabelVersion 字符串 自动标记策略应用的标签版本。
MachineName 字符串 计算机名称。
MgtRuleId 字符串 管理规则 ID。
ObjectId 字符串 对于 SharePoint 和 OneDrive for Business 活动,用户访问的文件或文件夹的完整路径名称。 对于 Exchange 管理员审核日志,通过 cmdlet 修改的对象的名称。
OldSensitivityLabelId 字符串 在触发更改/移除标签的操作之前,以前应用于文档的敏感度标签的标识符。
OldSensitivityLabelOwnerEmail 字符串 旧敏感度标签所有者的电子邮件地址。
Operation 字符串 用户或管理员活动的名称。
OrganizationId 字符串 组织的 Office 365 租户的 GUID。 无论发生在哪种 Office 365 服务中,组织中的此值均保持不变。
OverriddenActions dynamic 由规则操作重写的操作。
OverRideReason 字符串 重写敏感度标签的原因。
OverRideType 字符串 替代类型。
Platform 字符串 发生活动的平台。
PolicyId 字符串 策略 ID。
PolicyName 字符串 策略名称。
PolicyVersion 字符串 策略版本。
PreviousProtectionType dynamic 以前的保护事件信息。
PreviousProtectionTypeName 字符串 以前的保护类型。
ProtectionEventData dynamic Azure 信息保护 - 保护事件数据。
ProtectionEventTypeName 字符串 保护事件类型名称。
Receivers dynamic 接收方的电子邮件地址。
RecordType int 记录指示的操作类型。
RecordTypeName 字符串 记录类型名称。
ResultStatus 字符串 指示操作(在 Operation 属性中指定)是成功还是失败。 可能的值有 Succeeded、PartiallySucceeded 或 Failed。 对于 Exchange 管理员活动,值为 True 或 False。
RuleActions dynamic 由规则定义的操作。
RuleMode 字符串 规则的当前模式。
Scope 字符串 此事件是由托管的 O365 服务还是本地服务器创建的。
ScopedLocationId 字符串 触发策略匹配的地址。
Sender 字符串 发送方的电子邮件地址。
SensitiveInfoDetectionIsIncluded bool 确定是否包括敏感信息检测。
SensitiveInfoTypeData dynamic Azure 信息服务 - 敏感信息类型。
SensitivityLabelEventFailureData dynamic 敏感度标签事件失败数据
SensitivityLabelId 字符串 根据基于文档内容匹配的策略建议的敏感度标签的标识符。
SensitivityLabelOwnerEmail 字符串 敏感度标签所有者的电子邮件地址。
SensitivityLabelPolicyId 字符串 根据文档内容匹配的敏感度标记策略的标识符。
Severity 字符串 自动标签策略匹配的严重性。
SharePointMetaData dynamic SharePoint 自动标记元数据。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
TargetLocation 字符串 文档相对于用户设备的位置。
TenantId 字符串 Log Analytics 工作区 ID
TimeGenerated 日期/时间 用户执行活动的日期和时间。
类型 字符串 表的名称
UserId 字符串 执行导致记录的操作(在 Operation 属性中指定)的用户的 UPN(用户主体名称)。
UserKey 字符串 UserId 属性中标识的用户的备用 ID。 此属性由 SharePoint、OneDrive for Business 和 Exchange 中用户执行的事件的 Passport 唯一 ID (PUID) 进行填充。
UserType 字符串 执行操作的用户的类型。
Workload 字符串 其中发生活动的 Office 365 服务。
WorkLoadItemId 字符串 工作负荷项 ID。