Microsoft Purview 信息保护审核日志。
数据表属性
| Attribute |
Value |
|
资源类型 |
- |
|
Categories |
安全性、审核 |
|
Solutions |
SecurityInsights |
|
基本日志 |
Yes |
|
引入时转换 |
Yes |
|
示例查询 |
Yes |
Columns
| Column |
类型 |
Description |
| ActionSource |
字符串 |
标签操作的源。 |
| ActionSourceDetail |
字符串 |
有关标签操作源的更多详细信息。 |
| AppAccessContext |
dynamic |
执行该操作的用户或服务主体的应用程序上下文。 |
| Application |
字符串 |
发生活动的应用程序。 |
| ApplicationMode |
字符串 |
标签应用程序模式,如何应用标签。 |
| AutoSensitivityLabelPolicyInfo |
dynamic |
自动敏感度标签策略信息 |
| _BilledSize |
real |
记录大小(字节) |
| ClientIP |
字符串 |
记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 |
| Common |
dynamic |
Azure 信息保护 - 常见事件数据。 |
| ConditionMatch |
dynamic |
触发自动标记的条件匹配。 |
| ContentType |
字符串 |
内容类型。 |
| CorrelationId |
字符串 |
相关性 ID。 |
| CurrentProtectionType |
dynamic |
当前保护事件信息。 |
| CurrentProtectionTypeName |
字符串 |
应用的保护类型。 |
| DataState |
字符串 |
Azure 信息保护 - 数据状态。 |
| DeviceName |
字符串 |
发生活动的设备。 |
| EmailInfo |
dynamic |
internalTarget 是电子邮件时所需的信息。 |
| ExchangeMetaData |
dynamic |
Exchange 自动标记元数据。 |
| ExecutionRuleId |
字符串 |
已执行的规则的 ID。 |
| ExecutionRuleName |
字符串 |
已执行的规则的名称。 |
| ExecutionRuleVersion |
字符串 |
已执行的规则的版本。 |
| Id |
字符串 |
审核记录的唯一标识符。 |
| IrmContentId |
字符串 |
操作完成后用于识别加密文档的唯一 ID。 |
| _IsBillable |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsViewableByExternalUsers |
bool |
可由外部用户查看。 |
| ItemCreationTime |
日期/时间 |
创建项的日期和时间。 |
| ItemLastModifiedTime |
日期/时间 |
上次修改项的日期和时间。 |
| ItemName |
字符串 |
项的名称。 |
| ItemSize |
字符串 |
项大小。 |
| JustificationText |
字符串 |
在敏感度标签策略中由管理员配置时,仅当用户降级或移除敏感度标签时才提供的理由。 |
| LabelAction |
字符串 |
标签应用的操作。 |
| LabelAppliedDateTime |
日期/时间 |
应用标签的日期和时间。 |
| LabelEventType |
字符串 |
标签操作。 |
| LabelName |
字符串 |
应用于项的标签名称。 |
| LabelVersion |
字符串 |
自动标记策略应用的标签版本。 |
| MachineName |
字符串 |
计算机名称。 |
| MgtRuleId |
字符串 |
管理规则 ID。 |
| ObjectId |
字符串 |
对于 SharePoint 和 OneDrive for Business 活动,用户访问的文件或文件夹的完整路径名称。 对于 Exchange 管理员审核日志,通过 cmdlet 修改的对象的名称。 |
| OldSensitivityLabelId |
字符串 |
在触发更改/移除标签的操作之前,以前应用于文档的敏感度标签的标识符。 |
| OldSensitivityLabelOwnerEmail |
字符串 |
旧敏感度标签所有者的电子邮件地址。 |
| Operation |
字符串 |
用户或管理员活动的名称。 |
| OrganizationId |
字符串 |
组织的 Office 365 租户的 GUID。 无论发生在哪种 Office 365 服务中,组织中的此值均保持不变。 |
| OverriddenActions |
dynamic |
由规则操作重写的操作。 |
| OverRideReason |
字符串 |
重写敏感度标签的原因。 |
| OverRideType |
字符串 |
替代类型。 |
| Platform |
字符串 |
发生活动的平台。 |
| PolicyId |
字符串 |
策略 ID。 |
| PolicyName |
字符串 |
策略名称。 |
| PolicyVersion |
字符串 |
策略版本。 |
| PreviousProtectionType |
dynamic |
以前的保护事件信息。 |
| PreviousProtectionTypeName |
字符串 |
以前的保护类型。 |
| ProtectionEventData |
dynamic |
Azure 信息保护 - 保护事件数据。 |
| ProtectionEventTypeName |
字符串 |
保护事件类型名称。 |
| Receivers |
dynamic |
接收方的电子邮件地址。 |
| RecordType |
int |
记录指示的操作类型。 |
| RecordTypeName |
字符串 |
记录类型名称。 |
| ResultStatus |
字符串 |
指示操作(在 Operation 属性中指定)是成功还是失败。 可能的值有 Succeeded、PartiallySucceeded 或 Failed。 对于 Exchange 管理员活动,值为 True 或 False。 |
| RuleActions |
dynamic |
由规则定义的操作。 |
| RuleMode |
字符串 |
规则的当前模式。 |
| Scope |
字符串 |
此事件是由托管的 O365 服务还是本地服务器创建的。 |
| ScopedLocationId |
字符串 |
触发策略匹配的地址。 |
| Sender |
字符串 |
发送方的电子邮件地址。 |
| SensitiveInfoDetectionIsIncluded |
bool |
确定是否包括敏感信息检测。 |
| SensitiveInfoTypeData |
dynamic |
Azure 信息服务 - 敏感信息类型。 |
| SensitivityLabelEventFailureData |
dynamic |
敏感度标签事件失败数据 |
| SensitivityLabelId |
字符串 |
根据基于文档内容匹配的策略建议的敏感度标签的标识符。 |
| SensitivityLabelOwnerEmail |
字符串 |
敏感度标签所有者的电子邮件地址。 |
| SensitivityLabelPolicyId |
字符串 |
根据文档内容匹配的敏感度标记策略的标识符。 |
| Severity |
字符串 |
自动标签策略匹配的严重性。 |
| SharePointMetaData |
dynamic |
SharePoint 自动标记元数据。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| TargetLocation |
字符串 |
文档相对于用户设备的位置。 |
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
用户执行活动的日期和时间。 |
| 类型 |
字符串 |
表的名称 |
| UserId |
字符串 |
执行导致记录的操作(在 Operation 属性中指定)的用户的 UPN(用户主体名称)。 |
| UserKey |
字符串 |
UserId 属性中标识的用户的备用 ID。 此属性由 SharePoint、OneDrive for Business 和 Exchange 中用户执行的事件的 Passport 唯一 ID (PUID) 进行填充。 |
| UserType |
字符串 |
执行操作的用户的类型。 |
| Workload |
字符串 |
其中发生活动的 Office 365 服务。 |
| WorkLoadItemId |
字符串 |
工作负荷项 ID。 |