Microsoft Purview 信息保护审核日志。
数据表属性
Attribute |
Value |
资源类型 |
- |
Categories |
安全性、审核 |
Solutions |
SecurityInsights |
基本日志 |
Yes |
引入时转换 |
Yes |
示例查询 |
Yes |
Columns
Column |
类型 |
Description |
ActionSource |
字符串 |
标签操作的源。 |
ActionSourceDetail |
字符串 |
有关标签操作源的更多详细信息。 |
AppAccessContext |
dynamic |
执行该操作的用户或服务主体的应用程序上下文。 |
Application |
字符串 |
发生活动的应用程序。 |
ApplicationMode |
字符串 |
标签应用程序模式,如何应用标签。 |
AutoSensitivityLabelPolicyInfo |
dynamic |
自动敏感度标签策略信息 |
_BilledSize |
real |
记录大小(字节) |
ClientIP |
字符串 |
记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 |
Common |
dynamic |
Azure 信息保护 - 常见事件数据。 |
ConditionMatch |
dynamic |
触发自动标记的条件匹配。 |
ContentType |
字符串 |
内容类型。 |
CorrelationId |
字符串 |
相关性 ID。 |
CurrentProtectionType |
dynamic |
当前保护事件信息。 |
CurrentProtectionTypeName |
字符串 |
应用的保护类型。 |
DataState |
字符串 |
Azure 信息保护 - 数据状态。 |
DeviceName |
字符串 |
发生活动的设备。 |
EmailInfo |
dynamic |
internalTarget 是电子邮件时所需的信息。 |
ExchangeMetaData |
dynamic |
Exchange 自动标记元数据。 |
ExecutionRuleId |
字符串 |
已执行的规则的 ID。 |
ExecutionRuleName |
字符串 |
已执行的规则的名称。 |
ExecutionRuleVersion |
字符串 |
已执行的规则的版本。 |
Id |
字符串 |
审核记录的唯一标识符。 |
IrmContentId |
字符串 |
操作完成后用于识别加密文档的唯一 ID。 |
_IsBillable |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
IsViewableByExternalUsers |
bool |
可由外部用户查看。 |
ItemCreationTime |
日期/时间 |
创建项的日期和时间。 |
ItemLastModifiedTime |
日期/时间 |
上次修改项的日期和时间。 |
ItemName |
字符串 |
项的名称。 |
ItemSize |
字符串 |
项大小。 |
JustificationText |
字符串 |
在敏感度标签策略中由管理员配置时,仅当用户降级或移除敏感度标签时才提供的理由。 |
LabelAction |
字符串 |
标签应用的操作。 |
LabelAppliedDateTime |
日期/时间 |
应用标签的日期和时间。 |
LabelEventType |
字符串 |
标签操作。 |
LabelName |
字符串 |
应用于项的标签名称。 |
LabelVersion |
字符串 |
自动标记策略应用的标签版本。 |
MachineName |
字符串 |
计算机名称。 |
MgtRuleId |
字符串 |
管理规则 ID。 |
ObjectId |
字符串 |
对于 SharePoint 和 OneDrive for Business 活动,用户访问的文件或文件夹的完整路径名称。 对于 Exchange 管理员审核日志,通过 cmdlet 修改的对象的名称。 |
OldSensitivityLabelId |
字符串 |
在触发更改/移除标签的操作之前,以前应用于文档的敏感度标签的标识符。 |
OldSensitivityLabelOwnerEmail |
字符串 |
旧敏感度标签所有者的电子邮件地址。 |
Operation |
字符串 |
用户或管理员活动的名称。 |
OrganizationId |
字符串 |
组织的 Office 365 租户的 GUID。 无论发生在哪种 Office 365 服务中,组织中的此值均保持不变。 |
OverriddenActions |
dynamic |
由规则操作重写的操作。 |
OverRideReason |
字符串 |
重写敏感度标签的原因。 |
OverRideType |
字符串 |
替代类型。 |
Platform |
字符串 |
发生活动的平台。 |
PolicyId |
字符串 |
策略 ID。 |
PolicyName |
字符串 |
策略名称。 |
PolicyVersion |
字符串 |
策略版本。 |
PreviousProtectionType |
dynamic |
以前的保护事件信息。 |
PreviousProtectionTypeName |
字符串 |
以前的保护类型。 |
ProtectionEventData |
dynamic |
Azure 信息保护 - 保护事件数据。 |
ProtectionEventTypeName |
字符串 |
保护事件类型名称。 |
Receivers |
dynamic |
接收方的电子邮件地址。 |
RecordType |
int |
记录指示的操作类型。 |
RecordTypeName |
字符串 |
记录类型名称。 |
ResultStatus |
字符串 |
指示操作(在 Operation 属性中指定)是成功还是失败。 可能的值有 Succeeded、PartiallySucceeded 或 Failed。 对于 Exchange 管理员活动,值为 True 或 False。 |
RuleActions |
dynamic |
由规则定义的操作。 |
RuleMode |
字符串 |
规则的当前模式。 |
Scope |
字符串 |
此事件是由托管的 O365 服务还是本地服务器创建的。 |
ScopedLocationId |
字符串 |
触发策略匹配的地址。 |
Sender |
字符串 |
发送方的电子邮件地址。 |
SensitiveInfoDetectionIsIncluded |
bool |
确定是否包括敏感信息检测。 |
SensitiveInfoTypeData |
dynamic |
Azure 信息服务 - 敏感信息类型。 |
SensitivityLabelEventFailureData |
dynamic |
敏感度标签事件失败数据 |
SensitivityLabelId |
字符串 |
根据基于文档内容匹配的策略建议的敏感度标签的标识符。 |
SensitivityLabelOwnerEmail |
字符串 |
敏感度标签所有者的电子邮件地址。 |
SensitivityLabelPolicyId |
字符串 |
根据文档内容匹配的敏感度标记策略的标识符。 |
Severity |
字符串 |
自动标签策略匹配的严重性。 |
SharePointMetaData |
dynamic |
SharePoint 自动标记元数据。 |
SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager 、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
TargetLocation |
字符串 |
文档相对于用户设备的位置。 |
TenantId |
字符串 |
Log Analytics 工作区 ID |
TimeGenerated |
日期/时间 |
用户执行活动的日期和时间。 |
类型 |
字符串 |
表的名称 |
UserId |
字符串 |
执行导致记录的操作(在 Operation 属性中指定)的用户的 UPN(用户主体名称)。 |
UserKey |
字符串 |
UserId 属性中标识的用户的备用 ID。 此属性由 SharePoint、OneDrive for Business 和 Exchange 中用户执行的事件的 Passport 唯一 ID (PUID) 进行填充。 |
UserType |
字符串 |
执行操作的用户的类型。 |
Workload |
字符串 |
其中发生活动的 Office 365 服务。 |
WorkLoadItemId |
字符串 |
工作负荷项 ID。 |