通过

增强版Microsoft365审计日志

此表是标识和网络访问的一部分,其中包含扩充的 Microsoft 365 审核日志。 这些日志可用于策略、风险和流量管理,以及监视用户体验。

表属性

特征
资源类型 -
类别 安全性、网络、IT & 管理工具
解决方案 日志管理
基本日志 是的
引入时转换
示例查询 -

类型 描述
演员用户类型 字符串 执行操作的用户的类型。 可能的类型包括:管理、系统、应用程序、服务主体和其他。
附加属性 动态 其他活动字段
_BilledSize(账单大小) 真实 记录大小(字节)
ClientIp 字符串 记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 对于某些服务,此属性中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员所使用设备的 IP 地址。 此外,对于与 Azure Active Directory 相关的事件,不会记录 IP 地址,并且 ClientIP 属性的值为 null。
DeviceId 字符串 记录中报告的源设备的 ID。
设备操作系统 字符串 连接操作系统类型的客户端。
设备操作系统版本 字符串 连接操作系统版本的客户端。
Id 字符串 审核记录的唯一标识符。
_是否计费 字符串 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
对象标识符 (ObjectId) 字符串 对于 SharePoint 和 OneDrive for Business 活动,用户访问的文件或文件夹的完整路径名称。 对于 Exchange 管理员审核日志,通过 cmdlet 修改的对象的名称。
操作 字符串 执行活动的用户或管理员活动的名称。
组织ID 字符串 组织的 Office 365 租户的 GUID。 无论发生在哪种 Office 365 服务中,组织中的此值均保持不变。
记录类型 整数 (int) 记录指示的操作类型。 有关审核日志记录类型的详细信息表,请参阅 AuditLogRecordType 表。
结果状态 字符串 指示操作(在 Operation 属性中指定)是成功还是失败。 可能的值有 Succeeded、PartiallySucceeded 或 Failed。
SourceIp 字符串 从中发起了连接或会话的 IP 地址。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
租户ID 字符串 Log Analytics 工作区 ID
TimeGenerated 日期/时间 用户执行活动的日期和时间 (UTC)。
类型 字符串 表的名称
UniqueTokenId 字符串 唯一令牌标识符
UserID 字符串 执行操作(在操作属性中指定)导致记录被记录的用户的 UPN(用户主体名称);例如,my_name@my_domain_name。 请注意,还包括系统帐户(例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM)执行的活动的记录。 在 SharePoint 中,UserId 属性中的另一个数值显示为 app@sharepoint。 这表明执行活动的“用户”是在 SharePoint 中拥有必要权限的应用程序,代表用户、管理员或服务执行组织范围内操作(例如,搜索 SharePoint 网站或 OneDrive 帐户)。 有关详细信息,请参阅“审核记录中的 app@sharepoint 用户”。
用户密钥 (UserKey) 字符串 UserId 属性中标识的用户的备用 ID。 例如,此属性由 SharePoint、OneDrive for Business 和 Exchange 中用户执行的事件的 Passport 唯一 ID (PUID) 进行填充。 此属性还可为其他服务中发生的事件以及系统帐户执行的事件指定与 UserID 属性相同的值。
用户类型 字符串 执行操作的用户的类型。
工作负荷 字符串 其中发生活动的 Office 365 服务。