通过

EnrichedMicrosoft365AuditLogs

  • 项目

此表是标识和网络访问的一部分,其中包含扩充的 Microsoft 365 审核日志。 这些日志可用于策略、风险和流量管理,以及监视用户体验。

表属性

Attribute
资源类型 -
类别 安全性、网络、IT & 管理工具
解决方案 LogManagement
基本日志
引入时转换
示例查询 -

类型​​ 描述
ActorUserType string 执行操作的用户的类型。 可能的类型包括:管理、系统、应用程序、服务主体和其他。
AdditionalProperties 动态 其他活动字段
_BilledSize real 记录大小(字节)
ClientIp string 记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 对于某些服务,此属性中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员所使用设备的 IP 地址。 此外,对于与 Azure Active Directory 相关的事件,不会记录 IP 地址,并且 ClientIP 属性的值为 null。
DeviceId string 记录中报告的源设备的 ID。
DeviceOperatingSystem string 连接操作系统类型的客户端。
DeviceOperatingSystemVersion string 连接操作系统版本的客户端。
Id string 审核记录的唯一标识符。
_IsBillable string 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
ObjectId string 对于 SharePoint 和 OneDrive for Business 活动,用户访问的文件或文件夹的完整路径名称。 对于 Exchange 管理员审核日志,通过 cmdlet 修改的对象的名称。
Operation string 执行活动的用户或管理员活动的名称。
OrganizationId string 组织的 Office 365 租户的 GUID。 无论发生在哪种 Office 365 服务中,组织中的此值均保持不变。
RecordType int 记录指示的操作类型。 有关审核日志记录类型的详细信息表,请参阅 AuditLogRecordType 表。
ResultStatus string 指示操作(在 Operation 属性中指定)是成功还是失败。 可能的值有 Succeeded、PartiallySucceeded 或 Failed。
SourceIp string 从中发起了连接或会话的 IP 地址。
SourceSystem string 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
TenantId string Log Analytics 工作区 ID
TimeGenerated datetime 用户执行活动的日期和时间 (UTC)。
类型 字符串 表的名称
UniqueTokenId string 唯一令牌标识符
UserID string 执行操作(在操作属性中指定)导致记录被记录的用户的 UPN(用户主体名称);例如,my_name@my_domain_name。 请注意,还包括系统帐户(例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM)执行的活动的记录。 在 SharePoint 中,UserId 属性中的另一个数值显示为 app@sharepoint。 这表明执行活动的“用户”是在 SharePoint 中拥有必要权限的应用程序,代表用户、管理员或服务执行组织范围内操作(例如,搜索 SharePoint 网站或 OneDrive 帐户)。 有关详细信息,请参阅“审核记录中的 app@sharepoint 用户”。
UserKey string UserId 属性中标识的用户的备用 ID。 例如,此属性由 SharePoint、OneDrive for Business 和 Exchange 中用户执行的事件的 Passport 唯一 ID (PUID) 进行填充。 此属性还可为其他服务中发生的事件以及系统帐户执行的事件指定与 UserID 属性相同的值。
UserType string 执行操作的用户的类型。
工作负荷 string 其中发生活动的 Office 365 服务。