AADGroupId |
字符串 |
Azure Active Directory 组 ID |
AADTarget |
字符串 |
所执行操作(由 Operation 属性标识)针对的用户 |
Activity |
字符串 |
用户执行的活动。 |
Actor |
字符串 |
执行操作的用户或服务主体 |
ActorContextId |
字符串 |
参与者所属的组织的 GUID |
ActorIpAddress |
字符串 |
采用 IPV4 或 IPV6 地址格式的参与者 IP 地址 |
AddOnGuid |
字符串 |
生成此事件的加载项的唯一标识符 |
AddonName |
字符串 |
生成此事件的加载项的名称 |
AddOnType |
字符串 |
生成此事件的加载项的类型 |
AffectedItems |
字符串 |
组中每个项的相关信息 |
AppAccessContext |
dynamic |
执行该操作的用户或服务主体的应用程序上下文。 |
AppDistributionMode |
字符串 |
应用程序分发模式 |
AppId |
字符串 |
应用程序 ID |
Application |
字符串 |
应用程序名称 |
ApplicationId |
字符串 |
SharePoint 应用程序 ID |
AppPoolName |
字符串 |
应用池名称 |
ArtifactsShared |
dynamic |
会议中分享的文物。 |
Attendees |
dynamic |
会议的与会者列表。 |
AzureActiveDirectory_EventType |
字符串 |
Azure AD 事件的类型 |
AzureADAppId |
字符串 |
Teams 应用程序 Azure AD ID |
_BilledSize |
real |
记录大小(字节) |
ChannelGuid |
字符串 |
审核中的频道的唯一标识符 |
ChannelName |
字符串 |
审核中的频道名称 |
ChannelType |
字符串 |
审核中的频道类型(标准/私有) |
ChatName |
字符串 |
聊天的名称 |
ChatThreadId |
字符串 |
聊天线程的 ID |
Client |
字符串 |
有关客户端设备、设备操作系统和用于帐户登录事件的设备浏览器的详细信息 |
Client_IPAddress |
字符串 |
记录操作时所用的设备的 IP 地址 |
ClientAppId |
字符串 |
客户端应用程序 ID |
ClientInfoString |
字符串 |
有关用于执行操作的电子邮件客户端的信息 |
ClientIP |
字符串 |
记录活动时使用的设备的 IP 地址 |
ClientMachineName |
字符串 |
托管 Outlook 客户端的计算机名称 |
ClientProcessName |
字符串 |
用于访问邮箱的电子邮件客户端 |
ClientVersion |
字符串 |
电子邮件客户端的版本 |
CommunicationType |
字符串 |
进行的通信的类型 |
CrossMailboxOperations |
bool |
表示操作是否涉及多个邮箱 |
CustomEvent |
字符串 |
自定义事件的可选字符串 |
DataCenterSecurityEventType |
int |
锁定框中 dmdlet 事件的类型 |
DestFolder |
字符串 |
目标文件夹 |
DestinationFileExtension |
字符串 |
复制或移动的文件的文件扩展名 |
DestinationFileName |
字符串 |
复制或移动的文件的名称 |
DestinationRelativeUrl |
字符串 |
复制或移动文件的目标文件夹的 URL |
DestMailboxId |
字符串 |
仅在 CrossMailboxOperations 参数为 True 时设置 |
DestMailboxOwnerMasterAccountSid |
字符串 |
仅在 CrossMailboxOperations 参数为 True 时设置 |
DestMailboxOwnerSid |
字符串 |
仅在 CrossMailboxOperations 参数为 True 时设置 |
DestMailboxOwnerUPN |
字符串 |
仅在 CrossMailboxOperations 参数为 True 时设置 |
DeviceInformation |
字符串 |
用户设备信息。 |
EffectiveOrganization |
字符串 |
提升/cmdlet 面向的租户的名称 |
ElevationApprovedTime |
日期/时间 |
提升获得批准时的时间戳 |
ElevationApprover |
字符串 |
Microsoft 管理器的名称 |
ElevationDuration |
int |
提升处于活动状态的持续时间(以小时为单位) |
ElevationRequestId |
字符串 |
提升请求的唯一标识符 |
ElevationRole |
字符串 |
为其请求提升的角色 |
ElevationTime |
日期/时间 |
提升的开始时间 |
Event_Data |
字符串 |
自定义事件的可选有效负载 |
EventSource |
字符串 |
确定事件在 SharePoint 中发生。 可能的值有 SharePoint 或 ObjectModel |
ExtendedProperties |
字符串 |
Azure AD 事件的扩展属性 |
ExternalAccess |
字符串 |
指定 cmdlet 是否由组织中的用户运行 |
ExtraProperties |
dynamic |
额外属性的列表 |
Folder |
字符串 |
一组项所在的文件夹 |
Folders |
字符串 |
有关操作中涉及的源文件夹的信息 |
GenericInfo |
字符串 |
用于注释和其他通用信息 |
InternalLogonType |
int |
保留供内部使用 |
InterSystemsId |
字符串 |
跨 Office 365 服务内的组件跟踪操作的 GUID |
IntraSystemId |
字符串 |
由 Azure Active Directory 生成用于跟踪操作的 GUID |
_IsBillable |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
IsJoinedFromLobby |
bool |
指示用户是否从大厅加入。 |
IsManagedDevice |
bool |
指示操作是否由组织管理的设备创建 |
Item |
字符串 |
表示对其执行操作的项 |
ItemName |
字符串 |
电子邮件的“主题”字段中的字符串 |
ItemType |
字符串 |
访问或修改的对象的类型。 请参阅 ItemType 表,详细了解对象类型 |
JoinTime |
日期/时间 |
用户加入会议的时间。 |
LeaveTime |
日期/时间 |
用户离开会议的时间。 |
ListItemUniqueId |
字符串 |
列表的可识别项的唯一 GUID。 仅当此信息适用时,此信息才存在。 |
LoginStatus |
int |
此属性直接从 OrgIdLogon.LoginStatus 获取。 可通过警报算法完成各种关注的登录失败的映射 |
Logon_Type |
字符串 |
表示访问邮箱并执行所记录的操作的用户类型 |
LogonUserDisplayName |
字符串 |
执行操作的用户的用户友好名称 |
LogonUserSid |
字符串 |
执行操作的用户的 SID |
MachineDomainInfo |
字符串 |
有关设备同步操作的信息 |
MachineId |
字符串 |
有关设备同步操作的信息 |
MailboxGuid |
字符串 |
所访问邮箱的 Exchange GUID |
MailboxOwnerMasterAccountSid |
字符串 |
邮箱所有者帐户的主帐户 SID |
MailboxOwnerSid |
字符串 |
邮箱所有者的 SID |
MailboxOwnerUPN |
字符串 |
拥有所访问邮箱的人员的电子邮件地址 |
MeetingDetailId |
字符串 |
会议详细信息 ID。 |
Members |
dynamic |
团队中的用户列表 |
MessageId |
字符串 |
聊天或频道消息的标识符 |
ModifiedObjectResolvedName |
字符串 |
这是由 cmdlet 修改的对象的用户友好名称 |
ModifiedProperties |
字符串 |
包含此属性用于管理员事件,例如将用户添加为网站成员或网站集管理员组的成员 |
Name |
字符串 |
仅为设置事件呈现。 已更改的设置的名称 |
NewValue |
字符串 |
仅为设置事件呈现。 设置的新值 |
OfficeId |
字符串 |
审核记录的唯一标识符 |
OfficeObjectId |
字符串 |
对于 SharePoint 和 OneDrive for Business 活动 |
OfficeTenantId |
字符串 |
Office 租户 ID |
OfficeWorkload |
字符串 |
其中发生活动的 Office 365 服务 |
OldValue |
字符串 |
仅为设置事件呈现。 设置的旧值 |
Operation |
字符串 |
用户正在执行的操作的名称 |
OperationProperties |
dynamic |
其他操作属性 |
OperationScope |
字符串 |
执行操作的范围 |
OrganizationId |
字符串 |
组织的 Office 365 租户的 GUID。 对于贵组织,此值始终相同 |
OrganizationName |
字符串 |
租户的名称 |
OriginatingServer |
字符串 |
从中执行 cmdlet 的服务器的名称 |
Parameters |
字符串 |
与 Operations 属性中标识的 cmdlet 结合使用的所有参数的名称和值 |
RecordType |
字符串 |
记录指示的操作类型。 有关审核日志记录类型的详细信息表,请参阅 AuditLogRecordType 表 |
_ResourceId |
字符串 |
与记录关联的资源的唯一标识符 |
ResultReasonType |
字符串 |
ResultType 中报告的结果的原因 |
ResultStatus |
字符串 |
指示操作(在 Operation 属性中指定)是成功还是失败 |
SendAsUserMailboxGuid |
字符串 |
为发送电子邮件而访问的邮箱的 Exchange GUID |
SendAsUserSmtp |
字符串 |
被模拟用户的 SMTP 地址 |
SendonBehalfOfUserMailboxGuid |
字符串 |
为代替发送邮件而访问的邮箱的 Exchange GUID |
SendOnBehalfOfUserSmtp |
字符串 |
以其名义发送电子邮件的用户的 SMTP 地址 |
SensitivityLabelId |
字符串 |
文件的当前敏感度标签 ID。 |
SharingType |
字符串 |
分配给与其共享资源的用户的共享权限类型。 此用户由 UserSharedWith 参数识别 |
Site_ |
字符串 |
用户访问的文件或文件夹所在的站点的 GUID |
Site_Url |
字符串 |
用户访问的文件或文件夹所在的站点的 URL |
Source_Name |
字符串 |
触发已审核操作的实体。 可能的值有 SharePoint 或 ObjectModel |
SourceFileExtension |
字符串 |
用户访问的文件的文件扩展名 |
SourceFileName |
字符串 |
用户访问的文件或文件夹的名称 |
SourceRecordId |
字符串 |
审核记录的唯一标识符 |
SourceRelativeUrl |
字符串 |
包含用户访问的文件的文件夹 URL |
SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager 、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
SRPolicyId |
字符串 |
策略 ID |
SRPolicyName |
字符串 |
策略名称 |
SRRuleMatchDetails |
dynamic |
规则详细信息 |
Start_Time |
日期/时间 |
执行 cmdlet 时的日期和时间 |
_SubscriptionId |
字符串 |
与记录关联的订阅的唯一标识符 |
SupportTicketId |
字符串 |
“代表执行”情况下的操作的客户支持票证 ID |
TabType |
字符串 |
生成此事件的选项卡的类型 |
TargetContextId |
字符串 |
目标用户所属的组织的 GUID |
TargetUserId |
字符串 |
目标用户 ID |
TargetUserOrGroupName |
字符串 |
存储与之共享资源的目标用户或组的 UPN 或名称 |
TargetUserOrGroupType |
字符串 |
标识目标用户或组是成员、来宾、组还是合作伙伴 |
TeamGuid |
字符串 |
审核中团队的唯一标识符 |
TeamName |
字符串 |
审核中的团队名称 |
TenantId |
字符串 |
Log Analytics 工作区 ID |
TimeGenerated |
日期/时间 |
用户执行活动时的协调世界时 (UTC) 日期和时间 |
类型 |
字符串 |
表的名称 |
UniqueSharingId |
字符串 |
与共享操作关联的唯一共享 ID。 |
UserAgent |
字符串 |
用户代理 |
UserDomain |
字符串 |
用户的域 |
UserId |
字符串 |
执行导致记录的操作(在 Operation 属性中指定)的用户的 UPN(用户主体名称) |
UserKey |
字符串 |
UserId 属性中标识的用户的备用 ID |
UserSharedWith |
字符串 |
与其共享资源的用户 |
UserType |
字符串 |
执行操作的用户的类型。 请参阅 UserType 表,详细了解用户类型 |