Office
Se connecter

Propriétés détaillées dans le journal d’audit Office 365

Remarque :  Nous faisons de notre mieux pour vous fournir le contenu d’aide le plus récent aussi rapidement que possible dans votre langue. Cette page a été traduite automatiquement et peut donc contenir des erreurs grammaticales ou des imprécisions. Notre objectif est de faire en sorte que ce contenu vous soit utile. Pouvez-vous nous indiquer en bas de page si ces informations vous ont aidé ? Voici l’article en anglais à des fins de référence aisée.

Lorsque vous exportez les résultats d’une recherche de journal d’audit à partir de la Centre de sécurité et conformité Office 365, vous avez la possibilité pour télécharger tous les résultats qui répondent à vos critères de recherche. Cela en sélectionnant Exporter > télécharger tous les résultats dans la page de recherche dans un journal d’Audit dans le Centre de sécurité et conformité. Pour plus d’informations, voir recherche l’audit se connecter dans le centre de conformité Office 365 sécurité.

Lorsque votre exporter tous les résultats d’une recherche de journal d’audit, les données brutes à partir du journal d’audit unifiée Office 365 sont copiées dans un fichier CSV (valeurs) séparées par des virgules cela est téléchargé sur votre ordinateur local. Ce fichier contient des informations supplémentaires à partir de l’entrée du journal d’audit dans une colonne nommée Détail. Cette colonne contient une propriété à plusieurs valeur pour plusieurs propriétés de l’enregistrement du journal d’audit. Chacune des paires property:value dans cette propriété à plusieurs valeur sont séparées par une virgule.

Le tableau suivant décrit les propriétés qui sont incluses, selon le service Office 365 dans lequel un événement se produit, dans la colonne Détail propriété multiple. La colonne Office 365 service qui dispose de cette propriété    indique le service et le type d’activité (utilisateur ou administrateur) qui inclut la propriété. Pour plus d’informations sur ces propriétés ou sur les propriétés qui ne peuvent pas être répertoriées dans cette rubrique, voir Office 365 gestion activité API schéma.

Conseil : Vous pouvez utiliser Power Query dans Excel pour fractionner cette colonne en plusieurs colonnes de sorte que chaque propriété aura sa propre colonne. Cela vous permettent de trier et filtrer sur un ou plusieurs de ces propriétés. Pour savoir comment procéder, voir la section « Fractionner une colonne par le délimiteur » dans Fractionner une colonne de texte (Power Query).

Propriété

Description

service Office 365 qui dispose de cette propriété

Actor

Compte d’utilisateur ou de service ayant exécuté l’action.

Azure Active Directory

AddOnName

Le nom d’un module complémentaire qui a été ajouté, supprimé ou mis à jour dans une équipe. Les modules complémentaires dans Microsoft Teams sont un robot, un connecteur ou une tabulation.

Microsoft Teams

AddOnType

Le type d’un module complémentaire qui a été ajouté, supprimé ou mis à jour dans une équipe. Les valeurs suivantes indiquent le type de module complémentaire.

1    indique un robot.

2    indique un lien.

3    indique un onglet.

Microsoft Teams

AzureActiveDirectoryEventType

Type d’événement Azure Active Directory. Les valeurs suivantes indiquent le type d’événement.

0      indique un événement de connexion de compte.

1      indique un événement de sécurité d’application Azure.

Azure Active Directory

ChannelGuid

ID d’un canal Microsoft Teams. L’équipe où se trouve le canal est identifié par les propriétés TeamName et TeamGuid .

Microsoft Teams

ChannelName

Le nom d’un canal Microsoft Teams. L’équipe où se trouve le canal est identifié par les propriétés TeamName et TeamGuid .

Microsoft Teams

Client

Le périphérique client, le périphérique du système d’exploitation et le navigateur de l’appareil utilisé pour l’événement de connexion (par exemple, Nokia Lumia 920 ; Windows Phone 8 ; Internet Explorer Mobile 11).

Azure Active Directory

ClientInfoString

Informations sur le client de courrier utilisé pour effectuer l’opération, par exemple, version du navigateur, la version d’Outlook et informations sur appareil mobile.

Exchange (activité de boîte aux lettres)

ClientIP

Adresse IP de l’appareil utilisé lors de la journalisation de l’activité. L’adresse IP s’affiche au format d’adresse IPv4 ou IPv6.

Exchange et Azure Active Directory

ClientIPAddress

Identique à ClientIP.

SharePoint

CreationTime

Date et heure en temps universel coordonné (UTC) auxquelles l’utilisateur a effectué l’activité.

Tous

DestinationFileExtension

Extension de fichier d’un fichier copié ou déplacé. Cette propriété s’affiche uniquement pour les activités d’utilisateurs FileCopied et FileMoved.

SharePoint

DestinationFileName

Nom du fichier copié ou déplacé. Cette propriété s’affiche uniquement pour les actions FileCopied et FileMoved.

SharePoint

DestinationRelativeUrl

L’URL du dossier de destination dans laquelle un fichier est copié ou déplacé. La combinaison des valeurs pour le SiteURL, le DestinationRelativeURLet les propriétés DestinationFileName est identique à la valeur de la propriété ObjectID , qui est le nom de chemin d’accès complet du fichier qui a été copié. Cette propriété s’affiche uniquement pour les activités des utilisateurs FileCopied et fichier déplacé.

SharePoint

EventSource

Identifie qu’un événement s’est produite dans SharePoint. Les valeurs possibles sont SharePoint et ObjectModel.

SharePoint

ExternalAccess

Pour les activités d’administration de Exchange, spécifie si l’applet de commande a été exécutée par un utilisateur dans votre organisation, par le personnel du centre de données Microsoft ou d’un compte de service du centre de données, ou par un administrateur délégué. La valeur False indique que l’applet de commande a été exécutée par une personne de votre organisation. La valeur True indique que l’applet de commande a été exécutée par le personnel du centre de données, un compte de service du centre de données ou un administrateur délégué.

Activité de boîte aux lettres Exchange, indique si une boîte aux lettres a été accessible par un utilisateur à l’extérieur de votre organisation.

Exchange

ExtendedProperties

Les propriétés étendues pour un l’événement Azure Active Directory.

Azure Active Directory

ID

ID de l’entrée de rapport. L’ID identifie de façon unique l’entrée de rapport.

Tous

InternalLogonType

Réservé pour un usage interne.

Exchange (activité de boîte aux lettres)

ItemType

Type de l’objet consulté ou modifié. Les valeurs possibles sont File, Folder, Web, Site, Tenant et DocumentLibrary.

SharePoint

LoginStatus

Identifie les échecs de connexion qui pourraient s’être produits.

Azure Active Directory

LogonType

Type d’accès à la boîte aux lettres. Les valeurs suivantes indiquent le type d’utilisateur ayant accédé à la boîte aux lettres.

0      indique un propriétaire de boîte aux lettres.

1      indique un administrateur.

2      indique un délégué.

3      indique le service de transport dans le centre de données Microsoft.

4    indique un compte de service dans le centre de données Microsoft.

6      indique un administrateur délégué.

Exchange (activité de boîte aux lettres)

MailboxGuid

La Exchange GUID de la boîte aux lettres a été accessible.

Exchange (activité de boîte aux lettres)

MailboxOwnerUPN

Adresse de courrier de la personne propriétaire de la boîte aux lettres consultée.

Exchange (activité de boîte aux lettres)

Membres

Répertorie les utilisateurs qui ont été ajoutés ou supprimés d’une équipe. Les valeurs suivantes indiquent le type de rôle affecté à l’utilisateur.

1    indique le rôle Propriétaire.

2    indique le rôle Membre.

3    indique le rôle Invité.

La propriété Members comprend également le nom de votre organisation et l’adresse e-mail du membre.

Microsoft Teams

ModifiedProperties (Name, NewValue, OldValue)

La propriété est incluse pour les événements d’administration, par exemple en ajoutant un utilisateur en tant que membre d’un site ou un groupe d’administrateur de collection de sites. La propriété inclut le nom de la propriété qui a été modifié (par exemple, le groupe d’administration du Site) la nouvelle valeur de la propriété modifiée (telle l’utilisateur qui a été ajouté comme un administrateur de site et la valeur précédente de l’objet modifié.

Tous (activité d’administration)

ObjectID

Pour la journalisation d’audit de l’administrateur Exchange, nom de l’objet modifié par l’applet de commande.

Pour une activité SharePoint, nom du chemin d’accès de l’URL complète du fichier ou dossier consulté par un utilisateur.

Pour une activité Azure AD, nom du compte d’utilisateur modifié.

Tous

Operation

Le nom de l’activité utilisateur ou administrateur. La valeur de cette propriété correspond à la valeur qui a été sélectionnée dans les activités de zone de liste déroulante. Si vous avez sélectionné d’Afficher les résultats pour toutes les activités, le rapport n’est inclus entrées pour toutes les activités des utilisateurs et d’administration pour tous les services. Pour obtenir une description des opérations/activités qui sont enregistrés dans le Office 365 journal d’audit, voir l’onglet contrôlé activités dans recherche l’audit se connecter dans le centre de conformité Office 365 sécurité.

Pour une activité d’administrateur Exchange, cette propriété indique le nom de l’applet de commande exécutée.

Tous

OrganizationID

GUID de votre organisation Office 365.

Tous

Path

Nom du dossier de boîte aux lettres dans lequel se trouve le message consulté. Cette propriété identifie également le dossier dans lequel un message est créé ou copié/déplacé.

Exchange (activité de boîte aux lettres)

Parameters

Pour l’activité d’administrateur Exchange, nom et valeur de tous les paramètres utilisés avec l’applet de commande identifiée dans la propriété Operation.

Exchange (activité d’administrateur)

RecordType

Type d’opération indiqué par l’enregistrement. Les valeurs suivantes indiquent le type d’enregistrement.

1    indique un enregistrement à partir du journal d’audit d’administrateur Exchange.

2    indique un enregistrement à partir de la boîte aux lettres Exchange journal d’audit pour une opération effectuée sur un élément de boîte aux lettres simples.

3    indique également un enregistrement à partir du journal d’audit de boîte aux lettres Exchange. Ce type d’enregistrement indique l’opération a été effectuée sur plusieurs éléments dans la boîte aux lettres source (par exemple, déplacer plusieurs éléments vers le dossier éléments supprimés ou supprimer définitivement les éléments plusieurs).

4      indique une opération d’administrateur de site dans SharePoint, telle qu’un administrateur ou un utilisateur attribuant des autorisations d’accès à un site.

6      indique une opération relative à un fichier ou dossier dans SharePoint, par exemple quand un utilisateur affiche ou modifie un fichier.

8      indique une opération d’administration effectuée dans Azure Active Directory.

9    OrgId indique les événements d’ouverture de session dans Azure Active Directory. Ce type d’enregistrement est en cours déconseillé.

10      indique des événements d’applet de commande de sécurité déclenchés par le personnel du centre de données Microsoft.

11      indique des événements de protection contre la perte de données dans SharePoint.

12      indique des événements Sway.

14      indique des événements de partage dans SharePoint.

15      indique des événements d’ouverture de session Secure Token Service (STS) dans Azure Active Directory.

18      indique des événements Centre de sécurité et conformité.

20      indique des événements Power BI.

22      indique des événements Yammer.

24    indique les événements de découverte électronique. Ce type d’enregistrement indique les activités qui ont été effectuées en effectuant des recherches de contenu et la gestion des cas de découverte électronique dans la Centre de sécurité et conformité. Pour plus d’informations, voir recherche d’activités de découverte électronique dans Office 365 journal d’audit.

25, 26 ou 27      Indique les événements Microsoft Teams.

Tous

ResultStatus

Indique si l’action (spécifiée dans la propriété Operation ) a réussi ou non.

Exchange administrateur activité, la valeur est vraie (succès) ou faux (a échoué).

Tous

SecurityComplianceCenterEventType

Indique que l’activité était un événement Centre de sécurité et conformité. Toutes les activités Centre de sécurité et conformité ont la valeur 0 pour cette propriété.

Centre de sécurité et conformité Office 365

SharingType

Le type d’autorisations de partage qui a été attribué à l’utilisateur que la ressource a été partagée avec. Cet utilisateur est identifié dans la propriété UserSharedWith .

SharePoint

Site

GUID du site où se trouve le fichier ou dossier consulté par l’utilisateur.

SharePoint

SiteUrl

URL du site où se trouve le fichier ou dossier consulté par l’utilisateur.

SharePoint

SourceFileExtension

Extension du fichier consulté par l’utilisateur. Cette propriété est vide si l’objet consulté est un dossier.

SharePoint

SourceFileName

Le nom du fichier ou du dossier accédé par l’utilisateur.

SharePoint

SourceRelativeUrl

URL du dossier contenant le fichier consulté par l’utilisateur. La combinaison des valeurs des propriétés SiteURL, SourceRelativeURL et SourceFileName Propriétés est identique à la valeur de la propriété ObjectID, qui est le nom du chemin d’accès complet du fichier consulté par l’utilisateur.

SharePoint

Subject

Ligne d’objet du message consulté.

Exchange (activité de boîte aux lettres)

TabType

Le type de taquet ajouté, supprimé ou mis à jour dans une équipe. Les valeurs possibles pour cette propriété sont :

  • Excelpin    Un onglet Excel.

  • Extension    Toutes les applications internes et tiers ; par exemple planificateur, VSTS et formulaires.

  • Notes    Onglet OneNote.

  • Pdfpin    Onglet PDF.

  • Powerbi    Onglet PowerBI.

  • Powerpointpin    Onglet de PowerPoint.

  • Sharepointfiles    Onglet de SharePoint.

  • Page Web    Onglet site Web épinglé.

  • Onglet Wiki    Onglet wiki.

  • Wordpin    Onglet de Word.

Microsoft Teams

Target

L’utilisateur qui a été effectuer l’action (identifiée dans la propriété Operation ) sur. Par exemple, si un utilisateur invité est ajouté à SharePoint ou un Team Microsoft, cet utilisateur est répertorié dans cette propriété.

Azure Active Directory

TeamGuid

ID d’une équipe dans Microsoft Teams.

Microsoft Teams

TeamName

Le nom d’une équipe dans Microsoft Teams.

Microsoft Teams

UserAgent

Informations sur le navigateur de l’utilisateur. Ces informations sont fournies par le navigateur.

SharePoint

UserDomain

Informations d’identité sur l’organisation cliente de l’utilisateur (actor) qui a exécuté l’action.

Azure Active Directory

UserID

L’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation ) qui a donné lieu à l’enregistrement en cours d’enregistrement. Notez que les enregistrements d’activité effectué par des comptes système (comme SHAREPOINT\system ou NT\SYSTÈME) sont également inclus dans le journal d’audit.

Tous

UserKey

Un autre ID de l’utilisateur identifié dans la propriété UserID . Par exemple, cette propriété est remplie avec l’ID passport unique (PUID) pour les événements exécutés par les utilisateurs de SharePoint. Cette propriété peut-être également spécifier la même valeur que la propriété UserID pour les événements qui se produisent dans d’autres services et événements effectuées par des comptes système.

Tous

UserSharedWith

L’utilisateur qui a une ressource a été partagée avec. Cette propriété est incluse si la valeur de la propriété Operation est SharingSet. Cet utilisateur est également répertorié dans la colonne partagé avec dans le rapport.

SharePoint

UserType

Type d’utilisateur ayant effectué l’opération. Les valeurs suivantes indiquent le type d’utilisateur.

0      utilisateur ordinaire.

2    un administrateur de votre organisation Office 365.

3      administrateur ou compte système du centre de données Microsoft.

4      compte système.

5      application.

6      principal de service.

Tous

Version

Numéro de version de l’activité (identifiée par la propriété Operation) qui est journalisée.

Tous

Workload

Le service Office 365 où l’activité s’est produite. Les valeurs possibles pour cette propriété sont :

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

Conformité

Sway

SecurityComplianceCenter

PowerBI

MicrosoftTeams

Tous

Notez que les propriétés ci-dessus sont également affichées lorsque vous cliquez sur plus d’informations lorsque vous affichez les détails d’un événement spécifique.

Cliquez sur Informations supplémentaires pour afficher les propriétés détaillées de l’enregistrement d’événement du journal d’audit

Revenir au début

Développez vos compétences dans Office
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×