Propriétés détaillées dans le journal d’audit Office 365

Important :  Cet article a été traduit automatiquement, voir l’avertissement. Vous pouvez consulter la version en anglais de cet article ici.

Lorsque vous exportez les résultats d’une recherche de journal d’audit à partir de la Centre de sécurité et conformité Office 365, vous avez la possibilité pour télécharger tous les résultats qui répondent à vos critères de recherche. Cela en sélectionnant Exporter > télécharger tous les résultats dans la page de recherche dans un journal d’Audit dans le Centre de sécurité et conformité. Pour plus d’informations, voir recherche l’audit se connecter dans le centre de conformité Office 365 sécurité.

Lorsque vous exportez tous les résultats d’une recherche dans le journal d’audit, les données brutes du journal d’audit unifié Office 365 sont copiées dans un fichier de valeurs séparées par des virgules (CSV) qui est téléchargé sur votre ordinateur local. Ce fichier contient des informations supplémentaires de l’entrée du journal d’audit dans une colonne nommée Detail. Cette colonne contient une propriété à valeurs multiples pour plusieurs propriétés de l’enregistrement du journal d’audit. Les paires property:valuedans cette propriété à valeurs multiples sont séparées par une virgule.

Le tableau suivant décrit les propriétés qui sont incluses, selon le service Office 365 dans lequel un événement se produit, dans la colonne Détail propriété multiple. La colonne Office 365 service qui dispose de cette propriété    indique le service et le type d’activité (utilisateur ou administrateur) qui inclut la propriété. Pour plus d’informations sur ces propriétés ou sur les propriétés qui ne peuvent pas être répertoriées dans cette rubrique, voir Office 365 gestion activité API schéma.

Conseil : Vous pouvez utiliser Power Query dans Excel pour fractionner cette colonne en plusieurs colonnes de telle sorte que chaque propriété a sa propre colonne. Cela vous permet de trier et filtrer sur une ou plusieurs de ces propriétés. Pour savoir comment procéder, voir la section « Fractionner une colonne par le délimiteur » dans Fractionner une colonne de texte (Power Query).

Propriété

Description

Service Office 365 ayant cette propriété

Actor

Compte d’utilisateur ou de service ayant exécuté l’action.

Azure Active Directory

AzureActiveDirectoryEventType

Type d’événement Azure Active Directory. Les valeurs suivantes indiquent le type d’événement.

0      indique un événement de connexion de compte.

1      indique un événement de sécurité d’application Azure.

Azure Active Directory

ChannelGuid

ID d’un canal Microsoft Teams. L’équipe où se trouve le canal est identifié par les propriétés TeamName et TeamGuid .

Microsoft Teams

ChannelName

Le nom d’un canal Microsoft Teams. L’équipe où se trouve le canal est identifié par les propriétés TeamName et TeamGuid .

Microsoft Teams

Client

Appareil client, système d’exploitation de l’appareil et navigateur de l’appareil utilisé pour l’événement de connexion (par exemple, Nokia Lumnia 920 ; Windows Phone 8 ; Internet Explorer Mobile 11).

Azure Active Directory

ClientInfoString

Informations sur le client de courrier utilisé pour effectuer l’opération, par exemple, version du navigateur, la version d’Outlook et informations sur appareil mobile.

Exchange (activité de boîte aux lettres)

ClientIP

Adresse IP de l’appareil utilisé lors de la journalisation de l’activité. L’adresse IP s’affiche au format d’adresse IPv4 ou IPv6.

Exchange et Azure Active Directory

ClientIPAddress

Identique à ClientIP.

SharePoint

CreationTime

Date et heure en temps universel coordonné (UTC) auxquelles l’utilisateur a effectué l’activité.

Tous

DestinationFileExtension

Extension de fichier d’un fichier copié ou déplacé. Cette propriété s’affiche uniquement pour les activités d’utilisateurs FileCopied et FileMoved.

SharePoint

DestinationFileName

Nom du fichier copié ou déplacé. Cette propriété s’affiche uniquement pour les actions FileCopied et FileMoved.

SharePoint

DestinationRelativeUrl

URL du dossier de destination dans lequel un fichier est copié ou déplacé. La combinaison des valeurs des propriétés SiteURL, DestinationRelativeURL et DestinationFileName Propriétés est identique à la valeur de la propriété ObjectID, qui est le nom du chemin d’accès complet du fichier copié. Cette propriété s’affiche uniquement pour les activités d’utilisateurs FileCopied et FileMoved.

SharePoint

EventSource

Identifie un événement qui s’est produite dans SharePoint. Les valeurs possibles sont SharePoint et ObjectModel.

SharePoint

ExternalAccess

Pour l’activité d’administration d’Exchange, spécifie si l’applet de commande a été exécutée par un utilisateur de votre organisation, le personnel du centre de données Microsoft, un compte de service du centre de données, ou un administrateur délégué. La valeur False indique que l’applet de commande a été exécutée par un membre de votre organisation. La valeur True indique que l’applet de commande a été exécutée par le personnel du centre de données, un compte de service du centre de données, ou un administrateur délégué.

Pour l’activité de boîte aux lettres d’Exchange, indique si un utilisateur extérieur à votre organisation a accédé à une boîte aux lettres.

Exchange

ExtendedProperties

Propriétés étendues pour un événement Azure Active Directory.

Azure Active Directory

ID

ID de l’entrée de rapport. L’ID identifie de façon unique l’entrée de rapport.

Tous

InternalLogonType

Réservé pour un usage interne.

Exchange (activité de boîte aux lettres)

ItemType

Type de l’objet consulté ou modifié. Les valeurs possibles sont File, Folder, Web, Site, Tenant et DocumentLibrary.

SharePoint

LoginStatus

Identifie les échecs de connexion qui pourraient s’être produits.

Azure Active Directory

LogonType

Type d’accès à la boîte aux lettres. Les valeurs suivantes indiquent le type d’utilisateur ayant accédé à la boîte aux lettres.

0      indique un propriétaire de boîte aux lettres.

1      indique un administrateur.

2      indique un délégué.

3      indique le service de transport dans le centre de données Microsoft.

4      indique un compte de service dans le centre de données Microsoft.

6      indique un administrateur délégué.

Exchange (activité de boîte aux lettres)

MailboxGuid

GUID Exchange de la boîte aux lettres consultée.

Exchange (activité de boîte aux lettres)

MailboxOwnerUPN

Adresse de courrier de la personne propriétaire de la boîte aux lettres consultée.

Exchange (activité de boîte aux lettres)

ModifiedProperties (Name, NewValue, OldValue)

La propriété est incluse pour les événements d’administration, tel l’ajout d’un utilisateur en tant que membre d’un site ou d’un groupe d’administrateurs d’une collection de sites. La propriété inclut le nom de la propriété modifiée (par exemple, le groupe Administrateurs du site), la nouvelle valeur de la propriété modifiée (par exemple, l’utilisateur ajouté en tant qu’administrateur du site), et la valeur précédente de l’objet modifié.

Tous (activité d’administration)

ObjectID

Pour la journalisation d’audit de l’administrateur Exchange, nom de l’objet modifié par l’applet de commande.

Pour une activité SharePoint, nom du chemin d’accès de l’URL complète du fichier ou dossier consulté par un utilisateur.

Pour une activité Azure AD, nom du compte d’utilisateur modifié.

Tous

Operation

Le nom de l’activité utilisateur ou administrateur. La valeur de cette propriété correspond à la valeur qui a été sélectionnée dans les activités de zone de liste déroulante. Si vous avez sélectionné d’Afficher les résultats pour toutes les activités, le rapport n’est inclus entrées pour toutes les activités des utilisateurs et d’administration pour tous les services. Pour obtenir une description des opérations/activités qui sont enregistrés dans le Office 365 journal d’audit, voir l’onglet contrôlé activités dans recherche l’audit se connecter dans le centre de conformité Office 365 sécurité.

Pour une activité d’administrateur Exchange, cette propriété indique le nom de l’applet de commande exécutée.

Tous

OrganizationID

GUID de votre organisation Office 365.

Tous

Path

Nom du dossier de boîte aux lettres dans lequel se trouve le message consulté. Cette propriété identifie également le dossier dans lequel un message est créé ou copié/déplacé.

Exchange (activité de boîte aux lettres)

Parameters

Pour l’activité d’administrateur Exchange, nom et valeur de tous les paramètres utilisés avec l’applet de commande identifiée dans la propriété Operation.

Exchange (activité d’administrateur)

RecordType

Type d’opération indiqué par l’enregistrement. Les valeurs suivantes indiquent le type d’enregistrement.

1      indique un enregistrement du journal d’audit d’administration Exchange.

2      indique un enregistrement du journal d’audit de boîte aux lettres Exchange pour une opération effectuée sur un seul élément de boîte aux lettres.

3      indique également un enregistrement du journal d’audit de boîte aux lettres Exchange. Ce type d’enregistrement indique l’opération effectuée sur plusieurs éléments de la boîte aux lettres source (par exemple, déplacement de plusieurs éléments vers le dossier Éléments supprimés, ou suppression définitive de plusieurs éléments).

4      indique une opération d’administrateur de site dans SharePoint, telle qu’un administrateur ou un utilisateur attribuant des autorisations d’accès à un site.

6      indique une opération relative à un fichier ou dossier dans SharePoint, par exemple quand un utilisateur affiche ou modifie un fichier.

8      indique une opération d’administration effectuée dans Azure Active Directory.

9      indique des événements d’ouverture de session OrgId dans Azure Active Directory. Ce type d’enregistrement est déconseillé.

10      indique des événements d’applet de commande de sécurité déclenchés par le personnel du centre de données Microsoft.

11      indique des événements de protection contre la perte de données dans SharePoint.

12      indique des événements Sway.

14      indique des événements de partage dans SharePoint.

15      indique des événements d’ouverture de session Secure Token Service (STS) dans Azure Active Directory.

18      indique des événements Centre de sécurité et conformité.

20      indique des événements Power BI.

22      indique des événements Yammer.

24    indique les événements de découverte électronique. Ce type d’enregistrement indique les activités qui ont été effectuées en effectuant des recherches de contenu et la gestion des cas de découverte électronique dans la Centre de sécurité et conformité. Pour plus d’informations, voir recherche d’activités de découverte électronique dans Office 365 journal d’audit.

25, 26 ou 27      Indique les événements Microsoft Teams.

Tous

ResultStatus

Indique si l’action (spécifiée dans la propriété Operation) a réussi ou non.

Pour une activité d’administrateur Exchange, la valeur est True (réussite) ou False (échec).

Tous

SecurityComplianceCenterEventType

Indique que l’activité était un événement Centre de sécurité et conformité. Toutes les activités Centre de sécurité et conformité ont la valeur 0 pour cette propriété.

Centre de sécurité et conformité Office 365

SharingType

Type des autorisations de partage accordées à l’utilisateur avec lequel la ressource a été partagée. Cet utilisateur est identifié dans la propriété UserSharedWith.

SharePoint

Site

GUID du site où se trouve le fichier ou dossier consulté par l’utilisateur.

SharePoint

SiteUrl

URL du site où se trouve le fichier ou dossier consulté par l’utilisateur.

SharePoint

SourceFileExtension

Extension du fichier consulté par l’utilisateur. Cette propriété est vide si l’objet consulté est un dossier.

SharePoint

SourceFileName

Nom du fichier ou dossier consulté par l’utilisateur.

SharePoint

SourceRelativeUrl

URL du dossier contenant le fichier consulté par l’utilisateur. La combinaison des valeurs des propriétés SiteURL, SourceRelativeURL et SourceFileName Propriétés est identique à la valeur de la propriété ObjectID, qui est le nom du chemin d’accès complet du fichier consulté par l’utilisateur.

SharePoint

Subject

Ligne d’objet du message consulté.

Exchange (activité de boîte aux lettres)

Target

L’utilisateur qui a été effectuer l’action (identifiée dans la propriété Operation ) sur. Par exemple, si un utilisateur invité est ajouté à SharePoint ou un Team Microsoft, cet utilisateur est répertorié dans cette propriété.

Azure Active Directory

TeamGuid

ID d’une équipe dans Microsoft Teams.

Microsoft Teams

TeamName

Le nom d’une équipe dans Microsoft Teams.

Microsoft Teams

UserAgent

Informations sur le navigateur de l’utilisateur. Ces informations sont fournies par le navigateur.

SharePoint

UserDomain

Informations d’identité sur l’organisation cliente de l’utilisateur (actor) qui a exécuté l’action.

Azure Active Directory

UserID

Utilisateur ayant exécuté l’action (spécifié dans la propriété Operation) qui a entraîné la journalisation de l’enregistrement. Notez que les enregistrements d’activité effectués par des comptes système (par exemple, SHAREPOINT\system or NT AUTHORITY\SYSTEM) sont également inclus dans le journal d’audit.

Tous

UserKey

Autre ID de l’utilisateur identifié dans la propriété UserID. Par exemple, cette propriété contient l’identificateur unique Microsoft .NET Passport (PUID) pour les événements exécutés par des utilisateurs dans SharePoint. Cette propriété pourrait également spécifier la même valeur que la propriété UserIDpour des événements se produisant dans d’autres services, et des événements déclenchés par des comptes système.

Tous

UserSharedWith

L’utilisateur avec lequel une ressource a été partagée. Cette propriété est incluse si la valeur de la propriété Operationest SharingSet. Cet utilisateur est également répertorié dans la colonne Partagé avec du rapport.

SharePoint

UserType

Type d’utilisateur ayant effectué l’opération. Les valeurs suivantes indiquent le type d’utilisateur.

0      utilisateur ordinaire.

2      administrateur dans votre organisation Office 365.

3      administrateur ou compte système du centre de données Microsoft.

4      compte système.

5      application.

6      principal de service.

Tous

Version

Numéro de version de l’activité (identifiée par la propriété Operation) qui est journalisée.

Tous

Workload

Service Office 365dans lequel l’activité s’est produite. Les valeurs possibles pour cette propriété sont les suivantes :

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

Conformité

Sway

SecurityComplianceCenter

PowerBI

MicrosoftTeams

Toutes

Notez que les propriétés ci-dessus sont également affichées lorsque vous cliquez sur plus d’informations lorsque vous affichez les détails d’un événement spécifique.

Cliquez sur plus d’informations pour afficher les propriétés détaillées de l’enregistrement d’événement de journal d’audit

Revenir au début

Remarque : Avertissement traduction automatique : cet article a été traduit par un ordinateur, sans intervention humaine. Microsoft propose cette traduction automatique pour offrir aux personnes ne maîtrisant pas l’anglais l’accès au contenu relatif aux produits, services et technologies Microsoft. Comme cet article a été traduit automatiquement, il risque de contenir des erreurs de grammaire, de syntaxe ou de terminologie.

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×