Propriedades detalhadas no log de auditoria do Office 365

Importante :  Este artigo foi traduzido por um sistema de tradução automática, leia o aviso de isenção de responsabilidade. Para sua referência, veja a versão em inglês deste artigo aqui.

Quando você exporta os resultados de uma pesquisa de log de auditoria do Centro de Conformidade e Segurança do Office 365, você tem a opção para baixar todos os resultados que atendem aos critérios de pesquisa. Você pode fazer isso, selecionando Exportar resultados > Baixar todos os resultados na página pesquisa de log de auditoria na Centro de Conformidade e Segurança. Para obter mais informações, consulte Pesquisar a auditoria faça logon no Centro de conformidade de segurança do Office 365.

Quando você exporta todos os resultados de uma pesquisa de log de auditoria, os dados brutos do log de auditoria unificado do Office 365 são copiados para um arquivo de valores separados por vírgulas (CSV) que é baixado no computador local. Esse arquivo contém informações adicionais da entrada de log de auditoria em uma coluna chamada Detalhes. Essa coluna contém uma propriedade de diversos valores para várias propriedades do registro de log de auditoria. Cada um dos pares de property:value nessa propriedade de vários valores é separado por uma vírgula.

A tabela a seguir descreve as propriedades que são incluídas — dependendo do serviço de Office 365 em que ocorre um evento — na coluna de detalhes da propriedade múltipla. A coluna de serviço de Office 365 que tem essa propriedade    indica o serviço e o tipo de atividade (usuário ou administrador) que inclui a propriedade. Para obter informações mais detalhadas sobre essas propriedades ou sobre propriedades que podem não estar listadas neste tópico, consulte Esquema de API de atividades de gerenciamento do Office 365.

Dica : Você pode usar o Power Query no Excel para dividir essa coluna em várias colunas para que cada propriedade tenha sua própria coluna. Isso permitirá que você classifique e filtre em uma ou mais dessas propriedades. Para saber como fazer isso, veja a seção "Dividir uma coluna por delimitador" Dividir uma coluna de texto (Power Query).

Propriedade

Descrição

Serviço Office 365 que possui essa propriedade

Ator

A conta de usuário ou de serviço que executou a ação.

Azure Active Directory

AzureActiveDirectoryEventType

O tipo de evento Azure Active Directory. Os seguintes valores indicam o tipo de evento.

0      Indica um evento de login de conta.

1      Indica um evento de segurança de aplicativo do Azure.

Azure Active Directory

ChannelGuid

A ID de um canal de Microsoft Teams. A equipe que o canal está localizado no é identificada pelas propriedades TeamName e TeamGuid .

Microsoft Teams

ChannelName

O nome de um canal de Microsoft Teams. A equipe que o canal está localizado no é identificada pelas propriedades TeamName e TeamGuid .

Microsoft Teams

Cliente

O dispositivo cliente, o sistema operacional do dispositivo e o navegador do dispositivo usado para o evento de logon (por exemplo, o Nokia Lumnia 920; o Windows Phone 8; o IE Mobile 11).

Azure Active Directory

ClientInfoString

As informações sobre o cliente de email usado para executar a operação, como uma versão do navegador, do Outlook e informações de dispositivo móvel

Exchange (atividade de caixa de correio)

ClientIP

O endereço IP do dispositivo usado quando a atividade foi registrada. O endereço IP é exibido no formato de endereço IPv4 ou IPv6.

Exchange e Azure Active Directory

ClientIPAddress

Igual a ClientIP.

SharePoint

CreationTime

A data e a hora no horário Tempo Universal Coordenado (UTC) quando o usuário realizou a atividade.

Tudo

DestinationFileExtension

A extensão de um arquivo que foi copiado ou movido. Essa propriedade é exibida somente nas atividades do usuário FileCopied e FileMoved.

SharePoint

DestinationFileName

O nome do arquivo copiado ou movido. Essa propriedade é exibida somente para as ações FileCopied e FileMoved.

SharePoint

DestinationRelativeUrl

A URL da pasta de destino para a qual um arquivo é movido ou copiado. A combinação de valores para o SiteURL, DestinationRelativeURL e as propriedades DestinationFileName são o mesmo que o valor da propriedade ObjectID que é o nome do caminho completo para o arquivo que foi copiado. Essa propriedade é exibida somente nas atividades do usuário FileCopied e FileMoved.

SharePoint

EventSource

Identifica que o evento ocorreu no SharePoint. Os valores possíveis são SharePoint e ObjectModel.

SharePoint

ExternalAccess

Para a atividade de administração Exchange, especifica se o cmdlet foi executado por um usuário em sua organização, pela equipe do data center da Microsoft ou uma conta de serviço do data center ou por um administrador representante. O valor False indica que o cmdlet foi executado por alguém da sua organização. O valor True indica que o cmdlet foi executado pela equipe do data center, uma conta de serviço do data center ou um administrador representante.

Para a atividade da caixa de correio do Exchange, especifica se uma caixa de correio foi acessada por um usuário fora da sua organização.

Exchange

ExtendedProperties

As propriedades estendidas de um evento do Azure Active Directory.

Azure Active Directory

ID

A ID da entrada do relatório. A ID identifica com exclusividade a entrada do relatório.

Tudo

InternalLogonType

Reservada para uso interno.

Exchange (atividade de caixa de correio)

ItemType

O tipo de objeto acessado ou modificado. Os valores possíveis incluem Arquivo, Pasta, Web, Site, Locatário e DocumentLibrary.

SharePoint

LoginStatus

Identifica falhas de logon que podem ter ocorrido.

Azure Active Directory

LogonType

O tipo de acesso de caixa de correio. Os seguintes valores indicam o tipo de usuário que acessou a caixa de correio.

0      Indica um proprietário de caixa de correio.

1      Indica um administrador.

2      Indica um representante.

3      Indica o serviço de transporte no data center da Microsoft.

4      Indica uma conta de serviço no data center da Microsoft.

6      Indica um administrador representante.

Exchange (atividade de caixa de correio)

MailboxGuid

O GUID Exchange da caixa de correio que foi acessada.

Exchange (atividade de caixa de correio)

MailboxOwnerUPN

O endereço de email do proprietário da caixa de correio que foi acessada.

Exchange (atividade de caixa de correio)

ModifiedProperties (Name, NewValue, OldValue)

A propriedade está incluída em eventos de administração, como adicionar um usuário como membro de um site ou de um grupo de administradores de conjunto de sites. A propriedade inclui o nome da propriedade que foi modificada (por exemplo, o grupo de Administradores de Site) o novo valor da propriedade modificada (como o usuário que foi adicionado como administrador do site e o valor anterior do objeto modificado.

Tudo (atividade de administração)

ObjectID

Em log de auditoria de administração do Exchange, o nome do objeto que foi modificado pelo cmdlet.

Na atividade SharePoint, o nome de caminho completo da URL do arquivo ou da pasta acessado por um usuário.

Na atividade Azure AD, o nome da conta de usuário que foi modificado.

Tudo

Operação

O nome da atividade do usuário ou administrador. O valor desta propriedade corresponde ao valor que foi selecionado nas atividades de lista suspensa. Se Mostrar resultados para todas as atividades foi selecionada, o relatório será incluído entradas para todas as atividades de usuário e administrador para todos os serviços. Para obter uma descrição das operações/atividades que estiver conectado a Office 365 log de auditoria, consulte a guia de atividades de auditadas na pesquisa de auditoria faça logon no Centro de conformidade de segurança do Office 365.

Para atividade de administração Exchange, essa propriedade identifica o nome do cmdlet que foi executado.

Tudo

OrganizationID

O GUID de sua organização Office 365.

Tudo

Caminho

O nome da pasta caixa de correio na qual a mensagem que foi acessada se encontra. Esta propriedade também identifica a pasta na qual uma mensagem foi criada ou para a qual foi copiada/movida.

Exchange (atividade de caixa de correio)

Parâmetros

Na atividade de administração Exchange, o nome e o valor de todos os parâmetros que foram usados com o cmdlet que é identificado na propriedade Operação.

Exchange (atividade de administração)

RecordType

O tipo de operação indicada pelo registro. Os seguintes valores indicam o tipo de registro.

1      Indica um registro do log de auditoria de administração Exchange.

2      Indica um registro do log de auditoria de caixa de correio Exchange para uma operação executada em um item de caixa de correio específico.

3      Também indica um registro do log de auditoria de caixa de correio do Exchange. Esse tipo de registro indica que a operação foi realizada em vários itens na caixa de correio de origem (como mover vários itens para a pasta Itens Excluídos ou excluir permanentemente vários itens).

4      Indica uma operação de administração de site no SharePoint, como um administrador ou usuário atribuindo permissões para um site.

6      Indica uma operação relacionada a uma pasta ou a um arquivo no SharePoint, como exibir ou modificar um arquivo.

8      Indica uma operação de administração executada em Azure Active Directory.

9      Indica os eventos de logon OrgId em Azure Active Directory. Esse tipo de registro está sendo excluído.

10      Indica eventos de cmdlet de segurança que foram executados pelo pessoal da Microsoft no data center.

11      Indica eventos de proteção contra perda de dados (DLP) no SharePoint.

12      Indica eventos no Sway.

14      Indica eventos de compartilhamento em SharePoint.

15      Indica eventos de logon de Serviço de Token Seguro (STS) no Azure Active Directory.

18      Indica eventos no Centro de Conformidade e Segurança.

20      Indica eventos de Power BI.

22      Indica eventos no Yammer.

24    indica eventos de descoberta eletrônica. Esse tipo de registro indica atividades realizadas executando pesquisas de conteúdo e gerenciamento de casos de descoberta eletrônica na Centro de Conformidade e Segurança. Para obter mais informações, consulte Procurar por atividades de descoberta eletrônica no Office 365 log de auditoria.

25, 26 ou 27      Indica Microsoft Teams eventos.

Tudo

ResultStatus

Indica se a ação (especificada na propriedade Operação) obteve êxito ou não.

Em Exchangeatividade de administração, o valor é True (bem-sucedido) ou False (falha).

Tudo

SecurityComplianceCenterEventType

Indica que a atividade foi um evento do Centro de Conformidade e Segurança. Todas as atividades Centro de Conformidade e Segurança terão um valor de 0 para essa propriedade.

Centro de Conformidade e Segurança do Office 365

SharingType

O tipo de permissões de compartilhamento atribuídas ao usuário que o usuário com que o recurso foi compartilhado. Esse usuário é identificado na propriedade UserSharedWith.

SharePoint

Site

O GUID do site no qual o arquivo ou a pasta acessada pelo usuário está localizado.

SharePoint

SiteUrl

A URL do site no qual o arquivo ou a pasta acessado pelo usuário está localizado.

SharePoint

SourceFileExtension

A extensão do arquivo que foi acessado pelo usuário. Esta propriedade fica vazia se o objeto que foi acessado for uma pasta.

SharePoint

SourceFileName

O nome do arquivo ou da pasta acessado pelo usuário.

SharePoint

SourceRelativeUrl

A URL da pasta que contém o arquivo acessado pelo usuário. A combinação dos valores para o SiteURL, o SourceRelativeURL e as propriedades SourceFileName é a mesma do valor da propriedade ObjectID, que é o nome do caminho completo para o arquivo acessado pelo usuário.

SharePoint

Assunto

A linha de assunto da mensagem que foi acessada.

Exchange (atividade de caixa de correio)

Destino

O usuário que a ação (identificada na propriedade Operation ) foi executada em. Por exemplo, quando um usuário convidado é adicionado a SharePoint ou um Team Microsoft, esse usuário é listado nesta propriedade.

Azure Active Directory

TeamGuid

A ID de uma equipe em Microsoft Teams.

Microsoft Teams

Nomedaequipe

O nome de uma equipe em Microsoft Teams.

Microsoft Teams

UserAgent

Informações sobre o navegador do usuário. Essa informação é fornecida pelo navegador.

SharePoint

UserDomain

Informações de identidade sobre a organização de locatários do usuário (ator) que executou a ação.

Azure Active Directory

UserID

O usuário que executou a ação (especificado na propriedade Operation) que resultou no registro sendo registrado em log. Observe que os registros de atividade realizada por contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também estão incluídos no log de auditoria.

Tudo

UserKey

Uma ID alternativa para o usuário identificado na propriedade UserID. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) de eventos executados por usuários em SharePoint. Essa propriedade também pode especificar o mesmo valor que a propriedade UserID para eventos que ocorrem em outros serviços e eventos executados por contas do sistema.

Tudo

UserSharedWith

O usuário com que um recurso foi compartilhado. Essa propriedade será incluída se o valor da propriedade Operation for SharingSet. Esse usuário também está listado na coluna Compartilhado com do relatório.

SharePoint

UserType

O tipo de usuário que executou a operação. Os seguintes valores indicam o tipo de usuário.

0      Um usuário normal.

2      Um administrador em sua organização Office 365.

3      Um administrador de data center da Microsoft ou uma conta de sistema de data center.

4      Uma conta de sistema.

5      Um aplicativo.

6      Uma entidade de serviço.

Tudo

Versão

Indica o número da versão da atividade (identificado pela propriedade Operation) que é registrada.

Tudo

Carga de trabalho

O serviço Office 365 em que a atividade ocorreu. Os valores possíveis para esta propriedade são:

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

Conformidade

Sway

SecurityComplianceCenter

PowerBI

MicrosoftTeams

Todos

Observe que as propriedades descritas acima também são exibidos quando você clica em obter mais informações ao exibir os detalhes de um evento específico.

Clique em mais informações para exibir as propriedades detalhadas do registro de eventos de log de auditoria

Voltar ao início

Observação : Aviso de Isenção de Tradução Automática: Este artigo foi traduzido por computador, sem intervenção humana. A Microsoft oferece essas traduções automáticas para ajudar as pessoas que não falam inglês a aproveitar os textos escritos sobre produtos, serviços e tecnologias da Microsoft. Como este artigo foi traduzido automaticamente, é possível que contenha erros de vocabulário, sintaxe ou gramática.

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×