Office 365审核日志中的详细属性

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

从Office 365 安全和合规性中心导出的审核日志搜索结果时,您可以选择要下载所有符合搜索条件的结果。执行此操作通过选择将结果导出> 在安全和合规性中心审核日志搜索页面上的下载所有结果。有关详细信息,请参阅在 Office 365 安全和合规性中心中的审核日志的搜索

导出审核日志搜索的所有结果时,Office 365 统一审核日志将复制到逗号分隔值 (CSV) 文件(已下载到本地计算机)。此文件中名为“详情”的列中包含审核日志条目中的其他信息。此列包含一个用于审核日志记录中多个属性的多值属性。 此多值属性中的每个 property:value 对由逗号分隔。

下表描述了所包含的属性,具体取决于发生的事件的Office 365服务-多属性明细列中。 具有此属性的Office 365服务   列指示服务的活动和类型 (用户或管理员),其中包含该属性。有关这些属性或不可能本主题中列出的属性的详细信息,请参阅Office 365 管理活动 API 架构

提示: 可使用 Excel 中的 Power Query 将此列拆分为多个列,以使每个属性具有自己的列。由此便能够对一个或多个属性进行排序和筛选。若要了解如何执行此操作,请参阅拆分一列文本 (Power Query) 中的“通过分隔符拆分列”部分。

属性

说明

具有此属性的 Office 365 服务

操作者

执行操作的用户或服务帐户。

Azure Active Directory

AzureActiveDirectoryEventType

Azure Active Directory 事件的类型。以下值指示事件的类型。

0    指示帐户登录事件。

1    指示 Azure 应用程序安全事件。

Azure Active Directory

ChannelGuid

Microsoft Teams通道的 ID。由TeamName和TeamGuid属性标识通道位于工作组。

Microsoft Teams

ChannelName

Microsoft Teams通道名称。由TeamName和TeamGuid属性标识通道位于工作组。

Microsoft Teams

客户端

用于登录事件的客户端设备、设备 OS 和设备浏览器(例如,Nokia Lumnia 920、Windows Phone 8、IE Mobile 11)。

Azure Active Directory

ClientInfoString

用于执行操作的电子邮件客户端的相关信息,如浏览器版本、Outlook 版本,以及移动设备信息。

Exchange(邮箱活动)

ClientIP

记录活动时所用设备的 IP 地址。IP 地址显示为 IPv4 或 IPv6 地址格式。

Exchange 和 Azure Active Directory

ClientIPAddress

与 ClientIP 相同。

SharePoint

CreationTime

用户执行活动时,协调世界时 (UTC) 中的日期和时间。

全部

DestinationFileExtension

复制或移动的文件的文件扩展名。仅针对 FileCopied 和 FileMoved 用户活动显示此属性。

SharePoint

DestinationFileName

复制或移动的文件名。仅针对 FileCopied 和 FileMoved 操作显示此属性。

SharePoint

DestinationRelativeUrl

复制或移动文件时的目标文件夹的 URL。SiteURL、DestinationRelativeURL 和 DestinationFileName 属性值的组合与 ObjectID 属性(复制的文件的完整路径名称)值相同。仅针对 FileCopied 和 FileMoved 用户活动显示此属性。

SharePoint

EventSource

用于标识在 SharePoint 中发生的事件。可能的值为 SharePointObjectModel

SharePoint

ExternalAccess

对于 Exchange 管理员活动,指定 cmdlet 由组织中的用户、Microsoft 数据中心人员或数据中心服务帐户,还是由委派的管理员运行。 值 False 指示 cmdlet 由组织中的某人运行。值 True 表示 cmdlet 由数据中心人员、数据中心服务帐户或委派的管理员运行。

对于 Exchange 邮箱活动,指定是否组织外部的用户访问了邮箱。

Exchange

ExtendedProperties

Azure Active Directory 事件的扩展属性。

Azure Active Directory

ID

报表条目的 ID。ID 对报表条目进行唯一标识。

全部

InternalLogonType

供内部使用。

Exchange(邮箱活动)

ItemType

访问或修改的对象的类型。可能的值包括 FileFolderWebSiteTenantDocumentLibrary

SharePoint

LoginStatus

识别可能发生的登录失败。

Azure Active Directory

LogonType

邮箱访问的类型。以下值指示访问邮箱的用户类型。

0    指示邮箱所有者。

1    指示管理员。

2    指示代理人。

3    指示 Microsoft 数据中心中的传输服务。

4    指示 Microsoft 数据中心中的服务帐户。

6    指示委派的管理员。

Exchange(邮箱活动)

MailboxGuid

被访问的邮箱的 Exchange GUID。

Exchange(邮箱活动)

MailboxOwnerUPN

拥有被访问邮箱的人员的电子邮件地址。

Exchange(邮箱活动)

ModifiedProperties (Name, NewValue, OldValue)

该属性用于管理员事件,如将用户添加为网站或网站集管理员组的成员。该属性包括修改的属性的名称(例如,“网站管理员”组)、修改的属性的新值(如添加为网站管理员的用户),以及修改的对象的先前值。

全部(管理员活动)

ObjectID

对于 Exchange 管理员审核日志,即为 cmdlet 修改的对象的名称。

对于 SharePoint 活动,即为用户访问的文件或文件夹的完整 URL 路径名称。

对于 Azure AD 活动,即为修改的用户帐户的名称。

全部

操作

用户或管理员活动的名称。此属性的值对应于值的活动所选下拉列表。如果选择了显示所有活动结果,将包含该报表的所有服务的所有用户和管理员活动的条目。登录Office 365操作/活动的描述审核日志,请参阅在 Office 365 安全和合规性中心中的审核日志的搜索中的Audited 活动选项卡。

对于 Exchange 管理活动,此属性标识运行的 cmdlet 的名称。

全部

OrganizationID

Office 365 组织的 GUID。

全部

路径

访问的邮件所在邮箱文件夹的名称。此属性还识别邮件创建时所在的或邮件复制/移动到的文件夹。

Exchange(邮箱活动)

参数

对于 Exchange 管理活动,即为用于“操作”属性中标识的 cmdlet 的所有参数的名称和值。

Exchange(管理员活动)

RecordType

记录指示的操作的类型。以下值指示记录类型。

1    指示 Exchange 管理员审核日志中的记录。

2    指示对单个邮箱项执行的操作的 Exchange 邮箱审核日志中的记录。

3    也指示 Exchange 邮箱审核日志中的记录。此记录类型指示对源邮箱中多个项目执行的操作(如将多个项目移到“已删除邮件文件夹”或永久删除多个项目)。

4    指示 SharePoint 中的网站管理员操作,如管理员或用户向网站分配权限。

6    指示 SharePoint 中与文件或文件夹有关的操作,如用户查看或修改文件。

8    指示在 Azure Active Directory 中执行的管理员操作。

9    指示 Azure Active Directory 中的 OrgId 徽标事件。此记录类型正被逐渐弃用。

10    指示数据中心中的 Microsoft 工作人员执行的安全 cmdlet 事件。

11    指示 SharePoint 中的数据丢失保护 (DLP) 事件。

12    指示 Sway 事件。

14    指示 SharePoint 中的共享事件。

15    指示 Azure Active Directory 中的安全令牌服务 (STS) 登录事件。

18    指示 安全与合规中心 事件。

20    指示 Power BI 事件。

22    指示 Yammer 事件。

24   指示电子数据展示事件。此记录类型指示已通过运行内容搜索和管理电子数据展示事例安全与合规中心中的执行的活动。有关详细信息,请参阅审核日志在 Office 365 中的电子数据展示活动搜索

25、 26 或 27     指示Microsoft Teams事件。

全部

ResultStatus

指示操作(“操作”属性中指定的操作)是否成功。

对于 Exchange 管理员活动,值为 True(成功)或 False(失败)。

全部

SecurityComplianceCenterEventType

指示活动是 安全与合规中心 事件。所有 安全与合规中心 活动的该属性的值均为 0

Office 365 安全和合规性中心

SharingType

分配给共享该资源的用户的共享权限的类型。在 UserSharedWith 属性中标识该用户。

SharePoint

站点

用户访问的文件或文件夹所在站点的 GUID。

SharePoint

SiteUrl

用户访问的文件或文件夹所在站点的 URL。

SharePoint

SourceFileExtension

用户访问的文件的文件扩展名。如果访问对象是一个文件夹,则此属性为空。

SharePoint

SourceFileName

用户访问的文件或文件夹的名称。

SharePoint

SourceRelativeUrl

包含用户访问的文件的文件夹的 URL。SiteURL、SourceRelativeURL 和 SourceFileName 属性值的组合与 ObjectID 属性(用户访问的文件的完整路径名称)值相同。

SharePoint

主题

访问的邮件的主题行。

Exchange(邮箱活动)

目标

用户在上执行的操作 ( Operation属性中标识)。例如,如果来宾用户添加到SharePoint或 Microsoft 团队,该用户将此属性中列出。

Azure Active Directory

TeamGuid

在Microsoft Teams团队的 ID。

Microsoft Teams

TeamName

在Microsoft Teams团队的名称。

Microsoft Teams

UserAgent

用户浏览器相关信息。此信息由浏览器提供。

SharePoint

UserDomain

执行操作的用户(操作者)的租户组织的身份信息。

Azure Active Directory

UserID

执行操作(Operation 属性中指定的操作)的用户,该操作导致生成记录。请注意,审核记录还包括系统帐户执行的活动的记录(如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM)。

全部

UserKey

UserID 属性中标识的用户的备用 ID。例如,使用 SharePoint 中用户执行的事件的passport 唯一标识号 (PUID) 填充此属性。此属性还可能指定与发生在其他服务中的事件以及由系统帐户执行的事件的 UserID 属性相同的值。

全部

UserSharedWith

与之共享资源的用户。如果 Operation 属性的值为“SharingSet”,则包含此属性。此用户同时列于报表中的“共享对象”列。

SharePoint

UserType

执行操作的用户的类型。以下值指示用户类型。

0    常规用户。

2   Office 365 组织中的管理员。

3    Microsoft 数据中心管理员或数据中心系统帐户。

4    系统帐户。

5    应用程序。

6    服务主体。

全部

版本

指示所记录的活动(由 Operation 属性标识)的版本号。

全部

工作负荷

其中发生活动的 Office 365 服务。此属性的可能值为:

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

合规性

Sway

SecurityComplianceCenter

PowerBI

MicrosoftTeams

全部

当您单击的详细信息,当查看特定事件的详细信息,请注意,属性上述也会显示。

单击要查看审核日志事件记录的详细的属性的详细信息

返回页首

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×