Office 365审核日志中的详细属性

注意:  我们希望能够尽快以你的语言为你提供最新的帮助内容。 本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗? 请在此处查看本文的 英文版本 以便参考。

从Office 365 安全和合规性中心导出的审核日志搜索结果时,您可以选择要下载所有符合搜索条件的结果。执行此操作通过选择将结果导出> 在安全和合规性中心审核日志搜索页面上的下载所有结果。有关详细信息,请参阅在 Office 365 安全和合规性中心中的审核日志的搜索

当您导出所有的审核日志搜索结果时,从Office 365统一的审核日志的原始数据被复制到逗号分隔值 (CSV) 文件,这将下载到本地计算机。此文件包含从名为明细列中的审核日志条目的其他信息。此列包含多个属性的审核日志记录的多值属性。property:value对此多值属性中的每个用逗号分隔。

下表描述了所包含的属性,具体取决于发生的事件的Office 365服务-多属性明细列中。具有此属性的Office 365服务   列指示服务的活动和类型 (用户或管理员),其中包含该属性。有关这些属性或不可能本主题中列出的属性的详细信息,请参阅Office 365 管理活动 API 架构

提示: 您可以在 Excel 中使用 Power Query 将此列拆分为多列,以便每个属性都将具有其自己的列。这允许您进行排序和筛选的一个或多个属性。若要了解如何执行此操作,请参阅拆分文本 (Power Query) 列中的"按分隔符拆分列"一节。

属性

说明

具有此属性的Office 365服务

操作者

执行操作的用户或服务帐户。

Azure Active Directory

AddOnName

添加、 删除或更新的组中的加载项的名称。在Microsoft Teams的加载项的类型是机器人、 连接符或任意一个选项卡。

Microsoft Teams

AddOnType

添加、 删除或更新的组中的加载项类型。为以下值指示加载项的类型。

1   表示机器人。

2   指示连接线。

3   表示一个选项卡。

Microsoft Teams

AzureActiveDirectoryEventType

Azure Active Directory 事件的类型。以下值指示事件的类型。

0    指示帐户登录事件。

1    指示 Azure 应用程序安全事件。

Azure Active Directory

ChannelGuid

Microsoft Teams通道的 ID。由TeamName和TeamGuid属性标识通道位于工作组。

Microsoft Teams

ChannelName

Microsoft Teams通道名称。由TeamName和TeamGuid属性标识通道位于工作组。

Microsoft Teams

客户端

客户端设备、 设备操作系统,请和用于登录事件 (例如,Nokia Lumia 920; 设备浏览器Windows Phone 8;IE 手机 11)。

Azure Active Directory

ClientInfoString

用于执行操作的电子邮件客户端的相关信息,如浏览器版本、Outlook 版本,以及移动设备信息。

Exchange(邮箱活动)

ClientIP

记录活动时所用设备的 IP 地址。IP 地址显示为 IPv4 或 IPv6 地址格式。

Exchange 和 Azure Active Directory

ClientIPAddress

与 ClientIP 相同。

SharePoint

CreationTime

用户执行活动时,协调世界时 (UTC) 中的日期和时间。

全部

DestinationFileExtension

复制或移动的文件的文件扩展名。仅针对 FileCopied 和 FileMoved 用户活动显示此属性。

SharePoint

DestinationFileName

复制或移动的文件名。仅针对 FileCopied 和 FileMoved 操作显示此属性。

SharePoint

DestinationRelativeUrl

目标文件夹复制或移动文件的位置的 URL。SiteURL、 DestinationRelativeURL和DestinationFileName属性的值的组合并ObjectID属性,这是已复制的文件的完整路径名的值相同。此属性仅显示 FileCopied 和 FileMoved 用户活动。

SharePoint

EventSource

标识SharePoint中发生的事件。可能的值是SharePointObjectModel

SharePoint

ExternalAccess

对于Exchange管理员活动,指定是否通过您的组织,由 Microsoft 数据中心的人员或数据中心服务帐户的用户或委派的管理员已运行该 cmdlet。False值指示由您的组织中的某人,运行该 cmdlet。值True指示按数据中心人员、 数据中心服务帐户或委派的管理员已运行 cmdlet。

对于Exchange邮箱活动,指定是否由您的组织外部用户访问邮箱。

Exchange

ExtendedProperties

扩展的属性Azure Active Directory事件。

Azure Active Directory

ID

报表条目的 ID。ID 对报表条目进行唯一标识。

全部

InternalLogonType

供内部使用。

Exchange(邮箱活动)

ItemType

访问或修改的对象的类型。可能的值包括 FileFolderWebSiteTenantDocumentLibrary

SharePoint

LoginStatus

识别可能发生的登录失败。

Azure Active Directory

LogonType

邮箱访问的类型。以下值指示访问邮箱的用户类型。

0    指示邮箱所有者。

1    指示管理员。

2    指示代理人。

3    指示 Microsoft 数据中心中的传输服务。

4   指示 Microsoft 数据中心中的服务帐户。

6    指示委派的管理员。

Exchange(邮箱活动)

MailboxGuid

Exchange GUID 访问的邮箱。

Exchange(邮箱活动)

MailboxOwnerUPN

拥有被访问邮箱的人员的电子邮件地址。

Exchange(邮箱活动)

成员

列出已添加或从组中删除的用户。为以下值指示分配给用户的角色类型。

1    表示“所有者”角色。

2    表示“成员”角色。

3    表示“来宾”角色。

成员属性还包括组织的名称和成员的电子邮件地址。

Microsoft Teams

ModifiedProperties (Name, NewValue, OldValue)

属性属于包括针对管理员的事件,如添加用户作为网站或网站集管理员组的成员。属性包括名称 (例如,网站管理组中) 已修改的属性的新值的修改后的属性 (如的用户已添加的网站管理员,以及修改对象的上一个值。

全部(管理员活动)

ObjectID

对于 Exchange 管理员审核日志,即为 cmdlet 修改的对象的名称。

对于 SharePoint 活动,即为用户访问的文件或文件夹的完整 URL 路径名称。

对于 Azure AD 活动,即为修改的用户帐户的名称。

全部

操作

用户或管理员活动的名称。此属性的值对应于值的活动所选下拉列表。如果选择了显示所有活动结果,将包含该报表的所有服务的所有用户和管理员活动的条目。登录Office 365操作/活动的描述审核日志,请参阅在 Office 365 安全和合规性中心中的审核日志的搜索中的Audited 活动选项卡。

对于 Exchange 管理活动,此属性标识运行的 cmdlet 的名称。

全部

OrganizationID

您的组织Office 365的 GUID。

全部

路径

访问的邮件所在邮箱文件夹的名称。此属性还识别邮件创建时所在的或邮件复制/移动到的文件夹。

Exchange(邮箱活动)

参数

对于 Exchange 管理活动,即为用于“操作”属性中标识的 cmdlet 的所有参数的名称和值。

Exchange(管理员活动)

RecordType

记录指示的操作的类型。以下值指示记录类型。

1   表示从Exchange管理员审核日志记录。

2   指示Exchange邮箱中的记录审核日志意见邮箱项目执行操作。

3   也表示从Exchange邮箱审核日志记录。此记录类型指示对源邮箱 (如将多个项目移动到已删除邮件文件夹或永久删除多个项目) 中的多个项目执行操作。

4    指示 SharePoint 中的网站管理员操作,如管理员或用户向网站分配权限。

6    指示 SharePoint 中与文件或文件夹有关的操作,如用户查看或修改文件。

8    指示在 Azure Active Directory 中执行的管理员操作。

9   指示在Azure Active DirectoryOrgId 登录事件。已被弃用此记录类型。

10    指示数据中心中的 Microsoft 工作人员执行的安全 cmdlet 事件。

11    指示 SharePoint 中的数据丢失保护 (DLP) 事件。

12    指示 Sway 事件。

14    指示 SharePoint 中的共享事件。

15    指示 Azure Active Directory 中的安全令牌服务 (STS) 登录事件。

18    指示 安全与合规中心 事件。

20    指示 Power BI 事件。

22    指示 Yammer 事件。

24   指示电子数据展示事件。此记录类型指示已通过运行内容搜索和管理电子数据展示事例安全与合规中心中的执行的活动。有关详细信息,请参阅审核日志在 Office 365 中的电子数据展示活动搜索

25、 26 或 27     指示Microsoft Teams事件。

全部

ResultStatus

指示 (在操作属性中指定) 的操作是成功还是失败。

对于Exchange管理员活动,值为True (成功) 或False (失败)。

全部

SecurityComplianceCenterEventType

指示活动是 安全与合规中心 事件。所有 安全与合规中心 活动的该属性的值均为 0

Office 365 安全和合规性中心

SharingType

已分配给与共享资源的用户的共享权限类型。此用户标识UserSharedWith属性中。

SharePoint

站点

用户访问的文件或文件夹所在站点的 GUID。

SharePoint

SiteUrl

用户访问的文件或文件夹所在站点的 URL。

SharePoint

SourceFileExtension

用户访问的文件的文件扩展名。如果访问对象是一个文件夹,则此属性为空。

SharePoint

SourceFileName

文件或由用户访问的文件夹的名称。

SharePoint

SourceRelativeUrl

包含用户访问的文件的文件夹的 URL。SiteURL、SourceRelativeURL 和 SourceFileName 属性值的组合与 ObjectID 属性(用户访问的文件的完整路径名称)值相同。

SharePoint

主题

访问的邮件的主题行。

Exchange(邮箱活动)

选项卡类型

选项卡上的类型添加、 删除或更新的组中。此属性可能的值为:

  • Excelpin   Excel 选项卡。

  • 扩展   所有第一方和第三方应用程序。如规划器、 VSTS 和窗体。

  • 笔记   OneNote 选项卡。

  • Pdfpin   PDF 选项卡。

  • Powerbi   PowerBI 选项卡。

  • Powerpointpin   PowerPoint 选项卡。

  • Sharepointfiles   SharePoint 选项卡。

  • 网页   已固定的网站选项卡。

  • Wiki 选项卡   Wiki 选项卡。

  • Wordpin   Word 选项卡。

Microsoft Teams

目标

用户在上执行的操作 ( Operation属性中标识)。例如,如果来宾用户添加到SharePoint或 Microsoft 团队,该用户将此属性中列出。

Azure Active Directory

TeamGuid

在Microsoft Teams团队的 ID。

Microsoft Teams

TeamName

在Microsoft Teams团队的名称。

Microsoft Teams

UserAgent

用户浏览器相关信息。此信息由浏览器提供。

SharePoint

UserDomain

执行操作的用户(操作者)的租户组织的身份信息。

Azure Active Directory

UserID

执行的操作 ( Operation属性中指定),导致正在记录的记录的用户。请注意,审核日志中还包含由系统帐户 (如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) 执行的活动的记录。

全部

UserKey

可选标识UserID属性中的用户 ID。例如,此属性填充事件由SharePoint中的用户执行 passport 唯一标识号 (PUID)。此属性也可能指定相同的值为UserID属性中的其他服务和由系统帐户执行的事件发生的事件。

全部

UserSharedWith

用户与共享资源。SharingSetOperation属性的值时,此属性是包括在内。此用户也是在报表中的共享列中。

SharePoint

UserType

执行操作的用户的类型。以下值指示用户类型。

0    常规用户。

2   Office 365组织中的管理员。

3    Microsoft 数据中心管理员或数据中心系统帐户。

4    系统帐户。

5    应用程序。

6    服务主体。

全部

版本

指示所记录的活动(由 Operation 属性标识)的版本号。

全部

工作负荷

Office 365服务活动发生的位置。此属性可能的值为:

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

合规性

Sway

SecurityComplianceCenter

PowerBI

MicrosoftTeams

全部

当您单击的详细信息,当查看特定事件的详细信息,请注意,属性上述也会显示。

单击“详细信息”,查看审核日志事件记录的详细属性

返回页首

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×