Office 365 稽核記錄中的詳細屬性

重要:  本文係由機器翻譯而成,請參閱免責聲明。本文的英文版本請見這裡,以供參考。

當您從Office 365 安全性與合規性中心匯出的稽核記錄檔搜尋結果時,您可以下載所有符合搜尋條件的結果。您只要選取 [匯出結果> 安全性與合規性中心中的 [稽核記錄檔搜尋] 頁面上的 [下載所有結果。如需詳細資訊,請參閱的搜尋稽核登入 Office 365 的安全性與規範中心

當您匯出稽核記錄搜尋的所有結果時,系統會將 Office 365 整合稽核記錄的原始資料複製到一個逗號分隔值 (CSV) 檔案中,然後下載到您的本機電腦。此檔案中有一個名為 [詳細資料] 的欄,包含稽核記錄項目中的額外資訊。此欄包含一個多重值屬性,用於儲存稽核記錄檔記錄中的多個屬性。 這個多重值屬性中的各個 property:value 配對之間會以逗號分隔。

下表描述所包含的內容,視發生事件Office 365服務而定,多重屬性的詳細資料] 欄中。 具有此屬性的Office 365服務   ] 欄會指出的服務與活動 (「 使用者 」 或 「 系統 」),其中包含的內容類型。如需詳細瞭解這些屬性,或可能不會列出本主題中的內容的相關的詳細資訊,請參閱Office 365 管理活動 API 結構描述

提示: 您可以使用 Excel 中的 Power Query 將此欄分割為多個欄,以讓每個屬性都有自己的欄。這樣您就可以排序及篩選一或多個屬性。若要了解做法,請參閱分割欄的文字 (Power Query) 中的<以分隔符號分割欄>一節。

屬性

描述

具有此屬性的 Office 365 服務

Actor

執行此動作的使用者或服務帳戶。

Azure Active Directory

AzureActiveDirectoryEventType

Azure Active Directory 事件的類型。事件類型以下列的值表示。

0   :表示帳戶登入事件。

1   :表示 Azure 應用程式安全性事件。

Azure Active Directory

ChannelGuid

Microsoft Teams頻道的識別碼。頻道位於小組識別TeamName和TeamGuid屬性。

Microsoft Teams

ChannelName

Microsoft Teams頻道的名稱。頻道位於小組識別TeamName和TeamGuid屬性。

Microsoft Teams

Client

用戶端裝置、裝置作業系統,以及用於登入事件的裝置瀏覽器 (例如:Nokia Lumnia 920; Windows Phone 8; IE Mobile 11)。

Azure Active Directory

ClientInfoString

用來執行作業的電子郵件用戶端資訊,例如瀏覽器版本、Outlook 版本,以及行動裝置資訊

Exchange (信箱活動)

ClientIP

記錄活動時所使用的裝置之 IP 位址。IP 位址會以 IPv4 或 IPv6 位址格式顯示。

Exchange 和 Azure Active Directory

ClientIPAddress

與 ClientIP 相同。

SharePoint

CreationTime

使用者執行此活動時的國際標準時間 (UTC) 日期及時間。

全部

DestinationFileExtension

複製或移動之檔案的副檔名。只有在 FileCopied 和 FileMoved 使用者活動中才會顯示本屬性。

SharePoint

DestinationFileName

複製或移動之檔案的名稱。只有在 FileCopied 和 FileMoved 動作中才會顯示本屬性。

SharePoint

DestinationRelativeUrl

複製或移動檔案的目的地資料夾 URL。SiteURL、DestinationRelativeURL 與 DestinationFileName 屬性值的組合與 ObjectID 屬性值相同,也就是複製之檔案的完整路徑。只有在 FileCopied 和 FileMoved 使用者活動中才會顯示本屬性。

SharePoint

EventSource

用於識別事件發生於 SharePoint。可能的值為 SharePointObjectModel

SharePoint

ExternalAccess

在 Exchange 系統管理活動中,表示執行 Cmdlet 的是組織中的使用者、Microsoft 資料中心人員或資料中心服務帳戶,還是委派系統管理員。 如果值為 False,表示執行 Cmdlet 的是您組織中的人員。如果值為 True,表示執行 Cmdlet 的是資料中心人員、資料中心服務帳戶,或委派系統管理員。

在 Exchange 信箱活動中,表示存取信箱的是否為您組織以外的使用者。

Exchange

ExtendedProperties

Azure Active Directory 事件的延伸內容。

Azure Active Directory

ID

報告項目的識別碼。識別碼可用來明確識別此報告項目。

全部

InternalLogonType

保留供內部使用。

Exchange (信箱活動)

ItemType

受到存取或修改的物件類型。可能的值包含檔案、資料夾、網路、網站、租用戶及文件庫。

SharePoint

LoginStatus

用於識別可能發生過的登入失敗。

Azure Active Directory

LogonType

信箱存取的類型。存取信箱的使用者類型以下列的值表示。

0   :表示信箱擁有者。

1   :表示系統管理員。

2   :表示代理人。

3   :表示 Microsoft 資料中心的傳輸服務。

4   :表示 Microsoft 資料中心的服務帳戶。

6   :表示委派系統管理員。

Exchange (信箱活動)

MailboxGuid

受存取信箱的 Exchange GUID。

Exchange (信箱活動)

MailboxOwnerUPN

受存取信箱擁有者的電子郵件地址。

Exchange (信箱活動)

ModifiedProperties (Name、NewValue、OldValue)

此屬性適用於系統管理員事件,例如新增使用者做為網站或網站集合系統管理員群組的成員。此屬性包含已修改的屬性名稱 (例如網站系統管理員群組)、修改後屬性的新值 (例如新增為網站系統管理員的使用者),以及修改前物件的舊值。

全部 (系統管理活動)

ObjectID

在 Exchange 系統管理員稽核記錄中,表示經過 Cmdlet 修改的物件名稱。

在 SharePoint 活動中,表示受到使用者存取的檔案或資料夾完整 URL 路徑名稱。

在 Azure AD 活動中,表示已修改的使用者帳戶名稱。

全部

Operation

使用者或管理員活動的名稱。此屬性的值對應值的活動所選取的下拉式清單。如果已選取 [顯示所有活動的結果,報表會包含所有服務的所有使用者和管理員活動的項目。如需登入Office 365作業/活動的說明稽核記錄,請參閱的搜尋稽核登入 Office 365 的安全性與規範中心] 中的 [ Audited 活動] 索引標籤。

在 Exchange 系統管理活動中,這個屬性會指出執行過的 Cmdlet 名稱。

全部

OrganizationID

Office 365 組織的 GUID。

全部

Path

受存取郵件所在的信箱資料夾名稱。此屬性也會指出郵件建立的資料夾或複製/移動的目的地資料夾。

Exchange (信箱活動)

Parameters

在 Exchange 系統管理活動中,表示所有用於 Operation 屬性所指之 Cmdlet 的屬性。

Exchange (系統管理活動)

RecordType

記錄所表示的作業類型。記錄類型以下列的值表示。

1   :表示此記錄來自 Exchange 系統管理員稽核記錄。

2   :表示此記錄來自對單一信箱項目執行作業所留下的 Exchange 信箱稽核記錄。

3   :也表示此記錄來自 Exchange 信箱稽核記錄。這個記錄類型表示此作業執行的對象是來源信箱中的多個項目 (例如將多個項目移至 [刪除的郵件] 資料夾,或者永久刪除多個項目)。

4   :表示 SharePoint 中的網站系統管理員作業,例如系統管理員或使用者將權限指派至網站。

6   :表示 SharePoint 中的檔案或資料夾相關作業,例如使用者檢視或修改檔案。

8   :表示在 Azure Active Directory 中執行的系統管理員作業。

9   :表示 Azure Active Directory 中的 OrgId 登入事件。這個記錄類型已被取代。

10   :表示由 Microsoft 資料中心人員執行的安全性 Cmdlet 事件。

11   :表示 SharePoint 中的資料外洩保護 (DLP) 事件。

12   :表示 Sway 事件。

14   :表示 SharePoint 中的共用事件。

15   :表示 Azure Active Directory 中的安全性權杖服務 (STS) 登入事件。

18   :表示安全性與合規性中心事件。

20   :表示 Power BI 事件。

22   :表示 Yammer 事件。

24   指出 eDiscovery 事件。這個記錄類型指出所執行的內容搜尋及管理 eDiscovery 案件安全性與合規性中心中的所執行的活動。如需詳細資訊,請參閱搜尋 Office 365 中的 eDiscovery 活動稽核記錄

25、 26 或 27     指出Microsoft Teams事件。

全部

ResultStatus

表示此動作 (由 Operation 屬性表示) 成功與否。

在 Exchange 系統管理活動中,這個值不是 True (成功) 就是 False (失敗)。

全部

SecurityComplianceCenterEventType

表示此活動為安全性與合規性中心事件。所有安全性與合規性中心活動的本屬性值都會是 0

Office 365 安全性與合規性中心

SharingType

指派給資源共用對象使用者的共用權限類型。使用者身分由 UserSharedWith 屬性表示。

SharePoint

Site

使用者存取之檔案或資料夾所在網站的 GUID。

SharePoint

SiteUrl

使用者存取之檔案或資料夾所在網站的 URL。

SharePoint

SourceFileExtension

使用者存取之檔案的副檔名。如果使用者存取的物件是資料夾,則本屬性為空白。

SharePoint

SourceFileName

使用者存取之檔案或資料夾的名稱。

SharePoint

SourceRelativeUrl

包含使用者存取之檔案的資料夾 URL。SiteURL、SourceRelativeURL 與 SourceFileName 屬性值的組合與 ObjectID 屬性的值相同,也就是使用者存取之檔案的完整路徑。

SharePoint

Subject

受存取郵件的主旨列。

Exchange (信箱活動)

Target

使用者上所執行的動作 (識別Operation ] 屬性中)。例如,如果SharePoint或 Microsoft 小組新增來賓使用者時,該使用者會列在這個屬性。

Azure Active Directory

TeamGuid

Microsoft Teams小組的識別碼。

Microsoft Teams

TeamName

Microsoft Teams小組的名稱。

Microsoft Teams

UserAgent

使用者的瀏覽器相關資訊。此資訊由瀏覽器提供。

SharePoint

UserDomain

執行此動作之使用者 (執行者) 其所屬租用戶組織的身分識別資訊。

Azure Active Directory

UserID

執行留下此記錄之動作 (由 Operation 屬性表示) 的使用者。注意:由系統帳戶 (例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) 執行之活動的記錄,也會包含在稽核記錄中。

全部

UserKey

由 UserID 屬性所識別之使用者的替代識別碼。舉例來說,如果事件是由 SharePoint 中的使用者所執行,則本屬性就會填入該使用者的 Passport 唯一識別碼 (PUID)。如果是發生在其他服務中的事件,或由系統帳戶執行之事件,則本屬性也可能與 UserID 屬性指定相同的值。

全部

UserSharedWith

共用資源的對象使用者。如果 Operation 屬性的值是 SharingSet,就會包含本屬性。使用者也會列在報告的 [共用對象] 欄中。

SharePoint

UserType

執行此作業的使用者類型。使用者類型以下列的值表示。

0   :一般使用者。

2   :貴 Office 365 組織的系統管理員。

3   :Microsoft 資料中心的系統管理員或資料中心系統帳戶。

4   :系統帳戶。

5   :應用程式。

6   :服務主體。

全部

Version

表示留下記錄之動作 (由 Operation 屬性表示) 的版本號碼。

全部

Workload

活動發生的 Office 365 服務。本屬性的值可能是︰

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

法規遵循

Sway

SecurityComplianceCenter

PowerBI

MicrosoftTeams

全部

當您按一下檢視特定事件的詳細資料時的詳細資訊,也會顯示屬性上述的筆記。

按一下 [檢視稽核記錄事件的詳細的屬性的詳細資訊

回到頂端

附註: 機器翻譯免責聲明︰本文係以電腦系統翻譯而成,未經人為介入。Microsoft 提供此等機器翻譯旨在協助非英語系使用者輕鬆閱讀 Microsoft 產品、服務及技術相關內容。基於本文乃由機器翻譯而成,因此文中可能出現詞辭、語法、文法上之錯誤。

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×