Office 365 稽核記錄中的詳細屬性

附註:  我們想要以您的語言,用最快的速度為您提供最新的說明內容。 本頁面是經由自動翻譯而成,因此文中可能有文法錯誤或不準確之處。讓這些內容對您有所幫助是我們的目的。希望您能在本頁底部告訴我們這項資訊是否有幫助。 此為 英文文章 出處,以供參考。

當您從Office 365 安全性與合規性中心匯出的稽核記錄檔搜尋結果時,您可以下載所有符合搜尋條件的結果。您只要選取 [匯出結果> 安全性與合規性中心中的 [稽核記錄檔搜尋] 頁面上的 [下載所有結果。如需詳細資訊,請參閱的搜尋稽核登入 Office 365 的安全性與規範中心

當您匯出所有結果的稽核記錄檔搜尋時,從Office 365整合的稽核記錄檔的原始資料會複製到逗點分隔值 (CSV) 檔案,這會下載至您的本機電腦中。檔案會包含在名為 「詳細資料欄中的稽核記錄項目中的其他資訊。此資料行中包含的稽核記錄的記錄中的多個屬性的多重值屬性。property:value組此多重值] 屬性中的每個以逗號分隔。

下表描述所包含的內容,視發生事件Office 365服務而定,多重屬性的詳細資料] 欄中。具有此屬性的Office 365服務   ] 欄會指出的服務與活動 (「 使用者 」 或 「 系統 」),其中包含的內容類型。如需詳細瞭解這些屬性,或可能不會列出本主題中的內容的相關的詳細資訊,請參閱Office 365 管理活動 API 結構描述

提示: 若要將多個資料行分割此欄,讓每個屬性會有自己的資料欄,您可以在 Excel 中使用 Power Query。這可讓您排序及篩選一或多個這些屬性。若要瞭解如何進行此動作,請參閱分割文字 (Power Query) 資料行的 「 以分隔符號分割資料行 」 一節。

屬性

描述

具有此屬性的Office 365服務

Actor

執行此動作的使用者或服務帳戶。

Azure Active Directory

AddOnName

已新增、 移除或更新小組中的附加元件的名稱。中Microsoft Teams的附加元件類型是傀儡、 連接器或在索引標籤。

Microsoft Teams

AddOnType

已新增、 移除或更新小組中的附加元件類型。下列的值表示附加元件的類型。

1   表示傀儡。

2   表示連接器。

3   表示] 索引標籤。

Microsoft Teams

AzureActiveDirectoryEventType

Azure Active Directory 事件的類型。事件類型以下列的值表示。

0   :表示帳戶登入事件。

1   :表示 Azure 應用程式安全性事件。

Azure Active Directory

ChannelGuid

Microsoft Teams頻道的識別碼。頻道位於小組識別TeamName和TeamGuid屬性。

Microsoft Teams

ChannelName

Microsoft Teams頻道的名稱。頻道位於小組識別TeamName和TeamGuid屬性。

Microsoft Teams

Client

用戶端裝置的作業系統、 裝置與裝置瀏覽器登入事件 (例如,Nokia Lumia 920;在 Windows Phone 8。IE Mobile 11)。

Azure Active Directory

ClientInfoString

用來執行作業的電子郵件用戶端資訊,例如瀏覽器版本、Outlook 版本,以及行動裝置資訊

Exchange (信箱活動)

ClientIP

記錄活動時所使用的裝置之 IP 位址。IP 位址會以 IPv4 或 IPv6 位址格式顯示。

Exchange 和 Azure Active Directory

ClientIPAddress

與 ClientIP 相同。

SharePoint

CreationTime

使用者執行此活動時的國際標準時間 (UTC) 日期及時間。

全部

DestinationFileExtension

複製或移動之檔案的副檔名。只有在 FileCopied 和 FileMoved 使用者活動中才會顯示本屬性。

SharePoint

DestinationFileName

複製或移動之檔案的名稱。只有在 FileCopied 和 FileMoved 動作中才會顯示本屬性。

SharePoint

DestinationRelativeUrl

目的地資料夾位置複製或移動檔案的 URL。SiteURLDestinationRelativeURL,與DestinationFileName屬性的值組合是ObjectID屬性,也就是複製檔案的完整路徑名稱] 的值相同。這個屬性會顯示僅適用於 FileCopied 和 FileMoved 使用者的活動。

SharePoint

EventSource

識別事件發生SharePoint中。可能的值為SharePointObjectModel

SharePoint

ExternalAccess

Exchange管理員活動,指定使用者在您的組織,由 Microsoft 資料中心的人員或資料中心服務帳戶,或委派的管理員是否執行指令程式。False值表示 cmdlet 由您組織中執行。則為 True的值表示的資料中心的人員、 資料中心服務帳戶,或委派的系統管理員執行指令程式。

Exchange信箱活動,您可以指定是否由您組織外部使用者存取信箱。

Exchange

ExtendedProperties

延伸的內容的Azure Active Directory事件。

Azure Active Directory

ID

報告項目的識別碼。識別碼可用來明確識別此報告項目。

全部

InternalLogonType

保留供內部使用。

Exchange (信箱活動)

ItemType

受到存取或修改的物件類型。可能的值包含檔案、資料夾、網路、網站、租用戶及文件庫。

SharePoint

LoginStatus

用於識別可能發生過的登入失敗。

Azure Active Directory

LogonType

信箱存取的類型。存取信箱的使用者類型以下列的值表示。

0   :表示信箱擁有者。

1   :表示系統管理員。

2   :表示代理人。

3   :表示 Microsoft 資料中心的傳輸服務。

4   指出 Microsoft 資料中心的服務帳戶。

6   :表示委派系統管理員。

Exchange (信箱活動)

MailboxGuid

Exchange GUID 存取的信箱。

Exchange (信箱活動)

MailboxOwnerUPN

受存取信箱擁有者的電子郵件地址。

Exchange (信箱活動)

成員

列出使用者已新增或移除小組。下列的值表示指派給使用者的角色類型。

1    代表「擁有者」角色。

2    代表「成員」角色。

3    代表「來賓」角色。

成員屬性也會包含貴組織名稱與成員的電子郵件。

Microsoft Teams

ModifiedProperties (Name、NewValue、OldValue)

屬性會包含系統事件,例如新增使用者為網站或網站集合管理員群組的成員。屬性包括名稱屬性 (例如 [網站管理] 群組) 修改過的新值的 [修改] 屬性 (例如的使用者已新增為網站管理員,並已修改的物件的前一個值。

全部 (系統管理活動)

ObjectID

在 Exchange 系統管理員稽核記錄中,表示經過 Cmdlet 修改的物件名稱。

在 SharePoint 活動中,表示受到使用者存取的檔案或資料夾完整 URL 路徑名稱。

在 Azure AD 活動中,表示已修改的使用者帳戶名稱。

全部

Operation

使用者或管理員活動的名稱。此屬性的值對應值的活動所選取的下拉式清單。如果已選取 [顯示所有活動的結果,報表會包含所有服務的所有使用者和管理員活動的項目。如需登入Office 365作業/活動的說明稽核記錄,請參閱的搜尋稽核登入 Office 365 的安全性與規範中心] 中的 [ Audited 活動] 索引標籤。

在 Exchange 系統管理活動中,這個屬性會指出執行過的 Cmdlet 名稱。

全部

OrganizationID

組織Office 365的 GUID。

全部

Path

受存取郵件所在的信箱資料夾名稱。此屬性也會指出郵件建立的資料夾或複製/移動的目的地資料夾。

Exchange (信箱活動)

Parameters

在 Exchange 系統管理活動中,表示所有用於 Operation 屬性所指之 Cmdlet 的屬性。

Exchange (系統管理活動)

RecordType

記錄所表示的作業類型。記錄類型以下列的值表示。

1   表示Exchange管理員稽核記錄檔中的記錄。

2   表示Exchange信箱中的記錄稽核記錄,以在挑信箱項目上執行的作業。

3   也表示Exchange信箱稽核記錄檔中的記錄。這個記錄類型表示 (例如,將多個項目移至 [刪除的郵件] 資料夾,或將會永久刪除 [多個項目) 之來源信箱中的多個項目上執行的作業。

4   :表示 SharePoint 中的網站系統管理員作業,例如系統管理員或使用者將權限指派至網站。

6   :表示 SharePoint 中的檔案或資料夾相關作業,例如使用者檢視或修改檔案。

8   :表示在 Azure Active Directory 中執行的系統管理員作業。

在Azure Active Directory9   指出 OrgId 登入事件。這個記錄類型已被取代。

10   :表示由 Microsoft 資料中心人員執行的安全性 Cmdlet 事件。

11   :表示 SharePoint 中的資料外洩保護 (DLP) 事件。

12   :表示 Sway 事件。

14   :表示 SharePoint 中的共用事件。

15   :表示 Azure Active Directory 中的安全性權杖服務 (STS) 登入事件。

18   :表示安全性與合規性中心事件。

20   :表示 Power BI 事件。

22   :表示 Yammer 事件。

24   指出 eDiscovery 事件。這個記錄類型指出所執行的內容搜尋及管理 eDiscovery 案件安全性與合規性中心中的所執行的活動。如需詳細資訊,請參閱搜尋 Office 365 中的 eDiscovery 活動稽核記錄

25、 26 或 27     指出Microsoft Teams事件。

全部

ResultStatus

表示 (在 [作業] 屬性中指定) 的動作是否已順利完成。

針對Exchange管理員活動,該值是True (成功) 或False (失敗)。

全部

SecurityComplianceCenterEventType

表示此活動為安全性與合規性中心事件。所有安全性與合規性中心活動的本屬性值都會是 0

Office 365 安全性與合規性中心

SharingType

已指派與共用資源的使用者的共用權限類型。[ UserSharedWith ] 屬性中識別此使用者。

SharePoint

Site

使用者存取之檔案或資料夾所在網站的 GUID。

SharePoint

SiteUrl

使用者存取之檔案或資料夾所在網站的 URL。

SharePoint

SourceFileExtension

使用者存取之檔案的副檔名。如果使用者存取的物件是資料夾,則本屬性為空白。

SharePoint

SourceFileName

檔案或資料夾的使用者存取的名稱。

SharePoint

SourceRelativeUrl

包含使用者存取之檔案的資料夾 URL。SiteURL、SourceRelativeURL 與 SourceFileName 屬性值的組合與 ObjectID 屬性的值相同,也就是使用者存取之檔案的完整路徑。

SharePoint

Subject

受存取郵件的主旨列。

Exchange (信箱活動)

TabType

類型的] 索引標籤新增、 移除或在小組中的更新。此屬性的可能值是:

  • Excelpin   Excel] 索引標籤。

  • 副檔名   所有的第一方和協力廠商應用程式。例如規劃、 VSTS 及表單。

  • 備忘稿   OneNote] 索引標籤。

  • Pdfpin   PDF] 索引標籤。

  •    中的] 索引標籤。

  • Powerpointpin   PowerPoint] 索引標籤。

  • Sharepointfiles   SharePoint 的] 索引標籤。

  • 網頁   固定的網站] 索引標籤。

  • Wiki 索引標籤   Wiki] 索引標籤。

  • Wordpin   Word 的] 索引標籤。

Microsoft Teams

Target (目標)

使用者上所執行的動作 (識別Operation ] 屬性中)。例如,如果SharePoint或 Microsoft 小組新增來賓使用者時,該使用者會列在這個屬性。

Azure Active Directory

TeamGuid

Microsoft Teams小組的識別碼。

Microsoft Teams

TeamName

Microsoft Teams小組的名稱。

Microsoft Teams

UserAgent

使用者的瀏覽器相關資訊。此資訊由瀏覽器提供。

SharePoint

UserDomain

執行此動作之使用者 (執行者) 其所屬租用戶組織的身分識別資訊。

Azure Active Directory

UserID

執行動作 ( Operation屬性中指定) 而導致記錄的記錄中的使用者。請注意,系統帳戶 (例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) 所執行的活動記錄也會包含稽核記錄。

全部

UserKey

替代識別UserID ] 屬性中的使用者識別碼。例如,這個屬性會填入事件執行SharePoint中的使用者的密碼唯一識別碼 (PUID)。此屬性也可能會指定值相同UserID屬性的其他服務及系統帳戶所執行的事件發生的事件。

全部

UserSharedWith

與共用資源的使用者。如果Operation屬性的值是SharingSet,這個屬性會包含在內。此使用者,也會列在報表中的 [共用對象] 欄中。

SharePoint

UserType

執行此作業的使用者類型。使用者類型以下列的值表示。

0   :一般使用者。

2   Office 365組織中的管理員。

3   :Microsoft 資料中心的系統管理員或資料中心系統帳戶。

4   :系統帳戶。

5   :應用程式。

6   :服務主體。

全部

Version

表示留下記錄之動作 (由 Operation 屬性表示) 的版本號碼。

全部

Workload

活動發生Office 365服務。此屬性的可能值是:

SharePoint

OneDrive

Exchange

AzureActiveDirectory

DataCenterSecurity

合規性

Sway

SecurityComplianceCenter

PowerBI

MicrosoftTeams

全部

當您按一下檢視特定事件的詳細資料時的詳細資訊,也會顯示屬性上述的筆記。

按一下 [更多資訊] 以檢視稽核記錄事件記錄的詳細屬性。

回到頂端

增進您的 Office 技巧
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×