Propiedades detalladas del registro de auditoríaDetailed properties in the audit log

Al exportar los resultados de una búsqueda de registros de auditoría desde el centro de seguridad & cumplimiento, tiene la opción de descargar todos los resultados que cumplan los criterios de búsqueda.When you export the results of an audit log search from the Security & Compliance Center, you have the option to download all the results that meet your search criteria. Para ello, seleccione exportar resultados > descargar todos los resultados en la página de búsqueda de registros de auditoría .You do this by selecting Export results > Download all results on the Audit log search page. Para obtener más información, vea Buscar en el registro de auditoría.For more information, see Search the audit log.

Cuando se exportan todos los resultados de una búsqueda de registro de auditoría, los datos sin procesar del registro de auditoría unificado se copian en un archivo de valores separados por comas (CSV) que se descarga en el equipo local.When your export all results for an audit log search, the raw data from the unified audit log is copied to a comma-separated value (CSV) file that is downloaded to your local computer. Este archivo contiene información adicional de cada registro de auditoría de una columna denominada AuditData.This file contains additional information from each audit record in a column named AuditData. Esta columna contiene una propiedad de varios valores para varias propiedades del registro de auditoría.This column contains a multi-value property for multiple properties from the audit log record. Cada uno de los pares propiedad: valor de esta propiedad de varios valores se separan con una coma.Each of the property: value pairs in this multi-value property are separated by a comma.

En la tabla siguiente se describen las propiedades que se incluyen (según el servicio en el que se produzca un evento) en la columna AuditData de múltiples propiedades.The following table describes the properties that are included (depending on the service in which an event occurs) in the multi-property AuditData column. El servicio de Office 365 que tiene esta columna de propiedad indica el servicio y el tipo de actividad (usuario o administrador) que incluye la propiedad.The Office 365 service that has this property column indicates the service and type of activity (user or admin) that includes the property. Para obtener información más detallada sobre estas propiedades o sobre las propiedades que puede que no aparezcan en este tema, consulte esquema de la API de actividad de administración.For more detailed information about these properties or about properties that may not be listed in this topic, see Management Activity API Schema.

Sugerencia

Puede usar la característica transformación de JSON en Power Query en Excel para dividir la columna AuditData en varias columnas, de modo que cada propiedad tenga su propia columna.You can use the JSON transform feature in Power Query in Excel to split the AuditData column into multiple columns so that each property has its own column. Esto le permitirá ordenar y filtrar en una o más de estas propiedades.This lets you sort and filter on one or more of these properties. Para obtener información sobre cómo hacerlo, vea exportar, configurar y ver registros de registro de auditoría.To learn how to do this, see Export, configure, and view audit log records.

PropiedadProperty DescripciónDescription Servicio de Microsoft 365 que tiene esta propiedadMicrosoft 365 service that has this property
ActorActor La cuenta de servicio o usuario que realizó la acción.The user or service account that performed the action. Azure Active DirectoryAzure Active Directory
DonnaAddOnName El nombre de un complemento que se agregó, quitó o actualizó en un equipo.The name of an add-on that was added, removed, or updated in a team. El tipo de complementos de Microsoft Teams es un bot, un conector o una pestaña.The type of add-ons in Microsoft Teams is a bot, a connector, or a tab. Microsoft TeamsMicrosoft Teams
AddOnTypeAddOnType El tipo de complemento que se ha agregado, quitado o actualizado en un equipo.The type of an add-on that was added, removed, or updated in a team. Los siguientes valores indican el tipo de complemento.The following values indicate the type of add-on.
1 -indica un bot.1 - Indicates a bot.
2 -indica un conector.2 - Indicates a connector.
3 -indica una tabulación.3 - Indicates a tab.
Microsoft TeamsMicrosoft Teams
AzureActiveDirectoryEventTypeAzureActiveDirectoryEventType El tipo de evento de Azure Active Directory.The type of Azure Active Directory event. Los siguientes valores indican el tipo de evento.The following values indicate the type of event.
0 -indica un evento de inicio de sesión de cuenta.0 - Indicates an account login event.
1 -indica un evento de seguridad de la aplicación de Azure.1 - Indicates an Azure application security event.
Azure Active DirectoryAzure Active Directory
ChannelGuidChannelGuid El identificador de un canal de Microsoft Teams.The ID of a Microsoft Teams channel. El equipo en el que se encuentra el canal se identifica mediante las propiedades TeamName y TeamGuid .The team that the channel is located in is identified by the TeamName and TeamGuid properties. Microsoft TeamsMicrosoft Teams
ChannelNameChannelName El nombre de un canal de Microsoft Teams.The name of a Microsoft Teams channel. El equipo en el que se encuentra el canal se identifica mediante las propiedades TeamName y TeamGuid .The team that the channel is located in is identified by the TeamName and TeamGuid properties. Microsoft TeamsMicrosoft Teams
ClientClient El dispositivo cliente, el sistema operativo del dispositivo y el explorador del dispositivo usado para el evento de inicio de sesión (por ejemplo, Nokia Lumia 920; Windows Phone 8; IE Mobile 11).The client device, the device OS, and the device browser used for the login event (for example, Nokia Lumia 920; Windows Phone 8; IE Mobile 11). Azure Active DirectoryAzure Active Directory
ClientInfoStringClientInfoString Información sobre el cliente de correo electrónico que se usó para realizar la operación, como la versión de explorador, la versión de Outlook y la información del dispositivo móvil.Information about the email client that was used to perform the operation, such as a browser version, Outlook version, and mobile device information Exchange (actividad de buzón de correo)Exchange (mailbox activity)
ClientIPClientIP La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado.The IP address of the device that was used when the activity was logged. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.The IP address is displayed in either an IPv4 or IPv6 address format.

Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad.For some services, the value displayed in this property might be the IP address for a trusted application (for example, Office on the web apps) calling into the service on behalf of a user and not the IP address of the device used by person who performed the activity.

Además, para la actividad de administración (o la actividad realizada por una cuenta del sistema) para eventos relacionados con Azure Active Directory, la dirección IP no se registra y el valor de la propiedad ClientIP es null .Also, for admin activity (or activity performed by a system account) for Azure Active Directory-related events, the IP address isn't logged and the value for the ClientIP property is null.
Azure Active Directory, Exchange, SharePointAzure Active Directory, Exchange, SharePoint
CreationTimeCreationTime La fecha y hora en formato Hora universal coordinada (UTC) en las que el usuario ha realizado la actividad.The date and time in Coordinated Universal Time (UTC) when the user performed the activity. TodoAll
DestinationFileExtensionDestinationFileExtension La extensión del archivo que se copia o mueve.The file extension of a file that is copied or moved. Esta propiedad solo se muestra para las actividades de usuario de los y FileMoved.This property is displayed only for the FileCopied and FileMoved user activities. SharePointSharePoint
DestinationFileNameDestinationFileName El nombre del archivo se copia o se mueve.The name of the file is copied or moved. Esta propiedad solo se muestra para las acciones los y FileMoved.This property is displayed only for the FileCopied and FileMoved actions. SharePointSharePoint
DestinationRelativeUrlDestinationRelativeUrl La dirección URL de la carpeta de destino donde se copia o se mueve un archivo.The URL of the destination folder where a file is copied or moved. La combinación de los valores de SiteURL, DestinationRelativeURL y la propiedad DestinationFileName es el mismo que el valor de la propiedad objectId , que es el nombre de la ruta de acceso completa del archivo que se ha copiado.The combination of the values for the SiteURL, the DestinationRelativeURL, and the DestinationFileName property is the same as the value for the ObjectID property, which is the full path name for the file that was copied. Esta propiedad solo se muestra para las actividades de usuario de los y FileMoved.This property is displayed only for the FileCopied and FileMoved user activities. SharePointSharePoint
EventSourceEventSource Identifica que un evento se produjo en SharePoint.Identifies that an event occurred in SharePoint. Los valores posibles son SharePoint y ObjectModel.Possible values are SharePoint and ObjectModel. SharePointSharePoint
ExternalAccessExternalAccess Para la actividad de administración de Exchange, especifica si un usuario de la organización ejecutó el cmdlet, el personal del centro de administración de Microsoft o una cuenta de servicio de centro de recursos, o un administrador delegado.For Exchange admin activity, specifies whether the cmdlet was run by a user in your organization, by Microsoft datacenter personnel or a datacenter service account, or by a delegated administrator. El valor False indica que el cmdlet lo ejecutó algún usuario de su organización.The value False indicates that the cmdlet was run by someone in your organization. El valor True indica que el cmdlet lo ejecutó el personal del centros de datos, una cuenta de servicio del centro de datos o un administrador delegado.The value True indicates that the cmdlet was run by datacenter personnel, a datacenter service account, or a delegated administrator.
Para la actividad de buzón de correo de Exchange, especifica si un usuario de fuera de la organización obtuvo acceso a un buzón.For Exchange mailbox activity, specifies whether a mailbox was accessed by a user outside your organization.
ExchangeExchange
ExtendedPropertiesExtendedProperties Las propiedades extendidas de un evento de Azure Active Directory.The extended properties for an Azure Active Directory event. Azure Active DirectoryAzure Active Directory
IDID IDENTIFICADOR de la entrada de informe.The ID of the report entry. El identificador identifica de forma única la entrada del informe.The ID uniquely identifies the report entry. TodoAll
InternalLogonTypeInternalLogonType Reservado para uso interno.Reserved for internal use. Exchange (actividad de buzón de correo)Exchange (mailbox activity)
ItemTypeItemType El tipo de objeto al que se obtuvo acceso o que se modificó.The type of object that was accessed or modified. Los valores posibles son File, Folder, Web, site, tenant y DocumentLibrary.Possible values include File, Folder, Web, Site, Tenant, and DocumentLibrary. SharePointSharePoint
LoginStatusLoginStatus Identifica los errores de inicio de sesión que pueden haberse producido.Identifies login failures that might have occurred. Azure Active DirectoryAzure Active Directory
LogonTypeLogonType Tipo de acceso al buzón.The type of mailbox access. Los siguientes valores indican el tipo de usuario que ha tenido acceso al buzón.The following values indicate the type of user who accessed the mailbox.

0 -indica un propietario del buzón.0 - Indicates a mailbox owner.
1 -indica un administrador.1 - Indicates an administrator.
2 -indica un delegado.2 - Indicates a delegate.
3 -indica el servicio de transporte en el centro de servicios de Microsoft.3 - Indicates the transport service in the Microsoft datacenter.
4 : indica una cuenta de servicio en el centro de recursos de Microsoft.4 - Indicates a service account in the Microsoft datacenter.
6 -indica un administrador delegado.6 - Indicates a delegated administrator.
Exchange (actividad de buzón de correo)Exchange (mailbox activity)
MailboxGuidMailboxGuid El GUID de Exchange del buzón al que se obtuvo acceso.The Exchange GUID of the mailbox that was accessed. Exchange (actividad de buzón de correo)Exchange (mailbox activity)
MailboxOwnerUPNMailboxOwnerUPN La dirección de correo electrónico del propietario del buzón al que se obtuvo acceso.The email address of the person who owns the mailbox that was accessed. Exchange (actividad de buzón de correo)Exchange (mailbox activity)
MembersMembers Enumera los usuarios que se han agregado o quitado de un equipo.Lists the users that have been added or removed from a team. Los siguientes valores indican el tipo de rol asignado al usuario.The following values indicate the Role type assigned to the user.

1 : indica el rol de propietario.1 - Indicates the Owner role.
2 - Indica el rol del miembro.2 - Indicates the Member role.
3- Indica el rol del invitado.3 - Indicates the Guest role.

La propiedad Miembros también incluye el nombre de su organización y la dirección de correo electrónico del miembro.The Members property also includes the name of your organization, and the member's email address.
Microsoft TeamsMicrosoft Teams
ModifiedProperties (Name, NewValue, OldValue)ModifiedProperties (Name, NewValue, OldValue) La propiedad se incluye para los eventos de administración, como agregar un usuario como miembro de un sitio o un grupo de administradores de colección de sitios.The property is included for admin events, such as adding a user as a member of a site or a site collection admin group. La propiedad incluye el nombre de la propiedad que se modificó (por ejemplo, el grupo de administradores del sitio) el nuevo valor de la propiedad Modified (el usuario que se agregó como administrador del sitio y el valor anterior del objeto modificado.The property includes the name of the property that was modified (for example, the Site Admin group) the new value of the modified property (such the user who was added as a site admin, and the previous value of the modified object. All (actividad de administración)All (admin activity)
ObjectIdObjectId Para el registro de auditoría de Exchange, el nombre del objeto modificado por el cmdlet.For Exchange admin audit logging, the name of the object that was modified by the cmdlet.
Para la actividad de SharePoint, el nombre completo de la ruta de acceso de la dirección URL del archivo o la carpeta a los que ha tenido acceso un usuario.For SharePoint activity, the full URL path name of the file or folder accessed by a user.
Para actividad de Azure AD, el nombre de la cuenta de usuario que se modificó.For Azure AD activity, the name of the user account that was modified.
TodoAll
OperaciónOperation El nombre de la actividad de usuario o administrador.The name of the user or admin activity. El valor de esta propiedad corresponde al valor que se seleccionó en la lista desplegable de actividades .The value of this property corresponds to the value that was selected in the Activities drop down list. Si se ha seleccionado Mostrar resultados para todas las actividades , el informe incluirá entradas para todas las actividades de usuario y de administrador para todos los servicios.If Show results for all activities was selected, the report will included entries for all user and admin activities for all services. Para obtener una descripción de las operaciones o actividades que se registran en el registro de auditoría, vea la ficha actividades auditadas en Buscar el registro de auditoría en el Office 365.For a description of the operations/activities that are logged in the audit log, see the Audited activities tab in Search the audit log in the Office 365.
Esta propiedad identifica el nombre del cmdlet ejecutado para la actividad de administración de Exchange.For Exchange admin activity, this property identifies the name of the cmdlet that was run.
TodoAll
OrganizationIdOrganizationId El GUID de la organización.The GUID for your organization. TodoAll
PathPath El nombre de la carpeta del buzón donde se encuentra el mensaje al que se obtuvo acceso.The name of the mailbox folder where the message that was accessed is located. Esta propiedad también identifica la carpeta a donde se crea o se copia o se mueve un mensaje.This property also identifies the folder a where a message is created in or copied/moved to. Exchange (actividad de buzón de correo)Exchange (mailbox activity)
ParámetrosParameters Para la actividad de administración de Exchange, el nombre y el valor de todos los parámetros que se usaron con el cmdlet que se identifica en la propiedad Operation.For Exchange admin activity, the name and value for all parameters that were used with the cmdlet that is identified in the Operation property. Exchange (actividad de administración)Exchange (admin activity)
RecordTypeRecordType El tipo de operación indicado por el registro.The type of operation indicated by the record. Esta propiedad indica el servicio o la característica en el que se desencadenó la operación.This property indicates the service or feature that the operation was triggered in. Para obtener una lista de tipos de registro y su valor de ENUMERAción correspondiente (que es el valor que se muestra en la propiedad RecordType en un registro de auditoría), vea el tipo de registro Audit Log.For a list of record types and their corresponding ENUM value (which is the value displayed in the RecordType property in an audit record), see Audit log record type.
ResultStatusResultStatus Indica si la acción (especificada en la propiedad Operation ) se ha realizado correctamente o no.Indicates whether the action (specified in the Operation property) was successful or not.
Para la actividad de administración de Exchange, el valor puede ser true (correcto) o false (error).For Exchange admin activity, the value is either True (successful) or False (failed).
TodoAll
SecurityComplianceCenterEventTypeSecurityComplianceCenterEventType Indica que la actividad fue un evento del centro de cumplimiento de & de seguridad.Indicates that the activity was a Security & Compliance Center event. Todas las actividades del centro de cumplimiento de & de seguridad tendrán un valor de 0 para esta propiedad.All Security & Compliance Center activities will have a value of 0 for this property. Centro de seguridad y cumplimientoSecurity & Compliance Center
SharingTypeSharingType El tipo de permisos de uso compartido que se asignó al usuario con el que se compartió el recurso.The type of sharing permissions that was assigned to the user that the resource was shared with. Este usuario se identifica en la propiedad UserSharedWith .This user is identified in the UserSharedWith property. SharePointSharePoint
SiteSite El GUID del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario.The GUID of the site where the file or folder accessed by the user is located. SharePointSharePoint
SiteUrlSiteUrl La dirección URL del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario.The URL of the site where the file or folder accessed by the user is located. SharePointSharePoint
SourceFileExtensionSourceFileExtension La extensión del archivo al que obtuvo acceso el usuario.The file extension of the file that was accessed by the user. Esta propiedad está en blanco si el objeto al que se obtuvo acceso es una carpeta.This property is blank if the object that was accessed is a folder. SharePointSharePoint
SourceFileNameSourceFileName El nombre del archivo o carpeta al que obtuvo acceso el usuario.The name of the file or folder accessed by the user. SharePointSharePoint
SourceRelativeUrlSourceRelativeUrl La dirección URL de la carpeta que contiene el archivo al que obtuvo acceso el usuario.The URL of the folder that contains the file accessed by the user. La combinación de los valores de SiteURL, SourceRelativeURL y la propiedad SourceFileName es la misma que el valor de la propiedad objectId , que es el nombre de la ruta de acceso completa del archivo al que tiene acceso el usuario.The combination of the values for the SiteURL, the SourceRelativeURL, and the SourceFileName property is the same as the value for the ObjectID property, which is the full path name for the file accessed by the user. SharePointSharePoint
SubjectSubject La línea de asunto del mensaje al que se obtuvo acceso.The subject line of the message that was accessed. Exchange (actividad de buzón de correo)Exchange (mailbox activity)
TabTypeTabType Tipo de ficha agregada, eliminada o actualizada en un equipo.The type of tab added, removed, or updated in a team. Los valores posibles de esta propiedad son:The possible values for this property are:

PIN de Excel : una pestaña de Excel.Excel pin - An Excel tab.
Extensión : todas las aplicaciones de origen y de terceros; como programación de clases, VSTS y formularios.Extension - All first-party and third-party apps; such as Class Schedule, VSTS, and Forms.
Notas : pestaña OneNote.Notes - OneNote tab.
Pdfpin : una ficha PDF.Pdfpin - A PDF tab.
Powerbi -una pestaña de Power BI.Powerbi - A Power BI tab.
Powerpointpin : una pestaña de PowerPoint.Powerpointpin - A PowerPoint tab.
Sharepointfiles : una pestaña de SharePoint.Sharepointfiles - A SharePoint tab.
Página Web : ficha de un sitio web anclado.Webpage - A pinned website tab.
Wiki: pestaña : ficha wiki.Wiki-tab - A wiki tab.
Wordpin : una pestaña de Word.Wordpin - A Word tab.
Microsoft TeamsMicrosoft Teams
TargetTarget El usuario en el que se realizó la acción (identificada en la propiedad Operation ) en.The user that the action (identified in the Operation property) was performed on. Por ejemplo, si se agrega un usuario Guest a SharePoint o a un equipo de Microsoft, dicho usuario aparecerá en esta propiedad.For example, if a guest user is added to SharePoint or a Microsoft Team, that user would be listed in this property. Azure Active DirectoryAzure Active Directory
TeamGuidTeamGuid El identificador de un equipo en Microsoft Teams.The ID of a team in Microsoft Teams. Microsoft TeamsMicrosoft Teams
TeamNameTeamName El nombre de un equipo en Microsoft Teams.The name of a team in Microsoft Teams. Microsoft TeamsMicrosoft Teams
UserAgentUserAgent Información sobre el explorador del usuario.Information about the user's browser. Esta información la proporciona el explorador.This information is provided by the browser. SharePointSharePoint
UserDomainUserDomain Información de identidad sobre la organización del espacio empresarial del usuario (actor) que realizó la acción.Identity information about the tenant organization of the user (actor) who performed the action. Azure Active DirectoryAzure Active Directory
UserIdUserId El usuario que realizó la acción (especificado en la propiedad Operation ) que resultó en el registro que se está registrando.The user who performed the action (specified in the Operation property) that resulted in the record being logged. Los registros de auditoría para la actividad realizada por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM) también se incluyen en el registro de auditoría.Audit records for activity performed by system accounts (such as SHAREPOINT\system or NT AUTHORITY\SYSTEM) are also included in the audit log. Otro valor común de la propiedad UserId es app@sharepoint.Another common value for the UserId property is app@sharepoint. Esto indica que el "usuario" que llevó a cabo esta actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio.This indicates that the "user" who performed the activity was an application that has the necessary permissions in SharePoint to perform organization-wide actions (such as search a SharePoint site or OneDrive account) on behalf of a user, admin, or service. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.For more information, see The app@sharepoint user in audit records. TodoAll
UserKeyUserKey Un identificador alternativo para el usuario identificado en la propiedad userid .An alternative ID for the user identified in the UserID property. Por ejemplo, esta propiedad se rellena con el identificador único de Passport (PUID) para los eventos realizados por los usuarios en SharePoint.For example, this property is populated with the passport unique ID (PUID) for events performed by users in SharePoint. Esta propiedad también puede especificar el mismo valor que la propiedad userid para los eventos que se producen en otros servicios y eventos que realizan las cuentas del sistema.This property also might specify the same value as the UserID property for events occurring in other services and events performed by system accounts. TodoAll
UserSharedWithUserSharedWith El usuario con el que se compartió un recurso.The user that a resource was shared with. Esta propiedad se incluye si el valor de la propiedad Operation es SharingSet.This property is included if the value for the Operation property is SharingSet. Este usuario también aparece en la columna compartido con en el informe.This user is also listed in the Shared with column in the report. SharePointSharePoint
UserTypeUserType El tipo de usuario que llevó a cabo la operación.The type of user that performed the operation. Los siguientes valores indican el tipo de usuario.The following values indicate the user type.

0 : un usuario normal.0 - A regular user.
2 -un administrador de la organización de Microsoft 365. 12 - An administrator in your Microsoft 365 organization.1
3 -una cuenta de administrador o de centro de recursos de Microsoft Datacenter.3 - A Microsoft datacenter administrator or datacenter system account.
4 : una cuenta del sistema.4 - A system account.
5 : una aplicación.5 - An application.
6 : una entidad de servicio.6 - A service principal.
7 : una directiva personalizada.7 - A custom policy.
8 : una directiva del sistema.8 - A system policy.
TodoAll
VersiónVersion Indica el número de versión de la actividad (identificado por la propiedad Operation ) que se registra.Indicates the version number of the activity (identified by the Operation property) that's logged. TodoAll
Carga de trabajoWorkload El servicio Microsoft 365 en el que se produjo la actividad.The Microsoft 365 service where the activity occurred. TodoAll

Nota

1 para eventos relacionados con Azure Active Directory, el valor de un administrador no se usa en un registro de auditoría.1 For Azure Active Directory-related events, the value for an administrator isn't used in an audit record. Los registros de auditoría para las actividades realizadas por los administradores indican que un usuario normal (por ejemplo, UserType: 0) realizó la actividad.Audit records for activities performed by administrators will indicate that a regular user (for example, UserType: 0) performed the activity. La propiedad userid identificará a la persona (usuario normal o administrador) que ha realizado la actividad.The UserID property will identify the person (regular user or administrator) who performed the activity.

Las propiedades descritas anteriormente también se muestran al hacer clic en más información al ver los detalles de un evento específico.The properties described above are also displayed when you click More information when viewing the details of a specific event.

Haga clic en Obtener más información para ver las propiedades detalladas del registro de eventos de auditoría.