Esquema de la API de Actividad de administración de Office 365Office 365 Management Activity API schema

El esquema de la API de Actividad de administración de Office 365 se proporciona como un servicio de datos en dos niveles:The Office 365 Management Activity API schema is provided as a data service in two layers:

  • Esquema común.Common schema. La interfaz de acceso principal de Office 365 audita conceptos como el tipo de registro, la hora de creación, el tipo de usuario y la acción, y también proporciona información específica de la ubicación (como la dirección IP del cliente), las dimensiones principales (como el id. de usuario) y las propiedades específicas del producto (como el id. de objeto).The interface to access core Office 365 auditing concepts such as Record Type, Creation Time, User Type, and Action as well as to provide core dimensions (such as User ID), location specifics (such as Client IP address), and product-specific properties (such as Object ID). Establece vistas coherentes y uniformes para que los usuarios extraigan todos los datos de auditoría de Office 365 en varias vistas de nivel superior con los parámetros adecuados, y proporciona un esquema fijo para todos los orígenes de datos, lo que reduce significativamente el costo de aprendizaje.It establishes consistent and uniform views for users to extract all Office 365 audit data in a few top level views with the appropriate parameters, and provides a fixed schema for all the data sources, which significantly reduces the cost of learning. El esquema común tiene origen en los datos del producto que pertenecen a cada equipo de producto, como Exchange, SharePoint, Azure Active Directory, Yammer y OneDrive para la Empresa.Common schema is sourced from product data that is owned by each product team, such as Exchange, SharePoint, Azure Active Directory, Yammer, and OneDrive for Business. Los equipos de producto pueden ampliar el campo Id. de objeto para agregar propiedades específicas del producto.The Object ID field can be extended by product teams to add product specific properties.

  • Esquema específico del producto.Product-specific schema. Basado en el esquema común para proporcionar un conjunto de atributos específicos del producto; por ejemplo, esquemas de SharePoint, esquemas de OneDrive para la Empresa y esquemas de administración de Exchange.Built on top of the Common schema to provide a set of product-specific attributes; for example, SharePoint schema, OneDrive for Business schema, and Exchange admin schema.

¿Qué nivel debería utilizar para su escenario?Which layer should you use for your scenario? En general, si los datos están disponibles en un nivel superior, no debe volver a un nivel inferior.In general, if the data is available in a higher layer, don't go back to a lower layer. Es decir, si se ajusta el requisito de datos en un esquema específico de producto, no es necesario volver al esquema común.In other words, if the data requirement can be fit in a product-specific schema, you don't need to go back to the Common schema.

Esquemas de API de administración de Office 365Office 365 Management API schemas

Este artículo proporciona información sobre el esquema común y sobre los esquemas específicos de cada producto.This article provides details on the Common schema as well as each of the product specific schemas. En la siguiente tabla se describen los esquemas disponibles.The following table describes the available schemas.

Nombre del esquemaName of schema DescripciónDescription
Esquema comúnCommon schema La vista para extraer el tipo de registro, el identificador de usuario, la dirección IP del cliente, el tipo de usuario y la acción con dimensiones principales como propiedades de usuario (como el id. de usuario), las propiedades de ubicación (como la dirección IP del cliente) y las propiedades específicas de productos (como el id. de objeto).The view to extract Record Type, User ID, Client IP, User type and Action along with core dimensions such as user properties (such as UserID), location properties (such as Client IP), and product-specific properties (such as Object Id).
Esquema base de SharePointSharePoint Base schema Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de SharePoint.Extends the Common schema with the properties specific to all SharePoint audit data.
Operaciones de archivos de SharePointSharePoint File Operations Amplía el esquema base de SharePoint con las propiedades específicas de acceso el acceso y la manipulación de archivos en SharePoint.Extends the SharePoint Base schema with the properties specific to file access and manipulation in SharePoint.
Esquema de uso compartido de SharePointSharePoint Sharing schema Amplía el esquema base de SharePoint con las propiedades específicas de uso compartido.Extends the SharePoint Base schema with the properties specific to file sharing.
Esquema de SharePointSharePoint schema Amplía el esquema base de SharePoint con las propiedades específicas de SharePoint que no están relacionadas con el acceso y la manipulación de archivos.Extends the SharePoint Base schema with the properties specific to SharePoint, but unrelated to file access and manipulation.
Esquema de ProjectProject schema Amplía el esquema base de SharePoint con las propiedades específicas de Project.Extends the SharePoint Base schema with the properties specific to Project.
Esquema de administración de ExchangeExchange Admin schema Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de administración de Exchange.Extends the Common schema with the properties specific to all Exchange admin audit data.
Esquema de buzón de ExchangeExchange Mailbox schema Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de buzón de Exchange.Extends the Common schema with the properties specific to all Exchange mailbox audit data.
Esquema base de Azure Active DirectoryAzure Active Directory Base schema Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de Azure Active Directory.Extends the Common schema with the properties specific to all Azure Active Directory audit data.
Esquema de inicio de sesión de Azure Active DirectoryAzure Active Directory Account Logon schema Amplía el esquema base de Azure Active Directory con las propiedades específicas para todos los eventos de inicio de sesión de Azure Active Directory.Extends the Azure Active Directory Base schema with the properties specific to all Azure Active Directory logon events.
Esquema de inicio de sesión de STS de Azure Active DirectoryAzure Active Directory Secure STS Logon schema Amplía el esquema base de Azure Active Directory con las propiedades específicas para todos los eventos de inicio de sesión de servicio de token de seguridad (STS) de Azure Active Directory.Extends the Azure Active Directory Base schema with the properties specific to all Azure Active Directory Secure Token Service (STS) logon events.
Esquema de Azure Active DirectoryAzure Active Directory schema Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de Azure Active Directory.Extends the Common schema with the properties specific to all Azure Active Directory audit data.
Esquema DLPDLP schema Amplía el esquema común con las propiedades específicas para todos los eventos de prevención de pérdida de datos.Extends the Common schema with the properties specific to Data Loss Prevention events.
Esquema de Centro de seguridad y cumplimientoSecurity and Compliance Center schema Amplía el esquema común con las propiedades específicas para todos los eventos del Centro de seguridad y cumplimiento.Extends the Common schema with the properties specific to all Security and Compliance Center events.
Esquema de alertas de seguridad y cumplimientoSecurity and Compliance Alerts schema Amplía el esquema común con las propiedades específicas para todos las alertas de seguridad y cumplimiento de Office 365.Extends the Common schema with the properties specific to all Office 365 security and compliance alerts.
Esquema de YammerYammer schema Amplía el esquema común con las propiedades específicas para todos los eventos de Yammer.Extends the Common schema with the properties specific to all Yammer events.
Esquema de base de seguridad del centro de datosData Center Security Base schema Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de seguridad del centro de datos.Extends the Common schema with the properties specific to all data center security audit data.
Esquema de cmdlet de seguridad del centro de datosData Center Security Cmdlet schema Amplía el esquema base de seguridad de centro de datos con las propiedades específicas para todos los datos de auditoría cmdlet de seguridad del centro de datos.Extends the Data Center Security Base schema with the properties specific to all data center security cmdlet audit data.
Esquema de Microsoft TeamsMicrosoft Teams schema Amplía el esquema común con las propiedades específicas para todos los eventos de Microsoft Teams.Extends the Common schema with the properties specific to all Microsoft Teams events.
Esquema de respuesta e Investigación de amenazas y Microsoft Defender para Office 365Microsoft Defender for Office 365 and Threat Investigation and Response schema Amplía el esquema común con las propiedades específicas de Defender para Office 365 y la investigación de amenazas y los datos de respuesta.Extends the Common schema with the properties specific to Defender for Office 365 and threat investigation and response data.
Esquema de eventos de investigación y respuesta automatizadosAutomated investigation and response events schema Amplía el esquema común con las propiedades específicas para eventos de investigación y respuesta automatizada de Office 365 (AIR).Extends the Common schema with the properties specific to Office 365 automated investigation and response (AIR) events. Para ver un ejemplo, consulte el Blog de la Comunidad técnica: Mejorar la efectividad de su SOC con Microsoft Defender para Office 365 y la API de administración de O365.To see an example, see Tech Community blog: Improve the Effectiveness of your SOC with Microsoft Defender for Office 365 and the O365 Management API.
Esquema de eventos de higieneHygiene events schema Amplía el esquema común con las propiedades específicas de los eventos en Exchange Online Protection y Microsoft Defender para Office 365.Extends the Common schema with the properties specific to events in Exchange Online Protection and Microsoft Defender for Office 365.
Esquema de Power BIPower BI schema Amplía el esquema común con las propiedades específicas para todos los eventos de Power BI.Extends the Common schema with the properties specific to all Power BI events.
Esquema de Dynamics 365Dynamics 365 schema Amplía el esquema común con las propiedades específicas para todos los eventos de Dynamics 365.Extends the Common schema with the properties specific to Dynamics 365 events.
Esquema de Workplace AnalyticsWorkplace Analytics schema Amplía el esquema común con las propiedades específicas para todos los eventos de Microsoft Workplace Analytics.Extends the Common schema with the properties specific to all Microsoft Workplace Analytics events.
Esquema de cuarentenaQuarantine schema Amplía el esquema común con las propiedades específicas para todos los eventos de cuarentena.Extends the Common schema with the properties specific to all quarantine events.
Esquema de Microsoft FormsMicrosoft Forms schema Amplía el esquema común con las propiedades específicas para todos los eventos de Microsoft Forms.Extends the Common schema with the properties specific to all Microsoft Forms events.
Esquema de etiqueta MIPMIP label schema Amplía el esquema común con las propiedades específicas para las etiquetas de confidencialidad que se aplican manual o automáticamente a los mensajes de correo electrónico.Extends the Common schema with the properties specific to sensitivity labels manually or automatically applied to email messages.
Esquema de Exchange del Cumplimiento de comunicacionesCommunication compliance Exchange schema Amplía el esquema común con las propiedades específicas para el modelo de lenguaje ofensivo en el Cumplimiento de comunicaciones.Extends the Common schema with the properties specific to the Communication compliance offensive language model.

Esquema comúnCommon schema

Nombre EntityType: AuditRecordEntityType Name: AuditRecord

ParámetroParameter TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
IdId Combinación de GUIDEdm.GuidCombination GUIDEdm.Guid Yes Identificador único de un registro de auditoría.Unique identifier of an audit record.
RecordTypeRecordType Self.AuditLogRecordTypeSelf.AuditLogRecordType Yes El tipo de operación indicado por el registro.The type of operation indicated by the record. Vea la tabla AuditLogRecordType para obtener más información sobre los tipos de registros de auditoría.See the AuditLogRecordType table for details on the types of audit log records.
CreationTimeCreationTime Edm.DateEdm.Date Yes La fecha y hora en formato Hora universal coordinada (UTC) en las que el usuario ha realizado la actividad.The date and time in Coordinated Universal Time (UTC) when the user performed the activity.
OperaciónOperation Edm.StringEdm.String Yes El nombre de la actividad de usuario o administrador.The name of the user or admin activity. Para obtener una descripción de las operaciones o actividades más comunes, vea Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365.For a description of the most common operations/activities, see Search the audit log in the Office 365 Protection Center. Esta propiedad identifica el nombre del cmdlet ejecutado para la actividad de administración de Exchange.For Exchange admin activity, this property identifies the name of the cmdlet that was run. Para eventos DLP, puede ser "DlpRuleMatch", "DlpRuleUndo" o "DlpInfo", que se describen en "Esquema DLP" a continuación.For Dlp events, this can be "DlpRuleMatch", "DlpRuleUndo" or "DlpInfo", which are described under "DLP schema" below.
OrganizationIdOrganizationId Edm.GuidEdm.Guid Yes El GUID del inquilino de Office 365 de su organización.The GUID for your organization's Office 365 tenant. Este valor debe ser siempre el mismo en su organización, independientemente del servicio de Office 365 en que se produce.This value will always be the same for your organization, regardless of the Office 365 service in which it occurs.
UserTypeUserType Self.UserTypeSelf.UserType Yes El tipo de usuario que llevó a cabo la operación.The type of user that performed the operation. Vea la tabla UserType para obtener más información sobre los tipos de usuarios.See the UserType table for details on the types of users.
UserKeyUserKey Edm.StringEdm.String Yes Un id. alternativo para el usuario identificado en la propiedad id. de usuario.An alternative ID for the user identified in the UserId property. Por ejemplo, esta propiedad se rellena con el identificador único de passport (PUID) para los eventos efectuados por los usuarios en SharePoint, OneDrive para la Empresa y Exchange.For example, this property is populated with the passport unique ID (PUID) for events performed by users in SharePoint, OneDrive for Business, and Exchange. Esta propiedad también puede especificar el mismo valor que la propiedad id. de usuario para los eventos que se producen en otros servicios y eventos efectuados por cuentas del sistema.This property may also specify the same value as the UserID property for events occurring in other services and events performed by system accounts.
Carga de trabajoWorkload Edm.StringEdm.String NoNo El servicio de Office 365 en el que se produjo la actividad.The Office 365 service where the activity occurred.
ResultStatusResultStatus Edm.StringEdm.String NoNo Indica si la acción (especificada en la propiedad Operation) se completó correctamente o no.Indicates whether the action (specified in the Operation property) was successful or not. Los valores posibles son Succeeded, PartiallySucceeded o Failed.Possible values are Succeeded, PartiallySucceeded, or Failed. Para la actividad de administración de Exchange, el valor es True o False.For Exchange admin activity, the value is either True or False.

Importante: las distintas cargas de trabajo pueden sobrescribir el valor de la propiedad ResultStatus.Important: Different workloads may overwrite the value of the ResultStatus property. Por ejemplo, para eventos de inicio de sesión STS de Azure Active Directory, un valor de Succeeded para ResultStatus solo indica que la operación HTTP se ha realizado correctamente. No significa que el inicio de sesión se ha realizado correctamente.For example, for Azure Active Directory STS logon events, a value of Succeeded for ResultStatus indicates only that the HTTP operation was successful; it doesn't mean the logon was successful. Para determinar si el inicio de sesión real se ha realizado correctamente o no, vea la propiedad LogonError en el esquema de inicio de sesión de STS de Azure Active Directory.To determine if the actual logon was successful or not, see the LogonError property in the Azure Active Directory STS Logon schema. Si se produce un error al iniciar sesión, el valor de esta propiedad contendrá el motivo del intento de inicio de sesión incorrecto.If the logon failed, the value of this property will contain the reason for the failed logon attempt.
ObjectIdObjectId Edm.stringEdm.string NoNo Para la actividad de SharePoint y OneDrive para la Empresa, el nombre de la ruta de acceso completo del archivo o carpeta al que obtuvo acceso el usuario.For SharePoint and OneDrive for Business activity, the full path name of the file or folder accessed by the user. Para el registro de auditoría de Exchange, el nombre del objeto modificado por el cmdlet.For Exchange admin audit logging, the name of the object that was modified by the cmdlet.
UserIdUserId Edm.stringEdm.string Yes El UPN (nombre principal de usuario) del usuario que llevó a cabo la acción (especificado en la propiedad Operation) que ha provocado el registro; por ejemplo, my_name@my_domain_name.The UPN (User Principal Name) of the user who performed the action (specified in the Operation property) that resulted in the record being logged; for example, my_name@my_domain_name. Tenga en cuenta que también se incluyen los registros de las actividades efectuadas por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM).Note that records for activity performed by system accounts (such as SHAREPOINT\system or NT AUTHORITY\SYSTEM) are also included. En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint.In SharePoint, another value display in the UserId property is app@sharepoint. Esto indica que el "usuario" que llevó a cabo esta actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio.This indicates that the "user" who performed the activity was an application that has the necessary permissions in SharePoint to perform organization-wide actions (such as search a SharePoint site or OneDrive account) on behalf of a user, admin, or service. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.For more information, see The app@sharepoint user in audit records.
ClientIPClientIP Edm.StringEdm.String Yes La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado.The IP address of the device that was used when the activity was logged. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.The IP address is displayed in either an IPv4 or IPv6 address format.

Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad.For some services, the value displayed in this property might be the IP address for a trusted application (for example, Office on the web apps) calling into the service on behalf of a user and not the IP address of the device used by person who performed the activity.

También, para eventos relacionados con Azure Active Directory, la dirección IP no se registra y el valor de la propiedad ClientIP está null.Also, for Azure Active Directory-related events, the IP address isn't logged and the value for the ClientIP property is null.
ÁmbitoScope Self.AuditLogScopeSelf.AuditLogScope NoNo ¿Este evento fue creado por un servicio hospedado de Office 365 o por un servidor local?Was this event created by a hosted O365 service or an on-premises server? Los valores posibles son online y onprem.Possible values are online and onprem. Observe que SharePoint es la única carga de trabajo que actualmente envía eventos locales a Office 365.Note that SharePoint is the only workload currently sending events from on-premises to O365.

Enum: AuditLogRecordType - Tipo: Edm.Int32Enum: AuditLogRecordType - Type: Edm.Int32

AuditLogRecordTypeAuditLogRecordType

ValorValue Nombre del miembroMember name DescripciónDescription
11 ExchangeAdminExchangeAdmin Eventos del registro de auditoría de administración de Exchange.Events from the Exchange admin audit log.
22 ExchangeItemExchangeItem Eventos de un registro de auditoría de buzón de Exchange para las acciones que se realizan en un solo elemento, como la creación o recepción de un mensaje de correo electrónico.Events from an Exchange mailbox audit log for actions that are performed on a single item, such as creating or receiving an email message.
33 ExchangeItemGroupExchangeItemGroup Eventos de un registro de auditoría de buzón de Exchange para las acciones que se pueden realizar varios elementos, como mover o eliminar uno o varios mensajes de correo electrónico.Events from an Exchange mailbox audit log for actions that can be performed on multiple items, such as moving or deleted one or more email messages.
44 SharePointSharePoint Eventos de SharePoint.SharePoint events.
66 SharePointFileOperationSharePointFileOperation Eventos de operación de archivo de SharePoint.SharePoint file operation events.
77 OneDriveOneDrive Eventos de OneDrive para la Empresa.OneDrive for Business events.
88 AzureActiveDirectoryAzureActiveDirectory Eventos de Azure Active Directory.Azure Active Directory events.
99 AzureActiveDirectoryAccountLogonAzureActiveDirectoryAccountLogon Eventos de inicio de sesión OrgId de Azure Active Directory (obsoleto).Azure Active Directory OrgId logon events (deprecated).
1010 DataCenterSecurityCmdletDataCenterSecurityCmdlet Eventos de cmdlet de seguridad del centro de datos.Data Center security cmdlet events.
1111 ComplianceDLPSharePointComplianceDLPSharePoint Eventos de Protección de pérdida de datos (DLP) en SharePoint y OneDrive para la Empresa.Data loss protection (DLP) events in SharePoint and OneDrive for Business.
1313 ComplianceDLPExchangeComplianceDLPExchange Eventos de Protección de pérdida de datos (DLP) en SharePoint Exchange, cuando se configura mediante la directiva DLP unificada.Data loss protection (DLP) events in Exchange, when configured via Unified DLP Policy. Los eventos DLP basados en las reglas de transporte de Exchange no son compatibles.DLP events based on Exchange Transport Rules are not supported.
1414 SharePointSharingOperationSharePointSharingOperation Eventos de uso compartido de SharePoint.SharePoint sharing events.
1515 AzureActiveDirectoryStsLogonAzureActiveDirectoryStsLogon Eventos de inicio de sesión de servicio de token de seguridad (STS) en Azure Active Directory.Secure Token Service (STS) logon events in Azure Active Directory.
1616 SkypeForBusinessPSTNUsageSkypeForBusinessPSTNUsage Eventos de la red telefónica conmutada (RTC) de Skype Empresarial.Public Switched Telephone Network (PSTN) events from Skype for Business.
1717 SkypeForBusinessUsersBlockedSkypeForBusinessUsersBlocked Eventos del usuario bloqueado de Skype Empresarial.Blocked user events from Skype for Business.
1818 SecurityComplianceCenterEOPCmdletSecurityComplianceCenterEOPCmdlet Acciones de administración del Centro de seguridad y cumplimiento.Admin actions from the Security & Compliance Center.
1919 ExchangeAggregatedOperationExchangeAggregatedOperation Eventos de auditoría del buzón de Exchange agregado.Aggregated Exchange mailbox auditing events.
2020 PowerBIAuditPowerBIAudit Eventos de Power BI.Power BI events.
2121 CRMCRM Eventos de Dynamics 365.Dynamics 365 events.
2222 YammerYammer Eventos de Yammer.Yammer events.
2323 SkypeForBusinessCmdletsSkypeForBusinessCmdlets Eventos de Skype Empresarial.Skype for Business events.
2424 DescubrimientoDiscovery Eventos de actividades de eDiscovery realizadas ejecutando búsquedas de contenido y administrando casos de eDiscovery en el Centro de seguridad y cumplimiento.Events for eDiscovery activities performed by running content searches and managing eDiscovery cases in the Security & Compliance Center.
2525 MicrosoftTeamsMicrosoftTeams Eventos de Microsoft Teams.Events from Microsoft Teams.
2828 ThreatIntelligenceThreatIntelligence Eventos de suplantación de identidad y malware de Exchange Online Protection y Microsoft Defender para Office 365.Phishing and malware events from Exchange Online Protection and Microsoft Defender for Office 365.
2929 MailSubmissionMailSubmission Eventos de envío desde Exchange Online Protection y Microsoft Defender para Office 365.Submission events from Exchange Online Protection and Microsoft Defender for Office 365.
3030 MicrosoftFlowMicrosoftFlow Eventos de Microsoft Power Automate (conocido anteriormente como Microsoft Flow).Microsoft Power Automate (formerly called Microsoft Flow) events.
3131 AeDAeD Eventos de eDiscovery avanzado.Advanced eDiscovery events.
3232 MicrosoftStreamMicrosoftStream Eventos de Microsoft Stream.Microsoft Stream events.
3333 ComplianceDLPSharePointClassificationComplianceDLPSharePointClassification Eventos relacionados con la clasificación DLP en SharePoint.Events related to DLP classification in SharePoint.
3434 ThreatFinderThreatFinder Eventos relacionados con la campaña de Microsoft Defender para Office 365.Campaign-related events from Microsoft Defender for Office 365.
3535 ProjectProject Eventos de Microsoft Project.Microsoft Project events.
3636 SharePointListOperationSharePointListOperation Eventos en la Lista de SharePoint.SharePoint List events.
3737 SharePointCommentOperationSharePointCommentOperation Eventos de comentario de SharePoint.SharePoint comment events.
3838 DataGovernanceDataGovernance Eventos relacionados con las directivas y etiquetas de retención en el Centro de seguridad y cumplimientoEvents related to retention policies and retention labels in the Security & Compliance Center
3939 KaizalaKaizala Eventos de Kaizala.Kaizala events.
4040 SecurityComplianceAlertsSecurityComplianceAlerts Señales de alertas de seguridad y cumplimiento.Security and compliance alert signals.
4141 ThreatIntelligenceUrlThreatIntelligenceUrl Tiempo de bloqueo de Vínculos seguros y eventos de invalidación de bloqueo de Microsoft Defender para Office 365.Safe links time-of-block and block override events from Microsoft Defender for Office 365.
4242 SecurityComplianceInsightsSecurityComplianceInsights Eventos relacionados con las perspectivas e informes en el centro de seguridad y cumplimiento de Office 365.Events related to insights and reports in the Office 365 security and compliance center.
4343 MIPLabelMIPLabel Eventos relacionados con la detección en la canalización de Transporte de mensajes de correo electrónico que se han etiquetado (manual o automáticamente) con etiquetas de confidencialidad.Events related to the detection in the Transport pipeline of email messages that have been tagged (manually or automatically) with sensitivity labels.
4444 WorkplaceAnalyticsWorkplaceAnalytics Eventos de Workplace Analytics.Workplace Analytics events.
4545 PowerAppsAppPowerAppsApp Eventos de Power Apps.Power Apps events.
4646 PowerAppsPlanPowerAppsPlan Eventos de los planes de suscripción a Power Apps.Subscription plan events for Power Apps.
4747 ThreatIntelligenceAtpContentThreatIntelligenceAtpContent Eventos de suplantación de identidad y malware para archivos en SharePoint, OneDrive para la Empresa y Microsoft Teams de Microsoft Defender para Office 365.Phishing and malware events for files in SharePoint, OneDrive for Business, and Microsoft Teams from Microsoft Defender for Office 365.
4848 LabelContentExplorerLabelContentExplorer Eventos relacionados con el explorador de contenido de clasificación de datos.Events related to data classification content explorer.
4949 TeamsHealthcareTeamsHealthcare Eventos relacionados con la aplicación Pacientes en Microsoft Teams para asistencia sanitaria.Events related to the Patients application in Microsoft Teams for Healthcare.
5050 ExchangeItemAggregatedExchangeItemAggregated Eventos relacionados con la acción MailItemsAccessed de auditoría de buzónEvents related to the MailItemsAccessed mailbox auditing action.
5151 HygieneEventHygieneEvent Eventos relacionados con la protección de correo no deseado saliente.Events related to outbound spam protection.
5252 DataInsightsRestApiAuditDataInsightsRestApiAudit Perspectiva sobre los datos de los eventos API de REST.Data Insights REST API events.
5353 InformationBarrierPolicyApplicationInformationBarrierPolicyApplication Eventos relacionados con la aplicación de directivas de barrera de información.Events related to the application of information barrier policies.
5454 SharePointListItemOperationSharePointListItemOperation Eventos en la lista de SharePoint.SharePoint list item events.
5555 SharePointContentTypeOperationSharePointContentTypeOperation Eventos de tipo de contenido de lista de SharePoint.SharePoint list content type events.
5656 SharePointFieldOperationSharePointFieldOperation Eventos en el campo de lista de SharePoint.SharePoint list field events.
5757 MicrosoftTeamsAdminMicrosoftTeamsAdmin Eventos de administrador de Teams.Teams admin events.
5858 HRSignalHRSignal Eventos relacionados con las señales de datos de RRHH que son compatibles con la solución de Administración de riesgos internos.Events related to HR data signals that support the Insider risk management solution.
5959 MicrosoftTeamsDeviceMicrosoftTeamsDevice Eventos del dispositivo de Teams.Teams device events.
6060 MicrosoftTeamsAnalyticsMicrosoftTeamsAnalytics Eventos de análisis de Teams.Teams analytics events.
6161 InformationWorkerProtectionInformationWorkerProtection Eventos relacionados con las alertas de usuario en peligro.Events related to compromised user alerts.
6262 CampañaCampaign Eventos de campaña por correo electrónico de Microsoft Defender para Office 365.Email campaign events from Microsoft Defender for Office 365.
6363 DLPEndpointDLPEndpoint Eventos de DLP del punto de conexión.Endpoint DLP events.
6464 AirInvestigationAirInvestigation Eventos de respuesta ante incidentes automatizada (AIR)Automated incident response (AIR) events.
6565 CuarentenaQuarantine Eventos de cuarentena.Quarantine events.
6666 MicrosoftFormsMicrosoftForms Eventos de Microsoft Forms.Microsoft Forms events.
6767 ApplicationAuditApplicationAudit Eventos de auditoría de la aplicación.Application audit events.
6868 ComplianceSupervisionExchangeComplianceSupervisionExchange Eventos que son controlados por el modelo de lenguaje vulgar del Cumplimiento de comunicaciones.Events tracked by the Communication compliance offensive language model.
6969 CustomerKeyServiceEncryptionCustomerKeyServiceEncryption Eventos relacionados con el servicio de cifrado de la clave del cliente.Events related to the customer key encryption service.
7070 OfficeNativeOfficeNative Eventos relacionados con las etiquetas de confidencialidad aplicadas a los documentos de Office.Events related to sensitivity labels applied to Office documents.
7171 MipAutoLabelSharePointItemMipAutoLabelSharePointItem Eventos de etiquetado automático en SharePoint.Auto-labeling events in SharePoint.
7272 MipAutoLabelSharePointPolicyLocationMipAutoLabelSharePointPolicyLocation Eventos de la directiva de etiquetado automático en SharePoint.Auto-labeling policy events in SharePoint.
7373 MicrosoftTeamsShiftsMicrosoftTeamsShifts Eventos de Turnos de Teams.Teams Shifts events.
7575 MipAutoLabelExchangeItemMipAutoLabelExchangeItem Eventos de etiquetado automático en Exchange.Auto-labeling events in Exchange.
7676 CortanaBriefingCortanaBriefing Eventos del Informe de tareas pendientes del correo electrónico.Briefing email events.
7777 BúsquedaSearch Eventos relacionados con la realización de consultas de búsqueda en SharePoint y Exchange.Events related to performing search queries in SharePoint and Exchange.
7878 WDATPAlertsWDATPAlerts Eventos relacionados con las alertas generadas por Windows Defender para el punto de conexión.Events related to alerts generated by Windows Defender for Endpoint.
8181 MDATPAuditMDATPAudit Eventos de Microsoft Defender para punto de conexión.Microsoft Defender for Endpoint events.
8282 SensitivityLabelPolicyMatchSensitivityLabelPolicyMatch Eventos que se generan cuando se abre o se le cambia el nombre a un archivo etiquetado con una etiqueta de confidencialidad.Events generated when the file labeled with a sensitivity label is opened or renamed.
8383 SensitivityLabelActionSensitivityLabelAction Evento generado cuando se aplican, actualizan o quitan las etiquetas de confidencialidad de un archivo.Event generated when sensitivity labels are applied, updated, or removed from a file.
8484 SensitivityLabeledFileActionSensitivityLabeledFileAction Eventos que se generan cuando se abre o se le cambia el nombre a un archivo etiquetado con una etiqueta de confidencialidad.Events generated when a file labeled with a sensitivity label is opened or renamed.
8585 AttackSimAttackSim Eventos del Simulador de ataques.Attack simulator events.
8686 AirManualInvestigationAirManualInvestigation Eventos relacionados con las investigaciones manuales de Investigación y respuesta automatizadas (AIR).Events related to manual investigations in Automated investigation and response (AIR).
8787 SecurityComplianceRBACSecurityComplianceRBAC Eventos RBAC de seguridad y cumplimiento.Security and compliance RBAC events.
8888 UserTrainingUserTraining Eventos de formación del Simulador de ataques en Microsoft Defender para Office 365.Attack simulator training events in Microsoft Defender for Office 365.
8989 AirAdminActionInvestigationAirAdminActionInvestigation Eventos relacionados con las acciones del administrador en Investigación y respuesta automatizadas (AIR).Events related to admin actions in Automated investigation and response (AIR).
9090 MSTICMSTIC Eventos de inteligencia contra amenazas de Microsoft Defender para Office 365.Threat intelligence events in Microsoft Defender for Office 365.
9191 PhysicalBadgingSignalPhysicalBadgingSignal Eventos relacionados con las señales de las insignias físicas que son compatibles con la solución de la Administración de riesgos internos.Events related to physical badging signals that support the Insider risk management solution.
9393 AipDiscoverAipDiscover Eventos del escáner de Azure Information Protection (AIP).Azure Information Protection (AIP) scanner events.
9494 AipSensitivityLabelActionAipSensitivityLabelAction Eventos de etiqueta de confidencialidad de AIP.AIP sensitivity label events.
9595 AipProtectionActionAipProtectionAction Eventos de protección de AIP.AIP protection events.
9696 AipFileDeletedAipFileDeleted Eventos de eliminación de archivos de AIP.AIP file deletion events.
9797 AipHeartBeatAipHeartBeat Eventos de latidos del corazón de AIP.AIP heartbeat events.
9898 MCASAlertsMCASAlerts Eventos correspondientes a las alertas activadas por Microsoft Cloud App Security.Events corresponding to alerts triggered by Microsoft Cloud App Security.
9999 OnPremisesFileShareScannerDlpOnPremisesFileShareScannerDlp Eventos relacionados con la detección de datos confidenciales en los recursos compartidos de los archivos.Events related to scanning for sensitive data on file shares.
100100 OnPremisesSharePointScannerDlpOnPremisesSharePointScannerDlp Eventos relacionados con la detección de datos confidenciales en SharePoint.Events related to scanning for sensitive data in SharePoint.
101101 ExchangeSearchExchangeSearch Eventos relacionados con el uso de Outlook en la Web (OWA) para buscar elementos del buzón.Events related to using Outlook on the web (OWA) to search for mailbox items.
102102 SharePointSearchSharePointSearch Eventos relacionados con la búsqueda del sitio principal de SharePoint de una organización.Events related to searching an organization's SharePoint home site.
103103 PrivacyInsightsPrivacyInsights Eventos de información de privacidad.Privacy insight events.
105105 MyAnalyticsSettingsMyAnalyticsSettings Eventos de MyAnalytics.MyAnalytics events.
106106 SecurityComplianceUserChangeSecurityComplianceUserChange Eventos relacionados con la modificación o eliminación de un usuario.Events related to modifying or deleting a user.
107107 ComplianceDLPExchangeClassificationComplianceDLPExchangeClassification Eventos de clasificación de Exchange DLP.Exchange DLP classification events.
109109 MipExactDataMatchMipExactDataMatch Eventos de clasificación de Correspondencia exacta de datos (EDM).Exact Data Match (EDM) classification events.

Enum: Tipo de usuario - Tipo: Edm.Int32Enum: User Type - Type: Edm.Int32

Tipo de usuarioUser Type

ValorValue Nombre del miembroMember name DescripciónDescription
00 RegularRegular Un usuario normal.A regular user.
11 ReservedReserved Un usuario reservado.A reserved user.
22 AdminAdmin Un administrador.An administrator.
33 DcAdminDcAdmin Un operador de centros de datos de Microsoft.A Microsoft datacenter operator.
44 SistemaSystem Una cuenta del sistema.A system account.
55 ApplicationApplication Una aplicación.An application.
66 ServicePrincipalServicePrincipal Un servicio principal.A service principal.
77 CustomPolicyCustomPolicy Una directiva personalizada.A custom policy.
88 SystemPolicySystemPolicy Una directiva del sistemaA system policy.

Enum: AuditLogScope - Tipo: Edm.Int32Enum: AuditLogScope - Type: Edm.Int32

AuditLogScopeAuditLogScope

ValorValue Nombre del miembroMember name DescripciónDescription
00 OnlineOnline Este evento fue creado por un servicio hospedado de O365.This event was created by a hosted O365 service.
11 OnpremOnprem Este evento fue creado por un servidor local.This event was created by an on-premises server.

Esquema base de SharePointSharePoint Base schema

ParámetroParameter TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
SiteSite Edm.GuidEdm.Guid NoNo El GUID del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario.The GUID of the site where the file or folder accessed by the user is located.
ItemTypeItemType Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType"Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" NoNo El tipo de objeto al que se obtuvo acceso o que se modificó.The type of object that was accessed or modified. Vea la tabla ItemType para obtener más información sobre los tipos de objetos.See the ItemType table for details on the types of objects.
EventSourceEventSource Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource"Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" NoNo Identifica que un evento se produjo en SharePoint.Identifies that an event occurred in SharePoint. Los valores posibles son SharePoint u ObjectModel.Possible values are SharePoint or ObjectModel.
SourceNameSourceName Edm.StringEdm.String NoNo La entidad que ha activado la operación auditada.The entity that triggered the audited operation. Los valores posibles son SharePoint u ObjectModel.Possible values are SharePoint or ObjectModel.
UserAgentUserAgent Edm.StringEdm.String NoNo Información sobre el cliente o el explorador del usuario.Information about the user's client or browser. Esta información la proporciona el cliente o el explorador.This information is provided by the client or browser.
MachineDomainInfoMachineDomainInfo Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo Información sobre las operaciones de sincronización del dispositivo.Information about device sync operations. Esta información se registra solo si está presente en la solicitud.This information is reported only if it's present in the request.
MachineIdMachineId Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo Información sobre las operaciones de sincronización del dispositivo.Information about device sync operations. Esta información se registra solo si está presente en la solicitud.This information is reported only if it's present in the request.

Enum: ItemType - Tipo: Edm.Int32Enum: ItemType - Type: Edm.Int32

ItemTypeItemType

ValorValue Nombre del miembroMember name DescripciónDescription
00 InvalidInvalid El elemento no es ninguno de los tipos de elementos que se muestran en esta tabla.The item is none of the other item types (that are listed in this table).
11 FileFile Y el elemento es un archivo.The item is a file.
55 FolderFolder Y el elemento es una carpeta.The item is a folder.
66 WebWeb Y el elemento es una web.The item is a Web.
77 SiteSite El elemento es un sitio.The item is a site.
88 TenantTenant El elemento es un inquilino.The item is a tenant.
99 DocumentLibraryDocumentLibrary El elemento es una biblioteca de documentos.The item is a document library.
1111 PagePage El elemento es una página.The item is a Page.

Enum: EventSource - Tipo: Edm.Int32Enum: EventSource - Type: Edm.Int32

EventSourceEventSource

ValorValue Nombre del miembroMember name DescripciónDescription
00 SharePointSharePoint El origen del evento es SharePoint.The event source is SharePoint.
11 ObjectModelObjectModel El origen del evento es ObjectModel.The event source is ObjectModel.

Enum: SharePointAuditOperation - Tipo: Edm.Int32Enum: SharePointAuditOperation - Type: Edm.Int32

Nombre del miembroMember name DescripciónDescription
AccessInvitationAcceptedAccessInvitationAccepted El destinatario de una invitación para ver o editar un archivo compartido (o carpeta) que ha obtenido acceso al archivo compartido haciendo clic en el vínculo de la invitación.The recipient of an invitation to view or edit a shared file (or folder) has accessed the shared file by clicking on the link in the invitation.
AccessInvitationCreatedAccessInvitationCreated El usuario envía una invitación a otra persona (dentro o fuera de su organización) para ver o editar una carpeta o un archivo compartido en un sitio de SharePoint o de OneDrive para la Empresa.User sends an invitation to another person (inside or outside their organization) to view or edit a shared file or folder on a SharePoint or OneDrive for Business site. Los detalles de la entrada de evento identifican el nombre del archivo que se ha compartido, el usuario al que se envió la invitación y el tipo de los permisos de uso compartido seleccionados por la persona que envió la invitación.The details of the event entry identifies the name of the file that was shared, the user the invitation was sent to, and the type of the sharing permission selected by the person who sent the invitation.
AccessInvitationExpiredAccessInvitationExpired Una invitación enviada a un usuario externo expira.An invitation sent to an external user expires. De forma predeterminada, una invitación enviada a un usuario fuera de su organización expira después de 7 días si no se acepta la invitación.By default, an invitation sent to a user outside of your organization expires after 7 days if the invitation isn't accepted.
AccessInvitationRevokedAccessInvitationRevoked El administrador del sitio o el propietario de un sitio o un documento en SharePoint o en OneDrive para la Empresa retira una invitación enviada a un usuario fuera de su organización.The site administrator or owner of a site or document in SharePoint or OneDrive for Business withdraws an invitation that was sent to a user outside your organization. Una invitación puede retirarse antes de que se acepte.An invitation can be withdrawn only before it's accepted.
AccessInvitationUpdatedAccessInvitationUpdated El usuario que creó y envió una invitación a otra persona para ver o editar una carpeta o un archivo compartido en un sitio de SharePoint o de OneDrive para la Empresa vuelve a enviar la invitación.The user who created and sent an invitation to another person to view or edit a shared file (or folder) on a SharePoint or OneDrive for Business site resends the invitation.
AccessRequestApprovedAccessRequestApproved El administrador del sitio o el propietario de un sitio o un documento en SharePoint o en OneDrive para la Empresa aprueba una solicitud de usuario para acceder al sitio o documento.The site administrator or owner of a site or document in SharePoint or OneDrive for Business approves a user request to access the site or document.
AccessRequestCreatedAccessRequestCreated El usuario solicita acceso a un sitio o un documento en SharePoint o en OneDrive para la empresa para el que no tienen permiso de acceso.User requests access to a site or document in SharePoint or OneDrive for Business that they don't have permission to access.
AccessRequestRejectedAccessRequestRejected El administrador del sitio o el propietario de un sitio o un documento en SharePoint rechaza una solicitud de usuario para acceder al sitio o documento.The site administrator or owner of a site or document in SharePoint declines a user request to access the site or document.
ActivationEnabledActivationEnabled Los usuarios pueden habilitar para el explorador plantillas de formulario que no contienen código de formulario, requieren plena confianza, habilitan representación en un dispositivo móvil o usan conexión de datos administrada por un administrador del servidor.Users can browser-enable form templates that don't contain form code, require full trust, enable rendering on a mobile device, or use a data connection managed by a server administrator.
AdministratorAddedToTermStoreAdministratorAddedToTermStore Administrador de almacén de términos agregado.Term store administrator added.
AdministratorDeletedFromTermStoreAdministratorDeletedFromTermStore Administrador de almacén de términos eliminado.Term store administrator deleted.
AllowGroupCreationSetAllowGroupCreationSet El administrador del sitio o el propietario agrega un nivel de permisos al sitio de SharePoint o de OneDrive para la Empresa que permite que un usuario al que se ha asignado ese permiso cree un grupo para ese sitio.Site administrator or owner adds a permission level to a SharePoint or OneDrive for Business site that allows a user assigned that permission to create a group for that site.
AppCatalogCreatedAppCatalogCreated El catálogo de aplicaciones se creó para que las aplicaciones empresariales personalizadas estén disponibles en su entorno de SharePoint.App catalog created to make custom business apps available for your SharePoint Environment.
AuditPolicyRemovedAuditPolicyRemoved La directiva del ciclo de vida del documento se ha quitado de una colección de sitios.Document LifeCycle Policy has been removed for a site collection.
AuditPolicyUpdateAuditPolicyUpdate La directiva del ciclo de vida del documento se ha actualizado para una colección de sitios.Document LifeCycle Policy has been updated for a site collection.
AzureStreamingEnabledSetAzureStreamingEnabledSet El propietario de un portal de vídeo permitió el streaming de vídeo desde Azure.A video portal owner has allowed video streaming from Azure.
CollaborationTypeModifiedCollaborationTypeModified Se ha modificado el tipo de colaboración permitido en sitios (por ejemplo, intranet, extranet o público).The type of collaboration allowed on sites (for example, intranet, extranet, or public) has been modified.
ConnectedSiteSettingModifiedConnectedSiteSettingModified El usuario ha creado, modificado o eliminado el vínculo entre un proyecto y un sitio de proyecto o el usuario ha modificado la configuración de sincronización en el vínculo en Project Web App.User has either created, modified or deleted the link between a project and a project site or the user modifies the synchronization setting on the link in Project Web App.
CreateSSOApplicationCreateSSOApplication La aplicación de destino que se creó en el servicio de almacenamiento seguro.Target application created in Secure store service.
CustomFieldOrLookupTableCreatedCustomFieldOrLookupTableCreated El usuario ha creado un campo personalizado o un elemento o tabla de búsqueda en Project Web App.User created a custom field or lookup table/item in Project Web App.
CustomFieldOrLookupTableDeletedCustomFieldOrLookupTableDeleted El usuario ha eliminado un campo personalizado o un elemento o tabla de búsqueda en Project Web App.User deleted a custom field or lookup table/item in Project Web App.
CustomFieldOrLookupTableModifiedCustomFieldOrLookupTableModified El usuario ha modificado un campo personalizado o un elemento o tabla de búsqueda en Project Web App.User modified a custom field or lookup table/item in Project Web App.
CustomizeExemptUsersCustomizeExemptUsers El administrador global ha personalizado la lista de agentes de usuario exentos en el centro de administración de SharePoint.Global administrator customized the list of exempt user agents in SharePoint admin center. Puede especificar qué agentes de usuario están exentos de recibir una página web completa para indexarla.You can specify which user agents to exempt from receiving an entire Web page to index. Esto significa que cuando un agente de usuario que ha especificado como exento encuentra un formulario de InfoPath, el formulario se devolverá como un archivo XML en lugar de como una página web completa.This means when a user agent you've specified as exempt encounters an InfoPath form, the form will be returned as an XML file instead of an entire Web page. Esto acelera la indexación de formularios de InfoPath.This makes indexing InfoPath forms faster.
DefaultLanguageChangedInTermStore*DefaultLanguageChangedInTermStore* Se ha cambiado la configuración de idioma en el almacén de terminología.Language setting changed in the terminology store.
DelegateModifiedDelegateModified El usuario ha creado o modificado un delegado de seguridad en Project Web App.User created or modified a security delegate in Project Web App.
DelegateRemovedDelegateRemoved El usuario ha eliminado un delegado de seguridad en Project Web App.User deleted a security delegate in Project Web App.
DeleteSSOApplicationDeleteSSOApplication Se ha eliminado una aplicación SSO.An SSO application was deleted.
eDiscoveryHoldAppliedeDiscoveryHoldApplied Se ha colocado una conservación local en un origen de contenido.An In-Place Hold was placed on a content source. Una colección de sitios de eDiscovery administra las retenciones locales (por ejemplo, el Centro de eDiscovery) en SharePoint.In-Place Holds are managed by using an eDiscovery site collection (such as the eDiscovery Center) in SharePoint.
eDiscoveryHoldRemovedeDiscoveryHoldRemoved Se ha eliminado una conservación local de un origen de contenido.An In-Place Hold was removed from a content source. Una colección de sitios de eDiscovery administra las retenciones locales (por ejemplo, el Centro de eDiscovery) en SharePoint.In-Place Holds are managed by using an eDiscovery site collection (such as the eDiscovery Center) in SharePoint.
eDiscoverySearchPerformedeDiscoverySearchPerformed Se ha realizado una búsqueda de eDiscovery con una colección de sitios de eDiscovery en SharePoint.An eDiscovery search was performed using an eDiscovery site collection in SharePoint.
EngagementAcceptedEngagementAccepted El usuario acepta una interacción de recursos en Project Web App.User accepts a resource engagement in Project Web App.
EngagementModifiedEngagementModified El usuario modifica una interacción de recursos en Project Web App.User modifies a resource engagement in Project Web App.
EngagementRejectedEngagementRejected El usuario rechaza una interacción de recursos en Project Web App.User rejects a resource engagement in Project Web App.
EnterpriseCalendarModifiedEnterpriseCalendarModified El usuario copia, modifica o eliminar un calendario de empresa en Project Web App.User copies, modifies or delete an enterprise calendar in Project Web App.
EntityDeletedEntityDeleted El usuario elimina a planilla de horas trabajadas en Project Web App.User deletes a timesheet in Project Web App.
EntityForceCheckedInEntityForceCheckedIn El usuario fuerza una protección en un calendario, un campo personalizado o una tabla de búsqueda en Project Web App.User forces a checkin on a calendar, custom field or lookup table in Project Web App.
ExemptUserAgentSetExemptUserAgentSet El administrador global agrega un agente de usuario a la lista de agentes de usuario exentos en el centro de administración de SharePoint.Global administrator adds a user agent to the list of exempt user agents in the SharePoint admin center.
FileAccessedFileAccessed La cuenta del sistema o el usuario obtiene acceso a un archivo en un sitio de SharePoint o de OneDrive para la Empresa.User or system account accesses a file on a SharePoint or OneDrive for Business site. Las cuentas del sistema también pueden generar eventos FileAccessed.System accounts can also generate FileAccessed events.
FileCheckOutDiscardedFileCheckOutDiscarded El usuario descarta (o deshace) la extracción del repositorio de un archivo.User discards (or undos) a checked out file. Eso significa que cualquier cambio que haya realizado en el archivo cuando estaba extraído del repositorio se descarta y no se guarda en la versión del documento de la biblioteca de documentos.That means any changes they made to the file when it was checked out are discarded, and not saved to the version of the document in the document library.
FileCheckedInFileCheckedIn El usuario inserta en el repositorio un documento que se extrajo de una biblioteca de documentos de SharePoint o de OneDrive para la Empresa.User checks in a document that they checked out from a SharePoint or OneDrive for Business document library.
FileCheckedOutFileCheckedOut El usuario extrae un documento ubicado en una biblioteca de documentos de SharePoint o de OneDrive para la Empresa.User checks out a document located in a SharePoint or OneDrive for Business document library. Los usuarios pueden extraer del repositorio y modificar documentos que se han compartido con ellos.Users can check out and make changes to documents that have been shared with them.
FileCopiedFileCopied El usuario copia un documento de un sitio de SharePoint o de OneDrive para la Empresa.User copies a document from a SharePoint or OneDrive for Business site. El archivo copiado puede guardarse en otra carpeta del sitio.The copied file can be saved to another folder on the site.
FileDeletedFileDeleted El usuario elimina un documento de un sitio de SharePoint o de OneDrive para la Empresa.User deletes a document from a SharePoint or OneDrive for Business site.
FileDeletedFirstStageRecycleBinFileDeletedFirstStageRecycleBin El usuario elimina un archivo de la papelera de reciclaje de un sitio de SharePoint o de OneDrive para la Empresa.User deletes a file from the recycle bin on a SharePoint or OneDrive for Business site.
FileDeletedSecondStageRecycleBinFileDeletedSecondStageRecycleBin El usuario elimina un archivo de la papelera de reciclaje de segundo nivel de un sitio de SharePoint o de OneDrive para la Empresa.User deletes a file from the second-stage recycle bin on a SharePoint or OneDrive for Business site.
FileDownloadedFileDownloaded El usuario descarga un documento de un sitio de SharePoint o de OneDrive para la Empresa.User downloads a document from a SharePoint or OneDrive for Business site.
FileFetchedFileFetched Este evento se ha sustituido por el evento FileAccessed y está en desuso.This event has been replaced by the FileAccessed event, and has been deprecated.
FileModifiedFileModified La cuenta de sistema o el usuario modifica el contenido o las propiedades de un documento ubicado en un sitio de SharePoint o de OneDrive para la Empresa.User or system account modifies the content or the properties of a document located on a SharePoint or OneDrive for Business site.
FileMovedFileMoved El usuario mueve un documento desde su ubicación actual en un sitio de SharePoint o de OneDrive para la Empresa a una nueva ubicación.User moves a document from its current location on a SharePoint or OneDrive for Business site to a new location.
FilePreviewedFilePreviewed El usuario obtiene la vista previa de un documento de un sitio de SharePoint o de OneDrive para la Empresa.User previews a document on a SharePoint or OneDrive for Business site.
FileRenamedFileRenamed El usuario cambia el nombre de un documento de un sitio de SharePoint o de OneDrive para la Empresa.User renames a document on a SharePoint or OneDrive for Business site.
FileRestoredFileRestored El usuario restaura un documento de una papelera de reciclaje de un sitio de SharePoint o de OneDrive para la Empresa.User restores a document from the recycle bin of a SharePoint or OneDrive for Business site.
FileSyncDownloadedFullFileSyncDownloadedFull El usuario establece una relación de sincronización y descarga archivos correctamente por primera vez en su equipo desde una biblioteca de documentos de SharePoint o de OneDrive para la Empresa.User establishes a sync relationship and successfully downloads files for the first time to their computer from a SharePoint or OneDrive for Business document library.
FileSyncDownloadedPartialFileSyncDownloadedPartial El usuario descarga correctamente cualquier cambio en los archivos de una biblioteca de documentos de SharePoint o de OneDrive para la Empresa.User successfully downloads any changes to files from SharePoint or OneDrive for Business document library. Este evento indica que los cambios realizados en los archivos de la biblioteca de documentos se descargaron en el equipo del usuario.This event indicates that any changes that were made to files in the document library were downloaded to the user's computer. Solo se descargaron los cambios porque el usuario había descargado previamente la biblioteca de documentos (como se indica en el evento FileSyncDownloadedFull).Only changes were downloaded because the document library was previously downloaded by the user (as indicated by the FileSyncDownloadedFull event).
FileSyncUploadedFullFileSyncUploadedFull El usuario establece una relación de sincronización y carga archivos correctamente por primera vez desde su equipo a una biblioteca de documentos de SharePoint o de OneDrive para la Empresa.User establishes a sync relationship and successfully uploads files for the first time from their computer to a SharePoint or OneDrive for Business document library.
FileSyncUploadedPartialFileSyncUploadedPartial El usuario carga correctamente los cambios en los archivos en una biblioteca de documentos de SharePoint o de OneDrive para la Empresa.User successfully uploads changes to files on a SharePoint or OneDrive for Business document library. Este evento indica que cualquier cambio realizado en la versión local de un archivo de una biblioteca de documentos se carga correctamente en dicha biblioteca.This event indicates that any changes made to the local version of a file from a document library are successfully uploaded to the document library. Solo se descargan los cambios porque el usuario había cargado anteriormente esos archivos (como se indica en el evento FileSyncUploadedFull).Only changes are unloaded because those files were previously uploaded by the user (as indicated by the FileSyncUploadedFull event).
FileUploadedFileUploaded El usuario carga un documento en una carpeta en un sitio de SharePoint o de OneDrive para la Empresa.User uploads a document to a folder on a SharePoint or OneDrive for Business site.
FileViewedFileViewed Este evento se ha sustituido por el evento FileAccessed y está en desuso.This event has been replaced by the FileAccessed event, and has been deprecated.
FolderCopiedFolderCopied El usuario copia una carpeta de un sitio de SharePoint o de OneDrive para la Empresa en otra ubicación de SharePoint o de OneDrive para la Empresa.User copies a folder from a SharePoint or OneDrive for Business site to another location in SharePoint or OneDrive for Business.
FolderCreatedFolderCreated El usuario crea una carpeta en un sitio de SharePoint o de OneDrive para la Empresa.User creates a folder on a SharePoint or OneDrive for Business site.
FolderDeletedFolderDeleted El usuario elimina una carpeta de un sitio de SharePoint o de OneDrive para la Empresa.User deletes a folder from a SharePoint or OneDrive for Business site.
FolderDeletedFirstStageRecycleBinFolderDeletedFirstStageRecycleBin El usuario elimina una carpeta de la papelera de reciclaje de un sitio de SharePoint o de OneDrive para la Empresa.User deletes a folder from the recycle bin on a SharePoint or OneDrive for Business site .
FolderDeletedSecondStageRecycleBinFolderDeletedSecondStageRecycleBin El usuario elimina una carpeta de la papelera de reciclaje de segundo nivel de un sitio de SharePoint o de OneDrive para la Empresa.User deletes a folder from the second-stage recycle bin on a SharePoint or OneDrive for Business site.
FolderModifiedFolderModified El usuario modifica una carpeta en un sitio de SharePoint o de OneDrive para la Empresa.User modifies a folder on a SharePoint or OneDrive for Business site. Este evento incluye cambios de metadatos de carpeta, como etiquetas y propiedades.This event includes folder metadata changes, such as tags and properties.
FolderMovedFolderMoved El usuario mueve una carpeta desde un sitio de SharePoint o de OneDrive para la Empresa.User moves a folder from a SharePoint or OneDrive for Business site.
FolderRenamedFolderRenamed El usuario cambia el nombre de una carpeta en un sitio de SharePoint o de OneDrive para la Empresa.User renames a folder on a SharePoint or OneDrive for Business site.
FolderRestoredFolderRestored El usuario restaura una carpeta de la papelera de reciclaje de un sitio de SharePoint o de OneDrive para la Empresa.User restores a folder from the Recycle Bin on a SharePoint or OneDrive for Business site.
GroupAddedGroupAdded El propietario o administrador del sitio crea un grupo para un sitio de SharePoint o de OneDrive para la Empresa, o realiza una tarea que tiene como resultado la creación de un grupo.Site administrator or owner creates a group for a SharePoint or OneDrive for Business site, or performs a task that results in a group being created. Por ejemplo, la primera vez que un usuario crea un vínculo para compartir un archivo, se agrega un grupo del sistema al sitio de OneDrive para la Empresa del usuario.For example, the first time a user creates a link to share a file, a system group is added to the user's OneDrive for Business site. Este evento también puede ser un resultado de que un usuario crease un vínculo con permisos de edición para un archivo compartido.This event can also be a result of a user creating a link with edit permissions to a shared file.
GroupRemovedGroupRemoved El usuario elimina un grupo de un sitio de SharePoint o de OneDrive para la Empresa.User deletes a group from a SharePoint or OneDrive for Business site.
GroupUpdatedGroupUpdated El propietario o el administrador del sitio cambia la configuración de un grupo para un sitio de SharePoint o de OneDrive para la Empresa.Site administrator or owner changes the settings of a group for a SharePoint or OneDrive for Business site. Esto puede incluir cambiar el nombre del grupo, quién puede ver o editar la pertenencia al grupo y cómo se controlan las solicitudes de pertenencia.This can include changing the group's name, who can view or edit the group membership, and how membership requests are handled.
LanguageAddedToTermStoreLanguageAddedToTermStore Se agregó un idioma al almacén de términos.Language added to the terminology store.
LanguageRemovedFromTermStoreLanguageRemovedFromTermStore Se quitó un idioma del almacén de términos.Language removed from the terminology store.
LegacyWorkflowEnabledSetLegacyWorkflowEnabledSet El propietario o el administrador del sitio agrega el tipo de contenido de tarea de flujo de trabajo de SharePoint al sitio.Site administrator or owner adds theSharePoint Workflow Task content type to the site. Los administradores globales también pueden habilitar los flujos de trabajo para toda la organización en el centro de administración de SharePoint.Global administrators can also enable work flows for the entire organization in theSharePoint admin center.
LookAndFeelModifiedLookAndFeelModified El usuario modifica un inicio rápido, los formatos de gráfico de Gantt o los formatos de grupo.User modifies a quick launch, gantt chart formats, or group formats. O bien, el usuario crea, modifica o elimina una vista en Project Web App.Or the user creates, modifies, or deletes a view in Project Web App.
ManagedSyncClientAllowedManagedSyncClientAllowed El usuario establece correctamente una relación de sincronización con un sitio de SharePoint o de OneDrive para la Empresa.User successfully establishes a sync relationship with a SharePoint or OneDrive for Business site. La relación de sincronización es correcta porque el equipo del usuario es un miembro de un dominio que se ha agregado a la lista de dominios (denominada lista de destinatarios seguros) que puede obtener acceso a las bibliotecas de documentos de su organización.The sync relationship is successful because the user's computer is a member of a domain that's been added to the list of domains (called the safe recipients list) that can access document libraries in your organization. Para obtener más información sobre esta característica, vea Usar SharePoint Online PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros.For more information, see Use SharePoint Online PowerShell to enable OneDrive sync for domains that are on the safe recipients list.
MaxQuotaModifiedMaxQuotaModified Se ha modificado la cuota máxima de un sitio.The maximum quota for a site has been modified.
MaxResourceUsageModifiedMaxResourceUsageModified Se ha modificado el uso máximo permitido de recursos para un sitio.The maximum allowable resource usage for a site has been modified.
MySitePublicEnabledSetMySitePublicEnabledSet El administrador del servicio SharePoint ha configurado la marca que habilita a los usuarios para tener Mis sitios en modo público.The flag enabling users to have public MySites has been set by the SharePoint administrator.
NewsFeedEnabledSetNewsFeedEnabledSet El propietario o el administrador activa la fuente RSS para un sitio de SharePoint o de OneDrive para la Empresa.Site administrator or owner enables RSS feeds for a SharePoint or OneDrive for Business site. Los administradores globales pueden habilitar las fuentes RSS para toda la organización en el Centro de administración de SharePoint.Global administrators can enable RSS feeds for the entire organization in the SharePoint admin center.
ODBNextUXSettingsODBNextUXSettings Se ha habilitado la nueva interfaz de usuario de OneDrive para la Empresa.New UI for OneDrive for Business has been enabled.
OfficeOnDemandSetOfficeOnDemandSet El administrador del sitio habilita Office a petición, lo que permite a los usuarios obtener acceso a la última versión de las aplicaciones de escritorio de Office.Site administrator enables Office on Demand, which lets users access the latest version of Office desktop applications. Office a petición se habilita en el Centro de administración de SharePoint y requiere una suscripción a Office 365 que incluye aplicaciones de Office completas e instaladas.Office on Demand is enabled in the SharePoint admin center and requires an Office 365 subscription that includes full, installed Office applications.
PageViewedPageViewed El usuario mira una página de un documento de un sitio de SharePoint o de OneDrive para la Empresa.User views a page on a SharePoint site or OneDrive for Business site. Esto no incluye la visualización de archivos de la biblioteca de documentos de un sitio de SharePoint o de OneDrive para la Empresa en un explorador.This does not include viewing document library files from a SharePoint site or One Drive for Business site on a browser.
PeopleResultsScopeSetPeopleResultsScopeSet El administrador del sitio crea o cambia el origen de resultados para las búsquedas de personas para un sitio de SharePoint.Site administrator creates or changes the result source for People Searches for a SharePoint site.
PermissionSyncSettingModifiedPermissionSyncSettingModified El usuario modifica la configuración de sincronización de permisos de proyecto en Project Web App.User modifies the project permission sync settings in Project Web App.
PermissionTemplateModifiedPermissionTemplateModified El usuario crea, modifica o elimina una plantilla de permisos en Project Web App.User creates, modifies or deletes a permissions template in Project Web App.
PortfolioDataAccessedPortfolioDataAccessed El usuario accede al contenido de cartera (biblioteca de controlador, priorización de controlador, análisis de cartera) en Project Web App.User accesses portfolio content (driver library, driver prioritization, portfolio analyses) in Project Web App.
PortfolioDataModifiedPortfolioDataModified El usuario crea, modifica o elimina datos de cartera (biblioteca de controlador, priorización de controlador, análisis de cartera) en Project Web App.User creates, modifies, or deletes portfolio data (driver library, driver prioritization, portfolio analyses) in Project Web App.
PreviewModeEnabledSetPreviewModeEnabledSet El administrador del sitio habilita la vista previa de documentos de un sitio de SharePoint.Site administrator enables document preview for a SharePoint site.
ProjectAccessedProjectAccessed El usuario obtiene acceso al contenido del proyecto en Project Web App.User accesses project content in Project Web App.
ProjectCheckedInProjectCheckedIn El usuario inserta un proyecto que extrajo de Project Web App.User checks in a project that they checked out from a Project Web App.
ProjectCheckedOutProjectCheckedOut El usuario extrae un proyecto que se encuentra en Project Web App.User checks out a project located in a Project Web App. Los usuarios pueden desproteger y realizar cambios en los proyectos para los que tienen permiso de apertura.Users can check out and make changes to projects that they have permission to open.
ProjectCreatedProjectCreated El usuario crea un proyecto en Project Web App.User creates a project in Project Web App.
ProjectDeletedProjectDeleted El usuario elimina un proyecto en Project Web App.User deletes a project in Project Web App.
ProjectForceCheckedInProjectForceCheckedIn El usuario fuerza una inserción en un proyecto en Project Web App.User forces a check in on a project in Project Web App.
ProjectModifiedProjectModified El usuario modifica un proyecto en Project Web App.User modifies a project in Project Web App.
ProjectPublishedProjectPublished El usuario publica un proyecto en Project Web App.User publishes a project in Project Web App.
ProjectWorkflowRestartedProjectWorkflowRestarted El usuario reinicia un flujo de trabajo en Project Web App.User restarts a workflow in Project Web App.
PWASettingsAccessedPWASettingsAccessed El usuario obtiene acceso a la configuración de Project Web App a través de CSOM.User access the Project Web App settings via CSOM.
PWASettingsModifiedPWASettingsModified El usuario modifica la configuración de Project Web App.User modifies the a Project Web App configuration.
QueueJobStateModifiedQueueJobStateModified El usuario cancela o reinicia un trabajo de cola en Project Web App.User cancels or restarts a queue job in Project Web App.
QuotaWarningEnabledModifiedQuotaWarningEnabledModified Advertencia de modificación de la cuota de almacenamiento.Storage quota warning modified.
RenderingEnabledRenderingEnabled Las plantillas de formulario habilitadas para el explorador se representarán mediante InfoPath Forms Services.Browser-enabled form templates will be rendered by InfoPath forms services.
ReportingAccessedReportingAccessed El usuario obtuvo acceso al punto de conexión de informes en Project Web App.User accessed the reporting endpoint in Project Web App.
ReportingSettingModifiedReportingSettingModified El usuario modifica la configuración de informes en Project Web App.User modifies the reporting configuration in Project Web App.
ResourceAccessedResourceAccessed El usuario obtiene acceso a un contenido de recursos de empresa en Project Web App.User accesses an enterprise resource content in Project Web App.
ResourceCheckedInResourceCheckedIn El usuario inserta un recurso de empresa que extrajo de Project Web App.User checks in an enterprise resource that they checked out from Project Web App.
ResourceCheckedOutResourceCheckedOut El usuario extrae un recurso de empresa ubicado en Project Web App.User checks out an enterprise resource located in Project Web App.
ResourceCreatedResourceCreated El usuario crea un recurso de empresa en Project Web App.User creates an enterprise resource in Project Web App.
ResourceDeletedResourceDeleted El usuario elimina un recurso de empresa en Project Web App.User deletes an enterprise resource in Project Web App.
ResourceForceCheckedInResourceForceCheckedIn El usuario fuerza una inserción de un recurso de empresa en Project Web App.User forces a checkin of an enterprise resource in Project Web App.
ResourceModifiedResourceModified El usuario modifica un recurso de empresa en Project Web App.User modifies an enterprise resource in Project Web App.
ResourcePlanCheckedInOrOutResourcePlanCheckedInOrOut El usuario inserta o extrae un plan de recursos en Project Web App.User checks in or out a resource plan in Project Web App.
ResourcePlanModifiedResourcePlanModified El usuario modifica un plan de recursos en Project Web App.User modifies a resource plan in Project Web App.
ResourcePlanPublishedResourcePlanPublished El usuario publica un plan de recursos en Project Web App.User publishes a resource plan in Project Web App.
ResourceRedactedResourceRedacted El usuario redacta un recurso de empresa quitando toda la información personal en Project Web App.User redacts an enterprise resource removing all personal information in Project Web App.
ResourceWarningEnabledModifiedResourceWarningEnabledModified Advertencia de modificación de la cuota de recursos.Resource quota warning modified.
SSOGroupCredentialsSetSSOGroupCredentialsSet Las credenciales de grupo configuradas en el Servicio de almacenamiento seguro.Group credentials set in Secure store service.
SSOUserCredentialsSetSSOUserCredentialsSet Las credenciales de usuario configuradas en el Servicio de almacenamiento seguro.User credentials set in Secure store service.
SearchCenterUrlSetSearchCenterUrlSet La dirección URL del centro de búsqueda configurada.Search center URL set.
SecondaryMySiteOwnerSetSecondaryMySiteOwnerSet Un usuario ha agregado un propietario secundario para su sitio.A user has added a secondary owner to their MySite.
SecurityCategoryModifiedSecurityCategoryModified El usuario crea, modifica o elimina una categoría de seguridad en Project Web App.User creates, modifies or deletes a security category in Project Web App.
SecurityGroupModifiedSecurityGroupModified El usuario crea, modifica o elimina un grupo de seguridad en Project Web App.User creates, modifies or deletes a security group in Project Web App.
SendToConnectionAddedSendToConnectionAdded El administrador global crea una nueva conexión Enviar a en la página Administración de registros en el Centro de administración de SharePoint.Global administrator creates a new Send To connection on the Records management page in the SharePoint admin center. Una conexión Enviar a especifica la configuración de un repositorio de documentos o un centro de registros.A Send To connection specifies settings for a document repository or a records center. Cuando crea una conexión Enviar a, un Organizador de contenido puede enviar documentos a la ubicación especificada.When you create a Send To connection, a Content Organizer can submit documents to the specified location.
SendToConnectionRemovedSendToConnectionRemoved El administrador global elimina una conexión Enviar a en la página Administración de registros en el Centro de administración de SharePoint.Global administrator deletes a Send To connection on the Records management page in the SharePoint admin center.
SharedLinkCreatedSharedLinkCreated El usuario crea un vínculo a un archivo compartido en SharePoint o en OneDrive para la Empresa.User creates a link to a shared file in SharePoint or OneDrive for Business. Este vínculo puede enviarse a otras personas para proporcionarles acceso al archivo.This link can be sent to other people to give them access to the file. Un usuario puede crear dos tipos de vínculos: un vínculo que permite al usuario ver y editar el archivo compartido o un vínculo que solo permite al usuario ver el archivo.A user can create two types of links: a link that allows a user to view and edit the shared file, or a link that allows the user to just view the file.
SharedLinkDisabledSharedLinkDisabled El usuario deshabilita (permanentemente) un vínculo para compartir un archivo creado.User disables (permanently) a link that was created to share a file.
SharingInvitationAccepted *SharingInvitationAccepted* El usuario acepta una invitación para compartir un archivo o carpeta.User accepts an invitation to share a file or folder. Este evento se registra cuando un usuario comparte un archivo con otros usuarios.This event is logged when a user shares a file with other users.
SharingRevokedSharingRevoked El usuario deja de compartir un archivo o carpeta que se había compartido con otros usuarios.User unshares a file or folder that was previously shared with other users. Este evento se registra cuando un usuario deja de compartir un archivo con otros usuarios.This event is logged when a user stops sharing a file with other users.
SharingSetSharingSet El usuario comparte un archivo o carpeta que se encuentra en SharePoint o en OneDrive para la Empresa con otro usuario de su organización.User shares a file or folder located in SharePoint or OneDrive for Business with another user inside their organization.
SiteAdminChangeRequestSiteAdminChangeRequest Solicitudes de usuario para que se les agregue como administrador de colección de sitios para una colección de sitios de SharePoint.User requests to be added as a site collection administrator for a SharePoint site collection. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los subsitios.Site collection administrators have full control permissions for the site collection and all subsites.
SiteCollectionAdminAdded*SiteCollectionAdminAdded* El administrador de colección de sitios o el propietario agrega a una persona como un administrador de colección de sitios de un sitio de SharePoint o de OneDrive para la Empresa.Site collection administrator or owner adds a person as a site collection administrator for a SharePoint or OneDrive for Business site. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los sub sitios.Site collection administrators have full control permissions for the site collection and all subsites.
SiteCollectionCreatedSiteCollectionCreated El administrador global crea una nueva colección de sitios de su organización de SharePoint.Global administrator creates a new site collection in your SharePoint organization.
SiteRenamedSiteRenamed El propietario o el administrador cambia el nombre de un sitio de SharePoint o de OneDrive para la Empresa.Site administrator or owner renames a SharePoint or OneDrive for Business site
StatusReportModifiedStatusReportModified El usuario crea, modifica o elimina un informe de estado en Project Web App.User creates, modifies or deletes a status report in Project Web App.
SyncGetChangesSyncGetChanges El usuario hace clic en Sincronización en la Bandeja de acción en SharePoint o OneDrive para la Empresa para sincronizar los cambios en un archivo en una biblioteca de documentos en su equipo.User clicks Sync in the action tray on in SharePoint or OneDrive for Business to synchronize any changes to file in a document library to their computer.
TaskStatusAccessedTaskStatusAccessed El usuario obtiene el estado de una o varias tareas en Project Web App.User accesses the status of one or more tasks in Project Web App.
TaskStatusApprovedTaskStatusApproved El usuario aprueba una actualización de estado de una o varias tareas en Project Web App.User approves a status update of one or more tasks in Project Web App.
TaskStatusRejectedTaskStatusRejected El usuario rechaza una actualización de estado de una o varias tareas en Project Web App.User rejects a status update of one or more tasks in Project Web App.
TaskStatusSavedTaskStatusSaved El usuario guarda una actualización de estado de una o varias tareas en Project Web App.User saves a status update of one or more tasks in Project Web App.
TaskStatusSubmittedTaskStatusSubmitted El usuario envía una actualización de estado de una o varias tareas en Project Web App.User submits a status update of one or more tasks in Project Web App.
TimesheetAccessedTimesheetAccessed El usuario obtiene acceso a una planilla de horas trabajadas en Project Web App.User accesses a timesheet in Project Web App.
TimesheetApprovedTimesheetApproved El usuario aprueba una planilla de horas trabajadas en Project Web App.User approves timesheet in Project Web App.
TimesheetRejectedTimesheetRejected El usuario rechaza una planilla de horas trabajadas en Project Web App.User rejects a timesheet in Project Web App.
TimesheetSavedTimesheetSaved El usuario guarda una planilla de horas trabajadas en Project Web App.User saves a timesheet in Project Web App.
TimesheetSubmittedTimesheetSubmitted El usuario envía una planilla de horas trabajadas de estado en Project Web App.User submits a status timesheet in Project Web App.
UnmanagedSyncClientBlockedUnmanagedSyncClientBlocked El usuario intenta establecer una relación de sincronización con un sitio de SharePoint o de OneDrive para la Empresa desde un equipo que no es miembro del dominio de su organización o es un miembro de un dominio que no se ha agregado a la lista de dominios (denominada la lista de destinatarios seguros) que puede obtener acceso a las bibliotecas de documentos de su organización.User tries to establish a sync relationship with a SharePoint or OneDrive for Business site from a computer that isn't a member of your organization's domain or is a member of a domain that hasn't been added to the list of domains (called the safe recipients list) that can access document libraries in your organization. La relación de sincronización no se permite y el equipo del usuario queda bloqueado para sincronizar, descargar o cargar archivos en una biblioteca de documentos.The sync relationship is not allowed, and the user's computer is blocked from syncing, downloading, or uploading files on a document library. Para obtener más información sobre esta característica, vea Usar cmdlets de Windows PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros.For information about this feature, see Use Windows PowerShell cmdlets to enable OneDrive sync for domains that are on the safe recipients list.
UpdateSSOApplicationUpdateSSOApplication La aplicación de destino se actualizó en el Servicio de almacenamiento seguro.Target application updated in Secure store service.
UserAddedToGroupUserAddedToGroup El propietario o el administrador agrega a un usuario a un grupo en un sitio de SharePoint o de OneDrive para la Empresa.Site administrator or owner adds a person to a group on a SharePoint or OneDrive for Business site. Agregar a un usuario a un grupo concede al usuario los permisos asignados al grupo.Adding a person to a group grants the user the permissions that were assigned to the group.
UserRemovedFromGroupUserRemovedFromGroup El propietario o el administrador quita a un usuario de un grupo en un sitio de SharePoint o de OneDrive para la Empresa.Site administrator or owner removes a person from a group on a SharePoint or OneDrive for Business site. Después de quitar la persona, no se le concede los permisos asignados al grupo.After the person is removed, they no longer are granted the permissions that were assigned to the group.
WorkflowModifiedWorkflowModified El usuario crea, modifica o elimina un tipo de proyecto empresarial o fases de flujo de trabajo o fases de Project Web App.User creates, modifies, or deletes an Enterprise Project Type or Workflow phases or stages in Project Web App.

Operaciones de archivos de SharePointSharePoint file operations

Los eventos de SharePoint relacionados con archivos que aparecen en la sección "Actividades de archivos y carpetas" en Buscar el registro de auditoría en el Centro de protección y seguridad utilizan este esquema.The file-related SharePoint events listed in the "File and folder activities" section in Search the audit log in security and compliance center use this schema.

ParámetroParameter TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
SiteUrlSiteUrl Edm.StringEdm.String Yes La dirección URL del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario.The URL of the site where the file or folder accessed by the user is located.
SourceRelativeUrlSourceRelativeUrl Edm.StringEdm.String NoNo La dirección URL de la carpeta que contiene el archivo al que obtuvo acceso el usuario.The URL of the folder that contains the file accessed by the user. La combinación de los valores de los parámetros SiteURL, SourceRelativeURL y SourceFileName es lo mismo que el valor de la propiedad ObjectID, que es el nombre de la ruta de acceso completa del archivo al que obtuvo acceso el usuario.The combination of the values for the SiteURL, SourceRelativeURL, and SourceFileName parameters is the same as the value for the ObjectID property, which is the full path name for the file accessed by the user.
SourceFileNameSourceFileName Edm.StringEdm.String Yes El nombre del archivo o carpeta al que obtuvo acceso el usuario.The name of the file or folder accessed by the user.
SourceFileExtensionSourceFileExtension Edm.StringEdm.String NoNo La extensión del archivo al que obtuvo acceso el usuario.The file extension of the file that was accessed by the user. Esta propiedad está en blanco si el objeto al que se obtuvo acceso es una carpeta.This property is blank if the object that was accessed is a folder.
DestinationRelativeUrlDestinationRelativeUrl Edm.StringEdm.String NoNo La dirección URL de la carpeta de destino donde se copia o se mueve un archivo.The URL of the destination folder where a file is copied or moved. La combinación de los valores de los parámetros SiteURL, DestinationRelativeURL y DestinationFileName es lo mismo que el valor de la propiedad ObjectID, que es el nombre de la ruta de acceso completa del archivo que se copió.The combination of the values for SiteURL, DestinationRelativeURL, and DestinationFileName parameters is the same as the value for the ObjectID property, which is the full path name for the file that was copied. Esta propiedad se muestra únicamente para los eventos FileCopied y FileMoved.This property is displayed only for FileCopied and FileMoved events.
DestinationFileNameDestinationFileName Edm.StringEdm.String NoNo El nombre del archivo que se copia o mueve.The name of the file that is copied or moved. Esta propiedad se muestra únicamente para los eventos FileCopied y FileMoved.This property is displayed only for FileCopied and FileMoved events.
DestinationFileExtensionDestinationFileExtension Edm.StringEdm.String NoNo La extensión del archivo que se copia o mueve.The file extension of a file that is copied or moved. Esta propiedad se muestra únicamente para los eventos FileCopied y FileMoved.This property is displayed only for FileCopied and FileMoved events.
UserSharedWithUserSharedWith Edm.StringEdm.String NoNo El usuario con el que se compartió un recurso.The user that a resource was shared with.
SharingTypeSharingType Edm.StringEdm.String NoNo El tipo de permisos de uso compartido que se asignan al usuario con el que se compartió el recurso.The type of sharing permissions that were assigned to the user that the resource was shared with. Este usuario se identifica mediante el parámetro UserSharedWith.This user is identified by the UserSharedWith parameter.

Esquema de uso compartido de SharePointSharePoint Sharing schema

Los eventos de SharePoint relacionados con el uso compartido de archivos.The file share-related SharePoint events. Se diferencian de los eventos relacionados con archivos y carpetas en que un usuario realiza una acción que tiene algún efecto en otro usuario.They are different from file- and folder-related events in that a user is taking an action that has some effect on another user. Para obtener información sobre el esquema de uso compartido de SharePoint, vea Uso compartido de auditoría en el registro de auditoría de Office 365.For information about the SharePoint Sharing schema, see Use sharing auditing in the Office 365 audit log.

ParámetroParameter TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
TargetUserOrGroupNameTargetUserOrGroupName Edm.StringEdm.String NoNo Almacena el UPN o el nombre del grupo o usuario de destino con el que se compartió un recurso.Stores the UPN or name of the target user or group that a resource was shared with.
TargetUserOrGroupTypeTargetUserOrGroupType Edm.StringEdm.String NoNo Identifica si el usuario o grupo de destino es un miembro, invitado, grupo o partner.Identifies whether the target user or group is a Member, Guest, Group, or Partner.
EventDataEventData Código XMLXML code NoNo Transmite información de seguimiento sobre la acción de uso compartido que se ha producido, como agregar un usuario a un grupo o conceder permisos de edición.Conveys follow-up information about the sharing action that has occurred, such as adding a user to a group or granting edit permissions.

Esquema de SharePointSharePoint schema

Los eventos de SharePoint que aparecen en Buscar el registro de auditoría en el Centro de protección y seguridad (excluyendo los eventos de archivos y de carpetas) utilizan este esquema.The SharePoint events listed in Search the audit log in security and compliance center (excluding the file and folder events) use this schema.

ParámetroParameter TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
CustomEventCustomEvent Edm.StringEdm.String NoNo Cadena opcional para los eventos personalizados.Optional string for custom events.
EventDataEventData Edm.StringEdm.String NoNo Carga opcional para los eventos personalizados.Optional payload for custom events.
ModifiedPropertiesModifiedProperties Collection(ModifiedProperty)Collection(ModifiedProperty) NoNo La propiedad se incluye para los eventos de administración, como agregar un usuario como miembro de un sitio o un grupo de administradores de colección de sitios.The property is included for admin events, such as adding a user as a member of a site or a site collection admin group. La propiedad incluye el nombre de la propiedad modificada (por ejemplo, el grupo de administradores del sitio), el nuevo valor de la propiedad modificada (como el usuario agregado como administrador de sitio) y el valor anterior del objeto modificado.The property includes the name of the property that was modified (for example, the Site Admin group), the new value of the modified property (such the user who was added as a site admin), and the previous value of the modified object.

Esquema de ProjectProject schema

ParámetroParameter TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
EntidadEntity Edm.StringEdm.String Yes ProjectEntity para la que fue la auditoría.ProjectEntity the audit was for.
AcciónAction Edm.StringEdm.String Yes ProjectAction que se realizó.ProjectAction that was taken.
OnBehalfOfResIdOnBehalfOfResId Edm.GuidEdm.Guid NoNo El id. de recurso en nombre del cual se realizó la acción.The resource Id the action was taken on behalf of.

Enum: Project acción - Tipo: Edm.Int32Enum: Project Action - Type: Edm.Int32

Acción de proyectoProject action

Nombre del miembroMember name DescripciónDescription
AceptadasAccepted El usuario aceptó un evento o un flujo de trabajo.The user accepted an event or workflow.
AccessedAccessed El usuario obtuvo acceso a una entidad.The user accessed an entity.
ActivatedActivated El usuario activó una entidad, un evento o un flujo de trabajo.The user activated an entity, event or workflow.
CancelledCancelled El usuario canceló un evento o un flujo de trabajo.The user cancelled an event or workflow.
CheckedInCheckedIn El usuario insertó una entidad.The user check in an entity.
CheckedOutCheckedOut El usuario extrajo una entidad.The user checkout an entity.
CopiedCopied El usuario copió una entidad.The user copied an entity.
CreatedCreated El usuario creó una entidad.The user created an entity.
DeactivatedDeactivated El usuario desactivó una entidad.The user deactivated an entity.
DeletedDeleted El usuario eliminó una entidad.The user deleted an entity.
ExportedExported El usuario exportó una entidad.The user exported an entity.
ForceCheckedInForceCheckedIn El usuario causó que se forzase la inserción de una entidad.The user caused an entity to be force checked in.
ModifiedModified El usuario modificó una entidad.The user modified an entity.
PublishedPublished El usuario publicó una entidad.The user published an entity.
RedactedRedacted El usuario redactó una entidad.The user redacted an entity.
RejectedRejected El usuario rechazó una entidad.The user rejected an entity.
RestartedRestarted El usuario reinició un evento o un flujo de trabajo.The user restarted an event or workflow.
SavedSaved El usuario guardó una entidad.The user saved an entity.
SentSent El usuario envió una entidad.The user sent an entity.
SubmittedSubmitted El usuario envió un flujo de trabajo o una entidad para su revisión.The user submitted an entity for review or workflow.

Enum: Project Entity - Tipo: Edm.Int32Enum: Project Entity - Type: Edm.Int32

Entidad del proyectoProject entity

Nombre del miembroMember name DescripciónDescription
CustomFieldCustomField Representa de un campo personalizado de empresa.Represents an enterprise custom field.
DriverDriver Representa un controlador de cartera.Represents a portfolio driver.
DriverPrioritizationDriverPrioritization Representa una priorización de la cartera.Represents a portfolio prioritization.
EngagementEngagement Representa una interacción de recurso.Represents a resource engagement.
EnterpriseCalendarEnterpriseCalendar Representa un calendario de recursos de empresa.Represents a enterprise resource calendar.
EnterpriseProjectTypeEnterpriseProjectType Representa un tipo de proyecto empresarial.Represents an enterprise project type.
FiscalPeriodFiscalPeriod Representa un período fiscal.Represents a fiscal period.
GanttChartFormatGanttChartFormat Representa un formato de gráfico de Gantt.Represents a gantt chart format.
GroupingFormatGroupingFormat Representa un formato de agrupación de vista.Represents a view grouping format.
LineClassificationLineClassification Representa una clasificación de línea de parte de horas.Represents a timesheet line classification.
LookupTableLookupTable Representa una tabla de búsqueda empresarial.Represents a enterprise lookup table.
PermissionTemplatePermissionTemplate Representa una plantilla de permisos de seguridad.Represents a security permission template.
PortfolioAnalysisPortfolioAnalysis Representa un análisis de cartera.Represents a portfolio analysis.
ProjectProject Representa un proyecto.Represents a project.
QueueJobQueueJob Representa un trabajo de cola.Represents a queue job.
QuickLaunchQuickLaunch Representa un elemento de inicio rápido.Represents a quick launch item.
ReportingReporting Representa el punto de conexión de creación de informes.Represents the reporting endpoint.
ResourceResource Representa de un recurso de empresa.Represents an enterprise resource.
ResourcePlanResourcePlan Representa un plan de recursos asociado a un proyecto.Represents a resource plan associated with A project.
SecurityCategorySecurityCategory Representa una categoría de seguridad.Represents a security category.
SecurityGroupSecurityGroup Representa un grupo de seguridad.Represents a security group.
SettingSetting Representa una configuración de Project Web AppRepresents a Project Web App setting
StatusingStatusing Representa una actualización de estado de tarea.Represents a task status update.
StatusReportStatusReport Representa un informe de estado.Represents a status report.
TimeReportingPeriodTimeReportingPeriod Representa un período de tiempo de un parte de horasRepresents a period of time for a timesheet
TimesheetTimesheet Representa una entidad de parte de horas.Represents a timesheet entity.
TimesheetAuditLogTimesheetAuditLog Representa un registro de auditoría de parte de horas.Represents a timesheet audit log.
TimesheetManagerTimesheetManager Representa el administrador de un parte de horas.Represents the manager of a timesheet.
UserDelegateUserDelegate Representa una delegación de usuario para otro usuario.Represents a user delegation for another user.
ViewView Representa una definición de vista.Represents a view definition.
WorkflowPhaseWorkflowPhase Representa una fase de un flujo de trabajo.Represents a phase in a workflow.
WorkflowStageWorkflowStage Representa una fase de un flujo de trabajo.Represents a stage in a workflow.

Esquema de administración de ExchangeExchange Admin schema

ParámetrosParameters TipoType ObligatorioMandatory DescripciónDescription
ModifiedObjectResolvedNameModifiedObjectResolvedName Edm.StringEdm.String NoNo Este es el nombre descriptivo del objeto modificado por el cmdlet.This is the user friendly name of the object that was modified by the cmdlet. Esto solo se registra si el cmdlet modifica el objeto.This is logged only if the cmdlet modifies the object.
ParámetrosParameters Collection(Common.NameValuePair)Collection(Common.NameValuePair) NoNo El nombre y valor de todos los parámetros usados con el cmdlet que se identifica en la propiedad Operations.The name and value for all parameters that were used with the cmdlet that is identified in the Operations property.
ModifiedPropertiesModifiedProperties Collection(Common.ModifiedProperty)Collection(Common.ModifiedProperty) NoNo La propiedad se incluye para los eventos de administración.The property is included for admin events. La propiedad incluye el nombre de la propiedad modificada, el nuevo valor de la propiedad modificada y el valor anterior del objeto modificado.The property includes the name of the property that was modified, the new value of the modified property, and the previous value of the modified object.
ExternalAccessExternalAccess Edm.BooleanEdm.Boolean Yes Especifica si el cmdlet lo ejecutó un usuario de la organización, el personal del centro de datos de Microsoft o una cuenta de servicio del centro de datos, o un administrador delegado.Specifies whether the cmdlet was run by a user in your organization, by Microsoft datacenter personnel or a datacenter service account, or by a delegated administrator. El valor False indica que el cmdlet lo ejecutó algún usuario de su organización.The value False indicates that the cmdlet was run by someone in your organization. El valor True indica que el cmdlet lo ejecutó el personal del centros de datos, una cuenta de servicio del centro de datos o un administrador delegado.The value True indicates that the cmdlet was run by datacenter personnel, a datacenter service account, or a delegated administrator.
OriginatingServerOriginatingServer Edm.StringEdm.String NoNo El nombre del servidor desde el que se ejecutó el cmdlet.The name of the server from which the cmdlet was executed.
OrganizationNameOrganizationName Edm.StringEdm.String NoNo El nombre del inquilino.The name of the tenant.

Esquema de buzón de ExchangeExchange Mailbox schema

ParámetrosParameters TipoType ObligatorioMandatory DescripciónDescription
LogonTypeLogonType Self.LogonTypeSelf.LogonType NoNo Indica el tipo de usuario que obtuvo acceso al buzón y llevó a cabo la operación que se ha registrado.Indicates the type of user who accessed the mailbox and performed the operation that was logged.
InternalLogonTypeInternalLogonType Self.LogonTypeSelf.LogonType NoNo Reservado para uso interno.Reserved for internal use.
MailboxGuidMailboxGuid Edm.StringEdm.String NoNo El GUID de Exchange del buzón al que se obtuvo acceso.The Exchange GUID of the mailbox that was accessed.
MailboxOwnerUPNMailboxOwnerUPN Edm.StringEdm.String NoNo La dirección de correo electrónico del propietario del buzón al que se obtuvo acceso.The email address of the person who owns the mailbox that was accessed.
MailboxOwnerSidMailboxOwnerSid Edm.StringEdm.String NoNo El SID del propietario del buzón.The SID of the mailbox owner.
MailboxOwnerMasterAccountSidMailboxOwnerMasterAccountSid Edm.StringEdm.String NoNo SID de la cuenta principal de la cuenta del propietario del buzón.Mailbox owner account's master account SID.
LogonUserSidLogonUserSid Edm.StringEdm.String NoNo El SID del usuario que realizó la operación.The SID of the user who performed the operation.
LogonUserDisplayNameLogonUserDisplayName Edm.StringEdm.String NoNo El nombre descriptivo del usuario que realizó la operación.The user-friendly name of the user who performed the operation.
ExternalAccessExternalAccess Edm.BooleanEdm.Boolean Yes Esto tiene el valor true si el dominio del usuario que inició sesión es diferente del dominio del propietario del buzón.This is true if the logon user's domain is different from the mailbox owner's domain.
OriginatingServerOriginatingServer Edm.StringEdm.String NoNo Representa dónde se originó la operación.This is from where the operation originated.
OrganizationNameOrganizationName Edm.StringEdm.String NoNo El nombre del inquilino.The name of the tenant.
ClientInfoStringClientInfoString Edm.StringEdm.String NoNo Información sobre el cliente de correo electrónico que se usó para realizar la operación, como la versión de explorador, la versión de Outlook o información del dispositivo móvil.Information about the email client that was used to perform the operation, such as a browser version, Outlook version, and mobile device information.
ClientIPAddressClientIPAddress Edm.StringEdm.String NoNo La dirección IP del dispositivo que se ha usado cuando la operación se ha registrado.The IP address of the device that was used when the operation was logged. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.The IP address is displayed in either an IPv4 or IPv6 address format.
ClientMachineNameClientMachineName Edm.StringEdm.String NoNo El nombre del equipo que hospeda al cliente de Outlook.The machine name that hosts the Outlook client.
ClientProcessNameClientProcessName Edm.StringEdm.String NoNo El cliente de correo electrónico que se usó para acceder al buzón.The email client that was used to access the mailbox.
ClientVersionClientVersion Edm.StringEdm.String NoNo La versión del cliente de correo electrónico.The version of the email client .

Enum: LogonType - Tipo: Edm.Int32Enum: LogonType - Type: Edm.Int32

LogonTypeLogonType

ValorValue Nombre del miembroMember name DescripciónDescription
00 OwnerOwner El propietario del buzónThe mailbox owner.
11 AdminAdmin Un usuario con privilegios de administrador para el buzón de un usuario.A person with administrative privileges for someone's mailbox.
22 DelegatedDelegated Un usuario con privilegios de delegado para el buzón de un usuario.A person with the delegate privileges for someone's mailbox.
33 TransportTransport Un servicio de transporte en el centro de datos de Microsoft.A transport service in the Microsoft datacenter.
44 SystemServiceSystemService Una cuenta de servicio del centro de datos de MicrosoftA service account in the Microsoft datacenter
55 BestAccessBestAccess Reservado para uso interno.Reserved for internal use.
66 DelegatedAdminDelegatedAdmin Un administrador delegado.A delegated administrator.

Esquema ExchangeMailboxAuditGroupRecordExchangeMailboxAuditGroupRecord schema

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
FolderFolder Self.ExchangeFolderSelf.ExchangeFolder NoNo La carpeta donde se encuentra un grupo de elementos.The folder where a group of items is located.
CrossMailboxOperationsCrossMailboxOperations Edm.BooleanEdm.Boolean NoNo Indica si la operación implicó más de un buzón.Indicates if the operation involved more than one mailbox.
DestMailboxIdDestMailboxId Edm.GuidEdm.Guid NoNo Establece si el valor del parámetro CrossMailboxOperations es True.Set only if the CrossMailboxOperations parameter is True. Especifica el GUID del buzón de correo de destino.Specifies the target mailbox GUID.
DestMailboxOwnerUPNDestMailboxOwnerUPN Edm.StringEdm.String NoNo Establece si el valor del parámetro CrossMailboxOperations es True.Set only if the CrossMailboxOperations parameter is True. Especifica el UPN del propietario del buzón de correo de destino.Specifies the UPN of the owner of the target mailbox.
DestMailboxOwnerSidDestMailboxOwnerSid Edm.StringEdm.String NoNo Establece si el valor del parámetro CrossMailboxOperations es True.Set only if the CrossMailboxOperations parameter is True. Especifica el SID del buzón de correo de destino.Specifies the SID of the target mailbox.
DestMailboxOwnerMasterAccountSidDestMailboxOwnerMasterAccountSid Edm.StringEdm.String NoNo Establece si el valor del parámetro CrossMailboxOperations es True.Set only if the CrossMailboxOperations parameter is True. Especifica el SID de la cuenta principal y el SID del propietario del buzón de destino.Specifies the SID for the master account SID of the target mailbox owner.
DestFolderDestFolder Self.ExchangeFolderSelf.ExchangeFolder NoNo La carpeta de destino, para operaciones como Mover.The destination folder, for operations such as Move.
FoldersFolders Collection(Self.ExchangeFolder)Collection(Self.ExchangeFolder) NoNo Información sobre las carpetas de origen implicadas en una operación; por ejemplo, si las carpetas están seleccionadas y después se eliminan.Information about the source folders involved in an operation; for example, if folders are selected and then deleted.
AffectedItemsAffectedItems Collection(Self.ExchangeItem)Collection(Self.ExchangeItem) NoNo Información sobre cada elemento del grupo.Information about each item in the group.

Esquema ExchangeMailboxAuditRecordExchangeMailboxAuditRecord schema

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
ItemItem Self.ExchangeItemSelf.ExchangeItem NoNo Representa el elemento para el que se ha realizado la operaciónRepresents the item upon which the operation was performed
ModifiedPropertiesModifiedProperties Collection(Edm.String)Collection(Edm.String) NoNo Por determinarTBD
SendAsUserSmtpSendAsUserSmtp Edm.StringEdm.String NoNo Dirección SMTP del usuario que se está suplantando.SMTP address of the user who is being impersonated.
SendAsUserMailboxGuidSendAsUserMailboxGuid Edm.GuidEdm.Guid NoNo El GUID de Exchange del buzón al que se obtuvo acceso para enviar un correo electrónico.The Exchange GUID of the mailbox that was accessed to send email as.
SendOnBehalfOfUserSmtpSendOnBehalfOfUserSmtp Edm.StringEdm.String NoNo Dirección SMTP del usuario en cuyo nombre se envía el correo electrónico.SMTP address of the user on whose behalf the email is sent.
SendOnBehalfOfUserMailboxGuidSendOnBehalfOfUserMailboxGuid Edm.GuidEdm.Guid NoNo El GUID de Exchange del buzón al que se obtuvo acceso para enviar correo en su nombre.The Exchange GUID of the mailbox that was accessed to send mail on behalf of.

Tipo complejo ExchangeItemExchangeItem complex type

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
IdId Edm.StringEdm.String Yes Id. de la tienda.The store ID.
SubjectSubject Edm.StringEdm.String NoNo La línea de asunto del mensaje al que se obtuvo acceso.The subject line of the message that was accessed.
ParentFolderParentFolder Edm.ExchangeFolderEdm.ExchangeFolder NoNo El nombre de la carpeta donde se encuentra el elemento omitido.The name of the folder where the item is located.
AttachmentsAttachments Edm.StringEdm.String NoNo Una lista de los nombres y el tamaño de archivo de todos los elementos que se adjuntan al mensaje.A list of the names and file size of all items that are attached to the message.

Tipo complejo ExchangeFolderExchangeFolder complex type

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
IdId Edm.StringEdm.String Yes El id. del objeto de carpeta.The store ID of the folder object.
PathPath Edm.StringEdm.String NoNo El nombre de la carpeta del buzón donde se encuentra el mensaje al que se obtuvo acceso.The name of the mailbox folder where the message that was accessed is located.

Esquema base de Azure Active DirectoryAzure Active Directory Base schema

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
AzureActiveDirectoryEventTypeAzureActiveDirectoryEventType Self.AzureActiveDirectoryEventTypeSelf.AzureActiveDirectoryEventType Yes El tipo de evento de Azure AD.The type of Azure AD event.
ExtendedPropertiesExtendedProperties Collection(Common.NameValuePair)Collection(Common.NameValuePair) NoNo Las propiedades extendidas del evento de Azure AD.The extended properties of the Azure AD event.
ModifiedPropertiesModifiedProperties Collection(Common.ModifiedProperty)Collection(Common.ModifiedProperty) NoNo Esta propiedad se incluye para los eventos de administración.This property is included for admin events. La propiedad incluye el nombre de la propiedad modificada, el nuevo valor de la propiedad modificada y el valor anterior de la propiedad modificada.The property includes the name of the property that was modified, the new value of the modified property, and the previous value of the modified property.

Enum: AzureActiveDirectoryEventType - Tipo: Edm.Int32Enum: AzureActiveDirectoryEventType - Type -Edm.Int32

AzureActiveDirectoryEventTypeAzureActiveDirectoryEventType

Nombre del miembroMember name DescripciónDescription
AccountLogonAccountLogon El evento de inicio de sesión de la cuenta.The account login event.
AzureApplicationAuditEventAzureApplicationAuditEvent El evento de seguridad de la aplicación de Azure.The Azure application security event.

Esquema de inicio de sesión de Azure Active DirectoryAzure Active Directory Account Logon schema

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
ApplicationApplication Edm.StringEdm.String NoNo La aplicación que desencadena el evento de inicio de sesión de la cuenta, como Office 15.The application that triggers the account login event, such as Office 15.
ClientClient Edm.StringEdm.String NoNo Información sobre el dispositivo del cliente, el sistema operativo del dispositivo y explorador del dispositivo que se usó para del evento de inicio de sesión de cuenta.Details about the client device, device OS, and device browser that was used for the of the account login event.
LoginStatusLoginStatus Edm.Int32Edm.Int32 Yes Esta propiedad procede directamente de OrgIdLogon.LoginStatus.This property is from OrgIdLogon.LoginStatus directly. Puede realizarse la asignación de varios errores de inicio de sesión interesantes mediante algoritmos de alerta.The mapping of various interesting logon failures could be done by alerting algorithms.
UserDomainUserDomain Edm.StringEdm.String Yes La información de identidad del inquilino (TII).The Tenant Identity Information (TII).

Enum: CredentialType - Tipo: Edm.Int32Enum: CredentialType - Type: Edm.Int32

ValorValue Nombre del miembroMember name DescripciónDescription
-1-1 OtherOther Otra autenticación.Other authentication.
00 PasswordPassword La credencial de usuario es el nombre de usuario y la contraseña.User credential is username and password.
11 MobilePhoneMobilePhone La credencial de usuario es el teléfono móvil.User credential is mobile phone.
22 SecretQuestionSecretQuestion La credencial de usuario es la pregunta secreta.User credential is secret question.
33 SecurePinSecurePin La credencial de usuario es el PIN seguro.User credential is secure PIN.
44 SecurePinResetSecurePinReset La credencial de usuario es el restablecimiento del PIN seguro.User credential is secure PIN reset.
1111 EasyIDEasyID La credencial de usuario es el EasyID.User credential is EasyID.
1414 PasswordIndexCredentialTypePasswordIndexCredentialType La credencial de usuario es PasswordIndexCredentialType.User credential is PasswordIndexCredentialType.
1616 DeviceDevice La credencial de usuario es un dispositivo.User credential is a device.
1717 ForeignRealmIndexForeignRealmIndex La credencial de usuario es ForeignRealmIndex.User credential is ForeignRealmIndex.

Enum: LoginType - Tipo: Edm.Int32Enum: LoginType - Type: Edm.Int32

ValorValue Nombre del miembroMember name DescripciónDescription
-1-1 OtherOther Otro tipo i.Other i type.
11 InitialAuthInitialAuth Inicie sesión con la autenticación inicialLogin with initial authentication
22 CookieCopyCookieCopy Inicie sesión con la cookie.Login with cookie.
33 SilentReAuthSilentReAuth Inicie sesión con la reautenticación silenciosa.Login with silent re-authentication.

Enum: AuthenticationMethod - Tipo: Edm.Int32Enum: AuthenticationMethod - Type: Edm.Int32

ValorValue Nombre del miembroMember name DescripciónDescription
00 MinMin El método de autenticación es un método mínThe authentication method is a Min
11 PasswordPassword El método de autenticación es una contraseña.The authentication method is a password.
22 DigestDigest El método de autenticación es un resumen.The authentication method is a digest.
33 ProxyAuthProxyAuth El método de autenticación es un ProxyAuth.The authentication method is a ProxyAuth.
44 InfoCardInfoCard El método de autenticación es un InfoCard.The authentication method is an InfoCard
55 DATokenDAToken El método de autenticación es un DAToken.The authentication method is a DAToken.
66 Sha1RememberMyPasswordSha1RememberMyPassword El método de autenticación es una Sha1RememberMyPassword.The authentication method is a Sha1RememberMyPassword.
77 LMPasswordHashLMPasswordHash El método de autenticación es un LMPasswordHash.The authentication method is an LMPasswordHash.
88 ADFSFederatedTokenADFSFederatedToken El método de autenticación es un ADFSFederatedToken.The authentication method is an ADFSFederatedToken.
99 EIDEID El método de autenticación es un EID.The authentication method is an EID.
1010 DeviceIDDeviceID El método de autenticación es un DeviceID.The authentication method is a DeviceID.
1111 MD5MD5 El método de autenticación es un MD5.The authentication method is MD5.
1212 EncProxyPasswordHashEncProxyPasswordHash El método de autenticación es un EncProxyPasswordHash.The authentication method is a EncProxyPasswordHash.
1313 LWAFederationLWAFederation El método de autenticación es un LWAFederation.The authentication method is a LWAFederation.
1414 Sha1HashedPasswordSha1HashedPassword El método de autenticación es un Sha1HashedPassword.The authentication method is a Sha1HashedPassword.
1515 SecurePinSecurePin El método de autenticación es un PIN seguro.The authentication method is a secure Pin.
1616 SecurePinResetSecurePinReset El método de autenticación es un restablecimiento de PIN seguro.The authentication method is a secure PIN reset.
1717 SAML20PostSimpleSignSAML20PostSimpleSign El método de autenticación es un SAML20PostSimpleSign.The authentication method is a SAML20PostSimpleSign.
1818 SAML20PostSAML20Post El método de autenticación es un SAML20Post.The authentication method is a SAML20Post.
1919 OneTimeCodeOneTimeCode El método de autenticación es un código de un solo uso.The authentication method is a one-time code.

Esquema de Azure Active DirectoryAzure Active Directory schema

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
ActorActor Collection(Self.IdentityTypeValuePair)Collection(Self.IdentityTypeValuePair) NoNo El usuario o una entidad de servicio que efectuó la acción.The user or service principal that performed the action.
ActorContextIdActorContextId Edm.StringEdm.String NoNo El GUID de la organización a la que pertenece el agente.The GUID of the organization that the actor belongs to.
ActorIpAddressActorIpAddress Edm.StringEdm.String NoNo La dirección IP del actor en formato de dirección IPV4 o IPV6.The actor's IP address in IPV4 or IPV6 address format.
InterSystemsIdInterSystemsId Edm.StringEdm.String NoNo El GUID que realiza un seguimiento de las acciones de componentes en el servicio de Office 365.The GUID that track the actions across components within the Office 365 service.
IntraSystemsIdIntraSystemsId Edm.StringEdm.String NoNo El GUID que genera Azure Active Directory para realizar un seguimiento de la acción.The GUID that's generated by Azure Active Directory to track the action.
SupportTicketIdSupportTicketId Edm.StringEdm.String NoNo El id. del vale de soporte de cliente para la acción en situaciones de "actuar en nombre de".The customer support ticket ID for the action in "act-on-behalf-of" situations.
TargetTarget Collection(Self.IdentityTypeValuePair)Collection(Self.IdentityTypeValuePair) NoNo El usuario para el que se realizó la acción (identificada por la propiedad Operation).The user that the action (identified by the Operation property) was performed on.
TargetContextIdTargetContextId Edm.StringEdm.String NoNo El GUID de la organización a la que pertenece el usuario de destino.The GUID of the organization that the targeted user belongs to.

Tipo complejo IdentityTypeValuePairComplex Type IdentityTypeValuePair

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
Id.ID Edm.StringEdm.String Yes El valor de la identidad dada el tipo.The value of the identity given the type.
TypeType Self.IdentityTypeSelf.IdentityType Yes El tipo de la identidad.The type of the identity.

Enum: IdentityType - Tipo: Edm.Int32Enum: IdentityType - Type: Edm.Int32

IdentityTypeIdentityType

Nombre del miembroMember name DescripciónDescription
ClaimClaim La identidad es una notificación para el propósito de autorización.The identity is a claim for authorization purpose.
NameName El actor de la acción de auditoría o el nombre para mostrar de la identidad de destino.The audit action actor or target identity display name.
OtherOther La identidad del actor es otro tipo, como ObjectId en GUID generado por el servicio de Office 365.The identity of the actor is other type, such as the ObjectId in GUID generated by the Office 365 service.
PUIDPUID El agente de acción de auditoría o el identificador único de Microsoft .NET Passport (PUID) de destino.The audit action actor or the target passport unique ID (PUID).
SPNSPN La identidad de una entidad de servicio si la acción la ejecuta el servicio de Office 365.The identity of a service principal if the action is performed by the Office 365 service.
UPNUPN El nombre principal del usuario.The user principal name.

Esquema de inicio de sesión de servicio de token de seguridad (STS) de Azure Active DirectoryAzure Active Directory Secure Token Service (STS) Logon schema

ParametersParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
ApplicationIdApplicationId Edm.StringEdm.String NoNo El GUID que representa la aplicación que solicita el inicio de sesión.The GUID that represents the application that is requesting the login. Se puede buscar el nombre para mostrar a través de la API de Graph de Azure Active Directory.The display name can be looked up via the Azure Active Directory Graph API.
ClientClient Edm.StringEdm.String NoNo Información de dispositivo cliente, proporcionada por el explorador que realiza el inicio de sesión.Client device information, provided by the browser performing the login.
LogonErrorLogonError Edm.StringEdm.String NoNo Para inicios de sesión erróneos, contiene el motivo por el que ha fallado el inicio de sesión.For failed logins, contains the reason why the login failed. Para obtener una descripción completa de LogonErrors consulte la lista de Códigos de error de autenticación y autorización.For a complete description of LogonErrors refer to the list of Authentication and authorization error codes.

Esquema DLPDLP schema

Los eventos DLP están disponibles para Exchange Online, SharePoint Online y OneDrive para la Empresa.DLP events are available for Exchange Online, SharePoint Online, and OneDrive For Business. Tenga en cuenta que los eventos DLP en Exchange solo están disponibles para los eventos basados en directiva DLP unificada (por ejemplo, configurados mediante el Centro de seguridad y cumplimiento).Note that DLP events in Exchange are only available for events based on unified DLP policy (e.g. configured via Security & Compliance Center). Los eventos DLP basados en las reglas de transporte de Exchange no son compatibles.DLP events based on Exchange Transport Rules are not supported.

Los eventos DLP (prevención de pérdida de datos) siempre tendrán UserKey="DlpAgent" en el esquema común.DLP (Data Loss Prevention) events will always have UserKey="DlpAgent" in the common schema. Hay tres tipos de DlpEvents que se almacenan como el valor de la propiedad Operation del esquema común:There are three types of DlpEvents that are stored as the value of the Operation property of the common schema:

  • DlpRuleMatch: indica que se encontró una coincidencia con una regla.DlpRuleMatch - This indicates a rule was matched. Estos eventos se encuentran en Exchange, SharePoint Online y en OneDrive para la Empresa.These events exist in both Exchange and SharePoint Online and OneDrive for Business. Para Exchange incluye los falsos positivos y reemplazar información.For Exchange it includes false positive and override information. En SharePoint Online y en OneDrive para la Empresa, los falsos positivos y los reemplazos generan eventos independientes.For SharePoint Online and OneDrive for Business, false positive and overrides generate separate events.

  • DlpRuleUndo: solo existen en SharePoint Online y en OneDrive para la Empresa e indican que una acción de la directiva aplicada anteriormente se ha "deshecho", debido a la designación de falso positivo o reemplazo por el usuario, o porque el documento ya no está sujeto a directiva (ya sea debido a cambio de directiva o a cambios al contenido del documento).DlpRuleUndo - These only exist in SharePoint Online and OneDrive for Business, and indicate a previously applied policy action has been "undone" – either because of false positive/override designation by user, or because the document is no longer subject to policy (either due to policy change or change to content in doc).

  • DlpInfo: solo se encuentran en SharePoint Online y en OneDrive para la Empresa e indican una designación de falso positivo, pero no se ha "deshecho" ninguna acción.DlpInfo - These only exist in SharePoint Online and OneDrive for Business and indicate a false positive designation but no action was "undone."

ParámetrosParameters TipoType ObligatorioMandatory DescripciónDescription
SharePointMetaDataSharePointMetaData Self.SharePointMetadataSelf.SharePointMetadata NoNo Describe los metadatos sobre el documento en SharePoint o en OneDrive para la Empresa, que contiene la información confidencial.Describes metadata about the document in SharePoint or OneDrive for Business that contained the sensitive information.
ExchangeMetaDataExchangeMetaData Self.ExchangeMetadataSelf.ExchangeMetadata NoNo Describe los metadatos sobre el mensaje de correo electrónico que contiene la información confidencial.Describes metadata about the email message that contained the sensitive information.
ExceptionInfoExceptionInfo Edm.StringEdm.String NoNo Identifica los motivos por los que ya no se aplica una directiva o cualquier información sobre falsos positivos o invalidación indicada por el usuario final.Identifies reasons why a policy no longer applies and/or any information about false positive and/or override noted by the end user.
PolicyDetailsPolicyDetails Collection(Self.PolicyDetails)Collection(Self.PolicyDetails) Yes Información sobre 1 o más directivas que ha desencadenado el evento DLP.Information about 1 or more policies that triggered the DLP event.
SensitiveInfoDetectionIsIncludedSensitiveInfoDetectionIsIncluded BooleanBoolean Yes Indica si el evento contiene el valor del tipo de datos confidenciales y el contexto del contenido de origen.Indicates whether the event contains the value of the sensitive data type and surrounding context from the source content. Obtener acceso a los datos confidenciales requiere el permiso "Leer eventos de directiva DLP como información confidencial" en Azure Active Directory.Accessing sensitive data requires the "Read DLP policy events including sensitive details" permission in Azure Active Directory.

Tipo complejo SharePointMetadataSharePointMetadata complex type

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
FromFrom Edm.StringEdm.String Yes El usuario ha desencadenado el evento.The user who triggered the event. Se trata de FileOwner, LastModifier o LastSharer.This will be either the FileOwner, LastModifier, or LastSharer.
itemCreationTimeitemCreationTime Edm.DateEdm.Date Yes Datetimestamp en UTC de cuando se registró el evento.Datetimestamp in UTC of when event logged.
SiteCollectionGuidSiteCollectionGuid Edm.GuidEdm.Guid Yes El GUID de la colección de sitios.The GUID of the site collection.
SiteCollectionUrlSiteCollectionUrl Edm.StringEdm.String Yes El nombre del sitio de SharePoint.Name of the SharePoint site.
FileNameFileName Edm.StringEdm.String Yes El nombre de la ruta de acceso.Name of the path.
FileOwnerFileOwner Edm.StringEdm.String Yes El propietario del documento.The document owner.
FilePathUrlFilePathUrl Edm.StringEdm.String Yes La dirección URL del documentoThe URL of the document
DocumentLastModifierDocumentLastModifier Edm.StringEdm.String Yes El usuario que ha modificado por última vez el documento.The user who last modified the document.
DocumentSharerDocumentSharer Edm.StringEdm.String Yes El usuario que ha modificado por última vez el uso compartido del documento.The user who last modified sharing of the document.
UniqueIdUniqueId Edm.StringEdm.String Yes Un GUID que identifica el archivo.A guid that identifies the file.
LastModifiedTimeLastModifiedTime Edm.DateTimeEdm.DateTime Yes Marca de tiempo en UTC que indica la última vez que se modificó el documento.Timestamp in UTC for when doc was last modified.

Tipo complejo ExchangeMetadataExchangeMetadata complex type

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
MessageIDMessageID Edm.StringEdm.String Yes El identificador de mensaje de correo electrónico que ha desencadenado el evento.The message ID of the email that triggered the event.
FromFrom Edm.StringEdm.String Yes El usuario que envió el correo electrónico.The user who sent the email.
ToTo Collection(Edm.String)Collection(Edm.String) NoNo Un conjunto de direcciones de correo electrónico que estaban en la línea Para del mensaje.A collection of email addresses that were on the To line of the message.
CCCC Collection(Edm.String)Collection(Edm.String) NoNo Un conjunto de direcciones de correo electrónico que estaban en la línea CC del mensaje.A collection of email addresses that were on the CC line of the message.
BCCBCC Collection(Edm.String)Collection(Edm.String) NoNo Un conjunto de direcciones de correo electrónico que estaban en la línea CCO del mensaje.A collection of email addresses that were on the BCC line of the message.
SubjectSubject Edm.StringEdm.String Yes El asunto del mensaje de correo electrónico.Subject of the email message.
SentSent Edm.DateTimeEdm.DateTime Yes La hora en UTC a la que se envió el correo electrónico.The time in UTC of when the email was sent.
RecipientCountRecipientCount Edm.Int32Edm.Int32 Yes El número total de todos los destinatarios en las líneas Para, CC y CCO del mensaje.The total number of all recipients on the TO, CC, and BCC lines of the message.

Tipo complejo PolicyDetailsPolicyDetails complex type

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
PolicyIdPolicyId Edm.GuidEdm.Guid Yes El GUID de la directiva DLP para el evento.The guid of the DLP policy for this event.
PolicyNamePolicyName Edm.StringEdm.String Yes El nombre descriptivo de la directiva DLP para el evento.The friendly name of the DLP policy for this event.
RulesRules Collection(Self.Rules)Collection(Self.Rules) Yes Información sobre las reglas de la directiva coincidentes para el evento.Information about the rules within the policy that were matched for this event.

Tipos complejo reglasRules complex type

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
RuleIdRuleId Edm.GuidEdm.Guid Yes El GUID de la regla DLP para el evento.The guid of the DLP rule for this event.
RuleNameRuleName Edm.StringEdm.String Yes El nombre descriptivo de la regla DLP para el evento.The friendly name of the DLP rule for this event.
AccionesActions Collection(Edm.String)Collection(Edm.String) NoNo Una lista de acciones como resultado de un evento RuleMatch DLP.A list of actions taken as a result of a DLP RuleMatch event.
OverriddenActionsOverriddenActions Collection(Edm.String)Collection(Edm.String) NoNo Una lista de acciones realizadas anteriormente que ahora se han deshecho como resultado de un evento DLPRuleUndo.A list of actions previously taken that were now undone as a result of a DLPRuleUndo event.
SeveritySeverity Edm.StringEdm.String NoNo La gravedad (baja, media y alta) de la coincidencia de regla.The severity (Low, Medium and High) of the rule match.
RuleModeRuleMode Edm.StringEdm.String Yes Indica si la regla DLP solo se ha configurado para Aplicar, Auditar con notificación o Solo auditar.Indicate whether the DLP Rule was set to Enforce, Audit with Notify, or Audit only.
ConditionsMatchedConditionsMatched Self.ConditionsMatchedSelf.ConditionsMatched NoNo Información sobre las condiciones de la regla para las que se han encontrado coincidencias para el evento.Details about what conditions of the rule were matched for this event.

Tipo complejo ConditionsMatchedConditionsMatched complex type

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
SensitiveInformationSensitiveInformation Collection(Self.SensitiveInformation)Collection(Self.SensitiveInformation) NoNo Información sobre el tipo de información confidencial que se detectó.Information about the type of sensitive information detected.
DocumentPropertiesDocumentProperties Collection(NameValuePair)Collection(NameValuePair) NoNo Información sobre las propiedades del documento que activaron una coincidencia de regla.Information about document properties that triggered a rule match.
OtherConditionsOtherConditions Collection(NameValuePair)Collection(NameValuePair) NoNo Una lista de los pares de valores clave que describe cualquier otra condición para la que se encontrón coincidencias.A list of key value pairs describing any other conditions that were matched.

Tipo complejo SensitiveInformationSensitiveInformation complex type

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
ConfidenceConfidence Edm.IntEdm.Int Yes La confianza del patrón que coincide con la detección.The confidence of pattern that matched the detection.
CountCount Edm.IntEdm.Int Yes El número de instancias confidenciales detectadas.The number of sensitive instances detected.
SensitiveTypeSensitiveType Edm.GuidEdm.Guid Yes Un GUID que identifica el tipo de información confidencial detectado.A guid that identifies the type of sensitive data detected.
SensitiveInformationDetectionsSensitiveInformationDetections Self.SensitiveInformationDetectionsSelf.SensitiveInformationDetections NoNo La matriz de objetos que contienen datos de información confidencial con los siguientes detalles: valor coincidente y contexto de valor coincidente.An array of objects that contain sensitive information data with the following details – matched value and context of matched value.

Tipo complejo SensitiveInformationDetectionsSensitiveInformationDetections complex type

Los datos confidenciales de DLP solo están disponibles en la API de fuente de actividades para los usuarios a los que se les han concedido permisos "Leer datos confidenciales de DLP".DLP sensitive data is only available in the activity feed API to users that have been granted "Read DLP sensitive data" permissions.

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
DetectionsDetections Collection(Self.Detections)Collection(Self.Detections) Yes Una matriz de información confidencial que se detectó.An array of sensitive information that was detected. La información contiene pares de valor con Value = valor coincidente (p. ej.Information contains key value pairs with Value = matched value (eg. valor de tarjeta de crédito de SSN) y Context = un fragmento de contenido de origen que contiene el valor coincidente.Value of credit card of SSN) and Context = an excerpt from source content that contains the matched value.
ResultsTruncatedResultsTruncated Edm.BooleanEdm.Boolean Yes Indica si los registros se truncan debido al gran número de resultados.Indicates if the logs were truncated due to large number of results.

Tipo complejo ExceptionInfoExceptionInfo complex type

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
ReasonReason Edm.StringEdm.String NoNo Para un evento DLPRuleUndo, indica por qué ya no se aplica la regla, lo que puede deberse a uno de los estos tres motivos: Invalidación, Cambio del documento o Cambio de directivaFor a DLPRuleUndo event, this indicates why the rule no longer applies, which can be one of 3 reasons: Override, Document Change, or Policy Change
FalsePositiveFalsePositive Edm.BooleanEdm.Boolean NoNo Indica si el usuario designó este evento como un falso positivo.Indicates whether the user designated this event as a false positive.
JustificaciónJustification Edm.StringEdm.String NoNo Si el usuario decidió invalidar la directiva, cualquier justificación especificada por el usuario se captura aquí.If the user chose to override policy, any user-specified justification is captured here.
RulesRules Collection(Edm.Guid)Collection(Edm.Guid) NoNo Una colección de GUID para las reglas que se designó como un falso positivo o invalidación o por la que se deshizo una acción.A collection of guids for each rule that was designated as a false positive or override, or for which an action was undone.

Esquema de Centro de seguridad y cumplimientoSecurity and Compliance Center schema

ParámetrosParameters TipoType ObligatorioMandatory DescripciónDescription
StartTimeStartTime Edm.DateEdm.Date NoNo La fecha y hora en que se ejecutó el cmdlet.The date and time at which the cmdlet was executed.
ClientRequestIdClientRequestId Edm.StringEdm.String NoNo Un GUID que puede usarse para correlacionar este cmdlet con las operaciones de UX del Centro de seguridad y cumplimiento.A GUID that can be used to correlate this cmdlet with the Security & Compliance Center UX operations. Solo el soporte técnico de Microsoft utiliza esta información.This information is only used by Microsoft support.
CmdletVersionCmdletVersion Edm.StringEdm.String NoNo La versión de compilación del cmdlet cuando se ejecutó.The build version of the cmdlet when it was executed.
EffectiveOrganizationEffectiveOrganization Edm.StringEdm.String NoNo El GUID de la organización que se han visto afectada por el cmdlet.The GUID for the organization impacted by the cmdlet. (En desuso: este parámetro dejará de aparecer en el futuro.)(Deprecated: This parameter will stop appearing in the future.)
UserServicePlanUserServicePlan Edm.StringEdm.String NoNo El plan de servicio de Exchange Online Protection asignado al usuario que ejecutó el cmdlet.The Exchange Online Protection service plan assigned to the user that executed the cmdlet.
ClientApplicationClientApplication Edm.StringEdm.String NoNo Si una aplicación ejecutó el cmdlet, a diferencia de un PowerShell remoto, este campo contiene el nombre de la aplicación.If the cmdlet was executed by an application, as opposed to remote powershell, this field contains that application's name.
ParámetrosParameters Edm.StringEdm.String NoNo El nombre y valor de los parámetros usados con el cmdlet que no incluyen información de identificación personal.The name and value for parameters that were used with the cmdlet that do not include Personally Identifiable Information.
NonPiiParametersNonPiiParameters Edm.StringEdm.String NoNo El nombre y valor de los parámetros usados con el cmdlet que incluyen información de identificación personal.The name and value for parameters that were used with the cmdlet that include Personally Identifiable Information. (En desuso: este campo dejará de aparecer en el futuro y su contenido se combinará con el campo Parameters.)(Deprecated: This field will stop appearing in the future and its content merged with the Parameters field.)

Esquema de alertas de seguridad y cumplimientoSecurity and Compliance Alerts schema

Las señales de alerta son:Alert signals include:

Los UserId y UserKey de estos eventos son siempre SecurityComplianceAlerts.The UserId and UserKey of these events are always SecurityComplianceAlerts. Hay tres tipos de alerta que se almacenan como el valor de la propiedad Operation del esquema común:There are three types of alert events that are stored as the value of the Operation property of the common schema:

  • AlertTriggered: una nueva alerta se genera debido a una coincidencia de directiva.AlertTriggered - A new alert is generated due to a policy match.

  • AlertEntityGenerated: una nueva entidad se agrega a una alerta.AlertEntityGenerated - A new entity is added to an alert. Este evento solo es aplicables a las alertas generadas según directivas de Alerta en el Centro de seguridad y cumplimiento.This event is only applicable to alerts generated based on Alert policies in the security and compliance center. Cada alerta generada puede estar asociada con uno o varios de estos eventos.Each generated alert can be associated with one or multiple of these events. Por ejemplo, una directiva de alerta está definida para desencadenar una alerta si un usuario elimina más de 100 archivos en 5 minutos.For example, an alert policy is defined to trigger an alert if any user deletes more than 100 files in 5 minutes. Si dos usuarios superan el umbral aproximadamente al mismo tiempo, habrá dos eventos AlertEntityGenerated, pero solo un evento AlertTriggered.If two users exceed the threshold around the same time, there will be two AlertEntityGenerated events, but only one AlertTriggered event.

  • AlertUpdated: se ha realizado una actualización de los metadatos de una alerta.AlertUpdated - An update was made to the metadata of an alert. Este evento se registra cuando el estado de una alerta se cambia (por ejemplo, de "Activo" a "Resuelto") y cuando alguien agrega un comentario a la alerta.This event is logged when the status of an alert is changed (for example, from "Active" to "Resolved") and when someone adds a comment to the alert.

ParámetrosParameters TipoType ObligatorioMandatory DescripciónDescription
AlertIdAlertId Edm.GuidEdm.Guid Yes El GUID de la alerta.The Guid of the alert.
AlertTypeAlertType Self.StringSelf.String Yes Tipo de la alerta.Type of the alert. Los tipos de alertas son:Alert types include:
  • SistemaSystem

  • PersonalizadoCustom

NombreName Edm.StringEdm.String Yes Nombre de la alerta.Name of the alert.
PolicyIdPolicyId Edm.GuidEdm.Guid NoNo El GUID de la directiva que activó la alerta.The Guid of the policy that triggered the alert.
EstadoStatus Edm.StringEdm.String NoNo Estado de la alerta.Status of the alert. Los estados son:Statuses include:
  • ActivoActive

  • InvestigandoInvestigating

  • ResueltoResolved

  • DescartadaDismissed

SeveritySeverity Edm.StringEdm.String NoNo Gravedad de la alerta.Severity of the alert. Los niveles de gravedad son:Severity levels include:
  • BajoLow

  • MedianoMedium

  • AltoHigh

CategoríaCategory Edm.StringEdm.String NoNo Categoría de la alerta.Category of the alert. Las categorías son:Categories include:
  • AccessGovernanceAccessGovernance

  • DataGovernanceDataGovernance

  • DataLossPreventionDataLossPrevention

  • InsiderRiskManagementInsiderRiskManagement

  • MailFlowMailFlow

  • ThreatManagementThreatManagement

  • OtrosOther

OrigenSource Edm.StringEdm.String NoNo Origen de la alerta.Source of the alert. Los orígenes son:Sources include:
  • Centro de seguridad y cumplimiento de Office 365Office 365 Security & Compliance

  • Cloud App SecurityCloud App Security

ComentariosComments Edm.StringEdm.String NoNo Comentarios de los usuarios que han visto la alerta.Comments left by the users who have viewed the alert. De forma predeterminada, es "Nueva alerta".By default, it's "New alert".
DatosData Edm.StringEdm.String NoNo El blob de datos detallados de la alerta o la entidad de la alerta.The detailed data blob of the alert or alert entity.
AlertEntityIdAlertEntityId Edm.StringEdm.String NoNo El identificador de la entidad alerta.The identifier for the alert entity. Este parámetro solo es válido para los eventos AlertEntityGenerated.This parameter is only applicable to AlertEntityGenerated events.
EntityTypeEntityType Edm.StringEdm.String NoNo Tipo de la alerta o de la entidad de la alerta.Type of the alert or alert entity. Los tipos de entidad de alertas son:Entity types include:
  • UsuarioUser

  • DestinatariosRecipients

  • RemitenteSender

  • MalwareFamilyMalwareFamily

Este parámetro solo es válido para los eventos AlertEntityGenerated.This parameter is only applicable to AlertEntityGenerated events.

Esquema de YammerYammer schema

Los eventos Yammer listados en Buscar el registro de auditoría en elCentro de Seguridad y Cumplimiento utilizarán este esquema.The Yammer events listed in Search the audit log in the Security & Compliance Center will use this schema.

ParámetrosParameters TipoType ObligatorioMandatory DescripciónDescription
ActorUserIdActorUserId Edm.StringEdm.String NoNo El correo electrónico del usuario que llevó a cabo la operación.Email of user that performed the operation.
ActorYammerUserIdActorYammerUserId Edm.Int64Edm.Int64 NoNo El id. del usuario que llevó a cabo la operación.ID of user that performed the operation.
DataExportTypeDataExportType Edm.StringEdm.String NoNo Devuelve "data" si la exportación de datos incluye mensajes, notas, archivos, temas, usuarios y grupos; devuelve "user" si la exportación de datos incluye únicamente a los usuarios.Returns "data" if data export includes messages, notes, files, topics, users and groups; returns "user" if data export includes users only.
FileIdFileId Edm.Int64Edm.Int64 NoNo Id. del archivo en la operación.ID of the file in the operation.
FileNameFileName Edm.StringEdm.String NoNo Nombre del archivo en la operación.Name of the file in the operation. Se mostrará en blanco si no es relevante para la operación.Will appear blank if not relevant to the operation.
GroupNameGroupName Edm.StringEdm.String NoNo Nombre del grupo en la operación.Name of the group in the operation. Se mostrará en blanco si no es relevante para la operación.Will appear blank if not relevant to the operation.
IsSoftDeleteIsSoftDelete Edm.BooleanEdm.Boolean NoNo Devuelve "true" si se establece la directiva de retención de datos de la red en Eliminación temporal; devuelve "false" si se establece la directiva de retención de datos de la red en Eliminación.Returns "true" if the network's data retention policy is set to Soft Delete; returns "false" if the network's data retention policy is set to Hard Delete.
MessageIdMessageId Edm.Int64Edm.Int64 NoNo Id. del mensaje en la operación.ID of the message in the operation.
YammerNetworkIdYammerNetworkId Edm.Int64Edm.Int64 NoNo El id. de la red del usuario que llevó a cabo la operación.Network ID of the user that performed the operation.
TargetUserIdTargetUserId Edm.StringEdm.String NoNo El correo electrónico del usuario de destino en la operación.Email of target user in the operation. Se mostrará en blanco si no es relevante para la operación.Will appear blank if not relevant to the operation.
TargetYammerUserIdTargetYammerUserId Edm.Int64Edm.Int64 NoNo El id. del usuario de destino en la operación.ID of target user in the operation.
VersionIdVersionId Edm.Int64Edm.Int64 NoNo El id. de versión del archivo en la operación.Version ID of the file in the operation.

Esquema de base de seguridad del centro de datosData Center Security Base schema

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
DataCenterSecurityEventTypeDataCenterSecurityEventType Self.DataCenterSecurityEventTypeSelf.DataCenterSecurityEventType Yes El tipo de evento dmdlet en el cuadro de bloqueo.The type of dmdlet event in lock box.

Enum: DataCenterSecurityEventType - Tipo: Edm.Int32Enum: DataCenterSecurityEventType - Type: Edm.Int32

DataCenterSecurityEventTypeDataCenterSecurityEventType

Nombre del miembroMember name DescripciónDescription
DataCenterSecurityCmdletAuditEventDataCenterSecurityCmdletAuditEvent Este es el valor de enumeración para el tipo de evento de auditoría de cmdlet.This is the enum value for cmdlet audit type event.

Esquema de cmdlet de seguridad del centro de datosData Center Security Cmdlet schema

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
StartTimeStartTime Edm.DateEdm.Date Yes La hora de inicio de la ejecución del cmdlet.The start time of the cmdlet execution.
EffectiveOrganizationEffectiveOrganization Edm.StringEdm.String Yes El nombre del inquilino al que iba dirigido el cmdlet o la elevación.The name of the tenant that the elevation/cmdlet was targeted at.
ElevationTimeElevationTime Edm.DateEdm.Date Yes La hora de inicio de la elevación.The start time of the elevation.
ElevationApproverElevationApprover Edm.StringEdm.String Yes El nombre de un administrador de Microsoft.The name of a Microsoft manager.
ElevationApprovedTimeElevationApprovedTime Edm.DateEdm.Date NoNo La marca de tiempo para cuando se apruebe la elevación.The timestamp for when the elevation was approved.
ElevationRequestIdElevationRequestId Edm.GuidEdm.Guid Yes Identificador exclusivo para la solicitud de elevación.A unique identifier for the elevation request.
ElevationRoleElevationRole Edm.StringEdm.String NoNo El rol para la que se solicitó la elevación.The role the elevation was requested for.
ElevationDurationElevationDuration Edm.Int32Edm.Int32 Yes La duración en la que la elevación estuvo activa.The duration for which the elevation was active.
GenericInfoGenericInfo Edm.StringEdm.String NoNo Usado para comentarios y otra información genérica.Used for comments and other generic information.

Esquema de Microsoft TeamsMicrosoft Teams schema

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
MessageIdMessageId Edm.StringEdm.String NoNo Un identificador de mensaje de un canal o chat.An identifier for a chat or channel message.
MembersMembers Collection(Self.MicrosoftTeamsMember)Collection(Self.MicrosoftTeamsMember) NoNo Una lista de usuarios en un equipo.A list of users within a Team.
TeamNameTeamName Edm.StringEdm.String NoNo El nombre del equipo que se audita.The name of the team being audited.
TeamGuidTeamGuid Edm.GuidEdm.Guid NoNo Un identificador único del equipo que se audita.A unique identifier for the team being audited.
ChannelTypeChannelType Edm.StringEdm.String NoNo El tipo de canal que se está auditando (estándar o privado).The type of channel being audited (Standard/Private).
ChannelNameChannelName Edm.StringEdm.String NoNo El nombre del canal que se audita.The name of the channel being audited.
ChannelGuidChannelGuid Edm.GuidEdm.Guid NoNo Un identificador único para el canal que se audita.A unique identifier for the channel being audited.
ExtraPropertiesExtraProperties Collection(Self.KeyValuePair)Collection(Self.KeyValuePair) NoNo Una lista de propiedades adicionales.A list of extra properties.
AddOnTypeAddOnType Self.AddOnTypeSelf.AddOnType NoNo El tipo de complemento que generó el evento.The type of add-on that generated this event.
AddonNameAddonName Edm.StringEdm.String NoNo El nombre del complemento que generó el evento.The name of the add-on that generated the event.
AddOnGuidAddOnGuid Edm.GuidEdm.Guid NoNo Un identificador único del complemento que generó el evento.A unique identifier for the add-on that generated the event.
TabTypeTabType Edm.StringEdm.String NoNo Solo está disponible para los eventos de pestaña.Only present for tab events. El tipo de pestaña que generó el evento.The type of tab that generated the event.
NombreName Edm.StringEdm.String NoNo Solo está disponible para eventos de configuración.Only present for settings events. Nombre de la configuración que ha cambiado.Name of the setting that changed.
OldValueOldValue Edm.StringEdm.String NoNo Solo está disponible para eventos de configuración.Only present for settings events. Valor antiguo de la configuración.Old value of the setting.
NewValueNewValue Edm.StringEdm.String NoNo Solo está disponible para eventos de configuración.Only present for settings events. Valor nuevo de la configuración.New value of the setting.

Tipo complejo MicrosoftTeamsMemberMicrosoftTeamsMember complex type

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
UPNUPN Edm.StringEdm.String NoNo El nombre principal del usuario.The user principal name of the user.
RoleRole Self.MemberRoleTypeSelf.MemberRoleType NoNo El rol de usuario en el equipo.The role of the user within the team.
DisplayNameDisplayName Edm.StringEdm.String NoNo El nombre para mostrar del usuario.The display name of the user.

Enum: MemberRoleType - Tipo: Edm.Int32Enum: MemberRoleType - Type: Edm.Int32

MemberRoleTypeMemberRoleType

ValorValue Nombre del miembroMember name DescripciónDescription
00 MemberMember Un usuario que es un miembro del equipo.A user who is a member of the team.
11 OwnerOwner Un usuario que es el propietario del equipo.A user who is the owner of the team.
22 GuestGuest Un usuario que no es un miembro del equipo.A user who is not a member of the team.

Tipo complejo KeyValuePairKeyValuePair complex type

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
Key Key Edm.StringEdm.String NoNo La clave del par clave-valor.The key of the key-value pair.
ValorValue Edm.StringEdm.String NoNo El valor del par clave-valor.The value of the key-value pair.

Enum: AddOnType - Tipo: Edm.Int32Enum: AddOnType - Type: Edm.Int32

AddOnTypeAddOnType

ValorValue Nombre del miembroMember name DescripciónDescription
11 BotBot Un bot de Microsoft Teams.A Microsoft Teams bot.
22 ConnectorConnector Un conector de Microsoft Teams.A Microsoft Teams connector.
33 TabTab Una pestaña de Microsoft Teams.A Microsoft Teams tab.

Esquema de Investigación y respuesta de amenazas y Microsoft Defender para Office 365Microsoft Defender for Office 365 and Threat Investigation and Response schema

Microsoft Defender para Office 365 y los eventos de Investigación y respuesta de amenazas están disponibles para los clientes de Office 365 que tienen una suscripción de Defender para Office 365 Plan 1, Defender para Office 365 Plan 2 o E5.Microsoft Defender for Office 365 and Threat Investigation and Response events are available for Office 365 customers who have an Defender for Office 365 Plan 1, Defender for Office 365 Plan 2, or an E5 subscription. Cada evento en la fuente de Defender para Office 365 corresponde a los siguientes eventos que se determinó que contenían una amenaza:Each event in the Defender for Office 365 feed corresponds to the following that were determined to contain a threat:

Nota

Las funciones de Microsoft Defender para Office 365 y de Investigación y respuesta de amenazas de Office 365 (anteriormente conocida como Inteligencia sobre amenazas de Office 365) ahora forman parte de Microsoft Defender para Office 365 Plan 2, con funciones de protección contra amenazas adicionales.Microsoft Defender for Office 365 and Office 365 Threat Investigation and Response (formerly known as Office 365 Threat Intelligence) capabilites are now part of Defender for Office 365 Plan 2, with additional threat protection capabilities. Para más información, consulte Planes y precios de Microsoft Defender para Office 365 y la Descripción del servicio de Defender para Office 365.To learn more, see Microsoft Defender for Office 365 plans and pricing and the Defender for Office 365 Service Description.

Eventos de mensaje de correo electrónicoEmail message events

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
AttachmentDataAttachmentData Collection(Self.AttachmentData)Collection(Self.AttachmentData) NoNo Datos sobre los datos adjuntos en el mensaje de correo electrónico que ha desencadenado el evento.Data about attachments in the email message that triggered the event.
DetectionTypeDetectionType Edm.StringEdm.String Yes El tipo de detección (por ejemplo, Inline : detectado durante la entrega; Delayed: detectado después de la entrega; ZAP: mensajes eliminados por la purga automática).The type of detection (for example, Inline - detected at delivery time; Delayed - detected after delivery; ZAP - messages removed by Zero hour auto purge). Los eventos con el tipo de detección ZAP normalmente irán precedidos de un mensaje con el tipo de detección Delayed.Events with ZAP detection type will typically be preceded by a message with a Delayed detection type.
DetectionMethodDetectionMethod Edm.StringEdm.String Yes El método o la tecnología usada por Defender para Office 365 para la detección.The method or technology used by Defender for Office 365 for the detection.
InternetMessageIdInternetMessageId Edm.StringEdm.String Yes El Id. del mensaje de Internet.The Internet Message Id.
NetworkMessageIdNetworkMessageId Edm.StringEdm.String Yes El id. de mensaje de red en línea de Exchange.The Exchange Online Network Message Id.
P1SenderP1Sender Edm.StringEdm.String Yes La ruta de devolución del remitente del mensaje de correo electrónico.The return path of sender of the email message.
P2SenderP2Sender Edm.StringEdm.String Yes El remitente del mensaje de correo electrónico.The from sender of the email message.
PolicyPolicy Self.PolicySelf.Policy Yes El tipo de directiva de filtrado (por ejemplo, Filtro de correo no deseado o Antiphishing) y el tipo de acción relacionada (como el correo no deseado de alta confianza, correo no deseado o suplantación de identidad) relevantes para el mensaje de correo electrónico.The type of filtering policy (for example Anti-spam or Anti-phish) and related action type (such as High Confidence Spam, Spam, or Phish) relevant to the email message.
PolicyPolicy Self.PolicyActionSelf.PolicyAction Yes La acción configurada en la directiva de filtrado (por ejemplo, Mover a la carpeta de correo no deseado o Cuarentena) relevante para el mensaje de correo electrónico.The action configured in the filtering policy (for example, Move to Junk Mail folder or Quarantine) relevant to the email message.
P2SenderP2Sender Edm.StringEdm.String Yes El De: el remitente del mensaje de correo electrónico.The From: sender of the email message.
RecipientsRecipients Collection(Edm.String)Collection(Edm.String) Yes Una matriz de los destinatarios del mensaje de correo electrónico.An array of recipients of the email message.
SenderIpSenderIp Edm.StringEdm.String Yes La dirección IP que envió el correo electrónico de Office 365.The IP address that submitted the email of Office 365. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.The IP address is displayed in either an IPv4 or IPv6 address format.
SubjectSubject Edm.StringEdm.String Yes La línea de asunto del mensaje.The subject line of the message.
VerdictVerdict Edm.StringEdm.String Yes El veredicto del mensaje.The message verdict.
MessageTimeMessageTime Edm.DateEdm.Date Yes Fecha y hora en formato de hora universal coordinada (UTC) en la que el mensaje se ha recibido o enviado.Date and time in Coordinated Universal Time (UTC) the email message was received or sent.
EventDeepLinkEventDeepLink Edm.StringEdm.String Yes Vínculo profundo para el evento de correo electrónico en los informes en tiempo real o el explorador en el Centro de seguridad y cumplimiento de Office 365.Deep-link to the email event in Explorer or Real-time reports in the Office 365 Security & Compliance Center.

Tipo complejo AttachmentDataAttachmentData complex type

AttachmentDataAttachmentData

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
FileNameFileName Edm.StringEdm.String Yes El nombre de archivo de los datos adjuntos.The file name of the attachment.
FileTypeFileType Edm.StringEdm.String Yes El tipo de archivo de los datos adjuntos.The file type of the attachment.
FileVerdictFileVerdict Self.FileVerdictSelf.FileVerdict Yes El veredicto de malware del archivo.The file malware verdict.
MalwareFamilyMalwareFamily Edm.StringEdm.String NoNo La familia de malware del archivo.The file malware family.
SHA256SHA256 Edm.StringEdm.String Yes El hash SHA256 del archivo.The file SHA256 hash.

Enum: FileVerdict - Tipo: Edm.Int32Enum: FileVerdict - Type: Edm.Int32

FileVerdictFileVerdict

ValorValue Nombre del miembroMember name DescripciónDescription
00 GoodGood No hay amenazas detectadas.No threats detected.
11 BadBad Malware detectado en el archivo adjunto.Malware found in attachment.
-1-1 ErrorError Error de análisis o examen.Scan / analysis error.
-2-2 TimeoutTimeout Se agotó el tiempo de espera del análisis o el examen.Scan / analysis timeout.
-3-3 PendingPending El análisis o el examen no se completó.Scan / analysis not complete.

Enum: Policy - Type: Edm.Int32Enum: Policy - Type: Edm.Int32

Tipo de directiva y tipo de acciónPolicy type and action type

ValorValue Nombre del miembroMember name DescripciónDescription
11 Anti-spam, HSPMAnti-spam, HSPM Acción de correo no deseado de alta confianza (HSPM) en la Directiva contra correo no deseado.High Confidence Spam (HSPM) action in the Anti-spam policy.
22 Anti-spam, SPMAnti-spam, SPM Acción de correo no deseado (SPM) en la Directiva contra correo no deseado.Spam (SPM) action in the Anti-spam policy.
33 Anti-spam, BulkAnti-spam, Bulk Acción masiva en la Directiva contra correo no deseado.Bulk action in the Anti-spam policy.
44 Anti-spam, PHSHAnti-spam, PHSH Acción de suplantación de identidad (PHSH) en la Directiva contra correo no deseado.Phish (PHSH) action in the Anti-spam policy.
55 Anti-phish, DIMPAnti-phish, DIMP Acción de suplantación de dominios (DIMP) en la Directiva antiphishing.Domain Impersonation (DIMP) action in the Anti-phish policy.
66 Anti-phish, UIMPAnti-phish, UIMP Acción de suplantación de usuarios (UIMP) en la Directiva antiphishing.User Impersonation (UIMP) action in the Anti-phish policy.
77 Anti-phish, SPOOFAnti-phish, SPOOF Acción de suplantación en la Directiva antiphishing.Spoof action in the Anti-phish policy.
88 Anti-phish, GIMPAnti-phish, GIMP La acción de inteligencia de buzón en la directiva ANTIPHISH.Mailbox intelligence action in the Anti-phish policy.
99 Programas anti-malware, AMPAnti-malware, AMP La acción de la directiva contra malware en la directiva antimalware.Malware policy action in the Anti-malware policy.
1010 Datos adjuntos seguros, SAPSafe attachment, SAP La acción de directiva en la directiva Datos adjuntos seguros en Defender para Office 365.Policy action in the Safe attachments in Defender for Office 365 policy.
1111 Regla de transporte de Exchange, ETRExchange transport rule, ETR La acción de directiva en la regla de transporte de Exchange.Policy action in the Exchange Transport Rule.
1212 Antimalware, ZAPMAnti-malware, ZAPM La acción de directiva de malware en la Directiva antimalware que se aplica a la purga automática de cero horas (ZAP).Malware policy action in the Anti-malware policy applied to Zero-hour auto purge (ZAP).
1313 Anti-phish, ZAPPAnti-phish, ZAPP La acción política en la política antiphish aplicada a ZAP.Phish policy action in the Anti-phish policy applied to ZAP.
1414 Anti-phish, ZAPSAnti-phish, ZAPS La acción de la directiva de correo no deseado en la directiva contra correo no deseado aplicada a ZAP.Spam policy action in the Anti-spam policy applied to ZAP.
1515 Filtro de correo no deseado, correo electrónico de suplantación de identidad de alta confianza (HPHISH)Anti-spam, High confidence phish email (HPHISH) Acción de correo electrónico de suplantación de identidad de alta confianza en la Directiva contra correo no deseado.High confidence Phish policy action in Anti-spam policy.
1717 Filtro de correo no deseado, Directiva de correo no deseado saliente (OSPM)Anti-spam, Outbound spam policy (OSPM) Acción de directiva en la directiva de filtro de correo no deseado saliente en filtro de correo electrónico no deseado.Policy action in the outbound spam filter policy in Anti-spam.

Enum: PolicyAction - Type: Edm.Int32Enum: PolicyAction - Type: Edm.Int32

Acción de directivaPolicy action

ValorValue Nombre del miembroMember name DescripciónDescription
00 MoveToJMFMoveToJMF La acción de directiva es moverse a la carpeta correo no deseado.Policy action is to move to Junk Mail folder.
11 AddXHeaderAddXHeader La acción de directiva es agregar el encabezado X al mensaje de correo electrónico.Policy action is to add X-header to the email message.
22 ModifySubjectModifySubject La acción de directiva es modificar el asunto del mensaje de correo electrónico con la información especificada por la directiva de filtrado.Policy action is to modify subject in the email message with information specified by the filtering policy.
33 RedirectRedirect La acción de directiva es redirigir el mensaje de correo electrónico a la dirección de correo electrónico especificada por la directiva de filtrado.Policy action is to redirect email message to email address specificed by the filtering policy.
44 DeleteDelete La acción de directiva es eliminar (quitar) el mensaje de correo electrónico.Policy action is to delete (drop) the email message.
55 QuarantineQuarantine La acción de directiva es poner en cuarentena el mensaje de correo electrónico.Policy action is to quarantine the email message.
66 NoActionNoAction La directiva está configurada para no realizar ninguna acción en el mensaje de correo electrónico.Policy is configured to take no action on the email message.
77 BccMessageBccMessage La acción de directiva consiste en enviar en CCO el mensaje de correo electrónico a la dirección de correo electrónico especificada por la directiva de filtrado.Policy action is to Bcc the email message to email address specificed by the filtering policy.
88 ReplaceAttachmentReplaceAttachment La acción de directiva es reemplazar los datos adjuntos del mensaje de correo electrónico tal como especifica la directiva de filtrado.Policy action is to replace the attachment in the email message as specified by the filtering policy.

Eventos de tiempo de clic de URLURL time-of-click events

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
UserIdUserId Edm.StringEdm.String Yes El identificador (por ejemplo, la dirección de correo electrónico) para el usuario que hizo clic en la dirección URL.Identifier (for example, email address) for the user who clicked on the URL.
AppNameAppName Edm.StringEdm.String Yes El servicio de Office 365 desde el que se hizo clic en la dirección URL (por ejemplo, Correo).Office 365 service from which the URL was clicked (for example, Mail).
URLClickActionURLClickAction Self.URLClickActionSelf.URLClickAction Yes Acción de clic para la dirección URL según las directivas de la organización para Vínculos seguros en Defender para Office 365.Click action for the URL based on the organization's policies for Safe Links in Defender for Office 365.
SourceIdSourceId Edm.StringEdm.String Yes El identificador para el servicio de Office 365 desde el que se hizo clic en la dirección URL (por ejemplo, para el correo es el id. de mensaje de red de Exchange Online).Identifier for the Office 365 service from which the URL was clicked (for example, for mail this is the Exchange Online Network Message Id).
TimeOfClickTimeOfClick Edm.DateEdm.Date Yes La fecha y hora en formato Hora universal coordinada (UTC) cuando el usuario hizo clic en la dirección URL.The date and time in Coordinated Universal Time (UTC) when the user clicked the URL.
URLURL Edm.StringEdm.String Yes Dirección URL en la que el usuario hizo clic.URL clicked by the user.
UserIpUserIp Edm.StringEdm.String Yes La dirección IP para el usuario que hizo clic en la dirección URL.The IP address for the user who clicked the URL. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.The IP address is displayed in either an IPv4 or IPv6 address format.

Enum: URLClickAction - Tipo: Edm.Int32Enum: URLClickAction - Type: Edm.Int32

URLClickActionURLClickAction

ValorValue Nombre del miembroMember name DescripciónDescription
22 BlockpageBlockpage Usuario bloqueado para navegar a la dirección URL por Vínculos seguros en Defender para Office 365.User blocked from navigating to the URL by Safe Links in Defender for Office 365.
33 PendingDetonationPagePendingDetonationPage Usuario presentado con la página de detonación pendiente por Vínculos seguros en Defender para Office 365.User presented with the detonation pending page by Safe Links in Defender for Office 365.
44 BlockPageOverrideBlockPageOverride Usuario bloqueado para navegar a la dirección URL por Vínculos seguros de Office 365 ATP; sin embargo, el usuario ha omitido el bloqueo para navegar a la URL.User blocked from navigating to the URL by Safe Links in Defender for Office 365; however user overrode block to navigate to the URL.
55 PendingDetonationPageOverridePendingDetonationPageOverride Usuario presentado con la página de detonación pendiente por Vínculos seguros en Defender para Office 365; sin embargo, el usuario ha omitido el bloqueo para navegar a la URL.User presented with the detonation page by Safe Links in Defender for Office 365; however user overrode to navigate to the URL.

Eventos de archivoFile events

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
FileDataFileData Self.FileDataSelf.FileData Yes Datos sobre el archivo que ha desencadenado el evento.Data about the file that triggered the event.
SourceWorkloadSourceWorkload Self.SourceWorkloadSelf.SourceWorkload Yes Carga de trabajo o servicio en el que se encontró el archivo (por ejemplo, SharePoint Online, OneDrive para la Empresa o Microsoft Teams)Workload or service where teh file was found (for example, SharePoint Online, OneDrive for Business, or Microsoft Teams)
DetectionMethodDetectionMethod Edm.StringEdm.String Yes El método o la tecnología usada por Microsoft Defender para Office 365 para la detección.The method or technology used by Microsoft Defender for Office 365 for the detection.
LastModifiedDateLastModifiedDate Edm.DateEdm.Date Yes Fecha y hora en formato de hora universal coordinada (UTC) en la que el archivo fue creado o modificado por última vez.The date and time in Coordinated Universal Time (UTC) when the file was created or last modified.
LastModifiedByLastModifiedBy Edm.StringEdm.String Yes El identificador (por ejemplo, la dirección de correo electrónico) para el usuario que creó o modificó por última vez el archivo.Identifier (for example, an email address) for the user who created or last modified the file.
EventDeepLinkEventDeepLink Edm.StringEdm.String Yes Vínculo profundo para el evento de archivo en los informes en tiempo real o el explorador en el Centro de seguridad y cumplimiento.Deep-link to the file event in Explorer or Real-time reports in the Security & Compliance Center.

Tipos complejo FileDataFileData complex type

FileDataFileData

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
DocumentIdDocumentId Edm.StringEdm.String Yes Identificador único para el archivo en Microsoft Teams, OneDrive o SharePoint.Unique identifier for the file in SharePoint, OneDrive, or Microsoft Teams.
FileNameFileName Edm.StringEdm.String Yes Nombre del archivo que ha desencadenado el evento.Name of the file that triggered the event.
FilePathFilePath Edm.StringEdm.String Yes Ruta de acceso (ubicación) para el archivo en Microsoft Teams, OneDrive o SharePoint.Path (location) for the file in SharePoint, OneDrive, or Microsoft Teams.
FileVerdictFileVerdict Self.FileVerdictSelf.FileVerdict Yes El veredicto de malware del archivo.The file malware verdict.
MalwareFamilyMalwareFamily Edm.StringEdm.String NoNo La familia de malware del archivo.The file malware family.
SHA256SHA256 Edm.StringEdm.String Yes El hash SHA256 del archivo.The file SHA256 hash.
FileSizeFileSize Edm.StringEdm.String Yes Tamaño del archivo en bytes.Size for the file in bytes.

Enum: SourceWorkload - Tipo: Edm.Int32Enum: SourceWorkload - Type: Edm.Int32

SourceWorkloadSourceWorkload

ValorValue Nombre del miembroMember name
00 SharePoint OnlineSharePoint Online
11 OneDrive para la EmpresaOneDrive for Business
22 Microsoft TeamsMicrosoft Teams

Eventos de investigación y respuesta automatizada en Office 365Automated investigation and response events in Office 365

Los eventos de Investigación y respuesta automatizada (AIR) de Office 365 están disponibles para los clientes de Office 365 que tienen una suscripción que incluye Microsoft Defender para Office 365 Plan 2 u Office 365 E5.Office 365 automated investigation and response (AIR) events are available for Office 365 customers who have a subscription that includes Microsoft Defender for Office 365 Plan 2 or Office 365 E5. Los eventos de investigación se registran en función de un cambio en el estado de investigación.Investigation events are logged based on a change in investigation status. Por ejemplo, cuando un administrador realiza una acción que cambia el estado de una investigación de Acciones pendientes a Completada, se registra un evento.For example, when an administrator takes an action that changes the status of an investigation from Pending Actions to Completed, an event is logged.

Actualmente, solo se registran las investigaciones automatizadas.Currently, only automated investigation are logged. (Próximamente estarán disponibles eventos para las investigaciones generadas manualmente). Se registran los siguientes valores de estado:(Events for manually generated investigations are coming soon.) The following status values are logged:

  • Investigación iniciadaInvestigation Started
  • No se encontraron amenazasNo threats found
  • Finalizado por el sistemaTerminated by System
  • Acción pendientePending Action
  • Amenazas encontradasThreats Found
  • CorregidoRemediated
  • ErrorFailed
  • Finalizado por limitaciónTerminated by throttling
  • Finalizado por el usuarioTerminated By User
  • En funcionamientoRunning

Esquema de investigación principalMain investigation schema

NombreName TipoType DescripciónDescription
InvestigationIdInvestigationId Edm.StringEdm.String Identificador de la investigación/GUIDInvestigation ID/GUID
InvestigationNameInvestigationName Edm.StringEdm.String Nombre de la investigaciónName of the investigation
InvestigationTypeInvestigationType Edm.StringEdm.String Tipo de investigaciónType of the investigation. Puede tomar uno de los siguientes valores:Can take one of the following values:
- Mensajes notificados por el usuario- User-Reported Messages
- Malware purgado automáticamente- Zapped Malware
- Suplantación de identidad purgada automáticamente- Zapped Phish
- Cambio de veredicto de dirección URL- Url Verdict Change

(Las investigaciones manuales no están disponibles actualmente, pero lo estarán próximamente).(Manual investigations are currently not available and are coming soon.)

LastUpdateTimeUtcLastUpdateTimeUtc Edm.DateEdm.Date Hora UTC de la última actualización para una investigaciónUTC time of the last update for an investigation
StartTimeUtcStartTimeUtc Edm.DateEdm.Date Hora de inicio de una investigaciónStart time for an investigation
EstadoStatus Edm.StringEdm.String Estado de investigación, En ejecución, Acciones pendientes, etc.State of investigation, Running, Pending Actions, etc.
DeeplinkURLDeeplinkURL Edm.StringEdm.String Dirección URL de vínculo profundo de una investigación en el Centro de seguridad y cumplimiento de Office 365Deep link URL to an investigation in Office 365 Security & Compliance Center
AccionesActions Colección (Edm.String)Collection (Edm.String) Colección de acciones recomendada por una investigaciónCollection of actions recommended by an investigation
DatosData Edm.StringEdm.String Cadena de datos que contiene más información sobre las entidades de investigación e información sobre las alertas relacionadas con la investigación.Data string which contains more details about investigation entities, and information about alerts related to the investigation. Las entidades están disponibles en un nodo independiente dentro del blob de datos.Entities are available in a separate node within the data blob.

AccionesActions

FieldField TipoType DescripciónDescription
Id.ID Edm.StringEdm.String Id. de la acciónAction ID
ActionTypeActionType Edm.StringEdm.String El tipo de la acción, como la corrección de un correo electrónicoThe type of the action, such as email remediation
ActionStatusActionStatus Edm.StringEdm.String Los valores son:Values include:
- Pendiente- Pending
- En ejecución- Running
- Esperando al recurso- Waiting on resource
- Completada- Completed
- Error- Failed
ApprovedByApprovedBy Edm.StringEdm.String Es NULL si se aprueba automáticamente; en caso contrario, el nombre de usuario o el identificador (estará disponible próximamente)Null if auto approved; otherwise, the username/id (this is coming soon)
TimestampUtcTimestampUtc Edm.DateTimeEdm.DateTime La marca de tiempo del cambio de estado de la acciónThe timestamp of the action status change
ActionIdActionId Edm.StringEdm.String Identificador único de la acciónUnique identifier for action
InvestigationIdInvestigationId Edm.StringEdm.String Identificador único de la investigaciónUnique identifier for investigation
RelatedAlertIdsRelatedAlertIds Collection(Edm.String)Collection(Edm.String) Alertas relacionadas con una investigaciónAlerts related to an investigation
StartTimeUtcStartTimeUtc Edm.DateTimeEdm.DateTime Marca de tiempo de creación de la acciónTimestamp of action creation
EndTimeUtcEndTimeUtc Edm.DateTimeEdm.DateTime Marca de tiempo de la actualización del estado final de la acciónAction final status update timestamp
Identificadores de recursosResource Identifiers Edm.StringEdm.String Constituido por el Identificador del inquilino de Azure Active DirectoryConsists of the Azure Active Directory tenant ID.
EntidadesEntities Collection(Edm.String)Collection(Edm.String) Lista de una o más entidades afectadas por acciónList of one or more affected entities by action
Identificadores de alertas relacionadasRelated Alert IDs Edm.StringEdm.String Alerta relacionada con una investigaciónAlert related to an investigation

EntidadesEntities

MailMessage (correo electrónico)MailMessage (email)

FieldField TipoType DescripciónDescription
TipoType Edm.StringEdm.String "mensaje de correo""mail-message"
ArchivosFiles Colección (Self.File)Collection (Self.File) Más información sobre los archivos de los datos adjuntos de este mensajeDetails about the files of this message's attachments
DestinatarioRecipient Edm.StringEdm.String El destinatario de este mensaje de correoThe recipient of this mail message
Direcciones URLUrls Collection (self.URL)Collection(Self.URL) Las direcciones URL que contiene este mensaje de correoThe Urls contained in this mail message
RemitenteSender Edm.StringEdm.String La dirección de correo electrónico del remitenteThe sender's email address
SenderIPSenderIP Edm.StringEdm.String La dirección IP del remitenteThe sender's IP address
ReceivedDateReceivedDate Edm.DateTimeEdm.DateTime La fecha de recepción de este mensajeThe received date of this message
NetworkMessageIdNetworkMessageId Edm.GuidEdm.Guid El identificador del mensaje de red de este mensaje de correoThe network message id of this mail message
InternetMessageIdInternetMessageId Edm.StringEdm.String El identificador de internet de este mensaje de correoThe internet message id of this mail message
SubjectSubject Edm.StringEdm.String El asunto de este mensaje de correoThe subject of this mail message

IPIP

FieldField TipoType DescripciónDescription
TipoType Edm.StringEdm.String "ip""ip"
AddressAddress Edm.StringEdm.String La dirección IP como cadena, tal como 127.0.0.1The IP address as a string, such as 127.0.0.1

URLURL

FieldField TipoType DescripciónDescription
TipoType Edm.StringEdm.String "url""url"
UrlUrl Edm.StringEdm.String La dirección URL completa a la que señala una entidadThe full URL to which an entity points

Buzón de correo (también equivalente al usuario)Mailbox (also equivalent to the user)

FieldField TipoType DescripciónDescription
TipoType Edm.StringEdm.String "mailbox""mailbox"
MailboxPrimaryAddressMailboxPrimaryAddress Edm.StringEdm.String La dirección principal del buzón de correoThe mailbox's primary address
DisplayNameDisplayName Edm.StringEdm.String El nombre para mostrar del buzón de correoThe mailbox's display name
UpnUpn Edm.StringEdm.String El UPN del buzón de correoThe mailbox's UPN

ArchivoFile

FieldField TipoType DescripciónDescription
TipoType Edm.StringEdm.String "file""file"
NombreName Edm.StringEdm.String El nombre de archivo sin la ruta de accesoThe file name without path
FileHashesFileHashes Colección (Edm.String)Collection (Edm.String) Los hash de archivo asociados al archivoThe file hashes associated with the file

FileHashFileHash

FieldField TipoType DescripciónDescription
TipoType Edm.StringEdm.String "filehash""filehash"
AlgoritmoAlgorithm Edm.StringEdm.String El tipo de algoritmo de hash, que puede ser uno de estos valores:The hash algorithm type, which can be one of these values:
- Desconocido- Unknown
- MD5- MD5
- SHA1- SHA1
- SHA256- SHA256
- SHA256AC- SHA256AC
ValorValue Edm.StringEdm.String El valor del hashThe hash value

MailClusterMailCluster

FieldField TipoType DescripciónDescription
TipoType Edm.StringEdm.String "MailCluster""MailCluster"
Determina el tipo de entidad que se trataráDetermines the type of entity being discussed
NetworkMessageIdsNetworkMessageIds Colección (Edm.String)Collection (Edm.String) Lista de los identificadores de mensajes de correo que forman parte del clúster de correoList of the mail message IDs that are part of the mail cluster
CountByDeliveryStatusCountByDeliveryStatus Colecciones (Edm.String)Collections (Edm.String) Recuento de mensajes de correo por representación de cadena DeliveryStatus Count of mail messages by DeliveryStatus string representation
CountByThreatTypeCountByThreatType Colecciones (Edm.String)Collections (Edm.String) Recuento de mensajes de correo por representación de cadena ThreatTypeCount of mail messages by ThreatType string representation
AmenazasThreats Colecciones (Edm.String)Collections (Edm.String) Las amenazas de los mensajes de correo que forman parte del clúster de correo.The threats of mail messages that are part of the mail cluster. Entre las amenazas se incluyen valores como Phish y Malware.Threats include values like Phish and Malware.
ConsultaQuery Edm.StringEdm.String La consulta que se usó para identificar los mensajes del clúster de correo electrónicoThe query that was used to identify the messages of the mail cluster
QueryTimeQueryTime Edm.DateTimeEdm.DateTime La hora de la consultaThe query time
MailCountMailCount Edm.IntEdm.int El número de mensaje de correo que forman parte del clúster de correo.The number of mail messages that are part of the mail cluster
OrigenSource StringString El origen del clúster de correo; el valor del origen del clúster.The source of the mail cluster; the value of the cluster source.

Esquema de eventos de higieneHygiene events schema

Los eventos de higiene se relacionan con la protección de correo no deseado saliente.Hygiene events are related to outbound spam protection. Estos eventos se relacionan con los usuarios a los que no se les permite enviar correo electrónico.These events are related to users who are restricted from sending email. Para más información, vea:For more information, see:

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescriptionDescription
AuditoríaAudit Edm.StringEdm.String NoNo Información del sistema relacionada con el evento de higiene.System information related to the hygiene event.
EventoEvent Edm.StringEdm.String NoNo El tipo de evento de higiene.The type of hygiene event. Los valores para este parámetro son Listado o Suprimido.The values for this parameter are Listed or Delisted.
EventIdEventId Edm.Int64Edm.Int64 NoNo El ID. del tipo de evento de higiene.The ID of the hygiene event type.
EventValueEventValue Edm.StringEdm.String NoNo El usuario que se vio impactado.The user who was impacted.
ReasonReason Edm.StringEdm.String NoNo Detalles sobre el evento de higiene.Details about the hygiene event.

Esquema de Power BIPower BI schema

Los eventos de Power BI que aparecen en Buscar el registro de auditoría en el Centro de protección de Office 365 utilizarán este esquema.The Power BI events listed in Search the audit log in the Office 365 Protection Center will use this schema.

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
AppNameAppName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo El nombre de la aplicación donde se ha producido el evento.The name of the app where the event occurred.
DashboardNameDashboardName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo El nombre del panel donde se ha producido el evento.The name of the dashboard where the event occurred.
DataClassificationDataClassification Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo La clasificación de los datos, en caso de haberla, para el panel donde se ha producido el evento.The data classification, if any, for the dashboard where the event occurred.
DatasetNameDatasetName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo El nombre del conjunto de datos donde se ha producido el evento.The name of the dataset where the event occurred.
MembershipInformationMembershipInformation Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo Información de pertenencia del grupo.Membership information about the group.
OrgAppPermissionOrgAppPermission Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo Lista de permisos para una aplicación de organización (toda la organización, determinados usuarios o grupos específicos).Permissions list for an organizational app (entire organization, specific users, or specific groups).
ReportNameReportName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo El nombre del informe donde se ha producido el evento.The name of the report where the event occurred.
SharingInformationSharingInformation Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo Información acerca de la persona a la que se envía una invitación para uso compartido.Information about the person to whom a sharing invitation is sent.
SwitchStateSwitchState Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo Información sobre el estado de los diversos modificadores de nivel de inquilino.Information about the state of various tenant level switches.
WorkSpaceNameWorkSpaceName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo El nombre del área de trabajo donde se ha producido el evento.The name of the workspace where the event occurred.

Tipo complejo MembershipInformationTypeMembershipInformationType complex type

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
MemberEmailMemberEmail Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo La dirección de correo electrónico del grupo.The email address of the group.
EstadoStatus Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo Actualmente no se rellena.Not currently populated.

Tipo complejo SharingInformationTypeSharingInformationType complex type

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
RecipientEmailRecipientEmail Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo La dirección de correo electrónico del destinatario de una invitación para uso compartido.The email address of the recipient of a sharing invitation.
RecipientNameRecipientName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo El nombre del destinatario de una invitación para uso compartido.The name of the recipient of a sharing invitation.
ResharePermissionResharePermission Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NoNo Los permisos que se conceden al destinatario.The permission being granted to the recipient.

Esquema de Dynamics 365Dynamics 365 schema

Los registros de auditoría para eventos relacionados con las aplicaciones controladas por modelos en eventos de Dynamics 365 usan un esquema de operación de base y de entidad.The audit records for events related to model-driven apps in Dynamics 365 events use both a base and an entity operation schema. Para más información, consulte Habilitar y usar el Registro de actividad.For more information, see Enable and use Activity Logging.

Esquema base de Dynamics 365Dynamics 365 base schema

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
CrmOrganizationUniqueNameCrmOrganizationUniqueName Edm.StringEdm.String Yes Nombre único de la organización.The unique name of the organization.
InstanceUrlInstanceUrl Edm.StringEdm.String Yes Dirección URL de la instancia.The URL to the instance.
ItemUrlItemUrl Edm.StringEdm.String NoNo La dirección URL al registro.The URL to the record emitting the log.
ItemTypeItemType Edm.StringEdm.String NoNo Nombre de la entidadThe naame of the entity.
UserAgentUserAgent Edm.StringEdm.String NoNo Identificador de GUID de usuario único en la organización.The unique identifier of the user GUID in the organization.
FieldsFields Collection(Common.NameValuePair)Collection(Common.NameValuePair) NoNo Un objeto JSON que contiene las parejas de clave y valor de propiedad que se crearon o actualizaron.A JSON object that contains the property key-value pairs that were created or updated.

Esquema de operaciones de entidad de Dynamics 365Dynamics 365 entity operation schema

Los eventos de entidad de aplicaciones controladas por modelos en Dynamics 365 usan este esquema para desarrollar a partir del esquema base de Dynamics 365.Entity events from model-driven apps in Dynamics 365 use this schema to build on the Dynamics 365 base schema. Este esquema incluye información sobre la operación de la entidad que desencadenó el evento auditado.This schema includes information about the entity operation that triggered the audited event.

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
EntityIdEntityId Edm.GuidEdm.Guid NoNo El identificador único de la entidad.The unique identifier of the entity.
EntityNameEntityName Edm.StringEdm.String Yes El nombre único de la entidad en la organización.The name of the entity in the organization. Un ejemplo de una entidad es contact o authentication.Example of entities include contact or authentication.
MessageMessage Edm.StringEdm.String Yes Este parámetro contiene la operación que se realizó relacionada con la entidad.This parameter contains the operation that was performed in related to the entity. Por ejemplo, si se creó un nuevo contacto, el valor de la propiedad Message es Create y el valor correspondiente de la propiedad EntityName es contact.For example, if a new contact was created, the value of the Message property is Create and the corresponding value of the EntityName property is contact.
ConsultaQuery Edm.StringEdm.String NoNo Los parámetros de la consulta de filtro que se usaron al ejecutar la operación FetchXML.The parameters of the filter query that was used while executing the FetchXML operation.
PrimaryFieldValuePrimaryFieldValue Edm.StringEdm.String NoNo Indica el valor del atributo que es el campo principal de la entidad.Indicates the value for the attribute that is the primary field for the entity.

Esquema de Workplace AnalyticsWorkplace Analytics schema

Los eventos de Workplace Analytics que aparecen en Buscar el registro de auditoría en el Centro de seguridad y cumplimiento de Office 365 utilizarán este esquema.The WorkPlace Analytics events listed in Search the audit log in the Office 365 Security & Compliance Center will use this schema.

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
WpaUserRoleWpaUserRole Edm.StringEdm.String NoNo El rol de Workplace Analytics del usuario que realizó la operación.The Workplace Analytics role of the user who performed the action.
ModifiedPropertiesModifiedProperties Colección (Common.ModifiedProperty)Collection (Common.ModifiedProperty) NoNo Esta propiedad incluye el nombre de la propiedad modificada, el nuevo valor de la propiedad modificada y el valor anterior de la propiedad modificada.This property includes the name of the property that was modified, the new value of the modified property, and the previous value of the modified property.
OperationDetailsOperationDetails Colección (Common.NameValuePair)Collection (Common.NameValuePair) NoNo Una lista de propiedades extendidas de la configuración que se ha cambiado.A list of extended properties for the setting that was changed. Cada propiedad tendrá un Name y un Value.Each property will have a Name and Value.

Esquema de cuarentenaQuarantine schema

Los eventos de cuarentena que aparecen en Buscar el registro de auditoría en el Centro de seguridad y cumplimiento de Office 365 usarán este esquema.The quarantine events listed in Search the audit log in the Office 365 Security & Compliance Center will use this schema. Para obtener más información sobre la cuarentena, vea Mensajes de correo electrónico en cuarentena en Office 365.For more information about quarantine, see Quarantine email messages in Office 365.

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
RequestTypeRequestType Self.RequestTypeSelf.RequestType NoNo El tipo de solicitud de cuarentena que realizó un usuario.The type of quarantine request performed by a user.
RequestSourceRequestSource Self.RequestSourceSelf.RequestSource NoNo El origen de la solicitud de cuarentena puede ser el Centro de seguridad y cumplimento (SCC), un cmdlet o un URLlink.The source of a quantine request can come from the Security & Compliance Center (SCC), a cmdlet, or a URLlink.
NetworkMessageIdNetworkMessageId Edm.StringEdm.String NoNo El id. de mensaje de red del mensaje de correo electrónico en cuarentena.The network message id of quarantined email message.
ReleaseToReleaseTo Edm.StringEdm.String NoNo El destinatario del mensaje de correo electrónico.The reciepient of the email message.

Enum: RequestType - Tipo: Edm.Int32Enum: RequestType - Type: Edm.Int32

ValorValue Nombre del miembroMember name DescripciónDescription
00 PreviewPreview Solicitud de un usuario para obtener una vista previa de un mensaje de correo electrónico que se considera peligroso.This is a request from a user to preview an email message that is deemed to be harmful.
11 DeleteDelete Solicitud de un usuario para eliminar un mensaje de correo electrónico que se considera peligroso.This is a request from a user to delete an email message that is deemed to be harmful.
22 ReleaseRelease Solicitud de un usuario para liberar un mensaje de correo electrónico que se considera peligroso.This is a request from a user to release an email message that is deemed to be harmful.
33 ExportExport Solicitud de un usuario para exportar un mensaje de correo electrónico que se considera peligroso.This is a request from a user to export an email message that is deemed to be harmful.
44 ViewHeaderViewHeader Solicitud de un usuario para ver el encabezado un mensaje de correo electrónico que se considera peligroso.This is a request from a user to view the header an email message that is deemed to be harmful.

Enum: RequestSource - Tipo: Edm.Int32Enum: RequestSource - Type: Edm.Int32

ValorValue Nombre del miembroMember name DescripciónDescription
00 SCCSCC El centro de seguridad y cumplimento (SCC) es el origen desde el que se puede crear la solicitud de un usuario para obtener una vista previa del encabezado de un mensaje de correo electrónico potencialmente peligroso, eliminarlo, liberarlo, exportarlo o verlo.The Security & Compliance center (SCC) is the source where the request from a user to preview, delete, release, export, or view the header of a potentially harmful email message can originate from.
11 CmdletCmdlet Un cmdlet es el origen desde el que se puede crear la solicitud de un usuario para obtener una vista previa del encabezado de un mensaje de correo electrónico potencialmente peligroso, eliminarlo, liberarlo, exportarlo o verlo.A cmdlet is the source where the request from a user to preview, delete, release, export, or view the header of a potentially harmful email message can originate from.
22 URLlinkURLlink Este es un origen desde el que se puede crear la solicitud de un usuario para obtener una vista previa del encabezado de un mensaje de correo electrónico potencialmente peligroso, eliminarlo, liberarlo, exportarlo o verlo.This is a source where the request from a user to preview, delete, release, export, or view the header of potentially harmful email message can originate from.

Esquema de Microsoft FormsMicrosoft Forms schema

Los eventos de Microsoft Forms que aparecen en Buscar el registro de auditoría en el Centro de seguridad y cumplimiento de Office 365 utilizarán este esquema.The Micorosft Forms events listed in Search the audit log in the Office 365 Security & Compliance Center will use this schema.

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
FormsUserTypesFormsUserTypes Collection(Self.FormsUserTypes)Collection(Self.FormsUserTypes) Yes El rol del usuario que realizó la acción.The role of the user who performed the action. Los valores de este parámetro son Admin (Administrador), Owner (Propietario), Responder (Respondedor) o Coauthor (Coautor).The values for this parameter are Admin, Owner, Responder, or Coauthor.
SourceAppSourceApp Edm.StringEdm.String Yes Indica si la acción proviene del sitio web de Forms o de otra aplicación.Indicates if the action is from Forms website or from another App.
FormNameFormName Edm.StringEdm.String NoNo El nombre del formulario actual.The name of the current form.
FormIdFormId Edm.StringEdm.String NoNo El ID del formulario de destino.The Id of the target form.
FormTypesFormTypes Collection(Self.FormTypes)Collection(Self.FormTypes) NoNo Indica si se trata de un Formulario, un Cuestionario o una Encuesta.Indicates whether this is a Form, Quiz, or Survey.
ActivityParametersActivityParameters Edm.StringEdm.String NoNo Cadena JSON que contiene parámetros de actividad.JSON string containing activity parameters. Para más información, consulte Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365.See Search the audit log in the Office 365 Security & Compliance Center for more details.

Enum: FormsUserTypes - Type: Edm.Int32Enum: FormsUserTypes - Type: Edm.Int32

FormsUserTypesFormsUserTypes

ValorValue Tipo de formulario de usuarioForm User Type DescripciónDescription
00 AdminAdmin Un administrador que tenga acceso al formulario.An administrator who has access to the form.
11 OwnerOwner El usuario propietario del equipo.A user who is the owner of the form.
22 ResponderResponder Un usuario que ha enviado una respuesta a un formulario.A user who has submitted a response to a form.
33 CoauthorCoauthor Un usuario que ha usado un vínculo de colaboración proporcionado por el propietario del formulario para iniciar sesión y editar un formulario.A user who has used a collaboration link provided by the form owner to login and edit a form.

Enum: FormTypes - Type: Edm.Int32Enum: FormTypes - Type: Edm.Int32

FormTypesFormTypes

ValorValue Tipos de formularioForm Types DescripciónDescription
00 FormularioForm Formularios creados con la opción Nuevo formulario.Forms that are created with the New Form option.
11 CuestionarioQuiz Cuestionarios creados con la opción Nuevo cuestionario.Quizzes that are created with the New Quiz option. Un cuestionario es un tipo especial de formulario que incluye características adicionales, como valores de puntuación, calificación automática y manual, y comentarios.A quiz is a special type of form that includes additional features such as point values, auto and manual grading, and commenting.
22 EncuestaSurvey Encuestas creadas con la opción Nueva encuesta.Surveys that are created with the New Survey option. Una encuesta es un tipo especial de formulario que incluye características adicionales, como la integración con CMS y la compatibilidad con Reglas de flujo.A survey is a special type of form that includes additional features such as CMS integration and support for Flow rules.

Esquema de etiqueta MIPMIP label schema

Los eventos del esquema de etiquetas de Microsoft Information Protection (MIP) se activan cuando Microsoft 365 detecta un mensaje de correo procesado por agentes en la canalización de transporte a la que se ha aplicado una etiqueta de confidencialidad.Events in the Microsoft Information Protection (MIP) label schema are triggered when Microsoft 365 detects an email message processed by agents in the Transport pipeline that has a sensitivity label applied to it. Es posible que la etiqueta de confidencialidad se haya aplicado manual o automáticamente, y puede que se haya aplicado dentro o fuera de la canalización de transporte.The sensitivity label may have been applied manually or automatically, and it may have been applied within or outside of the Transport pipeline. Las etiquetas de confidencialidad se pueden aplicar automáticamente a los mensajes de correo electrónico mediante directivas de etiqueta de aplicación automática.Sensitiviy labels can be automatically applied to email messages by auto-apply label policies.

El propósito de este esquema de auditoría es representar la suma de todas las actividades de correo electrónico que impliquen etiquetas de confidencialidad.The intent of this audit schema is to represent the sum of all email activity that involves sensitivity labels. Es decir, debe haber una actividad de auditoría registrada para cada mensaje de correo electrónico que se envía a o desde los usuarios de la organización que tienen una etiqueta de confidencialidad aplicada, independientemente de cuándo o cómo se aplicó la etiqueta de confidencialidad.In other words, there should be an recored audit activity for each email message that is sent to or from users in the organization that has a sensitivity label applied to it, regardless of when or how the sensitivity label was applied. Para más información sobre las etiquetas de confidencialidad, vea:For more information about sensitivity labels, see:

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
RemitenteSender Edm.StringEdm.String NoNo La dirección de correo electrónico en el campo De del mensaje de correo electrónico.The email address in the From field of the email message.
ReceptoresReceivers Collection(Edm.String)Collection(Edm.String) NoNo Todas las direcciones de correo electrónico en los campos Para, CC y CCO del mensaje de correo electrónico.All email addresses in the To, CC, and Bcc fields of the email message.
NombreElementoItemName Edm.StringEdm.String NoNo La cadena en el campo Asunto del mensaje de correo electrónico.The string in the Subject field of the email message.
LabelIdLabelId Edm.GuidEdm.Guid NoNo El GUID de la etiqueta de confidencialidad aplicada al mensaje de correo electrónico.The GUID of the sensitiviy label applied to the email message.
LabelNameLabelName Edm.StringEdm.String NoNo El nombre de la etiqueta de confidencialidad aplicada al mensaje de correo electrónico.The name of the sensitivity label applied to the email message.
LabelActionLabelAction Edm.StringEdm.String NoNo Las acciones especificadas por la etiqueta de confidencialidad que se aplicaron al mensaje de correo electrónico antes de que el mensaje entrara a la canalización de transporte de correo.The actions specified by the sensitivity label that were applied to the email message before the message entered the mail transport pipeline.
LabelAppliedDateTimeLabelAppliedDateTime Edm.DateEdm.Date NoNo La fecha en la que se aplicó la etiqueta de confidencialidad al mensaje de correo electrónico.The date the sensitivity label was applied to the email message.
ApplicationModeApplicationMode Edm.StringEdm.String NoNo Especifica cómo se aplicó la etiqueta de confidencialidad al mensaje de correo electrónico.Specifies how the sensitivity label was applied to the email message. El valor Privileged indica que un usuario ha aplicado manualmente la etiqueta.The Privileged value indicates the label was manually applied by a user. El valor Standard indica que la etiqueta se aplicó automáticamente por un proceso de etiquetado del lado del cliente o del servicio.The Standard value indicates the label was auto-applied by a client-side or service-side labeling process.

Esquema de Exchange del Cumplimiento de comunicacionesCommunication compliance Exchange schema

Los eventos del Cumplimiento de comunicaciones que aparecen en el registro de auditoría de Office 365 usan este esquema.The communication compliance events listed in the Office 365 audit log use this schema. Esto incluye los registros de auditoría de la operación SupervisoryReviewOLAudit, que se generan cuando el contenido del mensaje de correo contiene lenguaje vulgar que ha sido identificado por los modelos de correo no deseado con una precisión >= 99,5 %.This includes audit records for the SupervisoryReviewOLAudit operation that's generated when email message content contains offensive language identified by anti-spam models with a match accuracy of >= 99.5%.

ParámetrosParameters TipoType ¿Es obligatoria?Mandatory? DescripciónDescription
ExchangeDetailsExchangeDetails ExchangeDetailsExchangeDetails NoNo Propiedades del mensaje de correo electrónico que activó el evento SupervisoryReviewOLAudit.Properties of the email message that triggered the SupervisoryReviewOLAudit event.

Enum: ExchangeDetails - Tipo: ExchangeDetailsEnum: ExchangeDetails - Type: ExchangeDetails

ExchangeDetailsExchangeDetails

Nombre del miembroMember name TipoType DescripciónDescription
NetworkMessageIdNetworkMessageId Edm.GuidEdm.Guid El identificador del mensaje de red de este mensaje de correoThe network message ID of the email message.
InternetMessageIdInternetMessageId Edm.StringEdm.String El identificador de internet de este mensaje de correoThe internet message ID of the email message.
AttachmentDataAttachmentData Collection (AttachmentDetails)Collection(AttachmentDetails) Información sobre los archivos adjuntos de los mensaje de correo electrónico.Information about files attached to the email message.
RecipientesRecipients Collection(Edm.String)Collection(Edm.String) Todas las direcciones de correo electrónico en los campos Para, CC y CCO del mensaje de correo electrónico.The email addresses in the To, Cc, and Bcc fields of the email message.
SubjectSubject Edm.StringEdm.String El texto en el campo Asunto del mensaje de correo electrónico.The text in the Subject field of the email message.
MessageTimeMessageTime Edm.DateEdm.Date La fecha y la hora de envío del mensaje de correo.The date and time the email message was sent.
FromFrom Edm.StringEdm.String La dirección de correo electrónico en el campo De del mensaje de correo electrónico.The email address in the From field of the email message.
DirectionalityDirectionality Edm.StringEdm.String El estado de origen del mensaje de correo electrónico.The origination status of the email message.

Enum: AttachmentDetails - Tipo: Edm.Int32Enum: AttachmentDetails - Type: Edm.Int32

AttachmentDetailsAttachmentDetails

Nombre del miembroMember name TipoType DescripciónDescription
FileNameFileName Edm.StringEdm.String El nombre del archivo adjunto al mensaje de correo electrónico.The name of the file attached to the email message.
FileTypeFileType Edm.StringEdm.String La extensión del archivo adjunto al mensaje de correo electrónico.The file extension of the file attached to the email message.
SHA256SHA256 Edm.StringEdm.String El hash SHA-256 del archivo adjunto al mensaje de correo electrónico.The SHA-256 hash of the file attached to the email message.