Esquema de la API de Actividad de administración de Office 365Office 365 Management Activity API schema

16/12/2020
Tiempo de lectura: 78 minutos

El esquema de la API de Actividad de administración de Office 365 se proporciona como un servicio de datos en dos niveles:The Office 365 Management Activity API schema is provided as a data service in two layers:

Esquema común.Common schema. La interfaz de acceso principal de Office 365 audita conceptos como el tipo de registro, la hora de creación, el tipo de usuario y la acción, y también proporciona información específica de la ubicación (como la dirección IP del cliente), las dimensiones principales (como el id. de usuario) y las propiedades específicas del producto (como el id. de objeto).The interface to access core Office 365 auditing concepts such as Record Type, Creation Time, User Type, and Action as well as to provide core dimensions (such as User ID), location specifics (such as Client IP address), and product-specific properties (such as Object ID). Establece vistas coherentes y uniformes para que los usuarios extraigan todos los datos de auditoría de Office 365 en varias vistas de nivel superior con los parámetros adecuados, y proporciona un esquema fijo para todos los orígenes de datos, lo que reduce significativamente el costo de aprendizaje.It establishes consistent and uniform views for users to extract all Office 365 audit data in a few top level views with the appropriate parameters, and provides a fixed schema for all the data sources, which significantly reduces the cost of learning. El esquema común tiene origen en los datos del producto que pertenecen a cada equipo de producto, como Exchange, SharePoint, Azure Active Directory, Yammer y OneDrive para la Empresa.Common schema is sourced from product data that is owned by each product team, such as Exchange, SharePoint, Azure Active Directory, Yammer, and OneDrive for Business. Los equipos de producto pueden ampliar el campo Id. de objeto para agregar propiedades específicas del producto.The Object ID field can be extended by product teams to add product specific properties.
Esquema específico del producto.Product-specific schema. Basado en el esquema común para proporcionar un conjunto de atributos específicos del producto; por ejemplo, esquemas de SharePoint, esquemas de OneDrive para la Empresa y esquemas de administración de Exchange.Built on top of the Common schema to provide a set of product-specific attributes; for example, SharePoint schema, OneDrive for Business schema, and Exchange admin schema.

¿Qué nivel debería utilizar para su escenario?Which layer should you use for your scenario? En general, si los datos están disponibles en un nivel superior, no debe volver a un nivel inferior.In general, if the data is available in a higher layer, don't go back to a lower layer. Es decir, si se ajusta el requisito de datos en un esquema específico de producto, no es necesario volver al esquema común.In other words, if the data requirement can be fit in a product-specific schema, you don't need to go back to the Common schema.

Esquemas de API de administración de Office 365Office 365 Management API schemas

Este artículo proporciona información sobre el esquema común y sobre los esquemas específicos de cada producto.This article provides details on the Common schema as well as each of the product specific schemas. En la siguiente tabla se describen los esquemas disponibles.The following table describes the available schemas.

Nombre del esquemaName of schema	DescripciónDescription
Esquema comúnCommon schema	La vista para extraer el tipo de registro, el identificador de usuario, la dirección IP del cliente, el tipo de usuario y la acción con dimensiones principales como propiedades de usuario (como el id. de usuario), las propiedades de ubicación (como la dirección IP del cliente) y las propiedades específicas de productos (como el id. de objeto).The view to extract Record Type, User ID, Client IP, User type and Action along with core dimensions such as user properties (such as UserID), location properties (such as Client IP), and product-specific properties (such as Object Id).
Esquema base de SharePointSharePoint Base schema	Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de SharePoint.Extends the Common schema with the properties specific to all SharePoint audit data.
Operaciones de archivos de SharePointSharePoint File Operations	Amplía el esquema base de SharePoint con las propiedades específicas de acceso el acceso y la manipulación de archivos en SharePoint.Extends the SharePoint Base schema with the properties specific to file access and manipulation in SharePoint.
Esquema de uso compartido de SharePointSharePoint Sharing schema	Amplía el esquema base de SharePoint con las propiedades específicas de uso compartido.Extends the SharePoint Base schema with the properties specific to file sharing.
Esquema de SharePointSharePoint schema	Amplía el esquema base de SharePoint con las propiedades específicas de SharePoint que no están relacionadas con el acceso y la manipulación de archivos.Extends the SharePoint Base schema with the properties specific to SharePoint, but unrelated to file access and manipulation.
Esquema de ProjectProject schema	Amplía el esquema base de SharePoint con las propiedades específicas de Project.Extends the SharePoint Base schema with the properties specific to Project.
Esquema de administración de ExchangeExchange Admin schema	Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de administración de Exchange.Extends the Common schema with the properties specific to all Exchange admin audit data.
Esquema de buzón de ExchangeExchange Mailbox schema	Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de buzón de Exchange.Extends the Common schema with the properties specific to all Exchange mailbox audit data.
Esquema base de Azure Active DirectoryAzure Active Directory Base schema	Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de Azure Active Directory.Extends the Common schema with the properties specific to all Azure Active Directory audit data.
Esquema de inicio de sesión de Azure Active DirectoryAzure Active Directory Account Logon schema	Amplía el esquema base de Azure Active Directory con las propiedades específicas para todos los eventos de inicio de sesión de Azure Active Directory.Extends the Azure Active Directory Base schema with the properties specific to all Azure Active Directory logon events.
Esquema de inicio de sesión de STS de Azure Active DirectoryAzure Active Directory Secure STS Logon schema	Amplía el esquema base de Azure Active Directory con las propiedades específicas para todos los eventos de inicio de sesión de servicio de token de seguridad (STS) de Azure Active Directory.Extends the Azure Active Directory Base schema with the properties specific to all Azure Active Directory Secure Token Service (STS) logon events.
Esquema de Azure Active DirectoryAzure Active Directory schema	Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de Azure Active Directory.Extends the Common schema with the properties specific to all Azure Active Directory audit data.
Esquema DLPDLP schema	Amplía el esquema común con las propiedades específicas para todos los eventos de prevención de pérdida de datos.Extends the Common schema with the properties specific to Data Loss Prevention events.
Esquema de Centro de seguridad y cumplimientoSecurity and Compliance Center schema	Amplía el esquema común con las propiedades específicas para todos los eventos del Centro de seguridad y cumplimiento.Extends the Common schema with the properties specific to all Security and Compliance Center events.
Esquema de alertas de seguridad y cumplimientoSecurity and Compliance Alerts schema	Amplía el esquema común con las propiedades específicas para todos las alertas de seguridad y cumplimiento de Office 365.Extends the Common schema with the properties specific to all Office 365 security and compliance alerts.
Esquema de YammerYammer schema	Amplía el esquema común con las propiedades específicas para todos los eventos de Yammer.Extends the Common schema with the properties specific to all Yammer events.
Esquema de base de seguridad del centro de datosData Center Security Base schema	Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de seguridad del centro de datos.Extends the Common schema with the properties specific to all data center security audit data.
Esquema de cmdlet de seguridad del centro de datosData Center Security Cmdlet schema	Amplía el esquema base de seguridad de centro de datos con las propiedades específicas para todos los datos de auditoría cmdlet de seguridad del centro de datos.Extends the Data Center Security Base schema with the properties specific to all data center security cmdlet audit data.
Esquema de Microsoft TeamsMicrosoft Teams schema	Amplía el esquema común con las propiedades específicas para todos los eventos de Microsoft Teams.Extends the Common schema with the properties specific to all Microsoft Teams events.
Esquema de respuesta e Investigación de amenazas y Microsoft Defender para Office 365Microsoft Defender for Office 365 and Threat Investigation and Response schema	Amplía el esquema común con las propiedades específicas de Defender para Office 365 y la investigación de amenazas y los datos de respuesta.Extends the Common schema with the properties specific to Defender for Office 365 and threat investigation and response data.
Esquema de eventos de investigación y respuesta automatizadosAutomated investigation and response events schema	Amplía el esquema común con las propiedades específicas para eventos de investigación y respuesta automatizada de Office 365 (AIR).Extends the Common schema with the properties specific to Office 365 automated investigation and response (AIR) events. Para ver un ejemplo, consulte el Blog de la Comunidad técnica: Mejorar la efectividad de su SOC con Microsoft Defender para Office 365 y la API de administración de O365.To see an example, see Tech Community blog: Improve the Effectiveness of your SOC with Microsoft Defender for Office 365 and the O365 Management API.
Esquema de eventos de higieneHygiene events schema	Amplía el esquema común con las propiedades específicas de los eventos en Exchange Online Protection y Microsoft Defender para Office 365.Extends the Common schema with the properties specific to events in Exchange Online Protection and Microsoft Defender for Office 365.
Esquema de Power BIPower BI schema	Amplía el esquema común con las propiedades específicas para todos los eventos de Power BI.Extends the Common schema with the properties specific to all Power BI events.
Esquema de Dynamics 365Dynamics 365 schema	Amplía el esquema común con las propiedades específicas para todos los eventos de Dynamics 365.Extends the Common schema with the properties specific to Dynamics 365 events.
Esquema de Workplace AnalyticsWorkplace Analytics schema	Amplía el esquema común con las propiedades específicas para todos los eventos de Microsoft Workplace Analytics.Extends the Common schema with the properties specific to all Microsoft Workplace Analytics events.
Esquema de cuarentenaQuarantine schema	Amplía el esquema común con las propiedades específicas para todos los eventos de cuarentena.Extends the Common schema with the properties specific to all quarantine events.
Esquema de Microsoft FormsMicrosoft Forms schema	Amplía el esquema común con las propiedades específicas para todos los eventos de Microsoft Forms.Extends the Common schema with the properties specific to all Microsoft Forms events.
Esquema de etiqueta MIPMIP label schema	Amplía el esquema común con las propiedades específicas para las etiquetas de confidencialidad que se aplican manual o automáticamente a los mensajes de correo electrónico.Extends the Common schema with the properties specific to sensitivity labels manually or automatically applied to email messages.
Esquema de Exchange del Cumplimiento de comunicacionesCommunication compliance Exchange schema	Amplía el esquema común con las propiedades específicas para el modelo de lenguaje ofensivo en el Cumplimiento de comunicaciones.Extends the Common schema with the properties specific to the Communication compliance offensive language model.

Esquema comúnCommon schema

Nombre EntityType: AuditRecordEntityType Name: AuditRecord

ParámetroParameter	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
IdId	Combinación de GUIDEdm.GuidCombination GUIDEdm.Guid	SíYes	Identificador único de un registro de auditoría.Unique identifier of an audit record.
RecordTypeRecordType	Self.AuditLogRecordTypeSelf.AuditLogRecordType	SíYes	El tipo de operación indicado por el registro.The type of operation indicated by the record. Vea la tabla AuditLogRecordType para obtener más información sobre los tipos de registros de auditoría.See the AuditLogRecordType table for details on the types of audit log records.
CreationTimeCreationTime	Edm.DateEdm.Date	SíYes	La fecha y hora en formato Hora universal coordinada (UTC) en las que el usuario ha realizado la actividad.The date and time in Coordinated Universal Time (UTC) when the user performed the activity.
OperaciónOperation	Edm.StringEdm.String	SíYes	El nombre de la actividad de usuario o administrador.The name of the user or admin activity. Para obtener una descripción de las operaciones o actividades más comunes, vea Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365.For a description of the most common operations/activities, see Search the audit log in the Office 365 Protection Center. Esta propiedad identifica el nombre del cmdlet ejecutado para la actividad de administración de Exchange.For Exchange admin activity, this property identifies the name of the cmdlet that was run. Para eventos DLP, puede ser "DlpRuleMatch", "DlpRuleUndo" o "DlpInfo", que se describen en "Esquema DLP" a continuación.For Dlp events, this can be "DlpRuleMatch", "DlpRuleUndo" or "DlpInfo", which are described under "DLP schema" below.
OrganizationIdOrganizationId	Edm.GuidEdm.Guid	SíYes	El GUID del inquilino de Office 365 de su organización.The GUID for your organization's Office 365 tenant. Este valor debe ser siempre el mismo en su organización, independientemente del servicio de Office 365 en que se produce.This value will always be the same for your organization, regardless of the Office 365 service in which it occurs.
UserTypeUserType	Self.UserTypeSelf.UserType	SíYes	El tipo de usuario que llevó a cabo la operación.The type of user that performed the operation. Vea la tabla UserType para obtener más información sobre los tipos de usuarios.See the UserType table for details on the types of users.
UserKeyUserKey	Edm.StringEdm.String	SíYes	Un id. alternativo para el usuario identificado en la propiedad id. de usuario.An alternative ID for the user identified in the UserId property. Por ejemplo, esta propiedad se rellena con el identificador único de passport (PUID) para los eventos efectuados por los usuarios en SharePoint, OneDrive para la Empresa y Exchange.For example, this property is populated with the passport unique ID (PUID) for events performed by users in SharePoint, OneDrive for Business, and Exchange. Esta propiedad también puede especificar el mismo valor que la propiedad id. de usuario para los eventos que se producen en otros servicios y eventos efectuados por cuentas del sistema.This property may also specify the same value as the UserID property for events occurring in other services and events performed by system accounts.
Carga de trabajoWorkload	Edm.StringEdm.String	NoNo	El servicio de Office 365 en el que se produjo la actividad.The Office 365 service where the activity occurred.
ResultStatusResultStatus	Edm.StringEdm.String	NoNo	Indica si la acción (especificada en la propiedad Operation) se completó correctamente o no.Indicates whether the action (specified in the Operation property) was successful or not. Los valores posibles son Succeeded, PartiallySucceeded o Failed.Possible values are Succeeded, PartiallySucceeded, or Failed. Para la actividad de administración de Exchange, el valor es True o False.For Exchange admin activity, the value is either True or False. Importante: las distintas cargas de trabajo pueden sobrescribir el valor de la propiedad ResultStatus.Important: Different workloads may overwrite the value of the ResultStatus property. Por ejemplo, para eventos de inicio de sesión STS de Azure Active Directory, un valor de Succeeded para ResultStatus solo indica que la operación HTTP se ha realizado correctamente. No significa que el inicio de sesión se ha realizado correctamente.For example, for Azure Active Directory STS logon events, a value of Succeeded for ResultStatus indicates only that the HTTP operation was successful; it doesn't mean the logon was successful. Para determinar si el inicio de sesión real se ha realizado correctamente o no, vea la propiedad LogonError en el esquema de inicio de sesión de STS de Azure Active Directory.To determine if the actual logon was successful or not, see the LogonError property in the Azure Active Directory STS Logon schema. Si se produce un error al iniciar sesión, el valor de esta propiedad contendrá el motivo del intento de inicio de sesión incorrecto.If the logon failed, the value of this property will contain the reason for the failed logon attempt.
ObjectIdObjectId	Edm.stringEdm.string	NoNo	Para la actividad de SharePoint y OneDrive para la Empresa, el nombre de la ruta de acceso completo del archivo o carpeta al que obtuvo acceso el usuario.For SharePoint and OneDrive for Business activity, the full path name of the file or folder accessed by the user. Para el registro de auditoría de Exchange, el nombre del objeto modificado por el cmdlet.For Exchange admin audit logging, the name of the object that was modified by the cmdlet.
UserIdUserId	Edm.stringEdm.string	SíYes	El UPN (nombre principal de usuario) del usuario que llevó a cabo la acción (especificado en la propiedad Operation) que ha provocado el registro; por ejemplo, `my_name@my_domain_name`.The UPN (User Principal Name) of the user who performed the action (specified in the Operation property) that resulted in the record being logged; for example, `my_name@my_domain_name`. Tenga en cuenta que también se incluyen los registros de las actividades efectuadas por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM).Note that records for activity performed by system accounts (such as SHAREPOINT\system or NT AUTHORITY\SYSTEM) are also included. En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint.In SharePoint, another value display in the UserId property is app@sharepoint. Esto indica que el "usuario" que llevó a cabo esta actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio.This indicates that the "user" who performed the activity was an application that has the necessary permissions in SharePoint to perform organization-wide actions (such as search a SharePoint site or OneDrive account) on behalf of a user, admin, or service. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.For more information, see The app@sharepoint user in audit records.
ClientIPClientIP	Edm.StringEdm.String	SíYes	La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado.The IP address of the device that was used when the activity was logged. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.The IP address is displayed in either an IPv4 or IPv6 address format. Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad.For some services, the value displayed in this property might be the IP address for a trusted application (for example, Office on the web apps) calling into the service on behalf of a user and not the IP address of the device used by person who performed the activity. También, para eventos relacionados con Azure Active Directory, la dirección IP no se registra y el valor de la propiedad ClientIP está `null`.Also, for Azure Active Directory-related events, the IP address isn't logged and the value for the ClientIP property is `null`.
ÁmbitoScope	Self.AuditLogScopeSelf.AuditLogScope	NoNo	¿Este evento fue creado por un servicio hospedado de Office 365 o por un servidor local?Was this event created by a hosted O365 service or an on-premises server? Los valores posibles son online y onprem.Possible values are online and onprem. Observe que SharePoint es la única carga de trabajo que actualmente envía eventos locales a Office 365.Note that SharePoint is the only workload currently sending events from on-premises to O365.

Enum: AuditLogRecordType - Tipo: Edm.Int32Enum: AuditLogRecordType - Type: Edm.Int32

AuditLogRecordTypeAuditLogRecordType

ValorValue	Nombre del miembroMember name	DescripciónDescription
11	ExchangeAdminExchangeAdmin	Eventos del registro de auditoría de administración de Exchange.Events from the Exchange admin audit log.
22	ExchangeItemExchangeItem	Eventos de un registro de auditoría de buzón de Exchange para las acciones que se realizan en un solo elemento, como la creación o recepción de un mensaje de correo electrónico.Events from an Exchange mailbox audit log for actions that are performed on a single item, such as creating or receiving an email message.
33	ExchangeItemGroupExchangeItemGroup	Eventos de un registro de auditoría de buzón de Exchange para las acciones que se pueden realizar varios elementos, como mover o eliminar uno o varios mensajes de correo electrónico.Events from an Exchange mailbox audit log for actions that can be performed on multiple items, such as moving or deleted one or more email messages.
44	SharePointSharePoint	Eventos de SharePoint.SharePoint events.
66	SharePointFileOperationSharePointFileOperation	Eventos de operación de archivo de SharePoint.SharePoint file operation events.
77	OneDriveOneDrive	Eventos de OneDrive para la Empresa.OneDrive for Business events.
88	AzureActiveDirectoryAzureActiveDirectory	Eventos de Azure Active Directory.Azure Active Directory events.
99	AzureActiveDirectoryAccountLogonAzureActiveDirectoryAccountLogon	Eventos de inicio de sesión OrgId de Azure Active Directory (obsoleto).Azure Active Directory OrgId logon events (deprecated).
1010	DataCenterSecurityCmdletDataCenterSecurityCmdlet	Eventos de cmdlet de seguridad del centro de datos.Data Center security cmdlet events.
1111	ComplianceDLPSharePointComplianceDLPSharePoint	Eventos de Protección de pérdida de datos (DLP) en SharePoint y OneDrive para la Empresa.Data loss protection (DLP) events in SharePoint and OneDrive for Business.
1313	ComplianceDLPExchangeComplianceDLPExchange	Eventos de Protección de pérdida de datos (DLP) en SharePoint Exchange, cuando se configura mediante la directiva DLP unificada.Data loss protection (DLP) events in Exchange, when configured via Unified DLP Policy. Los eventos DLP basados en las reglas de transporte de Exchange no son compatibles.DLP events based on Exchange Transport Rules are not supported.
1414	SharePointSharingOperationSharePointSharingOperation	Eventos de uso compartido de SharePoint.SharePoint sharing events.
1515	AzureActiveDirectoryStsLogonAzureActiveDirectoryStsLogon	Eventos de inicio de sesión de servicio de token de seguridad (STS) en Azure Active Directory.Secure Token Service (STS) logon events in Azure Active Directory.
1616	SkypeForBusinessPSTNUsageSkypeForBusinessPSTNUsage	Eventos de la red telefónica conmutada (RTC) de Skype Empresarial.Public Switched Telephone Network (PSTN) events from Skype for Business.
1717	SkypeForBusinessUsersBlockedSkypeForBusinessUsersBlocked	Eventos del usuario bloqueado de Skype Empresarial.Blocked user events from Skype for Business.
1818	SecurityComplianceCenterEOPCmdletSecurityComplianceCenterEOPCmdlet	Acciones de administración del Centro de seguridad y cumplimiento.Admin actions from the Security & Compliance Center.
1919	ExchangeAggregatedOperationExchangeAggregatedOperation	Eventos de auditoría del buzón de Exchange agregado.Aggregated Exchange mailbox auditing events.
2020	PowerBIAuditPowerBIAudit	Eventos de Power BI.Power BI events.
2121	CRMCRM	Eventos de Dynamics 365.Dynamics 365 events.
2222	YammerYammer	Eventos de Yammer.Yammer events.
2323	SkypeForBusinessCmdletsSkypeForBusinessCmdlets	Eventos de Skype Empresarial.Skype for Business events.
2424	DescubrimientoDiscovery	Eventos de actividades de eDiscovery realizadas ejecutando búsquedas de contenido y administrando casos de eDiscovery en el Centro de seguridad y cumplimiento.Events for eDiscovery activities performed by running content searches and managing eDiscovery cases in the Security & Compliance Center.
2525	MicrosoftTeamsMicrosoftTeams	Eventos de Microsoft Teams.Events from Microsoft Teams.
2828	ThreatIntelligenceThreatIntelligence	Eventos de suplantación de identidad y malware de Exchange Online Protection y Microsoft Defender para Office 365.Phishing and malware events from Exchange Online Protection and Microsoft Defender for Office 365.
2929	MailSubmissionMailSubmission	Eventos de envío desde Exchange Online Protection y Microsoft Defender para Office 365.Submission events from Exchange Online Protection and Microsoft Defender for Office 365.
3030	MicrosoftFlowMicrosoftFlow	Eventos de Microsoft Power Automate (conocido anteriormente como Microsoft Flow).Microsoft Power Automate (formerly called Microsoft Flow) events.
3131	AeDAeD	Eventos de eDiscovery avanzado.Advanced eDiscovery events.
3232	MicrosoftStreamMicrosoftStream	Eventos de Microsoft Stream.Microsoft Stream events.
3333	ComplianceDLPSharePointClassificationComplianceDLPSharePointClassification	Eventos relacionados con la clasificación DLP en SharePoint.Events related to DLP classification in SharePoint.
3434	ThreatFinderThreatFinder	Eventos relacionados con la campaña de Microsoft Defender para Office 365.Campaign-related events from Microsoft Defender for Office 365.
3535	ProjectProject	Eventos de Microsoft Project.Microsoft Project events.
3636	SharePointListOperationSharePointListOperation	Eventos en la Lista de SharePoint.SharePoint List events.
3737	SharePointCommentOperationSharePointCommentOperation	Eventos de comentario de SharePoint.SharePoint comment events.
3838	DataGovernanceDataGovernance	Eventos relacionados con las directivas y etiquetas de retención en el Centro de seguridad y cumplimientoEvents related to retention policies and retention labels in the Security & Compliance Center
3939	KaizalaKaizala	Eventos de Kaizala.Kaizala events.
4040	SecurityComplianceAlertsSecurityComplianceAlerts	Señales de alertas de seguridad y cumplimiento.Security and compliance alert signals.
4141	ThreatIntelligenceUrlThreatIntelligenceUrl	Tiempo de bloqueo de Vínculos seguros y eventos de invalidación de bloqueo de Microsoft Defender para Office 365.Safe links time-of-block and block override events from Microsoft Defender for Office 365.
4242	SecurityComplianceInsightsSecurityComplianceInsights	Eventos relacionados con las perspectivas e informes en el centro de seguridad y cumplimiento de Office 365.Events related to insights and reports in the Office 365 security and compliance center.
4343	MIPLabelMIPLabel	Eventos relacionados con la detección en la canalización de Transporte de mensajes de correo electrónico que se han etiquetado (manual o automáticamente) con etiquetas de confidencialidad.Events related to the detection in the Transport pipeline of email messages that have been tagged (manually or automatically) with sensitivity labels.
4444	WorkplaceAnalyticsWorkplaceAnalytics	Eventos de Workplace Analytics.Workplace Analytics events.
4545	PowerAppsAppPowerAppsApp	Eventos de Power Apps.Power Apps events.
4646	PowerAppsPlanPowerAppsPlan	Eventos de los planes de suscripción a Power Apps.Subscription plan events for Power Apps.
4747	ThreatIntelligenceAtpContentThreatIntelligenceAtpContent	Eventos de suplantación de identidad y malware para archivos en SharePoint, OneDrive para la Empresa y Microsoft Teams de Microsoft Defender para Office 365.Phishing and malware events for files in SharePoint, OneDrive for Business, and Microsoft Teams from Microsoft Defender for Office 365.
4848	LabelContentExplorerLabelContentExplorer	Eventos relacionados con el explorador de contenido de clasificación de datos.Events related to data classification content explorer.
4949	TeamsHealthcareTeamsHealthcare	Eventos relacionados con la aplicación Pacientes en Microsoft Teams para asistencia sanitaria.Events related to the Patients application in Microsoft Teams for Healthcare.
5050	ExchangeItemAggregatedExchangeItemAggregated	Eventos relacionados con la acción MailItemsAccessed de auditoría de buzónEvents related to the MailItemsAccessed mailbox auditing action.
5151	HygieneEventHygieneEvent	Eventos relacionados con la protección de correo no deseado saliente.Events related to outbound spam protection.
5252	DataInsightsRestApiAuditDataInsightsRestApiAudit	Perspectiva sobre los datos de los eventos API de REST.Data Insights REST API events.
5353	InformationBarrierPolicyApplicationInformationBarrierPolicyApplication	Eventos relacionados con la aplicación de directivas de barrera de información.Events related to the application of information barrier policies.
5454	SharePointListItemOperationSharePointListItemOperation	Eventos en la lista de SharePoint.SharePoint list item events.
5555	SharePointContentTypeOperationSharePointContentTypeOperation	Eventos de tipo de contenido de lista de SharePoint.SharePoint list content type events.
5656	SharePointFieldOperationSharePointFieldOperation	Eventos en el campo de lista de SharePoint.SharePoint list field events.
5757	MicrosoftTeamsAdminMicrosoftTeamsAdmin	Eventos de administrador de Teams.Teams admin events.
5858	HRSignalHRSignal	Eventos relacionados con las señales de datos de RRHH que son compatibles con la solución de Administración de riesgos internos.Events related to HR data signals that support the Insider risk management solution.
5959	MicrosoftTeamsDeviceMicrosoftTeamsDevice	Eventos del dispositivo de Teams.Teams device events.
6060	MicrosoftTeamsAnalyticsMicrosoftTeamsAnalytics	Eventos de análisis de Teams.Teams analytics events.
6161	InformationWorkerProtectionInformationWorkerProtection	Eventos relacionados con las alertas de usuario en peligro.Events related to compromised user alerts.
6262	CampañaCampaign	Eventos de campaña por correo electrónico de Microsoft Defender para Office 365.Email campaign events from Microsoft Defender for Office 365.
6363	DLPEndpointDLPEndpoint	Eventos de DLP del punto de conexión.Endpoint DLP events.
6464	AirInvestigationAirInvestigation	Eventos de respuesta ante incidentes automatizada (AIR)Automated incident response (AIR) events.
6565	CuarentenaQuarantine	Eventos de cuarentena.Quarantine events.
6666	MicrosoftFormsMicrosoftForms	Eventos de Microsoft Forms.Microsoft Forms events.
6767	ApplicationAuditApplicationAudit	Eventos de auditoría de la aplicación.Application audit events.
6868	ComplianceSupervisionExchangeComplianceSupervisionExchange	Eventos que son controlados por el modelo de lenguaje vulgar del Cumplimiento de comunicaciones.Events tracked by the Communication compliance offensive language model.
6969	CustomerKeyServiceEncryptionCustomerKeyServiceEncryption	Eventos relacionados con el servicio de cifrado de la clave del cliente.Events related to the customer key encryption service.
7070	OfficeNativeOfficeNative	Eventos relacionados con las etiquetas de confidencialidad aplicadas a los documentos de Office.Events related to sensitivity labels applied to Office documents.
7171	MipAutoLabelSharePointItemMipAutoLabelSharePointItem	Eventos de etiquetado automático en SharePoint.Auto-labeling events in SharePoint.
7272	MipAutoLabelSharePointPolicyLocationMipAutoLabelSharePointPolicyLocation	Eventos de la directiva de etiquetado automático en SharePoint.Auto-labeling policy events in SharePoint.
7373	MicrosoftTeamsShiftsMicrosoftTeamsShifts	Eventos de Turnos de Teams.Teams Shifts events.
7575	MipAutoLabelExchangeItemMipAutoLabelExchangeItem	Eventos de etiquetado automático en Exchange.Auto-labeling events in Exchange.
7676	CortanaBriefingCortanaBriefing	Eventos del Informe de tareas pendientes del correo electrónico.Briefing email events.
7777	BúsquedaSearch	Eventos relacionados con la realización de consultas de búsqueda en SharePoint y Exchange.Events related to performing search queries in SharePoint and Exchange.
7878	WDATPAlertsWDATPAlerts	Eventos relacionados con las alertas generadas por Windows Defender para el punto de conexión.Events related to alerts generated by Windows Defender for Endpoint.
8181	MDATPAuditMDATPAudit	Eventos de Microsoft Defender para punto de conexión.Microsoft Defender for Endpoint events.
8282	SensitivityLabelPolicyMatchSensitivityLabelPolicyMatch	Eventos que se generan cuando se abre o se le cambia el nombre a un archivo etiquetado con una etiqueta de confidencialidad.Events generated when the file labeled with a sensitivity label is opened or renamed.
8383	SensitivityLabelActionSensitivityLabelAction	Evento generado cuando se aplican, actualizan o quitan las etiquetas de confidencialidad de un archivo.Event generated when sensitivity labels are applied, updated, or removed from a file.
8484	SensitivityLabeledFileActionSensitivityLabeledFileAction	Eventos que se generan cuando se abre o se le cambia el nombre a un archivo etiquetado con una etiqueta de confidencialidad.Events generated when a file labeled with a sensitivity label is opened or renamed.
8585	AttackSimAttackSim	Eventos del Simulador de ataques.Attack simulator events.
8686	AirManualInvestigationAirManualInvestigation	Eventos relacionados con las investigaciones manuales de Investigación y respuesta automatizadas (AIR).Events related to manual investigations in Automated investigation and response (AIR).
8787	SecurityComplianceRBACSecurityComplianceRBAC	Eventos RBAC de seguridad y cumplimiento.Security and compliance RBAC events.
8888	UserTrainingUserTraining	Eventos de formación del Simulador de ataques en Microsoft Defender para Office 365.Attack simulator training events in Microsoft Defender for Office 365.
8989	AirAdminActionInvestigationAirAdminActionInvestigation	Eventos relacionados con las acciones del administrador en Investigación y respuesta automatizadas (AIR).Events related to admin actions in Automated investigation and response (AIR).
9090	MSTICMSTIC	Eventos de inteligencia contra amenazas de Microsoft Defender para Office 365.Threat intelligence events in Microsoft Defender for Office 365.
9191	PhysicalBadgingSignalPhysicalBadgingSignal	Eventos relacionados con las señales de las insignias físicas que son compatibles con la solución de la Administración de riesgos internos.Events related to physical badging signals that support the Insider risk management solution.
9393	AipDiscoverAipDiscover	Eventos del escáner de Azure Information Protection (AIP).Azure Information Protection (AIP) scanner events.
9494	AipSensitivityLabelActionAipSensitivityLabelAction	Eventos de etiqueta de confidencialidad de AIP.AIP sensitivity label events.
9595	AipProtectionActionAipProtectionAction	Eventos de protección de AIP.AIP protection events.
9696	AipFileDeletedAipFileDeleted	Eventos de eliminación de archivos de AIP.AIP file deletion events.
9797	AipHeartBeatAipHeartBeat	Eventos de latidos del corazón de AIP.AIP heartbeat events.
9898	MCASAlertsMCASAlerts	Eventos correspondientes a las alertas activadas por Microsoft Cloud App Security.Events corresponding to alerts triggered by Microsoft Cloud App Security.
9999	OnPremisesFileShareScannerDlpOnPremisesFileShareScannerDlp	Eventos relacionados con la detección de datos confidenciales en los recursos compartidos de los archivos.Events related to scanning for sensitive data on file shares.
100100	OnPremisesSharePointScannerDlpOnPremisesSharePointScannerDlp	Eventos relacionados con la detección de datos confidenciales en SharePoint.Events related to scanning for sensitive data in SharePoint.
101101	ExchangeSearchExchangeSearch	Eventos relacionados con el uso de Outlook en la Web (OWA) para buscar elementos del buzón.Events related to using Outlook on the web (OWA) to search for mailbox items.
102102	SharePointSearchSharePointSearch	Eventos relacionados con la búsqueda del sitio principal de SharePoint de una organización.Events related to searching an organization's SharePoint home site.
103103	PrivacyInsightsPrivacyInsights	Eventos de información de privacidad.Privacy insight events.
105105	MyAnalyticsSettingsMyAnalyticsSettings	Eventos de MyAnalytics.MyAnalytics events.
106106	SecurityComplianceUserChangeSecurityComplianceUserChange	Eventos relacionados con la modificación o eliminación de un usuario.Events related to modifying or deleting a user.
107107	ComplianceDLPExchangeClassificationComplianceDLPExchangeClassification	Eventos de clasificación de Exchange DLP.Exchange DLP classification events.
109109	MipExactDataMatchMipExactDataMatch	Eventos de clasificación de Correspondencia exacta de datos (EDM).Exact Data Match (EDM) classification events.

Enum: Tipo de usuario - Tipo: Edm.Int32Enum: User Type - Type: Edm.Int32

Tipo de usuarioUser Type

ValorValue	Nombre del miembroMember name	DescripciónDescription
00	RegularRegular	Un usuario normal.A regular user.
11	ReservedReserved	Un usuario reservado.A reserved user.
22	AdminAdmin	Un administrador.An administrator.
33	DcAdminDcAdmin	Un operador de centros de datos de Microsoft.A Microsoft datacenter operator.
44	SistemaSystem	Una cuenta del sistema.A system account.
55	ApplicationApplication	Una aplicación.An application.
66	ServicePrincipalServicePrincipal	Un servicio principal.A service principal.
77	CustomPolicyCustomPolicy	Una directiva personalizada.A custom policy.
88	SystemPolicySystemPolicy	Una directiva del sistemaA system policy.

Enum: AuditLogScope - Tipo: Edm.Int32Enum: AuditLogScope - Type: Edm.Int32

AuditLogScopeAuditLogScope

ValorValue	Nombre del miembroMember name	DescripciónDescription
00	OnlineOnline	Este evento fue creado por un servicio hospedado de O365.This event was created by a hosted O365 service.
11	OnpremOnprem	Este evento fue creado por un servidor local.This event was created by an on-premises server.

Esquema base de SharePointSharePoint Base schema

ParámetroParameter	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
SiteSite	Edm.GuidEdm.Guid	NoNo	El GUID del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario.The GUID of the site where the file or folder accessed by the user is located.
ItemTypeItemType	Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType"Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType"	NoNo	El tipo de objeto al que se obtuvo acceso o que se modificó.The type of object that was accessed or modified. Vea la tabla ItemType para obtener más información sobre los tipos de objetos.See the ItemType table for details on the types of objects.
EventSourceEventSource	Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource"Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource"	NoNo	Identifica que un evento se produjo en SharePoint.Identifies that an event occurred in SharePoint. Los valores posibles son SharePoint u ObjectModel.Possible values are SharePoint or ObjectModel.
SourceNameSourceName	Edm.StringEdm.String	NoNo	La entidad que ha activado la operación auditada.The entity that triggered the audited operation. Los valores posibles son SharePoint u ObjectModel.Possible values are SharePoint or ObjectModel.
UserAgentUserAgent	Edm.StringEdm.String	NoNo	Información sobre el cliente o el explorador del usuario.Information about the user's client or browser. Esta información la proporciona el cliente o el explorador.This information is provided by the client or browser.
MachineDomainInfoMachineDomainInfo	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	Información sobre las operaciones de sincronización del dispositivo.Information about device sync operations. Esta información se registra solo si está presente en la solicitud.This information is reported only if it's present in the request.
MachineIdMachineId	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	Información sobre las operaciones de sincronización del dispositivo.Information about device sync operations. Esta información se registra solo si está presente en la solicitud.This information is reported only if it's present in the request.

Enum: ItemType - Tipo: Edm.Int32Enum: ItemType - Type: Edm.Int32

ItemTypeItemType

ValorValue	Nombre del miembroMember name	DescripciónDescription
00	InvalidInvalid	El elemento no es ninguno de los tipos de elementos que se muestran en esta tabla.The item is none of the other item types (that are listed in this table).
11	FileFile	Y el elemento es un archivo.The item is a file.
55	FolderFolder	Y el elemento es una carpeta.The item is a folder.
66	WebWeb	Y el elemento es una web.The item is a Web.
77	SiteSite	El elemento es un sitio.The item is a site.
88	TenantTenant	El elemento es un inquilino.The item is a tenant.
99	DocumentLibraryDocumentLibrary	El elemento es una biblioteca de documentos.The item is a document library.
1111	PagePage	El elemento es una página.The item is a Page.

Enum: EventSource - Tipo: Edm.Int32Enum: EventSource - Type: Edm.Int32

EventSourceEventSource

ValorValue	Nombre del miembroMember name	DescripciónDescription
00	SharePointSharePoint	El origen del evento es SharePoint.The event source is SharePoint.
11	ObjectModelObjectModel	El origen del evento es ObjectModel.The event source is ObjectModel.

Enum: SharePointAuditOperation - Tipo: Edm.Int32Enum: SharePointAuditOperation - Type: Edm.Int32

Nombre del miembroMember name	DescripciónDescription
AccessInvitationAcceptedAccessInvitationAccepted	El destinatario de una invitación para ver o editar un archivo compartido (o carpeta) que ha obtenido acceso al archivo compartido haciendo clic en el vínculo de la invitación.The recipient of an invitation to view or edit a shared file (or folder) has accessed the shared file by clicking on the link in the invitation.
AccessInvitationCreatedAccessInvitationCreated	El usuario envía una invitación a otra persona (dentro o fuera de su organización) para ver o editar una carpeta o un archivo compartido en un sitio de SharePoint o de OneDrive para la Empresa.User sends an invitation to another person (inside or outside their organization) to view or edit a shared file or folder on a SharePoint or OneDrive for Business site. Los detalles de la entrada de evento identifican el nombre del archivo que se ha compartido, el usuario al que se envió la invitación y el tipo de los permisos de uso compartido seleccionados por la persona que envió la invitación.The details of the event entry identifies the name of the file that was shared, the user the invitation was sent to, and the type of the sharing permission selected by the person who sent the invitation.
AccessInvitationExpiredAccessInvitationExpired	Una invitación enviada a un usuario externo expira.An invitation sent to an external user expires. De forma predeterminada, una invitación enviada a un usuario fuera de su organización expira después de 7 días si no se acepta la invitación.By default, an invitation sent to a user outside of your organization expires after 7 days if the invitation isn't accepted.
AccessInvitationRevokedAccessInvitationRevoked	El administrador del sitio o el propietario de un sitio o un documento en SharePoint o en OneDrive para la Empresa retira una invitación enviada a un usuario fuera de su organización.The site administrator or owner of a site or document in SharePoint or OneDrive for Business withdraws an invitation that was sent to a user outside your organization. Una invitación puede retirarse antes de que se acepte.An invitation can be withdrawn only before it's accepted.
AccessInvitationUpdatedAccessInvitationUpdated	El usuario que creó y envió una invitación a otra persona para ver o editar una carpeta o un archivo compartido en un sitio de SharePoint o de OneDrive para la Empresa vuelve a enviar la invitación.The user who created and sent an invitation to another person to view or edit a shared file (or folder) on a SharePoint or OneDrive for Business site resends the invitation.
AccessRequestApprovedAccessRequestApproved	El administrador del sitio o el propietario de un sitio o un documento en SharePoint o en OneDrive para la Empresa aprueba una solicitud de usuario para acceder al sitio o documento.The site administrator or owner of a site or document in SharePoint or OneDrive for Business approves a user request to access the site or document.
AccessRequestCreatedAccessRequestCreated	El usuario solicita acceso a un sitio o un documento en SharePoint o en OneDrive para la empresa para el que no tienen permiso de acceso.User requests access to a site or document in SharePoint or OneDrive for Business that they don't have permission to access.
AccessRequestRejectedAccessRequestRejected	El administrador del sitio o el propietario de un sitio o un documento en SharePoint rechaza una solicitud de usuario para acceder al sitio o documento.The site administrator or owner of a site or document in SharePoint declines a user request to access the site or document.
ActivationEnabledActivationEnabled	Los usuarios pueden habilitar para el explorador plantillas de formulario que no contienen código de formulario, requieren plena confianza, habilitan representación en un dispositivo móvil o usan conexión de datos administrada por un administrador del servidor.Users can browser-enable form templates that don't contain form code, require full trust, enable rendering on a mobile device, or use a data connection managed by a server administrator.
AdministratorAddedToTermStoreAdministratorAddedToTermStore	Administrador de almacén de términos agregado.Term store administrator added.
AdministratorDeletedFromTermStoreAdministratorDeletedFromTermStore	Administrador de almacén de términos eliminado.Term store administrator deleted.
AllowGroupCreationSetAllowGroupCreationSet	El administrador del sitio o el propietario agrega un nivel de permisos al sitio de SharePoint o de OneDrive para la Empresa que permite que un usuario al que se ha asignado ese permiso cree un grupo para ese sitio.Site administrator or owner adds a permission level to a SharePoint or OneDrive for Business site that allows a user assigned that permission to create a group for that site.
AppCatalogCreatedAppCatalogCreated	El catálogo de aplicaciones se creó para que las aplicaciones empresariales personalizadas estén disponibles en su entorno de SharePoint.App catalog created to make custom business apps available for your SharePoint Environment.
AuditPolicyRemovedAuditPolicyRemoved	La directiva del ciclo de vida del documento se ha quitado de una colección de sitios.Document LifeCycle Policy has been removed for a site collection.
AuditPolicyUpdateAuditPolicyUpdate	La directiva del ciclo de vida del documento se ha actualizado para una colección de sitios.Document LifeCycle Policy has been updated for a site collection.
AzureStreamingEnabledSetAzureStreamingEnabledSet	El propietario de un portal de vídeo permitió el streaming de vídeo desde Azure.A video portal owner has allowed video streaming from Azure.
CollaborationTypeModifiedCollaborationTypeModified	Se ha modificado el tipo de colaboración permitido en sitios (por ejemplo, intranet, extranet o público).The type of collaboration allowed on sites (for example, intranet, extranet, or public) has been modified.
ConnectedSiteSettingModifiedConnectedSiteSettingModified	El usuario ha creado, modificado o eliminado el vínculo entre un proyecto y un sitio de proyecto o el usuario ha modificado la configuración de sincronización en el vínculo en Project Web App.User has either created, modified or deleted the link between a project and a project site or the user modifies the synchronization setting on the link in Project Web App.
CreateSSOApplicationCreateSSOApplication	La aplicación de destino que se creó en el servicio de almacenamiento seguro.Target application created in Secure store service.
CustomFieldOrLookupTableCreatedCustomFieldOrLookupTableCreated	El usuario ha creado un campo personalizado o un elemento o tabla de búsqueda en Project Web App.User created a custom field or lookup table/item in Project Web App.
CustomFieldOrLookupTableDeletedCustomFieldOrLookupTableDeleted	El usuario ha eliminado un campo personalizado o un elemento o tabla de búsqueda en Project Web App.User deleted a custom field or lookup table/item in Project Web App.
CustomFieldOrLookupTableModifiedCustomFieldOrLookupTableModified	El usuario ha modificado un campo personalizado o un elemento o tabla de búsqueda en Project Web App.User modified a custom field or lookup table/item in Project Web App.
CustomizeExemptUsersCustomizeExemptUsers	El administrador global ha personalizado la lista de agentes de usuario exentos en el centro de administración de SharePoint.Global administrator customized the list of exempt user agents in SharePoint admin center. Puede especificar qué agentes de usuario están exentos de recibir una página web completa para indexarla.You can specify which user agents to exempt from receiving an entire Web page to index. Esto significa que cuando un agente de usuario que ha especificado como exento encuentra un formulario de InfoPath, el formulario se devolverá como un archivo XML en lugar de como una página web completa.This means when a user agent you've specified as exempt encounters an InfoPath form, the form will be returned as an XML file instead of an entire Web page. Esto acelera la indexación de formularios de InfoPath.This makes indexing InfoPath forms faster.
DefaultLanguageChangedInTermStoreDefaultLanguageChangedInTermStore	Se ha cambiado la configuración de idioma en el almacén de terminología.Language setting changed in the terminology store.
DelegateModifiedDelegateModified	El usuario ha creado o modificado un delegado de seguridad en Project Web App.User created or modified a security delegate in Project Web App.
DelegateRemovedDelegateRemoved	El usuario ha eliminado un delegado de seguridad en Project Web App.User deleted a security delegate in Project Web App.
DeleteSSOApplicationDeleteSSOApplication	Se ha eliminado una aplicación SSO.An SSO application was deleted.
eDiscoveryHoldAppliedeDiscoveryHoldApplied	Se ha colocado una conservación local en un origen de contenido.An In-Place Hold was placed on a content source. Una colección de sitios de eDiscovery administra las retenciones locales (por ejemplo, el Centro de eDiscovery) en SharePoint.In-Place Holds are managed by using an eDiscovery site collection (such as the eDiscovery Center) in SharePoint.
eDiscoveryHoldRemovedeDiscoveryHoldRemoved	Se ha eliminado una conservación local de un origen de contenido.An In-Place Hold was removed from a content source. Una colección de sitios de eDiscovery administra las retenciones locales (por ejemplo, el Centro de eDiscovery) en SharePoint.In-Place Holds are managed by using an eDiscovery site collection (such as the eDiscovery Center) in SharePoint.
eDiscoverySearchPerformedeDiscoverySearchPerformed	Se ha realizado una búsqueda de eDiscovery con una colección de sitios de eDiscovery en SharePoint.An eDiscovery search was performed using an eDiscovery site collection in SharePoint.
EngagementAcceptedEngagementAccepted	El usuario acepta una interacción de recursos en Project Web App.User accepts a resource engagement in Project Web App.
EngagementModifiedEngagementModified	El usuario modifica una interacción de recursos en Project Web App.User modifies a resource engagement in Project Web App.
EngagementRejectedEngagementRejected	El usuario rechaza una interacción de recursos en Project Web App.User rejects a resource engagement in Project Web App.
EnterpriseCalendarModifiedEnterpriseCalendarModified	El usuario copia, modifica o eliminar un calendario de empresa en Project Web App.User copies, modifies or delete an enterprise calendar in Project Web App.
EntityDeletedEntityDeleted	El usuario elimina a planilla de horas trabajadas en Project Web App.User deletes a timesheet in Project Web App.
EntityForceCheckedInEntityForceCheckedIn	El usuario fuerza una protección en un calendario, un campo personalizado o una tabla de búsqueda en Project Web App.User forces a checkin on a calendar, custom field or lookup table in Project Web App.
ExemptUserAgentSetExemptUserAgentSet	El administrador global agrega un agente de usuario a la lista de agentes de usuario exentos en el centro de administración de SharePoint.Global administrator adds a user agent to the list of exempt user agents in the SharePoint admin center.
FileAccessedFileAccessed	La cuenta del sistema o el usuario obtiene acceso a un archivo en un sitio de SharePoint o de OneDrive para la Empresa.User or system account accesses a file on a SharePoint or OneDrive for Business site. Las cuentas del sistema también pueden generar eventos FileAccessed.System accounts can also generate FileAccessed events.
FileCheckOutDiscardedFileCheckOutDiscarded	El usuario descarta (o deshace) la extracción del repositorio de un archivo.User discards (or undos) a checked out file. Eso significa que cualquier cambio que haya realizado en el archivo cuando estaba extraído del repositorio se descarta y no se guarda en la versión del documento de la biblioteca de documentos.That means any changes they made to the file when it was checked out are discarded, and not saved to the version of the document in the document library.
FileCheckedInFileCheckedIn	El usuario inserta en el repositorio un documento que se extrajo de una biblioteca de documentos de SharePoint o de OneDrive para la Empresa.User checks in a document that they checked out from a SharePoint or OneDrive for Business document library.
FileCheckedOutFileCheckedOut	El usuario extrae un documento ubicado en una biblioteca de documentos de SharePoint o de OneDrive para la Empresa.User checks out a document located in a SharePoint or OneDrive for Business document library. Los usuarios pueden extraer del repositorio y modificar documentos que se han compartido con ellos.Users can check out and make changes to documents that have been shared with them.
FileCopiedFileCopied	El usuario copia un documento de un sitio de SharePoint o de OneDrive para la Empresa.User copies a document from a SharePoint or OneDrive for Business site. El archivo copiado puede guardarse en otra carpeta del sitio.The copied file can be saved to another folder on the site.
FileDeletedFileDeleted	El usuario elimina un documento de un sitio de SharePoint o de OneDrive para la Empresa.User deletes a document from a SharePoint or OneDrive for Business site.
FileDeletedFirstStageRecycleBinFileDeletedFirstStageRecycleBin	El usuario elimina un archivo de la papelera de reciclaje de un sitio de SharePoint o de OneDrive para la Empresa.User deletes a file from the recycle bin on a SharePoint or OneDrive for Business site.
FileDeletedSecondStageRecycleBinFileDeletedSecondStageRecycleBin	El usuario elimina un archivo de la papelera de reciclaje de segundo nivel de un sitio de SharePoint o de OneDrive para la Empresa.User deletes a file from the second-stage recycle bin on a SharePoint or OneDrive for Business site.
FileDownloadedFileDownloaded	El usuario descarga un documento de un sitio de SharePoint o de OneDrive para la Empresa.User downloads a document from a SharePoint or OneDrive for Business site.
FileFetchedFileFetched	Este evento se ha sustituido por el evento FileAccessed y está en desuso.This event has been replaced by the FileAccessed event, and has been deprecated.
FileModifiedFileModified	La cuenta de sistema o el usuario modifica el contenido o las propiedades de un documento ubicado en un sitio de SharePoint o de OneDrive para la Empresa.User or system account modifies the content or the properties of a document located on a SharePoint or OneDrive for Business site.
FileMovedFileMoved	El usuario mueve un documento desde su ubicación actual en un sitio de SharePoint o de OneDrive para la Empresa a una nueva ubicación.User moves a document from its current location on a SharePoint or OneDrive for Business site to a new location.
FilePreviewedFilePreviewed	El usuario obtiene la vista previa de un documento de un sitio de SharePoint o de OneDrive para la Empresa.User previews a document on a SharePoint or OneDrive for Business site.
FileRenamedFileRenamed	El usuario cambia el nombre de un documento de un sitio de SharePoint o de OneDrive para la Empresa.User renames a document on a SharePoint or OneDrive for Business site.
FileRestoredFileRestored	El usuario restaura un documento de una papelera de reciclaje de un sitio de SharePoint o de OneDrive para la Empresa.User restores a document from the recycle bin of a SharePoint or OneDrive for Business site.
FileSyncDownloadedFullFileSyncDownloadedFull	El usuario establece una relación de sincronización y descarga archivos correctamente por primera vez en su equipo desde una biblioteca de documentos de SharePoint o de OneDrive para la Empresa.User establishes a sync relationship and successfully downloads files for the first time to their computer from a SharePoint or OneDrive for Business document library.
FileSyncDownloadedPartialFileSyncDownloadedPartial	El usuario descarga correctamente cualquier cambio en los archivos de una biblioteca de documentos de SharePoint o de OneDrive para la Empresa.User successfully downloads any changes to files from SharePoint or OneDrive for Business document library. Este evento indica que los cambios realizados en los archivos de la biblioteca de documentos se descargaron en el equipo del usuario.This event indicates that any changes that were made to files in the document library were downloaded to the user's computer. Solo se descargaron los cambios porque el usuario había descargado previamente la biblioteca de documentos (como se indica en el evento FileSyncDownloadedFull).Only changes were downloaded because the document library was previously downloaded by the user (as indicated by the FileSyncDownloadedFull event).
FileSyncUploadedFullFileSyncUploadedFull	El usuario establece una relación de sincronización y carga archivos correctamente por primera vez desde su equipo a una biblioteca de documentos de SharePoint o de OneDrive para la Empresa.User establishes a sync relationship and successfully uploads files for the first time from their computer to a SharePoint or OneDrive for Business document library.
FileSyncUploadedPartialFileSyncUploadedPartial	El usuario carga correctamente los cambios en los archivos en una biblioteca de documentos de SharePoint o de OneDrive para la Empresa.User successfully uploads changes to files on a SharePoint or OneDrive for Business document library. Este evento indica que cualquier cambio realizado en la versión local de un archivo de una biblioteca de documentos se carga correctamente en dicha biblioteca.This event indicates that any changes made to the local version of a file from a document library are successfully uploaded to the document library. Solo se descargan los cambios porque el usuario había cargado anteriormente esos archivos (como se indica en el evento FileSyncUploadedFull).Only changes are unloaded because those files were previously uploaded by the user (as indicated by the FileSyncUploadedFull event).
FileUploadedFileUploaded	El usuario carga un documento en una carpeta en un sitio de SharePoint o de OneDrive para la Empresa.User uploads a document to a folder on a SharePoint or OneDrive for Business site.
FileViewedFileViewed	Este evento se ha sustituido por el evento FileAccessed y está en desuso.This event has been replaced by the FileAccessed event, and has been deprecated.
FolderCopiedFolderCopied	El usuario copia una carpeta de un sitio de SharePoint o de OneDrive para la Empresa en otra ubicación de SharePoint o de OneDrive para la Empresa.User copies a folder from a SharePoint or OneDrive for Business site to another location in SharePoint or OneDrive for Business.
FolderCreatedFolderCreated	El usuario crea una carpeta en un sitio de SharePoint o de OneDrive para la Empresa.User creates a folder on a SharePoint or OneDrive for Business site.
FolderDeletedFolderDeleted	El usuario elimina una carpeta de un sitio de SharePoint o de OneDrive para la Empresa.User deletes a folder from a SharePoint or OneDrive for Business site.
FolderDeletedFirstStageRecycleBinFolderDeletedFirstStageRecycleBin	El usuario elimina una carpeta de la papelera de reciclaje de un sitio de SharePoint o de OneDrive para la Empresa.User deletes a folder from the recycle bin on a SharePoint or OneDrive for Business site .
FolderDeletedSecondStageRecycleBinFolderDeletedSecondStageRecycleBin	El usuario elimina una carpeta de la papelera de reciclaje de segundo nivel de un sitio de SharePoint o de OneDrive para la Empresa.User deletes a folder from the second-stage recycle bin on a SharePoint or OneDrive for Business site.
FolderModifiedFolderModified	El usuario modifica una carpeta en un sitio de SharePoint o de OneDrive para la Empresa.User modifies a folder on a SharePoint or OneDrive for Business site. Este evento incluye cambios de metadatos de carpeta, como etiquetas y propiedades.This event includes folder metadata changes, such as tags and properties.
FolderMovedFolderMoved	El usuario mueve una carpeta desde un sitio de SharePoint o de OneDrive para la Empresa.User moves a folder from a SharePoint or OneDrive for Business site.
FolderRenamedFolderRenamed	El usuario cambia el nombre de una carpeta en un sitio de SharePoint o de OneDrive para la Empresa.User renames a folder on a SharePoint or OneDrive for Business site.
FolderRestoredFolderRestored	El usuario restaura una carpeta de la papelera de reciclaje de un sitio de SharePoint o de OneDrive para la Empresa.User restores a folder from the Recycle Bin on a SharePoint or OneDrive for Business site.
GroupAddedGroupAdded	El propietario o administrador del sitio crea un grupo para un sitio de SharePoint o de OneDrive para la Empresa, o realiza una tarea que tiene como resultado la creación de un grupo.Site administrator or owner creates a group for a SharePoint or OneDrive for Business site, or performs a task that results in a group being created. Por ejemplo, la primera vez que un usuario crea un vínculo para compartir un archivo, se agrega un grupo del sistema al sitio de OneDrive para la Empresa del usuario.For example, the first time a user creates a link to share a file, a system group is added to the user's OneDrive for Business site. Este evento también puede ser un resultado de que un usuario crease un vínculo con permisos de edición para un archivo compartido.This event can also be a result of a user creating a link with edit permissions to a shared file.
GroupRemovedGroupRemoved	El usuario elimina un grupo de un sitio de SharePoint o de OneDrive para la Empresa.User deletes a group from a SharePoint or OneDrive for Business site.
GroupUpdatedGroupUpdated	El propietario o el administrador del sitio cambia la configuración de un grupo para un sitio de SharePoint o de OneDrive para la Empresa.Site administrator or owner changes the settings of a group for a SharePoint or OneDrive for Business site. Esto puede incluir cambiar el nombre del grupo, quién puede ver o editar la pertenencia al grupo y cómo se controlan las solicitudes de pertenencia.This can include changing the group's name, who can view or edit the group membership, and how membership requests are handled.
LanguageAddedToTermStoreLanguageAddedToTermStore	Se agregó un idioma al almacén de términos.Language added to the terminology store.
LanguageRemovedFromTermStoreLanguageRemovedFromTermStore	Se quitó un idioma del almacén de términos.Language removed from the terminology store.
LegacyWorkflowEnabledSetLegacyWorkflowEnabledSet	El propietario o el administrador del sitio agrega el tipo de contenido de tarea de flujo de trabajo de SharePoint al sitio.Site administrator or owner adds theSharePoint Workflow Task content type to the site. Los administradores globales también pueden habilitar los flujos de trabajo para toda la organización en el centro de administración de SharePoint.Global administrators can also enable work flows for the entire organization in theSharePoint admin center.
LookAndFeelModifiedLookAndFeelModified	El usuario modifica un inicio rápido, los formatos de gráfico de Gantt o los formatos de grupo.User modifies a quick launch, gantt chart formats, or group formats. O bien, el usuario crea, modifica o elimina una vista en Project Web App.Or the user creates, modifies, or deletes a view in Project Web App.
ManagedSyncClientAllowedManagedSyncClientAllowed	El usuario establece correctamente una relación de sincronización con un sitio de SharePoint o de OneDrive para la Empresa.User successfully establishes a sync relationship with a SharePoint or OneDrive for Business site. La relación de sincronización es correcta porque el equipo del usuario es un miembro de un dominio que se ha agregado a la lista de dominios (denominada lista de destinatarios seguros) que puede obtener acceso a las bibliotecas de documentos de su organización.The sync relationship is successful because the user's computer is a member of a domain that's been added to the list of domains (called the safe recipients list) that can access document libraries in your organization. Para obtener más información sobre esta característica, vea Usar SharePoint Online PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros.For more information, see Use SharePoint Online PowerShell to enable OneDrive sync for domains that are on the safe recipients list.
MaxQuotaModifiedMaxQuotaModified	Se ha modificado la cuota máxima de un sitio.The maximum quota for a site has been modified.
MaxResourceUsageModifiedMaxResourceUsageModified	Se ha modificado el uso máximo permitido de recursos para un sitio.The maximum allowable resource usage for a site has been modified.
MySitePublicEnabledSetMySitePublicEnabledSet	El administrador del servicio SharePoint ha configurado la marca que habilita a los usuarios para tener Mis sitios en modo público.The flag enabling users to have public MySites has been set by the SharePoint administrator.
NewsFeedEnabledSetNewsFeedEnabledSet	El propietario o el administrador activa la fuente RSS para un sitio de SharePoint o de OneDrive para la Empresa.Site administrator or owner enables RSS feeds for a SharePoint or OneDrive for Business site. Los administradores globales pueden habilitar las fuentes RSS para toda la organización en el Centro de administración de SharePoint.Global administrators can enable RSS feeds for the entire organization in the SharePoint admin center.
ODBNextUXSettingsODBNextUXSettings	Se ha habilitado la nueva interfaz de usuario de OneDrive para la Empresa.New UI for OneDrive for Business has been enabled.
OfficeOnDemandSetOfficeOnDemandSet	El administrador del sitio habilita Office a petición, lo que permite a los usuarios obtener acceso a la última versión de las aplicaciones de escritorio de Office.Site administrator enables Office on Demand, which lets users access the latest version of Office desktop applications. Office a petición se habilita en el Centro de administración de SharePoint y requiere una suscripción a Office 365 que incluye aplicaciones de Office completas e instaladas.Office on Demand is enabled in the SharePoint admin center and requires an Office 365 subscription that includes full, installed Office applications.
PageViewedPageViewed	El usuario mira una página de un documento de un sitio de SharePoint o de OneDrive para la Empresa.User views a page on a SharePoint site or OneDrive for Business site. Esto no incluye la visualización de archivos de la biblioteca de documentos de un sitio de SharePoint o de OneDrive para la Empresa en un explorador.This does not include viewing document library files from a SharePoint site or One Drive for Business site on a browser.
PeopleResultsScopeSetPeopleResultsScopeSet	El administrador del sitio crea o cambia el origen de resultados para las búsquedas de personas para un sitio de SharePoint.Site administrator creates or changes the result source for People Searches for a SharePoint site.
PermissionSyncSettingModifiedPermissionSyncSettingModified	El usuario modifica la configuración de sincronización de permisos de proyecto en Project Web App.User modifies the project permission sync settings in Project Web App.
PermissionTemplateModifiedPermissionTemplateModified	El usuario crea, modifica o elimina una plantilla de permisos en Project Web App.User creates, modifies or deletes a permissions template in Project Web App.
PortfolioDataAccessedPortfolioDataAccessed	El usuario accede al contenido de cartera (biblioteca de controlador, priorización de controlador, análisis de cartera) en Project Web App.User accesses portfolio content (driver library, driver prioritization, portfolio analyses) in Project Web App.
PortfolioDataModifiedPortfolioDataModified	El usuario crea, modifica o elimina datos de cartera (biblioteca de controlador, priorización de controlador, análisis de cartera) en Project Web App.User creates, modifies, or deletes portfolio data (driver library, driver prioritization, portfolio analyses) in Project Web App.
PreviewModeEnabledSetPreviewModeEnabledSet	El administrador del sitio habilita la vista previa de documentos de un sitio de SharePoint.Site administrator enables document preview for a SharePoint site.
ProjectAccessedProjectAccessed	El usuario obtiene acceso al contenido del proyecto en Project Web App.User accesses project content in Project Web App.
ProjectCheckedInProjectCheckedIn	El usuario inserta un proyecto que extrajo de Project Web App.User checks in a project that they checked out from a Project Web App.
ProjectCheckedOutProjectCheckedOut	El usuario extrae un proyecto que se encuentra en Project Web App.User checks out a project located in a Project Web App. Los usuarios pueden desproteger y realizar cambios en los proyectos para los que tienen permiso de apertura.Users can check out and make changes to projects that they have permission to open.
ProjectCreatedProjectCreated	El usuario crea un proyecto en Project Web App.User creates a project in Project Web App.
ProjectDeletedProjectDeleted	El usuario elimina un proyecto en Project Web App.User deletes a project in Project Web App.
ProjectForceCheckedInProjectForceCheckedIn	El usuario fuerza una inserción en un proyecto en Project Web App.User forces a check in on a project in Project Web App.
ProjectModifiedProjectModified	El usuario modifica un proyecto en Project Web App.User modifies a project in Project Web App.
ProjectPublishedProjectPublished	El usuario publica un proyecto en Project Web App.User publishes a project in Project Web App.
ProjectWorkflowRestartedProjectWorkflowRestarted	El usuario reinicia un flujo de trabajo en Project Web App.User restarts a workflow in Project Web App.
PWASettingsAccessedPWASettingsAccessed	El usuario obtiene acceso a la configuración de Project Web App a través de CSOM.User access the Project Web App settings via CSOM.
PWASettingsModifiedPWASettingsModified	El usuario modifica la configuración de Project Web App.User modifies the a Project Web App configuration.
QueueJobStateModifiedQueueJobStateModified	El usuario cancela o reinicia un trabajo de cola en Project Web App.User cancels or restarts a queue job in Project Web App.
QuotaWarningEnabledModifiedQuotaWarningEnabledModified	Advertencia de modificación de la cuota de almacenamiento.Storage quota warning modified.
RenderingEnabledRenderingEnabled	Las plantillas de formulario habilitadas para el explorador se representarán mediante InfoPath Forms Services.Browser-enabled form templates will be rendered by InfoPath forms services.
ReportingAccessedReportingAccessed	El usuario obtuvo acceso al punto de conexión de informes en Project Web App.User accessed the reporting endpoint in Project Web App.
ReportingSettingModifiedReportingSettingModified	El usuario modifica la configuración de informes en Project Web App.User modifies the reporting configuration in Project Web App.
ResourceAccessedResourceAccessed	El usuario obtiene acceso a un contenido de recursos de empresa en Project Web App.User accesses an enterprise resource content in Project Web App.
ResourceCheckedInResourceCheckedIn	El usuario inserta un recurso de empresa que extrajo de Project Web App.User checks in an enterprise resource that they checked out from Project Web App.
ResourceCheckedOutResourceCheckedOut	El usuario extrae un recurso de empresa ubicado en Project Web App.User checks out an enterprise resource located in Project Web App.
ResourceCreatedResourceCreated	El usuario crea un recurso de empresa en Project Web App.User creates an enterprise resource in Project Web App.
ResourceDeletedResourceDeleted	El usuario elimina un recurso de empresa en Project Web App.User deletes an enterprise resource in Project Web App.
ResourceForceCheckedInResourceForceCheckedIn	El usuario fuerza una inserción de un recurso de empresa en Project Web App.User forces a checkin of an enterprise resource in Project Web App.
ResourceModifiedResourceModified	El usuario modifica un recurso de empresa en Project Web App.User modifies an enterprise resource in Project Web App.
ResourcePlanCheckedInOrOutResourcePlanCheckedInOrOut	El usuario inserta o extrae un plan de recursos en Project Web App.User checks in or out a resource plan in Project Web App.
ResourcePlanModifiedResourcePlanModified	El usuario modifica un plan de recursos en Project Web App.User modifies a resource plan in Project Web App.
ResourcePlanPublishedResourcePlanPublished	El usuario publica un plan de recursos en Project Web App.User publishes a resource plan in Project Web App.
ResourceRedactedResourceRedacted	El usuario redacta un recurso de empresa quitando toda la información personal en Project Web App.User redacts an enterprise resource removing all personal information in Project Web App.
ResourceWarningEnabledModifiedResourceWarningEnabledModified	Advertencia de modificación de la cuota de recursos.Resource quota warning modified.
SSOGroupCredentialsSetSSOGroupCredentialsSet	Las credenciales de grupo configuradas en el Servicio de almacenamiento seguro.Group credentials set in Secure store service.
SSOUserCredentialsSetSSOUserCredentialsSet	Las credenciales de usuario configuradas en el Servicio de almacenamiento seguro.User credentials set in Secure store service.
SearchCenterUrlSetSearchCenterUrlSet	La dirección URL del centro de búsqueda configurada.Search center URL set.
SecondaryMySiteOwnerSetSecondaryMySiteOwnerSet	Un usuario ha agregado un propietario secundario para su sitio.A user has added a secondary owner to their MySite.
SecurityCategoryModifiedSecurityCategoryModified	El usuario crea, modifica o elimina una categoría de seguridad en Project Web App.User creates, modifies or deletes a security category in Project Web App.
SecurityGroupModifiedSecurityGroupModified	El usuario crea, modifica o elimina un grupo de seguridad en Project Web App.User creates, modifies or deletes a security group in Project Web App.
SendToConnectionAddedSendToConnectionAdded	El administrador global crea una nueva conexión Enviar a en la página Administración de registros en el Centro de administración de SharePoint.Global administrator creates a new Send To connection on the Records management page in the SharePoint admin center. Una conexión Enviar a especifica la configuración de un repositorio de documentos o un centro de registros.A Send To connection specifies settings for a document repository or a records center. Cuando crea una conexión Enviar a, un Organizador de contenido puede enviar documentos a la ubicación especificada.When you create a Send To connection, a Content Organizer can submit documents to the specified location.
SendToConnectionRemovedSendToConnectionRemoved	El administrador global elimina una conexión Enviar a en la página Administración de registros en el Centro de administración de SharePoint.Global administrator deletes a Send To connection on the Records management page in the SharePoint admin center.
SharedLinkCreatedSharedLinkCreated	El usuario crea un vínculo a un archivo compartido en SharePoint o en OneDrive para la Empresa.User creates a link to a shared file in SharePoint or OneDrive for Business. Este vínculo puede enviarse a otras personas para proporcionarles acceso al archivo.This link can be sent to other people to give them access to the file. Un usuario puede crear dos tipos de vínculos: un vínculo que permite al usuario ver y editar el archivo compartido o un vínculo que solo permite al usuario ver el archivo.A user can create two types of links: a link that allows a user to view and edit the shared file, or a link that allows the user to just view the file.
SharedLinkDisabledSharedLinkDisabled	El usuario deshabilita (permanentemente) un vínculo para compartir un archivo creado.User disables (permanently) a link that was created to share a file.
SharingInvitationAccepted SharingInvitationAccepted	El usuario acepta una invitación para compartir un archivo o carpeta.User accepts an invitation to share a file or folder. Este evento se registra cuando un usuario comparte un archivo con otros usuarios.This event is logged when a user shares a file with other users.
SharingRevokedSharingRevoked	El usuario deja de compartir un archivo o carpeta que se había compartido con otros usuarios.User unshares a file or folder that was previously shared with other users. Este evento se registra cuando un usuario deja de compartir un archivo con otros usuarios.This event is logged when a user stops sharing a file with other users.
SharingSetSharingSet	El usuario comparte un archivo o carpeta que se encuentra en SharePoint o en OneDrive para la Empresa con otro usuario de su organización.User shares a file or folder located in SharePoint or OneDrive for Business with another user inside their organization.
SiteAdminChangeRequestSiteAdminChangeRequest	Solicitudes de usuario para que se les agregue como administrador de colección de sitios para una colección de sitios de SharePoint.User requests to be added as a site collection administrator for a SharePoint site collection. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los subsitios.Site collection administrators have full control permissions for the site collection and all subsites.
SiteCollectionAdminAddedSiteCollectionAdminAdded	El administrador de colección de sitios o el propietario agrega a una persona como un administrador de colección de sitios de un sitio de SharePoint o de OneDrive para la Empresa.Site collection administrator or owner adds a person as a site collection administrator for a SharePoint or OneDrive for Business site. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los sub sitios.Site collection administrators have full control permissions for the site collection and all subsites.
SiteCollectionCreatedSiteCollectionCreated	El administrador global crea una nueva colección de sitios de su organización de SharePoint.Global administrator creates a new site collection in your SharePoint organization.
SiteRenamedSiteRenamed	El propietario o el administrador cambia el nombre de un sitio de SharePoint o de OneDrive para la Empresa.Site administrator or owner renames a SharePoint or OneDrive for Business site
StatusReportModifiedStatusReportModified	El usuario crea, modifica o elimina un informe de estado en Project Web App.User creates, modifies or deletes a status report in Project Web App.
SyncGetChangesSyncGetChanges	El usuario hace clic en Sincronización en la Bandeja de acción en SharePoint o OneDrive para la Empresa para sincronizar los cambios en un archivo en una biblioteca de documentos en su equipo.User clicks Sync in the action tray on in SharePoint or OneDrive for Business to synchronize any changes to file in a document library to their computer.
TaskStatusAccessedTaskStatusAccessed	El usuario obtiene el estado de una o varias tareas en Project Web App.User accesses the status of one or more tasks in Project Web App.
TaskStatusApprovedTaskStatusApproved	El usuario aprueba una actualización de estado de una o varias tareas en Project Web App.User approves a status update of one or more tasks in Project Web App.
TaskStatusRejectedTaskStatusRejected	El usuario rechaza una actualización de estado de una o varias tareas en Project Web App.User rejects a status update of one or more tasks in Project Web App.
TaskStatusSavedTaskStatusSaved	El usuario guarda una actualización de estado de una o varias tareas en Project Web App.User saves a status update of one or more tasks in Project Web App.
TaskStatusSubmittedTaskStatusSubmitted	El usuario envía una actualización de estado de una o varias tareas en Project Web App.User submits a status update of one or more tasks in Project Web App.
TimesheetAccessedTimesheetAccessed	El usuario obtiene acceso a una planilla de horas trabajadas en Project Web App.User accesses a timesheet in Project Web App.
TimesheetApprovedTimesheetApproved	El usuario aprueba una planilla de horas trabajadas en Project Web App.User approves timesheet in Project Web App.
TimesheetRejectedTimesheetRejected	El usuario rechaza una planilla de horas trabajadas en Project Web App.User rejects a timesheet in Project Web App.
TimesheetSavedTimesheetSaved	El usuario guarda una planilla de horas trabajadas en Project Web App.User saves a timesheet in Project Web App.
TimesheetSubmittedTimesheetSubmitted	El usuario envía una planilla de horas trabajadas de estado en Project Web App.User submits a status timesheet in Project Web App.
UnmanagedSyncClientBlockedUnmanagedSyncClientBlocked	El usuario intenta establecer una relación de sincronización con un sitio de SharePoint o de OneDrive para la Empresa desde un equipo que no es miembro del dominio de su organización o es un miembro de un dominio que no se ha agregado a la lista de dominios (denominada la lista de destinatarios seguros) que puede obtener acceso a las bibliotecas de documentos de su organización.User tries to establish a sync relationship with a SharePoint or OneDrive for Business site from a computer that isn't a member of your organization's domain or is a member of a domain that hasn't been added to the list of domains (called the safe recipients list) that can access document libraries in your organization. La relación de sincronización no se permite y el equipo del usuario queda bloqueado para sincronizar, descargar o cargar archivos en una biblioteca de documentos.The sync relationship is not allowed, and the user's computer is blocked from syncing, downloading, or uploading files on a document library. Para obtener más información sobre esta característica, vea Usar cmdlets de Windows PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros.For information about this feature, see Use Windows PowerShell cmdlets to enable OneDrive sync for domains that are on the safe recipients list.
UpdateSSOApplicationUpdateSSOApplication	La aplicación de destino se actualizó en el Servicio de almacenamiento seguro.Target application updated in Secure store service.
UserAddedToGroupUserAddedToGroup	El propietario o el administrador agrega a un usuario a un grupo en un sitio de SharePoint o de OneDrive para la Empresa.Site administrator or owner adds a person to a group on a SharePoint or OneDrive for Business site. Agregar a un usuario a un grupo concede al usuario los permisos asignados al grupo.Adding a person to a group grants the user the permissions that were assigned to the group.
UserRemovedFromGroupUserRemovedFromGroup	El propietario o el administrador quita a un usuario de un grupo en un sitio de SharePoint o de OneDrive para la Empresa.Site administrator or owner removes a person from a group on a SharePoint or OneDrive for Business site. Después de quitar la persona, no se le concede los permisos asignados al grupo.After the person is removed, they no longer are granted the permissions that were assigned to the group.
WorkflowModifiedWorkflowModified	El usuario crea, modifica o elimina un tipo de proyecto empresarial o fases de flujo de trabajo o fases de Project Web App.User creates, modifies, or deletes an Enterprise Project Type or Workflow phases or stages in Project Web App.

Operaciones de archivos de SharePointSharePoint file operations

Los eventos de SharePoint relacionados con archivos que aparecen en la sección "Actividades de archivos y carpetas" en Buscar el registro de auditoría en el Centro de protección y seguridad utilizan este esquema.The file-related SharePoint events listed in the "File and folder activities" section in Search the audit log in security and compliance center use this schema.

ParámetroParameter	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
SiteUrlSiteUrl	Edm.StringEdm.String	SíYes	La dirección URL del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario.The URL of the site where the file or folder accessed by the user is located.
SourceRelativeUrlSourceRelativeUrl	Edm.StringEdm.String	NoNo	La dirección URL de la carpeta que contiene el archivo al que obtuvo acceso el usuario.The URL of the folder that contains the file accessed by the user. La combinación de los valores de los parámetros SiteURL, SourceRelativeURL y SourceFileName es lo mismo que el valor de la propiedad ObjectID, que es el nombre de la ruta de acceso completa del archivo al que obtuvo acceso el usuario.The combination of the values for the SiteURL, SourceRelativeURL, and SourceFileName parameters is the same as the value for the ObjectID property, which is the full path name for the file accessed by the user.
SourceFileNameSourceFileName	Edm.StringEdm.String	SíYes	El nombre del archivo o carpeta al que obtuvo acceso el usuario.The name of the file or folder accessed by the user.
SourceFileExtensionSourceFileExtension	Edm.StringEdm.String	NoNo	La extensión del archivo al que obtuvo acceso el usuario.The file extension of the file that was accessed by the user. Esta propiedad está en blanco si el objeto al que se obtuvo acceso es una carpeta.This property is blank if the object that was accessed is a folder.
DestinationRelativeUrlDestinationRelativeUrl	Edm.StringEdm.String	NoNo	La dirección URL de la carpeta de destino donde se copia o se mueve un archivo.The URL of the destination folder where a file is copied or moved. La combinación de los valores de los parámetros SiteURL, DestinationRelativeURL y DestinationFileName es lo mismo que el valor de la propiedad ObjectID, que es el nombre de la ruta de acceso completa del archivo que se copió.The combination of the values for SiteURL, DestinationRelativeURL, and DestinationFileName parameters is the same as the value for the ObjectID property, which is the full path name for the file that was copied. Esta propiedad se muestra únicamente para los eventos FileCopied y FileMoved.This property is displayed only for FileCopied and FileMoved events.
DestinationFileNameDestinationFileName	Edm.StringEdm.String	NoNo	El nombre del archivo que se copia o mueve.The name of the file that is copied or moved. Esta propiedad se muestra únicamente para los eventos FileCopied y FileMoved.This property is displayed only for FileCopied and FileMoved events.
DestinationFileExtensionDestinationFileExtension	Edm.StringEdm.String	NoNo	La extensión del archivo que se copia o mueve.The file extension of a file that is copied or moved. Esta propiedad se muestra únicamente para los eventos FileCopied y FileMoved.This property is displayed only for FileCopied and FileMoved events.
UserSharedWithUserSharedWith	Edm.StringEdm.String	NoNo	El usuario con el que se compartió un recurso.The user that a resource was shared with.
SharingTypeSharingType	Edm.StringEdm.String	NoNo	El tipo de permisos de uso compartido que se asignan al usuario con el que se compartió el recurso.The type of sharing permissions that were assigned to the user that the resource was shared with. Este usuario se identifica mediante el parámetro UserSharedWith.This user is identified by the UserSharedWith parameter.

Los eventos de SharePoint relacionados con el uso compartido de archivos.The file share-related SharePoint events. Se diferencian de los eventos relacionados con archivos y carpetas en que un usuario realiza una acción que tiene algún efecto en otro usuario.They are different from file- and folder-related events in that a user is taking an action that has some effect on another user. Para obtener información sobre el esquema de uso compartido de SharePoint, vea Uso compartido de auditoría en el registro de auditoría de Office 365.For information about the SharePoint Sharing schema, see Use sharing auditing in the Office 365 audit log.

ParámetroParameter	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
TargetUserOrGroupNameTargetUserOrGroupName	Edm.StringEdm.String	NoNo	Almacena el UPN o el nombre del grupo o usuario de destino con el que se compartió un recurso.Stores the UPN or name of the target user or group that a resource was shared with.
TargetUserOrGroupTypeTargetUserOrGroupType	Edm.StringEdm.String	NoNo	Identifica si el usuario o grupo de destino es un miembro, invitado, grupo o partner.Identifies whether the target user or group is a Member, Guest, Group, or Partner.
EventDataEventData	Código XMLXML code	NoNo	Transmite información de seguimiento sobre la acción de uso compartido que se ha producido, como agregar un usuario a un grupo o conceder permisos de edición.Conveys follow-up information about the sharing action that has occurred, such as adding a user to a group or granting edit permissions.

Esquema de SharePointSharePoint schema

Los eventos de SharePoint que aparecen en Buscar el registro de auditoría en el Centro de protección y seguridad (excluyendo los eventos de archivos y de carpetas) utilizan este esquema.The SharePoint events listed in Search the audit log in security and compliance center (excluding the file and folder events) use this schema.

ParámetroParameter	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
CustomEventCustomEvent	Edm.StringEdm.String	NoNo	Cadena opcional para los eventos personalizados.Optional string for custom events.
EventDataEventData	Edm.StringEdm.String	NoNo	Carga opcional para los eventos personalizados.Optional payload for custom events.
ModifiedPropertiesModifiedProperties	Collection(ModifiedProperty)Collection(ModifiedProperty)	NoNo	La propiedad se incluye para los eventos de administración, como agregar un usuario como miembro de un sitio o un grupo de administradores de colección de sitios.The property is included for admin events, such as adding a user as a member of a site or a site collection admin group. La propiedad incluye el nombre de la propiedad modificada (por ejemplo, el grupo de administradores del sitio), el nuevo valor de la propiedad modificada (como el usuario agregado como administrador de sitio) y el valor anterior del objeto modificado.The property includes the name of the property that was modified (for example, the Site Admin group), the new value of the modified property (such the user who was added as a site admin), and the previous value of the modified object.

Esquema de ProjectProject schema

ParámetroParameter	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
EntidadEntity	Edm.StringEdm.String	SíYes	ProjectEntity para la que fue la auditoría.ProjectEntity the audit was for.
AcciónAction	Edm.StringEdm.String	SíYes	ProjectAction que se realizó.ProjectAction that was taken.
OnBehalfOfResIdOnBehalfOfResId	Edm.GuidEdm.Guid	NoNo	El id. de recurso en nombre del cual se realizó la acción.The resource Id the action was taken on behalf of.

Enum: Project acción - Tipo: Edm.Int32Enum: Project Action - Type: Edm.Int32

Acción de proyectoProject action

Nombre del miembroMember name	DescripciónDescription
AceptadasAccepted	El usuario aceptó un evento o un flujo de trabajo.The user accepted an event or workflow.
AccessedAccessed	El usuario obtuvo acceso a una entidad.The user accessed an entity.
ActivatedActivated	El usuario activó una entidad, un evento o un flujo de trabajo.The user activated an entity, event or workflow.
CancelledCancelled	El usuario canceló un evento o un flujo de trabajo.The user cancelled an event or workflow.
CheckedInCheckedIn	El usuario insertó una entidad.The user check in an entity.
CheckedOutCheckedOut	El usuario extrajo una entidad.The user checkout an entity.
CopiedCopied	El usuario copió una entidad.The user copied an entity.
CreatedCreated	El usuario creó una entidad.The user created an entity.
DeactivatedDeactivated	El usuario desactivó una entidad.The user deactivated an entity.
DeletedDeleted	El usuario eliminó una entidad.The user deleted an entity.
ExportedExported	El usuario exportó una entidad.The user exported an entity.
ForceCheckedInForceCheckedIn	El usuario causó que se forzase la inserción de una entidad.The user caused an entity to be force checked in.
ModifiedModified	El usuario modificó una entidad.The user modified an entity.
PublishedPublished	El usuario publicó una entidad.The user published an entity.
RedactedRedacted	El usuario redactó una entidad.The user redacted an entity.
RejectedRejected	El usuario rechazó una entidad.The user rejected an entity.
RestartedRestarted	El usuario reinició un evento o un flujo de trabajo.The user restarted an event or workflow.
SavedSaved	El usuario guardó una entidad.The user saved an entity.
SentSent	El usuario envió una entidad.The user sent an entity.
SubmittedSubmitted	El usuario envió un flujo de trabajo o una entidad para su revisión.The user submitted an entity for review or workflow.

Enum: Project Entity - Tipo: Edm.Int32Enum: Project Entity - Type: Edm.Int32

Entidad del proyectoProject entity

Nombre del miembroMember name	DescripciónDescription
CustomFieldCustomField	Representa de un campo personalizado de empresa.Represents an enterprise custom field.
DriverDriver	Representa un controlador de cartera.Represents a portfolio driver.
DriverPrioritizationDriverPrioritization	Representa una priorización de la cartera.Represents a portfolio prioritization.
EngagementEngagement	Representa una interacción de recurso.Represents a resource engagement.
EnterpriseCalendarEnterpriseCalendar	Representa un calendario de recursos de empresa.Represents a enterprise resource calendar.
EnterpriseProjectTypeEnterpriseProjectType	Representa un tipo de proyecto empresarial.Represents an enterprise project type.
FiscalPeriodFiscalPeriod	Representa un período fiscal.Represents a fiscal period.
GanttChartFormatGanttChartFormat	Representa un formato de gráfico de Gantt.Represents a gantt chart format.
GroupingFormatGroupingFormat	Representa un formato de agrupación de vista.Represents a view grouping format.
LineClassificationLineClassification	Representa una clasificación de línea de parte de horas.Represents a timesheet line classification.
LookupTableLookupTable	Representa una tabla de búsqueda empresarial.Represents a enterprise lookup table.
PermissionTemplatePermissionTemplate	Representa una plantilla de permisos de seguridad.Represents a security permission template.
PortfolioAnalysisPortfolioAnalysis	Representa un análisis de cartera.Represents a portfolio analysis.
ProjectProject	Representa un proyecto.Represents a project.
QueueJobQueueJob	Representa un trabajo de cola.Represents a queue job.
QuickLaunchQuickLaunch	Representa un elemento de inicio rápido.Represents a quick launch item.
ReportingReporting	Representa el punto de conexión de creación de informes.Represents the reporting endpoint.
ResourceResource	Representa de un recurso de empresa.Represents an enterprise resource.
ResourcePlanResourcePlan	Representa un plan de recursos asociado a un proyecto.Represents a resource plan associated with A project.
SecurityCategorySecurityCategory	Representa una categoría de seguridad.Represents a security category.
SecurityGroupSecurityGroup	Representa un grupo de seguridad.Represents a security group.
SettingSetting	Representa una configuración de Project Web AppRepresents a Project Web App setting
StatusingStatusing	Representa una actualización de estado de tarea.Represents a task status update.
StatusReportStatusReport	Representa un informe de estado.Represents a status report.
TimeReportingPeriodTimeReportingPeriod	Representa un período de tiempo de un parte de horasRepresents a period of time for a timesheet
TimesheetTimesheet	Representa una entidad de parte de horas.Represents a timesheet entity.
TimesheetAuditLogTimesheetAuditLog	Representa un registro de auditoría de parte de horas.Represents a timesheet audit log.
TimesheetManagerTimesheetManager	Representa el administrador de un parte de horas.Represents the manager of a timesheet.
UserDelegateUserDelegate	Representa una delegación de usuario para otro usuario.Represents a user delegation for another user.
ViewView	Representa una definición de vista.Represents a view definition.
WorkflowPhaseWorkflowPhase	Representa una fase de un flujo de trabajo.Represents a phase in a workflow.
WorkflowStageWorkflowStage	Representa una fase de un flujo de trabajo.Represents a stage in a workflow.

Esquema de administración de ExchangeExchange Admin schema

ParámetrosParameters	TipoType	ObligatorioMandatory	DescripciónDescription
ModifiedObjectResolvedNameModifiedObjectResolvedName	Edm.StringEdm.String	NoNo	Este es el nombre descriptivo del objeto modificado por el cmdlet.This is the user friendly name of the object that was modified by the cmdlet. Esto solo se registra si el cmdlet modifica el objeto.This is logged only if the cmdlet modifies the object.
ParámetrosParameters	Collection(Common.NameValuePair)Collection(Common.NameValuePair)	NoNo	El nombre y valor de todos los parámetros usados con el cmdlet que se identifica en la propiedad Operations.The name and value for all parameters that were used with the cmdlet that is identified in the Operations property.
ModifiedPropertiesModifiedProperties	Collection(Common.ModifiedProperty)Collection(Common.ModifiedProperty)	NoNo	La propiedad se incluye para los eventos de administración.The property is included for admin events. La propiedad incluye el nombre de la propiedad modificada, el nuevo valor de la propiedad modificada y el valor anterior del objeto modificado.The property includes the name of the property that was modified, the new value of the modified property, and the previous value of the modified object.
ExternalAccessExternalAccess	Edm.BooleanEdm.Boolean	SíYes	Especifica si el cmdlet lo ejecutó un usuario de la organización, el personal del centro de datos de Microsoft o una cuenta de servicio del centro de datos, o un administrador delegado.Specifies whether the cmdlet was run by a user in your organization, by Microsoft datacenter personnel or a datacenter service account, or by a delegated administrator. El valor False indica que el cmdlet lo ejecutó algún usuario de su organización.The value False indicates that the cmdlet was run by someone in your organization. El valor True indica que el cmdlet lo ejecutó el personal del centros de datos, una cuenta de servicio del centro de datos o un administrador delegado.The value True indicates that the cmdlet was run by datacenter personnel, a datacenter service account, or a delegated administrator.
OriginatingServerOriginatingServer	Edm.StringEdm.String	NoNo	El nombre del servidor desde el que se ejecutó el cmdlet.The name of the server from which the cmdlet was executed.
OrganizationNameOrganizationName	Edm.StringEdm.String	NoNo	El nombre del inquilino.The name of the tenant.

Esquema de buzón de ExchangeExchange Mailbox schema

ParámetrosParameters	TipoType	ObligatorioMandatory	DescripciónDescription
LogonTypeLogonType	Self.LogonTypeSelf.LogonType	NoNo	Indica el tipo de usuario que obtuvo acceso al buzón y llevó a cabo la operación que se ha registrado.Indicates the type of user who accessed the mailbox and performed the operation that was logged.
InternalLogonTypeInternalLogonType	Self.LogonTypeSelf.LogonType	NoNo	Reservado para uso interno.Reserved for internal use.
MailboxGuidMailboxGuid	Edm.StringEdm.String	NoNo	El GUID de Exchange del buzón al que se obtuvo acceso.The Exchange GUID of the mailbox that was accessed.
MailboxOwnerUPNMailboxOwnerUPN	Edm.StringEdm.String	NoNo	La dirección de correo electrónico del propietario del buzón al que se obtuvo acceso.The email address of the person who owns the mailbox that was accessed.
MailboxOwnerSidMailboxOwnerSid	Edm.StringEdm.String	NoNo	El SID del propietario del buzón.The SID of the mailbox owner.
MailboxOwnerMasterAccountSidMailboxOwnerMasterAccountSid	Edm.StringEdm.String	NoNo	SID de la cuenta principal de la cuenta del propietario del buzón.Mailbox owner account's master account SID.
LogonUserSidLogonUserSid	Edm.StringEdm.String	NoNo	El SID del usuario que realizó la operación.The SID of the user who performed the operation.
LogonUserDisplayNameLogonUserDisplayName	Edm.StringEdm.String	NoNo	El nombre descriptivo del usuario que realizó la operación.The user-friendly name of the user who performed the operation.
ExternalAccessExternalAccess	Edm.BooleanEdm.Boolean	SíYes	Esto tiene el valor true si el dominio del usuario que inició sesión es diferente del dominio del propietario del buzón.This is true if the logon user's domain is different from the mailbox owner's domain.
OriginatingServerOriginatingServer	Edm.StringEdm.String	NoNo	Representa dónde se originó la operación.This is from where the operation originated.
OrganizationNameOrganizationName	Edm.StringEdm.String	NoNo	El nombre del inquilino.The name of the tenant.
ClientInfoStringClientInfoString	Edm.StringEdm.String	NoNo	Información sobre el cliente de correo electrónico que se usó para realizar la operación, como la versión de explorador, la versión de Outlook o información del dispositivo móvil.Information about the email client that was used to perform the operation, such as a browser version, Outlook version, and mobile device information.
ClientIPAddressClientIPAddress	Edm.StringEdm.String	NoNo	La dirección IP del dispositivo que se ha usado cuando la operación se ha registrado.The IP address of the device that was used when the operation was logged. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.The IP address is displayed in either an IPv4 or IPv6 address format.
ClientMachineNameClientMachineName	Edm.StringEdm.String	NoNo	El nombre del equipo que hospeda al cliente de Outlook.The machine name that hosts the Outlook client.
ClientProcessNameClientProcessName	Edm.StringEdm.String	NoNo	El cliente de correo electrónico que se usó para acceder al buzón.The email client that was used to access the mailbox.
ClientVersionClientVersion	Edm.StringEdm.String	NoNo	La versión del cliente de correo electrónico.The version of the email client .

Enum: LogonType - Tipo: Edm.Int32Enum: LogonType - Type: Edm.Int32

LogonTypeLogonType

ValorValue	Nombre del miembroMember name	DescripciónDescription
00	OwnerOwner	El propietario del buzónThe mailbox owner.
11	AdminAdmin	Un usuario con privilegios de administrador para el buzón de un usuario.A person with administrative privileges for someone's mailbox.
22	DelegatedDelegated	Un usuario con privilegios de delegado para el buzón de un usuario.A person with the delegate privileges for someone's mailbox.
33	TransportTransport	Un servicio de transporte en el centro de datos de Microsoft.A transport service in the Microsoft datacenter.
44	SystemServiceSystemService	Una cuenta de servicio del centro de datos de MicrosoftA service account in the Microsoft datacenter
55	BestAccessBestAccess	Reservado para uso interno.Reserved for internal use.
66	DelegatedAdminDelegatedAdmin	Un administrador delegado.A delegated administrator.

Esquema ExchangeMailboxAuditGroupRecordExchangeMailboxAuditGroupRecord schema

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
FolderFolder	Self.ExchangeFolderSelf.ExchangeFolder	NoNo	La carpeta donde se encuentra un grupo de elementos.The folder where a group of items is located.
CrossMailboxOperationsCrossMailboxOperations	Edm.BooleanEdm.Boolean	NoNo	Indica si la operación implicó más de un buzón.Indicates if the operation involved more than one mailbox.
DestMailboxIdDestMailboxId	Edm.GuidEdm.Guid	NoNo	Establece si el valor del parámetro CrossMailboxOperations es True.Set only if the CrossMailboxOperations parameter is True. Especifica el GUID del buzón de correo de destino.Specifies the target mailbox GUID.
DestMailboxOwnerUPNDestMailboxOwnerUPN	Edm.StringEdm.String	NoNo	Establece si el valor del parámetro CrossMailboxOperations es True.Set only if the CrossMailboxOperations parameter is True. Especifica el UPN del propietario del buzón de correo de destino.Specifies the UPN of the owner of the target mailbox.
DestMailboxOwnerSidDestMailboxOwnerSid	Edm.StringEdm.String	NoNo	Establece si el valor del parámetro CrossMailboxOperations es True.Set only if the CrossMailboxOperations parameter is True. Especifica el SID del buzón de correo de destino.Specifies the SID of the target mailbox.
DestMailboxOwnerMasterAccountSidDestMailboxOwnerMasterAccountSid	Edm.StringEdm.String	NoNo	Establece si el valor del parámetro CrossMailboxOperations es True.Set only if the CrossMailboxOperations parameter is True. Especifica el SID de la cuenta principal y el SID del propietario del buzón de destino.Specifies the SID for the master account SID of the target mailbox owner.
DestFolderDestFolder	Self.ExchangeFolderSelf.ExchangeFolder	NoNo	La carpeta de destino, para operaciones como Mover.The destination folder, for operations such as Move.
FoldersFolders	Collection(Self.ExchangeFolder)Collection(Self.ExchangeFolder)	NoNo	Información sobre las carpetas de origen implicadas en una operación; por ejemplo, si las carpetas están seleccionadas y después se eliminan.Information about the source folders involved in an operation; for example, if folders are selected and then deleted.
AffectedItemsAffectedItems	Collection(Self.ExchangeItem)Collection(Self.ExchangeItem)	NoNo	Información sobre cada elemento del grupo.Information about each item in the group.

Esquema ExchangeMailboxAuditRecordExchangeMailboxAuditRecord schema

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
ItemItem	Self.ExchangeItemSelf.ExchangeItem	NoNo	Representa el elemento para el que se ha realizado la operaciónRepresents the item upon which the operation was performed
ModifiedPropertiesModifiedProperties	Collection(Edm.String)Collection(Edm.String)	NoNo	Por determinarTBD
SendAsUserSmtpSendAsUserSmtp	Edm.StringEdm.String	NoNo	Dirección SMTP del usuario que se está suplantando.SMTP address of the user who is being impersonated.
SendAsUserMailboxGuidSendAsUserMailboxGuid	Edm.GuidEdm.Guid	NoNo	El GUID de Exchange del buzón al que se obtuvo acceso para enviar un correo electrónico.The Exchange GUID of the mailbox that was accessed to send email as.
SendOnBehalfOfUserSmtpSendOnBehalfOfUserSmtp	Edm.StringEdm.String	NoNo	Dirección SMTP del usuario en cuyo nombre se envía el correo electrónico.SMTP address of the user on whose behalf the email is sent.
SendOnBehalfOfUserMailboxGuidSendOnBehalfOfUserMailboxGuid	Edm.GuidEdm.Guid	NoNo	El GUID de Exchange del buzón al que se obtuvo acceso para enviar correo en su nombre.The Exchange GUID of the mailbox that was accessed to send mail on behalf of.

Tipo complejo ExchangeItemExchangeItem complex type

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
IdId	Edm.StringEdm.String	SíYes	Id. de la tienda.The store ID.
SubjectSubject	Edm.StringEdm.String	NoNo	La línea de asunto del mensaje al que se obtuvo acceso.The subject line of the message that was accessed.
ParentFolderParentFolder	Edm.ExchangeFolderEdm.ExchangeFolder	NoNo	El nombre de la carpeta donde se encuentra el elemento omitido.The name of the folder where the item is located.
AttachmentsAttachments	Edm.StringEdm.String	NoNo	Una lista de los nombres y el tamaño de archivo de todos los elementos que se adjuntan al mensaje.A list of the names and file size of all items that are attached to the message.

Tipo complejo ExchangeFolderExchangeFolder complex type

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
IdId	Edm.StringEdm.String	SíYes	El id. del objeto de carpeta.The store ID of the folder object.
PathPath	Edm.StringEdm.String	NoNo	El nombre de la carpeta del buzón donde se encuentra el mensaje al que se obtuvo acceso.The name of the mailbox folder where the message that was accessed is located.

Esquema base de Azure Active DirectoryAzure Active Directory Base schema

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
AzureActiveDirectoryEventTypeAzureActiveDirectoryEventType	Self.AzureActiveDirectoryEventTypeSelf.AzureActiveDirectoryEventType	SíYes	El tipo de evento de Azure AD.The type of Azure AD event.
ExtendedPropertiesExtendedProperties	Collection(Common.NameValuePair)Collection(Common.NameValuePair)	NoNo	Las propiedades extendidas del evento de Azure AD.The extended properties of the Azure AD event.
ModifiedPropertiesModifiedProperties	Collection(Common.ModifiedProperty)Collection(Common.ModifiedProperty)	NoNo	Esta propiedad se incluye para los eventos de administración.This property is included for admin events. La propiedad incluye el nombre de la propiedad modificada, el nuevo valor de la propiedad modificada y el valor anterior de la propiedad modificada.The property includes the name of the property that was modified, the new value of the modified property, and the previous value of the modified property.

Enum: AzureActiveDirectoryEventType - Tipo: Edm.Int32Enum: AzureActiveDirectoryEventType - Type -Edm.Int32

AzureActiveDirectoryEventTypeAzureActiveDirectoryEventType

Nombre del miembroMember name	DescripciónDescription
AccountLogonAccountLogon	El evento de inicio de sesión de la cuenta.The account login event.
AzureApplicationAuditEventAzureApplicationAuditEvent	El evento de seguridad de la aplicación de Azure.The Azure application security event.

Esquema de inicio de sesión de Azure Active DirectoryAzure Active Directory Account Logon schema

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
ApplicationApplication	Edm.StringEdm.String	NoNo	La aplicación que desencadena el evento de inicio de sesión de la cuenta, como Office 15.The application that triggers the account login event, such as Office 15.
ClientClient	Edm.StringEdm.String	NoNo	Información sobre el dispositivo del cliente, el sistema operativo del dispositivo y explorador del dispositivo que se usó para del evento de inicio de sesión de cuenta.Details about the client device, device OS, and device browser that was used for the of the account login event.
LoginStatusLoginStatus	Edm.Int32Edm.Int32	SíYes	Esta propiedad procede directamente de OrgIdLogon.LoginStatus.This property is from OrgIdLogon.LoginStatus directly. Puede realizarse la asignación de varios errores de inicio de sesión interesantes mediante algoritmos de alerta.The mapping of various interesting logon failures could be done by alerting algorithms.
UserDomainUserDomain	Edm.StringEdm.String	SíYes	La información de identidad del inquilino (TII).The Tenant Identity Information (TII).

Enum: CredentialType - Tipo: Edm.Int32Enum: CredentialType - Type: Edm.Int32

ValorValue	Nombre del miembroMember name	DescripciónDescription
-1-1	OtherOther	Otra autenticación.Other authentication.
00	PasswordPassword	La credencial de usuario es el nombre de usuario y la contraseña.User credential is username and password.
11	MobilePhoneMobilePhone	La credencial de usuario es el teléfono móvil.User credential is mobile phone.
22	SecretQuestionSecretQuestion	La credencial de usuario es la pregunta secreta.User credential is secret question.
33	SecurePinSecurePin	La credencial de usuario es el PIN seguro.User credential is secure PIN.
44	SecurePinResetSecurePinReset	La credencial de usuario es el restablecimiento del PIN seguro.User credential is secure PIN reset.
1111	EasyIDEasyID	La credencial de usuario es el EasyID.User credential is EasyID.
1414	PasswordIndexCredentialTypePasswordIndexCredentialType	La credencial de usuario es PasswordIndexCredentialType.User credential is PasswordIndexCredentialType.
1616	DeviceDevice	La credencial de usuario es un dispositivo.User credential is a device.
1717	ForeignRealmIndexForeignRealmIndex	La credencial de usuario es ForeignRealmIndex.User credential is ForeignRealmIndex.

Enum: LoginType - Tipo: Edm.Int32Enum: LoginType - Type: Edm.Int32

ValorValue	Nombre del miembroMember name	DescripciónDescription
-1-1	OtherOther	Otro tipo i.Other i type.
11	InitialAuthInitialAuth	Inicie sesión con la autenticación inicialLogin with initial authentication
22	CookieCopyCookieCopy	Inicie sesión con la cookie.Login with cookie.
33	SilentReAuthSilentReAuth	Inicie sesión con la reautenticación silenciosa.Login with silent re-authentication.

Enum: AuthenticationMethod - Tipo: Edm.Int32Enum: AuthenticationMethod - Type: Edm.Int32

ValorValue	Nombre del miembroMember name	DescripciónDescription
00	MinMin	El método de autenticación es un método mínThe authentication method is a Min
11	PasswordPassword	El método de autenticación es una contraseña.The authentication method is a password.
22	DigestDigest	El método de autenticación es un resumen.The authentication method is a digest.
33	ProxyAuthProxyAuth	El método de autenticación es un ProxyAuth.The authentication method is a ProxyAuth.
44	InfoCardInfoCard	El método de autenticación es un InfoCard.The authentication method is an InfoCard
55	DATokenDAToken	El método de autenticación es un DAToken.The authentication method is a DAToken.
66	Sha1RememberMyPasswordSha1RememberMyPassword	El método de autenticación es una Sha1RememberMyPassword.The authentication method is a Sha1RememberMyPassword.
77	LMPasswordHashLMPasswordHash	El método de autenticación es un LMPasswordHash.The authentication method is an LMPasswordHash.
88	ADFSFederatedTokenADFSFederatedToken	El método de autenticación es un ADFSFederatedToken.The authentication method is an ADFSFederatedToken.
99	EIDEID	El método de autenticación es un EID.The authentication method is an EID.
1010	DeviceIDDeviceID	El método de autenticación es un DeviceID.The authentication method is a DeviceID.
1111	MD5MD5	El método de autenticación es un MD5.The authentication method is MD5.
1212	EncProxyPasswordHashEncProxyPasswordHash	El método de autenticación es un EncProxyPasswordHash.The authentication method is a EncProxyPasswordHash.
1313	LWAFederationLWAFederation	El método de autenticación es un LWAFederation.The authentication method is a LWAFederation.
1414	Sha1HashedPasswordSha1HashedPassword	El método de autenticación es un Sha1HashedPassword.The authentication method is a Sha1HashedPassword.
1515	SecurePinSecurePin	El método de autenticación es un PIN seguro.The authentication method is a secure Pin.
1616	SecurePinResetSecurePinReset	El método de autenticación es un restablecimiento de PIN seguro.The authentication method is a secure PIN reset.
1717	SAML20PostSimpleSignSAML20PostSimpleSign	El método de autenticación es un SAML20PostSimpleSign.The authentication method is a SAML20PostSimpleSign.
1818	SAML20PostSAML20Post	El método de autenticación es un SAML20Post.The authentication method is a SAML20Post.
1919	OneTimeCodeOneTimeCode	El método de autenticación es un código de un solo uso.The authentication method is a one-time code.

Esquema de Azure Active DirectoryAzure Active Directory schema

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
ActorActor	Collection(Self.IdentityTypeValuePair)Collection(Self.IdentityTypeValuePair)	NoNo	El usuario o una entidad de servicio que efectuó la acción.The user or service principal that performed the action.
ActorContextIdActorContextId	Edm.StringEdm.String	NoNo	El GUID de la organización a la que pertenece el agente.The GUID of the organization that the actor belongs to.
ActorIpAddressActorIpAddress	Edm.StringEdm.String	NoNo	La dirección IP del actor en formato de dirección IPV4 o IPV6.The actor's IP address in IPV4 or IPV6 address format.
InterSystemsIdInterSystemsId	Edm.StringEdm.String	NoNo	El GUID que realiza un seguimiento de las acciones de componentes en el servicio de Office 365.The GUID that track the actions across components within the Office 365 service.
IntraSystemsIdIntraSystemsId	Edm.StringEdm.String	NoNo	El GUID que genera Azure Active Directory para realizar un seguimiento de la acción.The GUID that's generated by Azure Active Directory to track the action.
SupportTicketIdSupportTicketId	Edm.StringEdm.String	NoNo	El id. del vale de soporte de cliente para la acción en situaciones de "actuar en nombre de".The customer support ticket ID for the action in "act-on-behalf-of" situations.
TargetTarget	Collection(Self.IdentityTypeValuePair)Collection(Self.IdentityTypeValuePair)	NoNo	El usuario para el que se realizó la acción (identificada por la propiedad Operation).The user that the action (identified by the Operation property) was performed on.
TargetContextIdTargetContextId	Edm.StringEdm.String	NoNo	El GUID de la organización a la que pertenece el usuario de destino.The GUID of the organization that the targeted user belongs to.

Tipo complejo IdentityTypeValuePairComplex Type IdentityTypeValuePair

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
Id.ID	Edm.StringEdm.String	SíYes	El valor de la identidad dada el tipo.The value of the identity given the type.
TypeType	Self.IdentityTypeSelf.IdentityType	SíYes	El tipo de la identidad.The type of the identity.

Enum: IdentityType - Tipo: Edm.Int32Enum: IdentityType - Type: Edm.Int32

IdentityTypeIdentityType

Nombre del miembroMember name	DescripciónDescription
ClaimClaim	La identidad es una notificación para el propósito de autorización.The identity is a claim for authorization purpose.
NameName	El actor de la acción de auditoría o el nombre para mostrar de la identidad de destino.The audit action actor or target identity display name.
OtherOther	La identidad del actor es otro tipo, como ObjectId en GUID generado por el servicio de Office 365.The identity of the actor is other type, such as the ObjectId in GUID generated by the Office 365 service.
PUIDPUID	El agente de acción de auditoría o el identificador único de Microsoft .NET Passport (PUID) de destino.The audit action actor or the target passport unique ID (PUID).
SPNSPN	La identidad de una entidad de servicio si la acción la ejecuta el servicio de Office 365.The identity of a service principal if the action is performed by the Office 365 service.
UPNUPN	El nombre principal del usuario.The user principal name.

Esquema de inicio de sesión de servicio de token de seguridad (STS) de Azure Active DirectoryAzure Active Directory Secure Token Service (STS) Logon schema

ParametersParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
ApplicationIdApplicationId	Edm.StringEdm.String	NoNo	El GUID que representa la aplicación que solicita el inicio de sesión.The GUID that represents the application that is requesting the login. Se puede buscar el nombre para mostrar a través de la API de Graph de Azure Active Directory.The display name can be looked up via the Azure Active Directory Graph API.
ClientClient	Edm.StringEdm.String	NoNo	Información de dispositivo cliente, proporcionada por el explorador que realiza el inicio de sesión.Client device information, provided by the browser performing the login.
LogonErrorLogonError	Edm.StringEdm.String	NoNo	Para inicios de sesión erróneos, contiene el motivo por el que ha fallado el inicio de sesión.For failed logins, contains the reason why the login failed. Para obtener una descripción completa de LogonErrors consulte la lista de Códigos de error de autenticación y autorización.For a complete description of LogonErrors refer to the list of Authentication and authorization error codes.

Esquema DLPDLP schema

Los eventos DLP están disponibles para Exchange Online, SharePoint Online y OneDrive para la Empresa.DLP events are available for Exchange Online, SharePoint Online, and OneDrive For Business. Tenga en cuenta que los eventos DLP en Exchange solo están disponibles para los eventos basados en directiva DLP unificada (por ejemplo, configurados mediante el Centro de seguridad y cumplimiento).Note that DLP events in Exchange are only available for events based on unified DLP policy (e.g. configured via Security & Compliance Center). Los eventos DLP basados en las reglas de transporte de Exchange no son compatibles.DLP events based on Exchange Transport Rules are not supported.

Los eventos DLP (prevención de pérdida de datos) siempre tendrán UserKey="DlpAgent" en el esquema común.DLP (Data Loss Prevention) events will always have UserKey="DlpAgent" in the common schema. Hay tres tipos de DlpEvents que se almacenan como el valor de la propiedad Operation del esquema común:There are three types of DlpEvents that are stored as the value of the Operation property of the common schema:

DlpRuleMatch: indica que se encontró una coincidencia con una regla.DlpRuleMatch - This indicates a rule was matched. Estos eventos se encuentran en Exchange, SharePoint Online y en OneDrive para la Empresa.These events exist in both Exchange and SharePoint Online and OneDrive for Business. Para Exchange incluye los falsos positivos y reemplazar información.For Exchange it includes false positive and override information. En SharePoint Online y en OneDrive para la Empresa, los falsos positivos y los reemplazos generan eventos independientes.For SharePoint Online and OneDrive for Business, false positive and overrides generate separate events.
DlpRuleUndo: solo existen en SharePoint Online y en OneDrive para la Empresa e indican que una acción de la directiva aplicada anteriormente se ha "deshecho", debido a la designación de falso positivo o reemplazo por el usuario, o porque el documento ya no está sujeto a directiva (ya sea debido a cambio de directiva o a cambios al contenido del documento).DlpRuleUndo - These only exist in SharePoint Online and OneDrive for Business, and indicate a previously applied policy action has been "undone" – either because of false positive/override designation by user, or because the document is no longer subject to policy (either due to policy change or change to content in doc).
DlpInfo: solo se encuentran en SharePoint Online y en OneDrive para la Empresa e indican una designación de falso positivo, pero no se ha "deshecho" ninguna acción.DlpInfo - These only exist in SharePoint Online and OneDrive for Business and indicate a false positive designation but no action was "undone."

ParámetrosParameters	TipoType	ObligatorioMandatory	DescripciónDescription
SharePointMetaDataSharePointMetaData	Self.SharePointMetadataSelf.SharePointMetadata	NoNo	Describe los metadatos sobre el documento en SharePoint o en OneDrive para la Empresa, que contiene la información confidencial.Describes metadata about the document in SharePoint or OneDrive for Business that contained the sensitive information.
ExchangeMetaDataExchangeMetaData	Self.ExchangeMetadataSelf.ExchangeMetadata	NoNo	Describe los metadatos sobre el mensaje de correo electrónico que contiene la información confidencial.Describes metadata about the email message that contained the sensitive information.
ExceptionInfoExceptionInfo	Edm.StringEdm.String	NoNo	Identifica los motivos por los que ya no se aplica una directiva o cualquier información sobre falsos positivos o invalidación indicada por el usuario final.Identifies reasons why a policy no longer applies and/or any information about false positive and/or override noted by the end user.
PolicyDetailsPolicyDetails	Collection(Self.PolicyDetails)Collection(Self.PolicyDetails)	SíYes	Información sobre 1 o más directivas que ha desencadenado el evento DLP.Information about 1 or more policies that triggered the DLP event.
SensitiveInfoDetectionIsIncludedSensitiveInfoDetectionIsIncluded	BooleanBoolean	SíYes	Indica si el evento contiene el valor del tipo de datos confidenciales y el contexto del contenido de origen.Indicates whether the event contains the value of the sensitive data type and surrounding context from the source content. Obtener acceso a los datos confidenciales requiere el permiso "Leer eventos de directiva DLP como información confidencial" en Azure Active Directory.Accessing sensitive data requires the "Read DLP policy events including sensitive details" permission in Azure Active Directory.

Tipo complejo SharePointMetadataSharePointMetadata complex type

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
FromFrom	Edm.StringEdm.String	SíYes	El usuario ha desencadenado el evento.The user who triggered the event. Se trata de FileOwner, LastModifier o LastSharer.This will be either the FileOwner, LastModifier, or LastSharer.
itemCreationTimeitemCreationTime	Edm.DateEdm.Date	SíYes	Datetimestamp en UTC de cuando se registró el evento.Datetimestamp in UTC of when event logged.
SiteCollectionGuidSiteCollectionGuid	Edm.GuidEdm.Guid	SíYes	El GUID de la colección de sitios.The GUID of the site collection.
SiteCollectionUrlSiteCollectionUrl	Edm.StringEdm.String	SíYes	El nombre del sitio de SharePoint.Name of the SharePoint site.
FileNameFileName	Edm.StringEdm.String	SíYes	El nombre de la ruta de acceso.Name of the path.
FileOwnerFileOwner	Edm.StringEdm.String	SíYes	El propietario del documento.The document owner.
FilePathUrlFilePathUrl	Edm.StringEdm.String	SíYes	La dirección URL del documentoThe URL of the document
DocumentLastModifierDocumentLastModifier	Edm.StringEdm.String	SíYes	El usuario que ha modificado por última vez el documento.The user who last modified the document.
DocumentSharerDocumentSharer	Edm.StringEdm.String	SíYes	El usuario que ha modificado por última vez el uso compartido del documento.The user who last modified sharing of the document.
UniqueIdUniqueId	Edm.StringEdm.String	SíYes	Un GUID que identifica el archivo.A guid that identifies the file.
LastModifiedTimeLastModifiedTime	Edm.DateTimeEdm.DateTime	SíYes	Marca de tiempo en UTC que indica la última vez que se modificó el documento.Timestamp in UTC for when doc was last modified.

Tipo complejo ExchangeMetadataExchangeMetadata complex type

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
MessageIDMessageID	Edm.StringEdm.String	SíYes	El identificador de mensaje de correo electrónico que ha desencadenado el evento.The message ID of the email that triggered the event.
FromFrom	Edm.StringEdm.String	SíYes	El usuario que envió el correo electrónico.The user who sent the email.
ToTo	Collection(Edm.String)Collection(Edm.String)	NoNo	Un conjunto de direcciones de correo electrónico que estaban en la línea Para del mensaje.A collection of email addresses that were on the To line of the message.
CCCC	Collection(Edm.String)Collection(Edm.String)	NoNo	Un conjunto de direcciones de correo electrónico que estaban en la línea CC del mensaje.A collection of email addresses that were on the CC line of the message.
BCCBCC	Collection(Edm.String)Collection(Edm.String)	NoNo	Un conjunto de direcciones de correo electrónico que estaban en la línea CCO del mensaje.A collection of email addresses that were on the BCC line of the message.
SubjectSubject	Edm.StringEdm.String	SíYes	El asunto del mensaje de correo electrónico.Subject of the email message.
SentSent	Edm.DateTimeEdm.DateTime	SíYes	La hora en UTC a la que se envió el correo electrónico.The time in UTC of when the email was sent.
RecipientCountRecipientCount	Edm.Int32Edm.Int32	SíYes	El número total de todos los destinatarios en las líneas Para, CC y CCO del mensaje.The total number of all recipients on the TO, CC, and BCC lines of the message.

Tipo complejo PolicyDetailsPolicyDetails complex type

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
PolicyIdPolicyId	Edm.GuidEdm.Guid	SíYes	El GUID de la directiva DLP para el evento.The guid of the DLP policy for this event.
PolicyNamePolicyName	Edm.StringEdm.String	SíYes	El nombre descriptivo de la directiva DLP para el evento.The friendly name of the DLP policy for this event.
RulesRules	Collection(Self.Rules)Collection(Self.Rules)	SíYes	Información sobre las reglas de la directiva coincidentes para el evento.Information about the rules within the policy that were matched for this event.

Tipos complejo reglasRules complex type

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
RuleIdRuleId	Edm.GuidEdm.Guid	SíYes	El GUID de la regla DLP para el evento.The guid of the DLP rule for this event.
RuleNameRuleName	Edm.StringEdm.String	SíYes	El nombre descriptivo de la regla DLP para el evento.The friendly name of the DLP rule for this event.
AccionesActions	Collection(Edm.String)Collection(Edm.String)	NoNo	Una lista de acciones como resultado de un evento RuleMatch DLP.A list of actions taken as a result of a DLP RuleMatch event.
OverriddenActionsOverriddenActions	Collection(Edm.String)Collection(Edm.String)	NoNo	Una lista de acciones realizadas anteriormente que ahora se han deshecho como resultado de un evento DLPRuleUndo.A list of actions previously taken that were now undone as a result of a DLPRuleUndo event.
SeveritySeverity	Edm.StringEdm.String	NoNo	La gravedad (baja, media y alta) de la coincidencia de regla.The severity (Low, Medium and High) of the rule match.
RuleModeRuleMode	Edm.StringEdm.String	SíYes	Indica si la regla DLP solo se ha configurado para Aplicar, Auditar con notificación o Solo auditar.Indicate whether the DLP Rule was set to Enforce, Audit with Notify, or Audit only.
ConditionsMatchedConditionsMatched	Self.ConditionsMatchedSelf.ConditionsMatched	NoNo	Información sobre las condiciones de la regla para las que se han encontrado coincidencias para el evento.Details about what conditions of the rule were matched for this event.

Tipo complejo ConditionsMatchedConditionsMatched complex type

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
SensitiveInformationSensitiveInformation	Collection(Self.SensitiveInformation)Collection(Self.SensitiveInformation)	NoNo	Información sobre el tipo de información confidencial que se detectó.Information about the type of sensitive information detected.
DocumentPropertiesDocumentProperties	Collection(NameValuePair)Collection(NameValuePair)	NoNo	Información sobre las propiedades del documento que activaron una coincidencia de regla.Information about document properties that triggered a rule match.
OtherConditionsOtherConditions	Collection(NameValuePair)Collection(NameValuePair)	NoNo	Una lista de los pares de valores clave que describe cualquier otra condición para la que se encontrón coincidencias.A list of key value pairs describing any other conditions that were matched.

Tipo complejo SensitiveInformationSensitiveInformation complex type

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
ConfidenceConfidence	Edm.IntEdm.Int	SíYes	La confianza del patrón que coincide con la detección.The confidence of pattern that matched the detection.
CountCount	Edm.IntEdm.Int	SíYes	El número de instancias confidenciales detectadas.The number of sensitive instances detected.
SensitiveTypeSensitiveType	Edm.GuidEdm.Guid	SíYes	Un GUID que identifica el tipo de información confidencial detectado.A guid that identifies the type of sensitive data detected.
SensitiveInformationDetectionsSensitiveInformationDetections	Self.SensitiveInformationDetectionsSelf.SensitiveInformationDetections	NoNo	La matriz de objetos que contienen datos de información confidencial con los siguientes detalles: valor coincidente y contexto de valor coincidente.An array of objects that contain sensitive information data with the following details – matched value and context of matched value.

Tipo complejo SensitiveInformationDetectionsSensitiveInformationDetections complex type

Los datos confidenciales de DLP solo están disponibles en la API de fuente de actividades para los usuarios a los que se les han concedido permisos "Leer datos confidenciales de DLP".DLP sensitive data is only available in the activity feed API to users that have been granted "Read DLP sensitive data" permissions.

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
DetectionsDetections	Collection(Self.Detections)Collection(Self.Detections)	SíYes	Una matriz de información confidencial que se detectó.An array of sensitive information that was detected. La información contiene pares de valor con Value = valor coincidente (p. ej.Information contains key value pairs with Value = matched value (eg. valor de tarjeta de crédito de SSN) y Context = un fragmento de contenido de origen que contiene el valor coincidente.Value of credit card of SSN) and Context = an excerpt from source content that contains the matched value.
ResultsTruncatedResultsTruncated	Edm.BooleanEdm.Boolean	SíYes	Indica si los registros se truncan debido al gran número de resultados.Indicates if the logs were truncated due to large number of results.

Tipo complejo ExceptionInfoExceptionInfo complex type

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
ReasonReason	Edm.StringEdm.String	NoNo	Para un evento DLPRuleUndo, indica por qué ya no se aplica la regla, lo que puede deberse a uno de los estos tres motivos: Invalidación, Cambio del documento o Cambio de directivaFor a DLPRuleUndo event, this indicates why the rule no longer applies, which can be one of 3 reasons: Override, Document Change, or Policy Change
FalsePositiveFalsePositive	Edm.BooleanEdm.Boolean	NoNo	Indica si el usuario designó este evento como un falso positivo.Indicates whether the user designated this event as a false positive.
JustificaciónJustification	Edm.StringEdm.String	NoNo	Si el usuario decidió invalidar la directiva, cualquier justificación especificada por el usuario se captura aquí.If the user chose to override policy, any user-specified justification is captured here.
RulesRules	Collection(Edm.Guid)Collection(Edm.Guid)	NoNo	Una colección de GUID para las reglas que se designó como un falso positivo o invalidación o por la que se deshizo una acción.A collection of guids for each rule that was designated as a false positive or override, or for which an action was undone.

Esquema de Centro de seguridad y cumplimientoSecurity and Compliance Center schema

ParámetrosParameters	TipoType	ObligatorioMandatory	DescripciónDescription
StartTimeStartTime	Edm.DateEdm.Date	NoNo	La fecha y hora en que se ejecutó el cmdlet.The date and time at which the cmdlet was executed.
ClientRequestIdClientRequestId	Edm.StringEdm.String	NoNo	Un GUID que puede usarse para correlacionar este cmdlet con las operaciones de UX del Centro de seguridad y cumplimiento.A GUID that can be used to correlate this cmdlet with the Security & Compliance Center UX operations. Solo el soporte técnico de Microsoft utiliza esta información.This information is only used by Microsoft support.
CmdletVersionCmdletVersion	Edm.StringEdm.String	NoNo	La versión de compilación del cmdlet cuando se ejecutó.The build version of the cmdlet when it was executed.
EffectiveOrganizationEffectiveOrganization	Edm.StringEdm.String	NoNo	El GUID de la organización que se han visto afectada por el cmdlet.The GUID for the organization impacted by the cmdlet. (En desuso: este parámetro dejará de aparecer en el futuro.)(Deprecated: This parameter will stop appearing in the future.)
UserServicePlanUserServicePlan	Edm.StringEdm.String	NoNo	El plan de servicio de Exchange Online Protection asignado al usuario que ejecutó el cmdlet.The Exchange Online Protection service plan assigned to the user that executed the cmdlet.
ClientApplicationClientApplication	Edm.StringEdm.String	NoNo	Si una aplicación ejecutó el cmdlet, a diferencia de un PowerShell remoto, este campo contiene el nombre de la aplicación.If the cmdlet was executed by an application, as opposed to remote powershell, this field contains that application's name.
ParámetrosParameters	Edm.StringEdm.String	NoNo	El nombre y valor de los parámetros usados con el cmdlet que no incluyen información de identificación personal.The name and value for parameters that were used with the cmdlet that do not include Personally Identifiable Information.
NonPiiParametersNonPiiParameters	Edm.StringEdm.String	NoNo	El nombre y valor de los parámetros usados con el cmdlet que incluyen información de identificación personal.The name and value for parameters that were used with the cmdlet that include Personally Identifiable Information. (En desuso: este campo dejará de aparecer en el futuro y su contenido se combinará con el campo Parameters.)(Deprecated: This field will stop appearing in the future and its content merged with the Parameters field.)

Esquema de alertas de seguridad y cumplimientoSecurity and Compliance Alerts schema

Las señales de alerta son:Alert signals include:

Todas las alertas basadas en directivas de alerta en el centro de seguridad y cumplimiento.All alerts generated based on Alert policies in Security & Compliance Center.
Alertas relacionadas con Office 365 generadas en Office 365 Cloud App Security y Microsoft Cloud App Security.Office 365 related alerts generated in Office 365 Cloud App Security and Microsoft Cloud App Security.

Los UserId y UserKey de estos eventos son siempre SecurityComplianceAlerts.The UserId and UserKey of these events are always SecurityComplianceAlerts. Hay tres tipos de alerta que se almacenan como el valor de la propiedad Operation del esquema común:There are three types of alert events that are stored as the value of the Operation property of the common schema:

AlertTriggered: una nueva alerta se genera debido a una coincidencia de directiva.AlertTriggered - A new alert is generated due to a policy match.
AlertEntityGenerated: una nueva entidad se agrega a una alerta.AlertEntityGenerated - A new entity is added to an alert. Este evento solo es aplicables a las alertas generadas según directivas de Alerta en el Centro de seguridad y cumplimiento.This event is only applicable to alerts generated based on Alert policies in the security and compliance center. Cada alerta generada puede estar asociada con uno o varios de estos eventos.Each generated alert can be associated with one or multiple of these events. Por ejemplo, una directiva de alerta está definida para desencadenar una alerta si un usuario elimina más de 100 archivos en 5 minutos.For example, an alert policy is defined to trigger an alert if any user deletes more than 100 files in 5 minutes. Si dos usuarios superan el umbral aproximadamente al mismo tiempo, habrá dos eventos AlertEntityGenerated, pero solo un evento AlertTriggered.If two users exceed the threshold around the same time, there will be two AlertEntityGenerated events, but only one AlertTriggered event.
AlertUpdated: se ha realizado una actualización de los metadatos de una alerta.AlertUpdated - An update was made to the metadata of an alert. Este evento se registra cuando el estado de una alerta se cambia (por ejemplo, de "Activo" a "Resuelto") y cuando alguien agrega un comentario a la alerta.This event is logged when the status of an alert is changed (for example, from "Active" to "Resolved") and when someone adds a comment to the alert.

ParámetrosParameters	TipoType	ObligatorioMandatory	DescripciónDescription
AlertIdAlertId	Edm.GuidEdm.Guid	SíYes	El GUID de la alerta.The Guid of the alert.
AlertTypeAlertType	Self.StringSelf.String	SíYes	Tipo de la alerta.Type of the alert. Los tipos de alertas son:Alert types include: SistemaSystem PersonalizadoCustom
NombreName	Edm.StringEdm.String	SíYes	Nombre de la alerta.Name of the alert.
PolicyIdPolicyId	Edm.GuidEdm.Guid	NoNo	El GUID de la directiva que activó la alerta.The Guid of the policy that triggered the alert.
EstadoStatus	Edm.StringEdm.String	NoNo	Estado de la alerta.Status of the alert. Los estados son:Statuses include: ActivoActive InvestigandoInvestigating ResueltoResolved DescartadaDismissed
SeveritySeverity	Edm.StringEdm.String	NoNo	Gravedad de la alerta.Severity of the alert. Los niveles de gravedad son:Severity levels include: BajoLow MedianoMedium AltoHigh
CategoríaCategory	Edm.StringEdm.String	NoNo	Categoría de la alerta.Category of the alert. Las categorías son:Categories include: AccessGovernanceAccessGovernance DataGovernanceDataGovernance DataLossPreventionDataLossPrevention InsiderRiskManagementInsiderRiskManagement MailFlowMailFlow ThreatManagementThreatManagement OtrosOther
OrigenSource	Edm.StringEdm.String	NoNo	Origen de la alerta.Source of the alert. Los orígenes son:Sources include: Centro de seguridad y cumplimiento de Office 365Office 365 Security & Compliance Cloud App SecurityCloud App Security
ComentariosComments	Edm.StringEdm.String	NoNo	Comentarios de los usuarios que han visto la alerta.Comments left by the users who have viewed the alert. De forma predeterminada, es "Nueva alerta".By default, it's "New alert".
DatosData	Edm.StringEdm.String	NoNo	El blob de datos detallados de la alerta o la entidad de la alerta.The detailed data blob of the alert or alert entity.
AlertEntityIdAlertEntityId	Edm.StringEdm.String	NoNo	El identificador de la entidad alerta.The identifier for the alert entity. Este parámetro solo es válido para los eventos AlertEntityGenerated.This parameter is only applicable to AlertEntityGenerated events.
EntityTypeEntityType	Edm.StringEdm.String	NoNo	Tipo de la alerta o de la entidad de la alerta.Type of the alert or alert entity. Los tipos de entidad de alertas son:Entity types include: UsuarioUser DestinatariosRecipients RemitenteSender MalwareFamilyMalwareFamily Este parámetro solo es válido para los eventos AlertEntityGenerated.This parameter is only applicable to AlertEntityGenerated events.

Esquema de YammerYammer schema

Los eventos Yammer listados en Buscar el registro de auditoría en elCentro de Seguridad y Cumplimiento utilizarán este esquema.The Yammer events listed in Search the audit log in the Security & Compliance Center will use this schema.

ParámetrosParameters	TipoType	ObligatorioMandatory	DescripciónDescription
ActorUserIdActorUserId	Edm.StringEdm.String	NoNo	El correo electrónico del usuario que llevó a cabo la operación.Email of user that performed the operation.
ActorYammerUserIdActorYammerUserId	Edm.Int64Edm.Int64	NoNo	El id. del usuario que llevó a cabo la operación.ID of user that performed the operation.
DataExportTypeDataExportType	Edm.StringEdm.String	NoNo	Devuelve "data" si la exportación de datos incluye mensajes, notas, archivos, temas, usuarios y grupos; devuelve "user" si la exportación de datos incluye únicamente a los usuarios.Returns "data" if data export includes messages, notes, files, topics, users and groups; returns "user" if data export includes users only.
FileIdFileId	Edm.Int64Edm.Int64	NoNo	Id. del archivo en la operación.ID of the file in the operation.
FileNameFileName	Edm.StringEdm.String	NoNo	Nombre del archivo en la operación.Name of the file in the operation. Se mostrará en blanco si no es relevante para la operación.Will appear blank if not relevant to the operation.
GroupNameGroupName	Edm.StringEdm.String	NoNo	Nombre del grupo en la operación.Name of the group in the operation. Se mostrará en blanco si no es relevante para la operación.Will appear blank if not relevant to the operation.
IsSoftDeleteIsSoftDelete	Edm.BooleanEdm.Boolean	NoNo	Devuelve "true" si se establece la directiva de retención de datos de la red en Eliminación temporal; devuelve "false" si se establece la directiva de retención de datos de la red en Eliminación.Returns "true" if the network's data retention policy is set to Soft Delete; returns "false" if the network's data retention policy is set to Hard Delete.
MessageIdMessageId	Edm.Int64Edm.Int64	NoNo	Id. del mensaje en la operación.ID of the message in the operation.
YammerNetworkIdYammerNetworkId	Edm.Int64Edm.Int64	NoNo	El id. de la red del usuario que llevó a cabo la operación.Network ID of the user that performed the operation.
TargetUserIdTargetUserId	Edm.StringEdm.String	NoNo	El correo electrónico del usuario de destino en la operación.Email of target user in the operation. Se mostrará en blanco si no es relevante para la operación.Will appear blank if not relevant to the operation.
TargetYammerUserIdTargetYammerUserId	Edm.Int64Edm.Int64	NoNo	El id. del usuario de destino en la operación.ID of target user in the operation.
VersionIdVersionId	Edm.Int64Edm.Int64	NoNo	El id. de versión del archivo en la operación.Version ID of the file in the operation.

Esquema de base de seguridad del centro de datosData Center Security Base schema

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
DataCenterSecurityEventTypeDataCenterSecurityEventType	Self.DataCenterSecurityEventTypeSelf.DataCenterSecurityEventType	SíYes	El tipo de evento dmdlet en el cuadro de bloqueo.The type of dmdlet event in lock box.

Enum: DataCenterSecurityEventType - Tipo: Edm.Int32Enum: DataCenterSecurityEventType - Type: Edm.Int32

DataCenterSecurityEventTypeDataCenterSecurityEventType

Nombre del miembroMember name	DescripciónDescription
DataCenterSecurityCmdletAuditEventDataCenterSecurityCmdletAuditEvent	Este es el valor de enumeración para el tipo de evento de auditoría de cmdlet.This is the enum value for cmdlet audit type event.

Esquema de cmdlet de seguridad del centro de datosData Center Security Cmdlet schema

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
StartTimeStartTime	Edm.DateEdm.Date	SíYes	La hora de inicio de la ejecución del cmdlet.The start time of the cmdlet execution.
EffectiveOrganizationEffectiveOrganization	Edm.StringEdm.String	SíYes	El nombre del inquilino al que iba dirigido el cmdlet o la elevación.The name of the tenant that the elevation/cmdlet was targeted at.
ElevationTimeElevationTime	Edm.DateEdm.Date	SíYes	La hora de inicio de la elevación.The start time of the elevation.
ElevationApproverElevationApprover	Edm.StringEdm.String	SíYes	El nombre de un administrador de Microsoft.The name of a Microsoft manager.
ElevationApprovedTimeElevationApprovedTime	Edm.DateEdm.Date	NoNo	La marca de tiempo para cuando se apruebe la elevación.The timestamp for when the elevation was approved.
ElevationRequestIdElevationRequestId	Edm.GuidEdm.Guid	SíYes	Identificador exclusivo para la solicitud de elevación.A unique identifier for the elevation request.
ElevationRoleElevationRole	Edm.StringEdm.String	NoNo	El rol para la que se solicitó la elevación.The role the elevation was requested for.
ElevationDurationElevationDuration	Edm.Int32Edm.Int32	SíYes	La duración en la que la elevación estuvo activa.The duration for which the elevation was active.
GenericInfoGenericInfo	Edm.StringEdm.String	NoNo	Usado para comentarios y otra información genérica.Used for comments and other generic information.

Esquema de Microsoft TeamsMicrosoft Teams schema

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
MessageIdMessageId	Edm.StringEdm.String	NoNo	Un identificador de mensaje de un canal o chat.An identifier for a chat or channel message.
MembersMembers	Collection(Self.MicrosoftTeamsMember)Collection(Self.MicrosoftTeamsMember)	NoNo	Una lista de usuarios en un equipo.A list of users within a Team.
TeamNameTeamName	Edm.StringEdm.String	NoNo	El nombre del equipo que se audita.The name of the team being audited.
TeamGuidTeamGuid	Edm.GuidEdm.Guid	NoNo	Un identificador único del equipo que se audita.A unique identifier for the team being audited.
ChannelTypeChannelType	Edm.StringEdm.String	NoNo	El tipo de canal que se está auditando (estándar o privado).The type of channel being audited (Standard/Private).
ChannelNameChannelName	Edm.StringEdm.String	NoNo	El nombre del canal que se audita.The name of the channel being audited.
ChannelGuidChannelGuid	Edm.GuidEdm.Guid	NoNo	Un identificador único para el canal que se audita.A unique identifier for the channel being audited.
ExtraPropertiesExtraProperties	Collection(Self.KeyValuePair)Collection(Self.KeyValuePair)	NoNo	Una lista de propiedades adicionales.A list of extra properties.
AddOnTypeAddOnType	Self.AddOnTypeSelf.AddOnType	NoNo	El tipo de complemento que generó el evento.The type of add-on that generated this event.
AddonNameAddonName	Edm.StringEdm.String	NoNo	El nombre del complemento que generó el evento.The name of the add-on that generated the event.
AddOnGuidAddOnGuid	Edm.GuidEdm.Guid	NoNo	Un identificador único del complemento que generó el evento.A unique identifier for the add-on that generated the event.
TabTypeTabType	Edm.StringEdm.String	NoNo	Solo está disponible para los eventos de pestaña.Only present for tab events. El tipo de pestaña que generó el evento.The type of tab that generated the event.
NombreName	Edm.StringEdm.String	NoNo	Solo está disponible para eventos de configuración.Only present for settings events. Nombre de la configuración que ha cambiado.Name of the setting that changed.
OldValueOldValue	Edm.StringEdm.String	NoNo	Solo está disponible para eventos de configuración.Only present for settings events. Valor antiguo de la configuración.Old value of the setting.
NewValueNewValue	Edm.StringEdm.String	NoNo	Solo está disponible para eventos de configuración.Only present for settings events. Valor nuevo de la configuración.New value of the setting.

Tipo complejo MicrosoftTeamsMemberMicrosoftTeamsMember complex type

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
UPNUPN	Edm.StringEdm.String	NoNo	El nombre principal del usuario.The user principal name of the user.
RoleRole	Self.MemberRoleTypeSelf.MemberRoleType	NoNo	El rol de usuario en el equipo.The role of the user within the team.
DisplayNameDisplayName	Edm.StringEdm.String	NoNo	El nombre para mostrar del usuario.The display name of the user.

Enum: MemberRoleType - Tipo: Edm.Int32Enum: MemberRoleType - Type: Edm.Int32

MemberRoleTypeMemberRoleType

ValorValue	Nombre del miembroMember name	DescripciónDescription
00	MemberMember	Un usuario que es un miembro del equipo.A user who is a member of the team.
11	OwnerOwner	Un usuario que es el propietario del equipo.A user who is the owner of the team.
22	GuestGuest	Un usuario que no es un miembro del equipo.A user who is not a member of the team.

Tipo complejo KeyValuePairKeyValuePair complex type

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
Key Key	Edm.StringEdm.String	NoNo	La clave del par clave-valor.The key of the key-value pair.
ValorValue	Edm.StringEdm.String	NoNo	El valor del par clave-valor.The value of the key-value pair.

Enum: AddOnType - Tipo: Edm.Int32Enum: AddOnType - Type: Edm.Int32

AddOnTypeAddOnType

ValorValue	Nombre del miembroMember name	DescripciónDescription
11	BotBot	Un bot de Microsoft Teams.A Microsoft Teams bot.
22	ConnectorConnector	Un conector de Microsoft Teams.A Microsoft Teams connector.
33	TabTab	Una pestaña de Microsoft Teams.A Microsoft Teams tab.

Esquema de Investigación y respuesta de amenazas y Microsoft Defender para Office 365Microsoft Defender for Office 365 and Threat Investigation and Response schema

Microsoft Defender para Office 365 y los eventos de Investigación y respuesta de amenazas están disponibles para los clientes de Office 365 que tienen una suscripción de Defender para Office 365 Plan 1, Defender para Office 365 Plan 2 o E5.Microsoft Defender for Office 365 and Threat Investigation and Response events are available for Office 365 customers who have an Defender for Office 365 Plan 1, Defender for Office 365 Plan 2, or an E5 subscription. Cada evento en la fuente de Defender para Office 365 corresponde a los siguientes eventos que se determinó que contenían una amenaza:Each event in the Defender for Office 365 feed corresponds to the following that were determined to contain a threat:

Un mensaje de correo electrónico enviado o recibido por un usuario de la organización para el que se realizan detecciones en los mensajes en el momento de entrega y de Purga automáticamente.An email message sent by or received by a user in the organization with detections that are made on messages at delivery time and from Zero hour auto purge.
Direcciones URL en las que ha hecho clic un usuario de la organización que se han detectado como malintencionadas en el momento del clic según la protección de Vínculos seguros en Defender para Office 365.URLs clicked by a user in the organization that were detected as malicious at time-of-click based on Safe Links in Defender for Office 365 protection.
Un archivo en SharePoint Online, OneDrive para la Empresa o Microsoft Teams que la protección de Microsoft Defender para Office 365 ha detectado como malintencionado.A file within SharePoint Online, OneDrive for Business, or Microsoft Teams that was detected as malicious by Microsoft Defender for Office 365 protection.
Una alerta que se desencadena y que inició una investigación automatizada.An alert that is triggered and that started an automated investigation.

Nota

Las funciones de Microsoft Defender para Office 365 y de Investigación y respuesta de amenazas de Office 365 (anteriormente conocida como Inteligencia sobre amenazas de Office 365) ahora forman parte de Microsoft Defender para Office 365 Plan 2, con funciones de protección contra amenazas adicionales.Microsoft Defender for Office 365 and Office 365 Threat Investigation and Response (formerly known as Office 365 Threat Intelligence) capabilites are now part of Defender for Office 365 Plan 2, with additional threat protection capabilities. Para más información, consulte Planes y precios de Microsoft Defender para Office 365 y la Descripción del servicio de Defender para Office 365.To learn more, see Microsoft Defender for Office 365 plans and pricing and the Defender for Office 365 Service Description.

Eventos de mensaje de correo electrónicoEmail message events

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
AttachmentDataAttachmentData	Collection(Self.AttachmentData)Collection(Self.AttachmentData)	NoNo	Datos sobre los datos adjuntos en el mensaje de correo electrónico que ha desencadenado el evento.Data about attachments in the email message that triggered the event.
DetectionTypeDetectionType	Edm.StringEdm.String	SíYes	El tipo de detección (por ejemplo, Inline : detectado durante la entrega; Delayed: detectado después de la entrega; ZAP: mensajes eliminados por la purga automática).The type of detection (for example, Inline - detected at delivery time; Delayed - detected after delivery; ZAP - messages removed by Zero hour auto purge). Los eventos con el tipo de detección ZAP normalmente irán precedidos de un mensaje con el tipo de detección Delayed.Events with ZAP detection type will typically be preceded by a message with a Delayed detection type.
DetectionMethodDetectionMethod	Edm.StringEdm.String	SíYes	El método o la tecnología usada por Defender para Office 365 para la detección.The method or technology used by Defender for Office 365 for the detection.
InternetMessageIdInternetMessageId	Edm.StringEdm.String	SíYes	El Id. del mensaje de Internet.The Internet Message Id.
NetworkMessageIdNetworkMessageId	Edm.StringEdm.String	SíYes	El id. de mensaje de red en línea de Exchange.The Exchange Online Network Message Id.
P1SenderP1Sender	Edm.StringEdm.String	SíYes	La ruta de devolución del remitente del mensaje de correo electrónico.The return path of sender of the email message.
P2SenderP2Sender	Edm.StringEdm.String	SíYes	El remitente del mensaje de correo electrónico.The from sender of the email message.
PolicyPolicy	Self.PolicySelf.Policy	SíYes	El tipo de directiva de filtrado (por ejemplo, Filtro de correo no deseado o Antiphishing) y el tipo de acción relacionada (como el correo no deseado de alta confianza, correo no deseado o suplantación de identidad) relevantes para el mensaje de correo electrónico.The type of filtering policy (for example Anti-spam or Anti-phish) and related action type (such as High Confidence Spam, Spam, or Phish) relevant to the email message.
PolicyPolicy	Self.PolicyActionSelf.PolicyAction	SíYes	La acción configurada en la directiva de filtrado (por ejemplo, Mover a la carpeta de correo no deseado o Cuarentena) relevante para el mensaje de correo electrónico.The action configured in the filtering policy (for example, Move to Junk Mail folder or Quarantine) relevant to the email message.
P2SenderP2Sender	Edm.StringEdm.String	SíYes	El De: el remitente del mensaje de correo electrónico.The From: sender of the email message.
RecipientsRecipients	Collection(Edm.String)Collection(Edm.String)	SíYes	Una matriz de los destinatarios del mensaje de correo electrónico.An array of recipients of the email message.
SenderIpSenderIp	Edm.StringEdm.String	SíYes	La dirección IP que envió el correo electrónico de Office 365.The IP address that submitted the email of Office 365. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.The IP address is displayed in either an IPv4 or IPv6 address format.
SubjectSubject	Edm.StringEdm.String	SíYes	La línea de asunto del mensaje.The subject line of the message.
VerdictVerdict	Edm.StringEdm.String	SíYes	El veredicto del mensaje.The message verdict.
MessageTimeMessageTime	Edm.DateEdm.Date	SíYes	Fecha y hora en formato de hora universal coordinada (UTC) en la que el mensaje se ha recibido o enviado.Date and time in Coordinated Universal Time (UTC) the email message was received or sent.
EventDeepLinkEventDeepLink	Edm.StringEdm.String	SíYes	Vínculo profundo para el evento de correo electrónico en los informes en tiempo real o el explorador en el Centro de seguridad y cumplimiento de Office 365.Deep-link to the email event in Explorer or Real-time reports in the Office 365 Security & Compliance Center.

Tipo complejo AttachmentDataAttachmentData complex type

AttachmentDataAttachmentData

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
FileNameFileName	Edm.StringEdm.String	SíYes	El nombre de archivo de los datos adjuntos.The file name of the attachment.
FileTypeFileType	Edm.StringEdm.String	SíYes	El tipo de archivo de los datos adjuntos.The file type of the attachment.
FileVerdictFileVerdict	Self.FileVerdictSelf.FileVerdict	SíYes	El veredicto de malware del archivo.The file malware verdict.
MalwareFamilyMalwareFamily	Edm.StringEdm.String	NoNo	La familia de malware del archivo.The file malware family.
SHA256SHA256	Edm.StringEdm.String	SíYes	El hash SHA256 del archivo.The file SHA256 hash.

Enum: FileVerdict - Tipo: Edm.Int32Enum: FileVerdict - Type: Edm.Int32

FileVerdictFileVerdict

ValorValue	Nombre del miembroMember name	DescripciónDescription
00	GoodGood	No hay amenazas detectadas.No threats detected.
11	BadBad	Malware detectado en el archivo adjunto.Malware found in attachment.
-1-1	ErrorError	Error de análisis o examen.Scan / analysis error.
-2-2	TimeoutTimeout	Se agotó el tiempo de espera del análisis o el examen.Scan / analysis timeout.
-3-3	PendingPending	El análisis o el examen no se completó.Scan / analysis not complete.

Enum: Policy - Type: Edm.Int32Enum: Policy - Type: Edm.Int32

Tipo de directiva y tipo de acciónPolicy type and action type

ValorValue	Nombre del miembroMember name	DescripciónDescription
11	Anti-spam, HSPMAnti-spam, HSPM	Acción de correo no deseado de alta confianza (HSPM) en la Directiva contra correo no deseado.High Confidence Spam (HSPM) action in the Anti-spam policy.
22	Anti-spam, SPMAnti-spam, SPM	Acción de correo no deseado (SPM) en la Directiva contra correo no deseado.Spam (SPM) action in the Anti-spam policy.
33	Anti-spam, BulkAnti-spam, Bulk	Acción masiva en la Directiva contra correo no deseado.Bulk action in the Anti-spam policy.
44	Anti-spam, PHSHAnti-spam, PHSH	Acción de suplantación de identidad (PHSH) en la Directiva contra correo no deseado.Phish (PHSH) action in the Anti-spam policy.
55	Anti-phish, DIMPAnti-phish, DIMP	Acción de suplantación de dominios (DIMP) en la Directiva antiphishing.Domain Impersonation (DIMP) action in the Anti-phish policy.
66	Anti-phish, UIMPAnti-phish, UIMP	Acción de suplantación de usuarios (UIMP) en la Directiva antiphishing.User Impersonation (UIMP) action in the Anti-phish policy.
77	Anti-phish, SPOOFAnti-phish, SPOOF	Acción de suplantación en la Directiva antiphishing.Spoof action in the Anti-phish policy.
88	Anti-phish, GIMPAnti-phish, GIMP	La acción de inteligencia de buzón en la directiva ANTIPHISH.Mailbox intelligence action in the Anti-phish policy.
99	Programas anti-malware, AMPAnti-malware, AMP	La acción de la directiva contra malware en la directiva antimalware.Malware policy action in the Anti-malware policy.
1010	Datos adjuntos seguros, SAPSafe attachment, SAP	La acción de directiva en la directiva Datos adjuntos seguros en Defender para Office 365.Policy action in the Safe attachments in Defender for Office 365 policy.
1111	Regla de transporte de Exchange, ETRExchange transport rule, ETR	La acción de directiva en la regla de transporte de Exchange.Policy action in the Exchange Transport Rule.
1212	Antimalware, ZAPMAnti-malware, ZAPM	La acción de directiva de malware en la Directiva antimalware que se aplica a la purga automática de cero horas (ZAP).Malware policy action in the Anti-malware policy applied to Zero-hour auto purge (ZAP).
1313	Anti-phish, ZAPPAnti-phish, ZAPP	La acción política en la política antiphish aplicada a ZAP.Phish policy action in the Anti-phish policy applied to ZAP.
1414	Anti-phish, ZAPSAnti-phish, ZAPS	La acción de la directiva de correo no deseado en la directiva contra correo no deseado aplicada a ZAP.Spam policy action in the Anti-spam policy applied to ZAP.
1515	Filtro de correo no deseado, correo electrónico de suplantación de identidad de alta confianza (HPHISH)Anti-spam, High confidence phish email (HPHISH)	Acción de correo electrónico de suplantación de identidad de alta confianza en la Directiva contra correo no deseado.High confidence Phish policy action in Anti-spam policy.
1717	Filtro de correo no deseado, Directiva de correo no deseado saliente (OSPM)Anti-spam, Outbound spam policy (OSPM)	Acción de directiva en la directiva de filtro de correo no deseado saliente en filtro de correo electrónico no deseado.Policy action in the outbound spam filter policy in Anti-spam.

Enum: PolicyAction - Type: Edm.Int32Enum: PolicyAction - Type: Edm.Int32

Acción de directivaPolicy action

ValorValue	Nombre del miembroMember name	DescripciónDescription
00	MoveToJMFMoveToJMF	La acción de directiva es moverse a la carpeta correo no deseado.Policy action is to move to Junk Mail folder.
11	AddXHeaderAddXHeader	La acción de directiva es agregar el encabezado X al mensaje de correo electrónico.Policy action is to add X-header to the email message.
22	ModifySubjectModifySubject	La acción de directiva es modificar el asunto del mensaje de correo electrónico con la información especificada por la directiva de filtrado.Policy action is to modify subject in the email message with information specified by the filtering policy.
33	RedirectRedirect	La acción de directiva es redirigir el mensaje de correo electrónico a la dirección de correo electrónico especificada por la directiva de filtrado.Policy action is to redirect email message to email address specificed by the filtering policy.
44	DeleteDelete	La acción de directiva es eliminar (quitar) el mensaje de correo electrónico.Policy action is to delete (drop) the email message.
55	QuarantineQuarantine	La acción de directiva es poner en cuarentena el mensaje de correo electrónico.Policy action is to quarantine the email message.
66	NoActionNoAction	La directiva está configurada para no realizar ninguna acción en el mensaje de correo electrónico.Policy is configured to take no action on the email message.
77	BccMessageBccMessage	La acción de directiva consiste en enviar en CCO el mensaje de correo electrónico a la dirección de correo electrónico especificada por la directiva de filtrado.Policy action is to Bcc the email message to email address specificed by the filtering policy.
88	ReplaceAttachmentReplaceAttachment	La acción de directiva es reemplazar los datos adjuntos del mensaje de correo electrónico tal como especifica la directiva de filtrado.Policy action is to replace the attachment in the email message as specified by the filtering policy.

Eventos de tiempo de clic de URLURL time-of-click events

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
UserIdUserId	Edm.StringEdm.String	SíYes	El identificador (por ejemplo, la dirección de correo electrónico) para el usuario que hizo clic en la dirección URL.Identifier (for example, email address) for the user who clicked on the URL.
AppNameAppName	Edm.StringEdm.String	SíYes	El servicio de Office 365 desde el que se hizo clic en la dirección URL (por ejemplo, Correo).Office 365 service from which the URL was clicked (for example, Mail).
URLClickActionURLClickAction	Self.URLClickActionSelf.URLClickAction	SíYes	Acción de clic para la dirección URL según las directivas de la organización para Vínculos seguros en Defender para Office 365.Click action for the URL based on the organization's policies for Safe Links in Defender for Office 365.
SourceIdSourceId	Edm.StringEdm.String	SíYes	El identificador para el servicio de Office 365 desde el que se hizo clic en la dirección URL (por ejemplo, para el correo es el id. de mensaje de red de Exchange Online).Identifier for the Office 365 service from which the URL was clicked (for example, for mail this is the Exchange Online Network Message Id).
TimeOfClickTimeOfClick	Edm.DateEdm.Date	SíYes	La fecha y hora en formato Hora universal coordinada (UTC) cuando el usuario hizo clic en la dirección URL.The date and time in Coordinated Universal Time (UTC) when the user clicked the URL.
URLURL	Edm.StringEdm.String	SíYes	Dirección URL en la que el usuario hizo clic.URL clicked by the user.
UserIpUserIp	Edm.StringEdm.String	SíYes	La dirección IP para el usuario que hizo clic en la dirección URL.The IP address for the user who clicked the URL. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.The IP address is displayed in either an IPv4 or IPv6 address format.

Enum: URLClickAction - Tipo: Edm.Int32Enum: URLClickAction - Type: Edm.Int32

URLClickActionURLClickAction

ValorValue	Nombre del miembroMember name	DescripciónDescription
22	BlockpageBlockpage	Usuario bloqueado para navegar a la dirección URL por Vínculos seguros en Defender para Office 365.User blocked from navigating to the URL by Safe Links in Defender for Office 365.
33	PendingDetonationPagePendingDetonationPage	Usuario presentado con la página de detonación pendiente por Vínculos seguros en Defender para Office 365.User presented with the detonation pending page by Safe Links in Defender for Office 365.
44	BlockPageOverrideBlockPageOverride	Usuario bloqueado para navegar a la dirección URL por Vínculos seguros de Office 365 ATP; sin embargo, el usuario ha omitido el bloqueo para navegar a la URL.User blocked from navigating to the URL by Safe Links in Defender for Office 365; however user overrode block to navigate to the URL.
55	PendingDetonationPageOverridePendingDetonationPageOverride	Usuario presentado con la página de detonación pendiente por Vínculos seguros en Defender para Office 365; sin embargo, el usuario ha omitido el bloqueo para navegar a la URL.User presented with the detonation page by Safe Links in Defender for Office 365; however user overrode to navigate to the URL.

Eventos de archivoFile events

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
FileDataFileData	Self.FileDataSelf.FileData	SíYes	Datos sobre el archivo que ha desencadenado el evento.Data about the file that triggered the event.
SourceWorkloadSourceWorkload	Self.SourceWorkloadSelf.SourceWorkload	SíYes	Carga de trabajo o servicio en el que se encontró el archivo (por ejemplo, SharePoint Online, OneDrive para la Empresa o Microsoft Teams)Workload or service where teh file was found (for example, SharePoint Online, OneDrive for Business, or Microsoft Teams)
DetectionMethodDetectionMethod	Edm.StringEdm.String	SíYes	El método o la tecnología usada por Microsoft Defender para Office 365 para la detección.The method or technology used by Microsoft Defender for Office 365 for the detection.
LastModifiedDateLastModifiedDate	Edm.DateEdm.Date	SíYes	Fecha y hora en formato de hora universal coordinada (UTC) en la que el archivo fue creado o modificado por última vez.The date and time in Coordinated Universal Time (UTC) when the file was created or last modified.
LastModifiedByLastModifiedBy	Edm.StringEdm.String	SíYes	El identificador (por ejemplo, la dirección de correo electrónico) para el usuario que creó o modificó por última vez el archivo.Identifier (for example, an email address) for the user who created or last modified the file.
EventDeepLinkEventDeepLink	Edm.StringEdm.String	SíYes	Vínculo profundo para el evento de archivo en los informes en tiempo real o el explorador en el Centro de seguridad y cumplimiento.Deep-link to the file event in Explorer or Real-time reports in the Security & Compliance Center.

Tipos complejo FileDataFileData complex type

FileDataFileData

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
DocumentIdDocumentId	Edm.StringEdm.String	SíYes	Identificador único para el archivo en Microsoft Teams, OneDrive o SharePoint.Unique identifier for the file in SharePoint, OneDrive, or Microsoft Teams.
FileNameFileName	Edm.StringEdm.String	SíYes	Nombre del archivo que ha desencadenado el evento.Name of the file that triggered the event.
FilePathFilePath	Edm.StringEdm.String	SíYes	Ruta de acceso (ubicación) para el archivo en Microsoft Teams, OneDrive o SharePoint.Path (location) for the file in SharePoint, OneDrive, or Microsoft Teams.
FileVerdictFileVerdict	Self.FileVerdictSelf.FileVerdict	SíYes	El veredicto de malware del archivo.The file malware verdict.
MalwareFamilyMalwareFamily	Edm.StringEdm.String	NoNo	La familia de malware del archivo.The file malware family.
SHA256SHA256	Edm.StringEdm.String	SíYes	El hash SHA256 del archivo.The file SHA256 hash.
FileSizeFileSize	Edm.StringEdm.String	SíYes	Tamaño del archivo en bytes.Size for the file in bytes.

Enum: SourceWorkload - Tipo: Edm.Int32Enum: SourceWorkload - Type: Edm.Int32

SourceWorkloadSourceWorkload

ValorValue	Nombre del miembroMember name
00	SharePoint OnlineSharePoint Online
11	OneDrive para la EmpresaOneDrive for Business
22	Microsoft TeamsMicrosoft Teams

Eventos de investigación y respuesta automatizada en Office 365Automated investigation and response events in Office 365

Los eventos de Investigación y respuesta automatizada (AIR) de Office 365 están disponibles para los clientes de Office 365 que tienen una suscripción que incluye Microsoft Defender para Office 365 Plan 2 u Office 365 E5.Office 365 automated investigation and response (AIR) events are available for Office 365 customers who have a subscription that includes Microsoft Defender for Office 365 Plan 2 or Office 365 E5. Los eventos de investigación se registran en función de un cambio en el estado de investigación.Investigation events are logged based on a change in investigation status. Por ejemplo, cuando un administrador realiza una acción que cambia el estado de una investigación de Acciones pendientes a Completada, se registra un evento.For example, when an administrator takes an action that changes the status of an investigation from Pending Actions to Completed, an event is logged.

Actualmente, solo se registran las investigaciones automatizadas.Currently, only automated investigation are logged. (Próximamente estarán disponibles eventos para las investigaciones generadas manualmente). Se registran los siguientes valores de estado:(Events for manually generated investigations are coming soon.) The following status values are logged:

Investigación iniciadaInvestigation Started
No se encontraron amenazasNo threats found
Finalizado por el sistemaTerminated by System
Acción pendientePending Action
Amenazas encontradasThreats Found
CorregidoRemediated
ErrorFailed
Finalizado por limitaciónTerminated by throttling
Finalizado por el usuarioTerminated By User
En funcionamientoRunning

Esquema de investigación principalMain investigation schema

NombreName	TipoType	DescripciónDescription
InvestigationIdInvestigationId	Edm.StringEdm.String	Identificador de la investigación/GUIDInvestigation ID/GUID
InvestigationNameInvestigationName	Edm.StringEdm.String	Nombre de la investigaciónName of the investigation
InvestigationTypeInvestigationType	Edm.StringEdm.String	Tipo de investigaciónType of the investigation. Puede tomar uno de los siguientes valores:Can take one of the following values: - Mensajes notificados por el usuario- User-Reported Messages - Malware purgado automáticamente- Zapped Malware - Suplantación de identidad purgada automáticamente- Zapped Phish - Cambio de veredicto de dirección URL- Url Verdict Change (Las investigaciones manuales no están disponibles actualmente, pero lo estarán próximamente).(Manual investigations are currently not available and are coming soon.)
LastUpdateTimeUtcLastUpdateTimeUtc	Edm.DateEdm.Date	Hora UTC de la última actualización para una investigaciónUTC time of the last update for an investigation
StartTimeUtcStartTimeUtc	Edm.DateEdm.Date	Hora de inicio de una investigaciónStart time for an investigation
EstadoStatus	Edm.StringEdm.String	Estado de investigación, En ejecución, Acciones pendientes, etc.State of investigation, Running, Pending Actions, etc.
DeeplinkURLDeeplinkURL	Edm.StringEdm.String	Dirección URL de vínculo profundo de una investigación en el Centro de seguridad y cumplimiento de Office 365Deep link URL to an investigation in Office 365 Security & Compliance Center
AccionesActions	Colección (Edm.String)Collection (Edm.String)	Colección de acciones recomendada por una investigaciónCollection of actions recommended by an investigation
DatosData	Edm.StringEdm.String	Cadena de datos que contiene más información sobre las entidades de investigación e información sobre las alertas relacionadas con la investigación.Data string which contains more details about investigation entities, and information about alerts related to the investigation. Las entidades están disponibles en un nodo independiente dentro del blob de datos.Entities are available in a separate node within the data blob.

AccionesActions

FieldField	TipoType	DescripciónDescription
Id.ID	Edm.StringEdm.String	Id. de la acciónAction ID
ActionTypeActionType	Edm.StringEdm.String	El tipo de la acción, como la corrección de un correo electrónicoThe type of the action, such as email remediation
ActionStatusActionStatus	Edm.StringEdm.String	Los valores son:Values include: - Pendiente- Pending - En ejecución- Running - Esperando al recurso- Waiting on resource - Completada- Completed - Error- Failed
ApprovedByApprovedBy	Edm.StringEdm.String	Es NULL si se aprueba automáticamente; en caso contrario, el nombre de usuario o el identificador (estará disponible próximamente)Null if auto approved; otherwise, the username/id (this is coming soon)
TimestampUtcTimestampUtc	Edm.DateTimeEdm.DateTime	La marca de tiempo del cambio de estado de la acciónThe timestamp of the action status change
ActionIdActionId	Edm.StringEdm.String	Identificador único de la acciónUnique identifier for action
InvestigationIdInvestigationId	Edm.StringEdm.String	Identificador único de la investigaciónUnique identifier for investigation
RelatedAlertIdsRelatedAlertIds	Collection(Edm.String)Collection(Edm.String)	Alertas relacionadas con una investigaciónAlerts related to an investigation
StartTimeUtcStartTimeUtc	Edm.DateTimeEdm.DateTime	Marca de tiempo de creación de la acciónTimestamp of action creation
EndTimeUtcEndTimeUtc	Edm.DateTimeEdm.DateTime	Marca de tiempo de la actualización del estado final de la acciónAction final status update timestamp
Identificadores de recursosResource Identifiers	Edm.StringEdm.String	Constituido por el Identificador del inquilino de Azure Active DirectoryConsists of the Azure Active Directory tenant ID.
EntidadesEntities	Collection(Edm.String)Collection(Edm.String)	Lista de una o más entidades afectadas por acciónList of one or more affected entities by action
Identificadores de alertas relacionadasRelated Alert IDs	Edm.StringEdm.String	Alerta relacionada con una investigaciónAlert related to an investigation

EntidadesEntities

MailMessage (correo electrónico)MailMessage (email)

FieldField	TipoType	DescripciónDescription
TipoType	Edm.StringEdm.String	"mensaje de correo""mail-message"
ArchivosFiles	Colección (Self.File)Collection (Self.File)	Más información sobre los archivos de los datos adjuntos de este mensajeDetails about the files of this message's attachments
DestinatarioRecipient	Edm.StringEdm.String	El destinatario de este mensaje de correoThe recipient of this mail message
Direcciones URLUrls	Collection (self.URL)Collection(Self.URL)	Las direcciones URL que contiene este mensaje de correoThe Urls contained in this mail message
RemitenteSender	Edm.StringEdm.String	La dirección de correo electrónico del remitenteThe sender's email address
SenderIPSenderIP	Edm.StringEdm.String	La dirección IP del remitenteThe sender's IP address
ReceivedDateReceivedDate	Edm.DateTimeEdm.DateTime	La fecha de recepción de este mensajeThe received date of this message
NetworkMessageIdNetworkMessageId	Edm.GuidEdm.Guid	El identificador del mensaje de red de este mensaje de correoThe network message id of this mail message
InternetMessageIdInternetMessageId	Edm.StringEdm.String	El identificador de internet de este mensaje de correoThe internet message id of this mail message
SubjectSubject	Edm.StringEdm.String	El asunto de este mensaje de correoThe subject of this mail message

IPIP

FieldField	TipoType	DescripciónDescription
TipoType	Edm.StringEdm.String	"ip""ip"
AddressAddress	Edm.StringEdm.String	La dirección IP como cadena, tal como `127.0.0.1`The IP address as a string, such as `127.0.0.1`

URLURL

FieldField	TipoType	DescripciónDescription
TipoType	Edm.StringEdm.String	"url""url"
UrlUrl	Edm.StringEdm.String	La dirección URL completa a la que señala una entidadThe full URL to which an entity points

Buzón de correo (también equivalente al usuario)Mailbox (also equivalent to the user)

FieldField	TipoType	DescripciónDescription
TipoType	Edm.StringEdm.String	"mailbox""mailbox"
MailboxPrimaryAddressMailboxPrimaryAddress	Edm.StringEdm.String	La dirección principal del buzón de correoThe mailbox's primary address
DisplayNameDisplayName	Edm.StringEdm.String	El nombre para mostrar del buzón de correoThe mailbox's display name
UpnUpn	Edm.StringEdm.String	El UPN del buzón de correoThe mailbox's UPN

ArchivoFile

FieldField	TipoType	DescripciónDescription
TipoType	Edm.StringEdm.String	"file""file"
NombreName	Edm.StringEdm.String	El nombre de archivo sin la ruta de accesoThe file name without path
FileHashesFileHashes	Colección (Edm.String)Collection (Edm.String)	Los hash de archivo asociados al archivoThe file hashes associated with the file

FileHashFileHash

FieldField	TipoType	DescripciónDescription
TipoType	Edm.StringEdm.String	"filehash""filehash"
AlgoritmoAlgorithm	Edm.StringEdm.String	El tipo de algoritmo de hash, que puede ser uno de estos valores:The hash algorithm type, which can be one of these values: - Desconocido- Unknown - MD5- MD5 - SHA1- SHA1 - SHA256- SHA256 - SHA256AC- SHA256AC
ValorValue	Edm.StringEdm.String	El valor del hashThe hash value

MailClusterMailCluster

FieldField	TipoType	DescripciónDescription
TipoType	Edm.StringEdm.String	"MailCluster""MailCluster" Determina el tipo de entidad que se trataráDetermines the type of entity being discussed
NetworkMessageIdsNetworkMessageIds	Colección (Edm.String)Collection (Edm.String)	Lista de los identificadores de mensajes de correo que forman parte del clúster de correoList of the mail message IDs that are part of the mail cluster
CountByDeliveryStatusCountByDeliveryStatus	Colecciones (Edm.String)Collections (Edm.String)	Recuento de mensajes de correo por representación de cadena DeliveryStatus Count of mail messages by DeliveryStatus string representation
CountByThreatTypeCountByThreatType	Colecciones (Edm.String)Collections (Edm.String)	Recuento de mensajes de correo por representación de cadena ThreatTypeCount of mail messages by ThreatType string representation
AmenazasThreats	Colecciones (Edm.String)Collections (Edm.String)	Las amenazas de los mensajes de correo que forman parte del clúster de correo.The threats of mail messages that are part of the mail cluster. Entre las amenazas se incluyen valores como Phish y Malware.Threats include values like Phish and Malware.
ConsultaQuery	Edm.StringEdm.String	La consulta que se usó para identificar los mensajes del clúster de correo electrónicoThe query that was used to identify the messages of the mail cluster
QueryTimeQueryTime	Edm.DateTimeEdm.DateTime	La hora de la consultaThe query time
MailCountMailCount	Edm.IntEdm.int	El número de mensaje de correo que forman parte del clúster de correo.The number of mail messages that are part of the mail cluster
OrigenSource	StringString	El origen del clúster de correo; el valor del origen del clúster.The source of the mail cluster; the value of the cluster source.

Esquema de eventos de higieneHygiene events schema

Los eventos de higiene se relacionan con la protección de correo no deseado saliente.Hygiene events are related to outbound spam protection. Estos eventos se relacionan con los usuarios a los que no se les permite enviar correo electrónico.These events are related to users who are restricted from sending email. Para más información, vea:For more information, see:

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescriptionDescription
AuditoríaAudit	Edm.StringEdm.String	NoNo	Información del sistema relacionada con el evento de higiene.System information related to the hygiene event.
EventoEvent	Edm.StringEdm.String	NoNo	El tipo de evento de higiene.The type of hygiene event. Los valores para este parámetro son Listado o Suprimido.The values for this parameter are Listed or Delisted.
EventIdEventId	Edm.Int64Edm.Int64	NoNo	El ID. del tipo de evento de higiene.The ID of the hygiene event type.
EventValueEventValue	Edm.StringEdm.String	NoNo	El usuario que se vio impactado.The user who was impacted.
ReasonReason	Edm.StringEdm.String	NoNo	Detalles sobre el evento de higiene.Details about the hygiene event.

Esquema de Power BIPower BI schema

Los eventos de Power BI que aparecen en Buscar el registro de auditoría en el Centro de protección de Office 365 utilizarán este esquema.The Power BI events listed in Search the audit log in the Office 365 Protection Center will use this schema.

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
AppNameAppName	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	El nombre de la aplicación donde se ha producido el evento.The name of the app where the event occurred.
DashboardNameDashboardName	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	El nombre del panel donde se ha producido el evento.The name of the dashboard where the event occurred.
DataClassificationDataClassification	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	La clasificación de los datos, en caso de haberla, para el panel donde se ha producido el evento.The data classification, if any, for the dashboard where the event occurred.
DatasetNameDatasetName	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	El nombre del conjunto de datos donde se ha producido el evento.The name of the dataset where the event occurred.
MembershipInformationMembershipInformation	Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	Información de pertenencia del grupo.Membership information about the group.
OrgAppPermissionOrgAppPermission	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	Lista de permisos para una aplicación de organización (toda la organización, determinados usuarios o grupos específicos).Permissions list for an organizational app (entire organization, specific users, or specific groups).
ReportNameReportName	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	El nombre del informe donde se ha producido el evento.The name of the report where the event occurred.
SharingInformationSharingInformation	Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	Información acerca de la persona a la que se envía una invitación para uso compartido.Information about the person to whom a sharing invitation is sent.
SwitchStateSwitchState	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	Información sobre el estado de los diversos modificadores de nivel de inquilino.Information about the state of various tenant level switches.
WorkSpaceNameWorkSpaceName	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	El nombre del área de trabajo donde se ha producido el evento.The name of the workspace where the event occurred.

Tipo complejo MembershipInformationTypeMembershipInformationType complex type

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
MemberEmailMemberEmail	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	La dirección de correo electrónico del grupo.The email address of the group.
EstadoStatus	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	Actualmente no se rellena.Not currently populated.

Tipo complejo SharingInformationTypeSharingInformationType complex type

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
RecipientEmailRecipientEmail	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	La dirección de correo electrónico del destinatario de una invitación para uso compartido.The email address of the recipient of a sharing invitation.
RecipientNameRecipientName	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	El nombre del destinatario de una invitación para uso compartido.The name of the recipient of a sharing invitation.
ResharePermissionResharePermission	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	NoNo	Los permisos que se conceden al destinatario.The permission being granted to the recipient.

Esquema de Dynamics 365Dynamics 365 schema

Los registros de auditoría para eventos relacionados con las aplicaciones controladas por modelos en eventos de Dynamics 365 usan un esquema de operación de base y de entidad.The audit records for events related to model-driven apps in Dynamics 365 events use both a base and an entity operation schema. Para más información, consulte Habilitar y usar el Registro de actividad.For more information, see Enable and use Activity Logging.

Esquema base de Dynamics 365Dynamics 365 base schema

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
CrmOrganizationUniqueNameCrmOrganizationUniqueName	Edm.StringEdm.String	SíYes	Nombre único de la organización.The unique name of the organization.
InstanceUrlInstanceUrl	Edm.StringEdm.String	SíYes	Dirección URL de la instancia.The URL to the instance.
ItemUrlItemUrl	Edm.StringEdm.String	NoNo	La dirección URL al registro.The URL to the record emitting the log.
ItemTypeItemType	Edm.StringEdm.String	NoNo	Nombre de la entidadThe naame of the entity.
UserAgentUserAgent	Edm.StringEdm.String	NoNo	Identificador de GUID de usuario único en la organización.The unique identifier of the user GUID in the organization.
FieldsFields	Collection(Common.NameValuePair)Collection(Common.NameValuePair)	NoNo	Un objeto JSON que contiene las parejas de clave y valor de propiedad que se crearon o actualizaron.A JSON object that contains the property key-value pairs that were created or updated.

Esquema de operaciones de entidad de Dynamics 365Dynamics 365 entity operation schema

Los eventos de entidad de aplicaciones controladas por modelos en Dynamics 365 usan este esquema para desarrollar a partir del esquema base de Dynamics 365.Entity events from model-driven apps in Dynamics 365 use this schema to build on the Dynamics 365 base schema. Este esquema incluye información sobre la operación de la entidad que desencadenó el evento auditado.This schema includes information about the entity operation that triggered the audited event.

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
EntityIdEntityId	Edm.GuidEdm.Guid	NoNo	El identificador único de la entidad.The unique identifier of the entity.
EntityNameEntityName	Edm.StringEdm.String	SíYes	El nombre único de la entidad en la organización.The name of the entity in the organization. Un ejemplo de una entidad es `contact` o `authentication`.Example of entities include `contact` or `authentication`.
MessageMessage	Edm.StringEdm.String	SíYes	Este parámetro contiene la operación que se realizó relacionada con la entidad.This parameter contains the operation that was performed in related to the entity. Por ejemplo, si se creó un nuevo contacto, el valor de la propiedad Message es `Create` y el valor correspondiente de la propiedad EntityName es `contact`.For example, if a new contact was created, the value of the Message property is `Create` and the corresponding value of the EntityName property is `contact`.
ConsultaQuery	Edm.StringEdm.String	NoNo	Los parámetros de la consulta de filtro que se usaron al ejecutar la operación FetchXML.The parameters of the filter query that was used while executing the FetchXML operation.
PrimaryFieldValuePrimaryFieldValue	Edm.StringEdm.String	NoNo	Indica el valor del atributo que es el campo principal de la entidad.Indicates the value for the attribute that is the primary field for the entity.

Esquema de Workplace AnalyticsWorkplace Analytics schema

Los eventos de Workplace Analytics que aparecen en Buscar el registro de auditoría en el Centro de seguridad y cumplimiento de Office 365 utilizarán este esquema.The WorkPlace Analytics events listed in Search the audit log in the Office 365 Security & Compliance Center will use this schema.

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
WpaUserRoleWpaUserRole	Edm.StringEdm.String	NoNo	El rol de Workplace Analytics del usuario que realizó la operación.The Workplace Analytics role of the user who performed the action.
ModifiedPropertiesModifiedProperties	Colección (Common.ModifiedProperty)Collection (Common.ModifiedProperty)	NoNo	Esta propiedad incluye el nombre de la propiedad modificada, el nuevo valor de la propiedad modificada y el valor anterior de la propiedad modificada.This property includes the name of the property that was modified, the new value of the modified property, and the previous value of the modified property.
OperationDetailsOperationDetails	Colección (Common.NameValuePair)Collection (Common.NameValuePair)	NoNo	Una lista de propiedades extendidas de la configuración que se ha cambiado.A list of extended properties for the setting that was changed. Cada propiedad tendrá un Name y un Value.Each property will have a Name and Value.

Esquema de cuarentenaQuarantine schema

Los eventos de cuarentena que aparecen en Buscar el registro de auditoría en el Centro de seguridad y cumplimiento de Office 365 usarán este esquema.The quarantine events listed in Search the audit log in the Office 365 Security & Compliance Center will use this schema. Para obtener más información sobre la cuarentena, vea Mensajes de correo electrónico en cuarentena en Office 365.For more information about quarantine, see Quarantine email messages in Office 365.

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
RequestTypeRequestType	Self.RequestTypeSelf.RequestType	NoNo	El tipo de solicitud de cuarentena que realizó un usuario.The type of quarantine request performed by a user.
RequestSourceRequestSource	Self.RequestSourceSelf.RequestSource	NoNo	El origen de la solicitud de cuarentena puede ser el Centro de seguridad y cumplimento (SCC), un cmdlet o un URLlink.The source of a quantine request can come from the Security & Compliance Center (SCC), a cmdlet, or a URLlink.
NetworkMessageIdNetworkMessageId	Edm.StringEdm.String	NoNo	El id. de mensaje de red del mensaje de correo electrónico en cuarentena.The network message id of quarantined email message.
ReleaseToReleaseTo	Edm.StringEdm.String	NoNo	El destinatario del mensaje de correo electrónico.The reciepient of the email message.

Enum: RequestType - Tipo: Edm.Int32Enum: RequestType - Type: Edm.Int32

ValorValue	Nombre del miembroMember name	DescripciónDescription
00	PreviewPreview	Solicitud de un usuario para obtener una vista previa de un mensaje de correo electrónico que se considera peligroso.This is a request from a user to preview an email message that is deemed to be harmful.
11	DeleteDelete	Solicitud de un usuario para eliminar un mensaje de correo electrónico que se considera peligroso.This is a request from a user to delete an email message that is deemed to be harmful.
22	ReleaseRelease	Solicitud de un usuario para liberar un mensaje de correo electrónico que se considera peligroso.This is a request from a user to release an email message that is deemed to be harmful.
33	ExportExport	Solicitud de un usuario para exportar un mensaje de correo electrónico que se considera peligroso.This is a request from a user to export an email message that is deemed to be harmful.
44	ViewHeaderViewHeader	Solicitud de un usuario para ver el encabezado un mensaje de correo electrónico que se considera peligroso.This is a request from a user to view the header an email message that is deemed to be harmful.

Enum: RequestSource - Tipo: Edm.Int32Enum: RequestSource - Type: Edm.Int32

ValorValue	Nombre del miembroMember name	DescripciónDescription
00	SCCSCC	El centro de seguridad y cumplimento (SCC) es el origen desde el que se puede crear la solicitud de un usuario para obtener una vista previa del encabezado de un mensaje de correo electrónico potencialmente peligroso, eliminarlo, liberarlo, exportarlo o verlo.The Security & Compliance center (SCC) is the source where the request from a user to preview, delete, release, export, or view the header of a potentially harmful email message can originate from.
11	CmdletCmdlet	Un cmdlet es el origen desde el que se puede crear la solicitud de un usuario para obtener una vista previa del encabezado de un mensaje de correo electrónico potencialmente peligroso, eliminarlo, liberarlo, exportarlo o verlo.A cmdlet is the source where the request from a user to preview, delete, release, export, or view the header of a potentially harmful email message can originate from.
22	URLlinkURLlink	Este es un origen desde el que se puede crear la solicitud de un usuario para obtener una vista previa del encabezado de un mensaje de correo electrónico potencialmente peligroso, eliminarlo, liberarlo, exportarlo o verlo.This is a source where the request from a user to preview, delete, release, export, or view the header of potentially harmful email message can originate from.

Esquema de Microsoft FormsMicrosoft Forms schema

Los eventos de Microsoft Forms que aparecen en Buscar el registro de auditoría en el Centro de seguridad y cumplimiento de Office 365 utilizarán este esquema.The Micorosft Forms events listed in Search the audit log in the Office 365 Security & Compliance Center will use this schema.

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
FormsUserTypesFormsUserTypes	Collection(Self.FormsUserTypes)Collection(Self.FormsUserTypes)	SíYes	El rol del usuario que realizó la acción.The role of the user who performed the action. Los valores de este parámetro son Admin (Administrador), Owner (Propietario), Responder (Respondedor) o Coauthor (Coautor).The values for this parameter are Admin, Owner, Responder, or Coauthor.
SourceAppSourceApp	Edm.StringEdm.String	SíYes	Indica si la acción proviene del sitio web de Forms o de otra aplicación.Indicates if the action is from Forms website or from another App.
FormNameFormName	Edm.StringEdm.String	NoNo	El nombre del formulario actual.The name of the current form.
FormIdFormId	Edm.StringEdm.String	NoNo	El ID del formulario de destino.The Id of the target form.
FormTypesFormTypes	Collection(Self.FormTypes)Collection(Self.FormTypes)	NoNo	Indica si se trata de un Formulario, un Cuestionario o una Encuesta.Indicates whether this is a Form, Quiz, or Survey.
ActivityParametersActivityParameters	Edm.StringEdm.String	NoNo	Cadena JSON que contiene parámetros de actividad.JSON string containing activity parameters. Para más información, consulte Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365.See Search the audit log in the Office 365 Security & Compliance Center for more details.

Enum: FormsUserTypes - Type: Edm.Int32Enum: FormsUserTypes - Type: Edm.Int32

FormsUserTypesFormsUserTypes

ValorValue	Tipo de formulario de usuarioForm User Type	DescripciónDescription
00	AdminAdmin	Un administrador que tenga acceso al formulario.An administrator who has access to the form.
11	OwnerOwner	El usuario propietario del equipo.A user who is the owner of the form.
22	ResponderResponder	Un usuario que ha enviado una respuesta a un formulario.A user who has submitted a response to a form.
33	CoauthorCoauthor	Un usuario que ha usado un vínculo de colaboración proporcionado por el propietario del formulario para iniciar sesión y editar un formulario.A user who has used a collaboration link provided by the form owner to login and edit a form.

Enum: FormTypes - Type: Edm.Int32Enum: FormTypes - Type: Edm.Int32

FormTypesFormTypes

ValorValue	Tipos de formularioForm Types	DescripciónDescription
00	FormularioForm	Formularios creados con la opción Nuevo formulario.Forms that are created with the New Form option.
11	CuestionarioQuiz	Cuestionarios creados con la opción Nuevo cuestionario.Quizzes that are created with the New Quiz option. Un cuestionario es un tipo especial de formulario que incluye características adicionales, como valores de puntuación, calificación automática y manual, y comentarios.A quiz is a special type of form that includes additional features such as point values, auto and manual grading, and commenting.
22	EncuestaSurvey	Encuestas creadas con la opción Nueva encuesta.Surveys that are created with the New Survey option. Una encuesta es un tipo especial de formulario que incluye características adicionales, como la integración con CMS y la compatibilidad con Reglas de flujo.A survey is a special type of form that includes additional features such as CMS integration and support for Flow rules.

Esquema de etiqueta MIPMIP label schema

Los eventos del esquema de etiquetas de Microsoft Information Protection (MIP) se activan cuando Microsoft 365 detecta un mensaje de correo procesado por agentes en la canalización de transporte a la que se ha aplicado una etiqueta de confidencialidad.Events in the Microsoft Information Protection (MIP) label schema are triggered when Microsoft 365 detects an email message processed by agents in the Transport pipeline that has a sensitivity label applied to it. Es posible que la etiqueta de confidencialidad se haya aplicado manual o automáticamente, y puede que se haya aplicado dentro o fuera de la canalización de transporte.The sensitivity label may have been applied manually or automatically, and it may have been applied within or outside of the Transport pipeline. Las etiquetas de confidencialidad se pueden aplicar automáticamente a los mensajes de correo electrónico mediante directivas de etiqueta de aplicación automática.Sensitiviy labels can be automatically applied to email messages by auto-apply label policies.

El propósito de este esquema de auditoría es representar la suma de todas las actividades de correo electrónico que impliquen etiquetas de confidencialidad.The intent of this audit schema is to represent the sum of all email activity that involves sensitivity labels. Es decir, debe haber una actividad de auditoría registrada para cada mensaje de correo electrónico que se envía a o desde los usuarios de la organización que tienen una etiqueta de confidencialidad aplicada, independientemente de cuándo o cómo se aplicó la etiqueta de confidencialidad.In other words, there should be an recored audit activity for each email message that is sent to or from users in the organization that has a sensitivity label applied to it, regardless of when or how the sensitivity label was applied. Para más información sobre las etiquetas de confidencialidad, vea:For more information about sensitivity labels, see:

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
RemitenteSender	Edm.StringEdm.String	NoNo	La dirección de correo electrónico en el campo De del mensaje de correo electrónico.The email address in the From field of the email message.
ReceptoresReceivers	Collection(Edm.String)Collection(Edm.String)	NoNo	Todas las direcciones de correo electrónico en los campos Para, CC y CCO del mensaje de correo electrónico.All email addresses in the To, CC, and Bcc fields of the email message.
NombreElementoItemName	Edm.StringEdm.String	NoNo	La cadena en el campo Asunto del mensaje de correo electrónico.The string in the Subject field of the email message.
LabelIdLabelId	Edm.GuidEdm.Guid	NoNo	El GUID de la etiqueta de confidencialidad aplicada al mensaje de correo electrónico.The GUID of the sensitiviy label applied to the email message.
LabelNameLabelName	Edm.StringEdm.String	NoNo	El nombre de la etiqueta de confidencialidad aplicada al mensaje de correo electrónico.The name of the sensitivity label applied to the email message.
LabelActionLabelAction	Edm.StringEdm.String	NoNo	Las acciones especificadas por la etiqueta de confidencialidad que se aplicaron al mensaje de correo electrónico antes de que el mensaje entrara a la canalización de transporte de correo.The actions specified by the sensitivity label that were applied to the email message before the message entered the mail transport pipeline.
LabelAppliedDateTimeLabelAppliedDateTime	Edm.DateEdm.Date	NoNo	La fecha en la que se aplicó la etiqueta de confidencialidad al mensaje de correo electrónico.The date the sensitivity label was applied to the email message.
ApplicationModeApplicationMode	Edm.StringEdm.String	NoNo	Especifica cómo se aplicó la etiqueta de confidencialidad al mensaje de correo electrónico.Specifies how the sensitivity label was applied to the email message. El valor Privileged indica que un usuario ha aplicado manualmente la etiqueta.The Privileged value indicates the label was manually applied by a user. El valor Standard indica que la etiqueta se aplicó automáticamente por un proceso de etiquetado del lado del cliente o del servicio.The Standard value indicates the label was auto-applied by a client-side or service-side labeling process.

Esquema de Exchange del Cumplimiento de comunicacionesCommunication compliance Exchange schema

Los eventos del Cumplimiento de comunicaciones que aparecen en el registro de auditoría de Office 365 usan este esquema.The communication compliance events listed in the Office 365 audit log use this schema. Esto incluye los registros de auditoría de la operación SupervisoryReviewOLAudit, que se generan cuando el contenido del mensaje de correo contiene lenguaje vulgar que ha sido identificado por los modelos de correo no deseado con una precisión >= 99,5 %.This includes audit records for the SupervisoryReviewOLAudit operation that's generated when email message content contains offensive language identified by anti-spam models with a match accuracy of >= 99.5%.

ParámetrosParameters	TipoType	¿Es obligatoria?Mandatory?	DescripciónDescription
ExchangeDetailsExchangeDetails	ExchangeDetailsExchangeDetails	NoNo	Propiedades del mensaje de correo electrónico que activó el evento SupervisoryReviewOLAudit.Properties of the email message that triggered the SupervisoryReviewOLAudit event.

Enum: ExchangeDetails - Tipo: ExchangeDetailsEnum: ExchangeDetails - Type: ExchangeDetails

ExchangeDetailsExchangeDetails

Nombre del miembroMember name	TipoType	DescripciónDescription
NetworkMessageIdNetworkMessageId	Edm.GuidEdm.Guid	El identificador del mensaje de red de este mensaje de correoThe network message ID of the email message.
InternetMessageIdInternetMessageId	Edm.StringEdm.String	El identificador de internet de este mensaje de correoThe internet message ID of the email message.
AttachmentDataAttachmentData	Collection (AttachmentDetails)Collection(AttachmentDetails)	Información sobre los archivos adjuntos de los mensaje de correo electrónico.Information about files attached to the email message.
RecipientesRecipients	Collection(Edm.String)Collection(Edm.String)	Todas las direcciones de correo electrónico en los campos Para, CC y CCO del mensaje de correo electrónico.The email addresses in the To, Cc, and Bcc fields of the email message.
SubjectSubject	Edm.StringEdm.String	El texto en el campo Asunto del mensaje de correo electrónico.The text in the Subject field of the email message.
MessageTimeMessageTime	Edm.DateEdm.Date	La fecha y la hora de envío del mensaje de correo.The date and time the email message was sent.
FromFrom	Edm.StringEdm.String	La dirección de correo electrónico en el campo De del mensaje de correo electrónico.The email address in the From field of the email message.
DirectionalityDirectionality	Edm.StringEdm.String	El estado de origen del mensaje de correo electrónico.The origination status of the email message.

Enum: AttachmentDetails - Tipo: Edm.Int32Enum: AttachmentDetails - Type: Edm.Int32

AttachmentDetailsAttachmentDetails

Nombre del miembroMember name	TipoType	DescripciónDescription
FileNameFileName	Edm.StringEdm.String	El nombre del archivo adjunto al mensaje de correo electrónico.The name of the file attached to the email message.
FileTypeFileType	Edm.StringEdm.String	La extensión del archivo adjunto al mensaje de correo electrónico.The file extension of the file attached to the email message.
SHA256SHA256	Edm.StringEdm.String	El hash SHA-256 del archivo adjunto al mensaje de correo electrónico.The SHA-256 hash of the file attached to the email message.