Proprietà dettagliate nel log di controllo
Quando si esportano i risultati di una ricerca nel log di controllo dalla Portale di conformità di Microsoft Purview, è possibile scaricare tutti i risultati che soddisfano i criteri di ricerca. A tale scopo, selezionare Esporta risultati > Scarica tutti i risultati nella pagina ricerca log di controllo . Per altre informazioni, vedere Cercare nel log di controllo.
Quando si esportano tutti i risultati per una ricerca nel log di controllo, i dati non elaborati dal log di controllo unificato vengono copiati in un file CSV (Comma-Separated Value) scaricato nel computer locale. Questo file contiene informazioni aggiuntive da ogni record di controllo in una colonna denominata AuditData. Questa colonna contiene una proprietà multivalore per più proprietà del record del log di controllo. Ogni proprietà: le coppie di valori in questa proprietà multivalore sono separate da una virgola.
Nella tabella seguente vengono descritte le proprietà incluse (a seconda del servizio in cui si verifica un evento) nella colonna AuditData multiproprietà. Il servizio Office 365 con questa colonna di proprietà indica il servizio e il tipo di attività (utente o amministratore) che include la proprietà . Per informazioni più dettagliate su queste proprietà o sulle proprietà che potrebbero non essere elencate in questo argomento, vedere Schema dell'API attività di gestione.
Suggerimento
È possibile usare la funzionalità di trasformazione JSON in Power Query in Excel per suddividere la colonna AuditData in più colonne in modo che ogni proprietà abbia una propria colonna. In questo modo è possibile ordinare e filtrare in base a una o più di queste proprietà. Per informazioni su come eseguire questa operazione, vedere Esportare, configurare e visualizzare i record del log di controllo.
| Proprietà | Descrizione | Servizio Microsoft 365 con questa proprietà |
|---|---|---|
| Attore | L'account utente o del servizio che ha eseguito l'azione. | Azure Active Directory |
| AddOnName | Nome di un componente aggiuntivo aggiunto, rimosso o aggiornato in un team. Il tipo di componenti aggiuntivi in Microsoft Teams è un bot, un connettore o una scheda. | Microsoft Teams |
| AddOnType | Tipo di componente aggiuntivo aggiunto, rimosso o aggiornato in un team. I valori seguenti indicano il tipo di componente aggiuntivo. 1 - Indica un bot. 2 - Indica un connettore. 3 - Indica una scheda. |
Microsoft Teams |
| AzureActiveDirectoryEventType | Tipo di evento di Azure Active Directory. I valori seguenti indicano il tipo di evento. 0 - Indica un evento di accesso dell'account. 1 - Indica un evento di sicurezza dell'applicazione Azure. |
Azure Active Directory |
| ChannelGuid | ID di un canale di Microsoft Teams. Il team in cui si trova il canale è identificato dalle proprietà TeamName e TeamGuid . | Microsoft Teams |
| ChannelName | Nome di un canale di Microsoft Teams. Il team in cui si trova il canale è identificato dalle proprietà TeamName e TeamGuid . | Microsoft Teams |
| Client | Il dispositivo client, il sistema operativo del dispositivo e il browser del dispositivo usati per l'evento di accesso (ad esempio, Nokia Lumia 920; Windows Phone 8; IE Mobile 11). | Azure Active Directory |
| ClientInfoString | Informazioni sul client di posta elettronica usato per eseguire l'operazione, ad esempio una versione del browser, la versione di Outlook e le informazioni sui dispositivi mobili | Exchange (attività cassetta postale) |
| ClientIP | Indirizzo IP del dispositivo usato quando l'attività è stata registrata. L'indirizzo IP viene visualizzato in formato IPv4 o IPv6. Per alcuni servizi, il valore visualizzato in questa proprietà potrebbe essere l'indirizzo IP di un'applicazione attendibile (ad esempio, Office sul web app) che chiama nel servizio per conto di un utente e non l'indirizzo IP del dispositivo usato dalla persona che ha eseguito l'attività. Inoltre, per l'attività di amministratore (o l'attività eseguita da un account di sistema) per gli eventi correlati ad Azure Active Directory, l'indirizzo IP non viene registrato e il valore della proprietà ClientIP è null. |
Azure Active Directory, Exchange, SharePoint |
| CreationTime | Data e ora dell'ora UTC (Coordinated Universal Time) in cui l'utente ha eseguito l'attività. | Tutti |
| DestinationFileExtension | Estensione di file di un file copiato o spostato. Questa proprietà viene visualizzata solo per le attività utente FileCopied e FileMoved. | SharePoint |
| DestinationFileName | Il nome del file viene copiato o spostato. Questa proprietà viene visualizzata solo per le azioni FileCopied e FileMoved. | SharePoint |
| DestinationRelativeUrl | URL della cartella di destinazione in cui un file viene copiato o spostato. La combinazione dei valori per SiteURL, DestinationRelativeURL e la proprietà DestinationFileName corrisponde al valore della proprietà ObjectID , ovvero il nome completo del percorso del file copiato. Questa proprietà viene visualizzata solo per le attività utente FileCopied e FileMoved. | SharePoint |
| Eventsource | Identifica che si è verificato un evento in SharePoint. I valori possibili sono SharePoint e ObjectModel. | SharePoint |
| ExternalAccess | Per l'attività di amministratore di Exchange, specifica se il cmdlet è stato eseguito da un utente dell'organizzazione, dal personale del data center Microsoft o da un account del servizio data center o da un amministratore delegato. Il valore False indica che il cmdlet è stato eseguito da un utente dell'organizzazione. Il valore True indica che il cmdlet è stato eseguito dal personale del data center, da un account del servizio data center o da un amministratore delegato. Per l'attività cassetta postale di Exchange, specifica se un utente esterno all'organizzazione ha eseguito l'accesso a una cassetta postale. |
Exchange |
| ExtendedProperties | Proprietà estese per un evento di Azure Active Directory. | Azure Active Directory |
| ID | ID della voce del report. L'ID identifica in modo univoco la voce del report. | Tutti |
| InternalLogonType | Riservato per uso interno. | Exchange (attività cassetta postale) |
| ItemType | Tipo di oggetto a cui è stato eseguito l'accesso o modificato. I valori possibili includono File, Cartella, Web, Sito, Tenant e DocumentLibrary. | SharePoint |
| LoginStatus | Identifica gli errori di accesso che potrebbero essersi verificati. | Azure Active Directory |
| LogonType | Tipo di accesso alla cassetta postale. I valori seguenti indicano il tipo di utente che ha eseguito l'accesso alla cassetta postale. 0 - Indica un proprietario della cassetta postale. 1 - Indica un amministratore. 2 - Indica un delegato. 3 - Indica il servizio di trasporto nel data center Microsoft. 4 - Indica un account del servizio nel data center Microsoft. 6 - Indica un amministratore delegato. |
Exchange (attività cassetta postale) |
| MailboxGuid | GUID di Exchange della cassetta postale a cui è stato eseguito l'accesso. | Exchange (attività cassetta postale) |
| MailboxOwnerUPN | Indirizzo di posta elettronica della persona proprietaria della cassetta postale a cui è stato eseguito l'accesso. | Exchange (attività cassetta postale) |
| Membri | Elenca gli utenti che sono stati aggiunti o rimossi da un team. I valori seguenti indicano il tipo di ruolo assegnato all'utente. 1 - Indica il ruolo Proprietario. 2 - Indica il ruolo Membro. 3 - Indica il ruolo Guest. La proprietà Members include anche il nome dell'organizzazione e l'indirizzo di posta elettronica del membro. |
Microsoft Teams |
| ModifiedProperties (Name, NewValue, OldValue) | La proprietà è inclusa per gli eventi di amministratore, ad esempio l'aggiunta di un utente come membro di un sito o di un gruppo di amministratori della raccolta siti. La proprietà include il nome della proprietà modificata, ad esempio il gruppo Site Amministrazione, il nuovo valore della proprietà modificata, ad esempio l'utente che è stato aggiunto come amministratore del sito e il valore precedente dell'oggetto modificato. | Tutto (attività di amministratore) |
| ObjectId | Per la registrazione di controllo dell'amministratore di Exchange, il nome dell'oggetto modificato dal cmdlet. Per l'attività di SharePoint, il nome completo del percorso URL del file o della cartella a cui un utente accede. Per l'attività di Azure AD, il nome dell'account utente modificato. |
Tutti |
| Operazione | Nome dell'attività utente o amministratore. Il valore di questa proprietà corrisponde al valore selezionato nell'elenco a discesa Attività . Se è stato selezionato Mostra risultati per tutte le attività , il report includerà le voci per tutte le attività utente e amministratore per tutti i servizi. Per una descrizione delle operazioni/attività registrate nel log di controllo, vedere la scheda Attività controllate in Cercare il log di controllo nel Office 365. Per l'attività di amministratore di Exchange, questa proprietà identifica il nome del cmdlet eseguito. |
Tutti |
| OrganizationId | GUID dell'organizzazione. | Tutti |
| Percorso | Nome della cartella della cassetta postale in cui si trova il messaggio a cui è stato eseguito l'accesso. Questa proprietà identifica anche la cartella in cui viene creato o copiato/spostato un messaggio. | Exchange (attività cassetta postale) |
| Parametri | Per l'attività di amministratore di Exchange, il nome e il valore per tutti i parametri usati con il cmdlet identificato nella proprietà Operation. | Exchange (attività di amministratore) |
| RecordType | Tipo di operazione indicato dal record. Questa proprietà indica il servizio o la funzionalità in cui è stata attivata l'operazione. Per un elenco dei tipi di record e del relativo valore ENUM corrispondente ,ovvero il valore visualizzato nella proprietà RecordType in un record di controllo, vedere Tipo di record di log di controllo. | |
| ResultStatus | Indica se l'azione (specificata nella proprietà Operation ) ha avuto esito positivo o meno. Per l'attività di amministratore di Exchange, il valore è True (operazione riuscita) o False (operazione non riuscita). |
Tutti |
| SecurityComplianceCenterEventType | Indica che l'attività era un evento del portale di conformità. Tutte le attività del Centro conformità avranno un valore pari a 0 per questa proprietà. | Centro sicurezza e conformità |
| SharingType | Tipo di autorizzazioni di condivisione assegnate all'utente con cui è stata condivisa la risorsa. L'utente viene identificato nella proprietà UserSharedWith . | SharePoint |
| Sito | GUID del sito in cui si trova il file o la cartella a cui l'utente accede. | SharePoint |
| SiteUrl | URL del sito in cui si trova il file o la cartella a cui si accede dall'utente. | SharePoint |
| SourceFileExtension | Estensione del file a cui l'utente ha eseguito l'accesso. Questa proprietà è vuota se l'oggetto a cui è stato eseguito l'accesso è una cartella. | SharePoint |
| NomeFileOrigine | Nome del file o della cartella a cui l'utente accede. | SharePoint |
| SourceRelativeUrl | URL della cartella che contiene il file a cui l'utente accede. La combinazione dei valori per SiteURL, SourceRelativeURL e la proprietà SourceFileName corrisponde al valore della proprietà ObjectID , ovvero il nome completo del percorso per il file a cui l'utente accede. | SharePoint |
| Oggetto | Riga dell'oggetto del messaggio a cui è stato eseguito l'accesso. | Exchange (attività cassetta postale) |
| TabType | Tipo di scheda aggiunta, rimossa o aggiornata in un team. I valori possibili per questa proprietà sono: Aggiungi a Excel - Scheda Excel. Estensione : tutte le app di prima parte e di terze parti; ad esempio Pianificazione classi, VSTS e Moduli. Note - Scheda OneNote. Pdfpin - Una scheda PDF. Powerbi - Scheda di Power BI. Powerpointpin - Scheda di PowerPoint. Sharepointfiles - Scheda di SharePoint. Pagina Web : scheda di un sito Web aggiunto. Scheda Wiki - Scheda wiki. Wordpin - Scheda Word. |
Microsoft Teams |
| Destinazione | L'utente su cui è stata eseguita l'azione (identificata nella proprietà Operation ). Ad esempio, se un utente guest viene aggiunto a SharePoint o a un team Microsoft, tale utente verrà elencato in questa proprietà. | Azure Active Directory |
| TeamGuid | ID di un team in Microsoft Teams. | Microsoft Teams |
| TeamName | Nome di un team in Microsoft Teams. | Microsoft Teams |
| UserAgent | Informazioni sul browser dell'utente. Queste informazioni vengono fornite dal browser. | SharePoint |
| UserDomain | Informazioni sull'identità dell'organizzazione tenant dell'utente (attore) che ha eseguito l'azione. | Azure Active Directory |
| UserId | L'utente che ha eseguito l'azione (specificata nella proprietà Operation ) che ha causato la registrazione del record. I record di controllo per l'attività eseguita dagli account di sistema,ad esempio SHAREPOINT\system o NT AUTHORITY\SYSTEM, sono inclusi anche nel log di controllo. Un altro valore comune per la proprietà UserId è app@sharepoint. Ciò indica che l'"utente" che ha eseguito l'attività è un'applicazione con le autorizzazioni necessarie in SharePoint per eseguire azioni a livello di organizzazione (ad esempio la ricerca in un sito di SharePoint o un account OneDrive) per conto di un utente, un amministratore o un servizio. Per altre informazioni, vedere: L'utente di sharepoint dell'app@nei record di controllo oppure Account di sistema nei record di controllo delle cassette postali di Exchange. |
Tutti |
| UserKey | ID alternativo per l'utente identificato nella proprietà UserID . Ad esempio, questa proprietà viene popolata con l'ID univoco passport (PUID) per gli eventi eseguiti dagli utenti in SharePoint. Questa proprietà può anche specificare lo stesso valore della proprietà UserID per gli eventi che si verificano in altri servizi e eventi eseguiti dagli account di sistema. | Tutti |
| Usertype | Tipo di utente che ha eseguito l'operazione. I valori seguenti indicano il tipo di utente. 0 - Un utente normale. 2 - Un amministratore dell'organizzazione di Microsoft 365. 1 3 - Un amministratore del data center Microsoft o un account di sistema del data center. 4 - Un account di sistema. 5 - Un'applicazione. 6 - Un'entità servizio. 7 - Un criterio personalizzato. 8 - Criteri di sistema. |
Tutti |
| Versione | Indica il numero di versione dell'attività (identificata dalla proprietà Operation ) registrata. | Tutti |
| Carico di lavoro | Servizio Microsoft 365 in cui si è verificata l'attività. | Tutti |
Nota
1 Per gli eventi correlati ad Azure Active Directory, il valore per un amministratore non viene usato in un record di controllo. I record di controllo per le attività eseguite dagli amministratori indicheranno che un utente normale ,ad esempio UserType: 0, ha eseguito l'attività. La proprietà UserID identificherà la persona (utente o amministratore normale) che ha eseguito l'attività.