Proprietà attività dettagliate nel log di controllo
Quando si esportano i risultati di una ricerca nel log di controllo dal portale di Microsoft Purview o dal Portale di conformità di Microsoft Purview, è possibile scaricare tutti i risultati che soddisfano i criteri di ricerca. È possibile esportare queste informazioni selezionando Esporta risultati>Scarica tutti i risultati nella pagina Ricerca log di controllo . Per altre informazioni, vedere Search il log di controllo.
Quando si esportano tutti i risultati per una ricerca nel log di controllo, i dati non elaborati dal log di controllo unificato vengono copiati in un file CSV (Comma-Separated Value) scaricato nel computer locale. Questo file contiene informazioni aggiuntive sulle proprietà di ogni record di attività di controllo in una colonna denominata AuditData. Questa colonna contiene una proprietà multivalore per più proprietà del record del log di controllo. Ogni proprietà: le coppie di valori in questa proprietà multivalore sono separate da una virgola.
Nella tabella seguente vengono descritte le proprietà dell'attività incluse (a seconda del servizio in cui si verifica un'attività) nella colonna AuditData multiproprietà. Il servizio Microsoft 365 con questa colonna di proprietà indica il servizio e il tipo di attività (utente o amministratore) che include la proprietà . Per informazioni più dettagliate su queste proprietà o sulle proprietà che potrebbero non essere elencate in questo articolo, vedere Schema dell'API attività di gestione.
Consiglio
È possibile usare la funzionalità di trasformazione JSON in Power Query in Excel per suddividere la colonna AuditData in più colonne in modo che ogni proprietà abbia una propria colonna. In questo modo è possibile ordinare e filtrare in base a una o più di queste proprietà. Per informazioni su come eseguire questa operazione, vedere Esportare, configurare e visualizzare i record del log di controllo.
| Proprietà | Descrizione | Servizio Microsoft 365 con questa proprietà |
|---|---|---|
| Attore | L'account utente o del servizio che ha eseguito l'azione. | Azure Active Directory |
| AddOnName | Nome di un componente aggiuntivo aggiunto, rimosso o aggiornato in un team. Il tipo di componenti aggiuntivi in Microsoft Teams è un bot, un connettore o una scheda. | Microsoft Teams |
| AddOnType | Tipo di componente aggiuntivo aggiunto, rimosso o aggiornato in un team. I valori seguenti indicano il tipo di componente aggiuntivo. 1 - Indica un bot. 2 - Indica un connettore. 3 - Indica una scheda. |
Microsoft Teams |
| AppAccessContext | Contesto dell'applicazione per l'utente o l'entità servizio che ha eseguito l'azione. | Microsoft Teams |
| ArtifactShared | File o contenuto condiviso dall'utente. | Microsoft Teams |
| AzureActiveDirectoryEventType | Tipo di attività di Azure Active Directory. I valori seguenti indicano il tipo di attività. 0 - Indica un'attività di accesso all'account. 1 - Indica un'attività di sicurezza dell'applicazione Azure. |
Azure Active Directory |
| ChannelGuid | ID di un canale di Microsoft Teams. Il team in cui si trova il canale è identificato dalle proprietà TeamName e TeamGuid . | Microsoft Teams |
| Channelname | Nome di un canale di Microsoft Teams. Il team in cui si trova il canale è identificato dalle proprietà TeamName e TeamGuid . | Microsoft Teams |
| Client | Il dispositivo client, il sistema operativo del dispositivo e il browser del dispositivo usati per l'attività di accesso (ad esempio, Nokia Lumia 920; Windows Phone 8; IE Mobile 11). | Azure Active Directory |
| ClientInfoString | Informazioni sul client di posta elettronica usato per eseguire l'operazione, ad esempio una versione del browser, la versione di Outlook e le informazioni sui dispositivi mobili | Exchange (attività cassetta postale) |
| ClientIP | Indirizzo IP del dispositivo usato durante la registrazione dell'attività. L'indirizzo IP viene visualizzato in formato IPv4 o IPv6. Per alcuni servizi, il valore visualizzato in questa proprietà potrebbe essere l'indirizzo IP di un'applicazione attendibile (ad esempio, Office sul web app) che chiama nel servizio per conto di un utente e non l'indirizzo IP del dispositivo usato dalla persona che ha eseguito l'attività. Inoltre, per l'attività di amministratore (o l'attività eseguita da un account di sistema) per le attività correlate ad Azure Active Directory, l'indirizzo IP non viene registrato e il valore della proprietà ClientIP è null. |
Azure Active Directory, Exchange, SharePoint |
| CreationTime | Data e ora dell'ora UTC (Coordinated Universal Time) in cui l'utente ha eseguito l'attività. | Tutti |
| CurrentProtectionType | Tipo di proprietà complesso contenente campi per descrivere lo stato di protezione corrente di un documento. Include quanto segue: ProtectionType: enumera il tipo di protezione applicato al documento. Questi valori e i relativi significati si applicano: 0 (nessuna protezione), 1 (protezione basata su modello), 2 (non inoltrare, per la posta elettronica), 3 (solo crittografia) e 4 (protezione personalizzata configurata dall'utente) Proprietario: indirizzo di posta elettronica dell'utente che ha configurato la protezione. TemplateId: quando ProtectionType è impostato su 1 (modello), questo campo contiene il GUID del modello applicato al documento. Quando il valore di ProtectionType non è uguale a 1, questo campo è vuoto. DocumentEncrypted: flag booleano che indica se al documento viene applicato qualsiasi tipo di crittografia. I valori sono True o False. |
Tutti |
| DestinationFileExtension | Estensione di file di un file copiato o spostato. Questa proprietà viene visualizzata solo per le attività utente FileCopied e FileMoved. | SharePoint |
| Destinationfilename | Il nome del file viene copiato o spostato. Questa proprietà viene visualizzata solo per le azioni FileCopied e FileMoved. | SharePoint |
| DestinationRelativeUrl | URL della cartella di destinazione in cui un file viene copiato o spostato. La combinazione dei valori per SiteURL, DestinationRelativeURL e la proprietà DestinationFileName corrisponde al valore della proprietà ObjectID , ovvero il nome completo del percorso del file copiato. Questa proprietà viene visualizzata solo per le attività utente FileCopied e FileMoved. | SharePoint |
| Eventsource | Identifica che si è verificata un'attività in SharePoint. I valori possibili sono SharePoint e ObjectModel. | SharePoint |
| ExternalAccess | Per l'attività di amministratore di Exchange, specifica se il cmdlet è stato eseguito da un utente dell'organizzazione, dal personale del data center Microsoft o da un account del servizio data center o da un amministratore delegato. Il valore False indica che il cmdlet è stato eseguito da un utente dell'organizzazione. Il valore True indica che il cmdlet è stato eseguito dal personale del data center, da un account del servizio data center o da un amministratore delegato. Per l'attività cassetta postale di Exchange, specifica se un utente esterno all'organizzazione ha eseguito l'accesso a una cassetta postale. |
Exchange |
| ExtendedProperties | Proprietà estese per un'attività di Azure Active Directory. | Azure Active Directory |
| ID | ID della voce del report. L'ID identifica in modo univoco la voce del report. | Tutti |
| InternalLogonType | Riservato per uso interno. | Exchange (attività cassetta postale) |
| Itemtype | Tipo di oggetto a cui è stato eseguito l'accesso o modificato. I valori possibili includono File, Cartella, Web, Sito, Tenant e DocumentLibrary. | SharePoint |
| IsJoinedFromLobby | Indica se l'utente ha partecipato o meno a una sessione di Teams dalla sala di attesa. | Microsoft Teams |
| Loginstatus | Identifica gli errori di accesso che potrebbero essersi verificati. | Azure Active Directory |
| LogonType | Tipo di accesso alla cassetta postale. I valori seguenti indicano il tipo di utente che ha eseguito l'accesso alla cassetta postale. 0 - Indica un proprietario della cassetta postale. 1 - Indica un amministratore. 2 - Indica un delegato. 3 - Indica il servizio di trasporto nel data center Microsoft. 4 - Indica un account del servizio nel data center Microsoft. 6 - Indica un amministratore delegato. |
Exchange (attività cassetta postale) |
| MailboxGuid | GUID di Exchange della cassetta postale a cui è stato eseguito l'accesso. | Exchange (attività cassetta postale) |
| MailboxOwnerUPN | Indirizzo di posta elettronica della persona proprietaria della cassetta postale a cui è stato eseguito l'accesso. | Exchange (attività cassetta postale) |
| Membri | Elenchi gli utenti aggiunti o rimossi da un team. I valori seguenti indicano il tipo di ruolo assegnato all'utente. 1 - Indica il ruolo Proprietario. 2 - Indica il ruolo Membro. 3 - Indica il ruolo Guest. La proprietà Members include anche il nome dell'organizzazione e l'indirizzo di posta elettronica del membro. |
Microsoft Teams |
| ModifiedProperties (Name, NewValue, OldValue) | La proprietà è inclusa per le attività di amministratore, ad esempio l'aggiunta di un utente come membro di un sito o di un gruppo di amministratori della raccolta siti. La proprietà include il nome della proprietà modificata, ad esempio il gruppo Site Amministrazione, il nuovo valore della proprietà modificata, ad esempio l'utente che è stato aggiunto come amministratore del sito e il valore precedente dell'oggetto modificato. | Tutto (attività di amministratore) |
| ObjectFullyQualifiedName | Nome completo per un'entità. | Microsoft Purview (governance) |
| ObjectId | Per la registrazione di controllo dell'amministratore di Exchange, il nome dell'oggetto modificato dal cmdlet. Per l'attività di SharePoint, il nome completo del percorso URL del file o della cartella a cui un utente accede. Per l'attività di Azure AD, il nome dell'account utente modificato. |
Tutti |
| Objectname | Nome dell'entità principale. | Microsoft Purview (governance) |
| Objecttype | Tipo di entità. | Microsoft Purview (governance) |
| Oldvalue | Il valore prima di una modifica include tutte le proprietà aggiornate o eliminate. | Microsoft Purview (governance) |
| Operazione | Nome dell'attività utente o amministratore. Il valore di questa proprietà corrisponde al valore selezionato nell'elenco a discesa Attività . Se è stato selezionato Mostra risultati per tutte le attività , il report includerà le voci per tutte le attività utente e amministratore per tutti i servizi. Per una descrizione delle operazioni/attività registrate nel log di controllo, vedere la scheda Attività controllate in Search log di controllo nel Office 365. Per l'attività di amministratore di Exchange, questa proprietà identifica il nome del cmdlet eseguito. |
Tutti |
| OrganizationId | GUID dell'organizzazione. | Tutti |
| Newvalue | Il valore dopo una modifica include tutte le proprietà aggiornate o eliminate. | Microsoft Purview (governance) |
| Percorso | Nome della cartella della cassetta postale in cui si trova il messaggio a cui è stato eseguito l'accesso. Questa proprietà identifica anche la cartella in cui viene creato o copiato/spostato un messaggio. | Exchange (attività cassetta postale) |
| Parametri | Per l'attività di amministratore di Exchange, il nome e il valore per tutti i parametri usati con il cmdlet identificato nella proprietà Operation. | Exchange (attività di amministratore) |
| ParticipantInfo | Proprietà aggiuntive sull'identità del partecipante. | Microsoft Teams |
| ParticipatingDomainInformation | Informazioni sul dominio sul partecipante. | Microsoft Teams |
| PreviousProtectionType | Tipo di proprietà complesso contenente campi per descrivere lo stato di protezione precedente di un documento. Include quanto segue: ProtectionType: enumera il tipo di protezione applicato al documento. Questi valori e i relativi significati si applicano: 0 (nessuna protezione), 1 (protezione basata su modello), 2 (non inoltrare, per la posta elettronica), 3 (solo crittografia) e 4 (protezione personalizzata configurata dall'utente) Proprietario: indirizzo di posta elettronica dell'utente che ha configurato la protezione. TemplateId: quando ProtectionType è impostato su 1 (modello), questo campo contiene il GUID del modello applicato al documento. Quando il valore di ProtectionType non è uguale a 1, questo campo è vuoto. DocumentEncrypted: flag booleano che indica se al documento viene applicato qualsiasi tipo di crittografia. I valori sono True o False. |
Tutti |
| ProtectionEventType | Enumera il modo in cui la protezione è stata modificata dall'operazione sottoposta a controllo. Si applicano i valori e i significati seguenti: 0 - Indica che non è stato modificato. 1 - Indica l'aggiunta. 2 - Indica la modifica. 3 - Indica che è stato rimosso. |
Tutti |
| RecordType | Tipo di operazione indicato dal record. Questa proprietà indica il servizio o la funzionalità in cui è stata attivata l'operazione. Per un elenco dei tipi di record e del relativo valore ENUM corrispondente ,ovvero il valore visualizzato nella proprietà RecordType in un record di controllo, vedere Tipo di record di log di controllo. | |
| ResultStatus | Indica se l'azione (specificata nella proprietà Operation ) ha avuto esito positivo o meno. Per l'attività di amministratore di Exchange, il valore è True (operazione riuscita) o False (operazione non riuscita). |
Tutti |
| SecurityComplianceCenterEventType | Indica che l'attività era un'attività del portale di Microsoft Purview e del portale di conformità. Tutte le attività del portale di Microsoft Purview e del portale di conformità avranno un valore pari a 0 per questa proprietà. | Portale di Microsoft Purview Portale di conformità di Microsoft Purview |
| SensitivityLabel | Etichetta di riservatezza assegnata a un elemento di posta specifico. | Exchange |
| SharingType | Tipo di autorizzazioni di condivisione assegnate all'utente con cui è stata condivisa la risorsa. L'utente viene identificato nella proprietà UserSharedWith . | SharePoint |
| Sito | GUID del sito in cui si trova il file o la cartella a cui l'utente accede. | SharePoint |
| SiteUrl | URL del sito in cui si trova il file o la cartella a cui l'utente accede. | SharePoint |
| SourceFileExtension | Estensione del file a cui l'utente ha eseguito l'accesso. Questa proprietà è vuota se l'oggetto a cui è stato eseguito l'accesso è una cartella. | SharePoint |
| Sourcefilename | Nome del file o della cartella a cui l'utente accede. | SharePoint |
| SourceRelativeUrl | URL della cartella che contiene il file a cui l'utente accede. La combinazione dei valori per SiteURL, SourceRelativeURL e la proprietà SourceFileName corrisponde al valore della proprietà ObjectID , ovvero il nome completo del percorso per il file a cui l'utente accede. | SharePoint |
| Oggetto | Riga dell'oggetto del messaggio a cui è stato eseguito l'accesso. | Exchange (attività cassetta postale) |
| TabType | Tipo di scheda aggiunta, rimossa o aggiornata in un team. I valori possibili per questa proprietà sono: Aggiungi a Excel - Scheda Excel. Estensione: tutte le app di prima parte e di terze parti; ad esempio Pianificazione classi, VSTS e Forms. Note - Scheda OneNote. Pdfpin - Una scheda PDF. Powerbi - Scheda di Power BI. Powerpointpin - Scheda di PowerPoint. Sharepointfiles - Scheda di SharePoint. Pagina Web : scheda di un sito Web aggiunto. Scheda Wiki - Scheda wiki. Wordpin : scheda Word. |
Microsoft Teams |
| Destinazione | L'utente su cui è stata eseguita l'azione (identificata nella proprietà Operation ). Ad esempio, se un guest viene aggiunto a SharePoint o a un team Microsoft, tale utente verrà elencato in questa proprietà. | Azure Active Directory |
| TeamGuid | ID di un team in Microsoft Teams. | Microsoft Teams |
| TeamName | Nome di un team in Microsoft Teams. | Microsoft Teams |
| UserAgent | Informazioni sul browser dell'utente. Queste informazioni vengono fornite dal browser. | SharePoint |
| UserDomain | Informazioni sull'identità dell'organizzazione tenant dell'utente (attore) che ha eseguito l'azione. | Azure Active Directory |
| UserId | L'utente che ha eseguito l'azione (specificata nella proprietà Operation ) che ha causato la registrazione del record. I record di controllo per l'attività eseguita dagli account di sistema,ad esempio SHAREPOINT\system o NT AUTHORITY\SYSTEM, sono inclusi anche nel log di controllo. Un altro valore comune per la proprietà UserId è app@sharepoint. Ciò indica che l'"utente" che ha eseguito l'attività è un'applicazione con le autorizzazioni necessarie in SharePoint per eseguire azioni a livello di organizzazione (ad esempio la ricerca in un sito di SharePoint o in un account OneDrive) per conto di un utente, un amministratore o un servizio. Per ulteriori informazioni consulta: L'utente app@sharepoint nei record di controllo oppure Account di sistema nei record di controllo delle cassette postali di Exchange. |
Tutti |
| UserKey | Contiene un ID oggetto di Azure Active Directory valido in formato GUID o esadecimale. Per gli scenari in cui l'attore primario non è un utente, UserKey è una stringa vuota. Per informazioni dettagliate sui vari scenari UserKey, vedere Scenari UserType e UserKey. | Tutti |
| Usertype | Tipo di utente che ha eseguito l'operazione. Per informazioni dettagliate sui vari scenari UserType, vedere gli scenari UserType e UserKey. | Tutti |
| Versione | Indica il numero di versione dell'attività (identificata dalla proprietà Operation ) registrata. | Tutti |
| Carico di lavoro | Servizio Microsoft 365 in cui si è verificata l'attività. | Tutti |
Scenari UserType e UserKey
La tabella seguente fornisce informazioni dettagliate per gli scenari UserType e UserKey :
| Valore | Nome membro UserType | Descrizione | UserKey |
|---|---|---|---|
| 0 | Regolare | Un utente normale senza autorizzazioni di amministratore. | MICROSOFT ENTRA ID oggetto in formato GUID |
| 2 | Amministratore | Un amministratore nell'organizzazione di Microsoft 365. 1 | MICROSOFT ENTRA ID oggetto in formato GUID |
| 3 | DCAdmin | Un amministratore del data center Microsoft o un account di sistema del data center. | MICROSOFT ENTRA ID oggetto in formato GUID |
| 4 | Sistema | Evento di controllo attivato dalla logica lato server. Ad esempio, servizi Windows o processi in background. | Guid.Empty.ToString() (o il valore '000000000-0000-0000-0000-000000000000000'). |
| 5 | Applicazione | Evento di controllo attivato da un'applicazione Microsoft Entra. | Microsoft Entra nome dell'applicazione o ID applicazione (se disponibile). In caso contrario, una stringa vuota. |
| 6 | ServicePrincipal | Entità servizio. | Guid.Empty.ToString() (o il valore '000000000-0000-0000-0000-000000000000000'). |
| 7 | CustomPolicy | Criteri creati o gestiti da un cliente. | Guid.Empty.ToString() (o il valore '000000000-0000-0000-0000-000000000000000'). |
| 8 | SystemPolicy | Criteri di sistema o gestiti da Microsoft. | Guid.Empty.ToString() (o il valore '000000000-0000-0000-0000-000000000000000'). |
| 9 | PartnerTechnician | L'utente di un tenant partner che lavora per conto del tenant del cliente (negli scenari GDAP ). | Guid.Empty.ToString() (o il valore '000000000-0000-0000-0000-000000000000000'). |
| 10 | Guest | Utente guest o anonimo. | Guid.Empty.ToString() (o il valore '000000000-0000-0000-0000-000000000000000'). |
Nota
1 Per Microsoft Entra eventi correlati, il valore per un amministratore non viene usato in un record di controllo. I record di controllo per le attività eseguite dagli amministratori indicheranno che un utente normale ,ad esempio UserType: 0, ha eseguito l'attività. La proprietà UserID identificherà la persona (utente o amministratore normale) che ha eseguito l'attività.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per