Proprietà dettagliate nel log di controlloDetailed properties in the audit log

Quando si esportano i risultati di una ricerca nel log di controllo dal Centro sicurezza & conformità, è possibile scaricare tutti i risultati che soddisfano i criteri di ricerca.When you export the results of an audit log search from the Security & Compliance Center, you have the option to download all the results that meet your search criteria. A tale scopo, selezionare Esporta risultati > Scaricare tutti i risultati nella pagina ricerca log di controllo.You do this by selecting Export results > Download all results on the Audit log search page. Per ulteriori informazioni, vedere Search the audit log.For more information, see Search the audit log.

Quando si esportano tutti i risultati per una ricerca nel log di controllo, i dati non elaborati del log di controllo unificato vengono copiati in un file con valori delimitati da virgole (CSV) scaricato nel computer locale.When your export all results for an audit log search, the raw data from the unified audit log is copied to a comma-separated value (CSV) file that is downloaded to your local computer. Questo file contiene informazioni aggiuntive da ogni record di controllo in una colonna denominata AuditData.This file contains additional information from each audit record in a column named AuditData. Questa colonna contiene una proprietà multivalore per più proprietà del record del log di controllo.This column contains a multi-value property for multiple properties from the audit log record. Ogni proprietà: coppie valore in questa proprietà multivalore sono separate da una virgola.Each of the property: value pairs in this multi-value property are separated by a comma.

Nella tabella seguente vengono descritte le proprietà incluse ,a seconda del servizio in cui si verifica un evento, nella colonna AuditData con più proprietà.The following table describes the properties that are included (depending on the service in which an event occurs) in the multi-property AuditData column. Il servizio Office 365 con questa colonna di proprietà indica il servizio e il tipo di attività (utente o amministratore) che include la proprietà.The Office 365 service that has this property column indicates the service and type of activity (user or admin) that includes the property. Per informazioni più dettagliate su queste proprietà o sulle proprietà che potrebbero non essere elencate in questo argomento, vedi Schema API attività di gestione.For more detailed information about these properties or about properties that may not be listed in this topic, see Management Activity API Schema.

Suggerimento

Puoi usare la funzionalità di trasformazione JSON in Power Query in Excel per dividere la colonna AuditData in più colonne in modo che ogni proprietà abbia una propria colonna.You can use the JSON transform feature in Power Query in Excel to split the AuditData column into multiple columns so that each property has its own column. In questo modo è possibile ordinare e filtrare in base a una o più di queste proprietà.This lets you sort and filter on one or more of these properties. Per informazioni su come eseguire questa operazione, vedere Esportare, configurare e visualizzare i record del log di controllo.To learn how to do this, see Export, configure, and view audit log records.

ProprietàProperty DescrizioneDescription Servizio Microsoft 365 con questa proprietàMicrosoft 365 service that has this property
AttoreActor L'utente o l'account di servizio che ha eseguito l'azione.The user or service account that performed the action. Azure Active DirectoryAzure Active Directory
AddOnNameAddOnName Nome di un componente aggiuntivo aggiunto, rimosso o aggiornato in un team.The name of an add-on that was added, removed, or updated in a team. Il tipo di componenti aggiuntivi in Microsoft Teams è un bot, un connettore o una scheda.The type of add-ons in Microsoft Teams is a bot, a connector, or a tab. Microsoft TeamsMicrosoft Teams
AddOnTypeAddOnType Tipo di componente aggiuntivo aggiunto, rimosso o aggiornato in un team.The type of an add-on that was added, removed, or updated in a team. I valori seguenti indicano il tipo di componente aggiuntivo.The following values indicate the type of add-on.
1 - Indica un bot.1 - Indicates a bot.
2 - Indica un connettore.2 - Indicates a connector.
3 - Indica una scheda.3 - Indicates a tab.
Microsoft TeamsMicrosoft Teams
AzureActiveDirectoryEventTypeAzureActiveDirectoryEventType Tipo di evento di Azure Active Directory.The type of Azure Active Directory event. I valori seguenti indicano il tipo di evento.The following values indicate the type of event.
0 - Indica un evento di accesso all'account.0 - Indicates an account login event.
1 - Indica un evento di sicurezza dell'applicazione Azure.1 - Indicates an Azure application security event.
Azure Active DirectoryAzure Active Directory
ChannelGuidChannelGuid ID di un canale di Microsoft Teams.The ID of a Microsoft Teams channel. Il team in cui si trova il canale è identificato dalle proprietà TeamName e TeamGuid.The team that the channel is located in is identified by the TeamName and TeamGuid properties. Microsoft TeamsMicrosoft Teams
ChannelNameChannelName Nome di un canale di Microsoft Teams.The name of a Microsoft Teams channel. Il team in cui si trova il canale è identificato dalle proprietà TeamName e TeamGuid.The team that the channel is located in is identified by the TeamName and TeamGuid properties. Microsoft TeamsMicrosoft Teams
ClientClient Il dispositivo client, il sistema operativo del dispositivo e il browser del dispositivo utilizzato per l'evento di accesso (ad esempio, Nokia Lumia 920; Windows Phone 8; IE Mobile 11).The client device, the device OS, and the device browser used for the login event (for example, Nokia Lumia 920; Windows Phone 8; IE Mobile 11). Azure Active DirectoryAzure Active Directory
ClientInfoStringClientInfoString Informazioni sul client di posta elettronica utilizzato per eseguire l'operazione, ad esempio la versione del browser, la versione di Outlook e le informazioni sui dispositivi mobiliInformation about the email client that was used to perform the operation, such as a browser version, Outlook version, and mobile device information Exchange (attività delle cassette postali)Exchange (mailbox activity)
ClientIPClientIP L'indirizzo IP del dispositivo utilizzato al momento della registrazione dell'attività.The IP address of the device that was used when the activity was logged. L'indirizzo IP viene visualizzato in formato IPv4 o IPv6.The IP address is displayed in either an IPv4 or IPv6 address format.

Per alcuni servizi, il valore visualizzato in questa proprietà può essere l'indirizzo IP di un'applicazione attendibile (ad esempio, Office sul Web) che chiama il servizio per conto di un utente e non l'indirizzo IP del dispositivo utilizzato dalla persona che ha eseguito l'attività.For some services, the value displayed in this property might be the IP address for a trusted application (for example, Office on the web apps) calling into the service on behalf of a user and not the IP address of the device used by person who performed the activity.

Inoltre, per l'attività di amministrazione (o l'attività eseguita da un account di sistema) per gli eventi correlati ad Azure Active Directory, l'indirizzo IP non viene registrato e il valore per la proprietà ClientIP è null .Also, for admin activity (or activity performed by a system account) for Azure Active Directory-related events, the IP address isn't logged and the value for the ClientIP property is null.
Azure Active Directory, Exchange, SharePointAzure Active Directory, Exchange, SharePoint
CreationTimeCreationTime Data e ora in formato UTC (Coordinated Universal Time) in cui l'utente ha eseguito l'attività.The date and time in Coordinated Universal Time (UTC) when the user performed the activity. TuttiAll
DestinationFileExtensionDestinationFileExtension Estensione di file di un file copiato o spostato.The file extension of a file that is copied or moved. Questa proprietà viene visualizzata solo per le attività utente FileCopied e FileMoved.This property is displayed only for the FileCopied and FileMoved user activities. SharePointSharePoint
DestinationFileNameDestinationFileName Il nome del file viene copiato o spostato.The name of the file is copied or moved. Questa proprietà viene visualizzata solo per le azioni FileCopied e FileMoved.This property is displayed only for the FileCopied and FileMoved actions. SharePointSharePoint
DestinationRelativeUrlDestinationRelativeUrl URL della cartella di destinazione in cui viene copiato o spostato un file.The URL of the destination folder where a file is copied or moved. La combinazione dei valori per la proprietà SiteURL, DestinationRelativeURL e DestinationFileName corrisponde al valore della proprietà ObjectID, ovvero il nome del percorso completo del file copiato.The combination of the values for the SiteURL, the DestinationRelativeURL, and the DestinationFileName property is the same as the value for the ObjectID property, which is the full path name for the file that was copied. Questa proprietà viene visualizzata solo per le attività utente FileCopied e FileMoved.This property is displayed only for the FileCopied and FileMoved user activities. SharePointSharePoint
EventSourceEventSource Identifica che si è verificato un evento in SharePoint.Identifies that an event occurred in SharePoint. I valori possibili sono SharePoint e ObjectModel.Possible values are SharePoint and ObjectModel. SharePointSharePoint
ExternalAccessExternalAccess Per l'attività di amministratore di Exchange, specifica se il cmdlet è stato eseguito da un utente dell'organizzazione, dal personale del datacenter Microsoft o da un account di servizio del datacenter o da un amministratore delegato.For Exchange admin activity, specifies whether the cmdlet was run by a user in your organization, by Microsoft datacenter personnel or a datacenter service account, or by a delegated administrator. Il valore False indica che il cmdlet è stato eseguito da un utente dell'organizzazione.The value False indicates that the cmdlet was run by someone in your organization. Il valore True indica che il cmdlet è stato eseguito dal personale del datacenter, da un account di servizio del datacenter o da un amministratore delegato.The value True indicates that the cmdlet was run by datacenter personnel, a datacenter service account, or a delegated administrator.
Per l'attività della cassetta postale di Exchange, specifica se un utente esterno all'organizzazione ha effettuato l'accesso a una cassetta postale.For Exchange mailbox activity, specifies whether a mailbox was accessed by a user outside your organization.
ExchangeExchange
ExtendedPropertiesExtendedProperties Proprietà estese per un evento di Azure Active Directory.The extended properties for an Azure Active Directory event. Azure Active DirectoryAzure Active Directory
IDID ID della voce di rapporto.The ID of the report entry. L'ID identifica in modo univoco la voce di rapporto.The ID uniquely identifies the report entry. TuttiAll
InternalLogonTypeInternalLogonType Riservato per uso interno.Reserved for internal use. Exchange (attività delle cassette postali)Exchange (mailbox activity)
ItemTypeItemType Tipo di oggetto a cui è stato eseguito l'accesso o che è stato modificato.The type of object that was accessed or modified. I valori possibili sono File, Folder, Web, Site, Tenant e DocumentLibrary.Possible values include File, Folder, Web, Site, Tenant, and DocumentLibrary. SharePointSharePoint
LoginStatusLoginStatus Identifica gli errori di accesso che potrebbero verificarsi.Identifies login failures that might have occurred. Azure Active DirectoryAzure Active Directory
LogonTypeLogonType Tipo di accesso alla cassetta postale.The type of mailbox access. I seguenti valori indicano il tipo di utente che ha eseguito l'accesso alla cassetta postale.The following values indicate the type of user who accessed the mailbox.

0 - Indica il proprietario di una cassetta postale.0 - Indicates a mailbox owner.
1 - Indica un amministratore.1 - Indicates an administrator.
2 - Indica un delegato.2 - Indicates a delegate.
3 - Indica il servizio di trasporto nel datacenter Microsoft.3 - Indicates the transport service in the Microsoft datacenter.
4 - Indica un account di servizio nel datacenter Microsoft.4 - Indicates a service account in the Microsoft datacenter.
6 - Indica un amministratore delegato.6 - Indicates a delegated administrator.
Exchange (attività delle cassette postali)Exchange (mailbox activity)
MailboxGuidMailboxGuid GUID di Exchange della cassetta postale a cui è stato eseguito l'accesso.The Exchange GUID of the mailbox that was accessed. Exchange (attività delle cassette postali)Exchange (mailbox activity)
MailboxOwnerUPNMailboxOwnerUPN L'indirizzo di posta elettronica della persona proprietaria della cassetta postale a cui è stato effettuato l'accesso.The email address of the person who owns the mailbox that was accessed. Exchange (attività delle cassette postali)Exchange (mailbox activity)
MembriMembers Elenca gli utenti che sono stati aggiunti o rimossi da un team.Lists the users that have been added or removed from a team. I valori seguenti indicano il tipo di ruolo assegnato all'utente.The following values indicate the Role type assigned to the user.

1 - Indica il ruolo Proprietario.1 - Indicates the Owner role.
2 - Indica il ruolo Membro.2 - Indicates the Member role.
3 - Indica il ruolo Guest.3 - Indicates the Guest role.

La proprietà Members include anche il nome dell'organizzazione e l'indirizzo di posta elettronica del membro.The Members property also includes the name of your organization, and the member's email address.
Microsoft TeamsMicrosoft Teams
ModifiedProperties (Name, NewValue, OldValue)ModifiedProperties (Name, NewValue, OldValue) La proprietà è inclusa per gli eventi di amministrazione, ad esempio l'aggiunta di un utente come membro di un sito o di un gruppo di amministratori della raccolta siti.The property is included for admin events, such as adding a user as a member of a site or a site collection admin group. La proprietà include il nome della proprietà modificata, ad esempio il gruppo Amministratore sito, il nuovo valore della proprietà modificata, ad esempio l'utente aggiunto come amministratore del sito e il valore precedente dell'oggetto modificato.The property includes the name of the property that was modified (for example, the Site Admin group) the new value of the modified property (such the user who was added as a site admin, and the previous value of the modified object. Tutti (attività dell'amministratore)All (admin activity)
ObjectIdObjectId Per la registrazione di controllo dell'amministratore di Exchange, il nome dell'oggetto modificato dal cmdlet.For Exchange admin audit logging, the name of the object that was modified by the cmdlet.
Per le attività di SharePoint, il nome del percorso URL completo del file o della cartella a cui accede un utente.For SharePoint activity, the full URL path name of the file or folder accessed by a user.
Per le attività di Azure AD, il nome dell'account utente modificato.For Azure AD activity, the name of the user account that was modified.
TuttiAll
OperazioneOperation Nome dell'attività dell'utente o dell'amministratore.The name of the user or admin activity. Il valore di questa proprietà corrisponde al valore selezionato nell'elenco a discesa Attività.The value of this property corresponds to the value that was selected in the Activities drop down list. Se è stata selezionata l'opzione Mostra risultati per tutte le attività, il report includerà le voci per tutte le attività utente e amministratore per tutti i servizi.If Show results for all activities was selected, the report will included entries for all user and admin activities for all services. Per una descrizione delle operazioni/attività registrate nel log di controllo, vedere la scheda Attività verificate in Cerca nel log di controllo in Office 365.For a description of the operations/activities that are logged in the audit log, see the Audited activities tab in Search the audit log in the Office 365.
Per le attività di amministrazione di Exchange, questa proprietà identifica il nome del cmdlet eseguito.For Exchange admin activity, this property identifies the name of the cmdlet that was run.
TuttiAll
OrganizationIdOrganizationId GUID dell'organizzazione.The GUID for your organization. TuttiAll
PercorsoPath Nome della cartella della cassetta postale in cui si trova il messaggio a cui è stato eseguito l'accesso.The name of the mailbox folder where the message that was accessed is located. Questa proprietà identifica inoltre la cartella in cui viene creato o copiato/spostato un messaggio.This property also identifies the folder a where a message is created in or copied/moved to. Exchange (attività delle cassette postali)Exchange (mailbox activity)
ParametriParameters Per le attività di amministrazione di Exchange, il nome e il valore di tutti i parametri utilizzati con il cmdlet identificato nella proprietà Operation.For Exchange admin activity, the name and value for all parameters that were used with the cmdlet that is identified in the Operation property. Exchange (attività di amministratore)Exchange (admin activity)
RecordTypeRecordType Tipo di operazione indicato dal record.The type of operation indicated by the record. Questa proprietà indica il servizio o la funzionalità in cui è stata attivata l'operazione.This property indicates the service or feature that the operation was triggered in. Per un elenco dei tipi di record e del valore ENUM corrispondente, ovvero il valore visualizzato nella proprietà RecordType di un record di controllo, vedere Tipo di record del registro di controllo.For a list of record types and their corresponding ENUM value (which is the value displayed in the RecordType property in an audit record), see Audit log record type.
ResultStatusResultStatus Indica se l'azione specificata nella proprietà Operation ha avuto esito positivo o meno.Indicates whether the action (specified in the Operation property) was successful or not.
Per le attività di amministrazione di Exchange, il valore è True (operazione riuscita) o False (operazione non riuscita).For Exchange admin activity, the value is either True (successful) or False (failed).
TuttiAll
SecurityComplianceCenterEventTypeSecurityComplianceCenterEventType Indica che l'attività era un evento del Centro sicurezza & conformità.Indicates that the activity was a Security & Compliance Center event. Tutte le & centro sicurezza e conformità avranno un valore pari a 0 per questa proprietà.All Security & Compliance Center activities will have a value of 0 for this property. Centro sicurezza e conformitàSecurity & Compliance Center
SharingTypeSharingType Tipo di autorizzazioni di condivisione assegnate all'utente con cui è stata condivisa la risorsa.The type of sharing permissions that was assigned to the user that the resource was shared with. Questo utente è identificato nella proprietà UserSharedWith.This user is identified in the UserSharedWith property. SharePointSharePoint
SitoSite GUID del sito in cui si trova il file o la cartella a cui l'utente ha eseguito l'accesso.The GUID of the site where the file or folder accessed by the user is located. SharePointSharePoint
SiteUrlSiteUrl URL del sito in cui si trova il file o la cartella a cui l'utente ha eseguito l'accesso.The URL of the site where the file or folder accessed by the user is located. SharePointSharePoint
SourceFileExtensionSourceFileExtension Estensione del file a cui l'utente ha eseguito l'accesso.The file extension of the file that was accessed by the user. Questa proprietà è vuota se l'oggetto a cui è stato eseguito l'accesso è una cartella.This property is blank if the object that was accessed is a folder. SharePointSharePoint
SourceFileNameSourceFileName Nome del file o della cartella a cui l'utente ha eseguito l'accesso.The name of the file or folder accessed by the user. SharePointSharePoint
SourceRelativeUrlSourceRelativeUrl URL della cartella contenente il file a cui l'utente ha eseguito l'accesso.The URL of the folder that contains the file accessed by the user. La combinazione dei valori per la proprietà SiteURL, SourceRelativeURL e SourceFileName corrisponde al valore della proprietà ObjectID, ovvero il nome del percorso completo del file a cui l'utente accede.The combination of the values for the SiteURL, the SourceRelativeURL, and the SourceFileName property is the same as the value for the ObjectID property, which is the full path name for the file accessed by the user. SharePointSharePoint
OggettoSubject Riga dell'oggetto del messaggio a cui è stato eseguito l'accesso.The subject line of the message that was accessed. Exchange (attività delle cassette postali)Exchange (mailbox activity)
TabTypeTabType Tipo di scheda aggiunta, rimossa o aggiornata in un team.The type of tab added, removed, or updated in a team. I valori possibili per questa proprietà sono:The possible values for this property are:

Puntina di Excel - Scheda di Excel.Excel pin - An Excel tab.
Estensione: tutte le app di prima e di terze parti; ad esempio Pianificazione classi, VSTS e Moduli.Extension - All first-party and third-party apps; such as Class Schedule, VSTS, and Forms.
Note - Scheda OneNote.Notes - OneNote tab.
Pdfpin - Scheda PDF.Pdfpin - A PDF tab.
Powerbi - Scheda Power BI.Powerbi - A Power BI tab.
Powerpointpin - Scheda di PowerPoint.Powerpointpin - A PowerPoint tab.
Sharepointfiles - Scheda di SharePoint.Sharepointfiles - A SharePoint tab.
Pagina Web - Scheda di un sito Web aggiunto.Webpage - A pinned website tab.
Scheda Wiki - Scheda wiki.Wiki-tab - A wiki tab.
Wordpin - Scheda di Word.Wordpin - A Word tab.
Microsoft TeamsMicrosoft Teams
DestinazioneTarget Utente su cui è stata eseguita l'azione, identificata nella proprietà Operation.The user that the action (identified in the Operation property) was performed on. Ad esempio, se un utente guest viene aggiunto a SharePoint o a un microsoft team, tale utente verrà elencato in questa proprietà.For example, if a guest user is added to SharePoint or a Microsoft Team, that user would be listed in this property. Azure Active DirectoryAzure Active Directory
TeamGuidTeamGuid ID di un team in Microsoft Teams.The ID of a team in Microsoft Teams. Microsoft TeamsMicrosoft Teams
TeamNameTeamName Nome di un team in Microsoft Teams.The name of a team in Microsoft Teams. Microsoft TeamsMicrosoft Teams
UserAgentUserAgent Informazioni sul browser dell'utente.Information about the user's browser. Queste informazioni vengono fornite dal browser.This information is provided by the browser. SharePointSharePoint
UserDomainUserDomain Informazioni sull'identità dell'organizzazione tenant dell'utente (attore) che ha eseguito l'azione.Identity information about the tenant organization of the user (actor) who performed the action. Azure Active DirectoryAzure Active Directory
UserIdUserId Utente che ha eseguito l'azione , specificata nella proprietà Operation, che ha comportato la registrazione del record.The user who performed the action (specified in the Operation property) that resulted in the record being logged. Anche i record di controllo per le attività eseguite dagli account di sistema (ad esempio SHAREPOINT\sistema o NT AUTHORITY\SYSTEM) sono inclusi nel registro di controllo.Audit records for activity performed by system accounts (such as SHAREPOINT\system or NT AUTHORITY\SYSTEM) are also included in the audit log. Un altro valore comune per la proprietà UserId è app@sharepoint.Another common value for the UserId property is app@sharepoint. Questo indica che l'"utente" che ha eseguito l'attività era un'applicazione che dispone delle autorizzazioni necessarie in SharePoint per eseguire azioni a livello di organizzazione (ad esempio, la ricerca in un sito di SharePoint o un account di OneDrive) per conto di un utente, un amministratore o un servizio.This indicates that the "user" who performed the activity was an application that has the necessary permissions in SharePoint to perform organization-wide actions (such as search a SharePoint site or OneDrive account) on behalf of a user, admin, or service. Per altre informazioni, vedere Utente app@sharepoint nei record di controllo.For more information, see The app@sharepoint user in audit records. TuttiAll
UserKeyUserKey ID alternativo per l'utente identificato nella proprietà UserID.An alternative ID for the user identified in the UserID property. Ad esempio, questa proprietà viene popolata con l'ID univoco passport (PUID) per gli eventi eseguiti dagli utenti in SharePoint.For example, this property is populated with the passport unique ID (PUID) for events performed by users in SharePoint. Questa proprietà può inoltre specificare lo stesso valore della proprietà UserID per gli eventi che si verificano in altri servizi e gli eventi eseguiti dagli account di sistema.This property also might specify the same value as the UserID property for events occurring in other services and events performed by system accounts. TuttiAll
UserSharedWithUserSharedWith Utente con cui è stata condivisa una risorsa.The user that a resource was shared with. Questa proprietà viene inclusa se il valore della proprietà Operation è SharingSet.This property is included if the value for the Operation property is SharingSet. Questo utente è inoltre elencato nella colonna Condivisi con del report.This user is also listed in the Shared with column in the report. SharePointSharePoint
UserTypeUserType Tipo di utente che ha eseguito l'operazione.The type of user that performed the operation. I valori seguenti indicano il tipo di utente.The following values indicate the user type.

0 - Utente normale.0 - A regular user.
2 - Un amministratore nell'organizzazione di Microsoft 365. 12 - An administrator in your Microsoft 365 organization.1
3 - Account di sistema di un amministratore del datacenter Microsoft o del datacenter.3 - A Microsoft datacenter administrator or datacenter system account.
4 - Un account di sistema.4 - A system account.
5 - Un'applicazione.5 - An application.
6 - Un'entità servizio.6 - A service principal.
7 - Criteri personalizzati.7 - A custom policy.
8 - Criteri di sistema.8 - A system policy.
TuttiAll
VersionVersion Indica il numero di versione dell'attività (identificata dalla proprietà Operation) registrata.Indicates the version number of the activity (identified by the Operation property) that's logged. TuttiAll
Carico di lavoroWorkload Servizio Microsoft 365 in cui si è verificata l'attività.The Microsoft 365 service where the activity occurred. TuttiAll

Nota

1 Per gli eventi correlati ad Azure Active Directory, il valore per un amministratore non viene usato in un record di controllo.1 For Azure Active Directory-related events, the value for an administrator isn't used in an audit record. I record di controllo per le attività eseguite dagli amministratori indicherà che l'attività è stata eseguita da un utente normale, ad esempio UserType: 0.Audit records for activities performed by administrators will indicate that a regular user (for example, UserType: 0) performed the activity. La proprietà UserID identificherà la persona (utente normale o amministratore) che ha eseguito l'attività.The UserID property will identify the person (regular user or administrator) who performed the activity.

Le proprietà descritte in precedenza vengono visualizzate anche quando si fa clic su Altre informazioni quando si visualizzano i dettagli di un evento specifico.The properties described above are also displayed when you click More information when viewing the details of a specific event.

Fare clic su Altre informazioni per visualizzare le proprietà dettagliate del record dell'evento del log di controllo