稽核記錄中的詳細活動屬性
當您從 Microsoft Purview 入口網站或從 Microsoft Purview 合規性入口網站 匯出稽核記錄搜尋的結果時,您可以下載符合搜尋準則的所有結果。 您可以選取 [匯出結果>],在 [稽核記錄搜尋] 頁面上選取 [下載所有結果],以導出此資訊。 如需詳細資訊,請參閱 搜尋 稽核記錄。
當您匯出稽核記錄搜尋的所有結果時,統一稽核記錄的原始數據會複製到下載到本機計算機的 CSV) 檔案 (逗號分隔值。 此檔案包含 AuditData 資料行中每個稽核活動記錄的其他屬性資訊。 此數據行包含稽核記錄檔記錄中多個屬性的多重值屬性。 每個 屬性:這個多重值 屬性中的值組會以逗號分隔。
下表描述 (包含的活動屬性,視活動在多重屬性 AuditData 數據行中) 的服務而定。 具有此屬性數據行的 Microsoft 365 服務會指出包含 屬性的使用者或系統管理員) (服務和活動類型。 如需這些屬性或本文中可能未列出之屬性的詳細資訊,請參閱 管理活動 API 架構。
提示
您可以在 Excel 中使用 Power Query 中的 JSON 轉換功能,將 AuditData 數據行分割成多個數據行,讓每個屬性都有自己的數據行。 這樣您就可以排序及篩選一或多個屬性。 若要瞭解如何執行這項操作,請參閱導出、設定和檢視稽核記錄。
屬性 | 描述 | 具有此屬性的 Microsoft 365 服務 |
---|---|---|
演員 | 執行動作的用戶或服務帳戶。 | Azure Active Directory |
AddOnName | 在小組中新增、移除或更新的附加元件名稱。 Microsoft Teams 中的附加元件類型是 Bot、連接器或索引標籤。 | Microsoft Teams |
AddOnType | 在小組中新增、移除或更新的附加元件類型。 下列值表示附加元件的類型。 1 - 指出 Bot。 2 - 指出連接器。 3 - 指出索引標籤。 |
Microsoft Teams |
AppAccessContext | 執行動作之用戶或服務主體的應用程式內容。 | Microsoft Teams |
ArtifactShared | 用戶共用的檔案或內容。 | Microsoft Teams |
AzureActiveDirectoryEventType | Azure Active Directory 活動的類型。 下列值表示活動類型。 0 - 指出帳戶登入活動。 1 - 指出 Azure 應用程式安全性活動。 |
Azure Active Directory |
ChannelGuid | Microsoft Teams 頻道的標識符。 頻道所在的小組是由 TeamName 和 TeamGuid 屬性所識別。 | Microsoft Teams |
ChannelName | Microsoft Teams 頻道的名稱。 頻道所在的小組是由 TeamName 和 TeamGuid 屬性所識別。 | Microsoft Teams |
用戶端 | 用於登入活動的用戶端裝置、裝置OS和裝置瀏覽器 (例如 Nokia Lumia 920;Windows Phone 8;IE Mobile 11) 。 | Azure Active Directory |
ClientInfoString | 用來執行作業的電子郵件用戶端相關信息,例如瀏覽器版本、Outlook 版本和行動裝置資訊 | Exchange (信箱活動) |
ClientIP | 記錄活動時所使用的裝置之 IP 位址。 IP 位址會以 IPv4 或 IPv6 位址格式顯示。 針對某些服務,此屬性中顯示的值可能是受信任應用程式的IP位址 (例如,Office 網頁版 應用程式) 代表使用者呼叫服務,而不是執行活動之人員所使用的裝置IP位址。 此外,對於系統帳戶所執行的系統管理活動 (或活動,) Azure Active Directory 相關活動,則不會記錄 IP 位址,且 ClientIP 屬性的值為 null 。 |
Azure Active Directory、Exchange、SharePoint |
CreationTime | 國際標準時間的日期和時間 (用戶執行活動時的 UTC) 。 | 全部 |
CurrentProtectionType | 複雜屬性類型,包含描述檔目前保護狀態的欄位。 包含下列專案: ProtectionType:列舉套用至文件的保護類型。 這些值及其意義適用: 0 (無保護) 、 1 個 (範本型保護) 、 2 個 (不轉寄、電子郵件) 、 3 個僅) 加密 (, 以及 4 個 (自定義使用者設定的保護) 擁有者:設定保護之使用者的電子郵件位址。 TemplateId:當 ProtectionType 設定為 1 (範本) 時,此欄位會包含套用至檔之範本的 GUID。 當 ProtectionType 的值不等於 1 時,此字段為空白。 DocumentEncrypted:布爾值旗標,指出是否將任何類型的加密套用至檔。 值為 True 或 False。 |
全部 |
DestinationFileExtension | 複製或移動之檔案的擴展名。 這個屬性只會針對 FileCopied 和 FileMoved 用戶活動顯示。 | SharePoint |
DestinationFileName | 檔名會複製或移動。 這個屬性只會針對 FileCopied 和 FileMoved 動作顯示。 | SharePoint |
DestinationRelativeUrl | 複製或移動檔案之目的地資料夾的URL。 SiteURL、DestinationRelativeURL 和 DestinationFileName 屬性的值組合與 ObjectID 屬性的值相同,也就是所複製檔案的完整路徑名稱。 這個屬性只會針對 FileCopied 和 FileMoved 用戶活動顯示。 | SharePoint |
EventSource | 識別 SharePoint 中發生的活動。 可能的值為 SharePoint 和 ObjectModel。 | SharePoint |
ExternalAccess | 針對 Exchange 系統管理員活動,指定 Cmdlet 是由您組織中的使用者、Microsoft 資料中心人員或數據中心服務帳戶,還是由委派的系統管理員執行。 False 值表示 Cmdlet 是由您組織中的某人執行。 值 True 表示 Cmdlet 是由資料中心人員、數據中心服務帳戶或委派的系統管理員所執行。 針對 Exchange 信箱活動,指定貴組織外部的使用者是否存取信箱。 |
Exchange |
ExtendedProperties | Azure Active Directory 活動的擴充屬性。 | Azure Active Directory |
識別碼 | 報表項目的標識碼。 標識碼可唯一識別報表專案。 | 全部 |
InternalLogonType | 保留給內部使用。 | Exchange (信箱活動) |
ItemType | 已存取或修改的物件類型。 可能的值包括 [檔案]、 [資料夾]、[ Web]、[ 網站]、[ 租使用者] 和 [DocumentLibrary]。 | SharePoint |
IsJoinedFromLobby | 使用者是否從大廳加入 Teams 會話。 | Microsoft Teams |
LoginStatus | 識別可能發生的登入失敗。 | Azure Active Directory |
LogonType | 信箱存取的類型。 下列值指出存取信箱的用戶類型。 0 - 指出信箱擁有者。 1 - 指出系統管理員。 2 - 表示委派。 3 - 指出 Microsoft 數據中心的傳輸服務。 4 - 指出 Microsoft 數據中心內的服務帳戶。 6 - 指出委派的系統管理員。 |
Exchange (信箱活動) |
MailboxGuid | 已存取之信箱的 Exchange GUID。 | Exchange (信箱活動) |
MailboxOwnerUPN | 擁有所存取信箱之人員的電子郵件位址。 | Exchange (信箱活動) |
成員 | 清單 已從小組新增或移除的使用者。 下列值指出已指派使用者的角色類型。 1 - 代表「擁有者」角色。 2 - 代表「成員」角色。 3 - 代表「來賓」角色。 成員屬性也會包含貴組織名稱與成員的電子郵件。 |
Microsoft Teams |
ModifiedProperties (Name、NewValue、OldValue) | 屬性包含在系統管理活動中,例如將使用者新增為網站或網站集合系統管理員群組的成員。 屬性包含已修改 (屬性的名稱,例如,Site 管理員 群組) 修改屬性的新值 (例如新增為網站管理員的使用者,以及修改物件的先前值) 。 | 所有 (系統管理活動) |
ObjectFullyQualifiedName | 實體的完整名稱。 | Microsoft Purview (控管) |
ObjectId | 針對 Exchange 系統管理員稽核記錄,這是 Cmdlet 修改的物件名稱。 若為 SharePoint 活動,則為使用者存取之檔案或資料夾的完整 URL 路徑名稱。 針對 Azure AD 活動,為已修改的用戶帳戶名稱。 |
全部 |
ObjectName | 主要實體名稱。 | Microsoft Purview (控管) |
ObjectType | 實體類型。 | Microsoft Purview (控管) |
OldValue | 變更前的值包含所有更新或刪除的屬性。 | Microsoft Purview (控管) |
作業 | 使用者或系統管理員活動的名稱。 這個屬性的值會對應至 [ 活動 ] 下拉式清單中選取的值。 如果已選取 [顯示所有活動的結果 ],報表會包含所有服務的所有用戶和系統管理員活動專案。 如需稽核記錄中所記錄作業/活動的描述,請參閱 搜尋 稽核記錄 Office 365 中的 [稽核活動] 索引標籤。 針對 Exchange 系統管理員活動,此屬性會識別已執行的 Cmdlet 名稱。 |
全部 |
OrganizationId | 貴組織的 GUID。 | 全部 |
NewValue | 變更后的值包含所有更新或刪除的屬性。 | Microsoft Purview (控管) |
路徑 | 存取郵件所在的信箱資料夾名稱。 此屬性也會識別在 其中建立訊息或複製/移動至的資料夾。 | Exchange (信箱活動) |
參數 | 針對 Exchange 系統管理員活動,這是與 Operation 屬性中識別的 Cmdlet 搭配使用之所有參數的名稱和值。 | Exchange (系統管理活動) |
ParticipantInfo | 關於參與者身分識別的其他屬性。 | Microsoft Teams |
ParticipatingDomainInformation | 參與者的相關網域資訊。 | Microsoft Teams |
PreviousProtectionType | 複雜屬性類型,包含用來描述檔先前保護狀態的欄位。 包含下列專案: ProtectionType:列舉套用至文件的保護類型。 這些值及其意義適用: 0 (無保護) 、 1 個 (範本型保護) 、 2 個 (不轉寄、電子郵件) 、 3 個僅) 加密 (, 以及 4 個 (自定義使用者設定的保護) 擁有者:設定保護之使用者的電子郵件位址。 TemplateId:當 ProtectionType 設定為 1 (範本) 時,此欄位會包含套用至檔之範本的 GUID。 當 ProtectionType 的值不等於 1 時,此字段為空白。 DocumentEncrypted:布爾值旗標,指出是否將任何類型的加密套用至檔。 值為 True 或 False。 |
全部 |
ProtectionEventType | 列舉稽核作業變更保護的方式。 適用下列值和意義: 0 - 表示未變更。 1 - 指出已新增。 2 - 指出已變更。 3 - 表示已移除。 |
全部 |
RecordType | 記錄所指示的作業類型。 這個屬性表示觸發作業的服務或功能。 如需記錄類型清單及其對應的 ENUM 值 (這是稽核記錄) 中 RecordType 屬性中顯示的值,請參閱 稽核記錄類型。 | |
ResultStatus | 指出 operation 屬性中 指定的動作 () 是否成功。 針對 Exchange 系統管理員活動,此值為 True (成功) 或 False (失敗) 。 |
全部 |
SecurityComplianceCenterEventType | 指出活動是 Microsoft Purview 入口網站和合規性入口網站活動。 此屬性的所有 Microsoft Purview 入口網站和合規性入口網站活動都會有 0 的值。 | Microsoft Purview 入口網站 Microsoft Purview 合規性入口網站 |
SensitivityLabel | 指派給特定郵件專案的敏感度標籤。 | Exchange |
SharingType | 指派給共用資源之使用者的共享許可權類型。 此使用者是在 UserSharedWith 屬性中識別。 | SharePoint |
網站 | 使用者存取之檔案或資料夾所在的網站 GUID。 | SharePoint |
SiteUrl | 使用者存取之檔案或資料夾所在的網站URL。 | SharePoint |
SourceFileExtension | 使用者所存取之檔案的擴展名。 如果存取的對像是資料夾,則此屬性為空白。 | SharePoint |
SourceFileName | 使用者所存取之檔案或資料夾的名稱。 | SharePoint |
SourceRelativeUrl | 包含使用者存取之檔案的資料夾URL。 SiteURL、SourceRelativeURL 和 SourceFileName 屬性的值組合與 ObjectID 屬性的值相同,這是使用者存取之檔案的完整路徑名稱。 | SharePoint |
主旨 | 已存取之訊息的主旨行。 | Exchange (信箱活動) |
TabType | 小組中新增、移除或更新的索引標籤型態。 此屬性的可能值為: Excel 釘選 - Excel 索引標籤。 擴充功能 - 所有第一方和第三方應用程式;例如類別排程、VSTS 和 Forms。 附註 - OneNote 索引標籤。 Pdfpin - PDF 索引標籤。 Powerbi - Power BI 索引標籤。 Powerpointpin - PowerPoint 索引標籤。 Sharepointfiles - SharePoint 索引卷標。 網頁 - 釘選的網站索引標籤。 Wiki 索引標籤 - Wiki 索引標籤。 Wordpin - Word 索引標籤。 |
Microsoft Teams |
Target | 在 Operation 屬性中 (識別的動作) 執行所在的使用者。 例如,如果來賓新增至 SharePoint 或 Microsoft 小組,該使用者會列在此屬性中。 | Azure Active Directory |
TeamGuid | Microsoft Teams 中小組的標識符。 | Microsoft Teams |
TeamName | Microsoft Teams 中小組的名稱。 | Microsoft Teams |
UserAgent | 用戶瀏覽器的相關信息。 此資訊是由瀏覽器提供。 | SharePoint |
UserDomain | 執行動作的使用者 (動作專案) 租用戶組織的身分識別資訊。 | Azure Active Directory |
UserId | 執行動作的使用者 (Operation 屬性中指定的) ,導致記錄被記錄。 稽核記錄中也會包含系統帳戶 (例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) 所執行活動的稽核記錄。 UserId 屬性的另一個常見值是app@sharepoint。 這表示執行活動的「使用者」是在 SharePoint 中具有必要許可權的應用程式,可執行整個組織的動作, (例如代表使用者、系統管理員或服務搜尋 SharePoint 網站或 OneDrive 帳戶) 。 如需詳細資訊,請參閱: 稽核記錄中的app@sharepoint使用者 或 Exchange 信箱稽核記錄中的系統帳戶。 |
全部 |
UserKey | 包含 GUID 格式或十六進位格式的有效 Azure Active Directory 物件識別碼。 在主要執行者不是用戶的情況下, UserKey 是空字串。 如需各種UserKey案例的詳細資訊,請參閱UserType和UserKey案例。 | 全部 |
UserType | 執行作業的用戶類型。 如需各種UserType案例的詳細資訊,請參閱UserType和UserKey案例。 | 全部 |
版本 | 指出記錄的 Operation 屬性) 所識別之活動 (的版本號碼。 | 全部 |
工作負載 | 活動發生的 Microsoft 365 服務。 | 全部 |
UserType 和 UserKey 案例
下表提供 UserType 和 UserKey 案例的詳細資料:
值 | UserType 成員名稱 | 描述 | UserKey |
---|---|---|---|
0 | 標準 | 沒有系統管理員許可權的一般使用者。 | Microsoft Entra GUID 格式的物件識別碼 |
2 | 系統管理員 | Microsoft 365 組織中的系統管理員。1 | Microsoft Entra GUID 格式的物件識別碼 |
3 | DCAdmin | Microsoft 資料中心系統管理員或數據中心系統帳戶。 | Microsoft Entra GUID 格式的物件識別碼 |
4 | 系統 | 伺服器端邏輯所觸發的稽核事件。 例如,Windows 服務或背景進程。 | Guid.Empty.ToString () (或值 '000000000-0000-0000-0000-000000000000') 。 |
5 | 應用程式 | Microsoft Entra 應用程式所觸發的稽核事件。 | Microsoft Entra 可用) 時 (應用程式名稱或應用程式識別碼。 否則為空字串。 |
6 | ServicePrincipal | 服務主體。 | Guid.Empty.ToString () (或值 '000000000-0000-0000-0000-000000000000') 。 |
7 | CustomPolicy | 客戶建立或受控原則。 | Guid.Empty.ToString () (或值 '000000000-0000-0000-0000-000000000000') 。 |
8 | SystemPolicy | Microsoft 管理或系統原則。 | Guid.Empty.ToString () (或值 '000000000-0000-0000-0000-000000000000') 。 |
9 | PartnerTechnician | 在 GDAP 案例中代表客戶租使用者 (工作的合作夥伴租用戶使用者) 。 | Guid.Empty.ToString () (或值 '000000000-0000-0000-0000-000000000000') 。 |
10 | 客人 | 來賓或匿名使用者。 | Guid.Empty.ToString () (或值 '000000000-0000-0000-0000-000000000000') 。 |
注意事項
1 針對 Microsoft Entra 相關事件,稽核記錄中不會使用系統管理員的值。 系統管理員所執行活動的稽核記錄會指出一般使用者 (例如 UserType: 0) 執行活動。 UserID 屬性會識別執行活動的一般用戶或系統管理員) (人員。
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: