稽核記錄中的詳細內容

注意

Microsoft 365合規性現在稱為 Microsoft Purview,且合規性區域內的解決方案已重新命名。 如需 Microsoft Purview 的詳細資訊,請參閱 部落格公告

當您從 Microsoft Purview 合規性入口網站匯出稽核記錄搜尋的結果時,可以選擇下載符合搜尋準則的所有結果。 若要這麼做,請選取 [匯出結果 > ][稽核 記錄搜尋] 頁面上的 [下載所有結果]。 如需詳細資訊,請 參閱搜尋稽核記錄

當您匯出稽核記錄搜尋的所有結果時,統一稽核記錄的原始資料會複製到下載到本機電腦的 CSV) 檔案 (逗號分隔值。 此檔案包含 AuditData 資料行中每個稽核記錄的其他資訊。 此資料行包含稽核記錄檔記錄中多個屬性的多重值屬性。 每個 屬性:這個多重值 屬性中的值組會以逗號分隔。

下表說明 (所包含的屬性,取決於在 multi-property AuditData 資料行中) 發生事件的服務。 具有此屬性資料行的Office 365服務 會指出包含 屬性之使用者或系統管理員) (服務和活動類型。 如需這些屬性或本主題中可能未列出之屬性的詳細資訊,請參閱 管理活動 API 架構

提示

您可以在 Excel 中的 Power Query 中使用 JSON 轉換功能,將 AuditData 資料 行分割成多個資料行,讓每個屬性都有自己的資料行。 這樣您就可以排序及篩選一或多個屬性。 若要瞭解如何執行這項操作,請參閱匯出、設定和檢視稽核記錄。

屬性 描述 Microsoft 365具有此屬性的服務
演員 執行動作的使用者或服務帳戶。 Azure Active Directory
AddOnName 在小組中新增、移除或更新的附加元件名稱。 Microsoft Teams中的附加元件類型是 Bot、連接器或索引標籤。 Microsoft Teams
AddOnType 在小組中新增、移除或更新的附加元件類型。 下列值表示附加元件的類型。
1 - 指出 Bot。
2 - 指出連接器。
3 - 指出索引標籤。
Microsoft Teams
AzureActiveDirectoryEventType Azure Active Directory事件的類型。 下列值表示事件的類型。
0 - 指出帳戶登入事件。
1 - 指出 Azure 應用程式安全性事件。
Azure Active Directory
ChannelGuid Microsoft Teams通道的識別碼。 頻道所在的小組是由 TeamNameTeamGuid 屬性所識別。 Microsoft Teams
ChannelName Microsoft Teams通道的名稱。 頻道所在的小組是由 TeamNameTeamGuid 屬性所識別。 Microsoft Teams
用戶端 用於登入事件的用戶端裝置、裝置 OS 和裝置瀏覽器 (例如 Nokia Lumia 920;Windows Phone 8;IE Mobile 11) 。 Azure Active Directory
ClientInfoString 用來執行作業的電子郵件用戶端相關資訊,例如瀏覽器版本、Outlook版本和行動裝置資訊 Exchange (信箱活動)
ClientIP 記錄活動時所使用裝置的 IP 位址。 IP 位址會以 IPv4 或 IPv6 位址格式顯示。

針對某些服務,此屬性中顯示的值可能是受信任應用程式的 IP 位址 (例如,Office 網頁版應用程式) 代表使用者呼叫服務,而不是執行活動人員所使用之裝置的 IP 位址。

此外,對於系統帳戶所執行的系統管理活動 (或) Azure Active Directory相關事件的活動,不會記錄 IP 位址,且 ClientIP 屬性的值為 null
Azure Active Directory、Exchange、SharePoint
CreationTime 國際標準時間的日期和時間 (使用者執行活動時的 UTC) 。 全部
DestinationFileExtension 複製或移動之檔案的副檔名。 這個屬性只會針對 FileCopied 和 FileMoved 使用者活動顯示。 SharePoint
DestinationFileName 檔案名會複製或移動。 這個屬性只會針對 FileCopied 和 FileMoved 動作顯示。 SharePoint
DestinationRelativeUrl 複製或移動檔案之目的地資料夾的 URL。 SiteURLDestinationRelativeURLDestinationFileName 屬性的值組合與 ObjectID 屬性的值相同,也就是所複製檔案的完整路徑名稱。 這個屬性只會針對 FileCopied 和 FileMoved 使用者活動顯示。 SharePoint
EventSource 識別SharePoint中發生的事件。 可能的值 為 SharePointObjectModel SharePoint
ExternalAccess 針對Exchange系統管理員活動,指定 Cmdlet 是由您組織中的使用者、Microsoft 資料中心人員或資料中心服務帳戶,還是由委派的系統管理員執行。 False 值表示 Cmdlet 是由您組織中的某人所執行。 值 True 表示 Cmdlet 是由資料中心人員、資料中心服務帳戶或委派的系統管理員所執行。
針對Exchange信箱活動,指定組織外部的使用者是否存取信箱。
Exchange
ExtendedProperties Azure Active Directory事件的擴充屬性。 Azure Active Directory
ID 報表專案的識別碼。 識別碼可唯一識別報表專案。 全部
InternalLogonType 保留給內部使用。 Exchange (信箱活動)
ItemType 已存取或修改的物件類型。 可能的值包括 [檔案]、 [資料夾]、[ Web]、[ 網站]、[ 租使用者] 和 [DocumentLibrary] SharePoint
LoginStatus 識別可能發生的登入失敗。 Azure Active Directory
LogonType 信箱存取的類型。 下列值指出存取信箱的使用者類型。

0 - 指出信箱擁有者。
1 - 指出系統管理員。
2 - 表示委派。
3 - 指出 Microsoft 資料中心的傳輸服務。
4 - 指出 Microsoft 資料中心內的服務帳戶。
6 - 指出委派的系統管理員。
Exchange (信箱活動)
MailboxGuid 存取之信箱的Exchange GUID。 Exchange (信箱活動)
MailboxOwnerUPN 擁有所存取信箱之人員的電子郵件地址。 Exchange (信箱活動)
成員 列出已從小組新增或移除的使用者。 下列值指出已指派使用者的角色類型。

1 - 指出擁有者角色。
2 - 代表「成員」角色。
3 - 代表「來賓」角色。

成員屬性也會包含貴組織名稱與成員的電子郵件。
Microsoft Teams
ModifiedProperties (Name、NewValue、OldValue) 屬性包含在系統管理事件中,例如將使用者新增為網站或網站集合系統管理員群組的成員。 屬性包含已修改 (的屬性名稱,例如,Site Admin 群組) 修改屬性的新值 (例如新增為網站管理員的使用者,以及修改物件的先前值。 所有 (系統管理活動)
ObjectId 針對Exchange系統管理員稽核記錄,這是 Cmdlet 修改的物件名稱。
針對SharePoint活動,使用者所存取之檔案或資料夾的完整 URL 路徑名稱。
針對Azure AD活動,為已修改的使用者帳戶名稱。
全部
作業 使用者或系統管理員活動的名稱。 這個屬性的值會對應至 [ 活動 ] 下拉式清單中選取的值。 如果已選取 [顯示所有活動的結果 ],報表會包含所有服務的所有使用者和系統管理員活動專案。 如需稽核記錄中所記錄作業/活動的描述,請參閱在 Office 365中搜尋稽核記錄中的[稽核活動] 索引標籤。
針對Exchange系統管理員活動,此屬性會識別執行的 Cmdlet 名稱。
全部
OrganizationId 貴組織的 GUID。 全部
路徑 存取郵件所在的信箱資料夾名稱。 此屬性也會識別在 其中建立訊息或複製/移動至的資料夾。 Exchange (信箱活動)
參數 針對Exchange系統管理活動,這是與 Operation 屬性中識別的 Cmdlet 搭配使用之所有參數的名稱和值。 Exchange (系統管理活動)
RecordType 記錄所指示的作業類型。 這個屬性工作表示觸發作業的服務或功能。 如需記錄類型清單及其對應的 ENUM 值 (這是稽核記錄) 中 RecordType 屬性中顯示的值,請參閱 稽核記錄類型
ResultStatus 指出 operation 屬性中 指定的動作 () 是否成功。
針對Exchange系統管理員活動,此值為 True (成功) 或 False (失敗) 。
全部
SecurityComplianceCenterEventType 表示活動是合規性入口網站事件。 此屬性的所有合規性中心活動都會有 0 的值。 安全性與合規性中心
SharingType 指派給共用資源之使用者的共用許可權類型。 此使用者是在 UserSharedWith 屬性中識別。 SharePoint
網站 使用者存取之檔案或資料夾所在的網站 GUID。 SharePoint
SiteUrl 使用者存取之檔案或資料夾所在的網站 URL。 SharePoint
SourceFileExtension 使用者所存取之檔案的副檔名。 如果存取的物件是資料夾,則此屬性為空白。 SharePoint
SourceFileName 使用者所存取之檔案或資料夾的名稱。 SharePoint
SourceRelativeUrl 包含使用者存取之檔案的資料夾 URL。 SiteURLSourceRelativeURLSourceFileName 屬性的值組合與 ObjectID 屬性的值相同,這是使用者存取之檔案的完整路徑名稱。 SharePoint
主旨 已存取之訊息的主旨行。 Exchange (信箱活動)
TabType 小組中新增、移除或更新的索引標籤類型。 此屬性的可能值為:

Excel釘選- Excel索引標籤。
充功能 - 所有第一方和協力廠商應用程式;例如類別排程、VSTS 和表單。
附注- OneNote索引標籤。
Pdfpin - PDF 索引標籤。
Powerbi - Power BI索引標籤。
Powerpointpin - PowerPoint索引標籤。
Sharepointfiles - SharePoint索引標籤。
網頁 - 釘選的網站索引標籤。
Wiki 索引標籤 - Wiki 索引標籤。
WorDPIn - Word 索引標籤。
Microsoft Teams
Target (目標) Operation 屬性中 (識別的動作) 執行所在的使用者。 例如,如果來賓使用者新增至SharePoint或 Microsoft 小組,則該使用者會列在此屬性中。 Azure Active Directory
TeamGuid Microsoft Teams中小組的識別碼。 Microsoft Teams
TeamName Microsoft Teams中小組的名稱。 Microsoft Teams
UserAgent 使用者瀏覽器的相關資訊。 此資訊是由瀏覽器提供。 SharePoint
UserDomain 執行動作的使用者 (動作專案) 租使用者組織的身分識別資訊。 Azure Active Directory
UserId 執行動作的使用者 (Operation 屬性中指定的) ,導致記錄被記錄。 稽核記錄中也會包含系統帳戶 (例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) 所執行活動的稽核記錄。 UserId 屬性的另一個常見值是app@sharepoint。 這表示執行活動的「使用者」是在SharePoint中具有必要許可權的應用程式,可執行整個組織的動作, (例如代表使用者、系統管理員或服務搜尋SharePoint網站或OneDrive帳戶) 。

如需詳細資訊,請參閱:
稽核記錄中的 appsharepoint @ 使用者

信箱稽核記錄Exchange系統帳戶
全部
UserKey UserID 屬性中識別之使用者的替代識別碼。 例如,此屬性會針對使用者在 SharePoint 中執行的事件填入 passport 唯一識別碼 (PUID) 。 對於其他服務中發生的事件以及系統帳戶所執行的事件,此屬性也可能指定與 UserID 屬性相同的值。 全部
UserSharedWith 與資源分享的使用者。 如果 Operation 屬性的值是 SharingSet,就會包含這個屬性。 此使用者也會列在報表的 [ 與 共用 ] 資料行中。 SharePoint
UserType 執行作業的使用者類型。 下列值表示使用者類型。

0 - 一般使用者。
2 - 您Microsoft 365組織中的系統管理員。1
3 - Microsoft 資料中心系統管理員或資料中心系統帳戶。
4 - 系統帳戶。
5 - 應用程式。
6 - 服務主體。
7 - 自訂原則。
8 - 系統原則。
全部
版本 指出記錄的 Operation 屬性) 所識別的活動 (版本號碼。 全部
工作負載 發生活動的Microsoft 365服務。 全部

注意

1針對Azure Active Directory相關事件,稽核記錄中不會使用系統管理員的值。 系統管理員所執行活動的稽核記錄會指出一般使用者 (例如 UserType: 0) 執行活動。 UserID 屬性會識別執行活動的一般使用者或系統管理員) (人員。