稽核記錄中的詳細內容
注意
Microsoft 365合規性現在稱為 Microsoft Purview,且合規性區域內的解決方案已重新命名。 如需 Microsoft Purview 的詳細資訊,請參閱 部落格公告。
當您從 Microsoft Purview 合規性入口網站匯出稽核記錄搜尋的結果時,可以選擇下載符合搜尋準則的所有結果。 若要這麼做,請選取 [匯出結果 > ][稽核 記錄搜尋] 頁面上的 [下載所有結果]。 如需詳細資訊,請 參閱搜尋稽核記錄。
當您匯出稽核記錄搜尋的所有結果時,統一稽核記錄的原始資料會複製到下載到本機電腦的 CSV) 檔案 (逗號分隔值。 此檔案包含 AuditData 資料行中每個稽核記錄的其他資訊。 此資料行包含稽核記錄檔記錄中多個屬性的多重值屬性。 每個 屬性:這個多重值 屬性中的值組會以逗號分隔。
下表說明 (所包含的屬性,取決於在 multi-property AuditData 資料行中) 發生事件的服務。 具有此屬性資料行的Office 365服務 會指出包含 屬性之使用者或系統管理員) (服務和活動類型。 如需這些屬性或本主題中可能未列出之屬性的詳細資訊,請參閱 管理活動 API 架構。
提示
您可以在 Excel 中的 Power Query 中使用 JSON 轉換功能,將 AuditData 資料 行分割成多個資料行,讓每個屬性都有自己的資料行。 這樣您就可以排序及篩選一或多個屬性。 若要瞭解如何執行這項操作,請參閱匯出、設定和檢視稽核記錄。
| 屬性 | 描述 | Microsoft 365具有此屬性的服務 |
|---|---|---|
| 演員 | 執行動作的使用者或服務帳戶。 | Azure Active Directory |
| AddOnName | 在小組中新增、移除或更新的附加元件名稱。 Microsoft Teams中的附加元件類型是 Bot、連接器或索引標籤。 | Microsoft Teams |
| AddOnType | 在小組中新增、移除或更新的附加元件類型。 下列值表示附加元件的類型。 1 - 指出 Bot。 2 - 指出連接器。 3 - 指出索引標籤。 |
Microsoft Teams |
| AzureActiveDirectoryEventType | Azure Active Directory事件的類型。 下列值表示事件的類型。 0 - 指出帳戶登入事件。 1 - 指出 Azure 應用程式安全性事件。 |
Azure Active Directory |
| ChannelGuid | Microsoft Teams通道的識別碼。 頻道所在的小組是由 TeamName 和 TeamGuid 屬性所識別。 | Microsoft Teams |
| ChannelName | Microsoft Teams通道的名稱。 頻道所在的小組是由 TeamName 和 TeamGuid 屬性所識別。 | Microsoft Teams |
| 用戶端 | 用於登入事件的用戶端裝置、裝置 OS 和裝置瀏覽器 (例如 Nokia Lumia 920;Windows Phone 8;IE Mobile 11) 。 | Azure Active Directory |
| ClientInfoString | 用來執行作業的電子郵件用戶端相關資訊,例如瀏覽器版本、Outlook版本和行動裝置資訊 | Exchange (信箱活動) |
| ClientIP | 記錄活動時所使用裝置的 IP 位址。 IP 位址會以 IPv4 或 IPv6 位址格式顯示。 針對某些服務,此屬性中顯示的值可能是受信任應用程式的 IP 位址 (例如,Office 網頁版應用程式) 代表使用者呼叫服務,而不是執行活動人員所使用之裝置的 IP 位址。 此外,對於系統帳戶所執行的系統管理活動 (或) Azure Active Directory相關事件的活動,不會記錄 IP 位址,且 ClientIP 屬性的值為 null 。 |
Azure Active Directory、Exchange、SharePoint |
| CreationTime | 國際標準時間的日期和時間 (使用者執行活動時的 UTC) 。 | 全部 |
| DestinationFileExtension | 複製或移動之檔案的副檔名。 這個屬性只會針對 FileCopied 和 FileMoved 使用者活動顯示。 | SharePoint |
| DestinationFileName | 檔案名會複製或移動。 這個屬性只會針對 FileCopied 和 FileMoved 動作顯示。 | SharePoint |
| DestinationRelativeUrl | 複製或移動檔案之目的地資料夾的 URL。 SiteURL、DestinationRelativeURL 和 DestinationFileName 屬性的值組合與 ObjectID 屬性的值相同,也就是所複製檔案的完整路徑名稱。 這個屬性只會針對 FileCopied 和 FileMoved 使用者活動顯示。 | SharePoint |
| EventSource | 識別SharePoint中發生的事件。 可能的值 為 SharePoint 和 ObjectModel。 | SharePoint |
| ExternalAccess | 針對Exchange系統管理員活動,指定 Cmdlet 是由您組織中的使用者、Microsoft 資料中心人員或資料中心服務帳戶,還是由委派的系統管理員執行。 False 值表示 Cmdlet 是由您組織中的某人所執行。 值 True 表示 Cmdlet 是由資料中心人員、資料中心服務帳戶或委派的系統管理員所執行。 針對Exchange信箱活動,指定組織外部的使用者是否存取信箱。 |
Exchange |
| ExtendedProperties | Azure Active Directory事件的擴充屬性。 | Azure Active Directory |
| ID | 報表專案的識別碼。 識別碼可唯一識別報表專案。 | 全部 |
| InternalLogonType | 保留給內部使用。 | Exchange (信箱活動) |
| ItemType | 已存取或修改的物件類型。 可能的值包括 [檔案]、 [資料夾]、[ Web]、[ 網站]、[ 租使用者] 和 [DocumentLibrary]。 | SharePoint |
| LoginStatus | 識別可能發生的登入失敗。 | Azure Active Directory |
| LogonType | 信箱存取的類型。 下列值指出存取信箱的使用者類型。 0 - 指出信箱擁有者。 1 - 指出系統管理員。 2 - 表示委派。 3 - 指出 Microsoft 資料中心的傳輸服務。 4 - 指出 Microsoft 資料中心內的服務帳戶。 6 - 指出委派的系統管理員。 |
Exchange (信箱活動) |
| MailboxGuid | 存取之信箱的Exchange GUID。 | Exchange (信箱活動) |
| MailboxOwnerUPN | 擁有所存取信箱之人員的電子郵件地址。 | Exchange (信箱活動) |
| 成員 | 列出已從小組新增或移除的使用者。 下列值指出已指派使用者的角色類型。 1 - 指出擁有者角色。 2 - 代表「成員」角色。 3 - 代表「來賓」角色。 成員屬性也會包含貴組織名稱與成員的電子郵件。 |
Microsoft Teams |
| ModifiedProperties (Name、NewValue、OldValue) | 屬性包含在系統管理事件中,例如將使用者新增為網站或網站集合系統管理員群組的成員。 屬性包含已修改 (的屬性名稱,例如,Site Admin 群組) 修改屬性的新值 (例如新增為網站管理員的使用者,以及修改物件的先前值。 | 所有 (系統管理活動) |
| ObjectId | 針對Exchange系統管理員稽核記錄,這是 Cmdlet 修改的物件名稱。 針對SharePoint活動,使用者所存取之檔案或資料夾的完整 URL 路徑名稱。 針對Azure AD活動,為已修改的使用者帳戶名稱。 |
全部 |
| 作業 | 使用者或系統管理員活動的名稱。 這個屬性的值會對應至 [ 活動 ] 下拉式清單中選取的值。 如果已選取 [顯示所有活動的結果 ],報表會包含所有服務的所有使用者和系統管理員活動專案。 如需稽核記錄中所記錄作業/活動的描述,請參閱在 Office 365中搜尋稽核記錄中的[稽核活動] 索引標籤。 針對Exchange系統管理員活動,此屬性會識別執行的 Cmdlet 名稱。 |
全部 |
| OrganizationId | 貴組織的 GUID。 | 全部 |
| 路徑 | 存取郵件所在的信箱資料夾名稱。 此屬性也會識別在 其中建立訊息或複製/移動至的資料夾。 | Exchange (信箱活動) |
| 參數 | 針對Exchange系統管理活動,這是與 Operation 屬性中識別的 Cmdlet 搭配使用之所有參數的名稱和值。 | Exchange (系統管理活動) |
| RecordType | 記錄所指示的作業類型。 這個屬性工作表示觸發作業的服務或功能。 如需記錄類型清單及其對應的 ENUM 值 (這是稽核記錄) 中 RecordType 屬性中顯示的值,請參閱 稽核記錄類型。 | |
| ResultStatus | 指出 operation 屬性中 指定的動作 () 是否成功。 針對Exchange系統管理員活動,此值為 True (成功) 或 False (失敗) 。 |
全部 |
| SecurityComplianceCenterEventType | 表示活動是合規性入口網站事件。 此屬性的所有合規性中心活動都會有 0 的值。 | 安全性與合規性中心 |
| SharingType | 指派給共用資源之使用者的共用許可權類型。 此使用者是在 UserSharedWith 屬性中識別。 | SharePoint |
| 網站 | 使用者存取之檔案或資料夾所在的網站 GUID。 | SharePoint |
| SiteUrl | 使用者存取之檔案或資料夾所在的網站 URL。 | SharePoint |
| SourceFileExtension | 使用者所存取之檔案的副檔名。 如果存取的物件是資料夾,則此屬性為空白。 | SharePoint |
| SourceFileName | 使用者所存取之檔案或資料夾的名稱。 | SharePoint |
| SourceRelativeUrl | 包含使用者存取之檔案的資料夾 URL。 SiteURL、SourceRelativeURL 和 SourceFileName 屬性的值組合與 ObjectID 屬性的值相同,這是使用者存取之檔案的完整路徑名稱。 | SharePoint |
| 主旨 | 已存取之訊息的主旨行。 | Exchange (信箱活動) |
| TabType | 小組中新增、移除或更新的索引標籤類型。 此屬性的可能值為: Excel釘選- Excel索引標籤。 擴 充功能 - 所有第一方和協力廠商應用程式;例如類別排程、VSTS 和表單。 附注- OneNote索引標籤。 Pdfpin - PDF 索引標籤。 Powerbi - Power BI索引標籤。 Powerpointpin - PowerPoint索引標籤。 Sharepointfiles - SharePoint索引標籤。 網頁 - 釘選的網站索引標籤。 Wiki 索引標籤 - Wiki 索引標籤。 WorDPIn - Word 索引標籤。 |
Microsoft Teams |
| Target (目標) | 在 Operation 屬性中 (識別的動作) 執行所在的使用者。 例如,如果來賓使用者新增至SharePoint或 Microsoft 小組,則該使用者會列在此屬性中。 | Azure Active Directory |
| TeamGuid | Microsoft Teams中小組的識別碼。 | Microsoft Teams |
| TeamName | Microsoft Teams中小組的名稱。 | Microsoft Teams |
| UserAgent | 使用者瀏覽器的相關資訊。 此資訊是由瀏覽器提供。 | SharePoint |
| UserDomain | 執行動作的使用者 (動作專案) 租使用者組織的身分識別資訊。 | Azure Active Directory |
| UserId | 執行動作的使用者 (Operation 屬性中指定的) ,導致記錄被記錄。 稽核記錄中也會包含系統帳戶 (例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) 所執行活動的稽核記錄。 UserId 屬性的另一個常見值是app@sharepoint。 這表示執行活動的「使用者」是在SharePoint中具有必要許可權的應用程式,可執行整個組織的動作, (例如代表使用者、系統管理員或服務搜尋SharePoint網站或OneDrive帳戶) 。 如需詳細資訊,請參閱: 稽核記錄中的 appsharepoint @ 使用者 或 信箱稽核記錄Exchange系統帳戶。 |
全部 |
| UserKey | UserID 屬性中識別之使用者的替代識別碼。 例如,此屬性會針對使用者在 SharePoint 中執行的事件填入 passport 唯一識別碼 (PUID) 。 對於其他服務中發生的事件以及系統帳戶所執行的事件,此屬性也可能指定與 UserID 屬性相同的值。 | 全部 |
| UserSharedWith | 與資源分享的使用者。 如果 Operation 屬性的值是 SharingSet,就會包含這個屬性。 此使用者也會列在報表的 [ 與 共用 ] 資料行中。 | SharePoint |
| UserType | 執行作業的使用者類型。 下列值表示使用者類型。 0 - 一般使用者。 2 - 您Microsoft 365組織中的系統管理員。1 3 - Microsoft 資料中心系統管理員或資料中心系統帳戶。 4 - 系統帳戶。 5 - 應用程式。 6 - 服務主體。 7 - 自訂原則。 8 - 系統原則。 |
全部 |
| 版本 | 指出記錄的 Operation 屬性) 所識別的活動 (版本號碼。 | 全部 |
| 工作負載 | 發生活動的Microsoft 365服務。 | 全部 |
注意
1針對Azure Active Directory相關事件,稽核記錄中不會使用系統管理員的值。 系統管理員所執行活動的稽核記錄會指出一般使用者 (例如 UserType: 0) 執行活動。 UserID 屬性會識別執行活動的一般使用者或系統管理員) (人員。