Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При экспорте результатов поиска по журналам аудита на портале Microsoft Purview можно скачать все результаты, соответствующие условиям поиска. Эти сведения можно экспортировать, выбрав Экспорт результатов>Скачать все результаты на странице Поиска по журналу аудита . Дополнительные сведения см. в разделе Поиск в журнале аудита.
При экспорте всех результатов поиска по журналу аудита необработанные данные из единого журнала аудита копируются в CSV-файл с разделиющимися запятыми (CSV- файл), скачанный на локальный компьютер. Этот файл содержит дополнительные сведения о свойствах из каждой записи действия аудита в столбце AuditData. Этот столбец содержит свойство с несколькими значениями для нескольких свойств из записи журнала аудита. Каждая из пар property: value в этом многозначном свойстве разделена запятой.
В следующей таблице описаны свойства действия, включенные (в зависимости от службы, в которой происходит действие) в столбце AuditData с несколькими свойствами. Служба Майкрософт, содержащая этот столбец свойств, указывает службу и тип действия (пользователя или администратора), включающего свойство . Дополнительные сведения об этих свойствах или свойствах, которые могут не быть перечислены в этой статье, см. в разделе Схема API действий управления.
Совет
Функцию преобразования JSON можно использовать в Power Query в Excel, чтобы разделить столбец AuditData на несколько столбцов, чтобы каждое свойство было собственным. Эта функция позволяет выполнять сортировку и фильтрацию по одному или нескольким из этих свойств. Пошаговые инструкции см. в статье Экспорт, настройка и просмотр записей журнала аудита.
| Свойство | Описание | Служба Майкрософт с этим свойством |
|---|---|---|
| Actor | Учетная запись пользователя или службы, которая выполнила действие. | Microsoft Entra ID |
| AddOnName | Имя надстройки, которая была добавлена, удалена или обновлена в команде. Тип надстроек в Microsoft Teams — это бот, соединитель или вкладка. | Microsoft Teams |
| AddOnType | Тип надстройки, которая была добавлена, удалена или обновлена в команде. Следующие значения указывают тип надстройки. 1 — указывает бота. 2 — указывает соединитель. 3 — указывает вкладку. |
Microsoft Teams |
| AppAccessContext | Контекст приложения пользователя или субъекта-службы, которые выполнили действие. | Microsoft Teams |
| ArtifactShared | Files или содержимое, к которым предоставлен доступ пользователю. | Microsoft Teams |
| AzureActiveDirectoryEventType | Тип действия Microsoft Entra ID. Следующие значения указывают тип действия. 0 — указывает действие входа в учетную запись. 1 — указывает Azure действие безопасности приложения. |
Microsoft Entra ID |
| ChannelGuid | Идентификатор канала Microsoft Teams. Команда, в которую находится канал, определяется свойствами TeamName и TeamGuid . | Microsoft Teams |
| ChannelName | Имя канала Microsoft Teams. Команда, в которую находится канал, определяется свойствами TeamName и TeamGuid . | Microsoft Teams |
| Клиент | Клиентское устройство, ОС устройства и браузер устройства, используемые для входа (например, Nokia Lumia 920; Windows Phone 8; IE Mobile 11). | Microsoft Entra ID |
| ClientInfoString | Сведения о почтовом клиенте, который использовался для выполнения операции, такие как версия браузера, версия Outlook и сведения о мобильном устройстве | Exchange (действие почтового ящика) |
| ClientIP | IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. Кроме того, для действий администратора (или действий, выполняемых системной учетной записью) для действий, связанных с Microsoft Entra ID, IP-адрес не регистрируется, а значение свойства ClientIP равно null. |
Microsoft Entra ID, Exchange, SharePoint |
| CreationTime | Дата и время в формате UTC, когда создается запись журнала аудита. | Все |
| CurrentProtectionType | Сложный тип свойства, содержащий поля для описания текущего состояния защиты документа. Включает следующее: ProtectionType: перечисляет тип защиты, применяемый к документу. Применяются следующие значения и их значения: 0 (без защиты), 1 (защита на основе шаблона), 2 (не пересылать, для электронной почты), 3 (только шифрование) и 4 (настраиваемая защита, настроенная пользователем) Владелец: адрес электронной почты пользователя, настроив защиту. TemplateId: если параметру ProtectionType присвоено значение 1 (шаблон), это поле содержит GUID шаблона, примененного к документу. Если значение ProtectionType не равно 1, это поле будет пустым. DocumentEncrypted: логический флаг, указывающий, применяется ли к документу какой-либо тип шифрования. Значения: True или False. |
Все |
| DestinationFileExtension | Расширение скопированного или перемещенного файла. Это свойство отображается только для действий пользователя FileCopied и FileMoved. | SharePoint |
| DestinationFileName | Имя файла копируется или перемещается. Это свойство отображается только для действий FileCopied и FileMoved. | SharePoint |
| DestinationRelativeUrl | URL-адрес конечной папки, в которую копируется или перемещается файл. Сочетание значений для SiteURL, DestinationRelativeURL и Свойства DestinationFileName совпадает со значением свойства ObjectID , которое представляет собой полное имя пути к скопированному файлу. Это свойство отображается только для действий пользователя FileCopied и FileMoved. | SharePoint |
| EventSource | Определяет, что произошло действие в SharePoint. Возможные значения: SharePoint и ObjectModel. | SharePoint |
| ExtendedProperties | Расширенные свойства для действий Microsoft Purview и Microsoft Entra ID. | Microsoft Entra ID Microsoft Purview |
| ExternalAccess | Для действий администратора Exchange указывает, был ли командлет запущен пользователем в вашей организации, персоналом центра обработки данных Майкрософт или учетной записью службы центра обработки данных или делегированным администратором. Значение False означает, что командлет был запущен пользователем в вашей организации. Значение True значит, что командлет запустили сотрудник центра данных Майкрософт, учетная запись службы центра данных или полномочный администратор. Для действия почтового ящика Exchange указывает, был ли доступ к почтовому ящику пользователю за пределами вашей организации. |
Exchange |
| ИД | Идентификатор записи отчета. Идентификатор однозначно идентифицирует запись отчета. | Все |
| InternalLogonType | Зарезервировано для внутреннего использования. | Exchange (действие почтового ящика) |
| IsJoinedFromLobby | Независимо от того, присоединился ли пользователь к сеансу Teams из лобби. | Microsoft Teams |
| ItemType | Тип объекта, который был открыт или изменен. Возможные значения: File, Folder, Web, Site, Tenant и DocumentLibrary. | SharePoint |
| LoginStatus | Определяет сбои входа, которые могли возникнуть. | Microsoft Entra ID |
| LogonType | Тип доступа к почтовому ящику. Следующие значения указывают тип пользователя, который обращается к почтовому ящику. 0 — указывает владельца почтового ящика. 1 — указывает администратора. 2 — указывает делегат. 3 — указывает транспортную службу в центре обработки данных Майкрософт. 4 — указывает учетную запись службы в центре обработки данных Майкрософт. 6 — указывает делегированного администратора. |
Exchange (действие почтового ящика) |
| MailboxGuid | GUID почтового ящика Exchange, к которому получен доступ. | Exchange (действие почтового ящика) |
| MailboxOwnerUPN | Адрес электронной почты пользователя, владеющего почтовым ящиком, к которому получен доступ. | Exchange (действие почтового ящика) |
| Members | Список пользователей, которые были добавлены или удалены из команды. Перечисленные ниже значения указывают на тип роли, назначенной пользователю. 1 — указывает роль участника. 2 — указывает роль владельца. 3 — указывает на роль "Гость". Свойство Members также включает название организации и адрес электронной почты участника. |
Microsoft Teams |
| ModifiedProperties (Name, NewValue, OldValue) | Свойство включается для действий администратора, таких как добавление пользователя в качестве члена сайта или группы администраторов семейства веб-сайтов. Свойство включает имя измененного свойства (например, группа Администратор сайта), новое значение измененного свойства (например, пользователь, который был добавлен в качестве администратора сайта, и предыдущее значение измененного объекта). | Все (действия администратора) |
| NewValue | Значение после изменения включает все свойства, обновленные или удаленные. | Microsoft Purview (управление) |
| ObjectFullyQualifiedName | Полное имя сущности. | Microsoft Purview (управление) |
| ObjectId | Что касается ведения журнала аудита действий администратора Exchange, это имя объекта, измененного командлетом. Для действия SharePoint — полное имя URL-адреса файла или папки, к которым обращается пользователь. Для Microsoft Entra ID действия — имя измененной учетной записи пользователя. |
Все |
| ObjectName | Имя основной сущности. | Microsoft Purview (управление) |
| ObjectType | Тип сущности. | Microsoft Purview (управление) |
| OldValue | Значение перед изменением включает все обновленные или удаленные свойства. | Microsoft Purview (управление) |
| Operation | Название действия пользователя или администратора. Значение этого свойства соответствует значению, выбранному в раскрывающемся списке Действия . Если выбран параметр Показать результаты для всех действий , отчет содержит записи для всех действий пользователей и администраторов для всех служб. Описание операций и действий, зарегистрированных в журнале аудита, см. на вкладке Действия аудита в разделе Поиск в журнале аудита. Что касается действий администратора Exchange, это свойство определяет имя запущенного командлета. |
Все |
| OrganizationId | GUID для организации. | Все |
| Параметры | Для действий администратора Exchange — имя и значение всех параметров, которые использовались с командлетом, указанным в свойстве Operation. | Exchange (действия администратора) |
| УчастникИнфо | Дополнительные свойства удостоверения участника. | Microsoft Teams |
| ParticipatingDomainInformation | Сведения о домене участника. | Microsoft Teams |
| Path | Имя папки почтового ящика, где расположено сообщение, к которому получен доступ. Это свойство также идентифицирует папку , в которую создается сообщение, в которое копируется или перемещается. | Exchange (действие почтового ящика) |
| PreviousProtectionType | Сложный тип свойства, содержащий поля для описания предыдущего состояния защиты документа. Включает следующее: ProtectionType: перечисляет тип защиты, применяемый к документу. Применяются следующие значения и их значения: 0 (без защиты), 1 (защита на основе шаблона), 2 (не пересылать сообщения электронной почты), 3 (только шифрование), 4 (настраиваемая защита, настроенная пользователем) Владелец: адрес электронной почты пользователя, настроив защиту. TemplateId: если параметру ProtectionType присвоено значение 1 (шаблон), это поле содержит GUID шаблона, примененного к документу. Если значение ProtectionType не равно 1, это поле будет пустым. DocumentEncrypted: логический флаг, указывающий, применяется ли к документу какой-либо тип шифрования. Значения: True или False. |
Все |
| ProtectionEventType | Перечисляет изменение защиты в ходе проверяемой операции. Применяются следующие значения и значения: 0 — указывает без изменений. 1 — указывает, что добавлено. 2 — указывает, изменено. 3 — указывает, удалено. |
Все |
| RecordType | Тип операции, указанный в записи. Это свойство указывает службу или функцию, в которую была активирована операция. Список типов записей и соответствующее им значение ENUM (которое является значением, отображаемым в свойстве RecordType в записи аудита) см. в разделе Тип записи журнала аудита. | |
| ResultStatus | Указывает, было ли действие (указанное в свойстве Operation ) успешным или нет. Для действий администратора Exchange значение равно True (успешно) или False (сбой). |
Все |
| SecurityComplianceCenterEventType | Указывает, что действие было действием портала Microsoft Purview. Все действия портала Microsoft Purview имеют значение 0 для этого свойства. | Портал Microsoft Purview |
| SensitivityLabel | Метка конфиденциальности, назначенная конкретному почтовому элементу. | Exchange |
| SharingType | Тип разрешений общего доступа, назначенных пользователю, с которым вы предоставили общий доступ к ресурсу. Этот пользователь идентифицируется в свойстве UserSharedWith . | SharePoint |
| Site | GUID сайта, на котором расположены файл или папка, к которым получил доступ пользователь. | SharePoint |
| SiteUrl | URL-адрес сайта, на котором расположены файл или папка, к которым получил доступ пользователь. | SharePoint |
| SourceFileExtension | Расширение файла, к которому пользователь обращается. Это свойство пустое, если объект, к которому получен доступ, представляет собой папку. | SharePoint |
| SourceFileName | Имя файла или папки, к которым получил доступ пользователь. | SharePoint |
| SourceRelativeUrl | URL-адрес папки, содержащей файл, к которому обращается пользователь. Сочетание значений для SiteURL, SourceRelativeURL и свойства SourceFileName совпадает со значением свойства ObjectID , которое является полным именем пути к файлу, к которому обращается пользователь. | SharePoint |
| Subject | Строка темы сообщения, к которому получен доступ. | Exchange (действие почтового ящика) |
| TabType | Тип вкладки, добавленной, удаленной или обновленной в команде. Вот возможные значения этого свойства: Закрепление Excel — вкладка Excel. Расширение — все сторонние и сторонние приложения; например, Class Schedule, VSTS и Forms. Заметки — вкладка OneNote. Pdfpin — вкладка PDF. Powerbi — вкладка Power BI. Powerpointpin — вкладка PowerPoint. Sharepointfiles — вкладка SharePoint. Веб-страница — закрепленная вкладка веб-сайта. Вики-вкладка — вики-вкладка . Wordpin — вкладка Word. |
Microsoft Teams |
| Target | Пользователь, с которым было выполнено действие (определенное в свойстве Operation ). Например, если гость добавлен в SharePoint или Microsoft Team, этот пользователь будет указан в этом свойстве. | Microsoft Entra ID |
| TeamGuid | Идентификатор команды в Microsoft Teams. | Microsoft Teams |
| TeamName | Имя команды в Microsoft Teams. | Microsoft Teams |
| UserAgent | Сведения о браузере пользователя. Эти сведения предоставляются в браузере. | SharePoint |
| UserDomain | Сведения об удостоверении организации клиента пользователя (субъекта), выполнившего действие. | Microsoft Entra ID |
| UserId | Пользователь, выполнивший действие (указанное в свойстве Operation ), которое привело к регистрации записи. Записи аудита для действий, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM), также включаются в журнал аудита. Другим общим значением для свойства UserId является app@sharepoint. Это значение указывает, что "пользователь", выполнивший действие, был приложением, которое имеет необходимые разрешения в SharePoint для выполнения действий в масштабах организации (таких как поиск по сайту SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе: Пользователь app@sharepoint в записях аудита или Системные учетные записи в записях аудита почтовых ящиков Exchange. |
Все |
| UserKey | Содержит допустимый идентификатор объекта Microsoft Entra ID в формате GUID или шестнадцатеричном формате. В случаях, когда основной субъект не является пользователем, UserKey является пустой строкой. Дополнительные сведения о различных сценариях UserKey см. в разделах Сценарии UserType и UserKey. | Все |
| UserType | Тип пользователя, который выполнил операцию. Дополнительные сведения о различных сценариях UserType см. в разделах Сценарии UserType и UserKey. | Все |
| Версия | Указывает номер версии действия (определяемого свойством Operation ), которое регистрируется в журнале. | Все |
| Workload | Служба Microsoft 365, в которой произошло действие. | Все |
Сценарии UserType и UserKey
В следующей таблице приведены сведения о сценариях UserType и UserKey .
| Значение | Имя члена UserType | Описание | UserKey |
|---|---|---|---|
| 0 | Regular | Обычный пользователь без разрешений администратора. | Microsoft Entra идентификатор объекта в формате GUID |
| 2 | Admin | Администратор в организации Microsoft 365. 1 | Microsoft Entra идентификатор объекта в формате GUID |
| 3 | DCAdmin | Администратор центра обработки данных Майкрософт или системная учетная запись центра обработки данных. | Microsoft Entra идентификатор объекта в формате GUID |
| 4 | System | Событие аудита, активируется логикой на стороне сервера. Например, службы Windows или фоновые процессы. | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
| 5 | Application | Событие аудита, активируется приложением Microsoft Entra. | Microsoft Entra имя приложения или идентификатор приложения (если доступно). В противном случае — пустая строка. |
| 6 | ServicePrincipal | Субъект-служба. | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
| 7 | CustomPolicy | Клиент, созданная или управляемая политика. | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
| 8 | SystemPolicy | Под управлением Майкрософт или системная политика. | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
| 9 | PartnerTechnician | Пользователь клиента партнера, работающий от имени клиента клиента (в сценариях GDAP ). | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
| 10 | Guest | Гостевой или анонимный пользователь. | Guid.Empty.ToString() (или значение "0000000000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000) guid.Empty.ToString() (или значение "0 |
| 11 | Агент | Агент ИИ | Microsoft Entra идентификатор объекта основного агента в формате GUID. |
Примечание.
1 Для Microsoft Entra связанных событий значение администратора не используется в записи аудита. Записи аудита для действий, выполняемых администраторами, указывают на то, что обычный пользователь (например, UserType: 0) выполнил действие. Свойство UserID идентифицирует пользователя (обычного пользователя или администратора), выполнившего действие.
Дальнейшие действия
- Поиск по журналу аудита. Используйте свои знания о свойствах аудита для создания целевых поисковых запросов на портале Microsoft Purview.
- Экспорт, настройка и просмотр записей журнала аудита. Экспорт и интерпретация записей аудита с помощью определений свойств из этой статьи.
- Сведения о свойствах в записях аудита Exchange. Ознакомьтесь со сведениями о свойствах записей аудита, относящихся к Exchange, для сценариев исследования почтовых ящиков.