你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Office 通信合规性审核日志。 用于监视策略合规性违规。
表属性
| 属性 | 价值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性、审核 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是的 |
| 引入时间转换 | 否 |
| 示例查询 | 是 |
列
| 列 | 类型 | 描述 |
|---|---|---|
| 演员姓名 | 字符串 | 执行导致记录被记录的操作(在操作属性中指定)的用户的 UPN(用户主体名称);例如,my_name@my_domain_name。 请注意,还包括系统帐户(例如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM)执行的活动的记录。 在 SharePoint 中,UserId 属性中的另一个数值显示为 app@sharepoint。 这表明执行活动的“用户”是在 SharePoint 中拥有必要权限的应用程序,代表用户、管理员或服务执行组织范围内操作(例如,搜索 SharePoint 网站或 OneDrive 帐户)。 有关详细信息,请查看审核记录中的 app@sharepoint 用户。 |
| ActorUserId | 字符串 | UserId 属性中标识的用户的备用 ID。 例如,此属性由 SharePoint、OneDrive for Business 和 Exchange 中用户执行的事件的 Passport 唯一 ID (PUID) 进行填充。 此属性还可为其他服务中发生的事件以及系统帐户执行的事件指定与 UserID 属性相同的值。 |
| 演员用户类型 | 字符串 | 执行操作的用户的类型。 可能的类型包括:管理、系统、应用程序、服务主体和其他。 |
| _BilledSize(账单大小) | real | 记录大小(字节) |
| 事件原始类型 | 字符串 | 执行活动的用户或管理员的名称。 有关最常见操作/活动的说明,请参阅在 Office 365 保护中心“搜索审核日志”。 对于 Exchange 管理员活动,此属性标识已运行的 cmdlet 名称。 对于 DLp 事件,这可以是“DLP 架构”下描述的“DlpRuleMatch”、“DlpRuleUndo”或“DlpInfo”。 |
| EventOriginalUid | 字符串 | 审核记录的唯一标识符。 |
| EventProduct | 字符串 | Microsoft 服务名称。 |
| EventVendor | 字符串 | 供应商服务名称。 |
| _IsBillable | 字符串 | 指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsPolicyHit | 布尔 | 指示是否已命中所定义的策略。 |
| 对象标识符 (ObjectId) | 字符串 | 对于 SharePoint 和 OneDrive for Business 活动,用户访问的文件或文件夹的完整路径名称。 对于 Exchange 管理员审核日志,通过 cmdlet 修改的对象的名称。 |
| 组织ID | 字符串 | 组织的 Office 365 租户的 GUID。 无论发生在哪种 Office 365 服务中,组织中的此值均保持不变。 |
| 记录类型 | 字符串 | 记录指示的操作类型。 有关审核日志记录类型的详细信息表,请参阅 AuditLogRecordType 表。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager,无论是直接连接还是通过 Operations Manager,适用于所有 Linux 代理的 Linux,以及适用于 Azure 诊断的 Azure。 |
| SRPolicyId | 字符串 | 策略 ID。 |
| SRPolicyName | 字符串 | 策略名称 |
| SRRuleMatchDetails | 动态的 | 策略匹配。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 用户执行活动的日期和时间 (UTC)。 |
| 类型 | 字符串 | 表的名称 |
| 用户类型 | 字符串 | 执行操作的用户的类型。 |
| 工作负荷 | 字符串 | 发生活动的 Office 365 服务。 |