你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Sentinel 收集的 Office 365 租户的审核日志。 包括 Exchange、SharePoint 和 Teams 日志。
表属性
| 属性 | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决 方案 | AzureSentinelPrivatePreview、SecurityInsights |
| 基本日志 | 否 |
| 引入时转换 | 是 |
| 示例查询 | 是的 |
列
| 列 | 类型 | 描述 |
|---|---|---|
| AADGroupId | 字符串 | Azure Active Directory 组 ID |
| AADTarget | 字符串 | 所执行操作(由 Operation 属性标识)针对的用户 |
| 活动 | 字符串 | 用户执行的活动。 |
| 演员 | 字符串 | 执行操作的用户或服务主体 |
| ActorContextId | 字符串 | 参与者所属的组织的 GUID |
| 操作者IP地址 | 字符串 | 采用 IPV4 或 IPV6 地址格式的参与者 IP 地址 |
| AddOnGuid | 字符串 | 生成此事件的加载项的唯一标识符 |
| AddonName | 字符串 | 生成此事件的加载项的名称 |
| AddOnType | 字符串 | 生成此事件的加载项的类型 |
| 受影响的项目 | 字符串 | 组中每个项目的相关信息 |
| 应用访问上下文 (AppAccessContext) | 动态 | 执行该操作的用户或服务主体的应用程序上下文。 |
| 应用分发模式 | 字符串 | 应用程序分发模式 |
| AppId | 字符串 | 应用程序 ID |
| 应用程序 | 字符串 | 应用程序名称 |
| ApplicationId | 字符串 | SharePoint 应用程序 ID |
| AppPoolName | 字符串 | 应用池名称 |
| ArtifactsShared | 动态 | 会议中分享的文物。 |
| 与会者 | 动态 | 会议的与会者列表。 |
| AzureActiveDirectory_EventType | 字符串 | Azure AD 事件的类型 |
| AzureADAppId | 字符串 | Teams 应用程序 Azure AD ID |
| _BilledSize(账单大小) | 实数 | 记录大小(字节) |
| ChannelGuid | 字符串 | 审核中的频道的唯一标识符 |
| 频道名称 | 字符串 | 审核中的频道名称 |
| 通道类型 | 字符串 | 审核中的频道类型(标准/私有) |
| 聊天名称 | 字符串 | 聊天的名称 |
| ChatThreadId | 字符串 | 聊天线程的 ID |
| 客户 | 字符串 | 有关客户端设备、设备操作系统和用于帐户登录事件的设备浏览器的详细信息 |
| 客户端_IP地址 (Client_IPAddress) | 字符串 | 记录操作时所用的设备的 IP 地址 |
| ClientAppId | 字符串 | 客户端应用程序 ID |
| 客户信息字符串 | 字符串 | 有关用于执行操作的电子邮件客户端的信息 |
| 客户端IP地址 | 字符串 | 记录活动时使用的设备的 IP 地址 |
| 客户端计算机名称 | 字符串 | 托管 Outlook 客户端的计算机名称 |
| 客户端进程名称 | 字符串 | 用于访问邮箱的电子邮件客户端 |
| 客户端版本 | 字符串 | 电子邮件客户端的版本 |
| 通信类型 | 字符串 | 进行的通信的类型 |
| CrossMailboxOperations | 布尔 | 表示操作是否涉及多个邮箱 |
| 自定义事件 (CustomEvent) | 字符串 | 自定义事件的可选字符串 |
| 数据中心安全事件类型 | 整数 (int) | 锁定框中 dmdlet 事件的类型 |
| DestFolder | 字符串 | 目标文件夹 |
| DestinationFileExtension | 字符串 | 复制或移动的文件的文件扩展名 |
| 目标文件名 | 字符串 | 复制或移动的文件的名称 |
| DestinationRelativeUrl | 字符串 | 复制或移动文件的目标文件夹的 URL |
| DestMailboxId | 字符串 | 仅在 CrossMailboxOperations 参数为 True 时设置 |
| 目标邮箱所有者主账户SID | 字符串 | 仅在 CrossMailboxOperations 参数为 True 时设置 |
| DestMailboxOwnerSid | 字符串 | 仅在 CrossMailboxOperations 参数为 True 时设置 |
| DestMailboxOwnerUPN | 字符串 | 仅在 CrossMailboxOperations 参数为 True 时设置 |
| 设备信息 | 字符串 | 用户设备信息。 |
| 有效组织 | 字符串 | 提升/cmdlet 面向的租户的名称 |
| ElevationApprovedTime | 日期/时间 | 提升获得批准时的时间戳 |
| ElevationApprover | 字符串 | Microsoft 管理器的名称 |
| 高程持续时间 | 整数 (int) | 提升处于活动状态的持续时间(以小时为单位) |
| ElevationRequestId | 字符串 | 提升请求的唯一标识符 |
| ElevationRole | 字符串 | 为其请求提升的角色 |
| 海拔时间 | 日期/时间 | 提升的开始时间 |
| 事件_数据 | 字符串 | 自定义事件的可选有效负载 |
| 事件源 | 字符串 | 确定事件在 SharePoint 中发生。 可能的值有 SharePoint 或 ObjectModel |
| 扩展属性 | 字符串 | Azure AD 事件的扩展属性 |
| 外部访问 | 字符串 | 指定 cmdlet 是否由组织中的用户运行 |
| ExtraProperties | 动态 | 额外属性的列表 |
| 文件夹 | 字符串 | 一组项所在的文件夹 |
| 文件夹 | 字符串 | 有关操作中涉及的源文件夹的信息 |
| GenericInfo | 字符串 | 用于注释和其他通用信息 |
| 内部登录类型 | 整数 (int) | 保留供内部使用 |
| InterSystemsId | 字符串 | 跨 Office 365 服务内的组件跟踪操作的 GUID |
| IntraSystemId | 字符串 | 由 Azure Active Directory 生成用于跟踪操作的 GUID |
| _IsBillable | 字符串 | 指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsJoinedFromLobby | 布尔 | 指示用户是否从大厅加入。 |
| IsManagedDevice | 布尔 | 指示操作是否由组织管理的设备创建 |
| 条目 | 字符串 | 表示操作所针对的项目 |
| 项目名称 | 字符串 | 电子邮件的“主题”字段中的字符串 |
| 项目类型 | 字符串 | 访问或修改的对象的类型。 请参阅 ItemType 表,详细了解对象类型 |
| JoinTime | 日期/时间 | 用户加入会议的时间。 |
| 休假时间 | 日期/时间 | 用户离开会议的时间。 |
| 登录状态 | 整数 (int) | 此属性直接从 OrgIdLogon.LoginStatus 获取。 可通过警报算法完成各种有趣的登录失败事件的映射 |
| 登录类型 | 字符串 | 表示访问邮箱并执行所记录的操作的用户类型 |
| 登录用户显示名称 | 字符串 | 执行操作的用户的用户友好名称 |
| 登录用户SID | 字符串 | 执行操作的用户的 SID |
| MachineDomainInfo | 字符串 | 有关设备同步操作的信息 |
| 机器ID | 字符串 | 有关设备同步操作的信息 |
| MailboxGuid | 字符串 | 所访问邮箱的 Exchange GUID |
| MailboxOwnerMasterAccountSid | 字符串 | 邮箱所有者帐户的主帐户 SID |
| 邮箱拥有者SID | 字符串 | 邮箱所有者的 SID |
| 邮箱所有者UPN | 字符串 | 拥有所访问邮箱的人员的电子邮件地址 |
| MeetingDetailId | 字符串 | 会议详细信息 ID。 |
| 成员 | 动态 | 团队中的用户列表 |
| MessageId | 字符串 | 聊天或频道消息的标识符 |
| 修改对象解析名称 | 字符串 | 这是由 cmdlet 修改的对象的用户友好名称 |
| ModifiedProperties | 字符串 | 包含此属性用于管理员事件,例如将用户添加为网站成员或网站集管理员组的成员 |
| 名称 | 字符串 | 仅适用于设置事件。 已更改的设置的名称 |
| NewValue | 字符串 | 仅适用于设置事件。 设置的新值 |
| OfficeId | 字符串 | 审核记录的唯一标识符 |
| OfficeObjectId | 字符串 | 适用于 SharePoint 和 OneDrive for Business 活动 |
| 办公室租户ID | 字符串 | Office 租户 ID |
| 办公室工作量 | 字符串 | 发生活动的 Office 365 服务 |
| OldValue | 字符串 | 仅适用于设置事件。 设置的旧值 |
| 操作 | 字符串 | 用户正在执行的操作的名称 |
| OperationProperties | 动态 | 其他操作属性 |
| OperationScope | 字符串 | 执行操作的范围 |
| 组织ID | 字符串 | 组织的 Office 365 租户的 GUID。 对于贵组织,此值始终相同 |
| 组织名称 | 字符串 | 租户的名称 |
| OriginatingServer | 字符串 | 从中执行 cmdlet 的服务器的名称 |
| 参数 | 字符串 | 与 Operations 属性中标识的 cmdlet 结合使用的所有参数的名称和值 |
| 记录类型 | 字符串 | 记录指示的操作类型。 有关审核日志记录类型的详细信息表,请参阅 AuditLogRecordType 表 |
| _资源ID | 字符串 | 与记录关联的资源的唯一标识符 |
| 结果原因类型 | 字符串 | ResultType 中报告的结果的原因 |
| 结果状态 | 字符串 | 指示操作(在 Operation 属性中指定)是成功还是失败 |
| 以用户邮箱GUID发送 (SendAsUserMailboxGuid) | 字符串 | 为发送电子邮件而访问的邮箱的 Exchange GUID |
| 以用户身份发送SMTP | 字符串 | 被模拟用户的 SMTP 地址 |
| 代表用户的邮箱 GUID | 字符串 | 为代替发送邮件而访问的邮箱的 Exchange GUID |
| SendOnBehalfOfUserSmtp | 字符串 | 以其名义发送电子邮件的用户的 SMTP 地址 |
| 共享类型 | 字符串 | 分配给与其共享资源的用户的共享权限类型。 此用户由 UserSharedWith 参数识别 |
| 网站_ | 字符串 | 用户访问的文件或文件夹所在的站点的 GUID |
| 网站_网址 | 字符串 | 用户访问的文件或文件夹所在的站点的 URL |
| Source_Name | 字符串 | 触发已审核操作的实体。 可能的值有 SharePoint 或 ObjectModel |
| SourceFileExtension | 字符串 | 用户访问的文件的文件扩展名 |
| SourceFileName | 字符串 | 用户访问的文件或文件夹的名称 |
| 源记录编号 | 字符串 | 审核记录的唯一标识符 |
| 相对源网址 | 字符串 | 包含用户访问的文件的文件夹 URL |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,对于 Windows 代理(直接连接或 Operations Manager),值为 OpsManager;对于所有 Linux 代理,值为 Linux;对于 Azure 诊断,值为 Azure |
| SRPolicyId | 字符串 | 策略 ID |
| SRPolicyName | 字符串 | 策略名称 |
| SRRuleMatchDetails | 动态 | 规则详细信息 |
| 开始时间 | 日期/时间 | 执行 cmdlet 的日期和时间 |
| _SubscriptionId(订阅编号) | 字符串 | 与记录关联的订阅的唯一标识符 |
| 支持票证编号 | 字符串 | “代表执行”情况下的操作的客户支持票证 ID |
| TabType | 字符串 | 生成此事件的选项卡的类型 |
| 目标上下文ID | 字符串 | 目标用户所属的组织的 GUID |
| 目标用户ID | 字符串 | 目标用户 ID |
| 目标用户或组名 | 字符串 | 存储与之共享资源的目标用户或组的 UPN 或名称 |
| 目标用户或用户组类型 | 字符串 | 标识目标用户或组是成员、来宾、组还是合作伙伴 |
| TeamGuid | 字符串 | 审核中团队的唯一标识符 |
| TeamName | 字符串 | 审核中的团队名称 |
| 租户标识 (TenantId) | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 用户执行活动时的协调世界时 (UTC) 日期和时间 |
| 类型 | 字符串 | 表的名称 |
| 用户代理 (UserAgent) | 字符串 | 用户代理 |
| 用户域 | 字符串 | 用户所在的域 |
| UserID | 字符串 | 执行使系统记下记录的操作(在 Operation 属性中指定)的用户的 UPN(用户主体名称) |
| 用户密钥 | 字符串 | UserId 属性中标识的用户的备用 ID |
| UserSharedWith | 字符串 | 与其共享资源的用户 |
| 用户类型 | 字符串 | 执行操作的用户的类型。 请参阅 UserType 表,详细了解用户类型 |