Office 365管理活动 API 架构在两个层中作为数据服务提供:
常见架构。 用于访问核心 Office 365 审核概念(如 Record Type、Creation Time、User Type 和 Action),以及提供核心维度(如 User ID)、具体位置细节(如 Client IP address)和特定于产品的属性(如 Object ID)的接口。 它建立一致且统一的视图,以便用户使用适当参数在少数顶级视图中提取所有 Office 365 审核数据,并为所有数据源提供固定架构,从而极大地降低了学习成本。 通用架构源自每个产品团队拥有的产品数据,例如 Exchange、SharePoint、Azure Active Directory、Viva Engage 和 OneDrive。 Microsoft 365 产品团队可以扩展对象 ID 字段,以添加特定于服务的属性。
特定于服务的架构。 基于通用架构构建,提供一组Microsoft 365 个特定于服务的属性;例如 SharePoint 架构、OneDrive 架构和 Exchange 管理员架构。
Office 365 管理 API 架构
本文提供有关通用架构以及特定于服务的架构的详细信息。 下表描述了可用的架构。
常见架构
EntityType 名称:AuditRecord
| 参数 |
类型 |
强制? |
说明 |
| Id |
Combination GUIDEdm.Guid |
是 |
审核记录的唯一标识符。 |
| RecordType |
Self.AuditLogRecordType |
是 |
记录指示的操作类型。 有关审核日志记录类型的详细信息表,请参阅 AuditLogRecordType。 |
| CreationTime |
Edm.Date |
是 |
协调世界时 (UTC 的日期和时间) 生成审核日志记录时。 |
| Operation |
Edm.String |
是 |
用户或管理员活动的名称。 有关最常见作/活动的说明,请参阅 搜索审核日志。 对于 Exchange 管理员活动,此属性标识已运行的 cmdlet 名称。 对于 DLp 事件,这可以是“DLP 架构”下描述的“DlpRuleMatch”、“DlpRuleUndo”或“DlpInfo”。 |
| OrganizationId |
Edm.Guid |
是 |
组织 Office 365 租户的 GUID。 无论在哪个Office 365服务中发生此值,组织的此值始终相同。 |
| UserType |
Self.UserType |
是 |
执行操作的用户类型。 有关用户类型的详细信息,请参阅 UserType 表。 |
| UserKey |
Edm.String |
是 |
UserID 属性中标识的用户的备选 ID。 此属性填充了护照唯一 ID (PUID) ,供用户在 SharePoint、OneDrive 和 Exchange 中执行的事件。 |
| Workload |
Edm.String |
是 |
其中发生活动的 Office 365 服务。 |
| ResultStatus |
Edm.String |
否 |
指示操作(在 Operation 属性中指定)成功还是失败。 可能的值为:Succeeded、PartiallySucceeded 或 Failed。 对于 Exchange 管理员活动,值为 True 或 False。
重要提示:不同的工作负载可能会覆盖 ResultStatus 属性的值。 例如,对于Microsoft Entra ID STS 登录事件,ResultStatus 的“成功”值仅指示 HTTP作成功,并不意味着登录成功。 若要确定实际登录是否成功,请参阅 Microsoft Entra ID STS Logon 架构中的 LogonError 属性。 如果登录失败,则此属性的值包含登录尝试失败的原因。 |
| ObjectId |
Edm.string |
否 |
对于 SharePoint 和 OneDrive 活动,是用户访问的文件或文件夹的完整路径名称。 对于 Exchange 管理员审核日志,通过 cmdlet 修改的对象的名称。 对于云策略服务,为策略配置的对象 ID。 对于 TrainableClassifier 活动,是用户创建、发布、更新或删除的模型的 ID。 |
| UserID |
Edm.string |
是 |
执行导致记录被记录的操作(在 Operation 属性中指定)的用户的 UPN(用户主体名称);例如 my_name@my_domain_name。
注意:系统帐户 ((如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) )所执行活动的记录也包括在内。 在 SharePoint 中,UserId 属性 app@sharepoint中显示的另一个值为 。 此值指示执行活动的“用户”是在 SharePoint 中具有执行组织范围作所需的权限的应用程序, (代表用户、管理员或服务) 搜索 SharePoint 网站或 OneDrive 帐户。 |
| ClientIP |
Edm.String |
是 |
记录活动时使用的设备的 IPv4 或 IPv6 地址。
对于某些服务,此属性中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员使用的设备的 IP 地址。
此外,对于Microsoft Entra ID 相关事件,不会记录 IP 地址,并且 ClientIP 属性null的值为 。 |
| 范围 |
Self.AuditLogScope |
否 |
由以下源之一创建的事件:-
online:Microsoft 365 中的服务。
-
onprem:本地组织中的服务。 目前,SharePoint 是唯一将事件从本地发送到 Microsoft 365 的工作负载。
|
| AppAccessContext |
CollectionSelf.AppAccessContext |
否 |
执行该操作的用户或服务主体的应用程序上下文。 |
AgentAdminActivity
| 参数 |
类型 |
强制? |
说明 |
| AgentID |
Edm.String |
是 |
代理的唯一标识符 |
| AgentName |
Edm.String |
是 |
代理的名称 |
| AgentType |
Edm.Int32 |
是 |
代理的类型 - Microsoft (1P) 、外部 (3P) 、用户共享 (共享) 、由组织生成 (外部) 。 |
| UserAssignments |
收藏 (Edm.Guid) |
否 |
与代理活动关联的用户和组的 GUID 集合。 |
| ForAllUsers |
Edm.Boolean |
是 |
是否为整个组织捕获了与代理关联的活动。 如果应用于组织中的所有用户,则为 True。 应用于特定用户/组时为 False。 |
枚举:AuditLogRecordType - 类型:Edm.Int32
AuditLogRecordType
| 值 |
成员名称 |
说明 |
| 1 |
ExchangeAdmin |
来自 Exchange 管理员审核日志的事件。 |
| 2 |
ExchangeItem |
来自 Exchange 邮箱审核日志的事件,用于对单个项执行的操作,例如创建或接收电子邮件。 |
| 3 |
ExchangeItemGroup |
来自 Exchange 邮箱审核日志的事件,用于可对多个项执行的操作,例如移动或删除一个或多个电子邮件。 |
| 4 |
SharePoint |
SharePoint 事件。 |
| 6 |
SharePointFileOperation |
SharePoint 文件操作事件。 |
| 7 |
OneDrive |
OneDrive 事件。 |
| 8 |
AzureActiveDirectory |
Microsoft Entra ID 事件。 |
| 9 |
AzureActiveDirectoryAccountLogon |
Microsoft Entra ID orgId 登录事件 (弃用) 。 |
| 10 |
DataCenterSecurityCmdlet |
数据中心安全 cmdlet 事件。 |
| 11 |
ComplianceDLPSharePoint |
数据丢失保护 (DLP) SharePoint 和 OneDrive 中的事件。 |
| 13 |
ComplianceDLPExchange |
通过统一 DLP 策略配置时,Exchange 中的数据丢失保护 (DLP) 事件。 不支持基于 Exchange 传输规则的 DLP 事件。 |
| 14 |
SharePointSharingOperation |
SharePoint 共享事件。 |
| 15 |
AzureActiveDirectoryStsLogon |
安全令牌服务 (STS) Microsoft Entra ID 中的登录事件。 |
| 16 |
SkypeForBusinessPSTNUsage |
Skype for Business 中的公共交换电话网络 (PSTN) 事件。 |
| 17 |
SkypeForBusinessUsersBlocked |
已阻止 Skype for Business 中的用户事件。 |
| 18 |
SecurityComplianceCenterEOPCmdlet |
从 Microsoft 365 Defender 门户管理员云邮箱的默认电子邮件保护中的作。 |
| 19 |
ExchangeAggregatedOperation (19) |
聚合 Exchange 邮箱审计事件。 |
| 20 |
PowerBIAudit |
Power BI 事件。 |
| 21 |
CRM |
Dynamics 365 事件。 |
| 22 |
Viva Engage |
Viva Engage事件。 |
| 23 |
SkypeForBusinessCmdlets |
Skype for Business 事件。 |
| 24 |
Discovery |
通过运行内容搜索并在 Purview 门户中管理电子数据展示案例来执行电子数据展示活动 Microsoft的事件。 |
| 25 |
MicrosoftTeams |
Microsoft Teams 中的事件。 |
| 28 |
ThreatIntelligence |
针对云邮箱和Microsoft Defender for Office 365的默认电子邮件保护中的网络钓鱼和恶意软件事件。 |
| 29 |
MailSubmission |
来自云邮箱和Microsoft Defender for Office 365的默认电子邮件保护的提交事件。 |
| 30 |
MicrosoftFlow |
Microsoft Power Automate(以前称为 Microsoft Flow)事件。 |
| 31 |
AeD |
高级电子数据展示事件。 |
| 32 |
MicrosoftStream |
Microsoft Stream 事件。 |
| 33 |
ComplianceDLPSharePointClassification |
与 SharePoint 中 DLP 分类有关的事件。 |
| 34 |
ThreatFinder |
Microsoft Defender for Office 365 中与活动相关的事件。 |
| 35 |
Project |
Microsoft Project 事件。 |
| 36 |
SharePointListOperation |
Sharepoint 列表事件。 |
| 37 |
SharePointCommentOperation (37) |
SharePoint 批注事件。 |
| 38 |
DataGovernance |
与 Microsoft Purview 门户中的保留策略和保留标签相关的事件。 |
| 39 |
Kaizala |
Kaizala 事件。 |
| 40 |
SecurityComplianceAlerts |
安全与合规警报信号。 |
| 41 |
ThreatIntelligenceUrl |
Microsoft Defender for Office 365 中的安全链接信息块时间和信息块覆盖事件。 |
| 42 |
SecurityComplianceInsights |
与 Microsoft Defender 门户中的见解和报表相关的事件。 |
| 43 |
MIPLabel |
与检测传输管道中(以手动或自动方式)标记了敏感度标签的电子邮件相关的事件。 |
| 44 |
VivaInsights |
Viva Insights事件。 |
| 45 |
PowerAppsApp |
Power Apps 事件。 |
| 46 |
PowerAppsPlan |
适用于 Power 应用的订阅计划事件。 |
| 47 |
ThreatIntelligenceAtpContent |
Microsoft Defender for Office 365 SharePoint、OneDrive 和 Microsoft Teams 中的文件的钓鱼和恶意软件事件。 |
| 48 |
LabelContentExplorer |
与数据分类内容资源管理器相关的事件。 |
| 49 |
TeamsHealthcare |
与 Microsoft Teams for Healthcare 中的 “患者”应用 相关的事件。 |
| 50 |
ExchangeItemAggregated |
与 MailItemsAccessed 邮箱审核操作相关的事件。 |
| 51 |
HygieneEvent |
与出站垃圾邮件保护相关的事件。 |
| 52 |
DataInsightsRestApiAudit |
数据见解 REST API 事件。 |
| 53 |
InformationBarrierPolicyApplication |
与信息屏障策略的应用有关的事件。 |
| 54 |
SharePointListItemOperation |
SharePoint 列表项事件。 |
| 55 |
SharePointContentTypeOperation |
SharePoint 列表内容类型事件。 |
| 56 |
SharePointFieldOperation |
SharePoint 列表字段事件。 |
| 57 |
MicrosoftTeamsAdmin |
Teams 管理员事件。 |
| 58 |
HRSignal |
与支持内部风险管理解决方案的 HR 数据信号相关的事件。 |
| 59 |
MicrosoftTeamsDevice |
Teams 设备事件。 |
| 60 |
MicrosoftTeamsAnalytics |
Teams 分析事件。 |
| 61 |
InformationWorkerProtection |
有关已损坏用户警报的事件。 |
| 62 |
Campaign |
Microsoft Defender for Office 365 中的电子邮件活动事件。 |
| 63 |
DLPEndpoint |
Endpoint DLP 事件。 |
| 64 |
AirInvestigation |
自动事件响应 (AIR) 事件。 |
| 65 |
Quarantine |
隔离事件。 |
| 66 |
MicrosoftForms |
Microsoft Forms 事件。 |
| 67 |
ApplicationAudit |
应用程序审核事件。 |
| 68 |
ComplianceSupervisionExchange |
由通信合规性的冒犯性语言模型跟踪的事件。 |
| 69 |
CustomerKeyServiceEncryption |
与客户密钥加密服务相关的事件。 |
| 70 |
OfficeNative |
有关应用于 Office 文档的灵敏度标签的事件。 |
| 71 |
MipAutoLabelSharePointItem |
SharePoint 中自动标记的事件。 |
| 72 |
MipAutoLabelSharePointPolicyLocation |
SharePoint 中自动标记的策略事件。 |
| 73 |
MicrosoftTeamsShifts |
Teams 排班事件。 |
| 75 |
MipAutoLabelExchangeItem |
Exchange 中自动标记的事件。 |
| 76 |
CortanaBriefing |
工作概述电子邮件事件。 |
| 78 |
WDATPAlerts |
与 Windows Defender for Endpoint 生成的警报相关的事件。 |
| 79 |
PowerAppsResource |
与 Microsoft Power Platform Connectors 相关的事件 (预览版) 。 |
| 82 |
SensitivityLabelPolicyMatch |
打开或重命名标有灵敏度标签的文件时生成的事件。 |
| 83 |
SensitivityLabelAction |
在应用、更新或从文件中删除灵敏度标签时生成的事件。 |
| 84 |
SensitivityLabeledFileAction |
打开或重命名标有灵敏度标签的文件时生成的事件。 |
| 85 |
AttackSim |
与攻击模拟中的用户活动相关的事件 & Microsoft Defender for Office 365训练。 |
| 86 |
AirManualInvestigation |
有关自动化调查和响应 (AIR) 中手动调查的事件。 |
| 87 |
SecurityComplianceRBAC |
安全性和合规性 RBAC 事件。 |
| 88 |
UserTraining |
与攻击模拟中的用户训练相关的事件 & Microsoft Defender for Office 365训练。 |
| 89 |
AirAdminActionInvestigation |
与自动调查和响应中的管理作相关的事件 (AIR) 。 |
| 90 |
MSTIC |
Microsoft Defender for Office 365 中的威胁智能事件。 |
| 91 |
PhysicalBadgingSignal |
与支持内部风险管理解决方案的 无力标记信号相关的事件。 |
| 92 |
TeamsEasyApprovals |
与 Teams 轻松审批相关的事件 |
|
93 |
AipDiscover |
AIP 扫描程序事件 |
|
94 |
AipSensitivityLabelAction |
AIP 敏感度标签事件 |
|
95 |
AipProtectionAction |
AIP 保护事件 |
|
96 |
AipFileDeleted |
AIP 文件删除事件 |
|
97 |
AipHeartBeat |
AIP 检测信号事件 |
| 98 |
MCASAlerts |
由 Microsoft Cloud App Security 触发的警报对应的事件。 |
| 99 |
OnPremisesFileShareScannerDlp |
有关扫描文件共享上的敏感数据的事件。 |
| 100 |
OnPremisesSharePointScannerDlp |
有关扫描 SharePoint 中敏感数据的事件。 |
| 101 |
ExchangeSearch |
有关使用 Outlook 网页版 (OWA) 搜索邮箱项目的相关事件。 |
| 102 |
SharePointSearch |
有关搜索组织的 SharePoint 主网站的事件。 |
| 103 |
PrivacyInsights |
隐私洞察事件。 |
| 105 |
MyAnalyticsSettings |
MyAnalytics 事件。 |
| 106 |
SecurityComplianceUserChange |
有关修改或删除用户的事件。 |
| 107 |
ComplianceDLPExchangeClassification |
Exchange DLP 分类事件。 |
| 109 |
MipExactDataMatch |
精确数据匹配 (EDM) 分类事件。 |
| 113 |
MS365DCustomDetection |
与 Microsoft 365 Defender 中的自定义检测操作相关的事件。 |
| 147 |
CoreReportingSettings |
报告设置事件。 |
| 148 |
ComplianceConnector |
与在 Microsoft Purview 门户中使用数据连接器导入非Microsoft数据相关的事件。 |
|
154 |
OMEPortal |
外部收件人生成的加密邮件门户事件日志。 |
| 157 |
MipLabelAnalyticsAuditRecord |
MIP 标签分析事件。 |
| 164 |
ScorePlatformGenericAuditRecord |
用于数据连接器的通用审核记录。 |
| 174 |
DataShareOperation |
与共享通过 SystemSync 引入的数据相关的事件。 |
| 181 |
EduDataLakeDownloadOperation |
与从湖中导出 SystemSync 引入的数据相关的事件。 |
| 183 |
MicrosoftGraphDataConnectOperation |
与数据连接Microsoft Graph提取相关的事件。 |
| 186 |
PowerPagesSite |
与 Power Pages 网站相关的活动。 |
| 187 |
PowerPlatformAdminDlp |
与Microsoft Power Platform DLP (预览版) 相关的事件。 |
| 188 |
PlannerPlan |
Microsoft Planner计划事件。 |
| 189 |
PlannerCopyPlan |
Microsoft Planner复制计划事件。 |
| 190 |
PlannerTask |
Microsoft Planner任务事件。 |
| 191 |
PlannerRoster |
Microsoft Planner名册和名册成员身份活动。 |
| 192 |
PlannerPlanList |
Microsoft Planner计划列表事件。 |
| 193 |
PlannerTaskList |
Microsoft Planner任务列表事件。 |
| 194 |
PlannerTenantSettings |
Microsoft Planner租户设置事件。 |
| 195 |
ProjectForThewebProject |
Microsoft Project 网页版项目事件。 |
| 196 |
ProjectForThewebTask |
Microsoft Project 网页版任务事件。 |
| 197 |
ProjectForThewebRoadmap |
Microsoft Project 网页版路线图事件。 |
| 198 |
ProjectForThewebRoadmapItem |
Microsoft Project 网页版路线图项事件。 |
| 199 |
ProjectForThewebProjectSettings |
Microsoft Project 网页版项目租户设置事件。 |
| 200 |
ProjectForThewebRoadmapSettings |
Microsoft Project 网页版路线图租户设置事件。 |
| 202 |
MicrosoftTodoAudit |
Microsoft要执行审核事件。 |
| 206 |
MicrosoftTeamsSensitivityLabelAction |
Microsoft Teams 敏感度标签事件。 |
| 216 |
Viva Goals |
Viva Goals事件。 |
| 217 |
MicrosoftGraphDataConnectConsent |
租户管理员对 Microsoft Graph Data Connect 应用程序执行的同意作的事件。 |
| 218 |
AttackSimAdmin |
与攻击模拟中的管理活动相关的事件 & Microsoft Defender for Office 365中的培训。 |
| 230 |
TeamsUpdates |
Teams 汇报应用事件。 |
| 231 |
PlannerRosterSensitivityLabel |
Microsoft Planner名册敏感度标签事件。 |
| 235 |
MicrosoftDefenderForIdentityAudit |
标识审核事件的Microsoft Defender。 |
| 237 |
DefenderExpertsforXDRAdmin |
Microsoft Defender专家管理员作事件。 |
| 251 |
VfamCreatePolicy |
Viva访问管理策略创建事件。 |
| 252 |
VfamUpdatePolicy |
Viva访问管理策略更新事件。 |
| 253 |
VfamDeletePolicy |
Viva访问管理策略删除事件。 |
| 256 |
PowerPlatformAdministratorActivity |
Power Platform Administrator 活动事件。 |
| 257 |
Windows365CustomerLockbox |
Windows365 客户密码箱审核事件。 |
|
261 |
CopilotInteraction |
Copilot 交互事件。 |
| 265 |
VivaLearning |
Viva Learning中的用户活动。 |
| 266 |
VivaLearningAdmin |
管理员Viva Learning中的活动。 |
| 269 |
PeopleAdminSettings |
审核人员 管理员设置的事件。 |
| 275 |
OWAAuth |
资源的访问令牌已成功颁发事件。 |
| 277 |
SharePointESignature |
SharePoint eSignature 审核事件。 |
| 278 |
Dynamics365BusinessCentral |
审核Dynamics 365 Business Central的事件。 |
| 279 |
MeshWorlds |
审核网格的事件。 |
| 280 |
VivaPulseResponse |
Viva Pulse 调查响应事件。 |
| 281 |
VivaPulseOrganizer |
Viva Pulse 调查组织者事件。 |
| 282 |
VivaPulseAdmin |
Viva Pulse 管理事件。 |
| 283 |
VivaPulseReport |
Viva Pulse 报告相关事件。 |
|
284 |
AIAppInteraction |
审核用户与 第三方 (非Microsoft和非自定义生成的) AI 应用程序交互的事件。 |
| 285 |
ComplianceDLMExchange |
ComplianceDLMExchange 事件。 |
| 286 |
ComplianceDLMSharePoint |
ComplianceDLMSharePoint 事件。 |
| 287 |
ProjectForThewebAssignedToMeSettings |
Microsoft Project 网页版分配给我的租户设置事件。 |
| 288 |
CloudPolicyService |
来自云策略服务的事件。 |
| 291 |
SensitiveInfoDiscovered |
来自终结点设备的 Purview 按需分类的事件。 |
| 292 |
InsiderRiskScopedUserInsights |
与 Insider Risk Management 中的作用域内用户见解相关的事件。 |
| 293 |
MicrosoftTeamsRetentionLabelAction |
审核 Microsoft Teams 中保留标签的事件。 |
| 294 |
AadRiskDetection |
在以前称为 Azure Active Directory) 的Microsoft Entra (中审核风险检测事件。 |
| 295 |
AuditSearch |
审核管理员与 Purview 审核中的搜索交互的事件。 |
| 296 |
AuditRetentionPolicy |
审核管理员在 Purview 审核中与保留策略交互的事件。 |
| 297 |
AuditConfig |
审核管理员与 Purview 审核相关的配置设置交互的事件。 |
| 298 |
BackupPolicy |
与Microsoft 365 备份策略相关的事件。 |
| 299 |
RestoreTask |
与Microsoft 365 备份还原任务相关的事件。 |
| 300 |
RestoreItem |
与使用 Microsoft 365 备份 备份的项目相关的事件。 |
| 301 |
BackupItem |
与使用 Microsoft 365 备份 还原的项相关的事件。 |
| 302 |
URBACAssignment |
与统一 RBAC 分配相关的事件。 |
| 303 |
URBACRole |
与统一 RBAC 角色相关的事件。 |
| 304 |
URBACEnableState |
与统一 RBAC 状态启用相关的事件。 |
| 306 |
PurviewInsiderRiskCases |
与 Purview 预览体验成员风险案例相关的事件。 |
| 307 |
PurviewInsiderRiskAlerts |
与 Purview 预览体验成员风险警报相关的事件。 |
| 308 |
InsiderRiskScopedUsers |
与 Purview Insider Risk 范围用户相关的事件。 |
| 310 |
CreateCopilotPlugin |
用于创建 Copilot 插件的审核事件。 |
| 311 |
UpdateCopilotPlugin |
审核用于更新 Copilot 插件的事件。 |
| 312 |
DeleteCopilotPlugin |
审核用于删除 Copilot 插件的事件。 |
| 313 |
EnableCopilotPlugin |
用于启用 Copilot 插件的审核事件。 |
| 314 |
DisableCopilotPlugin |
用于禁用 Copilot 插件的审核事件。 |
| 315 |
CreateCopilotWorkspace |
审核用于创建 Copilot 工作区的事件。 |
| 316 |
UpdateCopilotWorkspace |
审核用于更新 Copilot 工作区的事件。 |
| 317 |
DeleteCopilotWorkspace |
审核删除 Copilot 工作区的事件。 |
| 318 |
EnableCopilotWorkspace |
用于启用 Copilot 工作区的审核事件。 |
| 319 |
DisableCopilotWorkspace |
审核禁用 Copilot 工作区的事件。 |
| 320 |
CreateCopilotPromptBook |
审核用于创建 Copilot 提示簿的事件。 |
| 321 |
UpdateCopilotPromptBook |
审核用于更新 Copilot 提示簿的事件。 |
| 322 |
DeleteCopilotPromptBook |
审核用于删除 Copilot 提示簿的事件。 |
| 323 |
EnableCopilotPromptBook |
用于启用 Copilot 提示簿的审核事件。 |
| 324 |
DisableCopilotPromptBook |
用于禁用 Copilot 提示簿的审核事件。 |
| 325 |
UpdateCopilotSettings |
用于更新与 Copilot 相关的用户或租户设置的审核事件。 |
| 328 |
ConnectedAIAppInteraction |
审核与第三方 (非Microsoft的用户交互相关的事件,这些应用程序) AI 应用程序部署在组织的Microsoft租户中。 |
| 329 |
PrivaPrivacyConsentOperation |
审核与Microsoft Priva中的同意相关的事件。 |
| 330 |
PrivaPrivacyAssessmentOperation |
审核与Microsoft Priva中的评估相关的事件。 |
| 331 |
DataCatalogAccessRequests |
审核与数据目录访问请求相关的事件。 |
| 332 |
ComplianceSettingsChange |
Microsoft Purview 符合性设置更改事件。 |
| 333 |
DataSecurityInvestigation |
来自 Microsoft Purview 中数据安全调查的事件。 |
| 334 |
TeamCopilotInteraction |
审核Microsoft Teams 中与协调人的用户交互以及协调人执行的活动的事件。 |
| 335 |
IRMActivityAuditTrail |
来自 Purview Insider Risk Management 的事件。 |
| 336 |
SharePointContentSecurityPolicy |
SharePoint 中内容安全策略的事件。 |
| 337 |
CloudUpdateProfileConfig |
来自云更新的配置文件配置的事件。 |
| 338 |
CloudUpdateTenantConfig |
来自云更新租户配置的事件。 |
| 339 |
CloudUpdateDeviceConfig |
来自云更新的托管设备配置的事件。 |
| 341 |
DeviceDiscoverySettingsExclusion |
与设备发现设置中的排除项相关的事件。 |
| 342 |
DeviceDiscoverySettingsAuthenticatedScans |
与设备发现设置中经过身份验证的扫描相关的事件。 |
| 344 |
DeviceDiscoverySettings |
与设备发现中的设置相关的事件。 |
| 345 |
USXWorkspaceOnboarding |
与 Microsoft Defender USX 中的工作区载入相关的事件。 |
| 346 |
VivaGlintAdvancedConfiguration |
与 Viva Glint 中的高级配置相关的事件。 |
| 347 |
VivaGlintPulseProgram |
Viva Glint中与 Pulse Program 相关的事件。 |
| 348 |
VivaGlintPulseProgramRespondentRate |
与 Viva Glint 中的 Pulse 计划受访者率相关的事件。 |
| 349 |
VivaGlintQuestion |
与Viva Glint中的问题相关的事件。 |
| 350 |
VivaGlintRole |
与Viva Glint中的角色相关的事件。 |
| 351 |
VivaGlintRubicon |
与 Viva Glint 中的 Rubicon 相关的事件。 |
| 352 |
VivaGlintSupportAccess |
与Viva Glint中的支持访问相关的事件。 |
| 353 |
VivaGlintSystem |
与 Viva Glint 中的系统活动相关的事件。 |
| 354 |
VivaGlintUser |
与 Viva Glint 中的用户活动相关的事件。 |
| 355 |
VivaGlintUserGroup |
与 Viva Glint 中的用户组活动相关的事件。 |
| 356 |
VivaGlintFeedbackProgram |
与 Viva Glint 中的反馈计划相关的事件。 |
| 357 |
FabricAudit |
与 Microsoft Fabric 相关的事件。 |
| 358 |
TrainableClassifier |
Purview 数据分类中的事件。 |
| 359 |
WebContentFiltering |
来自 Microsoft Edge WebContentFiltering 的事件。 |
| 360 |
NoisyAlertPolicy |
与 Microsoft Defender 中的干扰警报策略相关的事件。 |
| 361 |
DataScanClassification |
SharePoint 和 OneDrive 的 Purview 按需分类中的事件。 |
| 362 |
AIInteractionsExport |
与导出 AI 交互相关的事件。 |
| 363 |
Microsoft365CopilotScheduledPrompt |
来自 Microsoft 365 Copilot 计划提示的事件。 |
| 364 |
PlacesDirectory |
Microsoft Places 目录中的事件。 |
| 365 |
SentinelNotebookOnLake |
Sentinel 数据湖上笔记本执行的事件。 |
| 366 |
SentinelJob |
来自 Sentinel 数据湖中作业作的事件。 |
| 367 |
SentinelKQLOnLake |
在 Sentinel 数据湖上运行 KQL 的事件。 |
| 368 |
SentinelLakeOnboarding |
从载入到 Sentinel 数据湖的事件。 |
| 369 |
SentinelLakeDataOnboarding |
将数据加载事件到 Sentinel 数据湖。 |
| 370 |
SentinelAITool |
来自 Microsoft Sentinel 中 AI 工具作的事件 |
| 371 |
SentinelGraph |
与 Microsoft Sentinel 中的 Graph 相关的事件。 |
| 372 |
CrossTenantAccessPolicy |
来自跨租户访问策略的事件。 |
| 373 |
OutlookCopilotAutomation |
在由代理、Copilot 或其他 AI 方案驱动的 Microsoft Outlook 中,与后端自动化相关的事件 () 显式用户交互。 |
| 374 |
VivaEngageNetworkAssociation |
与 Viva Engage 中的网络关联相关的事件。 |
| 375 |
AppAdminActivity |
与应用管理员活动相关的事件。 |
| 376 |
AppSettingsAdminActivity |
与应用设置管理员活动相关的事件。 |
| 377 |
UniversalPrintPrintJob |
审核与 Microsoft 通用打印中的打印作业相关的事件。 |
| 378 |
VivaAmplifyOutlookSensitivityLabel |
与 Viva Amplify 中的 Outlook 敏感度标签相关的事件。 |
| 379 |
AIInteractionsSubscription |
与 AI 交互订阅相关的事件。 |
| 380 |
AIInteractionsChangeNotification |
与 AI 交互更改通知相关的事件。 |
| 381 |
FilteringMailMetadataExtended |
与筛选邮件元数据相关的事件。 |
| 382 |
OfficeRestrictedModeAction |
审核与在 Office 受限模式下执行的活动相关的事件。 |
| 383 |
CopilotForSecurityTrigger |
与Security Copilot代理的触发器相关的事件。 |
| 384 |
CopilotAgentManagement |
与Microsoft Copilot代理的管理活动相关的事件。 |
| 385 |
P4AIAssessmentFabricScannerRecord |
与 Purview for AI 评估构造扫描程序相关的事件。 |
| 386 |
PlannerGoal |
Microsoft Planner目标事件。 |
| 387 |
PlannerGoalList |
Microsoft Planner目标列表事件。 |
枚举:User Type - 类型:Edm.Int32
User Type
| 值 |
成员名称 |
说明 |
| 0 |
Regular |
没有管理员权限的普通用户。 |
| 1 |
Reserved |
保留值,不供使用。 |
| 2 |
Admin |
Microsoft 365 组织中的管理员。 |
| 3 |
DCAdmin |
Microsoft数据中心管理员或数据中心系统帐户。 |
| 4 |
System |
服务器端逻辑触发的审核事件。 例如,Windows 服务或后台进程。 |
| 5 |
Application |
由Microsoft Entra应用程序触发的审核事件。 |
| 6 |
ServicePrincipal |
服务主体。 |
| 7 |
CustomPolicy |
客户创建或托管策略。 |
| 8 |
SystemPolicy |
Microsoft托管策略或系统策略。 |
| 9 |
PartnerTechnician |
代表客户租户工作的合作伙伴租户用户 (GDAP方案中) 。 |
| 10 |
Guest |
来宾或匿名用户。 |
注意
** 对于Microsoft Entra相关事件,管理员的值不在审核记录中使用。 管理员执行的活动的审核记录指示常规用户 (例如 UserType: 0) 执行该活动。
UserID 属性标识执行此活动 (普通用户或管理员) 的人员。
枚举:AuditLogScope - 类型:Edm.Int32
AuditLogScope
| 值 |
成员名称 |
说明 |
| 0 |
Online |
此事件由 Microsoft 365 服务创建。 |
| 1 |
Onprem |
此事件由本地服务器创建。 |
复杂类型 AppAccessContext
| 参数 |
类型 |
强制? |
说明 |
| AADSessionId |
Edm.String |
否 |
应用代表用户执行的 Entra 登录的 Microsoft Entra SessionId。 |
| APIId |
Edm.String |
否 |
用于访问资源的 API 路径的 ID;例如,通过 Microsoft Graph API 访问。 |
| ClientAppId |
Edm.String |
否 |
代表用户执行访问的Microsoft Entra应用的 ID。 |
| ClientAppName |
Edm.String |
否 |
代表用户执行访问的Microsoft Entra应用的名称。 |
| CorrelationId |
Edm.String |
否 |
可用于跨 Microsoft 365 服务关联特定用户操作的标识符。 |
| UniqueTokenId |
Edm.String |
否 |
如果Microsoft Entra令牌可用于请求,则会设置 UniqueTokenId。 它是区分大小写的唯一每个令牌标识符。 |
| IssuedAtTime |
Edm.Date |
否 |
如果Microsoft Entra令牌可用于请求,并且指示此Microsoft Entra令牌的身份验证发生时间,则会设置“颁发时间”。 |
SharePoint 基本架构
| 参数 |
类型 |
强制? |
说明 |
| Site |
Edm.Guid |
否 |
用户访问的文件或文件夹所在网站的 GUID。 |
| ItemType |
Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" |
否 |
访问或修改的对象类型。 有关对象类型的详细信息,请参阅 ItemType 表。 |
| EventSource |
Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" |
否 |
识别在 SharePoint 中发生的事件。 可能的值为 SharePoint 或 ObjectModel。 |
| SourceName |
Edm.String |
否 |
触发已审核操作的实体。 可能的值为 SharePoint 或 ObjectModel。 |
| UserAgent |
Edm.String |
否 |
有关用户客户端或浏览器的信息。 此信息由客户端或浏览器提供。 |
| MachineDomainInfo |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
否 |
有关设备同步操作的信息。 只有在请求中存在该信息时才会报告该信息。 |
| MachineId |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
否 |
有关设备同步操作的信息。 只有在请求中存在该信息时才会报告该信息。 |
| ListItemUniqueId |
Edm.Guid |
否 |
列表的可识别项的唯一 GUID。 仅当此信息适用时,此信息才存在。 |
| ListID |
Edm.Guid |
否 |
警报的 GUID。 仅当此信息适用时,此信息才存在。 |
| ApplicationId |
Edm.String |
否 |
执行操作的应用程序的 ID。 |
| ApplicationDisplayName |
Edm.String |
否 |
执行操作的应用程序的显示名称。 |
| IsWorkflow |
Edm.Boolean |
否 |
如果 SharePoint 工作流触发了审核的事件,则设置为 True。 |
枚举:ItemType - 类型:Edm.Int32
ItemType
| 值 |
成员名称 |
说明 |
| 0 |
Invalid |
项目不是其他项目类型(在此表中列出)。 |
| 1 |
File |
项目为文件。 |
| 5 |
Folder |
项目为文件夹。 |
| 6 |
web |
该项是 Web。 |
| 7 |
Site |
项目为网站。 |
| 8 |
Tenant |
项目为租户。 |
| 9 |
DocumentLibrary |
项目为文档库。 |
| 11 |
Page |
项目为页面。 |
枚举:EventSource - 类型:Edm.Int32
EventSource
| 值 |
成员名称 |
说明 |
| 0 |
SharePoint |
事件源是 SharePoint。 |
| 1 |
ObjectModel |
事件源是 ObjectModel。 |
枚举:SharePointAuditOperation - 类型:Edm.Int32
| 成员名称 |
说明 |
| AccessInvitationAccepted |
邀请查看或编辑共享文件(或文件夹)的收件人已通过单击邀请中的链接访问共享文件。 |
| AccessInvitationCreated |
用户向组织内部或外部 (其他人发送邀请,) 查看或编辑 SharePoint 或 OneDrive 网站上的共享文件或文件夹。 事件条目的详细信息标识共享文件的名称、接收邀请的用户以及发送邀请的人员所选择的共享权限的类型。 |
| AccessInvitationExpired |
向外部用户发送的邀请过期。 默认情况下,如果在 7 天内未接受邀请,那么发送给组织外部用户的邀请将过期。 |
| AccessInvitationRevoked |
SharePoint 或 OneDrive 中网站或文档的网站管理员或所有者撤回发送给组织外部用户的邀请。 邀请只有在被接受之前才能撤回。 |
| AccessInvitationUpdated |
创建邀请并将其发送给其他人查看或编辑 SharePoint 或 OneDrive 网站上的共享文件或文件夹的用户将重新发送邀请。 |
| AccessRequestApproved |
SharePoint 或 OneDrive 中网站或文档的网站管理员或所有者批准访问网站或文档的用户请求。 |
| AccessRequestCreated |
用户请求访问 SharePoint 或 OneDrive 中他们无权访问的网站或文档。 |
| AccessRequestRejected |
SharePoint 中的网站管理员或网站或文档所有者拒绝用户访问网站或文档的请求。 |
| ActivationEnabled |
用户可以对以下表单模板启用浏览器功能:不包含表单代码、要求完全信任、启用移动设备上的呈现功能或使用由服务器管理员管理的数据连接。 |
| AdministratorAddedToTermStore |
已添加术语库管理员。 |
| AdministratorDeletedFromTermStore |
已删除术语库管理员。 |
| AllowGroupCreationSet |
网站管理员或所有者向 SharePoint 或 OneDrive 网站添加权限级别,该级别允许分配有该权限的用户为该网站创建组。 |
| AppCatalogCreated |
创建的应用程序目录为 SharePoint 环境提供自定义业务应用。 |
| AuditPolicyRemoved |
文档生命周期策略已在网站集中删除。 |
| AuditPolicyUpdate |
文档生命周期策略已在网站集中更新。 |
| AzureStreamingEnabledSet |
视频门户所有者允许来自 Azure 的视频流。 |
| CollaborationTypeModified |
网站(例如 intranet、extranet 或公共网站)上允许的协作类型已被修改。 |
| ConnectedSiteSettingModified |
用户已创建、修改或删除项目与项目网站之间的链接,或者用户修改 Project Web 应用中链接上的同步设置。 |
| CreateSSOApplication |
在 Secure Store Service 中创建的目标应用程序。 |
| CustomFieldOrLookupTableCreated |
用户在 Project Web 应用中创建自定义字段或查阅表/项。 |
| CustomFieldOrLookupTableDeleted |
用户在 Project Web 应用中删除了自定义字段或查阅表/项。 |
| CustomFieldOrLookupTableModified |
用户在 Project Web 应用中修改了自定义字段或查阅表/项。 |
| CustomizeExemptUsers |
全局管理员自定义 SharePoint 管理中心的豁免用户代理列表。 你可以指定免于接收要索引的整个网页的用户代理。 此配置意味着,当豁免用户代理遇到 InfoPath 表单时,表单将作为 XML 文件而不是整个网页返回。 此结果可加快为 InfoPath 表单编制索引。 |
| DefaultLanguageChangedInTermStore* |
术语库中的语言设置发生更改。 |
| DelegateModified |
用户在 Project Web 应用中创建或修改了安全委托。 |
| DelegateRemoved |
用户在 Project Web 应用中删除了安全委托。 |
| DeleteSSOApplication |
删除了 SSO 应用程序。 |
| eDiscoveryHoldApplied |
就地保留置于内容源上。 通过使用 SharePoint 中的电子数据展示网站集(比如电子数据展示中心)来管理就地保存。 |
| eDiscoveryHoldRemoved |
从内容源中删除就地保留。 通过使用 SharePoint 中的电子数据展示网站集(比如电子数据展示中心)来管理就地保存。 |
| eDiscoverySearchPerformed |
在 SharePoint 中使用电子数据展示网站集执行电子数据展示搜索。 |
| EngagementAccepted |
用户接受 Project Web 应用中的资源预订。 |
| EngagementModified |
用户修改 Project Web 应用中的资源预订。 |
| EngagementRejected |
用户拒绝 Project Web 应用中的资源预订。 |
| EnterpriseCalendarModified |
用户在 Project Web 应用中复制、修改或删除企业日历。 |
| EntityDeleted |
用户在 Project Web 应用中删除时间表。 |
| EntityForceCheckedIn |
用户在 Project Web 应用中强制检查日历、自定义字段或查阅表格。 |
| ExemptUserAgentSet |
全局管理员向 SharePoint 管理中心的豁免用户代理列表添加用户代理。 |
| FeatureActivated |
网站管理员激活网站集功能。 |
| FeatureDeactivated |
网站管理员停用网站集功能。 |
| FileAccessed |
用户或系统帐户访问 SharePoint 或 OneDrive 网站上的文件。 系统帐户还可以生成 FileAccessed 事件。 |
| FileCheckOutDiscarded |
用户放弃已签出的文件。 这意味着他们在签出文件时对文件所做的任何更改都将被放弃,而不会保存到文档库中的文档版本中。 |
| FileCheckedIn |
用户签入他们从 SharePoint 或 OneDrive 文档库签出的文档。 |
| FileCheckedOut |
用户签出位于 SharePoint 或 OneDrive 文档库中的文档。 用户可以对与其共享的文档执行签出和更改操作。 |
| FileCopied |
用户从 SharePoint 或 OneDrive 网站复制文档。 可以将复制的文件保存到网站上的另一个文件夹。 |
| FileDeleted |
用户从 SharePoint 或 OneDrive 网站中删除文档。 |
| FileDeletedFirstStageRecycleBin |
用户从 SharePoint 或 OneDrive 网站上的回收站中删除文件。 |
| FileDeletedSecondStageRecycleBin |
用户从 SharePoint 或 OneDrive 网站上的第二阶段回收站中删除文件。 |
| FileDownloaded |
用户从 SharePoint 或 OneDrive 网站下载文档。 |
| FileFetched |
此事件已被 FileAccessed 事件取代,并且已弃用。 |
| FileModified |
用户或系统帐户修改 SharePoint 或 OneDrive 网站上的文档的内容或属性。 |
| FileMoved |
用户将文档从 SharePoint 或 OneDrive 网站上的当前位置移动到新位置。 |
| FilePreviewed |
用户预览 SharePoint 或 OneDrive 网站上的文档。 |
| FileRecycled |
用户将文档移动到 SharePoint 或 OneDrive 回收站。 |
| FileRenamed |
用户重命名 SharePoint 或 OneDrive 网站上的文档。 |
| FileRestored |
用户从 SharePoint 或 OneDrive 网站的回收站还原文档。 |
| FileSyncDownloadedFull |
用户使用 OneDrive 同步 应用 (OneDrive.exe) 从 SharePoint 文档库或 OneDrive 将文件下载到计算机。 |
| FileSyncDownloadedPartial |
此事件已与旧的 OneDrive 同步 应用 (Groove.exe) 一起弃用。 |
| FileSyncUploadedFull |
用户使用 OneDrive 同步 应用 (OneDrive.exe) 在 SharePoint 文档库或 OneDrive 中上传新文件或更改。 |
| FileSyncUploadedPartial |
此事件已与旧的 OneDrive 同步 应用 (Groove.exe) 一起弃用。 |
| FileUploaded |
用户将文档上传到 SharePoint 或 OneDrive 网站上的文件夹。 |
| FileViewed |
此事件已被 FileAccessed 事件取代,并且已弃用。 |
| FolderCopied |
用户将文件夹从 SharePoint 或 OneDrive 网站复制到 SharePoint 或 OneDrive 中的另一个位置。 |
| FolderCreated |
用户在 SharePoint 或 OneDrive 网站上创建文件夹。 |
| FolderDeleted |
用户从 SharePoint 或 OneDrive 网站中删除文件夹。 |
| FolderDeletedFirstStageRecycleBin |
用户从 SharePoint 或 OneDrive 网站上的回收站中删除文件夹。 |
| FolderDeletedSecondStageRecycleBin |
用户从 SharePoint 或 OneDrive 网站上的第二阶段回收站中删除文件夹。 |
| FolderModified |
用户修改 SharePoint 或 OneDrive 网站上的文件夹。 此事件包含文件夹元数据更改,如标签和属性。 |
| FolderMoved |
用户从 SharePoint 或 OneDrive 网站移动文件夹。 |
| FolderRecycled |
用户将文件夹移动到 SharePoint 或 OneDrive 回收站。 |
| FolderRenamed |
用户重命名 SharePoint 或 OneDrive 网站上的文件夹。 |
| FolderRestored |
用户从 SharePoint 或 OneDrive 网站上的回收站还原文件夹。 |
| GroupAdded |
网站管理员或所有者为 SharePoint 或 OneDrive 网站创建组,或执行导致创建组的任务。 例如,当用户第一次创建链接以共享文件时,系统会将系统组添加到用户的 OneDrive 网站。 此事件也可以是用户使用编辑权限创建共享文件链接的结果。 |
| GroupRemoved |
用户从 SharePoint 或 OneDrive 网站中删除组。 |
| GroupUpdated |
网站管理员或所有者更改 SharePoint 或 OneDrive 网站的组设置。 这可能包括更改组名、可以查看或编辑组成员身份的人员,以及成员身份请求的处理方式。 |
| LanguageAddedToTermStore |
向术语库中添加了语言。 |
| LanguageRemovedFromTermStore |
从术语库中删除了语言。 |
| LegacyWorkflowEnabledSet |
网站管理员或所有者向网站添加 SharePoint 工作流任务内容类型。 全局管理员还可以在 SharePoint 管理中心中对整个组织启用工作流。 |
| LookAndFeelModified |
用户修改快速启动、甘特图格式或组格式。 或者,用户在 Project Web 应用中创建、修改或删除视图。 |
| ManagedSyncClientAllowed |
用户已成功与 SharePoint 或 OneDrive 网站建立同步关系。 同步关系之所以成功,是因为用户计算机是添加到域列表(称为“安全收件人列表”)的域成员,可以访问组织中的文档库。 有关详细信息,请参阅开始使用SharePoint Online 命令行管理程序为安全收件人列表中的域启用OneDrive 同步。 |
| MaxQuotaModified |
修改了网站的最大限额。 |
| MaxResourceUsageModified |
修改了网站所允许的最大资源使用量。 |
| MySitePublicEnabledSet |
SharePoint 管理员设置了使用户拥有公共 MySites 的标志。 |
| NewsFeedEnabledSet |
网站管理员或所有者为 SharePoint 或 OneDrive 网站启用 RSS 源。 全局管理员可以在 SharePoint 管理中心中对整个组织启用 RSS 源。 |
| ODBNextUXSettings |
已启用 OneDrive 的新 UI。 |
| OfficeOnDemandSet |
网站管理员启用 Office on Demand,允许用户访问最新版本的 Office 桌面应用程序。 SharePoint 管理中心启用了 Office on Demand,并需要包括全套已安装的 Office 应用程序的 Office 365 订阅。 |
| PageViewed |
用户查看 SharePoint 网站或 OneDrive 网站上的页面。 这不包括在浏览器上从 SharePoint 网站或 One Drive for Business 网站查看文档库文件。 |
| PeopleResultsScopeSet |
网站管理员创建或更改 SharePoint 网站人员搜索的结果来源。 |
| PermissionSyncSettingModified |
用户修改 Project Web 应用中的项目权限同步设置。 |
| PermissionTemplateModified |
用户在 Project Web 应用中创建、修改或删除权限模板。 |
| PortfolioDataAccessed |
用户在 Project Web 应用中访问项目组合内容 (驱动程序库、驱动程序优先级、项目组合分析) 。 |
| PortfolioDataModified |
用户在 Project Web 应用中创建、修改或删除项目组合数据 (驱动程序库、驱动程序优先级、项目组合分析) 。 |
| PreviewModeEnabledSet |
网站管理员启用 SharePoint 网站的文档预览。 |
| ProjectAccessed |
用户访问 Project Web 应用中的项目内容。 |
| ProjectCheckedIn |
用户签入他们从 Project Web 应用签出的项目。 |
| ProjectCheckedOut |
用户签出位于 Project Web 应用中的项目。 用户可以签出他们有权打开的项目并对其进行更改。 |
| ProjectCreated |
用户在 Project Web 应用中创建项目。 |
| ProjectDeleted |
用户删除 Project Web 应用中的项目。 |
| ProjectForceCheckedIn |
用户在 Project Web 应用中强制检查项目。 |
| ProjectModified |
用户在 Project Web 应用中修改项目。 |
| ProjectPublished |
用户在 Project Web 应用中发布项目。 |
| ProjectWorkflowRestarted |
用户在 Project Web 应用中重启工作流。 |
| PWASettingsAccessed |
用户通过 CSOM 访问 Project Web 应用设置。 |
| PWASettingsModified |
用户修改 Project Web 应用配置。 |
| QueueJobStateModified |
用户取消或重启 Project Web 应用中的队列作业。 |
| QuotaWarningEnabledModified |
修改了存储配额警告。 |
| RenderingEnabled |
启用浏览器的表单模板由 InfoPath 表单服务呈现。 |
| ReportingAccessed |
用户访问了 Project Web 应用中的报告终结点。 |
| ReportingSettingModified |
用户修改 Project Web 应用中的报告配置。 |
| ResourceAccessed |
用户访问 Project Web 应用中的企业资源内容。 |
| ResourceCheckedIn |
用户签入从 Project Web 应用签出的企业资源。 |
| ResourceCheckedOut |
用户签出位于 Project Web 应用中的企业资源。 |
| ResourceCreated |
用户在 Project Web 应用中创建企业资源。 |
| ResourceDeleted |
用户删除 Project Web 应用中的企业资源。 |
| ResourceForceCheckedIn |
用户在 Project Web 应用中强制检查企业资源。 |
| ResourceModified |
用户在 Project Web 应用中修改企业资源。 |
| ResourcePlanCheckedInOrOut |
用户在 Project Web 应用中签入或签出资源计划。 |
| ResourcePlanModified |
用户在 Project Web 应用中修改资源计划。 |
| ResourcePlanPublished |
用户在 Project Web 应用中发布资源计划。 |
| ResourceRedacted |
用户编辑企业资源,删除 Project Web 应用中的所有个人信息。 |
| ResourceWarningEnabledModified |
修改了资源配额警告。 |
| SSOGroupCredentialsSet |
在 Secure Store Service 中设置了组凭据。 |
| SSOUserCredentialsSet |
在 Secure Store Service 中设置了用户凭据。 |
| SearchCenterUrlSet |
设置了搜索中心 URL。 |
| SecondaryMySiteOwnerSet |
用户向其 MySite 添加了第二所有者。 |
| SecurityCategoryModified |
用户在 Project Web 应用中创建、修改或删除安全类别。 |
| SecurityGroupModified |
用户在 Project Web 应用中创建、修改或删除安全组。 |
| SendToConnectionAdded |
全局管理员在 SharePoint 管理中心中的“记录管理”页上创建新“发送至”连接。 “发送至”连接指定文档存储库或记录中心设置。 创建“收件人”连接时,内容管理器可以将文档提交到指定位置。 |
| SendToConnectionRemoved |
全局管理员在 SharePoint 管理中心的“记录管理”页上删除“发送至”连接。 |
| SharedLinkCreated |
用户在 SharePoint 或 OneDrive 中创建共享文件的链接。 此链接可以发送给其他人,以便授予其对文件的访问权限。 用户可创建两个类型的链接:允许用户查看和编辑共享文件的链接,或仅允许用户查看文件的链接。 |
| SharedLinkDisabled |
用户禁用(永久)为共享文件而创建的链接。 |
| SharingInvitationAccepted* |
用户接受共享文件或文件夹的邀请。 当用户与其他用户共享文件时,将记录此事件。 |
| SharingRevoked |
用户取消共享以前与其他用户共享的文件或文件夹。 当用户停止与其他用户共享文件时,将记录此事件。 |
| SharingSet |
用户与其组织内的其他用户共享位于 SharePoint 或 OneDrive 中的文件或文件夹。 |
| SiteAdminChangeRequest |
用户请求添加为 SharePoint 网站集的网站集管理员。 网站集管理员具有网站集和所有子网站的完全控制权限。 |
| SiteCollectionAdminAdded* |
网站集管理员或所有者将人员添加为 SharePoint 或 OneDrive 网站的网站集管理员。 网站集管理员具有网站集和所有子网站的完全控制权限。 |
| SiteCollectionCreated |
全局管理员在 SharePoint 组织中创建新的网站集。 |
| SitePermanentlyDeleted |
SharePoint 或全局管理员从 SharePoint 管理员中心已删除网站中永久删除网站。 |
| SiteRenamed |
网站管理员或所有者重命名 SharePoint 或 OneDrive 网站 |
| SiteRestored |
SharePoint 或全局管理员从 SharePoint 管理员中心删除的网站还原网站。 |
| StatusReportModified |
用户在 Project Web 应用中创建、修改或删除状态报表。 |
| SyncGetChanges |
用户单击 SharePoint 或 OneDrive 中作栏中的 “同步 ”,将文档库中文件的任何更改同步到其计算机。 |
| SyntexBillingSubscriptionSettingsChanged |
Syntex 计费订阅设置已更改。 Syntex 试用版过期时会触发此事件。 |
| TaskStatusAccessed |
用户访问 Project Web 应用中的一个或多个任务的状态。 |
| TaskStatusApproved |
用户批准 Project Web 应用中一个或多个任务的状态更新。 |
| TaskStatusRejected |
用户拒绝 Project Web 应用中一个或多个任务的状态更新。 |
| TaskStatusSaved |
用户在 Project Web 应用中保存一个或多个任务的状态更新。 |
| TaskStatusSubmitted |
用户在 Project Web 应用中提交一个或多个任务的状态更新。 |
| TimesheetAccessed |
用户访问 Project Web 应用中的时间表。 |
| TimesheetApproved |
用户在 Project Web 应用中批准时间表。 |
| TimesheetRejected |
用户拒绝 Project Web 应用中的时间表。 |
| TimesheetSaved |
用户在 Project Web 应用中保存时间表。 |
| TimesheetSubmitted |
用户在 Project Web 应用中提交状态时间表。 |
| UnmanagedSyncClientBlocked |
用户尝试从不是组织域成员或尚未添加到域列表中的域的计算机与 SharePoint 或 OneDrive 网站建立同步关系, (称为安全收件人列表) 可以访问组织中的文档库。 不允许同步关系,并阻止用户计算机在文档库上同步、下载或上传文件。 |
| UpdateDisableSiteBranding |
SharePoint 或全局管理员启用或禁用网站品牌打造。 |
| UpdateSSOApplication |
Secure Store Service 中更新了目标应用程序。 |
| UserAddedToGroup |
网站管理员或所有者将人员添加到 SharePoint 或 OneDrive 网站上的组。 向组添加人员授予用户已分配给组的权限。 |
| UserRemovedFromGroup |
网站管理员或所有者从 SharePoint 或 OneDrive 网站上的组中删除人员。 删除该人员后,不再向其授予已分配给组的权限。 |
| WorkflowModified |
用户在 Project Web 应用中创建、修改或删除企业项目类型或工作流阶段。 |
SharePoint 文件操作
审核日志搜索中返回的文件和页面事件使用此架构。
| 参数 |
类型 |
强制? |
说明 |
| SiteUrl |
Edm.String |
是 |
用户访问的文件或文件夹所在网站的 URL。 |
| SourceRelativeUrl |
Edm.String |
否 |
包含用户访问文件的文件夹的 URL。
SiteURL、SourceRelativeURL 和 SourceFileName 参数的值的组合与 ObjectID 属性的值相同,ObjectID 属性是用户访问的文件的完整路径名称。 |
| SourceFileName |
Edm.String |
是 |
用户访问的文件或文件夹名称。 |
| SourceFileExtension |
Edm.String |
否 |
用户访问的文件的文件扩展名。 如果访问对象是一个文件夹,则此属性为空。 |
| DestinationRelativeUrl |
Edm.String |
否 |
在其中复制或移动文件的目标文件夹的 URL。
SiteURL、DestinationRelativeURL 和 DestinationFileName 参数的值的组合与 ObjectID 属性的值相同,ObjectID 属性是复制的文件的完整路径名称。 此属性仅对 FileCopied 和 FileMoved 事件显示。 |
| DestinationFileName |
Edm.String |
否 |
复制或移动的文件的名称。 此属性仅对 FileCopied 和 FileMoved 事件显示。 |
| DestinationFileExtension |
Edm.String |
否 |
复制或移动的文件的文件扩展名。 此属性仅对 FileCopied 和 FileMoved 事件显示。 |
| UserSharedWith |
Edm.String |
否 |
与之共享资源的用户。 |
| SharingType |
Edm.String |
否 |
分配给与之共享资源的用户的共享权限的类型。 此用户由 UserSharedWith 参数标识。 |
| SourceLabel |
Edm.String |
否 |
由用户操作更改文件之前的文件的原始标签。 |
| DestinationLabel |
Edm.String |
否 |
由用户操作更改后的文件的最终标签。 |
| SensitivityLabelOwnerEmail |
Edm.String |
否 |
敏感度标签所有者的电子邮件地址。 |
| SensitivityLabelId |
Edm.String |
否 |
文件的当前敏感度标签 ID。 |
SharePoint 列表操作
审核日志搜索中返回的 SharePoint 列表事件使用此架构。
| 参数 |
类型 |
强制? |
说明 |
| ListTitle |
Edm.String |
否 |
SharePoint 列表的标题。 |
| ListName |
Edm.String |
否 |
SharePoint 列表的名称。 |
| ListUrl |
Edm.String |
否 |
列表相对于包含网站的 URL。 |
| ListBaseType |
Edm.String |
否 |
指定列表的基本类型。 |
| ListBaseTemplateType |
Edm.String |
否 |
列表所基于的列表定义类型。 |
| IsHiddenList |
Edm.Boolean |
否 |
如果 SharePoint 列表已隐藏,则此值设置为 True。 |
| IsDocLib |
Edm.Boolean |
否 |
如果 SharePoint 列表属于“文档库”类型,则此值设置为 True。 |
SharePoint 共享架构
审核日志搜索中返回的共享和访问请求事件使用此架构。
与文件共享相关的 SharePoint 事件。 它们不同于与文件和文件夹相关的事件,因为用户正在执行对另一个用户有一定影响的操作。 有关 SharePoint 共享架构信息,请参阅在审核日志中使用共享审核。
| 参数 |
类型 |
强制? |
说明 |
| TargetUserOrGroupName |
Edm.String |
否 |
存储与之共享资源的目标用户或组的 UPN 或名称。 |
| TargetUserOrGroupType |
Edm.String |
否 |
标识目标用户或组是成员、来宾、组还是合作伙伴。 |
| EventData |
XML 代码 |
否 |
传达有关已发生的共享操作的后续信息,例如向组中添加用户或授予编辑权限。 |
| SiteUrl |
Edm.String |
否 |
用户访问的文件或文件夹所在网站的 URL。 |
| SourceRelativeUrl |
Edm.String |
否 |
包含用户访问文件的文件夹的 URL。
SiteURL、SourceRelativeURL 和 SourceFileName 参数的值的组合与 ObjectID 属性的值相同,ObjectID 属性是用户访问的文件的完整路径名称。 |
| SourceFileName |
Edm.String |
否 |
用户访问的文件或文件夹名称。 |
| SourceFileExtension |
Edm.String |
否 |
用户访问的文件的文件扩展名。 如果访问对象是一个文件夹,则此属性为空。 |
| UniqueSharingId |
Edm.String |
否 |
与共享操作关联的唯一共享 ID。 |
SharePoint 架构
SharePoint 事件 (排除 审核日志搜索 中返回的文件和文件夹事件) 使用此架构。
| 参数 |
类型 |
强制? |
说明 |
| CustomEvent |
Edm.String |
否 |
自定义事件的可选字符串。 |
| EventData |
Edm.String |
否 |
自定义事件的可选负载。 |
| ModifiedProperties |
Collection(ModifiedProperty) |
否 |
属性包含在管理员事件中,例如将用户添加为网站或网站集管理组的成员。 该属性包括已修改属性的名称(例如,Site Admin 组)、已修改属性的新值(例如添加为网站管理员的用户)和已修改对象的先前值。 |
Project 架构
审核日志搜索中返回Microsoft Project 网页版事件使用这些架构。
| 参数 |
类型 |
强制? |
说明 |
| Entity |
Edm.String |
是 |
审核针对的 ProjectEntity。 |
| Action |
Edm.String |
是 |
采取的 ProjectAction。 |
| OnBehalfOfResId |
Edm.Guid |
否 |
代表其执行操作的资源 ID。 |
枚举:Project Action - 类型:Edm.Int32
Project 操作
| 成员名称 |
说明 |
| Accepted |
用户接受事件或工作流。 |
| Accessed |
用户访问实体。 |
| Activated |
用户激活实体、事件或工作流。 |
| Cancelled |
用户取消事件或工作流。 |
| CheckedIn |
用户签入实体。 |
| CheckedOut |
用户签出实体。 |
| Copied |
用户复制实体。 |
| Created |
用户创建实体。 |
| Deactivated |
用户停用实体。 |
| Deleted |
用户删除实体。 |
| Exported |
用户导出实体。 |
| ForceCheckedIn |
用户强制签入实体。 |
| Modified |
用户修改实体。 |
| Published |
用户发布实体。 |
| Redacted |
用户编辑实体。 |
| Rejected |
用户拒绝实体。 |
| Restarted |
用户重启事件或工作流。 |
| Saved |
用户保留实体。 |
| Sent |
用户发送实体。 |
| Submitted |
用户提交进行审阅的实体或工作流。 |
枚举:Project Entity - 类型:Edm.Int32
Project 实体
| 成员名称 |
说明 |
| CustomField |
表示企业自定义域。 |
| Driver |
表示项目组合驱动程序。 |
| DriverPrioritization |
表示项目组合优先顺序。 |
| Engagement |
表示资源预订。 |
| EnterpriseCalendar |
表示企业资源日历。 |
| EnterpriseProjectType |
表示企业项目类型。 |
| FiscalPeriod |
表示会计期间。 |
| GanttChartFormat |
表示甘特图格式。 |
| GroupingFormat |
表示视图分组格式。 |
| LineClassification |
表示时间表行分类。 |
| LookupTable |
表示企业版查找表。 |
| PermissionTemplate |
表示安全权限模板。 |
| PortfolioAnalysis |
表示项目组合分析。 |
| Project |
表示一个项目。 |
| QueueJob |
表示队列作业。 |
| QuickLaunch |
表示快速启动项。 |
| Reporting |
表示报告终结点。 |
| Resource |
表示企业资源。 |
| ResourcePlan |
表示与项目关联的资源计划。 |
| SecurityCategory |
表示安全类别。 |
| SecurityGroup |
表示安全组。 |
| Setting |
表示 Project Web 应用设置。 |
| Statusing |
表示任务状态更新。 |
| StatusReport |
表示状态报告。 |
| TimeReportingPeriod |
表示时间表的时间段。 |
| Timesheet |
表示时间表实体。 |
| TimesheetAuditLog |
表示时间表审核日志。 |
| TimesheetManager |
表示时间表管理员。 |
| UserDelegate |
表示其他用户的用户委派。 |
| View |
表示视图定义。 |
| WorkflowPhase |
表示工作流中的阶段。 |
| WorkflowStage |
表示工作流中的阶段。 |
Exchange 管理员架构
| 参数 |
类型 |
强制 |
说明 |
| ModifiedObjectResolvedName |
Edm.String |
否 |
这是通过 cmdlet 修改的对象的用户友好名称。 只有当 cmdlet 修改对象时才会记录此参数。 |
| 参数 |
Collection(Common.NameValuePair) |
否 |
与 Operations 属性中标识的 cmdlet 结合使用的所有参数的名称和值。 |
| ModifiedProperties |
Collection(Common.ModifiedProperty) |
否 |
该属性包含在管理员事件中。 该属性包括已修改属性的名称、已修改属性的新值和已修改对象的先前值。 |
| ExternalAccess |
Edm.Boolean |
是 |
指定 cmdlet 是由组织中的用户、Microsoft 数据中心人员或数据中心服务帐户,还是由委托的管理员运行。 值 False 表示 cmdlet 由组织中的某人运行。 值 True 表示 cmdlet 由数据中心人员、数据中心服务帐户或委托的管理员运行。 |
| OriginatingServer |
Edm.String |
否 |
从中执行 cmdlet 的服务器的名称。 |
| OrganizationName |
Edm.String |
否 |
租户名称。 |
| DeviceId |
Edm.String |
否 |
仅适用于已注册/已加入域的设备。 |
| TokenObjectId |
Edm.String |
是 |
Microsoft Entra令牌的 oid 声明。 |
| TokenTenantId |
Edm.String |
是 |
Microsoft Entra令牌的 tid 声明。 |
Exchange 邮箱架构
审核日志搜索中返回的 Exchange 邮箱事件使用这些架构。
| 参数 |
类型 |
强制 |
说明 |
| LogonType |
Self.LogonType |
是 |
指示访问邮箱并执行已记录操作的用户类型。 |
| InternalLogonType |
Self.LogonType |
是 |
仅供内部使用。 |
| MailboxGuid |
Edm.String |
否 |
访问邮箱的 Exchange GUID。 |
| MailboxOwnerUPN |
Edm.String |
否 |
拥有已访问邮箱的人员的电子邮件地址。 |
| MailboxOwnerSid |
Edm.String |
否 |
邮箱所有者的 SID。 |
| MailboxOwnerMasterAccountSid |
Edm.String |
否 |
邮箱所有者帐户的主帐户 SID。 |
| LogonUserSid |
Edm.String |
否 |
执行操作的用户的 SID。 |
| LogonUserDisplayName |
Edm.String |
否 |
执行操作的用户的用户友好名称。 |
| ExternalAccess |
Edm.Boolean |
是 |
如果登录用户的域与邮箱所有者的域不同,则为 true。 |
| OriginatingServer |
Edm.String |
否 |
这是操作的源位置。 |
| OrganizationName |
Edm.String |
否 |
租户名称。 |
| ClientInfoString |
Edm.String |
否 |
有关用于执行此操作的电子邮件客户端的信息,如浏览器版本、Outlook 版本和移动设备信息。 |
| ClientIPAddress |
Edm.String |
否 |
记录操作时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 |
| ClientMachineName |
Edm.String |
否 |
托管 Outlook 客户端的计算机名称。 |
| ClientProcessName |
Edm.String |
否 |
用于访问邮箱的电子邮件客户端。 |
| ClientVersion |
Edm.String |
否 |
电子邮件客户端的版本。 |
| SessionId |
Edm.String |
否 |
会话的唯一标识符。 它有助于区分同一帐户上的攻击者作与日常用户活动 (对遭到入侵的帐户) |
| AppId |
Edm.String |
否 |
应用程序标识符 |
| ClientAppId |
Edm.String |
否 |
原始调用方 (请求的服务/协议) 标识符。 |
| HostAppId |
Edm.String |
否 |
正在执行的服务/协议标识符。 |
| OperationProperties |
Collection(Common.NameValuePair) |
否 |
特定于作的属性的集合。 |
| ClientRequestId |
Edm.String |
否 |
客户端请求的标识符。 |
| ExternalUserTenantId |
Edm.String |
否 |
外部用户的租户标识符。 |
| ActorIP |
Edm.String |
否 |
执行作的执行组件的 IP 地址。 |
| ActorInfoString |
Edm.String |
否 |
云实例的名称 (,例如 Public、GCC、GCC-H) |
| DeviceId |
Edm.String |
否 |
仅适用于已注册/已加入域的设备。 |
| CloudInstanceName |
Edm.String |
否 |
云实例的名称 (,例如 Public、GCC、GCC-H) |
| TokenObjectId |
Edm.String |
否 |
Microsoft Entra令牌的 oid 声明。 |
| TokenTenantId |
Edm.String |
否 |
Microsoft Entra令牌的 tid 声明。 |
| AuthType |
Edm.String |
否 |
指定客户端用于访问服务的身份验证方案。 |
| TokenType |
Edm.String |
否 |
指示身份验证期间提供的令牌类型,并提供令牌角色和范围的上下文。 |
枚举:LogonType - 类型:Edm.Int32
LogonType
| 值 |
成员名称 |
说明 |
| 0 |
Owner |
邮箱所有者。 |
| 1 |
Admin |
对某人的邮箱具有管理权限的人员。 |
| 2 |
Delegated |
对某人的邮箱具有委派权限的人员。 |
| 3 |
Transport |
Microsoft 数据中心的传输服务。 |
| 4 |
SystemService |
中Microsoft 数据中心的服务帐户 |
| 5 |
BestAccess |
仅供内部使用。 |
| 6 |
DelegatedAdmin |
委派的管理员。 |
ExchangeMailboxAuditGroupRecord 架构
| 参数 |
类型 |
强制? |
说明 |
| Folder |
Self.ExchangeFolder |
否 |
一组项目的所在文件夹。 |
| CrossMailboxOperations |
Edm.Boolean |
否 |
指示操作是否涉及多个邮箱。 |
| DestMailboxId |
Edm.Guid |
否 |
仅当 CrossMailboxOperations 参数为 True 时设置。 指定目标邮箱的 GUID。 |
| DestMailboxOwnerUPN |
Edm.String |
否 |
仅当 CrossMailboxOperations 参数为 True 时设置。 指定目标邮箱所有者的 UPN。 |
| DestMailboxOwnerSid |
Edm.String |
否 |
仅当 CrossMailboxOperations 参数为 True 时设置。 指定目标邮箱的 SID。 |
| DestMailboxOwnerMasterAccountSid |
Edm.String |
否 |
仅当 CrossMailboxOperations 参数为 True 时设置。 指定对目标邮箱所有者主帐户 SID 的 SID。 |
| DestFolder |
Self.ExchangeFolder |
否 |
用于移动等操作的目标文件夹。 |
| Folders |
Collection(Self.ExchangeFolder) |
否 |
涉及操作的源文件夹信息;例如,如果选择文件夹然后删除。 |
| AffectedItems |
Collection(Self.ExchangeItem) |
否 |
有关组中每个项目的信息。 |
| Teams |
Self.TeamsData |
否 |
Microsoft组作的 Teams 相关数据。 |
ExchangeMailboxAuditRecord 架构
| 参数 |
类型 |
强制? |
说明 |
| Item |
Self.ExchangeItem |
否 |
表示在对其执行操作的项 |
| ModifiedProperties |
Collection(Edm.String) |
否 |
已修改的属性。 |
| MbxLoginLocalQueueADLookupInfo |
自我。LocalQueueADLookupInfo |
否 |
包含邮箱登录上下文的 Active Directory 查找详细信息。 |
| SendAsUserSmtp |
Edm.String |
否 |
所模拟的用户的 SMTP 地址。 |
| SendAsUserMailboxGuid |
Edm.Guid |
否 |
所访问的用于发送邮件的邮箱的 Exchange GUID。 |
| SendOnBehalfOfUserSmtp |
Edm.String |
否 |
代表其发送电子邮件的用户的 SMTP 地址。 |
| SendOnBehalfOfUserMailboxGuid |
Edm.Guid |
否 |
所访问的代表发送邮件的邮箱的 Exchange GUID。 |
| ContactEmail1EmailAddress |
Edm.String |
否 |
联系信息的第一个电子邮件地址。 |
| ContactEmail1DisplayName |
Edm.String |
否 |
第一个联系人电子邮件的显示名称。 |
| ContactEmail2EmailAddress |
Edm.String |
否 |
联系人信息的第二个电子邮件地址。 |
| ContactEmail2DisplayName |
Edm.String |
否 |
第二个联系人电子邮件的显示名称。 |
| ContactEmail3EmailAddress |
Edm.String |
否 |
联系人信息的第三个电子邮件地址。 |
| ContactEmail3DisplayName |
Edm.String |
否 |
第三个联系人电子邮件的显示名称。 |
| AttachmentId |
Edm.String |
否 |
电子邮件附件的标识符。 |
| AttachmentSizeInBytes |
Edm.Int64 |
否 |
附件的大小(以字节为单位)。 |
| SaveToSentItems |
Edm.Boolean |
否 |
指示是否应将项目保存到已发送邮件文件夹的标志。 |
| Teams |
Self.TeamsData |
否 |
Microsoft与 Teams 相关的数据。 |
ExchangeAggregatedMailboxAuditRecord 架构
ExchangeAggregatedOperationRecord 架构
| 参数 |
类型 |
强制? |
说明 |
| OperationCount |
Edm.Int32 |
否 |
此记录中聚合的作总数。 |
| AggregateDurationInSeconds |
Edm.Int32 |
否 |
所有聚合作的总持续时间(以秒为单位)。 |
ExchangeItem 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| Id |
Edm.String |
是 |
存储 ID。 |
| Subject |
Edm.String |
否 |
访问的邮件的主题行。 |
| ParentFolder |
Self.ExchangeFolder |
否 |
项目所在的文件夹名称。 |
| ParentMessage |
自我。ExchangeMessage |
否 |
如果此项是嵌套的,则为父消息。 |
| Attachments |
Edm.String |
否 |
附加到邮件中的所有项的名称和文件大小列表。 |
| ImmutableId |
Edm.String |
否 |
项的永久、不变的标识符。 |
| InternetMessageId |
Edm.String |
否 |
Internet 消息标识符。 |
| ComplianceLabel |
Edm.String |
否 |
应用于项的符合性标签。 |
| IsRecord |
Edm.Boolean |
否 |
指示项是否为记录的标志。 |
| IsPriorityCleanup |
Edm.Boolean |
否 |
优先级清理处理的标志 |
| SizeInBytes |
Edm.Int64 |
否 |
Exchange 项的大小(以字节为单位)。 |
| 敏感度 |
Edm.String |
否 |
指示项 (的敏感度级别,例如普通、个人、专用、机密) 。 |
LocalQueueADLookupInfo 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| Puid |
Edm.String |
否 |
Microsoft帐户或用户对象的 Passport 唯一标识符 (Puid) 。 |
| OrgIdPuid |
Edm.String |
否 |
组织标识符 PUID。 |
| Smtp |
Edm.String |
否 |
AD 查找的 SMTP 地址。 |
| SearchScope |
Edm.String |
否 |
Active Directory 搜索范围 |
| ConsumerMailbox |
Edm.String |
否 |
指示此邮箱是否为使用者邮箱的标志。 |
EmailAddress 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| 地址 |
Edm.String |
否 |
Email与用户关联的地址。 |
| 名称 |
Edm.String |
否 |
电子邮件地址的显示名称。 |
ExchangeFolder 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| Id |
Edm.String |
是 |
文件夹对象的存储 ID。 |
| Path |
Edm.String |
否 |
访问的邮件所在的邮箱文件夹的名称。 |
| 名称 |
Edm.String |
否 |
文件夹名称 |
| MemberSid |
Edm.String |
否 |
成员安全标识符 |
| MemberRights |
Edm.String |
否 |
对文件夹的访问权限 |
| MemberUpn |
Edm.String |
否 |
成员用户主体名称 |
ExchangeMessage 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| Id |
Edm.String |
是 |
消息的唯一标识符。 |
| Path |
Edm.String |
否 |
消息所在的路径 |
ExchangeFolderItem 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| Id |
Edm.String |
否 |
标识 Exchange 中的文件夹项的 guid。 |
| ImmutableId |
Edm.String |
否 |
每个 Exchange 文件夹项的不可变标识符。 |
| InternetMessageId |
Edm.String |
否 |
每个文件夹项的 Internet 邮件标识符。 |
| CreationTime |
Edm.Date |
否 |
创建记录/项的时间。 |
| 主题 |
Edm.String |
否 |
记录/项的主题。 |
| SizeInBytes |
Edm.Int64 |
否 |
记录/项的大小(以字节为单位)。 |
| 敏感度 |
Edm.String |
否 |
记录/项的敏感度标签。 |
| ClientRequestId |
Edm.String |
否 |
触发作的客户端请求的唯一标识符。 |
| Teams |
Self.TeamsData |
否 |
Microsoft Teams 相关数据 |
ExchangeMessageItem 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| Id |
Edm.String |
否 |
标识 Exchange 消息项的 guid。 |
| SizeInBytes |
Edm.Int64 |
否 |
消息的大小(以字节为单位),包括任何附件。 |
ExchangeAggregatedFolder 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| Id |
Edm.String |
是 |
聚合文件夹的 guid。 |
| Path |
Edm.String |
否 |
聚合文件夹的路径。 |
| FolderItems |
集合 (Self。ExchangeFolderItem) |
否 |
Exchange 文件夹项的集合。 |
ExchangeAggregatedMessage 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| Id |
Edm.String |
是 |
聚合消息容器的 guid。 |
| Path |
Edm.String |
否 |
聚合消息的路径。 |
| MessageItems |
集合 (Self。ExchangeMessageItem) |
否 |
交换邮件项的集合。 |
OWA 身份验证架构
| 参数 |
类型 |
强制? |
说明 |
| UniqueTokenIdentifier |
Edm.String |
否 |
资源的唯一标识符。 |
| ResourceURL |
Edm.String |
否 |
资源 URL。 |
Azure Active Directory 基本架构
| 参数 |
类型 |
强制? |
说明 |
| AzureActiveDirectoryEventType |
Self.AzureActiveDirectoryEventType |
是 |
Microsoft Entra 事件的类型。 |
| ExtendedProperties |
Collection(Common.NameValuePair) |
否 |
Microsoft Entra 事件的扩展属性。 |
| ModifiedProperties |
Collection(Common.ModifiedProperty) |
否 |
该属性包含在管理员事件中。 该属性包括已修改属性的名称、已修改属性的新值和已修改属性的先前值。 |
枚举:AzureActiveDirectoryEventType - 类型 - Edm.Int32
AzureActiveDirectoryEventType
| 成员名称 |
说明 |
| AccountLogon |
帐户登录事件。 |
| AzureApplicationAuditEvent |
Azure 应用程序安全事件。 |
Azure Active Directory 帐户登录架构
| 参数 |
类型 |
强制? |
说明 |
| Application |
Edm.String |
否 |
触发帐户登录活动的应用程序,如 Office 15。 |
| Client |
Edm.String |
否 |
有关客户端设备、设备 OS 和用于帐户登录事件的设备浏览器的详细信息。 |
| LoginStatus |
Edm.Int32 |
是 |
此属性直接来自 OrgIdLogon.LoginStatus。 各种有趣的登录失败映射可以通过警报算法来完成。 |
| UserDomain |
Edm.String |
是 |
租户标识信息 (TII)。 |
枚举:CredentialType - 类型:Edm.Int32
| 值 |
成员名称 |
说明 |
| -1 |
Other |
其他身份验证。 |
| 0 |
Password |
用户凭据是用户名和密码。 |
| 1 |
MobilePhone |
用户凭据是移动电话。 |
| 2 |
SecretQuestion |
用户凭据是机密问题。 |
| 3 |
SecurePin |
用户凭据是安全 PIN。 |
| 4 |
SecurePinReset |
用户凭据是安全 PIN 重置。 |
| 11 |
EasyID |
用户凭据是 EasyID。 |
| 14 |
PasswordIndexCredentialType |
用户凭据是 PasswordIndexCredentialType。 |
| 16 |
Device |
用户凭据是设备。 |
| 17 |
ForeignRealmIndex |
用户凭据是 ForeignRealmIndex。 |
枚举:LoginType - 类型:Edm.Int32
| 值 |
成员名称 |
说明 |
| -1 |
Other |
其他 i 类型。 |
| 1 |
InitialAuth |
使用初始身份验证登录 |
| 2 |
CookieCopy |
使用 cookie 登录。 |
| 3 |
SilentReAuth |
通过无提示重新身份验证登录。 |
枚举:AuthenticationMethod - 类型:Edm.Int32
| 值 |
成员名称 |
说明 |
| 0 |
Min |
身份验证方法是 Min |
| 1 |
Password |
身份验证方法是密码。 |
| 2 |
Digest |
身份验证方法是摘要。 |
| 3 |
ProxyAuth |
身份验证方法是 ProxyAuth。 |
| 4 |
InfoCard |
身份验证方法是 InfoCard。 |
| 5 |
DAToken |
身份验证方法是 DAToken。 |
| 6 |
Sha1RememberMyPassword |
身份验证方法是 Sha1RememberMyPassword。 |
| 7 |
LMPasswordHash |
身份验证方法是 LMPasswordHash。 |
| 8 |
ADFSFederatedToken |
身份验证方法是 ADFSFederatedToken。 |
| 9 |
EID |
身份验证方法是 EID。 |
| 10 |
DeviceID |
身份验证方法是 DeviceID。 |
| 11 |
MD5 |
身份验证方法是 MD5。 |
| 12 |
EncProxyPasswordHash |
身份验证方法是 EncProxyPasswordHash。 |
| 13 |
LWAFederation |
身份验证方法是 LWAFederation。 |
| 14 |
Sha1HashedPassword |
身份验证方法是 Sha1HashedPassword。 |
| 15 |
SecurePin |
身份验证方法是安全 Pin。 |
| 16 |
SecurePinReset |
身份验证方法是安全 PIN 重置。 |
| 17 |
SAML20PostSimpleSign |
身份验证方法是 SAML20PostSimpleSign。 |
| 18 |
SAML20Post |
身份验证方法是 SAML20Post。 |
| 19 |
OneTimeCode |
身份验证方法是一次性代码。 |
Azure Active Directory 架构
| 参数 |
类型 |
强制? |
说明 |
| Actor |
Collection(Self.IdentityTypeValuePair) |
否 |
执行操作的用户或服务主体。 |
| ActorContextId |
Edm.String |
否 |
参与者所属组织的 GUID。 |
| ActorIpAddress |
Edm.String |
否 |
IPV4 或 IPV6 地址格式的参与者 IP 地址。 |
| InterSystemsId |
Edm.String |
否 |
在 Office 365 服务的组件之间跟踪操作的 GUID。 |
| IntraSystemsId |
Edm.String |
否 |
Azure Active Directory 生成的用来跟踪操作的 GUID。 |
| SupportTicketId |
Edm.String |
否 |
在“代表操作”情况下针对操作的客户支持票证 ID。 |
| Target |
Collection(Self.IdentityTypeValuePair) |
否 |
对其执行操作(由 Operation 属性标识)的用户。 |
| TargetContextId |
Edm.String |
否 |
目标用户所属组织的 GUID。 |
复杂类型 IdentityTypeValuePair
| 参数 |
类型 |
强制? |
说明 |
| ID |
Edm.String |
是 |
给定类型的标识值。 |
| Type |
Self.IdentityType |
是 |
标识类型。 |
枚举:IdentityType - 类型:Edm.Int32
IdentityType
| 成员名称 |
说明 |
| Claim |
标识是用于授权目的的声明。 |
| Name |
审核操作参与者或目标标识显示名称。 |
| Other |
参与者标识是其他类型,例如由 Office 365 服务生成的 GUID 的 ObjectId。 |
| PUID |
审核操作参与者或目标 passport 唯一 ID (PUID)。 |
| SPN |
如果操作是由 Office 365 服务执行的,服务主体的身份。 |
| UPN |
用户主体名称。 |
Azure Active Directory 安全令牌服务 (STS) 登录架构
| 参数 |
类型 |
强制? |
说明 |
| ApplicationId |
Edm.String |
否 |
表示正在请求登录的应用程序的 GUID。 可以通过 Azure Active Directory Graph API 查找显示名称。 |
| Client |
Edm.String |
否 |
客户端设备信息,由执行登录的浏览器提供。 |
| DeviceProperties |
Collection(Common.NameValuePair) |
否 |
此属性包含各种设备详细信息,包括 ID、显示名称、操作系统、浏览器、IsCompliant、IsCompliantAndManaged、SessionId 和 DeviceTrustType。 DeviceTrustType 属性可具有以下值:
0 - 已注册Microsoft Entra
1 - 已加入Microsoft Entra
2 - 已加入混合Microsoft Entra |
| ErrorCode |
Edm.String |
否 |
对于失败的登录("操作"属性的值为 UserLoginFailed),此属性包含 Azure Active Directory STS (AADSTS) 错误代码。 有关这些错误代码的说明,请参阅 身份验证和授权错误。 登录名 0 表示登录成功。 |
| LogonError |
Edm.String |
否 |
对于登录失败,此属性包含用户可阅读的登录失败原因说明。 |
DLP 架构
Microsoft Purview 中的数据丢失防护 (DLP) 事件适用于 Exchange Online、Endpoint (设备) 以及 SharePoint 和 OneDrive。
DLP 事件始终位于 UserKey="DlpAgent" 通用架构中。 有三种类型的 DlpEvents,它们被存储为常见架构的 Operation 属性值:
-
DlpRuleMatch:指示已匹配规则。 这些事件存在于所有 Exchange、Endpoint (设备) 以及 SharePoint 和 OneDrive 中。 对于 Exchange,它包含误报和重写信息。 对于 SharePoint 和 OneDrive,误报和替代会生成单独的事件。
-
DlpRuleUndo:仅限 SharePoint 和 OneDrive。 指示以前应用的策略作已“撤消”,原因如下:
- 用户 AFalse 正/替代指定。
- 由于策略更改或文档) 中内容的更改,文档不再受策略 (的约束。
-
DlpInfo:仅限 SharePoint 和 OneDrive。 指示误报指定,但没有“撤消”作。
| 参数 |
类型 |
强制 |
说明 |
| SharePointMetaData |
Self.SharePointMetadata |
否 |
描述 SharePoint 或 OneDrive 中包含敏感信息的文档的元数据。 |
| ExchangeMetaData |
Self.ExchangeMetadata |
否 |
介绍有关包含敏感信息的电子邮件的元数据。 |
| EndpointMetaData |
自我。EndpointMetadata |
否 |
描述包含敏感信息的终结点中有关文档的元数据 |
| ExceptionInfo |
Edm.String |
否 |
确定策略不再适用的原因和/或最终用户指出的有关误报和/或重写的任何信息。 |
| PolicyDetails |
Collection(Self.PolicyDetails) |
是 |
有关触发 DLP 事件的一个或多个策略的信息。 |
| SensitiveInfoDetectionIsIncluded |
Boolean |
是 |
指示事件是否包含来自源内容的敏感数据类型和相关上下文的值。 访问敏感数据需要 Azure Active Directory 中的“读取包括敏感详细信息的 DLP 策略事件”权限。 |
电子数据展示架构
电子数据展示审核架构旨在捕获和记录与组织内电子数据展示过程相关的活动。
| 参数 |
类型 |
强制 |
说明 |
| CaseId |
Edm.Guid |
否 |
电子数据展示事例的标识 (GUID) 。 |
| CaseName |
Edm.String |
否 |
电子数据展示事例的名称。 |
| Object1Id |
Edm.String |
否 |
对象的 ID (例如,创建、访问或更改的搜索、保留或审阅集) 。 |
| Object1Name |
Edm.String |
否 |
对象的名称 (,例如,创建、访问或更改的搜索、保留或审阅集) 。 |
| Object1Type |
Edm.String |
否 |
用户创建、删除或修改的电子数据展示对象的类型。 |
| Object2Id |
Edm.String |
否 |
对象的 ID (例如,创建、访问或更改的搜索、保留或审阅集) 。 |
| Object2Name |
Edm.String |
否 |
对象的名称 (,例如,创建、访问或更改的搜索、保留或审阅集) 。 |
| Object2Type |
Edm.String |
否 |
用户创建、删除或修改的电子数据展示对象的类型。 |
| StartTime |
Edm.Date |
否 |
协调世界时 (UTC) 启动电子数据展示活动的日期和时间。 |
| EndTime |
Edm.Date |
否 |
协调世界时 (UTC) 电子数据展示活动结束时的日期和时间。 |
| UserCancelled |
Edm.Boolean |
否 |
用户是否取消了特定活动。 |
| ItemIds |
Collection(Edm.String) |
否 |
与活动关联的项 ID。 |
| ItemNames |
Collection(Edm.String) |
否 |
与活动关联的项名称。 |
| DataSources |
Collection(Edm.String) |
否 |
与活动关联的源 ID、源名称和位置的列表。 |
| QueryId |
Edm.String |
否 |
与活动关联的查询的 ID。 |
| QueryText |
Edm.String |
否 |
与活动关联的查询文本,例如搜索统计信息过程或添加到评审过程。 |
| QueryFiles |
Collection(Edm.String) |
否 |
用于生成查询的输入文件名。 这是特定于按文件搜索手势的。 |
| 设置 |
Collection(Common.NameValuePair) |
否 |
应用于电子数据展示活动的设置。 |
| ExtendedProperties |
Collection(Common.NameValuePair) |
否 |
与电子数据展示活动相关的其他属性。 |
| ExportName |
Edm.String |
否 |
电子数据展示导出的名称。 |
| JobId |
Edm.String |
否 |
电子数据展示过程的 GUID。 |
| RecordNumber |
Edm.String |
否 |
当审核记录因大小而划分为多个部分时使用。 它指示总拆分中每个部分的顺序。 |
| 参数 |
类型 |
强制? |
说明 |
| From |
Edm.String |
是 |
触发事件的用户。 值为 FileOwner、LastModifier 或 LastSharer。 |
| itemCreationTime |
Edm.Date |
是 |
记录事件时的 UTC 日期/时间戳。 |
| SiteCollectionGuid |
Edm.Guid |
是 |
网站集的 GUID。 |
| SiteCollectionUrl |
Edm.String |
是 |
SharePoint 网站名称。 |
| FileName |
Edm.String |
是 |
路径名称。 |
| FileOwner |
Edm.String |
是 |
文档所有者。 |
| FilePathUrl |
Edm.String |
是 |
文档的 URL |
| DocumentLastModifier |
Edm.String |
是 |
上次修改文档的用户。 |
| DocumentSharer |
Edm.String |
是 |
上次修改共享文档的用户。 |
| UniqueId |
Edm.String |
是 |
标识文件的 guid。 |
| LastModifiedTime |
Edm.DateTime |
是 |
上次修改文档时的 UTC 时间戳。 |
| IsViewableByExternalUsers |
Edm.Boolean |
是 |
确定文件是否可供任何外部用户访问。 |
| 参数 |
类型 |
强制? |
说明 |
| MessageID |
Edm.String |
是 |
触发事件的电子邮件消息 ID。 |
| From |
Edm.String |
是 |
发送电子邮件的用户。 |
| To |
Collection(Edm.String) |
否 |
邮件“收件人”行上的电子邮件地址集合。 |
| CC |
Collection(Edm.String) |
否 |
邮件“抄送”行上的电子邮件地址集合。 |
| BCC |
Collection(Edm.String) |
否 |
邮件“密件抄送”行上的电子邮件地址集合。 |
| Subject |
Edm.String |
是 |
电子邮件主题。 |
| 发件箱 |
Edm.DateTime |
是 |
发送电子邮件时的 UTC 时间。 |
| RecipientCount |
Edm.Int32 |
是 |
邮件“收件人”、“抄送”和“密件抄送”行上的所有收件人总数。 |
| 参数 |
类型 |
强制? |
说明 |
| SensitiveInformation |
Collection(Self.SensitiveInformation) |
否 |
有关检测到的敏感信息类型的信息。 |
| EnforcementMode |
Edm.String |
是 |
指示 DLP 规则是否设置为 1/2/3/4/5,描述审核/警告 (块,并分别) /警告和绕过/阻止/允许 (审核而不) 警报。 |
| FileExtension |
Edm.String |
否 |
包含敏感信息的文档的文件扩展名。 |
| FileType |
Edm.String |
否 |
包含敏感信息的文档的文件类型。 |
| DeviceName |
Edm.String |
否 |
检测到 DLP 规则匹配的设备的名称。 |
PolicyDetails 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| PolicyId |
Edm.Guid |
是 |
此事件 DLP 策略的 guid。 |
| PolicyName |
Edm.String |
是 |
此事件 DLP 策略的友好名称。 |
| Rules |
Collection(Self.Rules) |
是 |
关于策略中匹配此事件的规则的信息。 |
Rules 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| RuleId |
Edm.Guid |
是 |
此事件 DLP 规则的 guid。 |
| RuleName |
Edm.String |
是 |
此事件 DLP 规则的友好名称。 |
| Actions |
Collection(Edm.String) |
否 |
由于 DLP RuleMatch 事件而采取的操作列表。 |
| OverriddenActions |
Collection(Edm.String) |
否 |
先前采取的由于 DLPRuleUndo 事件而撤销的操作列表。 |
| Severity |
Edm.String |
否 |
规则匹配的严重性(低、中和高)。 |
| RuleMode |
Edm.String |
是 |
指示 DLP 规则是否设置为“强制使用”、“在通知情况下审核”或“仅审核”。 |
| ConditionsMatched |
Self.ConditionsMatched |
否 |
关于此事件匹配规则条件的详细信息。 |
ConditionsMatched 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| SensitiveInformation |
Collection(Self.SensitiveInformation) |
否 |
有关检测到的敏感信息类型的信息。 |
| DocumentProperties |
Collection(NameValuePair) |
否 |
有关触发规则匹配的文档属性的信息。 |
| OtherConditions |
Collection(NameValuePair) |
否 |
描述匹配的任何其他条件的键值对列表。 |
| 参数 |
类型 |
强制? |
说明 |
| Confidence |
Edm.Int |
是 |
敏感信息类型的所有模式匹配聚合置信度。 |
| Count |
Edm.Int |
是 |
检测到的敏感实例总数。 |
| 位置 |
Edm.String |
否 |
|
| SensitiveType |
Edm.Guid |
是 |
识别检测到的敏感数据类型的 guid。 |
| SensitiveInformationDetections |
Self.SensitiveInformationDetections |
否 |
包含敏感信息数据的对象的数组,其详细信息如下:匹配值和匹配值的上下文。 |
SensitiveInformationDetailed
ClassificationAttributes |
Collection (SensitiveInformationDetailed
ConfidenceLevelResult) |
是 |
有关为三个置信度 (高、中和低) 检测到的敏感信息类型的计数的信息,并且是否与 DLP 规则匹配。 |
| SensitiveInformationTypeName |
Edm.String |
否 |
敏感信息类型的名称。 |
| UniqueCount |
Edm.Int32 |
是 |
检测到的敏感实例唯一计数。 |
| 参数 |
类型 |
强制? |
说明 |
| Confidence |
Edm.Int32 |
是 |
检测到的模式置信度水平。 |
| 计数 |
Edm.Int32 |
是 |
针对特定置信度级别检测到的敏感实例数。 |
| IsMatch |
Edm.Boolean |
是 |
指示检测到的敏感类型的给定计数和置信度水平是否导致 DLP 规则匹配。 |
只有已拥有“读取 DLP 敏感数据”权限的用户,才能通过活动源 API 访问 DLP 敏感数据。
| 参数 |
类型 |
强制? |
说明 |
| DetectedValues |
Collection(Common.NameValuePair) |
是 |
检测到的敏感信息数组。 信息包含 Value = 匹配值的键值对 (例如。信用卡) 和 Context 的值 = 包含匹配值的源内容的摘录。 |
| ResultsTruncated |
Edm.Boolean |
是 |
指示日志是否由于大量结果而被截断。 |
ExceptionInfo 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| Reason |
Edm.String |
否 |
对于 DLPRuleUndo 事件,这说明了为什么规则不再适用,原因可能是以下 3 个中的一个:重写、文档更改或策略更改 |
| FalsePositive |
Edm.Boolean |
否 |
指示用户是否将此事件指定为误报。 |
| Justification |
Edm.String |
否 |
如果用户选择重写策略,则可以在此捕获任何用户指定的理由。 |
| Rules |
Collection(Edm.Guid) |
否 |
指定为误报或替代或撤消作的每个规则的 GUID 集合。 |
安全与合规中心架构
| 参数 |
类型 |
强制 |
说明 |
| StartTime |
Edm.Date |
否 |
运行 cmdlet 的日期和时间。 |
| ClientRequestId |
Edm.String |
否 |
一个 GUID,可用于将此 cmdlet 与门户作相关联。 此信息仅由Microsoft支持人员使用。 |
| CmdletVersion |
Edm.String |
否 |
运行 cmdlet 时的内部版本。 |
| EffectiveOrganization |
Edm.String |
否 |
受 cmdlet 影响的组织 GUID。 (已弃用:此参数最终将停止显示。) |
| UserServicePlan |
Edm.String |
否 |
分配给运行 cmdlet 的用户的服务计划。 |
| ClientApplication |
Edm.String |
否 |
如果 cmdlet 由应用程序运行,而不是远程 PowerShell,则此字段包含应用程序名称。 |
| 参数 |
Edm.String |
否 |
与不包含个人数据的 cmdlet 一起使用的参数的名称和值。 |
| NonPiiParameters |
Edm.String |
否 |
用于包含个人数据的 cmdlet 的参数的名称和值。 (已弃用:此字段最终将停止显示,其内容将与“参数”字段合并。) |
安全与合规警报架构
警报信号包括:
这些事件的 UserId 和 UserKey 始终为 SecurityComplianceAlerts。 有三种类型的警报事件,它们被存储为常见架构的 Operation 属性值:
-
AlertTriggered:由于策略匹配,会生成新警报。
-
AlertEntityGenerated:将新实体添加到警报。 此事件仅适用于基于Microsoft Defender门户中的警报策略生成的警报。 每个生成的警报都可与一个或多个上述事件相关联。 例如,如果任何用户在 5 分钟内删除了超过 100 个文件,则定义警报策略以触发警报。 如果两个用户大约在同一时间超过阈值,则存在两个 AlertEntityGenerated 事件,但只有一个 AlertTriggered 事件。
-
AlertUpdated:对警报的元数据进行了更新。 当警报的状态更改 (例如,从 “活动 ”更改为“ 已解决) ”以及有人向警报添加注释时,将记录此事件。
| 参数 |
类型 |
强制 |
说明 |
| AlertId |
Edm.Guid |
是 |
警报的 GUID。 |
| AlertType |
Self.String |
是 |
警报的类型。 警报类型包括: |
| Name |
Edm.String |
是 |
警报的名称。 |
| PolicyId |
Edm.Guid |
否 |
触发了警报的策略的 GUID。 |
| Status |
Edm.String |
否 |
警报的状态。 状态包括: |
| Severity |
Edm.String |
否 |
警报的严重性。 严重性级别包括: |
| 类别 |
Edm.String |
否 |
警报的类别。 类别包括:- AccessGovernance
- DataGovernance
- DataLossPrevention
- InsiderRiskManagement
- MailFlow
- ThreatManagement
- 其他
|
| Source |
Edm.String |
否 |
警报的来源。 来源包括: |
| Comments |
Edm.String |
否 |
查看过警报的用户留下的注释。 默认情况下为“新警报”。 |
| Data |
Edm.String |
否 |
警报或警报实体的详细数据 blob。 |
| AlertEntityId |
Edm.String |
否 |
警报实体的标识符。 此参数仅适用于 AlertEntityGenerated 事件。 |
| EntityType |
Edm.String |
否 |
警报或警报实体的类型。 实体类型包括:- User
- Recipients
- Sender
- MalwareFamily
此参数仅适用于 AlertEntityGenerated 事件。 |
Viva Engage架构
审核日志搜索中返回Viva Engage事件使用此架构。
| 参数 |
类型 |
强制 |
说明 |
| ActorUserId |
Edm.String |
否 |
执行操作的用户的电子邮件。 |
| ActorYammerUserId |
Edm.Int64 |
否 |
执行操作的用户的 ID。 |
| DataExportType |
Edm.String |
否 |
如果数据导出包括邮件、备注、文件、主题、用户和组,则返回“data”;如果数据导出仅包括用户,则返回“user”。 |
| FileId |
Edm.Int64 |
否 |
操作中的文件 ID。 |
| FileName |
Edm.String |
否 |
操作中的文件名称。 如果与作无关,则显示为空白。 |
| GroupName |
Edm.String |
否 |
操作中的组名称。 如果与作无关,则显示为空白。 |
| IsSoftDelete |
Edm.Boolean |
否 |
如果网络数据保留策略设置为“软删除”,返回“true”;如果网络数据保留策略设置为“硬删除”,则返回“false”。 |
| MeetingId |
Edm.String |
否 |
作中事件/团队会议的 ID。 |
| MessageId |
Edm.Int64 |
否 |
操作中的消息 ID。 |
| ModifiedProperties |
Collection(ModifiedProperty) |
否 |
包括已修改的属性的名称、已修改对象的新值和已修改对象的上一个值。 |
| YammerNetworkId |
Edm.Int64 |
否 |
执行操作的用户的网络 ID。 |
| TargetObjectId |
Edm.String |
否 |
作中目标用户的 Entra ID。 |
| TargetUserId |
Edm.String |
否 |
操作中的目标用户的电子邮件。 如果与作无关,则显示为空白。 |
| TargetYammerUserId |
Edm.Int64 |
否 |
操作中的目标用户的 ID。 |
| ThreadId |
Edm.Int64 |
否 |
作中消息线程的 ID。 |
| VersionId |
Edm.Int64 |
否 |
操作中文件的版本 ID。 |
数据中心安全基本架构
枚举:DataCenterSecurityEventType - 类型:Edm.Int32
DataCenterSecurityEventType
| 成员名称 |
说明 |
| DataCenterSecurityCmdletAuditEvent |
这是 cmdlet 审核类型事件的枚举值。 |
数据中心安全 Cmdlet 架构
| 参数 |
类型 |
强制? |
说明 |
| StartTime |
Edm.Date |
是 |
Cmdlet 执行的开始时间。 |
| EffectiveOrganization |
Edm.String |
是 |
提升/cmdlet 面向的租户的名称。 |
| ElevationTime |
Edm.Date |
是 |
提升的开始时间。 |
| ElevationApprover |
Edm.String |
是 |
Microsoft 管理员名称。 |
| ElevationApprovedTime |
Edm.Date |
否 |
批准提升的时间戳。 |
| ElevationRequestId |
Edm.Guid |
是 |
提升请求的唯一标识符。 |
| ElevationRole |
Edm.String |
否 |
为其请求提升的角色。 |
| ElevationDuration |
Edm.Int32 |
是 |
提升处于活动状态的持续时间。 |
| GenericInfo |
Edm.String |
否 |
用于注释和其他通用信息。 |
Microsoft Teams 架构
审核日志搜索中返回Microsoft Teams 事件使用这些架构。
| 参数 |
类型 |
强制? |
说明 |
| Action |
Edm.String |
否 |
对于共享频道事件,是被邀请者或频道所有者为与团队邀请共享而采取的操作。 |
| AddOnGuid |
Edm.Guid |
否 |
生成此事件的加载项的唯一标识符。 |
| AddOnName |
Edm.String |
否 |
生成此事件的加载项名称。 |
| AddOnType |
Self.AddOnType |
否 |
生成此事件的加载项类型。 |
| ChannelGuid |
Edm.Guid |
否 |
审核中的频道的唯一标识符。 |
| ChannelName |
Edm.String |
否 |
审核中的频道名称。 |
| ChannelType |
Edm.String |
否 |
审核中的频道类型(标准/私有)。 |
| ExtraProperties |
Collection(Self.KeyValuePair) |
否 |
额外属性的列表。 |
| HostedContents |
Collection(Self.HostedContent) |
不支持 |
聊天或频道消息托管内容的集合。 |
| 被邀请者 |
Edm.String |
否 |
对于共享频道事件,接受或拒绝与团队邀请共享邀请的被邀请者团队所有者的 UPN。 |
| Members |
Collection(Self.MicrosoftTeamsMember) |
否 |
团队中的用户列表。 |
| MessageId |
Edm.String |
否 |
聊天或频道消息的标识符。 |
| MessageURLs |
Edm.String |
否 |
为在 Teams 邮件中发送的任何 URL 进行演示。 |
| 消息 |
Collection(Self.Message) |
不支持 |
聊天或频道消息的集合。 |
| MessageSizeInBytes |
Edm.Int64 |
否 |
使用 UTF-16 编码的聊天或频道消息的大小(以字节为单位)。 |
| 名称 |
Edm.String |
否 |
仅用于设置事件。 已更改的设置的名称。 |
| NewValue |
Edm.String |
否 |
仅用于设置事件。 设置的新值。 |
| OldValue |
Edm.String |
否 |
仅用于设置事件。 设置的旧值。 |
| SubscriptionId |
Edm.String |
否 |
Microsoft Graph更改通知订阅的唯一标识符。 |
| TabType |
Edm.String |
否 |
仅用于选项卡事件。 生成此事件的选项卡类型。 |
| TeamGuid |
Edm.Guid |
否 |
审核中团队的唯一标识符。 |
| TeamName |
Edm.String |
否 |
审核中的团队名称。 |
MicrosoftTeamsMember 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| UPN |
Edm.String |
否 |
用户的用户主体名称。 |
| Role |
Self.MemberRoleType |
否 |
团队中用户的角色。 |
| DisplayName |
Edm.String |
否 |
用户的显示名称。 |
枚举:MemberRoleType - 类型:Edm.Int32
MemberRoleType
| 值 |
成员名称 |
说明 |
| 0 |
Member |
属于团队成员的用户。 |
| 1 |
Owner |
担任团队所有者的用户。 |
| 2 |
Guest |
不属于团队成员的用户。 |
KeyValuePair 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| 键 |
Edm.String |
否 |
键值对的键。 |
| 值 |
Edm.String |
否 |
键值对的值。 |
枚举:AddOnType - 类型:Edm.Int32
AddOnType
| 值 |
成员名称 |
说明 |
| 1 |
Bot |
Microsoft Teams 机器人。 |
| 2 |
Connector |
Microsoft Teams 连接器。 |
| 3 |
Tab |
Microsoft Teams 选项卡。 |
HostedContent 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| Id |
Edm.String |
是 |
邮件托管内容的唯一标识符。 |
| SizeInBytes |
Edm.Int64 |
否 |
邮件托管的内容大小(以字节为单位)。 |
消息复杂类型
| 参数 |
类型 |
强制? |
说明 |
| AADGroupId |
Edm.String |
否 |
消息所属的组Azure Active Directory的唯一标识符。 |
| Id |
Edm.String |
是 |
聊天或频道消息的唯一标识符。 |
| ChannelGuid |
Edm.String |
否 |
消息所属通道的唯一标识符。 |
| ChannelName |
Edm.String |
否 |
消息所属的通道的名称。 |
| ChannelType |
Edm.String |
否 |
消息所属的通道的类型。 |
| ChatName |
Edm.String |
否 |
消息所属的聊天的名称。 |
| ChatThreadId |
Edm.String |
否 |
消息所属聊天的唯一标识符。 |
| ParentMessageId |
Edm.String |
否 |
父聊天或频道消息的唯一标识符。 |
| SizeInBytes |
Edm.Int64 |
否 |
具有 UTF-16 编码的消息大小(以字节为单位)。 |
| TeamGuid |
Edm.String |
否 |
消息所属团队的唯一标识符。 |
| TeamName |
Edm.String |
否 |
消息所属的团队的名称。 |
| 版本 |
Edm.String |
否 |
聊天或频道消息的版本。 |
Microsoft Defender for Office 365 和威胁调查与响应架构
Microsoft 365 个客户可以使用Microsoft Defender for Office 365和威胁调查和响应事件,这些客户具有Defender for Office 365、包含以太网或作为加载项订阅。 例如,Microsoft 365 商业高级版包括计划 1 Defender for Office 365,Microsoft 365 A5/E5/G5 包括计划 2 Defender for Office 365。
Defender for Office 365源中的每个事件对应于确定包含威胁的以下事件:
电子邮件事件
| 参数 |
类型 |
强制? |
说明 |
| AttachmentData |
Collection(Self.AttachmentData) |
否 |
有关触发事件的电子邮件中附件的数据。 |
| DetectionType |
Edm.String |
是 |
检测类型。 例如
具有 ZAP 检测类型的事件通常前面是具有 延迟 检测类型的消息。 |
| DetectionMethod |
Edm.String |
是 |
Defender for Office 365使用的检测方法或技术。 |
| InternetMessageId |
Edm.String |
是 |
Internet 邮件 ID。 |
| NetworkMessageId |
Edm.String |
是 |
Exchange Online 网络消息 ID。 |
| P1Sender |
Edm.String |
是 |
电子邮件服务器之间的 SMTP 传输中使用的 MAIL FROM 地址 (也称为 5321.MailFrom 地址、P1 发件人或信封发件人) 。 |
| P2Sender |
Edm.String |
是 |
发件人地址 (也称为 5322.From 电子邮件客户端中显示的地址或 P2 发件人) 。 |
| Policy |
Self.Policy |
是 |
威胁策略的类型 (例如 反垃圾邮件 或 反网络钓鱼) 和相关作类型 (例如与电子邮件相关的 高置信度垃圾邮件、 垃圾邮件或 钓鱼) 。 |
| Policy |
Self.PolicyAction |
是 |
威胁策略中配置的作 (例如“ 移动到垃圾邮件”文件夹 或 与 电子邮件相关的隔离) 。 |
| 收件人 |
Collection(Edm.String) |
是 |
电子邮件的收件人数组。 |
| SenderIp |
Edm.String |
是 |
提交消息的 IPv4 或 IPv6 地址。 |
| 主题 |
Edm.String |
是 |
邮件的主题行。 |
| Verdict |
Edm.String |
是 |
邮件裁定。 |
| MessageTime |
Edm.Date |
是 |
接收或发送电子邮件的协调世界时 (UTC) 日期和时间。 |
| EventDeepLink |
Edm.String |
是 |
指向 威胁资源管理器或实时检测中的电子邮件事件的深层链接。 |
| 发送操作 |
Edm.String |
是 |
电子邮件上的原始送达操作。 |
| 原始送达位置 |
Edm.String |
是 |
电子邮件的原始送达位置。 |
| 最新送达位置 |
Edm.String |
是 |
事件发生时电子邮件的最新送达位置。 |
| 方向性 |
Edm.String |
是 |
标识电子邮件是入站、出站还是组织内邮件。 |
| ThreatsAndDetectionTech |
Edm.String |
是 |
威胁和相应的检测技术。 此字段显示电子邮件的所有威胁,包括垃圾邮件垃圾邮件程序上的最新威胁。 例如,["Phish: [Spoof DMARC]","Spam: [URL malicious reputation]"]。 检测技术中介绍了不同的检测威胁和 检测技术。 |
| AdditionalActionsAndResults |
Collection(Edm.String) |
否 |
已对电子邮件执行的其他操作,例如 ZAP 或手动修正。 还包括相应的结果。 |
| 连接器 |
Edm.String |
否 |
与该电子邮件关联的连接器名称和 GUID。 |
| AuthDetails |
Collection(Self.AuthDetails) |
否 |
对电子邮件进行的身份验证检查。 还包括 SPF、DKIM、DMARC 和 CompAuth 的值。 |
| SystemOverrides |
Collection(Self.SystemOverrides) |
否 |
适用于电子邮件的替代。 这些可以是系统或用户替代。 |
| 网络钓鱼可信度 |
Edm.String |
否 |
指示与网络钓鱼裁定相关的可信度。 它可以是普通或高。 |
注意
建议使用新的 ThreatsAndDetectionTech 字段,因为它显示多个子项和更新的检测技术。 此字段还与你在其他体验(如 威胁资源管理器 和 高级搜寻)中看到的值一致。
检测技术
| 名称 |
说明 |
| 高级筛选器 |
基于机器学习的钓鱼信号。 |
| 反恶意软件引擎 |
来自反恶意软件引擎的检测。 |
| Campaign |
被标识为活动一部分的消息。 |
| 域的信誉 |
基于域的信誉进行分析。 |
| 文件设置 |
发现文件附件在阻止分析过程中错误。 |
| 文件创建的信誉 |
由于以前的组织信誉而标记为错误的文件附件。 |
| 文件信誉 |
文件附件由于声誉错误而标记错误。 |
| 指纹匹配 |
由于之前的邮件,该邮件被标记为错误。 |
| 常规筛选器 |
根据规则钓鱼信号。 |
| 模拟品牌 |
附件的文件类型。 |
| 模拟域 |
模拟客户拥有或定义的域。 |
| 模拟用户 |
模拟由管理员定义的用户或通过邮箱智能了解的用户。 |
| 邮箱智能模拟 |
基于邮箱智能的模拟。 |
| 混合分析检测 |
此邮件包括多个筛选器。 |
| 欺骗 DMARC |
邮件的 DMARC 身份验证失败。 |
| 欺骗外部域 |
发件人试图欺骗一些其他域。 |
| 欺骗内部组织 |
发件人试图欺骗收件人域。 |
| URL 设置 |
由于以前的恶意 URL 的攻击,此邮件被视为错误。 |
| URL 组织的信誉 |
恶意 URL 阻止将邮件视为错误。 |
| URL 恶意声誉 |
此邮件被视为恶意 URL 错误。 |
AttachmentData 复杂类型
AttachmentData
| 参数 |
类型 |
强制? |
说明 |
| FileName |
Edm.String |
是 |
附件的文件名。 |
| FileType |
Edm.String |
是 |
附件的文件类型。 |
| FileVerdict |
Self.FileVerdict |
是 |
文件恶意软件裁定。 |
| MalwareFamily |
Edm.String |
否 |
文件恶意软件系列。 |
| SHA256 |
Edm.String |
是 |
文件 SHA256 哈希。 |
注意
在 Malware 系列中,你将能够看到确切的 MalwareFamily 名称 (例如 HTML/Phish.VS!MSR) 或恶意有效负载作为静态字符串。 未识别特定名称时,恶意负载仍可被视为恶意电子邮件。
SystemOverrides 复杂类型
SystemOverrides
| 参数 |
类型 |
强制? |
说明 |
| 详细信息 |
Edm.String |
否 |
有关已应用的特定替代(例如 ETR 或安全发件人)的详细信息。 |
| FinalOverride |
Edm.String |
否 |
指示在多个替代的情况下影响传递的替代。 |
| 结果 |
Edm.String |
否 |
指示是否根据替代将电子邮件设置为已允许或已阻止。 |
| Source |
Edm.String |
否 |
指示替代是用户配置的还是租户配置的。 |
AuthDetails 复杂类型
AuthDetails
| 参数 |
类型 |
强制? |
说明 |
| Name |
Edm.String |
否 |
特定身份验证检查的名称,如 DKIM 或 DMARC。 |
| 值 |
Edm.String |
否 |
与特定身份验证检查关联的值,如 True 或 False。 |
枚举:FileVerdict - 类型:Edm.Int32
FileVerdict
| 值 |
成员名称 |
说明 |
| 0 |
Good |
未检测到任何威胁。 |
| 1 |
Bad |
在附件中发现恶意软件。 |
| -1 |
Error |
扫描/分析错误。 |
| -2 |
Timeout |
扫描/分析超时。 |
| -3 |
Pending |
扫描/分析未完成。 |
枚举:Policy - 类型:Edm.Int32
策略类型和操作类型
| 值 |
成员名称 |
说明 |
| 1 |
Anti-spam, HSPM |
高置信度垃圾邮件 (HSPM) 反垃圾邮件策略中的作。 |
| 2 |
Anti-spam, SPM |
反垃圾邮件策略中的垃圾邮件 (SPM) 作。 |
| 3 |
Anti-spam, Bulk |
反垃圾邮件策略中的批量作。 |
| 4 |
Anti-spam, PHSH |
网络钓鱼 (PHSH) 反垃圾邮件策略中的作。 |
| 5 |
Anti-phish, DIMP |
域模拟 (DIMP) 反钓鱼策略中的作。 |
| 6 |
Anti-phish, UIMP |
用户模拟 (UIMP) 反钓鱼策略中的作。 |
| 7 |
Anti-phish, SPOOF |
反钓鱼策略中的欺骗作。 |
| 8 |
Anti-phish, GIMP |
反钓鱼策略中的邮箱智能作。 |
| 9 |
Anti-malware, AMP |
反恶意软件策略中的恶意软件策略作。 |
| 10 |
安全附件、SAP |
安全附件策略中的策略作。 |
| 11 |
Exchange transport rule, ETR |
Exchange 邮件流规则中的策略作 (也称为传输规则) 。 |
| 12 |
Anti-malware, ZAPM |
应用于零小时自动清除 (ZAP) 的反恶意软件策略中的恶意软件策略作。 |
| 13 |
Anti-phish, ZAPP |
应用于 ZAP 的反网络钓鱼策略中的网络钓鱼策略作。 |
| 14 |
Anti-phish, ZAPS |
应用于 ZAP 的反垃圾邮件策略中的垃圾邮件策略作。 |
| 15 |
反垃圾邮件、高可信度钓鱼电子邮件 (HPHISH) |
反垃圾邮件策略中的高置信度钓鱼策略作。 |
| 17 |
反垃圾邮件、出站垃圾邮件策略 (OSPM) |
出站垃圾邮件策略中的策略作。 |
枚举:PolicyAction - 类型:Edm.Int32
策略操作
| 值 |
成员名称 |
说明 |
| 0 |
MoveToJMF |
策略作是将邮件移动到“垃圾邮件Email”文件夹。 |
| 1 |
AddXHeader |
策略作是向电子邮件添加 X 标头。 |
| 2 |
ModifySubject |
策略作是使用威胁策略指定的信息修改电子邮件中的主题。 |
| 3 |
Redirect |
策略作是将电子邮件重定向到威胁策略指定的电子邮件地址。 |
| 4 |
Delete |
策略操作是删除电子邮件。 |
| 5 |
Quarantine |
策略操作是隔离电子邮件。 |
| 6 |
NoAction |
策略被配置为不对电子邮件执行任何操作。 |
| 7 |
BccMessage |
策略作是将电子邮件密件抄送到威胁策略指定的电子邮件地址。 |
| 8 |
ReplaceAttachment |
策略作是替换威胁策略指定的电子邮件中的附件。 |
URL 单击时事件
| 参数 |
类型 |
强制? |
说明 |
| UserID |
Edm.String |
是 |
标识符 (例如,单击 URL 的用户的电子邮件地址) 。 |
| AppName |
Edm.String |
是 |
从中单击 URL 的 Office 365 服务(例如邮件)。 |
| URLClickAction |
Self.URLClickAction |
是 |
根据组织的 安全链接策略单击 URL 的作。 |
| SourceId |
Edm.String |
是 |
从中单击 URL 的Office 365服务的标识符 (例如,对于电子邮件,此值是Exchange Online网络消息 ID) 。 |
| TimeOfClick |
Edm.Date |
是 |
用户单击 URL 时的协调世界时 (UTC) 日期和时间。 |
| URL |
Edm.String |
是 |
用户单击 URL。 |
| UserIp |
Edm.String |
是 |
单击 URL 的用户的 IPv4 或 IPv6 地址。 |
枚举:URLClickAction - 类型:Edm.Int32
URLClickAction
| 值 |
成员名称 |
说明 |
| 2 |
Blockpage |
安全链接阻止用户导航到 URL。 |
| 3 |
PendingDetonationPage |
安全 链接向用户呈现了引爆挂起页面。 |
| 4 |
BlockPageOverride |
安全 链接阻止用户导航到 URL,但用户越过该块导航到 URL。 |
| 5 |
PendingDetonationPageOverride |
用户通过 安全链接显示引爆页面,但用户越过页面导航到 URL。 |
文件事件
| 参数 |
类型 |
强制? |
说明 |
| FileData |
Self.FileData |
是 |
有关触发事件的文件的数据。 |
| SourceWorkload |
Self.SourceWorkload |
是 |
在其中找到文件的工作负载或服务 (,例如 SharePoint、OneDrive 或 Microsoft Teams) |
| DetectionMethod |
Edm.String |
是 |
Microsoft Defender for Office 365 用于检测的方法或技术。 |
| LastModifiedDate |
Edm.Date |
是 |
创建文件或上次修改文件时的协调世界时 (UTC) 日期和时间。 |
| LastModifiedBy |
Edm.String |
是 |
创建或上次修改文件的用户的标识符(例如,电子邮件地址)。 |
| EventDeepLink |
Edm.String |
是 |
在 威胁资源管理器或实时检测中深层链接到文件事件。 |
FileData 复杂类型
FileData
| 参数 |
类型 |
强制? |
说明 |
| DocumentId |
Edm.String |
是 |
SharePoint、OneDrive 或 Microsoft Teams 中文件的唯一标识符。 |
| FileName |
Edm.String |
是 |
触发事件的文件的名称。 |
| FilePath |
Edm.String |
是 |
SharePoint、OneDrive 或 Microsoft Teams 中文件的路径(位置)。 |
| FileVerdict |
Self.FileVerdict |
是 |
文件恶意软件裁定。 |
| MalwareFamily |
Edm.String |
否 |
文件恶意软件系列。 |
| SHA256 |
Edm.String |
是 |
文件 SHA256 哈希。 |
| FileSize |
Edm.String |
是 |
文件大小(以字节为单位)。 |
枚举:SourceWorkload - 类型:Edm.Int32
SourceWorkload
| 值 |
成员名称 |
| 0 |
SharePoint |
| 1 |
OneDrive |
| 2 |
Microsoft Teams |
攻击模拟架构
有关Defender for Office 365计划 2 中的攻击模拟和训练的详细信息,请参阅开始使用攻击模拟训练。
| 参数 |
类型 |
强制? |
说明 |
| Batch ID |
Edm.String |
是 |
一组一起处理的记录的唯一标识符。 |
| 市场活动 ID |
Edm.String |
是 |
攻击模拟训练活动的唯一标识符。 |
| UserDisplayName |
Edm.String |
否 |
参与攻击模拟训练活动的用户的显示名称。 |
| AttackTechnique |
Edm.String |
否 |
模拟中使用的攻击技术。 |
| CampaignType |
Edm.String |
否 |
攻击模拟活动的类型。 不同类型的是模拟活动、培训活动、模拟自动化。 |
| TimeData |
Edm.Date |
否 |
市场活动启动时间。 |
| EndTimeData |
Edm.Date |
否 |
市场活动结束时间。 |
| AttackSimEvent |
Self.AttackSimEventType |
是 |
(用户活动或消息传递状态) 的事件类型。 |
| ExtendedProperties |
Collection(Common.NameValuePair) |
是 |
与审核记录关联的其他属性。 |
枚举:AttackSimEventType - 类型:Edm.Int32
| 值 |
成员名称 |
说明 |
| 1 |
MessageDelivered |
邮件已成功传递到收件人。 |
| 2 |
MessageFailed |
邮件传递失败。 |
| 6 |
CredentialEntered |
用户在网络钓鱼模拟中输入凭据,以使用凭据收集、附件中的链接等技术。 |
| 7 |
PermissionGranted |
用户在网络钓鱼模拟中授予了 Oauth 同意授予等技术的权限。 |
| 8 |
LinkClicked |
用户单击了网络钓鱼模拟 URL。 |
| 10 |
AttachmentOpened |
用户为恶意软件附件、附件中的链接等技术打开的附件。 |
| 12 |
MessageRead |
收件人打开并阅读的邮件。 |
| 13 |
MessageReplied |
收件人答复了邮件。 |
| 14 |
MessageForwarded |
转发给其他用户的消息。 |
| 15 |
MessageReported |
收件人报告为网络钓鱼的邮件。 |
| 16 |
MessageDeleted |
收件人删除的邮件。 |
| 17 |
OutOfOffice |
Outlook 中为收件人启用自动答复。 |
| 18 |
PositiveReinforcementMessageDelivered |
已成功向收件人传递正强化邮件。 |
攻击模拟管理员架构
| 参数 |
类型 |
强制? |
说明 |
| Batch ID |
Edm.String |
是 |
一组一起处理的记录的唯一标识符。 |
| 市场活动 ID |
Edm.String |
是 |
攻击模拟训练活动的唯一标识符。 |
| AttackTechnique |
Edm.String |
否 |
模拟中使用的攻击技术。 |
| CampaignType |
Edm.String |
否 |
攻击模拟活动的类型。 不同类型的是模拟活动、培训活动、模拟自动化。 |
| TimeData |
Edm.Date |
是 |
市场活动启动时间。 |
| EndTimeData |
Edm.Date |
是 |
市场活动结束时间。 |
| AttackSimAdminEvent |
Self.AttackSimAdminEventType |
是 |
攻击 sim 管理事件的类型。 |
| ExtendedProperties |
Collection(Common.NameValuePair) |
是 |
与审核记录关联的其他属性。 |
枚举:AttackSimAdminEventType - 类型:Edm.Int32
| 值 |
成员名称 |
说明 |
| 0 |
CampaignLaunched |
发起攻击模拟训练活动时。 不同类型的市场活动包括模拟、培训活动。 |
| 1 |
CampaignCompleted |
完成攻击模拟训练活动的时间。 |
| 2 |
CampaignReportDownloaded |
管理员下载了市场活动报告。 |
| 3 |
CampaignReportViewed |
管理员查看了市场活动报告。 |
| 4 |
CampaignCancelled |
取消攻击模拟训练活动时。 |
| 5 |
CampaignScheduled |
计划攻击模拟训练活动的时间。 |
| 6 |
CampaignDeleted |
删除攻击模拟训练活动时。 |
| 7 |
SimulationExcluded |
从报表中排除模拟时。 |
| 8 |
AutomationSubmitted |
提交自动化时,包括模拟和有效负载自动化。 |
| 9 |
AutomationTurnOn |
启用自动化时,包括模拟和有效负载自动化。 |
| 10 |
AutomationTurnOff |
关闭自动化时,包括模拟和有效负载自动化。 |
| 11 |
AutomationCompleted |
完成模拟自动化的时间。 |
| 12 |
AutomationDeleted |
删除自动化时,包括模拟和有效负载自动化。 |
用户培训架构
| 参数 |
类型 |
强制? |
说明 |
| Batch ID |
Edm.String |
是 |
一组一起处理的记录的唯一标识符。 |
| 市场活动 ID |
Edm.String |
是 |
攻击模拟训练活动的唯一标识符。 |
| 课程 ID |
Edm.String |
是 |
培训课程的唯一标识符。 |
| UserDisplayName |
Edm.String |
否 |
参与攻击模拟的用户的显示名称。 |
| CampaignType |
Edm.String |
是 |
攻击模拟活动的类型。 不同类型的是模拟活动、培训活动、模拟自动化。 |
| TimeData |
Edm.Date |
是 |
市场活动启动时间。 |
| EndTimeData |
Edm.Date |
是 |
市场活动结束时间。 |
| UserTrainingEvent |
Self.UserTrainingEventType |
是 |
用户训练事件的类型。 |
| ExtendedProperties |
Collection(Common.NameValuePair) |
是 |
与审核记录关联的其他属性。 |
枚举:UserTrainingEventType - 类型:Edm.Int32
| 值 |
成员名称 |
说明 |
| 1 |
TrainingAssigned |
分配给用户的训练。 |
| 2 |
TrainingUpdated |
为用户更新了培训。 |
| 3 |
TrainingCompleted |
用户已完成培训。 |
| 4 |
TrainingPreviouslyAssigned |
以前分配给用户的训练。 |
| 5 |
TrainingNotCompleted |
用户未完成分配的训练。 |
提交架构
向Microsoft提交误报或误报以供分析的事件在Exchange Online邮箱的所有组织中均可用。 提交源中的每个事件对应于以下用户提交的误报或误报:
-
管理员:提交到Microsoft以供分析的消息、文件或 URL。
-
用户:用户向管理员或Microsoft报告的消息以供审阅。
提交事件
| 参数 |
类型 |
强制? |
说明 |
| AdminSubmissionRegistered |
Edm.String |
否 |
管理员提交已注册,正在等待处理。 |
| AdminSubmissionDeliveryCheck |
Edm.String |
否 |
管理员提交系统已检查电子邮件的策略。 |
| AdminSubmissionSubmitting |
Edm.String |
否 |
管理员提交系统正在提交电子邮件。 |
| AdminSubmissionSubmitted |
Edm.String |
否 |
管理员提交系统已提交电子邮件。 |
| AdminSubmissionTriage |
Edm.String |
否 |
管理员由评分者会审的提交。 |
| AdminSubmissionTimeout |
Edm.String |
否 |
管理员提交超时,没有结果。 |
| UserSubmission |
Edm.String |
否 |
提交首先由最终用户报告。 |
| UserSubmissionTriage |
Edm.String |
否 |
用户提交由评分器进行会审。 |
| CustomSubmission |
Edm.String |
否 |
用户报告的邮件已按照用户报告邮件设置中的设置发送到组织的自定义邮箱。 |
| AttackSimUserSubmission |
Edm.String |
否 |
用户报告的消息实际上是网络钓鱼模拟训练消息。 |
| AdminSubmissionTablAllow |
Edm.String |
否 |
在提交时创建了 租户允许/阻止列表中的 允许条目,以便在重新扫描时立即对类似邮件执行作。 |
| SubmissionNotification |
Edm.String |
否 |
管理员反馈发送给最终用户。 |
Office 365 中的自动调查和响应事件
自动调查和响应 (AIR) 事件适用于Defender for Office 365计划 2(包括或作为附加订阅)Microsoft 365 客户。 例如,Microsoft 365 A5/E5/G5 包括计划 2 Defender for Office 365。
将根据调查状态的变化记录调查事件。 例如,当管理员执行的作将调查状态从“挂起的作”更改为“已完成”时,会记录事件。
目前,仅记录自动调查事件。 记录以下状态值:
- 已开始调查
- 未发现威胁
- 已由系统终止
- 挂起的操作
- 发现威胁
- 已修正
- 已失败
- 已通过限制终止
- 已由用户终止
- 正在运行
主调查架构
| 名称 |
类型 |
说明 |
| InvestigationId |
Edm.String |
调查 ID/GUID。 |
| InvestigationName |
Edm.String |
调查的名称。 |
| InvestigationType |
Edm.String |
调查的类型。 可以是下列值之一:- User-Reported 消息
- Zapped 恶意软件
- Zapped 网络钓鱼
- URL 判决更改
(目前,手动调查不可用。) |
| LastUpdateTimeUtc |
Edm.Date |
上次调查更新的 UTC 时间。 |
| StartTimeUtc |
Edm.Date |
调查的开始时间。 |
| 状态 |
Edm.String |
调查的状态,正在运行、挂起的操作等。 |
| DeeplinkURL |
Edm.String |
Microsoft Defender门户中调查的深层链接 URL。 |
| 操作 |
集合 (Edm.String) |
调查建议的作集合。 |
| Data |
Edm.String |
数据字符串,其中包含有关调查实体的更多详细信息,以及有关调查警报的信息。 实体位于数据 Blob 内的单独节点中。 |
操作
| 字段 |
类型 |
说明 |
| ID |
Edm.String |
操作 ID |
| ActionType |
Edm.String |
作的类型,例如电子邮件修正。 |
| ActionStatus |
Edm.String |
值包括: |
| ApprovedBy |
Edm.String |
如果自动批准,则为 Null;否则,则为用户名/ID(即将推出) |
| TimestampUtc |
Edm.DateTime |
作状态更改的时间戳。 |
| ActionId |
Edm.String |
作的唯一标识符。 |
| InvestigationId |
Edm.String |
用于调查的唯一标识符。 |
| RelatedAlertIds |
Collection(Edm.String) |
与调查相关的警报。 |
| StartTimeUtc |
Edm.DateTime |
作创建的时间戳。 |
| EndTimeUtc |
Edm.DateTime |
作最终状态更新时间戳。 |
| 资源标识符 |
Edm.String |
包含 Azure Active Directory 租户 ID。 |
| 实体 |
Collection(Edm.String) |
按作列出一个或多个受影响的实体。 |
| 相关警报 ID |
Edm.String |
与调查相关的警报。 |
实体
MailMessage(电子邮件)
| 字段 |
类型 |
说明 |
| 类型 |
Edm.String |
“邮件-消息” |
| 文件 |
集合 (Self.File) |
有关此邮件附件的文件的详细信息。 |
| 收件人 |
Edm.String |
此邮件的收件人。 |
| URL |
集合 (Self.URL) |
此邮件中包含的 URL。 |
| 发件人 |
Edm.String |
发件人的电子邮件地址。 |
| SenderIP |
Edm.String |
发件人的 IP 地址。 |
| ReceivedDate |
Edm.DateTime |
此消息的接收日期。 |
| NetworkMessageId |
Edm.Guid |
此邮件的网络邮件 ID。 |
| InternetMessageId |
Edm.String |
此邮件的 Internet 邮件 ID。 |
| 主题 |
Edm.String |
此邮件的主题。 |
IP
| 字段 |
类型 |
说明 |
| 类型 |
Edm.String |
“ip” |
| 地址 |
Edm.String |
作为字符串的 IP 地址,例如 127.0.0.1。 |
URL
| 字段 |
类型 |
说明 |
| 类型 |
Edm.String |
“url” |
| URL |
Edm.String |
实体指向的完整 URL。 |
邮箱(也相当于用户)
| 字段 |
类型 |
说明 |
| 类型 |
Edm.String |
“邮箱” |
| MailboxPrimaryAddress |
Edm.String |
邮箱的主地址。 |
| DisplayName |
Edm.String |
邮箱的显示名称。 |
| UPN |
Edm.String |
邮箱的 UPN。 |
文件
| 字段 |
类型 |
说明 |
| 类型 |
Edm.String |
“文件” |
| 名称 |
Edm.String |
不带路径的文件名。 |
| FileHashes |
集合 (Edm.String) |
与文件关联的文件哈希。 |
FileHash
| 字段 |
类型 |
说明 |
| 类型 |
Edm.String |
“filehash” |
| 算法 |
Edm.String |
哈希算法类型,可为以下值之一: |
| 值 |
Edm.String |
哈希值。 |
MailCluster
| 字段 |
类型 |
说明 |
| 类型 |
Edm.String |
“MailCluster”
确定正在讨论的实体的类型。 |
| NetworkMessageIds |
集合 (Edm.String) |
属于邮件群集的邮件 ID 列表。 |
| CountByDeliveryStatus |
集合 (Edm.String) |
按 DeliveryStatus 字符串表示形式的邮件计数。 |
| CountByThreatType |
集合 (Edm.String) |
按 ThreatType 字符串表示形式的邮件计数。 |
| 威胁 |
集合 (Edm.String) |
作为邮件群集一部分的邮件消息威胁数。 威胁包括网络钓鱼和恶意软件等值。 |
| 查询 |
Edm.String |
用于标识邮件群集的邮件的查询。 |
| QueryTime |
Edm.DateTime |
查询时间。 |
| MailCount |
Edm.Int |
属于邮件群集的邮件数。 |
| Source |
字符串 |
邮件群集的来源;群集源的值。 |
卫生事件架构
与出站垃圾邮件保护相关的卫生事件。 这些事件与被限制发送电子邮件的用户相关。 有关详细信息,请参阅以下文章:
| 参数 |
类型 |
强制? |
说明 |
| Audit |
Edm.String |
否 |
与卫生事件相关的系统信息。 |
| Event |
Edm.String |
否 |
卫生事件的类型。 此参数的值为已列出或已从列表中删除。 |
| EventId |
Edm.Int64 |
否 |
卫生事件类型的 ID。 |
| EventValue |
Edm.String |
否 |
受影响的用户。 |
| Reason |
Edm.String |
否 |
有关卫生事件的详细信息。 |
Power BI 架构
搜索审核日志中列出的 Power BI 事件使用此架构。
| 参数 |
类型 |
强制? |
说明 |
| AppName |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
否 |
发生事件的应用名称。 |
| DashboardName |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
否 |
发生事件的仪表板名称。 |
| DataClassification |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
否 |
数据分类(如果有),针对发生事件的仪表板。 |
| DatasetName |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
否 |
发生事件的数据集名称。 |
| MembershipInformation |
集合 (MembershipInformationType) Term=“Microsoft.Office.Audit.Schema.PIIFlag” Bool=“true” |
否 |
与组相关的成员身份信息。 |
| OrgAppPermission |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
否 |
组织应用(整个组织、特定用户或特定组)的权限列表。 |
| ReportName |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
否 |
发生事件的报表名称。 |
| SharingInformation |
Collection (SharingInformationType) Term=“Microsoft.Office.Audit.Schema.PIIFlag” Bool=“true” |
否 |
与向其发送共享邀请的人员相关的信息。 |
| SwitchState |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
否 |
与不同租户级开关的状态相关的信息。 |
| WorkSpaceName |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
否 |
发生事件的工作区名称。 |
| 参数 |
类型 |
强制? |
说明 |
| MemberEmail |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
否 |
组的电子邮件地址。 |
| 状态 |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
否 |
目前尚未填充。 |
| 参数 |
类型 |
强制? |
说明 |
| RecipientEmail |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
否 |
共享邀请的收件人的电子邮件地址。 |
| RecipientName |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
否 |
共享邀请的收件人的名称。 |
| ResharePermission |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
否 |
授予此收件人的权限。 |
Dynamics 365 架构
Dynamics 365 事件中与模型驱动应用相关的事件的审核记录同时使用基操作架构和实体操作架构。 了解更多信息,请参阅启用和禁用活动日志记录。
Dynamics 365 基本架构
| 参数 |
类型 |
强制? |
说明 |
| CrmOrganizationUniqueName |
Edm.String |
是 |
组织的唯一名称。 |
| InstanceUrl |
Edm.String |
是 |
实例的 URL。 |
| ItemUrl |
Edm.String |
否 |
发出日志记录的 URL。 |
| ItemType |
Edm.String |
否 |
实体的名称。 |
| UserAgent |
Edm.String |
否 |
组织中用户 GUID 的唯一标识符。 |
| 字段 |
Collection(Common.NameValuePair) |
否 |
一个 JSON 对象,包含已创建或更新的属性键值对。 |
Dynamics 365 实体操作架构
Dynamics 365 中模型驱动应用程的实体事件使用此架构在 Dynamics 365 基本架构上构建。 此架构包含有关触发已审核事件的实体操作的信息。
| 参数 |
类型 |
强制? |
说明 |
| entityId |
Edm.Guid |
否 |
实体的唯一标识符。 |
| EntityName |
Edm.String |
是 |
组织中实体的名称。 实体示例包含 contact 或 authentication |
| 邮件 |
Edm.String |
是 |
此参数包含对实体执行的相关操作。。 例如,如果创建了一个新联系人,则 Message 属性 Create 的值为 ,EntityName 属性 contact的相应值为 。 |
| 查询 |
Edm.String |
否 |
执行 FetchXML 操作时所用的筛选查询参数。 |
| PrimaryFieldValue |
Edm.String |
否 |
指示实体的主要字段的属性值。 |
Viva Insights架构
审核日志搜索中返回Viva Insights事件使用此架构。
| 参数 |
类型 |
强制? |
说明 |
| WpaUserRole |
Edm.String |
否 |
执行作的用户的Viva Insights角色。 |
| ModifiedProperties |
集合 (Common.ModifiedProperty) |
否 |
该属性包括已修改属性的名称、已修改属性的新值和已修改属性的先前值。 |
| OperationDetails |
集合 (Common.NameValuePair) |
否 |
已更改的设置的扩展属性列表。 每个属性都有 Name 和 Value。 |
隔离架构
审核日志搜索中返回的隔离事件使用此架构。 有关隔离的详细信息,请参阅 云组织中的隔离电子邮件。
| 参数 |
类型 |
强制? |
说明 |
| RequestType |
Self.RequestType |
否 |
由用户执行的隔离请求的类型。 |
| RequestSource |
Self.RequestSource |
否 |
隔离请求来自 Microsoft Defender 门户、cmdlet 或 URLlink。 |
| NetworkMessageId |
Edm.String |
否 |
已隔离的电子邮件的网络消息 ID。 |
| ReleaseTo |
Edm.String |
否 |
电子邮件的收件人。 |
Enum: RequestType - Type: Edm.Int32
| 值 |
成员名称 |
说明 |
| 0 |
预览 |
用户请求预览标识为有害的电子邮件。 |
| 1 |
删除 |
用户请求删除标识为有害的电子邮件。 |
| 2 |
发布 |
用户请求释放标识为有害的电子邮件。 |
| 3 |
导出 |
用户请求导出标识为有害的电子邮件。 |
| 4 |
ViewHeader |
用户请求查看标识为有害的电子邮件的标头。 |
| 5 |
发布请求 |
用户请求释放标识为有害的电子邮件。 |
Enum: RequestSource - Type: Edm.Int32
用户请求预览、删除、释放、导出或查看潜在有害电子邮件的标头的源。
| 值 |
成员名称 |
说明 |
| 0 |
SCC |
Microsoft Defender门户。 |
| 1 |
Cmdlet |
cmdlet。 |
| 2 |
URLlink |
链接。 |
审核日志搜索中返回Microsoft Forms事件使用此架构。
| 参数 |
类型 |
强制? |
说明 |
| FormsUserTypes |
Collection(Self.FormsUserTypes) |
是 |
执行操作的用户的角色。 此参数的值为“管理员”、“所有者”、“响应者人”或“合著者”。 |
| SourceApp |
Edm.String |
是 |
指示操作是来自 Forms 网站还是其他应用。 |
| FormName |
Edm.String |
否 |
当前表单的名称。 |
| FormId |
Edm.String |
否 |
目标表单的 ID。 |
| FormTypes |
Collection(Self.FormTypes) |
否 |
指示这是表单、测验还是调查。 |
| ActivityParameters |
Edm.String |
否 |
包含活动参数的 JSON 字符串。 有关详细信息,请参阅Microsoft Forms活动。 |
| 值 |
表单用户类型 |
说明 |
| 0 |
管理员 |
有权访问表单的管理员。 |
| 1 |
所有者 |
担任表单所有者的用户。 |
| 2 |
响应者 |
已向表单提交回复的用户。 |
| 3 |
合著者 |
已使用表单所有者提供的协作链接登录和编辑表单的用户。 |
| 值 |
表单类型 |
说明 |
| 0 |
表单 |
使用“新建表单”选项创建的表单。 |
| 1 |
测验 |
使用“新建测验”选项创建的测验。 测验是表单的一种特殊类型,包含得分值、自动和手动评分、批注等附加功能。 |
| 2 |
调查 |
使用“新建调查”选项创建的调查。 调查是表单的一种特殊类型,包含 CMS 集成和对流程规则的支持等附加功能。 |
MIP 标签架构
如果 Microsoft 365 检测到由应用了敏感度标签的传输管道中的代理处理的电子邮件,将触发 Microsoft Purview 信息保护标签架构中的事件。 敏感度标签可能已手动或自动应用,并且可能已在传输管道内或外部应用。 可通过自动应用标签策略将敏感度标签自动应用于电子邮件。
此审核架构的目的即表示全部带有敏感度标签的电子邮件活动的总和。 换言之,对于向组织中用户发送或发送的每封电子邮件,应存在一个记录的审核活动,并应用了敏感度标签,而不考虑何时或如何应用敏感度标签。 有关敏感度标签的详细信息,请参阅:
| 参数 |
类型 |
强制? |
说明 |
| 发件人 |
Edm.String |
否 |
电子邮件的“发件人”字段中的电子邮件地址。 |
| 收件人 |
Collection(Edm.String) |
否 |
电子邮件的“收件人”、“抄送”和“密件抄送”字段中的所有电子邮件地址。 |
| ItemName |
Edm.String |
否 |
电子邮件的“主题”字段中的字符串。 |
| LabelId |
Edm.Guid |
否 |
应用于电子邮件的敏感度标签的 GUID。 |
| LabelName |
Edm.String |
否 |
应用于电子邮件的敏感度标签的名称。 |
| LabelAction |
Edm.String |
否 |
敏感度标签所指定的操作会在邮件进入邮件传输管道之前应用于电子邮件。 |
| LabelAppliedDateTime |
Edm.Date |
否 |
将敏感度标签应用于电子邮件的日期。 |
| ApplicationMode |
Edm.String |
否 |
指定敏感度标签应用于电子邮件的方式。
Privileged 值表示用户已手动应用该标签。
Standard 值表示标签已由客户端或服务端标记流程自动应用。 |
加密的消息门户事件架构
当 Purview 邮件加密检测到外部收件人通过门户访问加密电子邮件时,将触发加密邮件门户架构的事件。 邮件可能已使用敏感度标签或 RMS 模板手动加密,或者通过传输规则、数据丢失防护策略或自动标记策略自动加密。
此审核架构的目的是表示涉及外部收件人访问加密邮件的所有门户活动的总和。 换言之,对于尝试登录门户的收件人以及与访问加密邮件相关的任何活动,都应有记录的审核活动。 这包括在应用了加密后向组织中的用户发送或从他们处接收的邮件,而不考虑何时或如何应用加密。 有关详细信息,请参阅“了解加密的消息门户日志”。
| 参数 |
类型 |
强制? |
说明 |
| MessageId |
Edm.String |
否 |
消息 ID。 |
| 收件人 |
Edm.String |
否 |
收件人电子邮件地址。 |
| 发件人 |
Edm.String |
否 |
发件人的电子邮件地址。 |
| AuthenticationMethod |
Self.AuthenticationMethod |
否 |
访问邮件时的身份验证方法,即 OTP、Yahoo、Gmail、Microsoft。 |
| AuthenticationStatus |
Self.AuthenticationStatus |
否 |
0:成功,1:失败。 |
| OperationStatus |
Self.OperationStatus |
否 |
0:成功,1:失败。 |
| AttachmentName |
Edm.String |
否 |
附件名称。 |
| OperationProperties |
Collection(Common.NameValuePair) |
否 |
额外属性,即发送的 OTP 密码数、电子邮件主题等。 |
通信合规性 Exchange 架构
Office 365 审核日志中列出的通信合规性事件使用此架构。 这包括当电子邮件内容包含由反垃圾邮件模型识别的冒犯性语言时生成的 SupervisoryReviewOLAudit 操作的审核记录,匹配准确率 >= 99.5%。
| 参数 |
类型 |
强制? |
说明 |
| ExchangeDetails |
ExchangeDetails |
否 |
触发 SupervisoryReviewOLAudit 事件的电子邮件属性。 |
Enum: ExchangeDetails - Type: ExchangeDetails
ExchangeDetails
| 成员名称 |
类型 |
说明 |
| NetworkMessageId |
Edm.Guid |
此邮件消息的网络消息 ID。 |
| InternetMessageId |
Edm.String |
此邮件消息的 Internet 消息 ID。 |
| AttachmentData |
集合 (AttachmentDetails) |
有关附加到电子邮件的文件的信息。 |
| 收件人 |
Collection(Edm.String) |
电子邮件的“收件人”、“抄送”和“密件抄送”字段中的电子邮件地址。 |
| 主题 |
Edm.String |
电子邮件的“主题”字段中的文本。 |
| MessageTime |
Edm.Date |
发送电子邮件的日期和时间。 |
| From |
Edm.String |
电子邮件的“发件人”字段中的电子邮件地址。 |
| 方向性 |
Edm.String |
电子邮件的初始状态。 |
Enum: AttachmentDetails - Type: Edm.Int32
AttachmentDetails
| 成员名称 |
类型 |
说明 |
| FileName |
Edm.String |
附加到电子邮件的文件的名称。 |
| FileType |
Edm.String |
附加到电子邮件的文件的文件扩展名。 |
| SHA256 |
Edm.String |
附加到电子邮件的文件的 SHA-256 哈希。 |
报告架构
审核日志搜索中返回的报表事件使用此架构。
| 参数 |
类型 |
强制? |
说明 |
| ModifiedProperties |
集合 (Common.ModifiedProperty) |
否 |
该属性包括已修改属性的名称、已修改属性的新值和已修改属性的先前值。 |
合规性连接器架构
当数据连接器导入的项跳过或无法导入到用户邮箱时,会触发合规性连接器架构中的事件。 有关数据连接器的详细信息,请参阅了解第三方数据的连接器。
| 参数 |
类型 |
强制? |
说明 |
| JobId |
Edm.String |
否 |
这是数据连接器的唯一标识符。 |
| TaskId |
Edm.String |
否 |
定期数据连接器实例的唯一标识符。 数据连接器按定期时间间隔导入数据。 |
| JobType |
Edm.String |
否 |
数据连接器的名称。 |
| ItemId |
Edm.String |
否 |
导入的项(例如,电子邮件)的唯一标识符。 |
| ItemSize |
Edm.Int64 |
否 |
要导入的项的大小。 |
| SourceUserId |
Edm.String |
否 |
第三方数据源中用户的唯一标识符。 例如,对于 Slack 数据连接器,此属性指定 Slack 工作区中的用户 ID。 |
| FailureType |
Self.FailureType |
不支持 |
指示数据导入失败的类型。 例如,值 incorrectusermapping 表示项未导入,因为找不到第三方数据源与 Microsoft 365 之间的用户映射。 |
| ResultMessage |
Edm.String |
否 |
指示失败的类型,例如 重复消息。 |
| IsRetry |
Edm.Boolean |
否 |
指示是否重试数据连接器以导入项。 |
| 附件 |
集合。附件 |
不支持 |
从第三方数据源接收的附件列表。 |
枚举: FailureType - 类型: Edm.Int32
| 值 |
成员名称 |
| 0 |
默认值 |
| 1 |
MailboxWrite |
附件复杂类型
| 参数 |
类型 |
强制? |
说明 |
| FileName |
Edm.String |
否 |
附件名称。 |
| 详细信息 |
Edm.String |
否 |
有关附件的其他详细信息。 |
SystemSync 架构
当 SystemSync 引入的数据通过 Data Lake 导出或通过其他服务共享时,将触发 SystemSync 架构中的事件。
DataLakeExportOperationAuditRecord
| 参数 |
类型 |
强制? |
说明 |
| DataStoreType |
DataStoreType |
是 |
指示从哪个数据存储下载数据。 有关所有可能的值,请参阅 DataStoreType。 |
| UserAction |
DataLakeUserAction |
是 |
指示用户对数据存储执行的操作。 有关所有可能的值,请参阅 DataLakeUserAction。 |
| ExportTriggeredAt |
Edm.DateTimeOffset |
是 |
指示何时触发数据导出。 |
| NameOfDownloadedZipFile |
Edm.String |
否 |
管理员从 Data Lake 下载的压缩文件的名称。 |
DataShareOperationAuditRecord
| 参数 |
类型 |
强制? |
说明 |
| 邀请 |
DataShareInvitationType |
否 |
发送给 Data Share 收件人的邀请的详细信息。 |
DataShareInvitationType 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| ShareId |
Edm.Guid |
是 |
系统为 Data Share 分配的标识符。 |
| 受邀者 |
Collection(Edm.Guid) |
是 |
向其发送邀请的管理员用户列表。 |
| InviteeTenantId |
Edm.Guid |
是 |
邀请的目标租户。 |
| ShareName |
Edm.String |
是 |
系统为 Data Share 分配的名称。 |
| SyncFrequency |
Self.SyncFrequency |
是 |
建立共享后数据同步到目标存储帐户的频率。 有关可能的值,请参阅 SyncFrequency。 |
| SyncStartTime |
Edm.DateTimeOffset |
是 |
第一次同步的日期和时间。 |
枚举:SyncFrequency - 类型:Edm.Int32:
| 值 |
成员名称 |
说明 |
| 0 |
每小时 |
指示每小时同步一次数据。 |
| 1 |
每天 |
指示数据每天同步一次。 |
枚举:DataStoreType - 类型:Edm.Int32:
| 值 |
成员名称 |
说明 |
| 0 |
CanonicalStore |
指示从规范存储中下载数据。 |
| 1 |
StagingStore |
指示从临时存储区下载数据。 |
枚举:DataLakeUserAction - 类型:Edm.Int32:
| 值 |
成员名称 |
说明 |
| 0 |
TriggerExport |
管理员用户触发了从 Data Lake 导出。 |
| 1 |
DownloadZipFile |
管理员用户下载了导出的数据。 |
MicrosoftGraphDataConnectOperation 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| ApplicationId |
Edm.Guid |
是 |
应用程序标识。 |
| ApplicationName |
Edm.String |
是 |
应用程序名称。 |
| PipelineName |
Edm.String |
是 |
管道名称。 |
| PipelineRunId |
Edm.Guid |
否 |
此管道运行的标识。 |
| CopyActivityRunId |
Edm.Guid |
否 |
ADF 复制活动的标识。 |
| RunStartTime |
Edm.Date |
是 |
提取的日期和时间。 |
| RunEndTime |
Edm.Date |
是 |
提取的日期和时间。 |
| DatasetName |
Edm.String |
是 |
正在提取的数据集名称。 |
| DatasetColumns |
Edm.String |
是 |
正在提取的选定列集。 |
| ScopeList |
Edm.String |
是 |
提取的范围。 |
| ScopeCountRequested |
Edm.Int64 |
否 |
此提取的请求范围计数。 |
| ScopeCountDelivered |
Edm.Int64 |
否 |
此提取的传递范围计数。 |
| UndeliveredScope |
Edm.String |
否 |
提取的未送达范围。 |
| RowCount |
Edm.Int64 |
否 |
提取的行数。 |
| 状态 |
Edm.String |
是 |
提取状态。 |
| Reason |
Edm.String |
否 |
失败时的错误消息。 |
AipDiscover
下表包含与 Azure 信息保护 (AIP) 扫描程序事件相关的信息。
| 事件 |
说明 |
| ApplicationId |
执行操作的应用程序的 ID。 |
| ApplicationName |
执行作的应用程序的友好名称。 用于电子邮件) 的 Outlook (、电子邮件) 的 OWA (、文件) Word (、用于文件) 的 Excel (、文件) 的 PowerPoint (。 |
| ClientIP |
记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 对于某些服务,此属性中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员使用的设备的 IP 地址。 此外,对于与 Azure Active Directory 相关的事件,不会记录 IP 地址,并且 ClientIP 属性的值为 null。 IP 地址显示为 IPv4 或 IPv6 地址格式。 |
| CreationTime |
生成审核日志记录时,协调世界时 (UTC 格式的日期和时间) ISO8601格式。 |
| DataState |
描述数据的状态。 |
| DeviceName |
发生活动的设备。 |
| Id |
当前记录的 GUID。 |
| IsProtected |
是否受保护:True/False |
| 位置 |
文档相对于用户设备的位置。 可能的值为 unknown、 localMedia、 removableMedia、 fileshare 和 cloud。 |
| ObjectId |
文件完整路径 (URL) 。 对于 SharePoint 和 OneDrive 活动,是用户访问的文件或文件夹的完整路径名称。 |
| 操作 |
描述访问类型。 |
| OrganizationId |
组织 Office 365 租户的 GUID。 无论在哪个Office 365服务中发生此值,组织的此值始终相同。 |
| 平台 |
设备平台 (Win、OSX、Android、iOS) |
| ProcessName |
相关进程名称。 例如,Outlook、msip.app 或 WinWord。 |
| productVersion |
AIP 客户端的版本。 |
| ProtectionOwner |
采用 UPN 格式的 Rights Management 所有者。 |
| ProtectionType |
保护类型可以是模板保护类型,也可以是临时保护类型。 |
| RecordType |
记录指示的操作类型。 有关审核日志记录类型的详细信息表,请参阅 AuditLogRecordType。 有关 Log RecordType 的完整更新列表和完整说明,请参阅通过 Office 365 管理 API Microsoft 365 合规性审核日志活动博客文章。 此处仅列出相关的 MIP 记录类型。 |
| 范围 |
由以下源之一创建的事件:-
online:Microsoft 365 中的服务。
-
onprem:本地组织中的服务。 目前,SharePoint 是唯一将事件从本地发送到 Microsoft 365 的工作负载。
|
| SensitiveInfoTypeData |
存储敏感信息类型数据的数据类型。 |
| SensitivityLabelId |
当前 MIP 敏感度标签 GUID。 使用 Get-Label 获取 GUID 的完整值。 |
| TemplateId |
用于获取特定模板的 TemplateID 参数。 Get-AipServiceTemplate cmdlet 从 Azure 信息保护获取所有现有或选定的保护模板。 |
| UserID |
执行导致记录被记录的操作(在 Operation 属性中指定)的用户的 UPN(用户主体名称);例如 my_name@my_domain_name。
注意:系统帐户 ((如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) )所执行活动的记录也包括在内。 在 SharePoint 中,UserId 属性 app@sharepoint中显示的另一个值为 。 此值指示执行活动的“用户”是在 SharePoint 中具有执行组织范围作所需的权限的应用程序, (代表用户、管理员或服务) 搜索 SharePoint 网站或 OneDrive 帐户。 |
| UserKey |
UserID 属性中标识的用户的备选 ID。 此属性填充了护照唯一 ID (PUID) ,供用户在 SharePoint、OneDrive 和 Exchange 中执行的事件。 |
| UserType |
执行操作的用户类型。 有关用户类型的详细信息,请参阅 UserType 表。
0 = 常规
1 = 保留
2 = 管理员
3 = DcAdmin
4 = 系统
5 = 应用程序
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy |
| 版本 |
操作中文件的版本 ID。 |
| Workload |
存储发生活动的Office 365服务。 |
AipSensitivityLabelAction
下表包含与 AIP 敏感度标签事件相关的信息。
| 事件 |
说明 |
| ApplicationId |
对应于Microsoft Entra应用程序 ID。 |
| ApplicationName |
执行作的应用程序的应用程序友好名称。 |
| CreationDate |
协调世界时 (UTC 中的日期和时间) 在用户执行活动时采用ISO8601格式。 |
| DataState |
指定数据的状态。 |
| DeviceName |
用户设备的名称。 |
| 标识 |
要进行身份验证的用户或服务的标识。 |
| IsProtected |
是否受保护:True/False |
| IsProtectedBefore |
更改前内容是否受到保护:True/False |
| IsValid |
布尔值 |
| 位置 |
文档相对于用户设备的位置。 可能的值为 unknown、localMedia、removableMedia、fileshare 和 cloud。 |
| ObjectState |
指定 对象的状态。 |
| 操作 |
审核日志的作类型。用户或管理员活动的名称。 有关最常见作/活动的说明:
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened。 |
| 标识 |
要进行身份验证的用户或服务的标识。 |
| PSComputerName |
Computer Name |
| PSShowComputerName |
对于在 Office 365 中记录的记录,值为 False。 |
| 平台 |
设备平台 (Win、OSX、Android、iOS) 。 |
| ProcessName |
托管 MIP SDK 的进程。 |
| productVersion |
执行审核作的 Azure 信息保护 客户端的版本。 |
| ProtectionType |
保护类型可以是模板保护类型,也可以是临时保护类型。 |
| RecordType |
显示“标签作”的值。 记录指示的作类型。 有关详细信息,请参阅记录类型的完整列表。 |
| RunspaceId |
Runspace 是 PowerShell 的特定实例,其中包含命令行用户可用的命令、提供程序、变量、函数和语言元素的可修改集合。 |
| SensitiveInfoTypeData |
存储敏感信息类型数据的数据类型 |
| TemplateId |
用于获取特定模板的 TemplateID 参数。 Get-AipServiceTemplate cmdlet 从 Azure 信息保护获取所有现有或选定的保护模板。 |
| UserID |
用户主体名称 (执行作的用户的 UPN) (作属性中指定的) 导致记录;例如 。 my_name@my_domain_name
注意:系统帐户 ((如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) )所执行活动的记录也包括在内。 在 SharePoint 中,UserId 属性 app@sharepoint中显示的另一个值为 。 此值指示执行活动的“用户”是在 SharePoint 中具有执行组织范围作所需的权限的应用程序, (代表用户、管理员或服务) 搜索 SharePoint 网站或 OneDrive 帐户。 |
AipProtectionAction
| 事件 |
说明 |
| PSComputerName |
计算机名称 |
| RunspaceId |
Runspace 是 PowerShell 的特定实例,其中包含命令行用户可用的命令、提供程序、变量、函数和语言元素的可修改集合。 |
| PSShowComputerName |
对于在 Office 365 中编辑的文档,该值为 false。 |
| RecordType |
显示“标签作”的值。 记录指示的作类型。 此处仅列出相关的 MIP 记录类型。 有关详细信息,请参阅 记录类型的完整列表。 |
| CreationTime |
生成审核日志记录时,协调世界时 (UTC 格式的日期和时间) ISO8601格式。 |
| UserID |
执行作的用户的用户主体名称 (UPN) (在作属性) 中指定的,导致记录被记录。 例如,my_name@my_domain_name。
注意:系统帐户 ((如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) )所执行活动的记录也包括在内。 在 SharePoint 中,UserId 属性 app@sharepoint中显示的另一个值为 。 此值指示执行活动的“用户”是在 SharePoint 中具有执行组织范围作所需的权限的应用程序, (代表用户、管理员或服务) 搜索 SharePoint 网站或 OneDrive 帐户。 |
| 操作 |
审核日志的作类型。 用户或管理员活动的名称。 有关最常见作/活动的说明。
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened。 |
| 标识 |
要进行身份验证的用户或服务的标识。 |
| ObjectState |
当前事件之后的 Object 状态。 |
| ApplicationId |
活动发生并显示在 GUID 中的应用程序。 |
| ApplicationName |
执行作的应用程序的应用程序友好名称。用于电子邮件) 的 Outlook (、电子邮件) 的 OWA (、文件) Word (、用于文件) 的 Excel (、文件) 的 PowerPoint (。 |
| ProcessName |
Office 应用程序的进程名称。 |
| 平台 |
发生活动的平台。 例如,Windows。 |
| DeviceName |
记录事件的设备。 |
| productVersion |
执行审核作的 Azure 信息保护 客户端的版本。 |
| UserID |
执行作的用户的 UPN (Operation 属性中指定的) 导致记录被记录;例如 。 my_name@my_domain_name
注意:系统帐户 ((如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) )所执行活动的记录也包括在内。 在 SharePoint 中,UserId 属性 app@sharepoint中显示的另一个值为 。 这表示执行活动的“用户”是在 SharePoint 中具有执行组织范围的作所需的权限的应用程序, (代表用户、管理员或服务) 搜索 SharePoint 网站或 OneDrive 帐户。 |
| ClientIP |
记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 对于某些服务,此属性中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员使用的设备的 IP 地址。 此外,对于与 Azure Active Directory 相关的事件,不会记录 IP 地址,并且 ClientIP 属性的值为 null。 IP 地址显示为 IPv4 或 IPv6 地址格式。 |
| Id |
当前记录的 GUID。 |
| RecordType |
显示“标签作”的值。 记录指示的作类型。 此处仅列出相关的 MIP 记录类型。 |
| CreationTime |
生成审核日志记录时,协调世界时 (UTC 格式的日期和时间) ISO8601格式。 |
| 操作 |
用户或管理员活动的名称。 有关最常见作/活动的说明,请参阅 搜索审核日志。 |
| OrganizationId |
组织 Office 365 租户的 GUID。 无论在哪个Office 365服务中发生此值,组织的此值始终相同。 |
| UserType |
执行操作的用户类型。 有关用户类型的详细信息,请参阅 UserType 表。
0 = 常规
1 = 保留
2 = 管理员
3 = DcAdmin
4 = 系统
5 = 应用程序
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy |
| UserKey |
UserID 属性中标识的用户的备选 ID。 此属性填充了护照唯一 ID (PUID) ,供用户在 SharePoint、OneDrive 和 Exchange 中执行的事件。 |
| Workload |
存储发生活动的Office 365服务。 |
| 版本 |
执行审核作的 Azure 信息保护 客户端的版本 |
| 范围 |
指定范围。 |
AipFileDeleted
| 事件 |
说明 |
| PSComputerName |
计算机名称 |
| RunspaceId |
Runspace 是 PowerShell 的特定实例,其中包含命令行用户可用的命令、提供程序、变量、函数和语言元素的可修改集合。 |
| PSShowComputerName |
对于在 Office 365 中编辑的文档,该值为 false。 |
| RecordType |
显示“标签作”的值。 记录指示的作类型。 此处仅列出相关的 MIP 记录类型。 有关详细信息,请参阅 记录类型的完整列表。 |
| CreationTime |
生成审核日志记录时,协调世界时 (UTC 格式的日期和时间) ISO8601格式。 |
| UserID |
执行作的用户的用户主体名称 (UPN) (在作属性) 中指定的,导致记录被记录。 例如,my_name@my_domain_name。
注意:系统帐户 ((如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) )所执行活动的记录也包括在内。 在 SharePoint 中,UserId 属性 app@sharepoint中显示的另一个值为 。 此值指示执行活动的“用户”是在 SharePoint 中具有执行组织范围作所需的权限的应用程序, (代表用户、管理员或服务) 搜索 SharePoint 网站或 OneDrive 帐户。 |
| 操作 |
审核日志的作类型。 用户或管理员活动的名称。 有关最常见作/活动的说明。
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened。 |
| 标识 |
要进行身份验证的用户或服务的标识。 |
| ObjectState |
当前事件之后的 Object 状态。 |
| ApplicationId |
活动发生并显示在 GUID 中的应用程序。 |
| ApplicationName |
执行作的应用程序的应用程序友好名称。用于电子邮件) 的 Outlook (、电子邮件) 的 OWA (、文件) Word (、用于文件) 的 Excel (、文件) 的 PowerPoint (。 |
| ProcessName |
Office 应用程序的进程名称。 |
| 平台 |
发生活动的平台。 例如,Windows。 |
| DeviceName |
记录事件的设备。 |
| productVersion |
执行审核作的 Azure 信息保护 客户端的版本。 |
| UserID |
执行作的用户的 UPN (Operation 属性中指定的) 导致记录被记录;例如 。 my_name@my_domain_name
注意:系统帐户 ((如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) )所执行活动的记录也包括在内。 在 SharePoint 中,UserId 属性 app@sharepoint中显示的另一个值为 。 此值指示执行活动的“用户”是在 SharePoint 中具有执行组织范围作的必要权限的应用程序, (代表用户、管理员或服务) 搜索 SharePoint 网站或 OneDrive 帐户。 |
| ClientIP |
记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 对于某些服务,此属性中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员使用的设备的 IP 地址。 此外,对于与 Azure Active Directory 相关的事件,不会记录 IP 地址,并且 ClientIP 属性的值为 null。 IP 地址显示为 IPv4 或 IPv6 地址格式。 |
| Id |
当前记录的 GUID。 |
| RecordType |
显示“标签作”的值。 记录指示的作类型。 此处仅列出相关的 MIP 记录类型。 |
| CreationTime |
生成审核日志记录时,协调世界时 (UTC 格式的日期和时间) ISO8601格式。 |
| 操作 |
用户或管理员活动的名称。 有关最常见作/活动的说明,请参阅 搜索审核日志。 |
| OrganizationId |
组织 Office 365 租户的 GUID。 无论在哪个Office 365服务中发生此值,组织的此值始终相同。 |
| UserType |
执行操作的用户类型。 有关用户类型的详细信息,请参阅 UserType 表。
0 = 常规
1 = 保留
2 = 管理员
3 = DcAdmin
4 = 系统
5 = 应用程序
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy |
| UserKey |
UserID 属性中标识的用户的备选 ID。 此属性填充了护照唯一 ID (PUID) ,供用户在 SharePoint、OneDrive 和 Exchange 中执行的事件。 |
| Workload |
存储发生活动的Office 365服务。 |
| 版本 |
执行审核作的 Azure 信息保护 客户端的版本 |
| 范围 |
指定范围。 |
AipHeartBeat
下表包含与 AIP 检测信号事件相关的信息。
| 事件 |
说明 |
| ApplicationId |
对应于Microsoft Entra应用程序 ID。 |
| ApplicationName |
执行作的应用程序的应用程序友好名称。 |
| CreationDate |
协调世界时 (UTC 中的日期和时间) 在用户执行活动时采用ISO8601格式。 |
| DataState |
指定数据的状态。 |
| DeviceName |
用户设备的名称。 |
| 标识 |
要进行身份验证的用户或服务的标识。 |
| IsProtected |
是否受保护:True/False |
| IsProtectedBefore |
更改前内容是否受到保护:True/False |
| IsValid |
布尔值 |
| 位置 |
文档相对于用户设备的位置。 可能的值为 unknown、localMedia、removableMedia、fileshare 和 cloud。 |
| ObjectState |
指定 对象的状态。 |
| 操作 |
审核日志的作类型。 用户或管理员活动的名称。 |
| PSComputerName |
Computer Name |
| PSShowComputerName |
对于在 Office 365 中记录的记录,值为 False。 |
| 平台 |
设备平台 (Win、OSX、Android、iOS) 。 |
| ProcessName |
托管 MIP SDK 的进程。 |
| productVersion |
执行审核作的 Azure 信息保护 客户端的版本。 |
| ProtectionType |
保护类型可以是模板保护类型,也可以是临时保护类型。 |
| RecordType |
显示“标签作”的值。 记录指示的作类型。 有关详细信息,请参阅记录类型的完整列表。 |
| RunspaceId |
Runspace 是 PowerShell 的特定实例,其中包含命令行用户可用的命令、提供程序、变量、函数和语言元素的可修改集合。 |
| SensitiveInfoTypeData |
存储敏感信息类型数据的数据类型。 |
| TemplateId |
用于获取特定模板的 TemplateID 参数。 Get-AipServiceTemplate cmdlet 从 Azure 信息保护获取所有现有或选定的保护模板。 |
| UserID |
执行作的用户的 UPN (Operation 属性中指定的) 导致记录被记录;例如 。 my_name@my_domain_name
注意:系统帐户 ((如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) )所执行活动的记录也包括在内。 在 SharePoint 中,UserId 属性 app@sharepoint中显示的另一个值为 。 此值指示执行活动的“用户”是在 SharePoint 中具有执行组织范围作所需的权限的应用程序, (代表用户、管理员或服务) 搜索 SharePoint 网站或 OneDrive 帐户。 |
| UserType |
执行操作的用户类型。 有关用户类型的详细信息,请参阅 UserType 表。
0 = 常规
1 = 保留
2 = 管理员
3 = DcAdmin
4 = 系统
5 = 应用程序
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy |
| UserKey |
UserID 属性中标识的用户的备选 ID。 此属性填充了护照唯一 ID (PUID) ,供用户在 SharePoint、OneDrive 和 Exchange 中执行的事件。 |
MicrosoftGraphDataConnectConsent 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| ApplicationId |
Edm.Guid |
是 |
应用程序标识。 |
| ApplicationVersion |
Edm.String |
是 |
应用程序版本。 |
| AppRegistrationTenantId |
Edm.Guid |
是 |
应用程序注册租户 ID。 |
| 审批者 |
Edm.String |
是 |
审批者的用户主体名称。 |
| ApprovalUpdatedDateInUTC |
Edm.Date |
是 |
以 UTC 表示的更新日期时间。 |
| ApprovalExpiryDateInUTC |
Edm.Date |
是 |
以 UTC 表示的到期日期时间。 |
| ApprovalValidDays |
Edm.Int32 |
是 |
从更新起批准有效的天数。 |
| DestinationSinks |
Edm.String |
是 |
目标接收器。 |
| DestinationTenantId |
Edm.Guid |
是 |
目标租户 ID。 |
| Reason |
Edm.String |
否 |
执行作的管理员提供的原因。 |
| 状态 |
Edm.String |
是 |
同意状态。 |
| 数据集 |
CollectionSelf。MGDCDataset |
是 |
有关在此作中同意的数据集的详细信息。 |
复杂类型 MGDCDataset
| 参数 |
类型 |
强制? |
说明 |
| DatasetName |
Edm.String |
是 |
同意作中数据集的名称。 |
| DatasetColumns |
Edm.String |
是 |
同意作中数据集的列列表。 |
| DenyGroups |
Edm.String |
否 |
同意作中数据集的拒绝组列表。 |
| 范围 |
Edm.String |
是 |
同意作中数据集的范围类型。 可能的值为 All、 List 和 FilterUri。 |
| ScopeFiltersUris |
Edm.String |
否 |
许可作中数据集的范围筛选 URI。 |
| ScopeList |
Edm.String |
否 |
同意作中数据集的范围组列表。 |
| PrivacyPolicyType |
Edm.String |
是 |
同意作中数据集的隐私策略类型。 可能的值为 None 和 DenyList。 |
Viva Glint架构
审核日志搜索中返回Viva Glint事件使用此架构 (以及通用架构) 。
| 参数 |
类型 |
强制? |
说明 |
| ClientUUID |
Edm.String |
Y |
Viva Glint 实例的客户端 UUID。 |
| ImportType |
Edm.String |
网络 |
数据导入源类型。 |
| DataDSRControl |
Edm.String |
网络 |
此平台内控件确定从 Viva Glint 平台中删除用户时是否删除调查数据。 |
| DiscardEmployeeIds |
Edm.String |
网络 |
此平台内控件指定是忽略以前删除的员工的员工 ID 还是保留在Viva Glint平台中。 |
| JobName |
Edm.String |
网络 |
运行的Glint数据应用作业的名称。 |
| ExtendedCompletionDate |
Edm.Date |
网络 |
已结束调查周期延长到的新日期。 |
| FeedBackComponentName |
Edm.String |
网络 |
360 反馈计划中特定组件的名称。 |
Viva Goals架构
审核日志搜索中返回Viva Goals事件使用此架构 (以及通用架构) 。
| 参数 |
类型 |
强制? |
说明 |
| 详情 |
Edm.String |
否 |
Viva Goals中发生的事件或活动的说明。 |
| 用户名 |
Edm.String
Term=“Microsoft.Office.Audit.Schema.PIIFlag”
Bool=“true”
|
否 |
触发事件的用户的名称。 |
| UserRole |
Edm.String |
否 |
在 Viva Goals 中触发此事件的用户的角色。 此值提到用户是组织管理员还是所有者。 |
| OrganizationName |
Edm.String
Term=“Microsoft.Office.Audit.Schema.PIIFlag”
Bool=“true” |
否 |
触发事件Viva Goals中的组织名称。 |
| OrganizationOwner |
Edm.String
Term=“Microsoft.Office.Audit.Schema.PIIFlag”
Bool=“true” |
否 |
事件发生Viva Goals的组织所有者。 |
| OrganizationAdmins |
集合 (Edm.String)
Term=“Microsoft.Office.Audit.Schema.PIIFlag”
Bool=“true” |
否 |
发生事件的Viva Goals中的组织的管理员 () 。 组织中可以有一个或多个管理员。 |
| UserAgent |
Edm.String
Term=“Microsoft.Office.Audit.Schema.PIIFlag”
Bool=“true” |
否 |
用户代理 (浏览器详细信息) 触发事件的用户。 系统生成事件时,UserAgent 可能不存在。 |
| ModifiedFields |
Collection(Common.NameValuePair) |
否 |
已修改的属性列表,以及其新值和旧值输出为 JSON。 |
| ItemDetails |
Collection(Common.NameValuePair) |
否 |
有关已修改的对象的其他属性。 |
Microsoft Planner架构
审核日志搜索中返回Microsoft Planner事件使用此架构。
Microsoft Planner覆盖通用架构中 ObjectId 和 ResultStatus 的定义。 Microsoft Planner的 ObjectId 定义绑定到每个Microsoft Planner的记录类型,并单独演示。
Microsoft Planner的 ResultStatus 定义为以下内容。
枚举:ResultStatus - 类型:Edm.Int32
ResultStatus
| 值 |
成员名称 |
说明 |
| 1 |
成功 |
用户请求成功。 |
| 2 |
失败 |
由于授权以外的原因,用户请求失败。 |
| 3 |
AuthorizationFailure |
由于授权失败,请求的用户失败。 |
Microsoft Planner使用以下记录类型扩展了通用架构。
PlannerGoal 记录类型
| 属性 |
类型 |
说明 |
| ObjectId |
Edm.String |
所请求的目标的 ID。 |
| PlanId |
Edm.String |
包含目标的计划的 ID。 |
PlannerPlan 记录类型
| 属性 |
类型 |
说明 |
| ObjectId |
Edm.String |
请求的计划 ID。 |
| ContainerType |
自我。ContainerType |
与计划关联的容器的类型。 |
| ContainerId |
Edm.String |
与计划关联的容器的 ID。 |
| SharedWithContainerId |
Edm.String |
对计划具有共享访问权限的容器的 ID。 |
| SharedWithContainerType |
自我。ContainerType |
对计划具有共享访问权限的容器类型。 |
| SharedWithContainerAccessLevel |
自我。PlanAccessLevel |
授予具有共享计划访问权限的容器的访问权限级别。 |
枚举:ContainerType - 类型 Edm.Int32
ContainerType
| 值 |
成员名称 |
说明 |
| 0 |
Invalid |
在找不到请求的计划时使用。 |
| 2 |
组 |
该计划与 Microsoft 3365 组相关联。 |
| 3 |
TeamsConversation |
该计划与 Teams 对话相关联。 |
| 4 |
OfficeDocument |
该计划与 Office 文档相关联。 |
| 5 |
花名册 |
该计划与名册组相关联。 |
| 6 |
Project |
该计划源自 Microsoft Project。 |
| 7 |
用户 |
计划与用户关联。 |
| 8 |
TeamsChannel |
该计划与 Teams 频道相关联。 |
| 10 |
PlannerTask |
计划与Planner任务相关联。 |
枚举:PlanAccessLevel - 类型 Edm.Int32
PlanAccessLevel
| 值 |
成员名称 |
说明 |
| 1 |
ReadAccess |
读取计划的访问权限。 |
| 2 |
ReadWriteAccess |
读取和写入计划的访问权限。 |
| 3 |
FullAccess |
访问读取、写入和配置计划。 |
PlannerCopyPlan 记录类型
| 属性 |
类型 |
说明 |
| ObjectId |
Edm.String |
正在复制的计划 ID。 |
| OriginalPlanId |
Edm.String |
正在复制的计划 ID。 与 ObjectId 相同。 |
| OriginalContainerType |
自我。ContainerType |
与原始计划关联的容器的类型。 |
| OriginalContainerId |
Edm.String |
与原始计划关联的容器的 ID。 |
| NewPlanId |
Edm.String |
新计划的 ID。 作失败时为 Null。 |
| NewContainerType |
自我。ContainerType |
与新计划关联的容器的类型。 |
| NewContainerId |
Edm.String |
与新计划关联的容器的 ID。 |
PlannerTask 记录类型
| 属性 |
类型 |
说明 |
| ObjectId |
Edm.String |
请求的任务 ID。 |
| PlanId |
Edm.String |
包含任务的计划的 ID。 |
PlannerRoster 记录类型
| 属性 |
类型 |
说明 |
| ObjectId |
Edm.String |
请求的名单的 ID。 |
| MemberIds |
Edm.String |
已更改为名单的成员 ID 的逗号分隔字符串。 |
PlannerGoalList 记录类型
| 属性 |
类型 |
说明 |
| ObjectId |
Edm.String |
目标列表的视图查询的表示形式。 |
| GoalList |
Edm.String |
查询的目标 ID 的逗号分隔字符串。 |
PlannerPlanList 记录类型
| 属性 |
类型 |
说明 |
| ObjectId |
Edm.String |
计划列表的视图查询的表示形式。 |
| PlanList |
Edm.String |
查询的计划 ID 的逗号分隔字符串。 |
PlannerTaskList 记录类型
| 属性 |
类型 |
说明 |
| ObjectId |
Edm.String |
任务列表的视图查询的表示形式。 |
| TaskList |
Edm.String |
查询的任务 ID 的逗号分隔字符串。 |
PlannerTenantSettings 记录类型
| 属性 |
类型 |
说明 |
| ObjectId |
Edm.String |
JSON 中的原始租户设置。 |
| TenantSettings |
Edm.String |
JSON 中的新租户设置。 |
PlannerRosterSensitivityLabel 记录类型
枚举:SensitivityLabelAssignmentMethod - 类型 Edm.Int32
SensitivityLabelAssignmentMethod
| 值 |
成员名称 |
说明 |
| 0 |
标准 |
将自动应用敏感度标签,但不允许覆盖特权标签分配。 |
| 1 |
特权 |
敏感度标签由用户或管理员手动应用。 |
| 2 |
自动 |
将自动应用敏感度标签,并允许覆盖特权标签分配。 |
Microsoft Project 网页版架构
Microsoft Project For Web 使用以下记录类型扩展 通用架构 。
ProjectForThewebProject 记录类型
| 属性 |
类型 |
强制? |
说明 |
| ProjectId |
Edm.Guid |
否 |
正在审核的项目的 ID。 |
| AdditionalInfo |
CollectionSelf。AdditionalInfo |
否 |
其他信息。 |
ProjectForThewebTask 记录类型
| 属性 |
类型 |
强制? |
说明 |
| ProjectId |
Edm.Guid |
是 |
正在审核的项目的 ID。 |
| TaskId |
Edm.Guid |
是 |
正在审核的任务的 ID。 |
| AdditionalInfo |
CollectionSelf。AdditionalInfo |
否 |
其他信息。 |
ProjectForThewebRoadmap 记录类型
| 属性 |
类型 |
强制? |
说明 |
| RoadmapId |
Edm.Guid |
是 |
正在审核的路线图的 ID。 |
| AdditionalInfo |
CollectionSelf。AdditionalInfo |
否 |
其他信息。 |
ProjectForThewebRoadmapItem 记录类型
| 属性 |
类型 |
强制? |
说明 |
| RoadmapItemId |
Edm.Guid |
是 |
正在审核的路线图项的 ID。 |
| AdditionalInfo |
CollectionSelf。AdditionalInfo |
否 |
其他信息。 |
复杂类型 AdditionalInfo
| 参数 |
类型 |
强制? |
说明 |
| EnvironmentName |
Edm.String |
否 |
执行作的环境的 ID。 |
ProjectForThewebProjectSetting 记录类型
| 属性 |
类型 |
强制? |
说明 |
| ProjectEnabled |
Edm.Boolean |
是 |
为 Project 网页版 (1= 已启用、0 禁用) 设置的值。 |
ProjectForThewebRoadmapSetting 记录类型
| 属性 |
类型 |
强制? |
说明 |
| RoadmapEnabled |
Edm.Boolean |
是 |
为路线图设置的值 (1= 已启用,0 禁用) 。 |
ProjectForThewebAssignedToMeSetting 记录类型
| 属性 |
类型 |
强制? |
说明 |
| AssignedToMeEnabled |
Edm.Boolean |
是 |
为 AssignedToMe 设置的值 (1= 已启用,0 禁用) 。 |
Viva Pulse 架构
Viva审核日志搜索中返回的脉冲事件使用此架构 (以及通用架构) 。
| 参数 |
类型 |
强制? |
说明 |
| EventName |
Edm.String |
否 |
Viva Pulse 中发生的事件或活动的说明。 |
| PulseId |
Edm.String |
否 |
脉冲调查的 ID。 |
| EventDetails |
Collection(Common.NameValuePair) |
否 |
有关事件的其他属性。 |
某些 VivaPulse 事件在 EventDetails 中记录不同的属性。 表中介绍了 EventDetail 中记录的每个属性。
| EventName |
PropertName |
说明 |
| PulseReportShare |
收件人 |
与之共享脉冲调查的收件人 ID 列表。 |
| PulseCreate |
收件人 |
作为指定脉冲调查参与者的用户 ID 列表。 |
| PulseInvite |
收件人 |
其他受邀加入 pulse 的用户 ID 列表。 |
| PulseTenantSettingsUpdate |
TenantSettingName |
更改了设置名称。 |
| PulseSubmit |
不适用 |
此事件不会将任何属性记录到 EventDetails 中。 |
| PulseExtendDeadline |
不适用 |
此事件不会将任何属性记录到 EventDetails 中。 |
| PulseCancel |
不适用 |
此事件不会将任何属性记录到 EventDetails 中。 |
| PulseCreateDraft |
不适用 |
此事件不会将任何属性记录到 EventDetails 中。 |
| PulseDeleteDraft |
不适用 |
此事件不会将任何属性记录到 EventDetails 中。 |
| PulseDeleteUserData |
不适用 |
此事件不会将任何属性记录到 EventDetails 中。 |
| PulseQuestionDeleted |
不适用 |
此事件不会将任何属性记录到 EventDetails 中。 |
| PulseDataExport |
ExportType,ExportCompletedDate |
ExportType 指示数据导出是管理员级导出还是作者级导出,ExportCompletedDate 指定数据导出完成时间。 |
| PulseConfidentialConversationStarted |
不适用 |
此事件不会将任何属性记录到 EventDetails 中。 |
| PulseConfidentialConversationResponded |
不适用 |
此事件不会将任何属性记录到 EventDetails 中。 |
| PulseConfidentialConversationMessageDeleted |
不适用 |
此事件不会将任何属性记录到 EventDetails 中。 |
合规性管理器架构
审核日志搜索中返回的合规性管理器事件使用此架构 (以及通用架构) 。
| 参数 |
类型 |
强制? |
说明 |
| 详细信息 |
集合 (设置更改) |
否 |
Microsoft Purview 合规性管理器发生的事件的说明。 |
下表描述了“详细信息”中 SettingsChange 属性为不同作使用的值。
| 操作 |
PropertyName |
说明 |
| 所有作 |
名称 |
合规性管理器作中涉及的设置的名称。 |
| 所有作 |
NewValue |
新设置的新值。 |
| 所有作 |
OriginalValue |
新设置的原始值。 |
注意
- 对于角色更改,名称为角色类型。
- 审核记录反映事件中的更改,例如为用户分配了角色或吊销了角色。
- 原始值和新值包含角色已更改的用户的电子邮件。
- 如果角色没有更改,则审核记录中不存在该角色类型。
备份策略架构
| 参数 |
类型 |
强制? |
说明 |
| PolicyID |
Edm.String |
是 |
策略的 ID。 |
| EditMethodology |
Edm.String |
否 |
策略的创建/编辑方式。 |
| CountOfArtifactsBeingAdded |
Edm.Int32 |
否 |
要添加的项目数。 |
| CountOfArtifactsBeingRemoved |
Edm.Int32 |
否 |
要删除的项目数。 |
| ServiceType |
Edm.String |
否 |
无论是 SharePoint、Exchange 还是 OneDriveForBusiness 策略。 |
还原任务架构
| 参数 |
类型 |
强制? |
说明 |
| TaskID |
Edm.String |
是 |
还原任务的 ID。 |
| CreationMethodology |
Edm.String |
否 |
还原任务的创建/编辑方式。 |
| CountOfArtifactsBeingAdded |
Edm.Int32 |
否 |
要添加的项目数。 |
| CountOfArtifactsBeingRemoved |
Edm.Int32 |
否 |
要删除的项目数。 |
| ServiceType |
Edm.String |
否 |
无论是 SharePoint、Exchange 还是 OneDriveForBusiness 策略。 |
还原项架构
| 参数 |
类型 |
强制? |
说明 |
| RestoreTime |
Edm.DateTime |
是 |
项还原到的时间。 |
| RestoreLocationType |
Edm.String |
是 |
项目要还原到的位置类型。 |
| RestoreLocation |
Edm.String |
否 |
项要还原到的位置。 |
| TaskID |
Edm.String |
是 |
还原任务的 ID。 |
| BackupItemID |
Edm.String |
是 |
正在还原的备份项的 ID。 |
| ProtectionUnitID |
Edm.String |
是 |
正在还原的项的保护单元 ID。 |
| SuccessStatus |
Edm.String |
否 |
还原作是否成功。 |
| BackupItemType |
Edm.String |
是 |
备份项是否为站点/帐户/邮箱。 |
| ServiceType |
Edm.String |
否 |
无论是 SharePoint、Exchange 还是 OneDriveForBusiness 策略。 |
备份项架构
| 参数 |
类型 |
强制? |
说明 |
| PolicyID |
Edm.String |
是 |
项目要添加到的策略的策略 ID。 |
| ItemID |
Edm.String |
是 |
备份项的 ID。 |
| ProtectionUnitID |
Edm.String |
是 |
正在备份的项的保护单元 ID。 |
| ResultStatus |
Edm.String |
否 |
还原作是否成功。 |
| BackupItemType |
Edm.String |
是 |
备份项是否为站点/帐户/邮箱。 |
| EditMethodology |
Edm.String |
否 |
如何添加备份项。 |
| ServiceType |
Edm.String |
否 |
无论是 SharePoint、Exchange 还是 OneDriveForBusiness 策略。 |
云策略服务架构
与 云策略服务 相关的事件的审核记录扩展了 通用架构 ,如下所示:
PolicyConfigChangeAuditRecord
| 参数 |
类型 |
强制? |
说明 |
| ConfigId |
Edm.String |
否 |
策略配置的 ID |
| ConfigName |
Edm.String |
否 |
给定的策略配置名称 |
| 说明 |
Edm.String |
否 |
为策略配置提供的说明 |
| ConfigScope |
自我。CPSScope |
否 |
策略配置的范围 |
| 组 |
Collection(Common.NameValuePair) |
否 |
已配置的组列表 |
| 优先级 |
Edm.Int32 |
否 |
策略配置的优先级值 |
| 策略 |
集合 (Self。策略) |
否 |
配置的策略设置列表 |
| 优先 级 |
集合 (Self。PrioritySetting) |
否 |
策略配置及其优先级值列表 |
枚举:CPSScope - 类型:Edm.Int32
| 值 |
成员名称 |
说明 |
| 1 |
Tenant |
策略配置的范围限定为租户中的所有用户。 |
| 2 |
匿名 |
策略配置的范围限定为匿名用户。 |
| 3 |
用户 |
策略配置的范围限定为配置Microsoft Entra组 () 的用户。 |
复杂类型策略
| 参数 |
类型 |
强制? |
说明 |
| PolicyId |
Edm.String |
否 |
策略设置的 ID |
| PolicyName |
Edm.String |
否 |
策略设置的名称 |
| 值 |
Edm.String |
否 |
策略设置的配置值 |
| 设置 |
集合 (Self。设置) |
否 |
配置的设置 |
复杂类型设置
| 参数 |
类型 |
强制? |
说明 |
| SettingId |
Edm.String |
否 |
设置的 ID |
| SettingName |
Edm.String |
否 |
设置名称 |
| 值 |
Edm.String |
否 |
配置的设置值 |
复杂类型 PrioritySetting
| 参数 |
类型 |
强制? |
说明 |
| ConfigId |
Edm.String |
否 |
策略配置的 ID |
| ConfigName |
Edm.String |
否 |
给定的策略配置名称 |
| 值 |
Edm.String |
否 |
策略配置的已配置优先级 |
云更新配置文件配置架构
与云更新配置文件配置相关的事件使用以下记录类型扩展了通用架构。
CloudUpdateProfileConfigAuditRecord
| 参数 |
类型 |
强制? |
说明 |
| ProfileName |
Edm.String |
是 |
配置文件的名称 |
| ProfileState |
自我。ProfileState |
否 |
配置文件状态 |
| 截止时间 |
Edm.Int32 |
否 |
配置的截止时间 |
| UpdateValidationState |
自我。UpdateValidationState |
否 |
更新验证的状态 |
| 波 |
集合 (Self。波形) |
否 |
包含已配置波形的集合 |
| WaveDelay |
Edm.Int32 |
否 |
设置波形之间的延迟 |
枚举:ProfileState - 类型:Edm.Int32
| 值 |
成员名称 |
说明 |
| 1 |
已启用 |
配置文件已启用并处于活动状态。 |
| 2 |
已禁用 |
配置文件已禁用。 |
| 3 |
已暂停 |
配置文件已启用,但处于暂停状态。 |
枚举:UpdateValidationState - 类型:Edm.Int32
| 值 |
成员名称 |
说明 |
| 1 |
已启用 |
已启用更新验证。 |
| 2 |
已禁用 |
更新验证已禁用。 |
复杂类型波形
| 参数 |
类型 |
强制? |
说明 |
| Name |
Edm.String |
否 |
波形的名称 |
| 类型 |
自我。WaveType |
否 |
由管理员指定的波形或自动捕获全波 |
| 组 |
Collection(Common.NameValuePair) |
否 |
为此波配置的组的集合 |
枚举:WaveType - 类型:Edm.Int32
| 值 |
成员名称 |
说明 |
| 1 |
组 |
波形由管理员使用组进行配置。 |
| 2 |
RemainingDevices |
自动创建的波形,包括配置文件范围中未涵盖之前波形的所有设备。 |
云更新租户配置架构
与云更新租户配置相关的事件使用以下记录类型扩展了通用架构。
CloudUpdateTenantConfigAuditRecord
| 参数 |
类型 |
强制? |
说明 |
| ProfileExclusionWindows |
集合 (Self。ExclusionWindow) |
否 |
配置的排除窗口的集合 |
| ExclusionList |
Collection(Common.NameValuePair) |
否 |
配置的排除项的集合 |
| 德 |
Edm.String |
否 |
租户关联密钥 |
复杂类型 ExclusionWindow
| 参数 |
类型 |
强制? |
说明 |
| Name |
Edm.String |
否 |
排除窗口的给定名称 |
| StartDate |
Edm.Date |
否 |
排除窗口的开始日期 |
| EndDate |
Edm.Date |
否 |
排除窗口的结束日期 |
| 组 |
Collection(Common.NameValuePair) |
否 |
排除窗口范围限定为的组的集合 |
云更新设备架构
与云更新设备相关的事件使用以下记录类型扩展通用架构。
CloudUpdateDeviceConfigAuditRecord
| 参数 |
类型 |
强制? |
说明 |
| RollbackDevices |
自我。反转 |
否 |
已触发回滚 |
| ChannelChangeDevices |
自我。ChannelChange |
否 |
触发的通道更改 |
复杂类型回滚
| 参数 |
类型 |
强制? |
说明 |
| RollbackType |
自我。RollbackType |
否 |
回滚类型 |
| RollbackBuildNumber |
Edm.String |
否 |
要回滚到的目标内部版本号 |
| 设备 |
Collection(Edm.String) |
否 |
回滚面向的设备集合 |
枚举:RollbackType - 类型:Edm.Int32
| 值 |
成员名称 |
说明 |
| 1 |
SpecificDevices |
回滚针对特定的设备子集。 |
| 2 |
AllDevices |
回滚针对配置文件范围内的所有设备。 |
复杂类型 ChannelChange
| 参数 |
类型 |
强制? |
说明 |
| ChannelChange |
自我。渠道 |
否 |
目标更新通道 |
| 设备 |
Collection(Edm.String) |
否 |
目标设备的集合 |
| 组 |
Collection(Common.NameValuePair) |
否 |
目标组的集合 |
枚举:通道 - 类型:Edm.Int32
| 值 |
成员名称 |
说明 |
| 1 |
MonthlyEnterpriseChannel |
月度企业频道 |
| 2 |
CurrentChannel |
当前频道 |
Microsoft Entra风险检测架构
审核日志搜索中返回Microsoft Entra风险检测事件使用此架构 (,以及通用架构) 。
| 参数 |
类型 |
强制? |
说明 |
| 活动 |
Edm.String |
否 |
检测到其风险的活动类型。 |
| ActivityDateTime |
Edm.Date |
否 |
协调世界时 (UTC) 发生风险活动的日期和时间。 |
| AdditionalInfo |
Edm.String |
否 |
检测到的风险的 JSON 格式的其他信息。 |
| CorrelationId |
Edm.String |
否 |
可用于关联与风险检测关联的登录活动的标识符。 |
| DetectedDateTime |
Edm.Date |
否 |
协调世界时 (UTC 中的日期和时间) 检测到风险。 |
| DetectionTimingType |
Edm.String |
否 |
指示检测到的风险的计时类型。 可能的值为实时/脱机。 |
| LastUpdatedDateTime |
Edm.Date |
否 |
协调世界时 (UTC) 上次更新风险检测的日期和时间。 |
| 位置 |
自我。LocationType |
否 |
有关从中检测到登录活动的位置的信息。 |
| 请求 ID |
Edm.String |
否 |
指示已检测到风险的登录活动的请求 ID。 如果风险检测未与登录相关联,则此属性为 null。 |
| RiskDetail |
Edm.String |
否 |
检测到的风险的详细信息。 |
| RiskEventType |
Edm.String |
否 |
检测到风险的事件类型。 |
| RiskId |
Edm.String |
否 |
风险检测的唯一标识符。 |
| RiskLevel |
Edm.String |
否 |
检测到的风险级别。 |
| RiskState |
Edm.String |
否 |
风险用户或链接到风险检测的登录的风险状态。 |
| Source |
Edm.String |
否 |
检测到的风险的来源。 |
| TokenIssuerType |
Edm.String |
否 |
链接到风险检测的登录的令牌颁发者类型。 |
| UserDisplayName |
Edm.String |
否 |
用户主体名称 (检测到风险的用户的 UPN) 。 |
LocationType 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| 市/县 |
Edm.String |
否 |
执行登录的城市。 |
| CountryOrRegion |
Edm.String |
否 |
执行登录的国家或地区。 |
| GeoCoordinates |
自我。GeoCoordinatesType |
否 |
执行登录的位置的地理协调。 |
| 状态 |
Edm.String |
否 |
执行登录的状态。 |
GeoCoordinatesType 复杂类型
| 参数 |
类型 |
强制? |
说明 |
| Altitude |
Edm.String |
否 |
执行登录的位置的高度。 |
| Latitude |
Edm.String |
否 |
执行登录的位置的纬度。 |
| Longitude |
Edm.String |
否 |
执行登录的位置的经度。 |
Microsoft Edge WebContentFiltering 架构
Microsoft审核日志搜索中返回的 Edge WebContentFiltering 事件使用此架构 (以及通用架构) 。
| 参数 |
类型 |
强制? |
说明 |
| URLPath |
Edm.String |
是 |
浏览的 URL。 |
| DomainURL |
Edm.String |
是 |
浏览的域 URL。 |
| 类别 |
Edm.String |
是 |
已浏览 URL 的类别。 |
Microsoft 365 Copilot 计划的提示架构
Microsoft审核日志搜索中返回的 365 Copilot 计划提示事件使用此架构 (以及通用架构) 。
Copilot 计划的提示允许用户自动执行 Copilot 提示,因此它们按智能 Microsoft 365 Copilot 副驾驶® 对话助手中定义的计划运行。
| 参数 |
类型 |
强制? |
说明 |
| ScenarioType |
Edm.String |
是 |
自动化的名称。 |
| PromptText |
Edm.String |
否 |
由 LLM 运行的 Copilot 提示符。 |
| AutomationId |
Edm.String |
是 |
一个唯一标识符,用于关联与 Copilot 提示符的每次运行相关的所有活动。 |
| TriggerMode |
Edm.String |
否 |
Copilot 提示符运行时的计划,以 cron 格式显示。 |
Microsoft Places目录架构
审核日志搜索中返回Microsoft Places目录事件使用此架构 (以及通用架构) 。
| 参数 |
类型 |
强制? |
说明 |
| PlaceType |
Edm.String |
否 |
请求创建/更新/删除的放置项的类型。 例如,“Building”、“Room”、“Desk”等。 |
| 参数 |
Collection(Common.NameValuePair) |
否 |
与 Operations 属性中标识的 cmdlet 结合使用的所有参数的名称和值。 |
| ModifiedProperties |
Collection(Common.ModifiedProperty) |
否 |
该属性包括已修改属性的名称、已修改属性的新值和已修改对象的先前值。 |
Microsoft Sentinel 数据湖和图形架构
以下Microsoft在审核日志搜索中返回的 Sentinel 事件使用这些架构 (和通用架构) 。
SentinelNotebookOnLake
有关审核日志活动,请参阅Microsoft Sentinel 数据湖笔记本活动。
| 参数 |
类型 |
强制? |
说明 |
| EventTime |
Edm.Date |
是 |
提交/启动 Spark Notebook 执行时的时间戳。 |
| 计算 |
Edm.String |
否 |
已选择计算。 |
| DatabaseName |
Edm.String |
否 |
运行命令的工作区。 |
| TableName |
Edm.String |
否 |
表的名称。 |
| SessionDurationInSecs |
Edm.String |
是 |
会话的总持续时间。 |
| SessionStartTime |
Edm.Date |
否 |
会话的开始时间。 |
| SessionEndTime |
Edm.Date |
否 |
会话的结束时间。 |
| KernalId |
Edm.Guid |
是 |
Jupyter KernelId 唯一标识笔记本会话。 |
| SessionId |
Edm.Guid |
否 |
使用 Spark 会话执行的各种代码块的相关 ID。 |
| 接口 |
Edm.String |
是 |
从中运行笔记本的接口。 |
SentinelJob
有关审核日志活动,请参阅Microsoft Sentinel 数据湖作业活动。
| 参数 |
类型 |
强制? |
说明 |
| EventTime |
Edm.Date |
是 |
启动作业作的时间戳。 |
| Operation |
Edm.String |
是 |
作业作名称。 |
| 作业类型 |
Edm.String |
是 |
作业类型,例如 Notebook、KQL。 |
| 作业 ID |
Edm.Guid |
是 |
作业的唯一标识符。 |
| 作业名称 |
Edm.String |
是 |
作业的名称。 |
| 计算 |
Edm.String |
否 |
作业的计算配置。 |
| 计划 |
Edm.String |
否 |
计划详细信息(如果为作业配置)。 |
| 运行 ID |
Edm.Guid |
否 |
特定作业运行实例的 ID。 |
| JobRunStatus |
Edm.String |
否 |
作业执行的状态。 |
| 日志 |
Edm.String |
否 |
笔记本中的日志运行。 |
| JobExecutionDurationInSecs |
Edm.Int64 |
否 |
执行作业所花费的时间。 |
| JobTotalDurationInSecs |
Edm.Int64 |
否 |
作业作的总持续时间(包括会话)。 |
| JobStartTime |
Edm.Date |
否 |
作业的开始时间。 |
| JobEndTime |
Edm.Date |
否 |
作业的结束时间。 |
| 接口 |
Edm.String |
是 |
作业作的接口。 |
| DatabasesRead |
Collection(Edm.String) |
否 |
作业读取的工作区列表。 |
| DatabasesWrite |
Collection(Edm.String) |
否 |
作业写入到的工作区列表 |
| TablesRead |
Collection(Edm.String) |
否 |
作业读取的表列表。 |
| TablesWrite |
Collection(Edm.String) |
否 |
作业写入的表列表。 |
| 查询 |
Edm.String |
否 |
在作业中执行的 KQL 查询或笔记本。 |
SentinelKQLOnLake
有关审核日志活动,请参阅 Microsoft Sentinel 数据湖 KQL 活动。
| 参数 |
类型 |
强制? |
说明 |
| EventTime |
Edm.Date |
是 |
KQL 查询执行的时间戳。 |
| DatabaseName |
Collection(Edm.String) |
是 |
运行 KQL 查询的工作区。 |
| ResultTableCount |
Edm.Int64 |
否 |
输出表计数。 |
| QueryResponse |
Edm.String |
是 |
执行 KQL 查询的响应。 |
| TotalRows |
集合 (Edm.Int64) |
是 |
从查询执行返回的总行数。 如果同时执行多个查询,则列出值。 |
| ComponentFault |
Edm.String |
否 |
导致查询失败的实体。 例如,如果查询结果太大,则 ComponentFault 为“Client”。 如果发生内部错误,则 ComponentFault 为“Server”。 |
| FailureReason |
Edm.String |
否 |
如果 KQL 查询失败,则为失败原因。 |
| ExecutionDuration |
Edm.Int64 |
是 |
执行查询所花费的时间(以毫秒为单位)。 |
| TotalCPU |
Edm.Int64 |
是 |
运行的总 CPU 持续时间。 |
| MemoryPeak |
Edm.Int64 |
是 |
KQL 查询执行的内存峰值。 |
| 接口 |
Edm.String |
是 |
执行 KQL 查询的接口。 |
| TablesRead |
Collection(Edm.String) |
是 |
在 KQL 查询中读取的表的列表。 |
| QueryText |
Edm.String |
是 |
以清理形式执行的 KQL 查询。 |
SentinelLakeOnboarding
有关审核日志活动,请参阅Microsoft Sentinel 数据湖载入活动。
| 参数 |
类型 |
强制? |
说明 |
| BillingAzureSubscriptionId |
Edm.String |
否 |
为 Sentinel Data Lake 计费选择的 Azure 订阅。 |
| BillingAzureResourceGroupName |
Edm.String |
否 |
为 Sentinel Data Lake 计费选择的 Azure 资源组。 |
| TenantId |
Edm.String |
否 |
与湖设置或更新关联的租户 ID。 |
| ProvisioningStatus |
Edm.String |
否 |
预配湖的状态。 |
SentinelLakeDataOnboarding
| 属性名 |
类型 |
强制? |
说明 |
| DataOnboardingAtSetup |
Edm.String |
否 |
Sentinel 数据湖载入期间引入的数据集。 |
| 表格 |
Collection(Edm.String) |
否 |
在 Sentinel data Lake 加入期间引入的表名称列表。 |
| SubscriptionsEnabled |
Collection(Edm.String) |
否 |
为 ARG 引入启用的订阅列表。 |
| DataOnboardingStatus |
Edm.String |
否 |
作状态。 |
有关审核日志活动,请参阅 Microsoft Sentinel AI 工具活动。
| 参数 |
类型 |
强制? |
说明 |
| EventOccurenceTime |
Edm.Date |
是 |
作的时间戳。 |
| ToolID |
Edm.Guid |
是 |
AI 工具的标识符。 |
| ToolName |
Edm.String |
是 |
AI 工具的名称。 |
| 接口 |
Edm.String |
是 |
运行 AI 工具的接口。 |
| InputParameters |
Edm.String |
否 |
为工具提供的参数。 |
| DatabasesRead |
Collection(Edm.String) |
否 |
运行中从中读取的数据库列表。 |
| TablesRead |
Collection(Edm.String) |
否 |
运行中从读取的表的列表。 |
| APICalled |
Collection(Edm.String) |
否 |
由 AI 工具调用的 API。 |
| FailureReason |
Edm.String |
否 |
如果运行失败,则为失败原因。 |
| TotalRows |
集合 (Edm.Int64) |
否 |
返回的总行数。 |
| DataScanned |
Edm.Int64 |
否 |
扫描的 GB 总数。 |
| ExecutionDuration |
Edm.Int64 |
否 |
执行查询所花费的时间(以毫秒为单位)。 |
| TotalCpuHours |
Edm.Int64 |
否 |
运行的总 CPU 持续时间。 |
| TotalSCUHours |
Edm.Int64 |
否 |
运行中使用的 SCU 总数。 |
SentinelGraph
有关审核日志活动,请参阅 Microsoft Sentinel 图形活动。
| 参数 |
类型 |
强制? |
说明 |
| EventTime |
Edm.Date |
是 |
作的时间戳。 |
| GraphName |
Edm.String |
是 |
图形实例的名称。 |
| 操作 |
Edm.string |
是 |
对图形执行的作。 |
| OperationInput |
Edm.string |
否 |
图形作的参数。 |
| GraphQuery 统计信息 |
Edm.string |
否 |
响应元数据的集合。 |
| GraphQuery 状态 |
Edm.String |
否 |
图形上的查询或作的响应。 |
| 接口 |
Edm.String |
是 |
从中执行图形作的接口。 |
Purview 按需分类架构
Microsoft审核日志搜索中返回的 Purview 按需分类事件使用此架构。
DataScanClassification 架构
DataScanClassification 审核架构旨在捕获和记录在 SharePoint 或 OneDrive 按需分类扫描过程中评估敏感内容的文件时的活动。
| 参数 |
类型 |
强制 |
说明 |
| ClassificationInfo |
Collection(Self.SensitiveInformation) |
否 |
有关扫描后在文件中找到的敏感信息的详细信息。 |
| PolicyId |
Edm.Guid |
是 |
按需分类扫描的 guid。 |
| ClassificationMode |
Edm.Int32 |
是 |
是针对特定分类器还是所有分类器执行扫描。 |
| ClassificationPosture |
Edm.Int32 |
是 |
扫描前后发现的敏感信息的比较。 |
| ClassificationResult |
Edm.Int32 |
是 |
文件分类状态。 |
| DocumentMetaData |
自我。DocumentMetadata |
否 |
描述 SharePoint 或 OneDrive 中包含敏感信息的文档的元数据。 |
| PreviousClassificationInfo |
Collection(Self.SensitiveInformation) |
否 |
有关扫描后在文件中找到的敏感信息的详细信息。 |
| 参数 |
类型 |
强制? |
说明 |
| itemCreationTime |
Edm.Date |
是 |
记录事件时的 UTC 日期时间戳。 |
| SiteCollectionGuid |
Edm.Guid |
是 |
网站集的 GUID。 |
| SiteCollectionUrl |
Edm.String |
是 |
SharePoint 网站名称。 |
| FileName |
Edm.String |
是 |
路径名称。 |
| FileOwner |
Edm.String |
是 |
文档所有者。 |
| FileOwnerEmail |
Edm.String |
是 |
Email文档所有者的地址。 |
| FilePathUrl |
Edm.String |
是 |
文档的 URL |
| DocumentLastModifier |
Edm.String |
是 |
上次修改文档的用户。 |
| UniqueId |
Edm.String |
是 |
标识文件的 guid。 |
| LastModifiedTime |
Edm.DateTime |
是 |
上次修改文档时的 UTC 时间戳。 |
枚举:ClassificationMode - 类型:Edm.Int32
| 值 |
说明 |
| 1 |
针对租户中配置的所有分类器评估的文件。 |
| 2 |
仅针对扫描中指定的所选分类器计算的文件。 |
枚举:ClassificationPosture - 类型:Edm.Int32
| 值 |
说明 |
| 1 |
文件在扫描前后都不匹配任何分类器。 |
| 2 |
扫描后未找到新的分类器。 |
| 3 |
在扫描之前,文件与任何分类器都不匹配。 扫描后在文件中找到一个或多个分类器。 |
| 4 |
文件在扫描前与某些分类器匹配。 一个或多个分类器不再匹配 |
| 5 |
文件在扫描前与某些分类器匹配。 扫描后,新分类器或更改现有分类器计数或置信度。 |
枚举:ClassificationResult - 类型:Edm.Int32
| 值 |
说明 |
| 1 |
文件分类已成功完成。 |
| 2 |
文件分类已完成,但出现错误。 一个或多个分类器评估失败。 |
| 3 |
文件分类失败。 |