當您從 Microsoft Purview 入口網站匯出稽核日誌搜尋結果時,您可以下載所有符合您搜尋條件的結果。 您可以選擇匯出>結果,並於稽核日誌搜尋頁面下載所有結果。 欲了解更多資訊,請參閱 「查詢稽核日誌」。
當你匯出所有結果進行稽核日誌搜尋時,統一稽核日誌中的原始資料會被複製成逗號分隔的 CSV () 檔案,然後下載到本地電腦。 此檔案包含每個稽核活動記錄的額外屬性資訊,欄位名為 AuditData。 此欄位包含審計日誌記錄中多個屬性的多值屬性。 此多值性質中的每個 屬性:值 對皆以逗號分隔。
下表描述了根據多屬性 AuditData 欄位中) 活動所屬服務所包含的活動屬性 (。 擁有此屬性欄位的Microsoft服務會顯示包含該屬性 (使用者或管理員) 的服務及活動類型。 如需更詳細的這些屬性或本文未列出的屬性,請參閱 管理活動 API 架構。
提示
你可以在 Excel 裡使用 Power Query 的 JSON 轉換功能,將 AuditData 欄位拆分成多個欄位,讓每個屬性都有自己的欄位。 此功能允許您對一個或多個屬性進行排序與篩選。 想了解如何做到這點,請參考 匯出、設定及檢視稽核日誌紀錄。
| 屬性 | 描述 | 具有此特性的 Microsoft 服務 |
|---|---|---|
| 演員 | 執行該動作的使用者或服務帳號。 | Microsoft Entra ID |
| AddOnName | 團隊中新增、移除或更新的附加元件名稱。 Microsoft Teams 的附加元件類型包括機器人、連接器或分頁。 | Microsoft Teams |
| 附加類型 | 團隊中新增、移除或更新的附加元件類型。 以下數值表示附加元件的類型。 1 - 表示機器人。 2 - 表示連接器。 3 - 表示分頁。 |
Microsoft Teams |
| AppAccessContext | 執行該動作的使用者或服務主體的應用程式上下文。 | Microsoft Teams |
| ArtifactShared | 使用者分享的檔案或內容。 | Microsoft Teams |
| AzureActiveDirectoryEventType | Microsoft Entra ID 活動類型。 以下數值表示活動類型。 0 - 表示帳號登入活動。 1 - 表示 Azure 應用程式的安全活動。 |
Microsoft Entra ID |
| ChannelGuid | Microsoft Teams 頻道的 ID。 頻道所屬的隊伍由 TeamName 和 TeamGuid 屬性來識別。 | Microsoft Teams |
| 頻道名稱 | 一個 Microsoft Teams 頻道的名稱。 頻道所屬的隊伍由 TeamName 和 TeamGuid 屬性來識別。 | Microsoft Teams |
| 用戶端 | 用戶端裝置、裝置作業系統及用於登入活動的裝置瀏覽器 (例如 Nokia Lumia 920;Windows Phone 8;例如 Mobile 11) 。 | Microsoft Entra ID |
| ClientInfoString | 關於用於執行操作的電子郵件用戶端資訊,例如瀏覽器版本、Outlook 版本及行動裝置資訊 | Exchange (信箱活動) |
| ClientIP | 記錄活動時所使用的裝置之 IP 位址。 IP 位址會以 IPv4 或 IPv6 位址格式顯示。 對於某些服務,這個屬性中顯示的值可能是受信任應用程式的 IP 位址 (例如,Office 網頁版應用程式) 代表使用者呼叫服務,而非執行該活動的人所使用的裝置的 IP 位址。 此外,對於管理員活動 (或系統帳號) Microsoft Entra ID相關活動的活動,IP 位址不會被記錄,ClientIP 屬性的值為 null。 |
Microsoft Entra ID, Exchange, SharePoint |
| CreationTime | 協調世界時 (UTC的日期與時間) 產生稽核日誌記錄的時間。 | 全部 |
| CurrentProtectionType | 一種複雜的屬性類型,包含描述文件當前保護狀態的欄位。 內容包括: 保護類型:列舉文件所適用的保護類型。 這些數值及其意義適用: 0 (無保護 ) ,1 (基於範本的保護 ) ,2 (不轉發(用於電子郵件) ), 3 (僅加密) ,以及 4 (自訂、使用者設定的保護) 擁有者:設定保護的使用者的電子郵件地址。 TemplateId:當 ProtectionType 設為 1 (模板) 時,此欄位包含套用於文件的範本的 GUID。 當 ProtectionType 的值不等 於 1 時,該欄位為空白。 DocumentEncrypted:布林標誌,指示文件是否被施加任何加密方式。 數值為 真 或 假。 |
全部 |
| 目的地檔案副檔名 | 被複製或移動的檔案副檔名。 此屬性僅顯示在 FileCopied 與 FileMoved 使用者活動中。 | SharePoint |
| 目的地檔案名稱 | 檔案名稱會被複製或移動。 此屬性僅顯示於 FileCopied 與 FileMoved 動作中。 | SharePoint |
| 目的地親屬網址 | 檔案被複製或移動的目標資料夾的網址。 SiteURL、DestinationRelativeURL 和 DestinationFileName 屬性的值組合,與 ObjectID 屬性的值相同,ObjectID 是被複製檔案的完整路徑名稱。 此屬性僅顯示在 FileCopied 與 FileMoved 使用者活動中。 | SharePoint |
| EventSource | 識別 SharePoint 中發生的活動。 可能的值包括 SharePoint 和 ObjectModel。 | SharePoint |
| ExtendedProperties | Microsoft Purview 與 Microsoft Entra ID 活動的擴展屬性。 | Microsoft Entra ID Microsoft Purview |
| 外部存取 | 對於 Exchange 管理員的活動,請指定該 cmdlet 是由組織內的使用者執行、Microsoft 資料中心人員、資料中心服務帳號,或是由委派管理員執行。
False 表示該指令碼是由你組織內的人執行的。 值 True 表示該指令檔由資料中心人員、資料中心服務帳號或委派管理員執行。 對於 Exchange 信箱活動,指定該信箱是否被組織外的使用者存取。 |
Exchange |
| 識別碼 | 報告條目的識別碼。 ID 唯一識別報告條目。 | 全部 |
| InternalLogonType | 保留給內部使用。 | Exchange (信箱活動) |
| 是從大廳加入的 | 不管使用者是否從大廳加入 Teams 會話。 | Microsoft Teams |
| 項目類型 | 被存取或修改的物件類型。 可能的值包括 檔案、 資料夾、 網頁、 網站、 租戶和 文件庫。 | SharePoint |
| 登入狀態 | 識別可能發生的登入失敗。 | Microsoft Entra ID |
| LogonType | 信箱存取類型。 以下數值表示存取信箱的使用者類型。 0 - 表示郵箱擁有者。 1 - 表示管理員。 2 - 表示代表。 3 - 表示 Microsoft 資料中心的傳輸服務。 4 - 表示 Microsoft 資料中心中的服務帳號。 6 - 表示授權的管理員。 |
Exchange (信箱活動) |
| MailboxGuid | 被存取的信箱交換 GUID。 | Exchange (信箱活動) |
| MailboxOwnerUPN | 該信箱被存取者的電子郵件地址。 | Exchange (信箱活動) |
| 成員 | 列出已新增或移除團隊的使用者。 下列值指出已指派使用者的角色類型。 1 - 表示成員角色。 2 - 表示擁有者的角色。 3 - 代表「來賓」角色。 成員屬性也會包含貴組織名稱與成員的電子郵件。 |
Microsoft Teams |
| 修改屬性 (名稱、新值、舊值) | 該屬性包含在管理員活動中,例如將使用者加入網站或網站集合管理員群組。 屬性包含被 (修改的屬性名稱,例如,網站管理員群組) 修改屬性的新值 (例如新增的網站管理員使用者,以及修改物件的先前值) 。 | 所有 (行政活動) |
| 新價值 | 變更後的值包含所有已更新或刪除的屬性。 | Microsoft 治理 () |
| ObjectFullyQualifiedName | 一個實體的完全合格名稱。 | Microsoft 治理 () |
| ObjectId | 對於 Exchange 管理員稽核日誌,則是被 cmdlet 修改的物件名稱。 SharePoint 活動則是使用者存取的檔案或資料夾的完整 URL 路徑名稱。 對於 Azure AD 活動,則是被修改的使用者帳號名稱。 |
全部 |
| ObjectName | 主要實體名稱。 | Microsoft 治理 () |
| ObjectType | 實體類型。 | Microsoft 治理 () |
| OldValue | 變更前的值包含所有已更新或刪除的屬性。 | Microsoft 治理 () |
| 作業 | 使用者或管理員活動名稱。 此屬性的值對應於 活動下拉 選單中所選的值。 若選取 所有活動的結果 ,報告將包含所有服務的使用者及管理員活動條目。 關於記錄在稽核日誌中的作業/活動描述,請參閱 Office 365 中「搜尋稽核日誌」中的「已稽核活動」標籤。 對於 Exchange 管理員活動,這個屬性會識別執行的 cmdlet 名稱。 |
全部 |
| OrganizationId | 你組織的 GUID。 | 全部 |
| 參數 | 對於 Exchange 管理員活動,則是所有在操作屬性中識別的 cmdlet 所使用的參數名稱與值。 | Exchange (管理員活動) |
| 參與者資訊 | 關於參與者身份的額外特性。 | Microsoft Teams |
| 參與網域資訊 | 關於參與者的網域資訊。 | Microsoft Teams |
| 路徑 | 郵件被存取的信箱資料夾名稱。 此屬性同時識別訊息建立或複製/移動到的資料夾 a。 | Exchange (信箱活動) |
| 上一保護類型 | 一種複雜的屬性類型,包含描述文件先前保護狀態的欄位。 內容包括: 保護類型:列舉文件所適用的保護類型。 這些數值及其意義適用: 0 (無保護 ) ,1 (基於範本的保護 ) ,2 (不轉發(用於電子郵件) ), 3 (僅加密 ) ,4 (自訂且使用者設定的保護) 擁有者:設定保護的使用者的電子郵件地址。 TemplateId:當 ProtectionType 設為 1 (模板) 時,此欄位包含套用於文件的範本的 GUID。 當 ProtectionType 的值不等 於 1 時,該欄位為空白。 DocumentEncrypted:布林標誌,指示文件是否被施加任何加密方式。 數值為 真 或 假。 |
全部 |
| 保護事件類型 | 列舉被稽核作業如何改變保護措施。 適用以下價值與意義: 0 - 表示不變。 1 - 表示已加入。 2 - 表示已更改。 3 - 表示已移除。 |
全部 |
| RecordType | 紀錄所示的操作類型。 此屬性表示該操作被觸發的服務或功能。 關於記錄類型及其對應的 ENUM 值 (,即稽核紀錄) 中 RecordType 屬性中顯示的值,請參見 稽核日誌記錄類型。 | |
| 結果狀態 | 表示 操作屬性 ( 指定) 動作是否成功。 對於 Exchange 管理員活動,該值要麼是 True , (成功) ,或 False (失敗) 。 |
全部 |
| 安全合規中心事件類型 | 表示該活動是 Microsoft Purview 入口網站的活動。 所有 Microsoft Purview 入口網站活動的此屬性值皆為 0 。 | Microsoft Purview 入口網站 |
| SensitivityLabel | 分配給特定郵件項目的敏感性標籤。 | Exchange |
| 共享類型 | 你指派給你共享資源的使用者的分享權限類型。 此使用者在 UserSharedWith 屬性中被識別。 | SharePoint |
| 網站 | 使用者所存取的檔案或資料夾所在網站的 GUID。 | SharePoint |
| 網站網址 | 使用者所存取檔案或資料夾所在網站的網址。 | SharePoint |
| SourceFileExtension | 使用者所存取檔案的副檔名。 若存取物件為資料夾,則此屬性為空白。 | SharePoint |
| 來源檔案名稱 | 使用者存取的檔案或資料夾名稱。 | SharePoint |
| 來源RelativeUrl | 使用者存取的檔案資料夾網址。 SiteURL、SourceRelativeURL 與 SourceFileName 屬性的組合,與 ObjectID 屬性的值是相同的,ObjectID 是使用者存取檔案的完整路徑名稱。 | SharePoint |
| 主旨 | 被存取的訊息主旨行。 | Exchange (信箱活動) |
| TabType | 團隊新增、移除或更新的分頁類型。 此性質的可能值為: Excel 釘選 - 一個 Excel 分頁。 擴充功能 - 所有第一方及第三方應用程式;例如課程表、VSTS 和表格。 筆記 - OneNote 分頁。 Pdfpin - 一個 PDF 分頁。 PowerBI - 一個 Power BI 分頁。 PowerPointpin - 一個 PowerPoint 標籤。 Sharepointfiles - 一個 SharePoint 分頁。 網頁 - 置頂的網站分頁。 Wiki-tab ——一個維基分頁。 Wordpin - 一個 Word 標籤。 |
Microsoft Teams |
| Target | 該動作 (在 操作 屬性中被識別的使用者) 。 例如,若訪客被加入 SharePoint 或 Microsoft Team,該使用者會在此屬性中列出。 | Microsoft Entra ID |
| TeamGuid | Microsoft Teams 團隊的 ID。 | Microsoft Teams |
| 隊名 | Microsoft Teams 裡一個團隊的名稱。 | Microsoft Teams |
| UserAgent | 關於使用者瀏覽器的資訊。 這些資訊是瀏覽器提供的。 | SharePoint |
| 使用者領域 | 關於使用者 (執行動作的演員) 租戶組織的身份資訊。 | Microsoft Entra ID |
| UserId | 執行該動作的使用者 (在 操作屬性中 指定) 導致該紀錄被記錄。 系統帳 (號(如 SHAREPOINT\system 或 NT AUTHORITY\SYSTEM) )所執行活動的稽核紀錄也包含在稽核日誌中。 UserId 屬性的另一個常見值是 app@sharepoint。 此值表示執行該活動的「使用者」是擁有 SharePoint 權限的應用程式,能代表使用者、管理員或服務執行組織範圍的行動, (搜尋 SharePoint 網站或 OneDrive 帳號) 。 如需詳細資訊,請參閱: 審計記錄中的app@sharepoint使用者 或 Exchange 信箱中的系統帳號審計紀錄。 |
全部 |
| 使用者鍵 | 包含有效的 Microsoft Entra ID 物件 ID,格式為 GUID 格式或十六進位格式。 對於主要行動者不是使用者的情況, UserKey 會是空字串。 有關各種 UserKey 情境的詳細資訊,請參閱 UserType 與 UserKey 情境。 | 全部 |
| UserType | 執行操作的使用者類型。 請參閱 UserType 與 UserKey 情境 以了解各種 UserType 情境的詳細資訊。 | 全部 |
| 版本 | 表示由 Operation 屬性) 所記錄 (活動的版本號。 | 全部 |
| 工作負載 | 該活動發生的 Microsoft 365 服務。 | 全部 |
使用者類型與使用者鍵情境
下表提供 UserType 與 UserKey 情境的詳細資訊:
| 值 | UserType 成員名稱 | 描述 | 使用者鍵 |
|---|---|---|---|
| 0 | 標準 | 一個沒有管理員權限的普通使用者。 | Microsoft Entra GUID 格式物件 ID |
| 2 | 系統管理員 | 你 Microsoft 365 組織中的一位管理員。1 | Microsoft Entra GUID 格式物件 ID |
| 3 | DCAdmin | 一個 Microsoft 資料中心管理員或資料中心系統帳號。 | Microsoft Entra GUID 格式物件 ID |
| 4 | 系統 | 由伺服器端邏輯觸發的稽核事件。 例如,Windows 服務或背景程序。 | Guid.Empty.ToString () (或值為 '0000000-0000-0000-0000-0000000000000000000') 。 |
| 5 | 應用程式 | 由 Microsoft Entra 應用程式觸發的稽核事件。 | Microsoft Entra 申請名稱或申請編號 ((如有時) )。 否則,就是空的字串。 |
| 6 | 服務負責人 | 一位服務主體。 | Guid.Empty.ToString () (或值為 '0000000-0000-0000-0000-0000000000000000000') 。 |
| 7 | CustomPolicy | 是客戶創建或管理的政策。 | Guid.Empty.ToString () (或值為 '0000000-0000-0000-0000-0000000000000000000') 。 |
| 8 | SystemPolicy | 一個 Microsoft 管理或系統政策。 | Guid.Empty.ToString () (或值為 '0000000-0000-0000-0000-0000000000000000000') 。 |
| 9 | 夥伴技術員 | 合作夥伴租戶的使用者代表客戶租戶 (在 GDAP 情境中工作) 。 | Guid.Empty.ToString () (或值為 '0000000-0000-0000-0000-0000000000000000000') 。 |
| 10 | 來賓 | 訪客或匿名用戶。 | Guid.Empty.ToString () (或值為 '0000000-0000-0000-0000-0000000000000000000') 。 |
| 11 | 代理程式 | 一個人工智慧代理人 | Microsoft Entra 主要代理的物件 ID 以 GUID 格式呈現。 |
注意事項
1 對於 Microsoft Entra 相關事件,管理員的值不會用於稽核紀錄。 管理員執行活動的稽核紀錄顯示,例如, (UserType: 0 的一般使用者) 執行了該活動。 UserID 屬性用來識別執行該活動 (一般使用者或管理員) 。