Propriedades de atividade detalhadas no registo de auditoria
Ao exportar os resultados de uma pesquisa de registo de auditoria a partir do portal do Microsoft Purview ou do portal de conformidade do Microsoft Purview, pode transferir todos os resultados que cumprem os critérios de pesquisa. Pode exportar estas informações ao selecionar Exportar resultados>Transferir todos os resultados na página Pesquisa de registos de auditoria . Para obter mais informações, veja Pesquisar o registo de auditoria.
Quando exporta todos os resultados para uma pesquisa de registo de auditoria, os dados não processados do registo de auditoria unificado são copiados para um ficheiro de valores separados por vírgulas (CSV) que é transferido para o seu computador local. Este ficheiro contém informações de propriedade adicionais de cada registo de atividade de auditoria numa coluna denominada AuditData. Esta coluna contém uma propriedade de múltiplos valores para várias propriedades do registo de auditoria. Cada uma das propriedades: os pares de valores nesta propriedade de valores múltiplos são separados por uma vírgula.
A tabela seguinte descreve as propriedades de atividade que estão incluídas (consoante o serviço em que ocorre uma atividade) na coluna AuditData de várias propriedades. O serviço Microsoft que tem esta coluna de propriedade indica o serviço e o tipo de atividade (utilizador ou administrador) que inclui a propriedade . Para obter informações mais detalhadas sobre estas propriedades ou sobre propriedades que podem não estar listadas neste artigo, veja Esquema da API de Atividade de Gestão.
Dica
Pode utilizar a funcionalidade de transformação JSON no Power Query no Excel para dividir a coluna AuditData em múltiplas colunas para que cada propriedade tenha a sua própria coluna. Isso permitirá que você classifique e filtre uma ou mais dessas propriedades. Para saber como fazê-lo, veja Exportar, configurar e ver registos de auditoria.
Propriedade | Descrição | Serviço Microsoft que tem esta propriedade |
---|---|---|
Actor | A conta de utilizador ou serviço que efetuou a ação. | Azure Active Directory |
AddOnName | O nome de um suplemento que foi adicionado, removido ou atualizado numa equipa. O tipo de suplementos no Microsoft Teams é um bot, um conector ou um separador. | Microsoft Teams |
AddOnType | O tipo de um suplemento que foi adicionado, removido ou atualizado numa equipa. Os seguintes valores indicam o tipo de suplemento. 1 - Indica um bot. 2 - Indica um conector. 3 - Indica um separador. |
Microsoft Teams |
AppAccessContext | O contexto do aplicativo para o usuário ou principal de serviço que executou a ação. | Microsoft Teams |
ArtifactShared | Ficheiros ou conteúdos partilhados pelo utilizador. | Microsoft Teams |
AzureActiveDirectoryEventType | O tipo de atividade do Azure Active Directory. Os seguintes valores indicam o tipo de atividade. 0 - Indica uma atividade de início de sessão de conta. 1 - Indica uma atividade de segurança de aplicações do Azure. |
Azure Active Directory |
ChannelGuid | O ID de um canal do Microsoft Teams. A equipa na qual o canal está localizado é identificada pelas propriedades TeamName e TeamGuid . | Microsoft Teams |
ChannelName | O nome de um canal do Microsoft Teams. A equipa na qual o canal está localizado é identificada pelas propriedades TeamName e TeamGuid . | Microsoft Teams |
Cliente | O dispositivo cliente, o SO do dispositivo e o browser do dispositivo utilizados para a atividade de início de sessão (por exemplo, Nokia Lumia 920; Windows Phone 8; IE Mobile 11). | Azure Active Directory |
ClientInfoString | Informações sobre o cliente de e-mail que foi utilizado para executar a operação, como uma versão do browser, a versão do Outlook e as informações do dispositivo móvel | Exchange (atividade de caixa de correio) |
ClientIP | O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para a atividade de administrador (ou atividade realizada por uma conta de sistema) para atividades relacionadas com o Azure Active Directory, o endereço IP não é registado e o valor da propriedade ClientIP é null . |
Azure Active Directory, Exchange, SharePoint |
CreationTime | A data e hora na Hora Universal Coordenada (UTC) quando o registo de auditoria é gerado. | Todos |
CurrentProtectionType | Um tipo de propriedade complexo que contém campos para descrever o estado de proteção atual de um documento. Inclui o seguinte: ProtectionType: enumera o tipo de proteção aplicado ao documento. Estes valores e os respetivos significados aplicam-se: 0 (sem proteção), 1 (proteção baseada em modelos), 2 (não reencaminhar, para e-mail), 3 (encriptar apenas) e 4 (proteção personalizada configurada pelo utilizador) Proprietário: o endereço de e-mail do utilizador que configurou a proteção. TemplateId: quando o ProtectionType está definido como 1 (modelo), este campo contém o GUID do modelo aplicado ao documento. Quando o valor de ProtectionType não for igual a 1, este campo está em branco. DocumentEncrypted: sinalizador booleano que indica se algum tipo de encriptação é aplicado ao documento. Os valores são Verdadeiro ou Falso. |
Todos |
DestinationFileExtension | A extensão de um arquivo que foi copiado ou movido. Esta propriedade é apresentada apenas para as atividades de utilizador FileCopied e FileMoved. | SharePoint |
DestinationFileName | O nome do ficheiro é copiado ou movido. Esta propriedade é apresentada apenas para as ações FileCopied e FileMoved. | SharePoint |
DestinationRelativeUrl | A URL da pasta de destino em que um arquivo é copiado ou movido. A combinação dos valores da propriedade SiteURL, DestinationRelativeURL e DestinationFileName é igual ao valor da propriedade ObjectID , que é o nome completo do caminho para o ficheiro que foi copiado. Esta propriedade é apresentada apenas para as atividades de utilizador FileCopied e FileMoved. | SharePoint |
EventSource | Identifica que ocorreu uma atividade no SharePoint. Os valores possíveis são SharePoint e ObjectModel. | SharePoint |
ExternalAccess | Para a atividade de administrador do Exchange, especifica se o cmdlet foi executado por um utilizador na sua organização, por pessoal do datacenter da Microsoft ou por uma conta de serviço do datacenter ou por um administrador delegado. O valor Falso indica que o cmdlet foi executado por alguém em sua organização. O valor Verdadeiro indica que o cmdlet foi executado pela equipe do datacenter, por uma conta de serviço do datacenter ou por um administrador delegado. Para a atividade da caixa de correio do Exchange, especifica se uma caixa de correio foi acedida por um utilizador fora da sua organização. |
Exchange |
ExtendedProperties | As propriedades expandidas para uma atividade do Azure Active Directory. | Azure Active Directory |
ID | O ID da entrada do relatório. O ID identifica exclusivamente a entrada do relatório. | Todos |
InternalLogonType | Reservado para uso interno. | Exchange (atividade de caixa de correio) |
ItemType | O tipo de objeto que foi acessado ou modificado. Os valores possíveis incluem Ficheiro, Pasta, Web, Site, Inquilino e DocumentLibrary. | SharePoint |
IsJoinedFromLobby | Se o utilizador entrou ou não numa sessão do Teams a partir da sala de espera. | Microsoft Teams |
LoginStatus | Identifica falhas de início de sessão que possam ter ocorrido. | Azure Active Directory |
LogonType | O tipo de acesso à caixa de correio. Os seguintes valores indicam o tipo de utilizador que acedeu à caixa de correio. 0 - Indica um proprietário de caixa de correio. 1 - Indica um administrador. 2 - Indica um delegado. 3 - Indica o serviço de transporte no datacenter da Microsoft. 4 - Indica uma conta de serviço no datacenter da Microsoft. 6 - Indica um administrador delegado. |
Exchange (atividade de caixa de correio) |
MailboxGuid | O GUID do Exchange da caixa de correio que foi acessada. | Exchange (atividade de caixa de correio) |
MailboxOwnerUPN | O endereço de email da pessoa que possui a caixa de correio que foi acessada. | Exchange (atividade de caixa de correio) |
Members | Lista os utilizadores que foram adicionados ou removidos de uma equipa. Os valores a seguir indicam o tipo de função atribuída ao usuário. 1 – Indica a função de Proprietário. 2 – Indica a função de Membro. 3 – Indica a função de Convidado. A propriedade Membros inclui também o nome da sua organização e o endereço de email do membro. |
Microsoft Teams |
ModifiedProperties (Name, NewValue, OldValue) | A propriedade está incluída para atividades de administrador, como adicionar um utilizador como membro de um site ou grupo de administradores de coleções de sites. A propriedade inclui o nome da propriedade que foi modificada (por exemplo, o grupo Administrador do Site) o novo valor da propriedade modificada (tal como o utilizador que foi adicionado como administrador do site e o valor anterior do objeto modificado). | Todos (atividade de administrador) |
ObjectFullyQualifiedName | O nome completamente qualificado para uma entidade. | Microsoft Purview (governação) |
ObjectId | Para o log de auditoria do administrador do Exchange, o nome do objeto que foi modificado pelo cmdlet. Para a atividade do SharePoint, o nome completo do caminho do URL do ficheiro ou pasta acedido por um utilizador. Para a atividade do Azure AD, o nome da conta de utilizador que foi modificada. |
Todos |
ObjectName | O nome da entidade principal. | Microsoft Purview (governação) |
ObjectType | O tipo de entidade. | Microsoft Purview (governação) |
OldValue | O valor antes de uma alteração inclui todas as propriedades atualizadas ou eliminadas. | Microsoft Purview (governação) |
Operação | O nome do usuário ou atividade administrativa. O valor desta propriedade corresponde ao valor que foi selecionado na lista pendente Atividades . Se a opção Mostrar resultados para todas as atividades tiver sido selecionada, o relatório incluirá entradas para todas as atividades de utilizador e administrador para todos os serviços. Para obter uma descrição das operações/atividades registadas no registo de auditoria, consulte o separador Atividades auditadas em Pesquisar o registo de auditoria no Office 365. Para a atividade de administração do Exchange, essa propriedade identifica o nome do cmdlet que foi executado. |
Todos |
OrganizationId | O GUID da sua organização. | Todos |
NewValue | O valor após uma alteração inclui todas as propriedades atualizadas ou eliminadas. | Microsoft Purview (governação) |
Caminho | O nome da pasta da caixa de correio em que a mensagem que foi acessada está localizada. Esta propriedade também identifica a pasta onde uma mensagem é criada ou copiada/movida para. | Exchange (atividade de caixa de correio) |
Parâmetros | Para a atividade de administrador do Exchange, o nome e o valor de todos os parâmetros que foram utilizados com o cmdlet identificado na propriedade Operação. | Exchange (atividade de administrador) |
ParticipantInfo | Propriedades adicionais sobre a identidade do participante. | Microsoft Teams |
ParticipatingDomainInformation | Informações de domínio sobre o participante. | Microsoft Teams |
PreviousProtectionType | Um tipo de propriedade complexo que contém campos para descrever o estado de proteção anterior de um documento. Inclui o seguinte: ProtectionType: enumera o tipo de proteção aplicado ao documento. Estes valores e os respetivos significados aplicam-se: 0 (sem proteção), 1 (proteção baseada em modelos), 2 (não reencaminhar, para e-mail), 3 (encriptar apenas) e 4 (proteção personalizada configurada pelo utilizador) Proprietário: o endereço de e-mail do utilizador que configurou a proteção. TemplateId: quando o ProtectionType está definido como 1 (modelo), este campo contém o GUID do modelo aplicado ao documento. Quando o valor de ProtectionType não for igual a 1, este campo está em branco. DocumentEncrypted: sinalizador booleano que indica se algum tipo de encriptação é aplicado ao documento. Os valores são Verdadeiro ou Falso. |
Todos |
ProtectionEventType | Enumera a forma como a proteção foi alterada pela operação que está a ser auditada. Aplicam-se os seguintes valores e significados: 0 - Indica inalterado. 1 - Indica adicionado. 2 - Indica alterado. 3 - Indica que foi removido. |
Todos |
RecordType | O tipo de operação indicado pelo registro. Esta propriedade indica o serviço ou funcionalidade em que a operação foi acionada. Para obter uma lista de tipos de registo e o respetivo valor ENUM correspondente (que é o valor apresentado na propriedade RecordType num registo de auditoria), veja Tipo de registo de auditoria. | |
ResultStatus | Indica se a ação (especificada na propriedade Operação ) foi ou não bem-sucedida. Para a atividade de administrador do Exchange, o valor é Verdadeiro (com êxito) ou Falso (com falha). |
Todos |
SecurityComplianceCenterEventType | Indica que a atividade era uma atividade do portal do Microsoft Purview e do portal de conformidade. Todas as atividades do portal do Microsoft Purview e do portal de conformidade terão um valor de 0 para esta propriedade. | Portal do Microsoft Purview Portal de conformidade do Microsoft Purview |
SensitivityLabel | A etiqueta de confidencialidade atribuída a um item de correio específico. | Exchange |
SharingType | O tipo de permissões de partilha atribuídas ao utilizador com o qual o recurso foi partilhado. Este utilizador é identificado na propriedade UserSharedWith . | SharePoint |
Site | O GUID do site onde o arquivo ou pasta acessado pelo usuário está localizado. | SharePoint |
SiteUrl | A URL do site onde o arquivo ou pasta acessado pelo usuário está localizado. | SharePoint |
SourceFileExtension | A extensão do arquivo que foi acessado pelo usuário. Esta propriedade fica em branco se o objeto que foi acessado for uma pasta. | SharePoint |
SourceFileName | O nome do arquivo ou pasta acessado pelo usuário. | SharePoint |
SourceRelativeUrl | O URL da pasta que contém o arquivo acessado pelo usuário. A combinação dos valores da propriedade SiteURL, SourceRelativeURL e SourceFileName é igual ao valor da propriedade ObjectID , que é o nome do caminho completo para o ficheiro acedido pelo utilizador. | SharePoint |
Assunto | A linha de assunto da mensagem que foi acessada. | Exchange (atividade de caixa de correio) |
TabType | O tipo de separador adicionado, removido ou atualizado numa equipa. Os valores possíveis para esta propriedade são: Afixar no Excel – um separador do Excel. Extensão – todas as aplicações originais e de terceiros; por exemplo, Agendamento de Classes, VSTS e Formulários. Notas - separador OneNote. Pdfpin – um separador PDF. Powerbi – um separador do Power BI. Powerpointpin – um separador do PowerPoint. Sharepointfiles – um separador do SharePoint. Página Web – um separador de site afixado. Wiki-tab - Um separador wiki. Wordpin – um separador do Word. |
Microsoft Teams |
Target | O utilizador no qual a ação (identificada na propriedade Operação ) foi executada. Por exemplo, se um convidado for adicionado ao SharePoint ou a uma Equipa da Microsoft, esse utilizador será listado nesta propriedade. | Azure Active Directory |
TeamGuid | O ID de uma equipa no Microsoft Teams. | Microsoft Teams |
TeamName | O nome de uma equipa no Microsoft Teams. | Microsoft Teams |
UserAgent | Informações sobre o browser do utilizador. Estas informações são fornecidas pelo browser. | SharePoint |
UserDomain | Informações de identidade sobre a organização do inquilino do utilizador (ator) que efetuou a ação. | Azure Active Directory |
UserId | O utilizador que efetuou a ação (especificada na propriedade Operação ) que resultou na sessão do registo. Os registos de auditoria da atividade realizada por contas de sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também estão incluídos no registo de auditoria. Outro valor comum para a propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para saber mais, confira: O utilizador app@sharepoint nos registos de auditoria ou Contas de sistema nos registos de auditoria da caixa de correio do Exchange. |
Todos |
UserKey | Contém um ID de Objeto do Azure Active Directory válido no formato GUID ou hexadecima. Para cenários em que o ator principal não é um utilizador, o UserKey é uma cadeia vazia. Veja Cenários UserType e UserKey para obter detalhes sobre vários cenários UserKey . | Todos |
UserType | O tipo de usuário que executou a operação. Veja os cenários UserType e UserKey para obter detalhes sobre vários cenários UserType . | Todos |
Versão | Indica o número da versão da atividade (identificado pela propriedade Operação ) que está registada. | Todos |
Workload | O serviço Do Microsoft 365 onde ocorreu a atividade. | Todos |
Cenários UserType e UserKey
A tabela seguinte fornece detalhes para cenários UserType e UserKey :
Valor | Nome do membro UserType | Descrição | UserKey |
---|---|---|---|
0 | Regular | Um utilizador normal sem permissões de administrador. | ID de Objeto do Microsoft Entra no formato GUID |
2 | Admin | Um administrador na sua organização do Microsoft 365. 1 | ID de Objeto do Microsoft Entra no formato GUID |
3 | DCAdmin | Uma conta de sistema de datacenter ou administrador de datacenter da Microsoft. | ID de Objeto do Microsoft Entra no formato GUID |
4 | System | Um evento de auditoria acionado pela lógica do lado do servidor. Por exemplo, serviços do Windows ou processos em segundo plano. | Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000"). |
5 | Application | Um evento de auditoria acionado por uma aplicação Microsoft Entra. | Nome da Aplicação Microsoft Entra ou ID da Aplicação (quando disponível). Caso contrário, uma cadeia vazia. |
6 | ServicePrincipal | Uma entidade de serviço. | Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000"). |
7 | CustomPolicy | Um cliente criou ou geriu uma política. | Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000"). |
8 | SystemPolicy | Uma política de sistema ou gerida pela Microsoft. | Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000"). |
9 | PartnerTechnician | O utilizador de um inquilino parceiro a trabalhar em nome do inquilino do cliente (em cenários GDAP ). | Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000"). |
10 | Guest | Um utilizador convidado ou anónimo. | Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000"). |
Observação
1 Para eventos relacionados com o Microsoft Entra, o valor de um administrador não é utilizado num registo de auditoria. Os registos de auditoria das atividades realizadas pelos administradores indicarão que um utilizador normal (por exemplo, UserType: 0) realizou a atividade. A propriedade UserID identificará a pessoa (utilizador ou administrador normal) que efetuou a atividade.