| ActorName |
sträng |
UPN (användarens huvudnamn) för den användare som utförde åtgärden (anges i egenskapen Operation) som resulterade i att posten loggades. till exempel my_name@my_domain_name. Observera att poster för aktivitet som utförs av systemkonton (till exempel SHAREPOINT\system eller NT AUTHORITY\SYSTEM) också ingår. I SharePoint visas ett annat värde i egenskapen UserId app@sharepoint. Detta anger att den "användare" som utförde aktiviteten var ett program som har de behörigheter som krävs i SharePoint för att utföra organisationsomfattande åtgärder (till exempel att söka efter en SharePoint-webbplats eller ett OneDrive-konto) för en användare, administratör eller tjänst. Mer information finns i app@sharepoint användare i granskningsposter. |
| ActorUserId |
sträng |
Ett alternativt ID för användaren som identifieras i egenskapen UserId. Den här egenskapen fylls till exempel med passets unika ID (PUID) för händelser som utförs av användare i SharePoint, OneDrive för företag och Exchange. Den här egenskapen kan också ange samma värde som egenskapen UserID för händelser som inträffar i andra tjänster och händelser som utförs av systemkonton. |
| ActorUserType |
sträng |
Den typ av användare som utförde åtgärden. Möjliga typer är: Admin, System, Application, Service Principal och Other. |
| AdditionalInfo |
dynamisk |
Mer information, till exempel miljönamnet. |
| _BilledSize |
real |
Poststorleken i byte |
| ConnectorId |
sträng |
Resursgruppens unika ID. Exempel: anpassat API och anslutning eller gateway. |
| EventOriginalType |
sträng |
Namnet på den användar- eller administratörsaktivitet som utförde aktiviteten. En beskrivning av de vanligaste åtgärderna/aktiviteterna finns i "Sök i granskningsloggen" i Office 365 Protection Center. För Exchange-administratörsaktivitet identifierar den här egenskapen namnet på den cmdlet som kördes. För Dlp-händelser kan detta vara "DlpRuleMatch", "DlpRuleUndo" eller "DlpInfo", som beskrivs under "DLP-schema" nedan. |
| EventOriginalUid |
sträng |
Unik identifierare för en granskningspost. |
| EventResult |
sträng |
Anger om åtgärden (som anges i egenskapen Operation) lyckades eller inte. Möjliga värden är Succeeded, PartiallySucceeded eller Failed. |
| _IsBillable |
sträng |
Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| ObjectId |
sträng |
Det fullständiga sökvägsnamnet för den fil eller mapp som användaren har åtkomst till. För Granskningsloggning för Exchange-administratör är namnet på det objekt som ändrades av cmdleten. |
| OrganizationId |
sträng |
GUID för organisationens Office 365-klientorganisation. Det här värdet kommer alltid att vara detsamma för din organisation, oavsett i vilken Office 365-tjänst det sker. |
| RecordType |
sträng |
Den typ av åtgärd som anges av posten. Mer information om typer av granskningsloggposter finns i tabellen AuditLogRecordType. |
| SourceSystem |
sträng |
Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SrcIpAddr |
sträng |
IP-adressen för den enhet som användes när aktiviteten loggades. IP-adressen visas i IPv4- eller IPv6-adressformat. För vissa tjänster kan värdet som visas i den här egenskapen vara IP-adressen för ett betrott program (till exempel Office på webben appar) som anropar tjänsten för en användares räkning och inte IP-adressen för den enhet som används av den person som utförde aktiviteten. För Azure Active Directory-relaterade händelser loggas inte IP-adressen och värdet för egenskapen ClientIP är null. |
| TenantId |
sträng |
Log Analytics-arbetsytans ID |
| TimeGenerated |
datetime |
Datum och tid i (UTC) när användaren utförde aktiviteten. |
| Typ |
sträng |
Namnet på tabellen |
| Arbetsbelastning |
sträng |
Office 365-tjänsten där aktiviteten inträffade. |