你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Purview 信息保护审核日志。
表属性
| 属性 | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性、审核 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是 |
| 引入时转换 | 是 |
| 示例查询 | 是 |
列
| 列 | 类型 | 描述 |
|---|---|---|
| ActionSource | 字符串 | 标签操作的源。 |
| 动作源详细信息 | 字符串 | 有关标签操作源的更多详细信息。 |
| 应用访问上下文 (AppAccessContext) | 动态 | 执行该操作的用户或服务主体的应用程序上下文。 |
| 应用程序 | 字符串 | 发生活动的应用程序。 |
| 应用模式 | 字符串 | 标签应用程序模式,如何应用标签。 |
| AutoSensitivityLabelPolicyInfo | 动态 | 自动敏感度标签策略信息 |
| _BilledSize(账单大小) | real | 记录大小(字节) |
| 客户IP | 字符串 | 记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。 |
| 常见 | 动态 | Azure 信息保护 - 常见事件数据。 |
| ConditionMatch | 动态 | 触发自动标记的条件匹配。 |
| 内容类型 | 字符串 | 内容类型。 |
| CorrelationId | 字符串 | 相关性 ID。 |
| 当前保护类型 | 动态 | 当前保护事件信息。 |
| 当前保护类型名称 | 字符串 | 应用的保护类型。 |
| DataState | 字符串 | Azure 信息保护 - 数据状态。 |
| 设备名称 | 字符串 | 发生活动的设备。 |
| EmailInfo | 动态 | internalTarget 是电子邮件时所需的信息。 |
| ExchangeMetaData | 动态 | Exchange 自动标记元数据。 |
| 执行规则ID | 字符串 | 已执行的规则的 ID。 |
| 执行规则名称 | 字符串 | 已执行的规则的名称。 |
| ExecutionRuleVersion | 字符串 | 已执行的规则的版本。 |
| ID | 字符串 | 审核记录的唯一标识符。 |
| IrmContentId | 字符串 | 操作完成后用于识别加密文档的唯一 ID。 |
| _IsBillable | 字符串 | 指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 是否可供外部用户查看 | 布尔 | 可由外部用户查看。 |
| 项目创建时间 | 日期/时间 | 创建项的日期和时间。 |
| 项目最后修改时间 | datetime | 上次修改项的日期和时间。 |
| 项目名称 | 字符串 | 项目名称 |
| ItemSize | 字符串 | 项大小。 |
| 理由文本 | 字符串 | 理由应在由管理员配置的敏感度标签策略中,仅当用户降级或移除敏感度标签时提供。 |
| LabelAction | 字符串 | 标签应用的操作。 |
| LabelAppliedDateTime | datetime | 应用标签的日期和时间。 |
| LabelEventType | 字符串 | 标签操作。 |
| 标签名称 | 字符串 | 应用于项的标签名称。 |
| LabelVersion | 字符串 | 自动标记策略应用的标签版本。 |
| 机器名称 | 字符串 | 计算机名称。 |
| MgtRuleId | 字符串 | 管理规则 ID。 |
| ObjectId (对象标识符) | 字符串 | 对于 SharePoint 和 OneDrive for Business 活动,用户访问的文件或文件夹的完整路径名称。 对于 Exchange 管理员审核日志,通过 cmdlet 修改的对象的名称。 |
| OldSensitivityLabelId | 字符串 | 在触发更改/移除标签的操作之前,以前应用于文档的敏感度标签的标识符。 |
| OldSensitivityLabelOwnerEmail | 字符串 | 旧敏感度标签所有者的电子邮件地址。 |
| 操作 | 字符串 | 用户或管理员活动的名称。 |
| 组织ID | 字符串 | 组织的 Office 365 租户的 GUID。 无论发生在哪种 Office 365 服务中,组织中的此值均保持不变。 |
| OverriddenActions | 动态 | 由规则操作替代的操作。 |
| OverRideReason | 字符串 | 敏感度标签被替代的原因。 |
| OverRideType | 字符串 | 替代类型。 |
| 平台 | 字符串 | 发生活动的平台。 |
| `PolicyId` | 字符串 | 策略 ID。 |
| 政策名称 | 字符串 | 策略名称 |
| PolicyVersion | 字符串 | 策略版本。 |
| 先前保护类型 | 动态 | 以前的保护事件信息。 |
| 先前保护类型名称 | 字符串 | 以前的保护类型。 |
| ProtectionEventData | 动态 | Azure 信息保护 - 保护事件数据。 |
| 保护事件类型名称 | 字符串 | 保护事件类型名称。 |
| 接收器 | 动态 | 接收方的电子邮件地址。 |
| 记录类型 | 整数 | 记录指示的操作类型。 |
| 记录类型名称 | 字符串 | 记录类型名称。 |
| 结果状态 | 字符串 | 指示操作(在 Operation 属性中指定)是成功还是失败。 可能的值有 Succeeded(成功)、PartiallySucceeded(部分成功)或 Failed(失败)。 对于 Exchange 管理员活动,值为 True 或 False。 |
| RuleActions | 动态 | 由规则定义的操作。 |
| RuleMode | 字符串 | 规则的当前模式。 |
| 范围 | 字符串 | 此事件是由托管的 O365 服务还是本地服务器创建的。 |
| ScopedLocationId | 字符串 | 触发策略匹配的地址。 |
| 发送方 | 字符串 | 发送方的电子邮件地址。 |
| SensitiveInfoDetectionIsIncluded | 布尔 | 确定是否包括敏感信息检测。 |
| 敏感信息类型数据 | 动态 | Azure 信息保护 - 敏感信息类型。 |
| SensitivityLabelEventFailureData | 动态 | 敏感度标签事件失败数据 |
| SensitivityLabelId | 字符串 | 建议的敏感度标签的标识符,依据基于文档内容匹配的策略。 |
| 敏感性标签所有者邮箱 | 字符串 | 敏感度标签所有者的电子邮件地址。 |
| SensitivityLabelPolicyId | 字符串 | 根据文档内容匹配到的敏感度标签策略的标识符。 |
| 严重性 | 字符串 | 自动标签策略匹配的严重性。 |
| SharePointMetaData | 动态 | SharePoint 自动标记元数据。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可以是直接连接或 Operations Manager)、适用于所有 Linux 代理的 Linux,或适用于 Azure 诊断的 Azure。 |
| TargetLocation | 字符串 | 文档相对于用户设备的位置。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | datetime | 用户执行活动的日期和时间。 |
| 类型 | 字符串 | 表的名称 |
| UserID | 字符串 | 执行使系统记下记录的操作(在 Operation 属性中指定)的用户的 UPN(用户主体名称)。 |
| 用户密钥 | 字符串 | UserId 属性中标识的用户的备用 ID。 此属性由 SharePoint、OneDrive for Business 和 Exchange 中用户执行的事件的 Passport 唯一 ID (PUID) 进行填充。 |
| 用户类型 | 字符串 | 执行操作的用户的类型。 |
| 工作负荷 | 字符串 | 发生活动的 Office 365 服务。 |
| WorkLoadItemId | 字符串 | 工作负载项 ID。 |