EnrichedMicrosoft365AuditLogs
- [アーティクル]
-
-
この表は、強化された Microsoft 365 監査ログを含む ID とネットワーク アクセスの一部です。 これらのログは、ポリシー、リスク、トラフィック管理、およびユーザー エクスペリエンスの監視に利用できます。
テーブル属性
| 属性 |
Value |
| リソースの種類 |
- |
| Categories (カテゴリ) |
セキュリティ、ネットワーク、IT & 管理ツール |
| ソリューション |
LogManagement |
| 基本的なログ |
いいえ |
| インジェスト時間変換 |
いいえ |
| サンプル クエリ |
- |
列
| 列 |
タイプ |
説明 |
| ActorUserType |
string |
操作を実行したユーザーの種類。 使用可能な種類は、管理者、システム、アプリケーション、サービス プリンシパル、およびその他です。 |
| AdditionalProperties |
動的 |
その他のアクティビティ フィールド |
| _BilledSize |
real |
レコード サイズ (バイト単位) |
| ClientIp |
string |
アクティビティが記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは IPv4 または IPv6 アドレスの形式で表示されます。 一部のサービスでは、このプロパティに表示される値は、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではなく、ユーザーに代わってサービスを呼び出す信頼されたアプリケーション (Web アプリ上の Office など) の IP アドレスである可能性があります。 また、Azure Active Directory 関連のイベントの場合、IP アドレスはログに記録されず、ClientIP プロパティの値は null です。 |
| DeviceId |
string |
レコードで報告されるソース デバイスの ID。 |
| DeviceOperatingSystem |
string |
オペレーティング システムに接続しているクライアントの種類。 |
| DeviceOperatingSystemVersion |
string |
オペレーティング システムに接続しているクライアントのバージョン。 |
| Id |
string |
監査レコードの一意識別子。 |
| _IsBillable |
string |
データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| ObjectId |
string |
SharePoint および OneDrive for Business アクティビティの場合、ユーザーがアクセスするファイルまたはフォルダーの完全なパス名。 Exchange 管理者監査ログの場合、コマンドレットによって変更されたオブジェクトの名前。 |
| 操作 |
string |
アクティビティを実行したユーザーまたは管理者アクティビティの名前。 |
| OrganizationId |
string |
組織の Office 365 テナントの GUID。 どの Office 365 サービスで発生するかにかかわらず、この値は組織に対して常に同じになります。 |
| RecordType |
int |
レコードによって示される操作の種類。 監査ログ レコードの種類の詳細については、AuditLogRecordType テーブルを参照してください。 |
| ResultStatus |
string |
(Operation プロパティで指定された) アクションが正常に終了したかどうかを示します。 値は Succeeded、PartiallySucceeded、Failed のいずれかです。 |
| SourceIp |
string |
接続またはセッションの開始元の IP アドレス。 |
| SourceSystem |
string |
イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| TenantId |
string |
Log Analytics ワークスペース ID |
| TimeGenerated |
datetime |
ユーザーがアクティビティを実行した日時 (UTC)。 |
| 種類 |
string |
テーブルの名前 |
| UniqueTokenId |
string |
一意のトークン識別子 |
| UserId |
string |
レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーの UPN (ユーザー プリンシパル名)。たとえば、my_name@my_domain_name。 システム アカウント (SHAREPOINT\system、NT AUTHORITY\SYSTEM など) によって実行されるアクティビティのレコードも含まれていることに注意してください。 SharePoint では、UserId プロパティに別の値が表示app@sharepoint。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスに代わって組織全体のアクション (SharePoint サイトや OneDrive アカウントの検索など) を実行するために SharePoint で必要なアクセス許可を持つアプリケーションであることを示します。 詳細については、監査レコードのapp@sharepointユーザーを参照してください。 |
| UserKey |
string |
UserId プロパティで識別されるユーザーの代替 ID。 たとえば、SharePoint、OneDrive for Business、および Exchange でユーザーによって実行されたイベントの Passport 一意識別子 (PUID) が、このプロパティの値になります。 このプロパティは、システム アカウントによって実行される他のサービスおよびイベントで発生するイベントの UserID プロパティと同じ値を指定することもできます。 |
| UserType |
string |
操作を実行したユーザーの種類。 |
| ワークロード |
string |
アクティビティが発生した Office 365 サービス。 |