Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Ao exportar os resultados de uma pesquisa de registo de auditoria a partir do portal do Microsoft Purview, pode transferir todos os resultados que cumprem os critérios de pesquisa. Pode exportar estas informações ao selecionar Exportar resultados>Transferir todos os resultados na página Pesquisa de registos de auditoria . Para obter mais informações, veja Pesquisar o registo de auditoria.
Quando exporta todos os resultados para uma pesquisa de registo de auditoria, os dados não processados do registo de auditoria unificado são copiados para um ficheiro de valores separados por vírgulas (CSV) que transfere para o seu computador local. Este ficheiro contém informações de propriedade adicionais de cada registo de atividade de auditoria numa coluna denominada AuditData. Esta coluna contém uma propriedade de múltiplos valores para várias propriedades do registo de auditoria. Cada uma das propriedades: os pares de valores nesta propriedade de valores múltiplos são separados por uma vírgula.
A tabela seguinte descreve as propriedades de atividade que estão incluídas (consoante o serviço em que ocorre uma atividade) na coluna AuditData de várias propriedades. O serviço Microsoft que tem esta coluna de propriedade indica o serviço e o tipo de atividade (utilizador ou administrador) que inclui a propriedade . Para obter informações mais detalhadas sobre estas propriedades ou sobre propriedades que podem não estar listadas neste artigo, veja Esquema da API de Atividade de Gestão.
Dica
Pode utilizar a funcionalidade de transformação JSON no Power Query no Excel para dividir a coluna AuditData em múltiplas colunas para que cada propriedade tenha a sua própria coluna. Esta funcionalidade permite-lhe ordenar e filtrar uma ou mais destas propriedades. Para saber como fazê-lo, veja Exportar, configurar e ver registos de auditoria.
| Propriedade | Descrição | Serviço Microsoft que tem esta propriedade |
|---|---|---|
| Actor | A conta de utilizador ou serviço que efetuou a ação. | Microsoft Entra ID |
| AddOnName | O nome de um suplemento que foi adicionado, removido ou atualizado numa equipa. O tipo de suplementos no Microsoft Teams é um bot, um conector ou um separador. | Microsoft Teams |
| AddOnType | O tipo de um suplemento que foi adicionado, removido ou atualizado numa equipa. Os seguintes valores indicam o tipo de suplemento. 1 - Indica um bot. 2 - Indica um conector. 3 - Indica um separador. |
Microsoft Teams |
| AppAccessContext | O contexto do aplicativo para o usuário ou principal de serviço que executou a ação. | Microsoft Teams |
| ArtifactShared | Ficheiros ou conteúdos partilhados pelo utilizador. | Microsoft Teams |
| AzureActiveDirectoryEventType | O tipo de atividade Microsoft Entra ID. Os seguintes valores indicam o tipo de atividade. 0 - Indica uma atividade de início de sessão da conta. 1 - Indica um Azure atividade de segurança de aplicações. |
Microsoft Entra ID |
| ChannelGuid | O ID de um canal do Microsoft Teams. A equipa na qual o canal está localizado é identificada pelas propriedades TeamName e TeamGuid . | Microsoft Teams |
| ChannelName | O nome de um canal do Microsoft Teams. A equipa na qual o canal está localizado é identificada pelas propriedades TeamName e TeamGuid . | Microsoft Teams |
| Cliente | O dispositivo cliente, o SO do dispositivo e o browser do dispositivo utilizados para a atividade de início de sessão (por exemplo, Nokia Lumia 920; Windows Phone 8; IE Mobile 11). | Microsoft Entra ID |
| ClientInfoString | Informações sobre o cliente de e-mail que foi utilizado para executar a operação, como uma versão do browser, a versão do Outlook e as informações do dispositivo móvel | Exchange (atividade de caixa de correio) |
| ClientIP | O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para a atividade de administrador (ou atividade realizada por uma conta de sistema) para atividades relacionadas com Microsoft Entra ID, o endereço IP não é registado e o valor da propriedade ClientIP é null. |
Microsoft Entra ID, Exchange, SharePoint |
| CreationTime | A data e hora na Hora Universal Coordenada (UTC) quando o registo de auditoria é gerado. | Todos |
| CurrentProtectionType | Um tipo de propriedade complexo que contém campos para descrever a proteção atual status de um documento. Inclui o seguinte: ProtectionType: enumera o tipo de proteção aplicado ao documento. Estes valores e os respetivos significados aplicam-se: 0 (sem proteção), 1 (proteção baseada em modelos), 2 (não reencaminhar, para e-mail), 3 (encriptar apenas) e 4 (proteção personalizada configurada pelo utilizador) Proprietário: o endereço de e-mail do utilizador que configurou a proteção. TemplateId: quando o ProtectionType está definido como 1 (modelo), este campo contém o GUID do modelo aplicado ao documento. Quando o valor de ProtectionType não for igual a 1, este campo está em branco. DocumentEncrypted: sinalizador booleano que indica se algum tipo de encriptação é aplicado ao documento. Os valores são Verdadeiro ou Falso. |
Todos |
| DestinationFileExtension | A extensão de um arquivo que foi copiado ou movido. Esta propriedade é apresentada apenas para as atividades de utilizador FileCopied e FileMoved. | SharePoint |
| DestinationFileName | O nome do ficheiro é copiado ou movido. Esta propriedade é apresentada apenas para as ações FileCopied e FileMoved. | SharePoint |
| DestinationRelativeUrl | A URL da pasta de destino em que um arquivo é copiado ou movido. A combinação dos valores da propriedade SiteURL, DestinationRelativeURL e DestinationFileName é igual ao valor da propriedade ObjectID , que é o nome completo do caminho para o ficheiro que foi copiado. Esta propriedade é apresentada apenas para as atividades de utilizador FileCopied e FileMoved. | SharePoint |
| EventSource | Identifica que ocorreu uma atividade no SharePoint. Os valores possíveis são SharePoint e ObjectModel. | SharePoint |
| ExtendedProperties | As propriedades expandidas do Microsoft Purview e Microsoft Entra atividades de ID. | Microsoft Entra ID Microsoft Purview |
| ExternalAccess | Para a atividade de administrador do Exchange, especifica se o cmdlet foi executado por um utilizador na sua organização, por pessoal do datacenter da Microsoft ou por uma conta de serviço do datacenter ou por um administrador delegado. O valor Falso indica que o cmdlet foi executado por alguém em sua organização. O valor Verdadeiro indica que o cmdlet foi executado pela equipe do datacenter, por uma conta de serviço do datacenter ou por um administrador delegado. Para a atividade da caixa de correio do Exchange, especifica se uma caixa de correio foi acedida por um utilizador fora da sua organização. |
Exchange |
| ID | O ID da entrada do relatório. O ID identifica exclusivamente a entrada do relatório. | Todos |
| InternalLogonType | Reservado para uso interno. | Exchange (atividade de caixa de correio) |
| IsJoinedFromLobby | Se o utilizador entrou ou não numa sessão do Teams a partir da sala de espera. | Microsoft Teams |
| ItemType | O tipo de objeto que foi acessado ou modificado. Os valores possíveis incluem Ficheiro, Pasta, Web, Site, Inquilino e DocumentLibrary. | SharePoint |
| LoginStatus | Identifica falhas de início de sessão que possam ter ocorrido. | Microsoft Entra ID |
| LogonType | O tipo de acesso à caixa de correio. Os seguintes valores indicam o tipo de utilizador que acedeu à caixa de correio. 0 - Indica um proprietário de caixa de correio. 1 - Indica um administrador. 2 - Indica um delegado. 3 - Indica o serviço de transporte no datacenter da Microsoft. 4 - Indica uma conta de serviço no datacenter da Microsoft. 6 - Indica um administrador delegado. |
Exchange (atividade de caixa de correio) |
| MailboxGuid | O GUID do Exchange da caixa de correio que foi acessada. | Exchange (atividade de caixa de correio) |
| MailboxOwnerUPN | O endereço de email da pessoa que possui a caixa de correio que foi acessada. | Exchange (atividade de caixa de correio) |
| Members | Listas os utilizadores que foram adicionados ou removidos de uma equipa. Os valores a seguir indicam o tipo de função atribuída ao usuário. 1 – Indica a função de Proprietário. 2 – Indica a função de Membro. 3 – Indica a função de Convidado. A propriedade Membros inclui também o nome da sua organização e o endereço de email do membro. |
Microsoft Teams |
| ModifiedProperties (Name, NewValue, OldValue) | A propriedade está incluída para atividades de administrador, como adicionar um utilizador como membro de um site ou grupo de administradores de coleções de sites. A propriedade inclui o nome da propriedade que foi modificada (por exemplo, o site Administração grupo) o novo valor da propriedade modificada (tal como o utilizador que foi adicionado como administrador do site e o valor anterior do objeto modificado). | Todos (atividade de administrador) |
| NewValue | O valor após uma alteração inclui todas as propriedades atualizadas ou eliminadas. | Microsoft Purview (governação) |
| ObjectFullyQualifiedName | O nome completamente qualificado para uma entidade. | Microsoft Purview (governação) |
| ObjectId | Para o log de auditoria do administrador do Exchange, o nome do objeto que foi modificado pelo cmdlet. Para a atividade do SharePoint, o nome completo do caminho do URL do ficheiro ou pasta acedido por um utilizador. Para Azure AD atividade, o nome da conta de utilizador que foi modificada. |
Todos |
| ObjectName | O nome da entidade principal. | Microsoft Purview (governação) |
| ObjectType | O tipo de entidade. | Microsoft Purview (governação) |
| OldValue | O valor antes de uma alteração inclui todas as propriedades atualizadas ou eliminadas. | Microsoft Purview (governação) |
| Operação | O nome do usuário ou atividade administrativa. O valor desta propriedade corresponde ao valor que foi selecionado na lista pendente Atividades . Se a opção Mostrar resultados para todas as atividades tiver sido selecionada, o relatório incluirá entradas para todas as atividades de utilizador e administrador para todos os serviços. Para obter uma descrição das operações/atividades registadas no registo de auditoria, consulte o separador Atividades auditadas em Pesquisar o registo de auditoria no Office 365. Para a atividade de administração do Exchange, essa propriedade identifica o nome do cmdlet que foi executado. |
Todos |
| OrganizationId | O GUID da sua organização. | Todos |
| Parâmetros | Para a atividade de administrador do Exchange, o nome e o valor de todos os parâmetros que foram utilizados com o cmdlet identificado na propriedade Operação. | Exchange (atividade de administrador) |
| ParticipantInfo | Propriedades adicionais sobre a identidade do participante. | Microsoft Teams |
| ParticipatingDomainInformation | Informações de domínio sobre o participante. | Microsoft Teams |
| Caminho | O nome da pasta da caixa de correio em que a mensagem que foi acessada está localizada. Esta propriedade também identifica a pasta onde uma mensagem é criada ou copiada/movida para. | Exchange (atividade de caixa de correio) |
| PreviousProtectionType | Um tipo de propriedade complexo que contém campos para descrever a proteção anterior status de um documento. Inclui o seguinte: ProtectionType: enumera o tipo de proteção aplicado ao documento. Estes valores e os respetivos significados aplicam-se: 0 (sem proteção), 1 (proteção baseada em modelos), 2 (não reencaminhar, para e-mail), 3 (encriptar apenas), 4 (proteção personalizada e configurada pelo utilizador) Proprietário: o endereço de e-mail do utilizador que configurou a proteção. TemplateId: quando o ProtectionType está definido como 1 (modelo), este campo contém o GUID do modelo aplicado ao documento. Quando o valor de ProtectionType não for igual a 1, este campo está em branco. DocumentEncrypted: sinalizador booleano que indica se algum tipo de encriptação é aplicado ao documento. Os valores são Verdadeiro ou Falso. |
Todos |
| ProtectionEventType | Enumera a forma como a proteção foi alterada pela operação que está a ser auditada. Aplicam-se os seguintes valores e significados: 0 - Indica inalterado. 1 - Indica adicionado. 2 - Indica alterado. 3 - Indica que foi removido. |
Todos |
| RecordType | O tipo de operação indicado pelo registro. Esta propriedade indica o serviço ou funcionalidade em que a operação foi acionada. Para obter uma lista de tipos de registo e o respetivo valor ENUM correspondente (que é o valor apresentado na propriedade RecordType num registo de auditoria), veja Tipo de registo de auditoria. | |
| ResultStatus | Indica se a ação (especificada na propriedade Operação ) foi ou não bem-sucedida. Para a atividade de administrador do Exchange, o valor é Verdadeiro (com êxito) ou Falso (com falha). |
Todos |
| SecurityComplianceCenterEventType | Indica que a atividade era uma atividade do portal do Microsoft Purview. Todas as atividades do portal do Microsoft Purview têm um valor de 0 para esta propriedade. | Portal do Microsoft Purview |
| SensitivityLabel | A etiqueta de confidencialidade atribuída a um item de correio específico. | Exchange |
| SharingType | O tipo de permissões de partilha que atribuiu ao utilizador com o qual partilhou o recurso. Este utilizador é identificado na propriedade UserSharedWith . | SharePoint |
| Site | O GUID do site onde o arquivo ou pasta acessado pelo usuário está localizado. | SharePoint |
| SiteUrl | A URL do site onde o arquivo ou pasta acessado pelo usuário está localizado. | SharePoint |
| SourceFileExtension | A extensão de ficheiro do ficheiro ao qual o utilizador acedeu. Esta propriedade fica em branco se o objeto que foi acessado for uma pasta. | SharePoint |
| SourceFileName | O nome do arquivo ou pasta acessado pelo usuário. | SharePoint |
| SourceRelativeUrl | O URL da pasta que contém o ficheiro ao qual o utilizador acedeu. A combinação dos valores da propriedade SiteURL, SourceRelativeURL e SourceFileName é igual ao valor da propriedade ObjectID , que é o nome do caminho completo para o ficheiro ao qual o utilizador acedeu. | SharePoint |
| Assunto | A linha de assunto da mensagem que foi acessada. | Exchange (atividade de caixa de correio) |
| TabType | O tipo de separador adicionado, removido ou atualizado numa equipa. Os valores possíveis para esta propriedade são: Afixar no Excel – um separador do Excel. Extensão – todas as aplicações originais e de terceiros; por exemplo, Agendamento de Turma, VSTS e Forms. Notas - separador OneNote. Pdfpin – um separador PDF. Powerbi – um separador do Power BI. Powerpointpin – um separador do PowerPoint. Sharepointfiles – um separador do SharePoint. Página Web – um separador de site afixado. Wiki-tab - Um separador wiki. Wordpin – um separador Word. |
Microsoft Teams |
| Target | O utilizador no qual a ação (identificada na propriedade Operação ) foi executada. Por exemplo, se um convidado for adicionado ao SharePoint ou a uma Equipa da Microsoft, esse utilizador é listado nesta propriedade. | Microsoft Entra ID |
| TeamGuid | O ID de uma equipa no Microsoft Teams. | Microsoft Teams |
| TeamName | O nome de uma equipa no Microsoft Teams. | Microsoft Teams |
| UserAgent | Informações sobre o browser do utilizador. O browser fornece estas informações. | SharePoint |
| UserDomain | Informações de identidade sobre a organização do inquilino do utilizador (ator) que efetuou a ação. | Microsoft Entra ID |
| UserId | O utilizador que efetuou a ação (especificada na propriedade Operação ) que resultou na sessão do registo. Os registos de auditoria da atividade realizada por contas de sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também estão incluídos no registo de auditoria. Outro valor comum para a propriedade UserId é app@sharepoint. Este valor indica que o "utilizador" que efetuou a atividade era uma aplicação que tem as permissões necessárias no SharePoint para efetuar ações em toda a organização (como procurar num site do SharePoint ou numa conta do OneDrive) em nome de um utilizador, administrador ou serviço. Para saber mais, confira: O utilizador app@sharepoint nos registos de auditoria ou Contas de sistema nos registos de auditoria da caixa de correio do Exchange. |
Todos |
| UserKey | Contém um ID de Objeto de ID de Microsoft Entra válido no formato GUID ou formato hexadecim. Para cenários em que o ator principal não é um utilizador, o UserKey é uma cadeia vazia. Veja Cenários UserType e UserKey para obter detalhes sobre vários cenários UserKey . | Todos |
| UserType | O tipo de usuário que executou a operação. Veja os cenários UserType e UserKey para obter detalhes sobre vários cenários UserType . | Todos |
| Versão | Indica o número da versão da atividade (identificado pela propriedade Operação ) que está registada. | Todos |
| Workload | O serviço Do Microsoft 365 onde ocorreu a atividade. | Todos |
Cenários UserType e UserKey
A tabela seguinte fornece detalhes para cenários UserType e UserKey :
| Valor | Nome do membro UserType | Descrição | UserKey |
|---|---|---|---|
| 0 | Regular | Um utilizador normal sem permissões de administrador. | Microsoft Entra ID de Objeto no formato GUID |
| 2 | Admin | Um administrador na sua organização do Microsoft 365. 1 | Microsoft Entra ID de Objeto no formato GUID |
| 3 | DCAdmin | Uma conta de sistema de datacenter ou administrador de datacenter da Microsoft. | Microsoft Entra ID de Objeto no formato GUID |
| 4 | System | Um evento de auditoria acionado pela lógica do lado do servidor. Por exemplo, serviços do Windows ou processos em segundo plano. | Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000"). |
| 5 | Application | Um evento de auditoria acionado por uma aplicação Microsoft Entra. | Microsoft Entra Nome da Aplicação ou ID da Aplicação (quando disponível). Caso contrário, uma cadeia vazia. |
| 6 | ServicePrincipal | Uma entidade de serviço. | Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000"). |
| 7 | CustomPolicy | Um cliente criou ou geriu uma política. | Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000"). |
| 8 | SystemPolicy | Uma política de sistema ou gerida pela Microsoft. | Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000"). |
| 9 | PartnerTechnician | O utilizador de um inquilino parceiro a trabalhar em nome do inquilino do cliente (em cenários GDAP ). | Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000"). |
| 10 | Guest | Um utilizador convidado ou anónimo. | Guid.Empty.ToString() (ou o valor "000000000-0000-0000-0000-0000000000000"). |
| 11 | Agente | Um agente de IA | Microsoft Entra ID de Objeto do agente primário no formato GUID. |
Observação
1 Para Microsoft Entra eventos relacionados, o valor de um administrador não é utilizado num registo de auditoria. Os registos de auditoria das atividades realizadas pelos administradores indicam que um utilizador normal (por exemplo, UserType: 0) realizou a atividade. A propriedade UserID identifica a pessoa (utilizador ou administrador normal) que efetuou a atividade.