스키마: Microsoft365.Audit.AzureActiveDirectory
파서:
원본:
이름: Microsoft365.Audit.AzureActiveDirectory
설명: Azure Active Directory 감사 이벤트.
참조URL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema
필드:
- 이름: Id
required: true
설명: 감사 레코드의 고유 식별자.
type: string
- 이름: RecordType
required: true
설명: 레코드가 나타내는 작업 유형입니다. 감사 로그 레코드 유형에 대한 세부사항은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하십시오.
유형: int
- 이름: CreationTime
required: true
설명: 사용자가 활동을 수행한 협정 세계시(UTC) 기준의 날짜 및 시간.
type: timestamp
시간형식: layout=2006-01-02T15:04:05
isEventTime: true
- 이름: Operation
required: true
설명: 사용자 또는 관리자 활동의 이름.
type: string
- 이름: OrganizationId
required: true
설명: 조직의 Office 365 테넌트 GUID입니다. 이 값은 발생한 Office 365 서비스와 관계없이 조직에 대해 항상 동일합니다.
type: string
- 이름: UserType
required: true
설명: 작업을 수행한 사용자 유형입니다. 사용자 유형에 대한 세부사항은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하십시오.
유형: int
- 이름: UserKey
설명: UserId 속성에 식별된 사용자에 대한 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business 및 Exchange에서 사용자가 수행한 이벤트의 경우 이 속성은 여권 고유 ID(PUID)로 채워집니다. 이 속성은 다른 서비스에서 발생한 이벤트나 시스템 계정이 수행한 이벤트에 대해 UserID 속성과 동일한 값을 지정할 수도 있습니다.
type: string
지표:
- username
- 이름: Workload
설명: 활동이 발생한 Office 365 서비스.
type: string
- 이름: ResultStatus
설명: 작업(Operation 속성에 지정된)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리자 활동의 경우 값은 True 또는 False입니다.
type: string
- 이름: ObjectId
설명: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리자 감사 로깅의 경우 cmdlet에 의해 수정된 객체의 이름입니다.
type: string
- 이름: UserId
설명: 레코드가 기록되게 한 작업(Operation 속성에 지정된)을 수행한 사용자의 UPN(사용자 주체 이름); 예: my_name@my_domain_name. SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM과 같은 시스템 계정이 수행한 활동에 대한 레코드도 포함됩니다. SharePoint에서는 UserId 속성에 app@sharepoint와 같은 다른 값이 표시될 수 있습니다. 이는 활동을 수행한 "사용자"가 사용자, 관리자 또는 서비스를 대신하여 조직 전체 작업(예: SharePoint 사이트나 OneDrive 계정 검색)을 수행할 수 있는 권한을 가진 애플리케이션임을 나타냅니다.
type: string
지표:
- username
- name: ClientIP
설명: 활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 사용자를 대신해 서비스를 호출하는 신뢰된 애플리케이션(예: 웹용 Office 앱)의 IP 주소일 수 있으며 활동을 수행한 사람의 장치 IP 주소가 아닐 수 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소가 기록되지 않아 ClientIP 속성의 값이 null일 수 있습니다.
type: string
지표:
- ip
- 이름: Scope
설명: 이 이벤트가 호스팅된 M365 서비스에서 생성되었는지 또는 온프레미스 서버에서 생성되었는지 여부입니다. 가능한 값은 online 및 onprem입니다. 현재 온프레미스에서 M365로 이벤트를 전송하는 워크로드는 SharePoint뿐임에 유의하십시오.
type: string
- 이름: AppAccessContext
설명: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트.
type: object
필드:
- 이름: AADSessionId
설명: 앱이 사용자를 대신하여 수행한 AAD(와 Azure Active Directory) 로그인 세션의 AAD SessionId.
type: string
- 이름: APIId
설명: 리소스에 접근하는 데 사용되는 API 경로의 Id; 예: Microsoft Graph API를 통한 접근.
type: string
- 이름: ClientAppId
설명: 사용자를 대신하여 접근을 수행한 AAD 앱의 Id.
type: string
- 이름: ClientAppName
설명: 사용자를 대신하여 접근을 수행한 AAD 앱의 이름.
type: string
- 이름: CorrelationId
설명: 특정 사용자의 작업을 Microsoft 365 서비스 전반에 걸쳐 상관관계 지을 때 사용할 수 있는 식별자.
type: string
지표:
- trace_id
- 이름: AzureActiveDirectoryEventType
required: true
설명: Azure AD 이벤트의 유형.
유형: int
- 이름: ExtendedProperties
설명: Azure AD 이벤트의 확장 속성.
type: array
element:
type: object
필드:
- name: Name
설명: Name 필드
type: string
- 이름: Value
설명: Value 필드
type: string
- 이름: ModifiedProperties
설명: 이 속성은 관리자 이벤트에 포함됩니다. 이 속성은 수정된 속성의 이름, 수정된 속성의 새 값 및 수정되기 전의 이전 값을 포함합니다.
type: array
element:
유형: json
- 이름: DeviceProperties
설명: Azure AD 이벤트의 장치 속성.
type: array
element:
type: object
필드:
- name: Name
설명: Name 필드
type: string
- 이름: Value
설명: Value 필드
type: string
- 이름: Application
설명: 계정 로그인 이벤트를 트리거한 애플리케이션(예: Office 15).
type: string
- 이름: Client
설명: 계정 로그인 이벤트에 사용된 클라이언트 장치, 장치 OS 및 장치 브라우저에 대한 세부정보.
type: string
- 이름: LoginStatus
설명: 이 속성은 OrgIdLogon.LoginStatus에서 직접 가져온 것입니다. 다양한 흥미로운 로그인 실패 매핑은 경고 알고리즘으로 수행될 수 있습니다.
유형: int
- 이름: UserDomain
설명: 테넌트 식별 정보(Tenant Identity Information, TII).
type: string
- 이름: Actor
설명: 작업을 수행한 사용자 또는 서비스 주체.
type: array
element:
type: object
필드:
- 이름: ID
설명: 유형이 주어졌을 때 신원(identity)의 값.
type: string
지표:
- username
- 이름: Type
설명: 신원 유형.
유형: int
- 이름: ActorContextId
설명: 행위자가 속한 조직의 GUID.
type: string
- 이름: ActorIpAddress
설명: 행위자의 IP 주소(IPv4 또는 IPv6 형식).
type: string
지표:
- ip
- 이름: InterSystemsId
설명: Office 365 서비스 내 구성 요소 전반의 작업을 추적하는 GUID.
type: string
- 이름: IntraSystemId
설명: 작업을 추적하기 위해 Azure Active Directory에서 생성된 GUID.
type: string
- 이름: SupportTicketId
설명: "대리(on-behalf-of)" 상황에서 작업에 대한 고객 지원 티켓 ID.
type: string
- 이름: Target
설명: 작업(Operation 속성에 의해 식별된)이 수행된 사용자.
type: array
element:
type: object
필드:
- 이름: ID
설명: 유형이 주어졌을 때 신원(identity)의 값.
type: string
지표:
- username
- 이름: Type
설명: 신원 유형.
유형: int
- 이름: TargetContextId
설명: 대상 사용자가 속한 조직의 GUID.
type: string
- 이름: ApplicationId
설명: 로그인을 요청하는 애플리케이션을 나타내는 GUID. 표시 이름은 Azure Active Directory Graph API를 통해 조회할 수 있습니다.
type: string
- 이름: ErrorCode
설명: 실패한 로그인( Operation 속성 값이 UserLoginFailed인 경우)에 대해 이 속성은 Azure Active Directory STS(AADSTS) 오류 코드를 포함합니다. 값이 0이면 로그인 성공을 나타냅니다.
type: string
- 이름: LogonError
설명: 실패한 로그인에 대해 이 속성은 실패 원인에 대한 사용자 읽기 가능한 설명을 포함합니다.
type: string
스키마: Microsoft365.Audit.Exchange
파서:
원본:
이름: Microsoft365.Audit.Exchange
설명: Microsoft Exchange 감사 이벤트.
참조URL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema
필드:
- 이름: Id
required: true
설명: 감사 레코드의 고유 식별자.
type: string
- 이름: RecordType
required: true
설명: 레코드가 나타내는 작업 유형입니다. 감사 로그 레코드 유형에 대한 세부사항은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하십시오.
유형: int
- 이름: CreationTime
required: true
설명: 사용자가 활동을 수행한 협정 세계시(UTC) 기준의 날짜 및 시간.
type: timestamp
시간형식: layout=2006-01-02T15:04:05
isEventTime: true
- 이름: Operation
required: true
설명: 사용자 또는 관리자 활동의 이름.
type: string
- 이름: OrganizationId
required: true
설명: 조직의 Office 365 테넌트 GUID입니다. 이 값은 발생한 Office 365 서비스와 관계없이 조직에 대해 항상 동일합니다.
type: string
- 이름: UserType
required: true
설명: 작업을 수행한 사용자 유형입니다. 사용자 유형에 대한 세부사항은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하십시오.
유형: int
- 이름: UserKey
설명: UserId 속성에 식별된 사용자에 대한 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business 및 Exchange에서 사용자가 수행한 이벤트의 경우 이 속성은 여권 고유 ID(PUID)로 채워집니다. 이 속성은 다른 서비스에서 발생한 이벤트나 시스템 계정이 수행한 이벤트에 대해 UserID 속성과 동일한 값을 지정할 수도 있습니다.
type: string
지표:
- username
- 이름: Workload
설명: 활동이 발생한 Office 365 서비스.
type: string
- 이름: ResultStatus
설명: 작업(Operation 속성에 지정된)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리자 활동의 경우 값은 True 또는 False입니다.
type: string
- 이름: ObjectId
설명: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리자 감사 로깅의 경우 cmdlet에 의해 수정된 객체의 이름입니다.
type: string
- 이름: UserId
설명: 레코드가 기록되게 한 작업(Operation 속성에 지정된)을 수행한 사용자의 UPN(사용자 주체 이름); 예: my_name@my_domain_name. SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM과 같은 시스템 계정이 수행한 활동에 대한 레코드도 포함됩니다. SharePoint에서는 UserId 속성에 app@sharepoint와 같은 다른 값이 표시될 수 있습니다. 이는 활동을 수행한 "사용자"가 사용자, 관리자 또는 서비스를 대신하여 조직 전체 작업(예: SharePoint 사이트나 OneDrive 계정 검색)을 수행할 수 있는 권한을 가진 애플리케이션임을 나타냅니다.
type: string
지표:
- username
- name: ClientIP
설명: 활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 사용자를 대신해 서비스를 호출하는 신뢰된 애플리케이션(예: 웹용 Office 앱)의 IP 주소일 수 있으며 활동을 수행한 사람의 장치 IP 주소가 아닐 수 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소가 기록되지 않아 ClientIP 속성의 값이 null일 수 있습니다.
type: string
지표:
- ip
- 이름: Scope
설명: 이 이벤트가 호스팅된 M365 서비스에서 생성되었는지 또는 온프레미스 서버에서 생성되었는지 여부입니다. 가능한 값은 online 및 onprem입니다. 현재 온프레미스에서 M365로 이벤트를 전송하는 워크로드는 SharePoint뿐임에 유의하십시오.
type: string
- 이름: AppAccessContext
설명: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트.
type: object
필드:
- 이름: AADSessionId
설명: 앱이 사용자를 대신하여 수행한 AAD(와 Azure Active Directory) 로그인 세션의 AAD SessionId.
type: string
- 이름: APIId
설명: 리소스에 접근하는 데 사용되는 API 경로의 Id; 예: Microsoft Graph API를 통한 접근.
type: string
- 이름: ClientAppId
설명: 사용자를 대신하여 접근을 수행한 AAD 앱의 Id.
type: string
- 이름: ClientAppName
설명: 사용자를 대신하여 접근을 수행한 AAD 앱의 이름.
type: string
- 이름: CorrelationId
설명: 특정 사용자의 작업을 Microsoft 365 서비스 전반에 걸쳐 상관관계 지을 때 사용할 수 있는 식별자.
type: string
지표:
- trace_id
- 이름: ModifiedObjectResolvedName
설명: cmdlet에 의해 수정된 객체의 사용자 친화적 이름입니다. cmdlet이 객체를 수정한 경우에만 기록됩니다.
type: string
- 이름: Parameters
설명: Operations 속성에 식별된 cmdlet과 함께 사용된 모든 매개변수의 이름과 값.
type: array
element:
type: object
필드:
- name: Name
설명: Name 필드
type: string
- 이름: Value
설명: Value 필드
type: string
- 이름: ModifiedProperties
설명: 이 속성은 관리자 이벤트에 포함됩니다. 이 속성은 수정된 속성의 이름, 수정된 속성의 새 값 및 수정된 객체의 이전 값을 포함합니다.
type: array
element:
유형: json
- 이름: ExternalAccess
required: true
설명: cmdlet이 조직 내의 사용자, Microsoft 데이터센터 직원 또는 데이터센터 서비스 계정, 또는 위임된 관리자에 의해 실행되었는지를 지정합니다. 값 False는 cmdlet이 조직 내 누군가에 의해 실행되었음을 나타냅니다. 값 True는 cmdlet이 데이터센터 직원, 데이터센터 서비스 계정 또는 위임된 관리자에 의해 실행되었음을 나타냅니다.
유형: boolean
- 이름: OriginatingServer
설명: cmdlet이 실행된 서버의 이름.
type: string
- 이름: OrganizationName
설명: 테넌트 이름.
type: string
지표:
- username
- 이름: LogonType
설명: 사서함에 액세스하고 기록된 작업을 수행한 사용자 유형을 나타냅니다.
유형: int
- 이름: InternalLogonType
설명: 내부 사용을 위해 예약됨.
유형: int
- 이름: MailboxGuid
설명: 액세스된 사서함의 Exchange GUID.
type: string
- 이름: MailboxOwnerUPN
설명: 액세스된 사서함 소유자의 이메일 주소.
type: string
지표:
- username
- 이름: MailboxOwnerSid
설명: 사서함 소유자의 SID.
type: string
지표:
- username
- 이름: MailboxOwnerMasterAccountSid
설명: 사서함 소유자 계정의 마스터 계정 SID.
type: string
지표:
- username
- 이름: LogonUserSid
설명: 작업을 수행한 사용자의 SID.
type: string
지표:
- username
- 이름: LogonUserDisplayName
설명: 작업을 수행한 사용자의 사용자 친화적 이름.
type: string
- 이름: ClientInfoString
설명: 브라우저 버전, Outlook 버전, 모바일 장치 정보 등 작업 수행에 사용된 이메일 클라이언트에 대한 정보.
type: string
- 이름: ClientIPAddress
설명: 작업이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 형식으로 표시됩니다.
type: string
지표:
- ip
- 이름: ClientMachineName
설명: Outlook 클라이언트를 호스팅하는 머신 이름.
type: string
지표:
- 호스트명
- 이름: ClientProcessName
설명: 사서함에 액세스하는 데 사용된 이메일 클라이언트.
type: string
- 이름: ClientVersion
설명: 이메일 클라이언트의 버전.
type: string
- 이름: Folder
설명: 항목 그룹이 위치한 폴더.
type: object
필드:
- 이름: Id
설명: 폴더 객체의 스토어 ID.
type: string
- 이름: Path
설명: 액세스된 메시지가 위치한 사서함 폴더의 이름.
type: string
- 이름: FolderItems
설명: FolderItems 필드
유형: json
- 이름: CrossMailboxOperations
설명: 작업이 둘 이상의 사서함을 포함했는지 여부를 나타냅니다.
유형: boolean
- 이름: DestMailboxId
설명: CrossMailboxOperations 매개변수가 True인 경우에만 설정됩니다. 대상 사서함 GUID를 지정합니다.
type: string
- 이름: DestMailboxOwnerUPN
설명: CrossMailboxOperations 매개변수가 True인 경우에만 설정됩니다. 대상 사서함 소유자의 UPN을 지정합니다.
type: string
- 이름: DestMailboxOwnerSid
설명: CrossMailboxOperations 매개변수가 True인 경우에만 설정됩니다. 대상 사서함의 SID를 지정합니다.
type: string
- 이름: DestMailboxOwnerMasterAccountSid
설명: CrossMailboxOperations 매개변수가 True인 경우에만 설정됩니다. 대상 사서함 소유자의 마스터 계정 SID의 SID를 지정합니다.
type: string
지표:
- username
- 이름: DestFolder
설명: 이동(Move)과 같은 작업의 대상 폴더.
type: object
필드:
- 이름: Id
설명: 폴더 객체의 스토어 ID.
type: string
- 이름: Path
설명: 액세스된 메시지가 위치한 사서함 폴더의 이름.
type: string
- 이름: FolderItems
설명: FolderItems 필드
유형: json
- 이름: Folders
설명: 예를 들어 폴더가 선택된 후 삭제되는 경우와 같이 작업에 관련된 원본 폴더에 대한 정보.
type: array
element:
type: object
필드:
- 이름: Id
설명: 폴더 객체의 스토어 ID.
type: string
- 이름: Path
설명: 액세스된 메시지가 위치한 사서함 폴더의 이름.
type: string
- 이름: FolderItems
설명: FolderItems 필드
유형: json
- 이름: AffectedItems
설명: 그룹 내 각 항목에 대한 정보.
type: array
element:
type: object
필드:
- 이름: Id
설명: 스토어 ID.
type: string
- 이름: Subject
설명: 액세스된 메시지의 제목 줄.
type: string
- 이름: ParentFolder
설명: 항목이 위치한 폴더의 이름.
type: object
필드:
- 이름: Id
설명: 폴더 객체의 스토어 ID.
type: string
- 이름: Path
설명: 액세스된 메시지가 위치한 사서함 폴더의 이름.
type: string
- 이름: FolderItems
설명: FolderItems 필드
유형: json
- 이름: Attachments
설명: 메시지에 첨부된 모든 항목의 이름과 파일 크기 목록.
type: string
- 이름: Item
설명: 작업이 수행된 항목을 나타냅니다.
type: object
필드:
- 이름: Id
설명: 스토어 ID.
type: string
- 이름: Subject
설명: 액세스된 메시지의 제목 줄.
type: string
- 이름: ParentFolder
설명: 항목이 위치한 폴더의 이름.
type: object
필드:
- 이름: Id
설명: 폴더 객체의 스토어 ID.
type: string
- 이름: Path
설명: 액세스된 메시지가 위치한 사서함 폴더의 이름.
type: string
- 이름: FolderItems
설명: FolderItems 필드
유형: json
- 이름: Attachments
설명: 메시지에 첨부된 모든 항목의 이름과 파일 크기 목록.
type: string
- 이름: SendAsUserSmtp
설명: 사칭되는 사용자의 SMTP 주소.
type: string
지표:
- 호스트명
- 이름: SendAsUserMailboxGuid
설명: ~로서 이메일을 보내기 위해 액세스된 사서함의 Exchange GUID.
type: string
- 이름: SendOnBehalfOfUserSmtp
설명: 이메일이 대신 발송되는 사용자의 SMTP 주소.
type: string
지표:
- 호스트명
- 이름: SendOnBehalfOfUserMailboxGuid
설명: 대신 메일을 보내기 위해 액세스된 사서함의 Exchange GUID.
타입: strin
스키마: Microsoft365.Audit.General
파서:
원본:
이름: Microsoft365.Audit.General
설명: 다른 로그 유형에 포함되지 않는 일반 감사 이벤트.
참조URL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema
필드:
- 이름: Id
required: true
설명: 감사 레코드의 고유 식별자.
type: string
- 이름: RecordType
required: true
설명: 레코드가 나타내는 작업 유형입니다. 감사 로그 레코드 유형에 대한 세부사항은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하십시오.
유형: int
- 이름: CreationTime
required: true
설명: 사용자가 활동을 수행한 협정 세계시(UTC) 기준의 날짜 및 시간.
type: timestamp
시간형식: layout=2006-01-02T15:04:05
isEventTime: true
- 이름: Operation
required: true
설명: 사용자 또는 관리자 활동의 이름.
type: string
- 이름: OrganizationId
required: true
설명: 조직의 Office 365 테넌트 GUID입니다. 이 값은 발생한 Office 365 서비스와 관계없이 조직에 대해 항상 동일합니다.
type: string
- 이름: UserType
required: true
설명: 작업을 수행한 사용자 유형입니다. 사용자 유형에 대한 세부사항은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하십시오.
유형: int
- 이름: UserKey
설명: UserId 속성에 식별된 사용자에 대한 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business 및 Exchange에서 사용자가 수행한 이벤트의 경우 이 속성은 여권 고유 ID(PUID)로 채워집니다. 이 속성은 다른 서비스에서 발생한 이벤트나 시스템 계정이 수행한 이벤트에 대해 UserID 속성과 동일한 값을 지정할 수도 있습니다.
type: string
지표:
- username
- 이름: Workload
설명: 활동이 발생한 Office 365 서비스.
type: string
- 이름: ResultStatus
설명: 작업(Operation 속성에 지정된)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리자 활동의 경우 값은 True 또는 False입니다.
type: string
- 이름: ObjectId
설명: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리자 감사 로깅의 경우 cmdlet에 의해 수정된 객체의 이름입니다.
type: string
- 이름: UserId
설명: 레코드가 기록되게 한 작업(Operation 속성에 지정된)을 수행한 사용자의 UPN(사용자 주체 이름); 예: my_name@my_domain_name. SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM과 같은 시스템 계정이 수행한 활동에 대한 레코드도 포함됩니다. SharePoint에서는 UserId 속성에 app@sharepoint와 같은 다른 값이 표시될 수 있습니다. 이는 활동을 수행한 "사용자"가 사용자, 관리자 또는 서비스를 대신하여 조직 전체 작업(예: SharePoint 사이트나 OneDrive 계정 검색)을 수행할 수 있는 권한을 가진 애플리케이션임을 나타냅니다.
type: string
지표:
- username
- name: ClientIP
설명: 활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 사용자를 대신해 서비스를 호출하는 신뢰된 애플리케이션(예: 웹용 Office 앱)의 IP 주소일 수 있으며 활동을 수행한 사람의 장치 IP 주소가 아닐 수 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소가 기록되지 않아 ClientIP 속성의 값이 null일 수 있습니다.
type: string
지표:
- ip
- 이름: Scope
설명: 이 이벤트가 호스팅된 M365 서비스에서 생성되었는지 또는 온프레미스 서버에서 생성되었는지 여부입니다. 가능한 값은 online 및 onprem입니다. 현재 온프레미스에서 M365로 이벤트를 전송하는 워크로드는 SharePoint뿐임에 유의하십시오.
type: string
- 이름: AppAccessContext
설명: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트.
type: object
필드:
- 이름: AADSessionId
설명: 앱이 사용자를 대신하여 수행한 AAD(와 Azure Active Directory) 로그인 세션의 AAD SessionId.
type: string
- 이름: APIId
설명: 리소스에 접근하는 데 사용되는 API 경로의 Id; 예: Microsoft Graph API를 통한 접근.
type: string
- 이름: ClientAppId
설명: 사용자를 대신하여 접근을 수행한 AAD 앱의 Id.
type: string
- 이름: ClientAppName
설명: 사용자를 대신하여 접근을 수행한 AAD 앱의 이름.
type: string
- 이름: CorrelationId
설명: 특정 사용자의 작업을 Microsoft 365 서비스 전반에 걸쳐 상관관계 지을 때 사용할 수 있는 식별자.
type: string
지표:
- trace_id
- 이름: payload
설명: 이벤트의 전체 JSON 페이로드.
유형: json
스키마: Microsoft365.Audit.SharePoint
파서:
원본:
이름: Microsoft365.Audit.SharePoint
설명: Microsoft SharePoint 감사 이벤트.
참조URL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema
필드:
- 이름: Id
required: true
설명: 감사 레코드의 고유 식별자.
type: string
- 이름: RecordType
required: true
설명: 레코드가 나타내는 작업 유형입니다. 감사 로그 레코드 유형에 대한 세부사항은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하십시오.
유형: int
- 이름: CreationTime
required: true
설명: 사용자가 활동을 수행한 협정 세계시(UTC) 기준의 날짜 및 시간.
type: timestamp
시간형식: layout=2006-01-02T15:04:05
isEventTime: true
- 이름: Operation
required: true
설명: 사용자 또는 관리자 활동의 이름.
type: string
- 이름: OrganizationId
required: true
설명: 조직의 Office 365 테넌트 GUID입니다. 이 값은 발생한 Office 365 서비스와 관계없이 조직에 대해 항상 동일합니다.
type: string
- 이름: UserType
required: true
설명: 작업을 수행한 사용자 유형입니다. 사용자 유형에 대한 세부사항은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하십시오.
유형: int
- 이름: UserKey
설명: UserId 속성에 식별된 사용자에 대한 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business 및 Exchange에서 사용자가 수행한 이벤트의 경우 이 속성은 여권 고유 ID(PUID)로 채워집니다. 이 속성은 다른 서비스에서 발생한 이벤트나 시스템 계정이 수행한 이벤트에 대해 UserID 속성과 동일한 값을 지정할 수도 있습니다.
type: string
지표:
- username
- 이름: Workload
설명: 활동이 발생한 Office 365 서비스.
type: string
- 이름: ResultStatus
설명: 작업(Operation 속성에 지정된)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리자 활동의 경우 값은 True 또는 False입니다.
type: string
- 이름: ObjectId
설명: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리자 감사 로깅의 경우 cmdlet에 의해 수정된 객체의 이름입니다.
type: string
- 이름: UserId
설명: 레코드가 기록되게 한 작업(Operation 속성에 지정된)을 수행한 사용자의 UPN(사용자 주체 이름); 예: my_name@my_domain_name. SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM과 같은 시스템 계정이 수행한 활동에 대한 레코드도 포함됩니다. SharePoint에서는 UserId 속성에 app@sharepoint와 같은 다른 값이 표시될 수 있습니다. 이는 활동을 수행한 "사용자"가 사용자, 관리자 또는 서비스를 대신하여 조직 전체 작업(예: SharePoint 사이트나 OneDrive 계정 검색)을 수행할 수 있는 권한을 가진 애플리케이션임을 나타냅니다.
type: string
지표:
- username
- name: ClientIP
설명: 활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 사용자를 대신해 서비스를 호출하는 신뢰된 애플리케이션(예: 웹용 Office 앱)의 IP 주소일 수 있으며 활동을 수행한 사람의 장치 IP 주소가 아닐 수 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소가 기록되지 않아 ClientIP 속성의 값이 null일 수 있습니다.
type: string
지표:
- ip
- 이름: Scope
설명: 이 이벤트가 호스팅된 M365 서비스에서 생성되었는지 또는 온프레미스 서버에서 생성되었는지 여부입니다. 가능한 값은 online 및 onprem입니다. 현재 온프레미스에서 M365로 이벤트를 전송하는 워크로드는 SharePoint뿐임에 유의하십시오.
type: string
- 이름: AppAccessContext
설명: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트.
type: object
필드:
- 이름: AADSessionId
설명: 앱이 사용자를 대신하여 수행한 AAD(와 Azure Active Directory) 로그인 세션의 AAD SessionId.
type: string
- 이름: APIId
설명: 리소스에 접근하는 데 사용되는 API 경로의 Id; 예: Microsoft Graph API를 통한 접근.
type: string
- 이름: ClientAppId
설명: 사용자를 대신하여 접근을 수행한 AAD 앱의 Id.
type: string
- 이름: ClientAppName
설명: 사용자를 대신하여 접근을 수행한 AAD 앱의 이름.
type: string
- 이름: CorrelationId
설명: 특정 사용자의 작업을 Microsoft 365 서비스 전반에 걸쳐 상관관계 지을 때 사용할 수 있는 식별자.
type: string
지표:
- trace_id
- 이름: Site
설명: 사용자가 액세스한 파일 또는 폴더가 위치한 사이트의 GUID.
type: string
- 이름: ItemType
설명: 액세스되거나 수정된 객체의 유형.
type: string
- 이름: EventSource
설명: SharePoint에서 이벤트가 발생했음을 식별합니다. 가능한 값은 SharePoint 또는 ObjectModel입니다.
type: string
- 이름: SourceName
설명: 감사된 작업을 트리거한 엔터티. 가능한 값은 SharePoint 또는 ObjectModel입니다.
type: string
- 이름: UserAgent
설명: 사용자의 클라이언트 또는 브라우저에 대한 정보. 이 정보는 클라이언트 또는 브라우저에서 제공합니다.
type: string
- 이름: MachineDomainInfo
설명: 장치 동기화 작업에 대한 정보. 이 정보는 요청에 존재하는 경우에만 보고됩니다.
type: string
- 이름: MachineId
설명: 장치 동기화 작업에 대한 정보. 이 정보는 요청에 존재하는 경우에만 보고됩니다.
type: string
- 이름: SiteUrl
설명: 사용자가 액세스한 파일 또는 폴더가 위치한 사이트의 URL.
type: string
지표:
- URL
- 이름: SourceRelativeUrl
설명: 사용자가 액세스한 파일을 포함하는 폴더의 URL. SiteURL, SourceRelativeURL 및 SourceFileName 매개변수의 값 조합은 사용자가 액세스한 파일의 전체 경로 이름인 ObjectID 속성의 값과 동일합니다.
type: string
지표:
- URL
- 이름: SourceFileName
설명: 사용자가 액세스한 파일 또는 폴더의 이름.
type: string
- 이름: SourceFileExtension
설명: 사용자가 액세스한 파일의 파일 확장자. 액세스된 객체가 폴더인 경우 이 속성은 비어 있습니다.
type: string
- 이름: DestinationRelativeUrl
설명: 파일이 복사되거나 이동된 대상 폴더의 URL. SiteURL, DestinationRelativeURL 및 DestinationFileName 매개변수의 값 조합은 복사된 파일의 전체 경로 이름인 ObjectID 속성의 값과 동일합니다. 이 속성은 FileCopied 및 FileMoved 이벤트에만 표시됩니다.
type: string
지표:
- URL
- 이름: DestinationFileName
설명: 복사되거나 이동된 파일의 이름. 이 속성은 FileCopied 및 FileMoved 이벤트에만 표시됩니다.
type: string
- 이름: DestinationFileExtension
설명: 복사되거나 이동된 파일의 파일 확장자. 이 속성은 FileCopied 및 FileMoved 이벤트에만 표시됩니다.
type: string
- 이름: UserSharedWith
설명: 리소스가 공유된 사용자.
type: string
지표:
- username
- 이름: SharingType
설명: 리소스가 공유된 사용자(UserSharedWith 매개변수로 식별)에 할당된 공유 권한 유형.
type: string
- 이름: TargetUserOrGroupName
설명: 리소스가 공유된 대상 사용자 또는 그룹의 UPN 또는 이름을 저장합니다.
type: string
- 이름: TargetUserOrGroupType
설명: 대상 사용자 또는 그룹이 구성원(Member), 게스트(Guest), 그룹(Group) 또는 파트너(Partner)인지 식별합니다.
type: string
- 이름: EventData
설명: 사용자 추가 또는 편집 권한 부여 등 발생한 공유 작업에 대한 후속 정보를 전달합니다.
type: string
- 이름: CustomEvent
설명: 사용자 정의 이벤트에 대한 선택적 문자열.
type: string
- 이름: ModifiedProperties
설명: 이 속성은 사이트의 구성원 추가 또는 사이트 컬렉션 관리 그룹 추가와 같은 관리자 이벤트에 포함됩니다. 이 속성은 수정된 속성의 이름(예: 사이트 관리자 그룹), 수정된 속성의 새 값(예: 사이트 관리자에 추가된 사용자) 및 수정된 객체의 이전 값을 포함합니다.
type: array
element:
유형: json
스키마: Microsoft365.DLP.All
파서:
원본:
이름: Microsoft365.DLP.All
설명: 모든 워크로드에 대한 DLP 이벤트.
참조URL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#dlp-schema
필드:
- 이름: Id
required: true
설명: 감사 레코드의 고유 식별자.
type: string
- 이름: RecordType
required: true
설명: 레코드가 나타내는 작업 유형입니다. 감사 로그 레코드 유형에 대한 세부사항은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하십시오.
유형: int
- 이름: CreationTime
required: true
설명: 사용자가 활동을 수행한 협정 세계시(UTC) 기준의 날짜 및 시간.
type: timestamp
시간형식: layout=2006-01-02T15:04:05
isEventTime: true
- 이름: Operation
required: true
설명: 사용자 또는 관리자 활동의 이름.
type: string
- 이름: OrganizationId
required: true
설명: 조직의 Office 365 테넌트 GUID입니다. 이 값은 발생한 Office 365 서비스와 관계없이 조직에 대해 항상 동일합니다.
type: string
- 이름: UserType
required: true
설명: 작업을 수행한 사용자 유형입니다. 사용자 유형에 대한 세부사항은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하십시오.
유형: int
- 이름: UserKey
설명: UserId 속성에 식별된 사용자에 대한 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business 및 Exchange에서 사용자가 수행한 이벤트의 경우 이 속성은 여권 고유 ID(PUID)로 채워집니다. 이 속성은 다른 서비스에서 발생한 이벤트나 시스템 계정이 수행한 이벤트에 대해 UserID 속성과 동일한 값을 지정할 수도 있습니다.
type: string
지표:
- username
- 이름: Workload
설명: 활동이 발생한 Office 365 서비스.
type: string
- 이름: ResultStatus
설명: 작업(Operation 속성에 지정된)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리자 활동의 경우 값은 True 또는 False입니다.
type: string
- 이름: ObjectId
설명: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리자 감사 로깅의 경우 cmdlet에 의해 수정된 객체의 이름입니다.
type: string
- 이름: UserId
설명: 레코드가 기록되게 한 작업(Operation 속성에 지정된)을 수행한 사용자의 UPN(사용자 주체 이름); 예: my_name@my_domain_name. SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM과 같은 시스템 계정이 수행한 활동에 대한 레코드도 포함됩니다. SharePoint에서는 UserId 속성에 app@sharepoint와 같은 다른 값이 표시될 수 있습니다. 이는 활동을 수행한 "사용자"가 사용자, 관리자 또는 서비스를 대신하여 조직 전체 작업(예: SharePoint 사이트나 OneDrive 계정 검색)을 수행할 수 있는 권한을 가진 애플리케이션임을 나타냅니다.
type: string
지표:
- username
- name: ClientIP
설명: 활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 사용자를 대신해 서비스를 호출하는 신뢰된 애플리케이션(예: 웹용 Office 앱)의 IP 주소일 수 있으며 활동을 수행한 사람의 장치 IP 주소가 아닐 수 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소가 기록되지 않아 ClientIP 속성의 값이 null일 수 있습니다.
type: string
지표:
- ip
- 이름: Scope
설명: 이 이벤트가 호스팅된 M365 서비스에서 생성되었는지 또는 온프레미스 서버에서 생성되었는지 여부입니다. 가능한 값은 online 및 onprem입니다. 현재 온프레미스에서 M365로 이벤트를 전송하는 워크로드는 SharePoint뿐임에 유의하십시오.
type: string
- 이름: AppAccessContext
설명: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트.
type: object
필드:
- 이름: AADSessionId
설명: 앱이 사용자를 대신하여 수행한 AAD(와 Azure Active Directory) 로그인 세션의 AAD SessionId.
type: string
- 이름: APIId
설명: 리소스에 접근하는 데 사용되는 API 경로의 Id; 예: Microsoft Graph API를 통한 접근.
type: string
- 이름: ClientAppId
설명: 사용자를 대신하여 접근을 수행한 AAD 앱의 Id.
type: string
- 이름: ClientAppName
설명: 사용자를 대신하여 접근을 수행한 AAD 앱의 이름.
type: string
- 이름: CorrelationId
설명: 특정 사용자의 작업을 Microsoft 365 서비스 전반에 걸쳐 상관관계 지을 때 사용할 수 있는 식별자.
type: string
지표:
- trace_id
- 이름: SharePointMetaData
설명: 민감한 정보를 포함하고 있던 SharePoint 또는 OneDrive for Business 문서에 대한 메타데이터를 설명합니다.
type: object
필드:
- 이름: From
설명: 이벤트를 트리거한 사용자입니다. 이는 FileOwner, LastModifier 또는 LastSharer 중 하나입니다.
type: string
지표:
- username
- 이름: itemCreationTime
설명: 이벤트가 기록된 UTC의 날짜-타임스탬프.
type: timestamp
시간형식: layout=2006-01-02T15:04:05
- 이름: SiteCollectionGuid
설명: 사이트 컬렉션의 GUID.
type: string
- 이름: SiteCollectionUrl
설명: SharePoint 사이트 이름.
type: string
- 이름: FileName
설명: 경로의 이름.
type: string
- 이름: FileOwner
설명: 문서 소유자.
type: string
지표:
- username
- 이름: FilePathUrl
설명: 문서의 URL
type: string
- 이름: DocumentLastModifier
설명: 문서를 마지막으로 수정한 사용자.
type: string
지표:
- username
- 이름: DocumentSharer
설명: 문서의 공유를 마지막으로 수정한 사용자.
type: string
지표:
- username
- 이름: UniqueId
설명: 파일을 식별하는 GUID.
type: string
- 이름: LastModifiedTime
설명: 문서가 마지막으로 수정된 UTC 타임스탬프.
type: timestamp
시간형식: layout=2006-01-02T15:04:05
- 이름: IsViewableByExternalUsers
설명: 파일이 외부 사용자가 접근 가능한지 여부를 결정합니다.
유형: boolean
- 이름: ExchangeMetaData
설명: 민감한 정보를 포함하고 있던 이메일 메시지에 대한 메타데이터를 설명합니다.
type: object
필드:
- 이름: MessageID
설명: 이벤트를 트리거한 이메일의 메시지 ID.
type: string
- 이름: From
설명: 이메일을 보낸 사용자.
type: string
지표:
- username
- 이메일
- 이름: To
설명: 메시지의 To 줄에 있었던 이메일 주소들의 모음.
type: array
element:
type: string
지표:
- 이메일
- 이름: CC
설명: 메시지의 CC 줄에 있었던 이메일 주소들의 모음.
type: array
element:
type: string
지표:
- 이메일
- 이름: BCC
설명: 메시지의 BCC 줄에 있었던 이메일 주소들의 모음.
type: array
element:
type: string
지표:
- 이메일
- 이름: Subject
설명: 이메일 메시지의 제목.
type: string
- 이름: Sent
설명: 이메일이 발송된 UTC 시각.
type: timestamp
시간형식: layout=2006-01-02T15:04:05
- 이름: RecipientCount
설명: 메시지의 TO, CC 및 BCC 줄에 있는 모든 수신자의 총 수.
유형: int
- 이름: UniqueId
설명: 파일을 식별하는 GUID.
type: string
- 이름: ExceptionInfo
설명: 정책이 더 이상 적용되지 않는 이유 및/또는 최종 사용자가 표시한 오탐지 및/또는 무시(override)에 대한 정보를 식별합니다.
type: string
- 이름: PolicyDetails
required: true
설명: DLP 이벤트를 트리거한 하나 이상의 정책에 대한 정보.
type: array
element:
type: object
필드:
- 이름: PolicyId
설명: 이 이벤트의 DLP 정책의 GUID.
type: string
- 이름: PolicyName
설명: 이 이벤트의 DLP 정책의 친숙한 이름.
type: string
- 이름: Rules
설명: 이 이벤트에 대해 매칭된 정책 내 규칙에 대한 정보.
type: array
element:
type: object
필드:
- 이름: RuleId
설명: 이 이벤트의 DLP 규칙의 GUID.
type: string
- 이름: RuleName
설명: 이 이벤트의 DLP 규칙의 친숙한 이름.
type: string
- 이름: Actions
설명: DLP RuleMatch 이벤트 결과로 취해진 작업 목록.
type: array
element:
type: string
- 이름: OverriddenActions
설명: DLPRuleUndo 이벤트로 인해 이전에 취해졌던 작업들이 취소된 목록.
type: array
element:
type: string
- 이름: Severity
설명: 규칙 일치의 심각도(낮음, 중간 및 높음).
type: string
- 이름: RuleMode
설명: DLP 규칙이 적용(Enforce), 알림과 함께 감사(Audit with Notify), 또는 감사 전용(Audit only)으로 설정되었는지 여부를 나타냅니다.
type: string
- 이름: ConditionsMatched
설명: 이 이벤트에 대해 규칙의 어떤 조건들이 일치했는지에 대한 세부사항.
type: object
필드:
- 이름: SensitiveInformation
설명: 감지된 민감한 정보 유형에 대한 정보.
type: array
element:
type: object
필드:
- 이름: Confidence
설명: 검출과 일치한 패턴의 신뢰도.
type: bigint
- 이름: Count
설명: 감지된 민감한 항목의 수.
type: bigint
- 이름: Location
설명: 위치 필드
type: string
- 이름: SensitiveType
설명: 감지된 민감한 데이터 유형을 식별하는 GUID.
type: string
- 이름: SensitiveInformationDetections
설명: 일치한 값 및 일치값의 문맥을 포함한 민감한 정보 데이터를 담고 있는 객체 배열.
type: object
필드:
- 이름: DetectedValues
설명: 감지된 민감한 정보의 배열. 정보는 Value = 일치한 값(예: 신용카드 또는 주민등록번호 값) 및 Context = 일치한 값을 포함한 원본 콘텐츠의 발췌와 같은 키-값 쌍을 포함합니다.
type: array
element:
type: object
필드:
- name: Name
설명: Name 필드
type: string
- 이름: Value
설명: Value 필드
type: string
- 이름: ResultsTruncated
설명: 결과 수가 많아 로그가 잘렸는지 여부를 나타냅니다.
유형: boolean
- 이름: SensitiveInformationDetailedClassificationAttributes
설명: 세 가지 신뢰 수준(높음, 중간, 낮음) 각각에 대해 감지된 민감한 정보 유형의 수에 대한 정보와 해당 정보가 DLP 규칙과 일치하는지 여부.
type: array
element:
유형: json
- 이름: SensitiveInformationTypeName
설명: 민감한 정보 유형의 이름.
type: string
- 이름: UniqueCount
설명: 감지된 민감한 항목의 고유 수.
type: bigint
- 이름: DocumentProperties
설명: 규칙 일치를 트리거한 문서 속성에 대한 정보.
type: array
element:
type: object
필드:
- name: Name
설명: Name 필드
type: string
- 이름: Value
설명: Value 필드
type: string
- 이름: OtherConditions
설명: 일치한 기타 조건을 설명하는 키-값 쌍 목록.
type: array
element:
type: object
필드:
- name: Name
설명: Name 필드
type: string
- 이름: Value
설명: Value 필드
type: string
- 이름: SensitiveInfoDetectionIsIncluded
required: true
설명: 이벤트에 민감한 데이터 유형의 값 및 원본 콘텐츠의 주변 컨텍스트가 포함되어 있는지 여부를 나타냅니다. 민감한 데이터에 접근하려면 Azure Active Directory에서 "민감한 세부정보를 포함한 DLP 정책 이벤트 읽기(Read DLP policy events including sensitive details)" 권한이 필요합니다.
유형: boolean
