Durchsuchen Sie das Überwachungsprotokoll im Compliance-Portal

  • Artikel
  • 18 Minuten Lesedauer

Wollen Sie herausfinden, ob ein Benutzer ein bestimmtes Dokument angezeigt oder ein Element aus seinem Postfach gelöscht hat? Wenn dies der Fall ist, können Sie das Überwachungsprotokollsuchtool im Microsoft Purview Compliance Portal verwenden, um das einheitliche Überwachungsprotokoll zu durchsuchen, um Benutzer- und Administratoraktivitäten in Ihrer Organisation anzuzeigen. Tausende von Benutzer- und Administratorvorgängen, die in Dutzenden von Microsoft 365-Diensten und -Lösungen durchgeführt werden, werden erfasst, aufgezeichnet und im einheitlichen Überwachungsprotokoll Ihrer Organisation gespeichert. Benutzer in Ihrer Organisation können das Tool zur Überwachungsprotokollsuche verwenden, um die Überwachungsdatensätze für diese Vorgänge zu suchen, anzuzeigen und (in eine CSV-Datei) zu exportieren.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihrer Organisation helfen können, Anforderungen an Datensicherheit und Compliance zu verwalten. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Microsoft 365 Dienste, die die Überwachung unterstützen

Warum ein einheitliches Überwachungsprotokoll? Weil Sie das Überwachungsprotokoll nach Aktivitäten durchsuchen können, die in verschiedenen Microsoft 365-Diensten ausgeführt werden. In der folgenden Tabelle sind die Microsoft 365-Dienste und -Features aufgeführt, die vom einheitlichen Überwachungsprotokoll unterstützt werden.

Microsoft 365-Dienst oder -Feature Datensatztypen
Azure Active Directory AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon
Azure Information Protection AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat
Kommunikationscompliance ComplianceSupervisionExchange
Inhalts-Explorer LabelContentExplorer
Datenconnectors ComplianceConnector
Verhinderung von Datenverlusten (Data Loss Prevention, DLP) ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint
Dynamics 365 CRM
eDiscovery (Standard + Premium) Discovery, AeD
Genaue Datenübereinstimmung MipExactDataMatch
Exchange Online ExchangeAdmin, ExchangeItem, ExchangeItemAggregated
Formulare MicrosoftForms
Informationsbarrieren InformationBarrierPolicyApplication
Microsoft 365 Defender AirInvestigation, AirManualInvestigation, AirAdminActionInvestigation, MS365DCustomDetection
Microsoft Defender for Identity (MDI) MicrosoftDefenderForIdentityAudit
Microsoft Teams MicrosoftTeams
MyAnalytics MyAnalyticsSettings
OneDrive for Business OneDrive
Power Apps PowerAppsApp, PowerAppsPlan
Power Automate MicrosoftFlow
Power BI PowerBIAudit
Quarantäne Quarantäne
Microsoft Purview Information Protection -Bezeichnungen (MIP) MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation
Typen vertraulicher Informationen DlpSensitiveInformationType
Vertraulichkeitsbezeichnungen MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch
Verschlüsseltes Nachrichtenportal OMEPortal
SharePoint Online SharePoint, SharePointFileOperation,SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation
Stream MicrosoftStream
Threat Intelligence ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent
Viva Goals Viva Goals
Workplace Analytics WorkplaceAnalytics
Yammer Yammer
SystemSync DataShareCreated, DataShareDeleted, GenerateCopyOfLakeData, DownloadCopyOfLakeData

Weitere Informationen zu den Vorgängen, die in jedem der in der vorherigen Tabelle aufgeführten Dienste überwacht werden, finden Sie im Artikel Überwachungsprotokollaktivitäten .

In der vorherigen Tabelle wird auch der Datensatztypwert angegeben, der zum Durchsuchen des Überwachungsprotokolls nach Aktivitäten im entsprechenden Dienst mithilfe des Cmdlets Search-UnifiedAuditLog in Exchange Online PowerShell oder mithilfe eines PowerShell-Skripts verwendet werden soll. Einige Dienste haben mehrere Datensatztypen für verschiedene Arten von Aktivitäten innerhalb desselben Dienstes. Eine vollständigere Liste der Überwachungsdatensatztypen finden Sie unter Office 365-Verwaltungsaktivitäts-API-Schema.

Weitere Informationen zur Verwendung von PowerShell zum Durchsuchen des Überwachungsprotokolls finden Sie unter:

Bevor Sie das Überwachungsprotokoll durchsuchen

Überprüfen Sie unbedingt die folgenden Elemente, bevor Sie mit der Suche im Überwachungsprotokoll beginnen.

  • Die Überwachungsprotokollsuche ist für Microsoft 365- und Office 365 Enterprise-Organisationen standardmäßig aktiviert. Um zu überprüfen, ob die Überwachungsprotokollsuche aktiviert ist, können Sie den folgenden Befehl in Exchange Online PowerShell ausführen:

    Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

    Der Wert True für die Eigenschaft UnifiedLogIngestionEnabled gibt an, dass die Überwachungsprotokollsuche aktiviert ist. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren der Überwachungsprotokollsuche.

    Wichtig

    Stellen Sie sicher, dass Sie den vorherigen Befehl in Exchange Online PowerShell ausführen. Obwohl das Cmdlet Get-AdminAuditLogConfig auch in PowerShell zur Sicherheitskonformität & verfügbar ist, ist die UnifiedAuditLogIngestionEnabled-Eigenschaft immer False, auch wenn die Überwachungsprotokollsuche aktiviert ist.

  • Sie müssen in Exchange Online die Rolle Nur anzeigende Überwachungsprotokolle oder Überwachungsprotokolle zugewiesen werden, um das Überwachungsprotokoll durchsuchen zu können. Standardmäßig werden diese Rollen den Rollengruppen Complianceverwaltung und Organisationsverwaltung auf der Seite Berechtigungen im Exchange Admin Center zugewiesen. Globale Administratoren in Office 365 und Microsoft 365 werden automatisch als Mitglieder der Rollengruppe Organisationsverwaltung in Exchange Online hinzugefügt. Um einem Benutzer die Möglichkeit zu geben, das Überwachungsprotokoll mit der Mindestberechtigungsstufe zu durchsuchen, können Sie eine benutzerdefinierte Rollengruppe in Exchange Online erstellen, die Rolle Nur anzeigen oder Überwachungsprotokolle hinzufügen und dann den Benutzer als Mitglied der neuen Rollengruppe hinzufügen. Weitere Informationen finden Sie unter Verwalten von Rollengruppen in Exchange Online.

    Wenn Sie einem Benutzer auf der Seite Berechtigungen im Compliance Portal die Rolle "Überwachungsprotokolle nur anzeigen" oder "Überwachungsprotokolle" zuweisen, kann er das Überwachungsprotokoll nicht durchsuchen. Sie müssen die Berechtigungen in Exchange Online zuweisen. Der Grund dafür ist, dass es sich bei dem zugrundeliegenden Cmdlet, das für die Durchsuchung des Überwachungsprotokolls verwendet wird, um ein Exchange Online-Cmdlet handelt.

  • Wenn eine überwachte Aktivität von einem Benutzer oder Administrator ausgeführt wird, wird ein Überwachungsdatensatz erstellt und im Überwachungsprotokoll Ihrer Organisation gespeichert. Die Zeitdauer, die ein Überwachungsdatensatz aufbewahrt (und im Überwachungsprotokoll durchsuchbar) ist, hängt von Ihrem Office 365- oder Microsoft 365 Enterprise-Abonnement und insbesondere vom Lizenztyp ab, der bestimmten Benutzern zugewiesen ist.

    • Für Benutzer mit einer Office 365 E5- oder Microsoft 365 E5-Lizenz (oder für Benutzer mit einer Lizenz für Microsoft 365 E5 Compliance oder Microsoft 365 E5 eDiscovery und Überwachung) werden Überwachungsdatensätze für Azure Active Directory-, Exchange- und SharePoint-Aktivitäten standardmäßig ein Jahr lang aufbewahrt. Organisationen können auch Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um Überwachungsdatensätze für Aktivitäten in anderen Diensten bis zu ein Jahr lang aufzubewahren. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.

      Hinweis

      Wenn Ihre Organisation am privaten Vorschauprogramm für die einjährige Aufbewahrung von Überwachungsdatensätzen teilgenommen hat, wird die Aufbewahrungsdauer für Überwachungsdatensätze, die vor dem Datum des Rollouts zur allgemeinen Verfügbarkeit generiert wurden, nicht zurückgesetzt.

    • Für Benutzer mit anderen Lizenzen (nicht-E5-Lizenzen) für Office 365 oder Microsoft 365 werden Überwachungseinträge 90 Tage lang aufbewahrt. Eine Liste der Office 365- und Microsoft 365-Abonnements, die die einheitliche Überwachungsprotokollierung unterstützen, finden Sie in der Dienstbeschreibung des Portals für Sicherheit und Compliance.

      Hinweis

      Selbst wenn die Postfachüberwachung standardmäßig aktiviert ist, stellen Sie möglicherweise fest, dass Postfachüberwachungsereignisse für einige Benutzer in Überwachungsprotokollsuchen im Complianceportal oder über die Office 365 Management Activity-API nicht gefunden werden. Weitere Informationen finden Sie unter Weitere Informationen zur Postfachüberwachungsprotokollierung.

  • Wenn Sie die Überwachungsprotokollsuche für Ihre Organisation deaktivieren möchten, können Sie in der Exchange Online PowerShell den folgenden Befehl ausführen:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    Um die Überwachungssuche wieder zu aktivieren, können Sie den folgenden Befehl in der Exchange Online-PowerShell ausführen:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Weitere Informationen finden Sie unter Deaktivieren der Überwachungsprotokollsuche.

  • Das zugrunde liegende Cmdlet, das zum Durchsuchen des Überwachungsprotokolls verwendet wird, ist ein Exchange Online Cmdlet, also Search-UnifiedAuditLog. Das bedeutet, dass Sie dieses Cmdlet verwenden können, um das Überwachungsprotokoll zu durchsuchen, anstatt das Suchtool auf der Seite Überwachung im Compliance-Portal zu verwenden. Sie müssen dieses Cmdlet in Exchange Online PowerShell ausführen. Weitere Informationen finden Sie unter Search-UnifiedAuditLog.

    Informationen zum Exportieren der vom Search-UnifiedAuditLog-Cmdlet zurückgegebenen Suchergebnisse in eine CSV-Datei finden Sie im Abschnitt „Tipps zum Exportieren, konfigurieren und Anzeigen des Überwachungsprotokolls“ in Exportieren und Anzeigen des Überwachungsprotokolls.

  • Wenn Sie programmgesteuert Daten aus dem Überwachungsprotokoll herunterladen möchten, empfehlen wir die Verwendung der Office 365-Verwaltungsaktivitäts-API anstelle eines PowerShell-Skripts. Die Office 365-Verwaltungsaktivitäts-API ist ein REST-Webdienst, den Sie beim Entwickeln von Lösungen zur Überwachung von Vorgängen, der Sicherheit und Compliance für Ihre Organisation verwenden können. Weitere Informationen finden Sie in der Referenz der Office 365-Verwaltungsaktivitäts-API.

  • Azure Active Directory (Azure AD) ist der Verzeichnisdienst von Microsoft 365. Das vereinheitlichte Überwachungsprotokoll enthält Benutzer-, Gruppen-, Anwendungs-, Domänen- und Verzeichnisaktivitäten, die im Microsoft 365 Admin Center oder im Azure-Verwaltungsportal ausgeführt wurden. Eine vollständige Liste der Azure AD-Ereignisse finden Sie unter Azure Active Directory-Überwachungsberichtsereignisse.

  • Microsoft garantiert keinen bestimmten Zeitpunkt nach Eintreten eines Ereignisses zu dem der entsprechende Überwachungsprotokolleintrag in den Ergebnissen der Überwachungsprotokollsuche angezeigt wird. Bei Kerndiensten (z. B. Exchange, SharePoint, OneDrive und Teams) beträgt die Verfügbarkeit des Überwachungsdatensatzes in der Regel 60 bis 90 Minuten nach dem Eintreten eines Ereignisses. Bei anderen Diensten kann die Verfügbarkeit von Überwachungsdatensatzen länger sein. Einige Probleme, die unvermeidbar sind (z. B. ein Serverausfall), können jedoch außerhalb des Überwachungsdiensts auftreten, was die Verfügbarkeit von Überwachungsdatensätzen verzögert. Aus diesem Grund verpflichtet sich Microsoft nicht zu einer bestimmten Zeit.

  • Die Überwachungsprotokollierung für Power BI ist standardmäßig nicht aktiviert. Wenn Sie im Überwachungsprotokoll nach Power BI-Aktivitäten suchen möchten, müssen Sie die Überwachung für das Power BI-Verwaltungsportal aktivieren. Anweisungen hierzu finden Sie im Abschnitt "Überwachungsprotokolle" im Power BI-Verwaltungsportal.

Durchsuchen des Überwachungsprotokolls

Nachfolgend ist der Prozess zum Durchsuchen des Überwachungsprotokolls in Microsoft 365 dargestellt.

  1. Wechseln Sie zu https://compliance.microsoft.com, und melden Sie sich an.

    Tipp

    Verwenden Sie eine private Browsersitzung (keine reguläre Sitzung), um auf das Complianceportal zuzugreifen, da dadurch verhindert wird, dass die Anmeldeinformationen verwendet werden, mit denen Sie derzeit angemeldet sind. Drücken Sie STRG+UMSCHALT+N, um eine InPrivate-Browsersitzung in Microsoft Edge oder eine private Browsersitzung in Google Chrome (sogenanntes Inkognitofenster) zu öffnen.

  2. Wählen Sie im linken Bereich des Complianceportals Die Option Überwachen aus.

    Die Seite Überwachung wird angezeigt.

    Konfigurieren Sie Kriterien, und wählen Sie dann Suchen aus, um den Bericht auszuführen.

    Hinweis

    Wenn der Link Aufzeichnung von Benutzer- und Administratoraktivitäten starten angezeigt wird, wählen Sie ihn aus, um die Überwachung zu aktivieren. Wenn Sie diesen Link nicht sehen, ist die Überwachung für Ihre Organisation bereits aktiviert.

  3. Konfigurieren Sie in der Registerkarte Suchen die folgenden Suchkriterien:

    1. Startdatum und Enddatum: Standardmäßig sind die letzten sieben Tage ausgewählt. Wählen Sie einen Datums- und Uhrzeitbereich aus, um die Ereignisse anzuzeigen, die innerhalb dieses Zeitraums aufgetreten sind. Datum und Uhrzeit werden in koordinierter Weltzeit (UTC) angezeigt. Der maximale Datumsbereich, den Sie angeben können, umfasst 90 Tage. Es wird ein Fehler angezeigt, wenn der ausgewählte Datumsbereich mehr als 90 Tage umfasst.

    Tipp

    Wenn Sie den maximalen Datumsbereich von 90 Tagen verwenden, wählen Sie den aktuellen Zeitpunkt für das Startdatum aus. Andernfalls wird eine Fehlermeldung angezeigt, in der mitgeteilt wird, dass das Startdatum vor dem Enddatum liegt. Wenn Sie die Überwachung innerhalb der letzten 90 Tage aktiviert haben, kann der maximale Datumsbereich nicht vor dem Datum beginnen, an dem die Überwachung aktiviert wurde.

    1. Aktivitäten: Wählen Sie die Dropdownliste aus, um die Aktivitäten anzuzeigen, nach denen Sie suchen können. Benutzer- und Verwaltungsaktivitäten sind in Gruppen verwandter Aktivitäten organisiert. Sie können bestimmte Aktivitäten oder den Namen der Aktivitätsgruppe auswählen, um alle Aktivitäten in der Gruppe auszuwählen. Sie können auch eine ausgewählte Aktivität auswählen, um die Auswahl zu löschen. Nachdem Sie die Suche ausgeführt haben, werden nur die Überwachungsprotokolleinträge für die ausgewählten Aktivitäten angezeigt. Durch Auswahl von Ergebnisse für alle Aktivitäten anzeigen werden Ergebnisse für alle Aktivitäten angezeigt, die von dem ausgewählten Benutzer oder der ausgewählten Benutzergruppe ausgeführt wurden.

      Es werden mehr als 100 Benutzer- und Administratoraktivitäten im Überwachungsprotokoll erfasst. Wählen Sie im Artikel dieses Artikels die Registerkarte Überwachte Aktivitäten aus, um die Beschreibungen der einzelnen Aktivitäten in den einzelnen Diensten anzuzeigen.

    2. Benutzer: Wählen Sie in diesem Feld aus, und wählen Sie dann einen oder mehrere Benutzer aus, für die Suchergebnisse angezeigt werden sollen. In der Liste der Ergebnisse werden die Überwachungsprotokolleinträge für die ausgewählte Aktivität angezeigt, die von den Benutzern ausgeführt wurde, die Sie in diesem Feld ausgewählt haben. Lassen Sie dieses Feld leer, um die Einträge für alle Benutzer (und Dienstkonten) in Ihrer Organisation zurückzugeben.

    3. Datei, Ordner oder Website: Geben Sie einen Datei- oder Ordnernamen ganz oder teilweise ein, um nach Aktivitäten für die Datei oder den Ordner zu suchen, die bzw. der das angegebene Schlüsselwort enthält. Sie können auch die URL einer Datei oder eines Ordners verwenden. Wenn Sie eine URL verwenden, stellen Sie sicher, dass der vollständige URL-Pfad eingegeben wird, oder wenn Sie einen Teil der URL eingeben, keine Sonderzeichen oder Leerzeichen einschließen (die Verwendung des Platzhalterzeichens (*) wird jedoch unterstützt).

      Lassen Sie dieses Feld leer, um Einträge für alle Dateien und Ordner in Ihrer Organisation zurückzugeben.

    Tipp

    • Wenn Sie nach allen Aktivitäten im Zusammenhang mit einer Website suchen, fügen Sie das Platzhalterzeichen (*) nach der URL hinzu, um alle Einträge für diese Website zurückzugeben. Beispiel: "https://contoso-my.sharepoint.com/personal*".

    • Wenn Sie nach allen Aktivitäten im Zusammenhang mit einer Datei suchen, fügen Sie das Platzhalterzeichen (*) vor dem Dateinamen hinzu, um alle Einträge für diese Datei zurückzugeben. Beispiel: "*Customer_Profitability_Sample.csv".

  4. Wählen Sie Suchen aus, um die Suche mit Ihren Suchkriterien auszuführen.

    Die Suchergebnisse werden geladen und nach einigen Augenblicken auf einer neuen Seite angezeigt. Nach Abschluss der Suche wird die Anzahl der gefundenen Ergebnisse angezeigt. Es werden maximal 50.000 Ereignisse in Schritten von 150 Ereignissen angezeigt. Wenn mehr als 50.000 Ereignisse die Suchkriterien erfüllen, werden nur die zurückgegebenen 50.000 unsortierten Ereignisse angezeigt.

    Die Anzahl der Ergebnisse wird nach Abschluss der Suche angezeigt.

Tipps zum Suchen im Überwachungsprotokoll

  • Sie können bestimmte Aktivitäten auswählen, nach der gesucht werden soll, indem Sie den Aktivitätsnamen auswählen. Alternativ können Sie nach allen Aktivitäten in einer Gruppe (z. B . Datei- und Ordneraktivitäten) suchen, indem Sie den Gruppennamen auswählen. Wenn eine Aktivität ausgewählt ist, können Sie sie auswählen, um die Auswahl abzubrechen. Sie können auch das Suchfeld verwenden, um die Aktivitäten anzuzeigen, die das von Ihnen eingegebene Schlüsselwort enthalten.

    Wählen Sie den Namen der Aktivitätsgruppe aus, um alle Aktivitäten auszuwählen.

  • Sie müssen Ergebnisse für alle Aktivitäten anzeigen in der Liste Aktivitäten auswählen, um Einträge aus dem Exchange-Administrator-Überwachungsprotokoll anzuzeigen. Bei Ereignissen aus diesem Überwachungsprotokoll wird der Name eines Cmdlets (z. B. Set-Mailbox) in der Spalte Aktivität unter den Ergebnissen angezeigt. Weitere Informationen erhalten Sie, wenn Sie die Registerkarte Überwachte Aktivitäten in diesem Artikel und dann Exchange-Administratoraktivitäten auswählen.

    Ebenso gibt es einige Überwachungsaktivitäten, für die in der Liste Aktivitäten kein entsprechendes Element enthalten ist. Wenn Sie den Namen des Vorgangs für diese Aktivitäten kennen, können Sie nach allen Aktivitäten suchen, und dann die Vorgänge filtern, nachdem Sie die Suchergebnisse in eine CSV-Datei exportiert haben.

  • Wählen Sie Löschen aus, um die aktuellen Suchkriterien zu löschen. Der Datumsbereich wird auf die Standardeinstellung für die letzten sieben Tage zurückgesetzt. Sie können auch Alle löschen auswählen, um Ergebnisse für alle Aktivitäten anzuzeigen , um alle ausgewählten Aktivitäten abzubrechen.

  • Wenn 50.000 Ergebnisse gefunden werden, können Sie wahrscheinlich davon ausgehen, dass mehr als 50.000 Ereignisse die Suchkriterien erfüllen. Sie können entweder die Suchkriterien verfeinern und die Suche erneut ausführen, um weniger Ergebnisse zurückzugeben, oder Sie können die 50.000 Suchergebnisse exportieren, indem Sie Ergebnisse> exportierenAlle Ergebnisse herunterladen auswählen.

Schritt 2: Anzeigen der Suchergebnisse

Die Ergebnisse einer Überwachungsprotokollsuche werden unter Ergebnisse auf der Seite Überwachungsprotokollsuche angezeigt. Wie bereits erwähnt werden maximal 50.000 Ereignisse (ggf. die 50.000 neuesten Ereignisse) in Schritten von 150 Ereignissen angezeigt. Zum Anzeigen der nächsten 150 Ereignisse verwenden Sie die Bildlaufleiste, oder drücken Sie UMSCHALT+ENDE.

Die Ergebnisse enthalten die folgenden Informationen zu den einzelnen Ereignissen, die bei der Suche zurückgegeben werden:

  • Datum: Das Datum und die Uhrzeit (in UTC), zu dem das Ereignis aufgetreten ist.

  • IP-Adresse: Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt.

    Hinweis

    Bei einigen Diensten ist der in diesem Feld angezeigte Wert möglicherweise die IP-Adresse einer vertrauenswürdigen Anwendung (z. B. Office in den Web-Apps), die anstelle eines Benutzers in den Dienst einruft und nicht die IP-Adresse des Geräts, das von der Person, die die Aktivität ausgeführt hat, verwendet wird. Außerdem wird bei Administratoraktivitäten (oder von einem Systemkonto ausgeführte Aktivitäten) für Azure Active Directory-bezogene Ereignisse die IP-Adresse nicht protokolliert, und der in diesem Feld angezeigte Wert ist null.

  • Benutzer: Der Benutzer (oder das Dienstkonto), der die Aktion ausführte, durch die das Ereignis ausgelöst wurde.

  • Aktivität: Die vom Benutzer ausgeführte Aktivität. Dieser Wert entspricht den Aktivitäten, die Sie in der Dropdownliste Aktivitäten ausgewählt haben. Bei einem Ereignis aus dem Exchange-Administratorüberwachungsprotokoll ist der Wert in dieser Spalte ein Exchange-Cmdlet.

  • Element: Das Objekt, das als Ergebnis der entsprechenden Aktivität erstellt oder geändert wurde. Dies kann z. B. die Datei sein, die angezeigt oder geändert wurde, oder das Benutzerkonto, das aktualisiert wurde. Nicht alle Aktivitäten haben in dieser Spalte einen Wert.

  • Detail: Zusätzliche Informationen zu einer Aktivität. Auch hier weisen nicht alle Aktivitäten einen Wert auf.

Tipp

Wählen Sie unter Ergebnisse eine Spaltenüberschrift aus, um die Ergebnisse zu sortieren. Sie können die Ergebnisse von A nach Z oder Z nach A sortieren. Wählen Sie die Überschrift Datum aus, um die Ergebnisse von der ältesten in die neueste oder neueste nach der ältesten zu sortieren.

Anzeigen der Details zu einem bestimmten Ereignis

Sie können weitere Details zu einem Ereignis anzeigen, indem Sie den Ereignisdatensatz in der Liste der Suchergebnisse auswählen. Daraufhin wird Flyout-Seite mit detaillierten Eigenschaften des Ereigniseintrags angezeigt. Die angezeigten Eigenschaften sind von dem Dienst abhängig, in dem das Ereignis auftritt.

Schritt 3: Exportieren der Suchergebnisse in eine Datei

Sie können die Ergebnisse einer Überwachungsprotokollsuche in eine Datei mit kommagetrennten Werten (CSV) auf Ihren lokalen Computer exportieren. Sie können diese Datei in Microsoft Excel öffnen und Funktionen wie das Suchen, Sortieren, Filtern und Teilen einer einzelnen Spalte (die Zellen mit mehreren Eigenschaften enthält) in mehrere Spalten verwenden.

  1. Führen Sie eine Überwachungsprotokollsuche aus, und bearbeiten Sie dann die Suchkriterien, bis Sie die gewünschten Ergebnisse erhalten.

  2. Wählen Sie auf der Seite mit den Suchergebnissen die Option Exportieren>Alle Ergebnisse herunterladen aus.

    Alle Einträge aus dem Überwachungsprotokoll, welche die Suchkriterien erfüllen, werden in eine CSV-Datei exportiert. Die Rohdaten aus dem Überwachungsprotokoll werden in einer CSV-Datei gespeichert. Zusätzliche Informationen aus dem Überwachungsprotokolleintrag sind in einer Spalte mit dem Namen AuditData in der CSV-Datei enthalten.

    Wichtig

    Aus seiner einzigen Suche in einer Protokolldatei können Sie maximal 50.000 Einträge in eine CSV-Datei herunterladen. Wenn 50.000 Einträge in die CSV-Datei heruntergeladen werden, können Sie wahrscheinlich davon ausgehen, dass mehr als 50.000 Ereignisse die Suchkriterien erfüllen. Wenn Sie mehr als diesen Grenzwert exportieren möchten, versuchen Sie es mit einem Datenbereich, um die Anzahl der Einträge im Überwachungsprotokoll zu verringern. Möglicherweise müssen Sie mehrere Suchläufe mit kleineren Datumsbereichen durchführen, um mehr als 50.000 Einträge zu exportieren.

  3. Nach Abschluss des Exportvorgangs wird am oberen Rand des Fensters eine Nachricht angezeigt, in der Sie aufgefordert werden, die CSV-Datei zu öffnen und sie auf Ihrem lokalen Computer zu speichern. Sie können auch im Ordner „Downloads“ auf die CSV-Datei zugreifen.

Weitere Informationen zum Exportieren und Anzeigen von Ergebnissen der Überwachungsprotokollsuche

  • Wenn Sie alle Suchergebnisse herunterladen, enthält die CSV-Datei die Spalten CreationDate, UserIds, Operations und AuditData. Die Spalte AuditData enthält zusätzliche Informationen zu jedem Ereignis (ähnlich den detaillierten Informationen, die auf der Flyoutseite angezeigt werden, wenn Sie die Suchergebnisse im Compliance Portal anzeigen). Die Daten in dieser Spalte bestehen aus einem JSON-Objekt, das mehrere Eigenschaften aus den Überwachungsprotokolldaten enthält. Jedes Eigenschaft:Wert-Paar im JSON-Objekt wird durch ein Komma getrennt. Sie können das JSON-Transformationstool im Power Query-Editor in Excel verwenden, um die Spalte AuditData in mehrere Spalten aufzuteilen, sodass jede Eigenschaft im JSON-Objekt eine eigene Spalte besitzt. Dadurch können Sie nach einer oder mehreren dieser Eigenschaften sortieren und filtern. Schrittweise Anleitungen zum Transformieren des JSON-Objekts mit dem Power Query-Editor finden Sie unter Exportieren, konfigurieren und Anzeigen von Überwachungsprotokolldaten.

    Nachdem Sie die Spalte AuditData aufgeteilt haben, können Sie die Spalte Aktionen filtern, um die detaillierten Eigenschaften eines bestimmten Aktivitätstyps anzuzeigen.

  • Wenn Sie alle Ergebnisse einer Suchabfrage herunterladen, die Ereignisse aus verschiedenen Diensten umfasst, enthält die Spalte AuditData in der CSV-Datei unterschiedliche Eigenschaften, je nachdem, in welchem Dienst die Aktion ausgeführt wurde. Beispielsweise umfassen Einträge aus Azure AD-Überwachungsprotokollen eine Eigenschaft namens ResultStatus, die angibt, ob die Aktion erfolgreich war. Diese Eigenschaft ist bei Ereignissen in SharePoint nicht enthalten. SharePoint-Ereignisse weisen hingegen eine Eigenschaft auf, die die Website-URL für Aktivitäten im Zusammenhang mit Dateien und Ordnern angibt. Um diese Abweichungen möglichst gering zu halten, sollten Sie verschiedene Suchen verwenden, um die Ergebnisse für Aktivitäten aus einzelnen Diensten zu exportieren.

    Eine Beschreibung vieler Eigenschaften, die in der Spalte AuditData in der CSV-Datei aufgelistet sind, wenn Sie alle Ergebnisse herunterladen, sowie Informationen zu den Diensten, bei denen die einzelnen Eigenschaften verwendet werden, finden Sie unter Detaillierte Eigenschaften im Überwachungsprotokoll.

Häufig gestellte Fragen

Welche verschiedenen Microsoft 365-Dienste werden zur Zeit überwacht?

Die am häufigsten verwendeten Dienste wie Exchange Online, SharePoint Online, OneDrive for Business, Azure Active Directory, Microsoft Teams, Dynamics 365, Defender für Office 365 und Power BI werden überwacht. Eine Liste der Dienste mit Überwachung finden Sie am Anfang dieses Artikels .

Welche Aktivitäten werden vom Überwachungsdienst in Microsoft 365 überwacht?

Eine Liste und Beschreibung der überwachten Aktivitäten finden Sie im Artikel Überwachungsprotokollaktivitäten .

Wie lange dauert es, bis ein Überwachungsdatensatz nach einem Ereignis verfügbar ist?

Die meisten Überwachungsdaten sind innerhalb von 60 bis 90 Minuten verfügbar, aber es kann bis zu 24 Stunden nach dem Auftreten eines Ereignisses dauern, bis der entsprechende Überwachungsprotokolleintrag in den Suchergebnissen angezeigt wird. Im Abschnitt Vor der Suche im Überwachungsprotokoll dieses Artikels wird die Zeit angezeigt, die benötigt wird, bis Ereignisse in den verschiedenen Diensten verfügbar sind.

Wie lange werden die Überwachungseinträge aufbewahrt?

Wie bereits erläutert, werden Überwachungseinträge für Aktivitäten, die von Benutzern mit einer Office 365 E5- oder Microsoft E5-Lizenz (oder Benutzern mit einer Microsoft 365 E5-Add-On-Lizenz) durchgeführt wurden, ein Jahr lang aufbewahrt. Bei allen anderen Abonnements, die die einheitliche Überwachungsprotokollierung unterstützen, werden Überwachungseinträge 90 Tage lang aufbewahrt.

Kann ich programmgesteuert auf die Überwachungsdaten zugreifen?

Ja. Die Office 365-Verwaltungsaktivitäts-API dient zum programmgesteuerten Abrufen der Überwachungsprotokolle. Informationen zum Einstieg finden Sie unter Erste Schritte mit der Office 365-Verwaltungsaktivitäts-API.

Gibt es andere Möglichkeiten zum Abrufen von Überwachungsprotokollen außer der Verwendung des Security and Compliance Portals oder der Office 365-Verwaltungsaktivitäts-API?

Ja, Sie können Überwachungsprotokolle mithilfe der folgenden Methoden abrufen:

Muss ich die Überwachung in jedem Dienst, für den ich Überwachungsprotokolle erfassen möchte, einzeln aktivieren?

In den meisten Diensten ist die Überwachung standardmäßig aktiviert, nachdem Sie die Überwachung für Ihre Organisation aktiviert haben (wie im Abschnitt Bevor Sie das Überwachungsprotokoll durchsuchen in diesem Artikel beschrieben).

Unterstützt der Überwachungsdienst die Deduplizierung von Datensätzen?

Nein. Die Überwachungsdienst-Pipeline arbeitet nahezu in Echtzeit und kann daher keine Deduplizierung unterstützen.

Wo werden Revisionsdaten gespeichert?

Zurzeit stellen wir Audit-Pipelines in den Regionen NA (Nordamerika), EMEA (Europa, Naher Osten und Afrika) und APAC (Asien-Pazifik) bereit. Bei Mandanten, die in diesen Regionen beheimatet sind, werden die Revisionsdaten in der Region gespeichert. Bei Multi-Geo-Mandanten werden die aus allen Regionen des Mandanten gesammelten Revisionsdaten nur in der Heimatregion des Mandanten gespeichert. Es kann jedoch vorkommen, dass die Daten zum Lastenausgleich und nur während Livewebsiteproblemen zwischen den Regionen übertragen werden. Bei solchen Aktivitäten werden die Daten bei der Übertragung verschlüsselt.

Sind die Überwachungsdaten verschlüsselt?

Überwachungsdaten werden in Exchange-Postfächern (ruhende Daten) in derselben Region gespeichert, in der die einheitlichen Überwachungspipeline bereitgestellt wird. Ruhende Postfachdaten werden nicht von Exchange verschlüsselt. Bei der Verschlüsselung auf Dienstebene werden jedoch alle Postfachdaten verschlüsselt, da Exchange-Server in Microsoft-Rechenzentren über BitLocker verschlüsselt werden. Weitere Informationen finden Sie unter Microsoft 365-Verschlüsselung in Skype for Business, OneDrive for Business, SharePoint Online und Exchange Online.

E-Mail- Daten werden während der Übertragung jedoch immer verschlüsselt.