Anzeigen der Aktivitäten von Verwaltungsberechtigten für die Überwachung

  • Artikel

Wollen Sie herausfinden, ob ein Benutzer ein bestimmtes Dokument angezeigt oder ein Element aus seinem Postfach gelöscht hat? Microsoft Purview-eDiscovery (Premium) ist jetzt in das vorhandene Überwachungsprotokoll-Suchtool im Microsoft Purview-Complianceportal integriert. Mithilfe dieser eingebetteten Benutzeroberfläche können Sie das eDiscovery (Premium) Custodian Management-Tool verwenden, um Ihre Untersuchung zu erleichtern, indem Sie einfach auf die Aktivitäten für Verwahrer in Ihrem Fall zugreifen und diese durchsuchen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Berechtigungen abrufen

Sie müssen in Exchange Online die Rolle Nur anzeigende Überwachungsprotokolle oder Überwachungsprotokolle zugewiesen sein, um das Überwachungsprotokoll durchsuchen oder exportieren zu können. Standardmäßig werden diese Rollen den Rollengruppen Complianceverwaltung und Organisationsverwaltung auf der Seite Berechtigungen im Exchange Admin Center zugewiesen. Um einem Benutzer die Möglichkeit zu geben, das eDiscovery -Überwachungsprotokoll (Premium) mit der Mindestberechtigungsstufe zu durchsuchen, können Sie eine benutzerdefinierte Rollengruppe in Exchange Online erstellen, die Rolle Nur anzeigende Überwachungsprotokolle oder Überwachungsprotokolle hinzufügen und dann den Benutzer als Mitglied der neuen Rollengruppe hinzufügen. Weitere Informationen finden Sie unter Verwalten von Rollengruppen in Exchange Online.

Wichtig

Wenn Sie einem Benutzer auf der Seite Berechtigungen im Complianceportal die Rolle Nur Anzeigen von Überwachungsprotokollen oder Überwachungsprotokollen zuweisen, kann er das Überwachungsprotokoll nicht durchsuchen oder exportieren. Sie müssen die Berechtigungen in Exchange Online zuweisen. Der Grund dafür ist, dass es sich bei dem zugrundeliegenden Cmdlet, das für die Durchsuchung des Überwachungsprotokolls verwendet wird, um ein Exchange Online-Cmdlet handelt.

Schritt 1: Search das Überwachungsprotokoll für Aktivitäten, die von einem Verwahrer ausgeführt werden

  1. Wechseln Sie zu eDiscovery > eDiscovery (Premium), und öffnen Sie den Fall.

  2. Wählen Sie die Registerkarte Quellen aus.

  3. Wählen Sie auf der Seite Verwahrer einen Verwahrer aus der Liste und dann auf der Flyoutseite Verwahreraktivität anzeigen aus.

    Die Suchseite für Verwahreraktivitäten wird angezeigt. Beachten Sie, dass der im vorherigen Schritt ausgewählte Verwahrer im Dropdownfeld Verwahrer angezeigt wird. Sie können verschiedene Verwahrer im Dropdownfeld auswählen, aber Sie können nur nach Aktivitäten für einen Verwahrer gleichzeitig suchen.

    Suchseite

  4. Konfigurieren Sie die folgenden Suchkriterien:

    1. Aktivitäten : Wählen Sie die Dropdownliste aus, um die Aktivitäten anzuzeigen, nach denen Sie suchen können. Nachdem Sie die Suche ausgeführt haben, werden nur die Überwachungsdatensätze für die ausgewählten Aktivitäten angezeigt. Wenn Sie Ergebnisse für alle Aktivitäten anzeigen auswählen , werden Ergebnisse für alle Vom Verwahrer ausgeführten Aktivitäten angezeigt, die den anderen Suchkriterien entsprechen.

      Liste der Aktivitäten.

    2. Startdatum und Enddatum : Wählen Sie einen Datums- und Uhrzeitbereich aus, um die Ereignisse anzuzeigen, die innerhalb dieses Zeitraums aufgetreten sind. Standardmäßig sind die letzten sieben Tage ausgewählt. Das Datum und die Uhrzeit werden im UTC-Format (Coordinated Universal Time) angezeigt. Der maximale Datumsbereich, den Sie angeben können, ist ein Jahr.

    3. Verwahrer : Wählen Sie in diesem Feld aus, und wählen Sie dann einen bestimmten Verwahrer aus, für den Suchergebnisse angezeigt werden sollen. In der Liste der Ergebnisse werden die Überwachungsdatensätze für die ausgewählte Aktivität angezeigt, die von den Benutzern ausgeführt wurde, die Sie in diesem Feld ausgewählt haben.

  5. Wählen Sie Search Schaltfläche aus, um die Suche mit Ihren Suchkriterien auszuführen. Die Suchergebnisse werden geladen und nach einigen Augenblicken unter Ergebnisse auf der Suchseite für Verwahreraktivitäten angezeigt.

Schritt 2: Anzeigen der Suchergebnisse des Überwachungsprotokolls

Die Ergebnisse einer Überwachungsprotokollsuche werden auf der Seite Überwachungsprotokoll des Verwahrers unter Ergebnisse angezeigt. Maximal 5.000 (neueste) Ereignisse werden in Schritten von 150 Ereignissen angezeigt. Um weitere Ereignisse anzuzeigen, können Sie die Bildlaufleiste im Ergebnisbereich verwenden oder UMSCHALT+Ende drücken, um die nächsten 150 Ereignisse anzuzeigen.

Die Ergebnisse enthalten die folgenden Informationen zu den einzelnen Ereignissen, die bei der Suche zurückgegeben werden.

  • Datum: Das Datum und die Uhrzeit (im UTC-Format), zu der das Ereignis auftrat.
  • IP-Adresse: Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt.
  • Benutzer: Der Benutzer (oder das Dienstkonto), der die Aktion ausführte, durch die das Ereignis ausgelöst wurde.
  • Aktivität: Die vom Benutzer ausgeführte Aktivität. Dieser Wert entspricht den Aktivitäten, die Sie in der Dropdownliste "Aktivitäten" ausgewählt haben. Bei einem Ereignis aus dem Exchange-Administratorüberwachungsprotokoll ist der Wert in dieser Spalte ein Exchange-Cmdlet.
  • Element: Das Objekt, das als Ergebnis der entsprechenden Aktivität erstellt oder geändert wurde. Dies kann z. B. die Datei sein, die angezeigt oder geändert wurde, oder das Benutzerkonto, das aktualisiert wurde. Nicht alle Aktivitäten haben in dieser Spalte einen Wert.
  • Detail: Zusätzliches Detail zu einer Aktivität. Auch hier weisen nicht alle Aktivitäten einen Wert auf.

Schritt 3: Filtern der Suchergebnisse

Zusätzlich zur Sortierung können Sie die Ergebnisse einer Überwachungsprotokollsuche auch filtern. Dies kann Ihnen helfen, die Ergebnisse für einen bestimmten Benutzer oder eine bestimmte Aktivität schnell zu filtern.

So filtern Sie die Ergebnisse:

  1. Erstellen Sie eine Überwachungsprotokollsuche, und führen Sie sie aus.

  2. Wenn die Ergebnisse angezeigt werden, wählen Sie Ergebnisse filtern aus.

  3. Unter den einzelnen Spaltenüberschriften werden Felder für Schlüsselwörter angezeigt.

  4. Wählen Sie eines der Felder unter einer Spaltenüberschrift aus, und geben Sie ein Wort oder einen Ausdruck ein, je nachdem, nach der Spalte, nach der Sie filtern. Die Ergebnisse werden dynamisch angepasst, sodass die Ereignisse angezeigt werden, die den Filterkriterien entsprechen.

  5. Um einen Filter zu löschen, wählen Sie das X im Filterfeld aus, oder wählen Sie filter ausblenden aus.

Exportieren der Suchergebnisse in eine Datei

Sie können die Ergebnisse einer Überwachungsprotokollsuche in eine CSV-Datei (Comma Separated Value) auf Ihrem lokalen Computer exportieren. Sie können diese Datei in Microsoft Excel öffnen und Features wie Suchen, Sortieren, Filtern und Aufteilen einer einzelnen Spalte (die Zellen mit mehreren Werten enthält) in mehrere Spalten verwenden.

  1. Führen Sie eine Überwachungsprotokollsuche aus, und bearbeiten Sie dann die Suchkriterien, bis Sie die gewünschten Ergebnisse erhalten.

  2. Wählen Sie Ergebnisse exportieren und dann eine der folgenden Optionen aus:

    • Geladene Ergebnisse speichern: Wählen Sie diese Option aus, um nur die Einträge zu exportieren, die auf der Suchseite des Überwachungsprotokolls des Verwahrers unter Ergebnisse angezeigt werden. Die heruntergeladene CSV-Datei enthält dieselben Spalten (und Daten), die auch auf der Seite angezeigt werden (Datum, Benutzer, Aktivität, Element und Details). Eine zusätzliche Spalte (mit dem Titel Mehr) ist in der CSV-Datei enthalten, die weitere Informationen aus dem Überwachungsprotokolleintrag enthält. Da Sie dieselben Ergebnisse exportieren, die auf der Seite Überwachungsprotokollsuche geladen werden (und angezeigt werden können), werden maximal 5.000 Einträge exportiert.

    • Laden Sie alle Ergebnisse herunter: Wählen Sie diese Option aus, um alle Einträge aus dem Überwachungsprotokoll zu exportieren, die den Suchkriterien entsprechen. Wählen Sie für einen großen Satz von Suchergebnissen diese Option aus, um alle Einträge aus dem Überwachungsprotokoll herunterzuladen, zusätzlich zu den 5.000 Ergebnissen, die auf der Seite für die Überwachungsprotokollsuche angezeigt werden können. Diese Option lädt die Rohdaten aus dem Überwachungsprotokoll in eine CSV-Datei herunter und enthält zusätzliche Informationen aus dem Überwachungsprotokolleintrag in der Spalte AuditData. Bei Auswahl dieser Exportoption kann das Herunterladen der Datei etwas länger dauern, da die Datei möglicherweise wesentlich größer als diejenige ist, die bei Auswahl einer anderen Option heruntergeladen wird.

      Wichtig

      Aus seiner einzigen Suche in einer Protokolldatei können Sie maximal 50.000 Einträge in eine CSV-Datei herunterladen. Wenn 50.000 Einträge in die CSV-Datei heruntergeladen werden, können Sie wahrscheinlich davon ausgehen, dass mehr als 50.000 Ereignisse die Suchkriterien erfüllen. Wenn Sie mehr als diesen Grenzwert exportieren möchten, versuchen Sie es mit einem Datenbereich, um die Anzahl der Einträge im Überwachungsprotokoll zu verringern. Möglicherweise müssen Sie mehrere Suchläufe mit kleineren Datumsbereichen durchführen, um mehr als 50.000 Einträge zu exportieren.

  3. Nachdem Sie eine Exportoption ausgewählt haben, wird unten im Fenster eine Meldung angezeigt, in der Sie aufgefordert werden, die CSV-Datei zu öffnen, im Ordner Downloads zu speichern oder in einem bestimmten Ordner zu speichern.

Weitere Informationen zum Anzeigen, Filtern oder Exportieren von Überwachungsprotokollsuchergebnissen finden Sie unter Search des Überwachungsprotokolls.