Afficher l’activité d’audit des consignataires

  • Article

Vous avez besoin de déterminer si un utilisateur a consulté un document spécifique ou supprimé définitivement un élément de sa boîte aux lettres ? Microsoft Purview eDiscovery (Premium) est désormais intégré à l’outil de recherche de journal d’audit existant dans le portail de conformité Microsoft Purview. À l’aide de cette expérience incorporée, vous pouvez utiliser l’outil de gestion des consignataires eDiscovery (Premium) pour faciliter votre investigation en accédant à l’activité et en recherchant facilement les consignataires dans votre cas.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Obtenir des autorisations

Vous devez disposer du rôle Afficher uniquement journaux d’audit ou Journaux d’audit dans Exchange Online pour rechercher ou exporter le journal d’audit. Par défaut, ces rôles sont attribués aux groupes de rôles Gestion de la conformité et Gestion de l’organisation dans la page Autorisations du Centre d’administration Exchange. Pour permettre à un utilisateur de rechercher dans le journal d’audit eDiscovery (Premium) avec le niveau minimal de privilèges, vous pouvez créer un groupe de rôles personnalisé dans Exchange Online, ajouter le rôle Afficher uniquement journaux d’audit ou Journaux d’audit, puis ajouter l’utilisateur en tant que membre du nouveau groupe de rôles. Pour plus d’informations, voir Gérer les groupes de rôles dans Exchange Online.

Importante

Si vous attribuez à un utilisateur le rôle Afficher uniquement journaux d’audit ou Journaux d’audit sur la page Autorisations du portail de conformité, il ne pourra pas rechercher ou exporter le journal d’audit. Vous devez affecter les autorisations dans Exchange Online. En effet, la cmdlet sous-jacente utilisée pour les recherches dans le journal d’audit est une cmdlet Exchange Online.

Étape 1 : Recherche le journal d’audit pour les activités effectuées par un consignataire

  1. Accédez à eDiscovery > eDiscovery (Premium) et ouvrez le cas.

  2. Sélectionnez l’onglet Sources .

  3. Dans la page Consignataires , sélectionnez un consignataire dans la liste, puis sélectionnez Afficher l’activité du consignataire dans la page volante.

    La page de recherche des activités du consignataire s’affiche. Notez que le consignataire que vous avez sélectionné à l’étape précédente s’affiche dans la zone de liste déroulante Consignataire . Vous pouvez sélectionner différents consignataires dans la zone de liste déroulante, mais vous ne pouvez rechercher des activités que pour un seul dépositaire à la fois.

    Page de recherche des activités du consignataire.

  4. Configurez les critères de recherche suivants :

    1. Activités : sélectionnez la liste déroulante pour afficher les activités que vous pouvez rechercher. Une fois la recherche terminée, seuls les enregistrements d’audit correspondant aux activités sélectionnées apparaissent. La sélection de Afficher les résultats pour toutes les activités affiche les résultats de toutes les activités effectuées par le consignataire qui correspondent aux autres critères de recherche.

      Liste des activités.

    2. Date de début et date de fin : sélectionnez une plage de dates et d’heures pour afficher les événements qui se sont produits au cours de cette période. Les sept derniers jours sont sélectionnés par défaut. Les date et heure sont présentées au format UTC (temps universel coordonné). La plage de dates maximale que vous pouvez spécifier est d’un an.

    3. Consignataires : sélectionnez dans cette zone, puis sélectionnez un consignataire spécifique pour lequel afficher les résultats de la recherche. Les enregistrements d’audit pour l’activité sélectionnée effectuée par les utilisateurs que vous sélectionnez dans cette zone s’affichent dans la liste des résultats.

  5. Sélectionnez Recherche Bouton pour exécuter la recherche à l’aide de vos critères de recherche. Les résultats de la recherche sont chargés et, après quelques instants, ils s’affichent sous Résultats dans la page de recherche Activités du consignataire.

Étape 2 : Afficher les résultats de la recherche dans le journal d’audit

Les résultats d’une recherche dans les journaux d’audit s’affichent sous Résultats dans la page Journal d’audit du consignataire. Un maximum de 5 000 événements (les plus récents) sont affichés par incréments de 150 événements. Pour afficher d’autres événements, vous pouvez utiliser la barre de défilement dans le volet Résultats, ou vous pouvez appuyer sur Maj + Fin pour afficher les 150 événements suivants.

Les résultats contiennent les informations suivantes sur chaque événement renvoyé par la recherche.

  • Date : Date et heure (au format UTC) auxquelles l’événement s’est produit.
  • Adresse IP : Adresse IP de l’appareil utilisé lors de l’enregistrement de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6.
  • Utilisateur : Utilisateur (ou compte de service) qui a effectué l’action ayant déclenché l’événement.
  • Activité : Activité effectuée par l’utilisateur. Cette valeur correspond aux activités que vous avez sélectionnées dans la liste déroulante Activités. Pour un événement figurant dans le journal d’audit de l’administrateur Exchange, la valeur dans cette colonne est une cmdlet Exchange.
  • Élément : Objet qui a été créé ou modifié suite à l’activité correspondante. Par exemple, fichier consulté ou modifié, ou compte d’utilisateur mis à jour. Certaines activités n’ont pas de valeur dans cette colonne.
  • Détails : Détails supplémentaires sur une activité. Là encore, toutes les activités n’ont pas de valeur.

Étape 3 : filtrer les résultats de la recherche

Vous pouvez également filtrer les résultats d’une recherche dans le journal d’audit. Cela peut vous aider à filtrer rapidement les résultats d’un utilisateur ou d’une activité spécifique.

Pour filtrer les résultats :

  1. Créez et exécutez une recherche dans les journaux d’audit.

  2. Lorsque les résultats sont affichés, sélectionnez Filtrer les résultats.

  3. Les zones de mot clé apparaissent sous chaque en-tête de colonne.

  4. Sélectionnez l’une des zones sous un en-tête de colonne et tapez un mot ou une expression, en fonction de la colonne sur laquelle vous filtrez. Les résultats sont réajustés dynamiquement pour afficher les événements qui correspondent à votre filtre.

  5. Pour effacer un filtre, sélectionnez le X dans la zone de filtre ou sélectionnez simplement Masquer le filtrage.

Exporter les résultats de la recherche dans un fichier

Vous pouvez exporter les résultats d’une recherche dans les journaux d’audit vers un fichier de valeurs séparées par des virgules (CSV) sur votre ordinateur local. Vous pouvez ouvrir ce fichier dans Microsoft Excel et utiliser des fonctionnalités telles que la recherche, le tri, le filtrage et le fractionnement d’une colonne unique (qui contient des cellules à valeurs multiples) en plusieurs colonnes.

  1. Effectuez une recherche dans le journal d’audit, puis modifiez les critères de recherche jusqu’à obtenir les résultats souhaités.

  2. Sélectionnez Exporter les résultats et sélectionnez l’une des options suivantes :

    • Enregistrer les résultats chargés : Choisissez cette option pour exporter uniquement les entrées affichées sous Résultats dans la page de recherche du journal d’audit du consignataire . Le fichier .csv téléchargé contient les mêmes colonnes (et données) que celles affichées sur la page (Date, Utilisateur, Activité, Élément et Détails). Une colonne supplémentaire (intitulée Plus) est incluse dans le fichier CSV qui contient plus d’informations à partir de l’entrée du journal d’audit. Comme vous exportez les mêmes résultats que ceux chargés (et visibles) sur la page Recherche dans le journal d’audit, 5 000 entrées au maximum sont exportées.

    • Téléchargez tous les résultats : Choisissez cette option pour exporter toutes les entrées du journal d’audit qui répondent aux critères de recherche. Pour un grand ensemble de résultats de recherche, choisissez cette option pour télécharger toutes les entrées du journal d’audit en plus des 5 000 résultats qui peuvent être affichés sur la page de recherche du journal d’audit du consignataire . Cette option télécharge les données brutes du journal d’audit dans un fichier CSV et contient des informations supplémentaires à partir de l’entrée du journal d’audit dans une colonne nommée AuditData. Le téléchargement du fichier peut prendre plus de temps si vous choisissez cette option d’exportation, car le fichier peut-être plus volumineux que celui téléchargé à l’aide de l’autre option.

      Importante

      Vous pouvez télécharger un maximum de 50 000 entrées dans un fichier .csv à partir d’une seule recherche dans le journal d’audit. Si 50 000 résultats sont téléchargés dans le fichier .csv, vous pouvez partir du principe que plus de 50 000 événements remplissent les critères de recherche. Pour exporter davantage de résultats, essayez d’utiliser une plage de dates pour réduire le nombre d’entrées du journal d’audit. Vous devrez peut-être effectuer plusieurs recherches avec des plages de dates plus réduites pour exporter plus de 50 000 entrées.

  3. Après avoir sélectionné une option d’exportation, un message s’affiche en bas de la fenêtre qui vous invite à ouvrir le fichier CSV, à l’enregistrer dans le dossier Téléchargements ou à l’enregistrer dans un dossier spécifique

Pour plus d’informations sur l’affichage, le filtrage ou l’exportation des résultats de recherche dans les journaux d’audit, consultez Recherche le journal d’audit.