カストディアンの監査アクティビティを表示する

  • [アーティクル]

ユーザーが特定のドキュメントを表示したかどうか、またはメールボックスからアイテムを削除したかどうかを確認する必要がありますか。 Microsoft Purview eDiscovery (Premium) は、Microsoft Purview コンプライアンス ポータルの既存の監査ログ検索ツールと統合されるようになりました。 この埋め込みエクスペリエンスを使用すると、電子情報開示 (Premium) カストディアン管理ツールを使用して、ケース内のカストディアンのアクティビティに簡単にアクセスして検索することで、調査を容易にすることができます。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

アクセス許可の取得

監査ログを検索またはエクスポートするには、Exchange Onlineの [監査ログの表示のみ] または [監査ログ] ロールを割り当てる必要があります。 既定では、これらのロールは、Exchange 管理センター[アクセス許可] ページの [コンプライアンス管理] および [組織の管理] 役割グループに割り当てられます。 ユーザーが最小限の特権で電子情報開示 (Premium) 監査ログを検索できるようにするには、Exchange Onlineでカスタム ロール グループを作成し、ビューのみの監査ログまたは監査ログ ロールを追加し、新しい役割グループのメンバーとしてユーザーを追加します。 詳細については、「Exchange Online で役割グループを管理する」を参照してください。

重要

コンプライアンス ポータルの [アクセス許可] ページでユーザーに [監査ログの表示のみ ] または [監査ログ ] ロールを割り当てると、監査ログを検索またはエクスポートできなくなります。 Exchange Online でアクセス許可を割り当てる必要があります。 これは、監査ログの検索に使用される基本のコマンドレットが ExchangeOnline コマンドレットだからです。

手順 1: カストディアンによって実行されたアクティビティの監査ログをSearchする

  1. 電子情報開示電子情報開示 > (Premium) に移動し、ケースを開きます。

  2. [ ソース ] タブを選択します。

  3. [ カストディアン ] ページで、一覧からカストディアンを選択し、ポップアップ ページで [ カストディアン アクティビティの表示 ] を選択します。

    カストディアン アクティビティの検索ページが表示されます。 前の手順で選択したカストディアンが [ カストディアン ] ドロップダウン ボックスに表示されることに注意してください。 ドロップダウン ボックスで異なるカストディアンを選択できますが、一度に検索できるのは 1 人のカストディアンのみです。

    カストディアン アクティビティの検索ページ。

  4. 次の検索条件を設定します。

    1. [アクティビティ ] - ドロップダウン リストを選択して、検索できるアクティビティを表示します。 検索の実行後、選択したアクティビティの監査ログ エントリのみが表示されます。 [ すべてのアクティビティの結果を表示 ] を選択すると、カストディアンが他の検索条件に一致するすべてのアクティビティの結果が表示されます。

      アクティビティの一覧。

    2. 開始日と終了日 - その期間内に発生したイベントを表示する日付と時刻の範囲を選択します。 既定では、過去 7 日間が選択されています。 日付と時間は、協定世界時 (UTC) 形式で指定します。 指定できる最大日付範囲は 1 年です。

    3. カストディアン - このボックスで選択し、検索結果を表示する特定のカストディアンを選択します。 このボックスで選択したユーザーによって実行された、選択したアクティビティの監査レコードが結果のリストに表示されます。

  5. [Search ボタン] を選択します。検索条件を使用して検索を実行します。 検索結果が読み込まれ、しばらくすると、[カストディアン アクティビティ] 検索ページの [結果] に表示されます。

手順 2: 監査ログの検索結果を表示する

監査ログ検索の結果は、[カストディアン監査ログ] ページの [結果] の下に表示されます。 最大 5,000 (最新) のイベントが 150 イベントずつ表示されます。 その他のイベントを表示するには、[結果] ウィンドウのスクロール バーを使用するか、Shift キーを押しながら End キーを押して次の 150 個のイベントを表示できます。

検索結果には、検索によって返された各イベントに関する次の情報が含まれます。

  • [日付]: イベントが発生した日付と時刻 (UTC 形式)。
  • [IP アドレス]: アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。
  • [ユーザー]: イベントをトリガーしたアクションを実行したユーザー (またはサービス アカウント)。
  • [アクティビティ]: ユーザーが実行したアクティビティ。 この値は [アクティビティ] ドロップダウン リストで選択したアクティビティに対応します。 Exchange 管理者監査ログのイベントの場合、この列の値は、Exchange コマンドレットになります。
  • [アイテム]: 対応するアクティビティの結果として作成または変更されたオブジェクト。 たとえば、表示または変更されたファイルまたは更新されたユーザー アカウントなどです。 すべてのアクティビティにこの列の値があるとは限りません。
  • [詳細]: アクティビティに関する追加の詳細。 ここでも、すべてのアクティビティに値があるとは限りません。

手順 3: 検索結果をフィルター処理する

並べ替えに加えて、監査ログの検索の結果をフィルター処理することもできます。 これは、特定のユーザーまたはアクティビティの結果をすばやくフィルター処理するのに役立ちます。

結果をフィルター処理するには、次の手順を実行します。

  1. 監査ログ検索を作成して実行します。

  2. 結果が表示されたら、[ 結果のフィルター] を選択します。

  3. 各列見出しの下にキーワード ボックスが表示されます。

  4. フィルター処理する列に応じて、列ヘッダーの下にあるいずれかのボックスを選択し、単語または語句を入力します。 結果は動的に再調整され、フィルターに一致するイベントが表示されます。

  5. フィルターをクリアするには、フィルター ボックスで [X ] を選択するか、[ フィルターを非表示にする] を選択します。

検索結果をファイルにエクスポートする

監査ログ検索の結果を、ローカル コンピューター上のコンマ区切り値 (CSV) ファイルにエクスポートできます。 このファイルを Microsoft Excel で開き、検索、並べ替え、フィルター処理、1 つの列 (複数値セルを含む) を複数の列に分割するなどの機能を使用できます。

  1. 監査ログの検索を実行して、目的の結果が得られるまで検索条件を変更します。

  2. [結果のエクスポート] を選択し、次のいずれかのオプションを選択します。

    • 読み込まれた結果を保存する:カストディアン監査ログ検索ページの [結果] に表示されるエントリのみをエクスポートするには、このオプションを選択します。 ダウンロードした CSV ファイルには、ページに表示されている同じ列 (およびデータ) (日付、ユーザー、アクティビティ、アイテム、詳細) が含まれています。 監査ログ エントリの詳細情報を含む追加の列 ( 詳細) が CSV ファイルに含まれています。 [監査ログの検索] ページに読み込まれた (および表示可能な) 同じ結果をエクスポートしているため、最大 5,000 件のエントリがエクスポートされます。

    • すべての結果をダウンロードします。 検索条件を満たす監査ログからすべてのエントリをエクスポートするには、このオプションを選択します。 大量の検索結果の場合は、このオプションを選択して、カストディアン監査ログ検索ページに表示できる 5,000 件の結果に加えて 、監査ログ からすべてのエントリをダウンロードします。 このオプションは、監査ログから CSV ファイルに生データをダウンロードし、AuditData という名前の列の監査ログ エントリから追加情報を含みます。 このエクスポート オプションを選択した場合、ファイルが他のオプションを選択した場合にダウンロードされるファイルよりはるかに大きくなる可能性があるため、ファイルのダウンロードには時間がかかることがあります。

      重要

      1 つの監査ログの検索から、最大 50,000 エントリを CSV ファイルにダウンロードできます。 50,000 エントリを CSV ファイルにダウンロードする場合、検索条件に一致するイベントが 50,000 件を超えていると見なすことができます。 この上限を超える件数をエクスポートするには、日付の範囲を指定して、監査ログのエントリ数を減らすことをお勧めします。 50,000 を超えるエントリをエクスポートするには、日付範囲が小さい複数の検索を実行する必要がある場合があります。

  3. エクスポート オプションを選択すると、CSV ファイルを開くか、ダウンロード フォルダーに保存するか、特定のフォルダーに保存するように求めるメッセージがウィンドウの下部に表示されます。

監査ログの検索結果の表示、フィルター処理、またはエクスポートの詳細については、「監査ログのSearch」を参照してください。