監査ログの検索
Microsoft Purview 監査 (Standard) と Audit (Premium) のSearchを使用すると、重要な監査ログ イベント データにorganizationアクセスして分析情報を取得し、ユーザー アクティビティをさらに調査できます。
- コンプライアンス ポータルを介して開始されたジョブSearch、完了するために Web ブラウザー ウィンドウを開いたままにする必要がなくなりました。 これらのジョブは、ブラウザー ウィンドウを閉じた後も引き続き実行されます。
- 完了した検索ジョブが 30 日間保存され、監査履歴検索を参照できるようになりました。
- 各管理者監査アカウント ユーザーは、最大 10 個の同時検索ジョブを進行中で、フィルター処理されていない検索ジョブを最大 1 つ使用できます。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
監査ログを検索する前に
監査ログの検索を開始する前に、次の項目を確認してください。
Microsoft 365 および Office 365 Enterprise 組織では、監査ログ検索は規定でオンになっています。 監査ログ検索が有効になっていることを確認するには、PowerShell で次のコマンドExchange Online実行できます。
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
UnifiedAuditLogIngestionEnabled プロパティの値
True
は、監査ログ検索が有効になっていることを示します。 詳細については、「監査ログの検索を有効または無効にする」をご覧ください。重要
PowerShell で前のコマンドExchange Online実行してください。 Get-AdminAuditLogConfig コマンドレットは Security & Compliance PowerShell でも使用できますが、監査ログ検索が有効になっている場合でも、UnifiedAuditLogIngestionEnabled プロパティは常
False
に です。監査ログを検索するには、Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで監査ログまたは監査ログの表示専用ロールを割り当てる必要があります。 既定では、これらのロールはコンプライアンス ポータルの [アクセス許可] ページの監査マネージャーロール グループと監査閲覧者ロール グループに割り当てられます。 詳細については、「 監査ソリューションの概要」を参照してください。 監査コマンドレットにアクセスするには、Exchange 管理センターで 監査ログ または 監査ログの表示のみの 役割を割り当てる必要があります。 また、ビューのみの監査ログまたは監査ログロールをカスタム ロール グループに追加することで、監査ログを検索できるカスタム ロール グループを作成することもできます。
詳細については、以下を参照してください:
監査されたアクティビティがユーザーや管理者によって実行されると、監査記録が生成され、組織の監査ログに保存されます。 監査レコードが保持される時間 (および監査ログで検索可能) の長さは、Office 365またはMicrosoft 365 Enterpriseサブスクリプション、具体的には特定のユーザーに割り当てられているライセンスの種類によって異なります。
Office 365 E5またはMicrosoft 365 E5 ライセンスが割り当てられているユーザー (または、Microsoft 365 E5 ComplianceまたはMicrosoft 365 E5電子情報開示および監査アドオン ライセンスを持つユーザー) の場合は、Microsoft Entra IDの監査レコード、Exchange、および SharePoint アクティビティは、既定で 1 年間保持されます。 また、組織では、監査ログの保持ポリシーを作成して、その他のサービスのアクティビティについての監査レコードを最大 1 年間保持します。 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。
注:
監査レコードを 1 年間保持するプライベート プレビュー プログラムに参加した場合、一般提供のロールアウト日前に生成された監査レコードの保持期間はリセットされません。
他の (E5 以外の) Office 365または Microsoft 365 ライセンスが割り当てられているユーザーの場合、監査レコードは 180 日間保持されます。 統合監査ログをサポートするOffice 365と Microsoft 365 サブスクリプションの一覧については、監査 (Standard) と監査 (Premium) のサブスクリプション要件に関するページを参照してください。
重要
監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、新しい既定の保持期間の 180 日に従います。
注:
既定でメールボックス監査がオンになっている場合でも、コンプライアンス ポータルの監査ログ検索やOffice 365管理アクティビティ API を使用して、一部のユーザーのメールボックス監査イベントが見つからない場合があります。 詳細については、「More information about mailbox audit logging (メールボックス監査ログの詳細)」を参照してください。
組織の監査ログ検索をオフにしたい場合は、Exchange Online PowerShell で次のコマンドを実行します。
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
監査検索を再度有効にするには、Exchange Online PowerShell で次のコマンドを実行できます。
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
詳細については、「監査ログの検索を無効にする」を参照してください。
監査ログの検索に使用される基になるコマンドレットは、Exchange Online コマンドレットであり、Search UnifiedAuditLog です。 つまり、コンプライアンス ポータルの [監査] ページにある検索ツールを使う代わりに、このコマンドレットを使用して監査ログを検索できます。 このコマンドレットは、Exchange Online PowerShell で実行する必要があります。 詳細については、「Search-UnifiedAuditLog」を参照してください。
Search-UnifiedAuditLog コマンドレットによって返された検索結果を CSV ファイルにエクスポートする方法の詳細については、「監査ログ レコードをエクスポート、構成、表示する」の「監査ログをエクスポート、表示するためのヒント」のセクションを参照してください。
プログラムによって監査ログからデータをダウンロードする場合は、PowerShell スクリプトを使用するのではなく、Office 365 Management Activity API を使用することをお勧めします。 Office 365管理アクティビティ API は、organizationの運用、セキュリティ、コンプライアンス監視ソリューションの開発に使用できる REST Web サービスです。 詳細については、「Office 365 管理アクティビティ API のリファレンス」を参照してください。
Microsoft Entra IDは、Microsoft 365 のディレクトリ サービスです。 統合監査ログには、Microsoft 365 管理センターまたは Azure 管理ポータルで実行されたユーザー、グループ、アプリケーション、ドメイン、およびディレクトリのアクティビティが記録されます。 Microsoft Entra イベントの完全な一覧については、「レポート イベントの監査Microsoft Entra」を参照してください。
Microsoft は、イベント発生後に、対応する監査レコードが監査ログ検索の結果に返される時間を保証しません。 コア サービス (Exchange、SharePoint、OneDrive、Teams など) の場合、イベントの可用性は通常 60 分から 90 分です。 その他のサービスでは、監査レコードの可用性が長くなる可能性があります。 ただし、(サーバーの停止など) 避けられない問題の中には、監査レコードの可用性を遅延させる、監査サービスの外部で発生する避けられない問題もあります。 これらの理由により、Microsoft は時間を確約しておりません。
監査ログ内の Power BI アクティビティを検索するには、Power BI 管理ポータルで監査を有効にする必要があります。 手順については、Power BI 管理ポータルの「監査ログ」セクションをご覧ください。
検索の概要
使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
検索を開始するには、次の手順を実行します。
Microsoft Purview ポータルにサインインします。
[監査ソリューション] カードを選択します。 [監査ソリューション] カードが表示されない場合は、[すべてのソリューションを表示] を選択し、[コア] セクションから [監査] を選択します。
[Search] ページで、必要に応じて次の検索条件を構成します。
日付と時刻の範囲 (UTC): 過去 7 日間が既定で選択されています。 日付と時間の範囲を選択し、その期間内に発生したイベントを表示します。 日付と時刻は協定世界時 (UTC) で表示されます。 指定できる最大日付範囲は 180 日です。 選択した日付範囲が 180 日を超える場合、エラーが表示されます。
ヒント
最大日付範囲 180 日を使用している場合は、[開始日] の現在の時刻を選択 します。 それ以外の場合は、開始日が終了日より前であることを示すエラーが表示されます。 過去 180 日以内に監査を有効にした場合、監査が有効になった日付より前に最大日付範囲を開始することはできません。
キーワード Search: 監査ログで検索するキーワード (keyword)または語句を入力します。 キーワード (keyword)または語句は、監査ログまたはファイル、フォルダー、またはサイト (指定されている場合) で検索されます。 特殊文字を含むテキストを検索するには、キーワード (keyword)検索で特殊文字をアスタリスク(*) に置き換えます。 たとえば、 test_search_documentを検索するには、 test*search*document を使用します。
重要
[キーワード Search] フィールドに入力された用語は、インデックス付きコンテンツ (監査共通スキーマ内のコンテンツ) 内でのみ検索されます。 監査ログ内の監査 データ コンテンツ は、これらのキーワードを検索しません。
[ユニットの管理]: ドロップダウン リストを選択して、監査対象のアクティビティのスコープを検索する管理単位を表示します。 検索の範囲を指定する 1 つ以上の管理単位を選択できます。 organization内のすべての管理単位のエントリを返すには、このボックスを空白のままにします。
アクティビティ - フレンドリ名: ドロップダウン リストを選択して、検索できる監査済みアクティビティのフレンドリ名を表示します。 ユーザーと管理者のアクティビティのフレンドリ名は、関連するアクティビティのグループに編成されます。 フレンドリ名を使用して、特定の監査されたアクティビティを選択するか、アクティビティ グループ名を選択してグループ内のすべてのアクティビティを選択できます。 選択したアクティビティを選択して、選択を解除することもできます。 リスト内のアクティビティのフレンドリ名を検索するには、リストの上にある検索ボックスを使用します。
アクティビティ - 操作名: 検索結果に含める監査済みアクティビティを検索する正確な操作名を入力します。 1 つ以上の操作名をコンマで区切って入力できます。 この検索条件は、PowerShell でのみ使用できる以前の検索と似ています。必要なデータを見つけるのに役立つ柔軟性が高くなります。
重要
操作名は、名前の付いたとおりに正確に入力する必要があります。 操作名が正しく入力されていない場合、結果は返されません。
たとえば、organizationで SharePoint サイトの情報バリアを有効または無効にすることに関連するすべてのアクティビティを検索するには、次の操作を行います。
レコードの種類: ドロップダウン リストを選択して、検索できる監査済みアクティビティのレコードの種類を表示します。 検索するレコードの種類を 1 つ以上選択できます。 リスト内のレコードの種類を検索するには、リストの上にある検索ボックスを使用します。
特定の レコードの種類 は、特定の Microsoft サービスとアプリケーションに関連付けられています。 たとえば、Microsoft Purview 情報保護 (MIP) の秘密度ラベルに関連付けられている特定のレコードの種類の検索のスコープを設定する場合は、一覧から MIPLabel、MipAutoLabelExchangeItem、MipAutoLabelSharePointItem、MipAutoLabelSharePointPolicyLocation レコード型を選択できます。Search名: 検索ジョブのカスタム名を入力します。 この名前は、検索ジョブ履歴で検索ジョブを識別するために使用されます。 名前を入力しない場合、検索ジョブには、検索に対して定義された日付と時刻と他の定義された検索条件値の組み合わせを使用して、自動的に名前が付けられます。
ユーザー: このフィールドを選択し、検索結果を表示する 1 人以上のユーザーの名前を選択します。 このボックスで選択したユーザーによって実行された選択したアクティビティの監査ログ エントリが結果の一覧に表示されます。 組織のすべてのユーザー (およびサービス アカウント) のエントリを返すには、このボックスを空白のままにします。
ファイル、フォルダー、またはサイト: 指定したキーワード (keyword)を含むフォルダーのファイルに関連するアクティビティを検索するファイルまたはフォルダー名の一部またはすべてを入力します。 この検索条件は、対応するファイル、フォルダー、およびサイトに関連するすべての結果を返します。 ファイルまたはフォルダーの URL を指定することもできます。 URL を使用する場合は、完全な URL パスを入力するか、URL の一部を入力する場合は、特殊文字やスペースを含めないでください (ただし、ワイルドカード文字 (*) の使用はサポートされています)。 組織内のすべてのファイルおよびフォルダーのエントリを返すには、このボックスを空白のままにします。
ワークロード: 選択したワークロードに関連するアクティビティを検索するワークロード サービスを入力または検索します。 一覧のワークロードにジャンプするワークロードの名前を入力するか、選択するワークロードまでスクロールします。
[Search] を選択して検索ジョブを開始します。 1 つのユーザー アカウントに対して、最大 10 個の検索ジョブを並列で実行できます。 ユーザーが 10 個を超える検索ジョブを必要とする場合は、 進行中 のジョブが完了するか、検索ジョブを削除するまで待機する必要があります。
ジョブ ダッシュボードSearch
アクティブな検索ジョブと完了した検索ジョブが検索ジョブ ダッシュボードに表示されます。 ダッシュボードには、検索ジョブごとに次の情報が表示されます。
- Search名: 検索ジョブの名前。 ジョブの完全な検索名は、検索ジョブ名の上にカーソルを合わせると表示されます。
- ジョブの状態: 検索ジョブの状態。 状態は、[ キュー]、[ 進行中]、または [完了] のいずれかです。
- 進行状況 (%): 完了した検索ジョブの割合。
- Search時間: 検索ジョブを完了するまでに経過した合計実行時間。
- 合計結果: 検索ジョブによって返された結果の合計数。
- 作成時刻: 検索ジョブが UTC で作成された日付と時刻。
- 実行Search: 検索ジョブを作成したユーザー アカウント。
ジョブを選択し、コマンド バーの [削除] を選択して、検索ジョブを 削除 します。 検索ジョブを削除しても、検索に関連付けられているバックエンド データは削除されません。 検索ジョブ定義と関連する検索結果のみが削除されます。
既存の検索ジョブの検索条件をコピーするには、ジョブを選択し、コマンド バーで [ この検索をコピー ] を選択します。 検索条件は検索ページにコピーされ、新しい検索に必要に応じて検索条件を変更できます。
ジョブの詳細ダッシュボードSearch
検索ジョブの詳細を表示するには、検索ジョブを選択します。 ジョブ内のアイテムの合計数は、ダッシュボードの上部に含まれます。 結果の合計数によって重複が差し引かれるため、検索ジョブ ダッシュボードの項目数よりも少なくなる可能性があります。
検索ジョブの詳細ダッシュボードには、検索ジョブの結果に収集された個々のアイテムに関する次の情報が表示されます。
- 日付 (UTC): アクティビティが発生した日付と時刻。
- IP アドレス: アクティビティの実行に使用されたデバイスの IP アドレス。
- ユーザー: アクティビティを実行したユーザー アカウント。
- レコードの種類: アクティビティに関連付けられているレコードの種類。
- アクティビティ: 実行されたアクティビティのフレンドリ名。
- 項目: アクティビティが実行されたファイル、フォルダー、またはサイトの名前。
- 管理ユニット: アクティビティを実行したユーザー アカウントが属する管理単位。
- 詳細: アクティビティに関するその他の詳細。
列ヘッダーを使用して検索ジョブ項目を並べ替えたり、フィルター ウィンドウを使用してカスタム フィルターを作成したりできます。 フィルターを使用して、ダッシュボード列の条件のいずれかの特定の値を検索ジョブ項目にフィルター処理します。 すべての検索ジョブ項目を .csv ファイルにエクスポートするには、コマンド バーの [エクスポート ] を選択します。 エクスポートでは、監査 (Standard) では最大 50 KB、監査 (Premium) では最大 500 KB (500,000 行) の結果がサポートされます。
フライアウト ウィンドウでアクティビティの詳細を表示するには、特定のアクティビティを選択します。 ポップアップ ウィンドウには、アクティビティに関する追加情報が表示されます。
管理単位を使用した監査ログへのアクセスのスコーピング
監査ログを検索するためのアクセスは、コンプライアンス ポータルで監査ログにアクセスするユーザーに割り当てられた管理単位に基づいてスコープが設定されます。 制限付き管理者は、ユーザーが生成した監査ログを管理単位のスコープ内でのみ検索およびエクスポートできます。 無制限の管理者は、ユーザー以外のアカウントとシステム アカウントによって生成されたログを含むすべての監査ログにアクセスできます。
管理者に割り当てられた管理ユニット | スコープ検索を実行するために使用できる管理ユニット | 監査ログの検索とエクスポートへのアクセス |
---|---|---|
なし (既定値): 無制限の管理者 | すべての管理単位を使用できます | 任意のユーザー、非ユーザー、またはシステム アカウントからすべてのアクティビティ ログにアクセスします。 |
1 つ以上の管理単位: 制限付き管理者 | 管理者に割り当てられている管理単位のみを使用できます | 一致する管理単位の割り当てを持つユーザーからのアクティビティ ログへのアクセス。 |
注:
現在、Search-MailboxAuditLog コマンドレットと Search-AdminAuditLog コマンドレットは、スコープ付きアクセスをサポートしていません。 これらのコマンドレットを使用Search要求には、検索を実行するユーザーがスコープ付き管理者である場合でも、Exchange からのスコープなしアクティビティ ログが常に含まれます。Exchange メールボックス アクティビティ ログなど、Microsoft サービスからスコープ付きアクティビティ ログにアクセスするには、Search-UnifiedAuditLog コマンドレットを使用します。
次の監査アクティビティには、 無制限の管理者が実行した検索クエリでのみアクセスできます。制限付き管理者がクエリを実行したときに、これらのログにアクセスできるように取り組んでいます。これらのアクティビティの監査ログの完全な一覧を表示するには、無制限の管理者アカウントを使用して検索要求を送信します。
サービス | 操作 |
---|---|
Azure Information Protection | 検索 |
Dynamics 365 | CrmDefaultActivity |
エンドポイントのデータ損失防止 | FileCreated FileCreatedOnNetworkShare FileCreatedOnRemovableMedia FileDeleted |
Exchange | Set-Mailbox Set-MailboxPlan SupervisionBulkEmailExclusion |
Microsoft Forms | ViewRuntimeForm |
管理単位の詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」を参照してください。