Просмотр действий хранителя по аудиту

Совет

Обнаружение электронных данных (предварительная версия) теперь доступно на новом портале Microsoft Purview. Дополнительные сведения об использовании нового интерфейса обнаружения электронных данных см. в статье Сведения об обнаружении электронных данных (предварительная версия).

Нужно узнать, просматривал ли пользователь определенный документ или удалял элемент из своего почтового ящика? Microsoft Purview eDiscovery (премиум) теперь интегрирована с существующим средством поиска по журналам аудита в Портал соответствия требованиям Microsoft Purview. Используя этот встроенный интерфейс, вы можете использовать средство управления хранителями eDiscovery (Premium) для упрощения расследования путем легкого доступа к действиям и поиска для хранителей в вашем случае.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Получение разрешений

Для поиска или экспорта журнала аудита вам должна быть назначена роль "Журналы аудита только просмотр" или "Журналы аудита" в Exchange Online. По умолчанию эти роли назначаются группам ролей "Управление соответствием требованиям" и "Управление организацией " на странице "Разрешения" в Центре администрирования Exchange. Чтобы предоставить пользователю возможность выполнять поиск в журнале аудита eDiscovery (Premium) с минимальным уровнем привилегий, можно создать настраиваемую группу ролей в Exchange Online, добавить роль Журналы аудита только просмотр или Журналы аудита, а затем добавить пользователя в новую группу ролей. Дополнительные сведения см. в статье Управление группами ролей в Exchange Online.

Важно!

Если назначить пользователю роль "Только просмотр журналов аудита " или "Журналы аудита" на странице "Разрешения" на портале соответствия требованиям, он не сможет выполнять поиск или экспорт журнала аудита. Разрешения должны быть назначены в Exchange Online. Это связано с тем, что для поиска в журнале аудита используется командлет Exchange Online.

Шаг 1. Поиск действий, выполняемых хранителем, в журнале аудита

Примечание.

В течение ограниченного времени этот классический интерфейс обнаружения электронных данных также доступен на новом портале Microsoft Purview. Включите классический интерфейс eDiscovery портала соответствия требованиям в параметрах интерфейса обнаружения электронных данных (предварительная версия) для отображения классического интерфейса на новом портале Microsoft Purview.

1. Перейдите в раздел eDiscovery > eDiscovery (Премиум) и откройте дело.

2. Перейдите на вкладку Источники .

3. На странице Хранителей выберите хранителя из списка, а затем на всплывающей странице выберите Просмотреть действия хранителя .

   Отобразится страница поиска действий хранителя. Обратите внимание, что выбранный на предыдущем шаге хранитель отображается в раскрывающемся списке Хранитель . В раскрывающемся списке можно выбрать разных хранителей, но одновременно можно искать действия только для одного хранителя.

   

4. Настройте указанные ниже условия.

   1. Действия . Выберите раскрывающийся список, чтобы отобразить действия, которые можно найти. По завершении поиска будут показаны только записи журнала аудита, относящиеся к выбранным действиям. Если выбрать Показать результаты для всех действий , будут отображаться результаты для всех действий, выполняемых хранителем, которые соответствуют другим условиям поиска.

      

   2. Дата начала и дата окончания . Выберите диапазон даты и времени, чтобы отобразить события, произошедшие в течение этого периода. По умолчанию выбраны последние семь дней. Даты и время представлены в формате UTC. Максимальный диапазон дат, который можно указать, составляет один год.

   3. Хранители . Выберите в этом поле, а затем выберите определенного хранителя для отображения результатов поиска. Записи аудита для выбранного действия пользователей, выбранных в этом поле, отображаются в списке результатов.

5. Нажмите чтобы выполнить поиск с использованием условий поиска. Результаты поиска загружаются, а через несколько секунд они отображаются в разделе Результаты на странице поиска действий хранителя.

Шаг 2. Просмотр результатов поиска в журнале аудита

Результаты поиска по журналу аудита отображаются в разделе Результаты на странице Журнал аудита хранителя. Не более 5000 (новейших) событий отображаются с шагом в 150 событий. Для отображения дополнительных событий можно использовать полосу прокрутки в области Результаты или нажать клавиши SHIFT+END, чтобы отобразить следующие 150 событий.

Они содержат ряд сведений о каждом событии, возвращенном поиском.

• Дата. Дата и время наступления события (в формате UTC).
• IP-адрес. IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6.
• Пользователь. Пользователь (или учетная запись службы), который выполнил действие, вызвавшее событие.
• Действие. Действие, выполненное пользователем. Это значение соответствует действиям, выбранным в раскрывающемся списке "Действия". Для события из журнала аудита действий администратора Exchange значение в этом столбце представляет собой командлет Exchange.
• Элемент. Объект, созданный или измененный в результате соответствующего действия. Это может быть, например, просмотренный или измененный файл либо обновленная учетная запись пользователя. Значения в этом столбце отображаются не для всех действий.
• Сведения. Дополнительные сведения о действии. И в этом случае не у всех действий имеется значение.

Шаг 3. Фильтрация результатов поиска

Примечание.

В течение ограниченного времени этот классический интерфейс обнаружения электронных данных также доступен на новом портале Microsoft Purview. Включите классический интерфейс eDiscovery портала соответствия требованиям в параметрах интерфейса обнаружения электронных данных (предварительная версия) для отображения классического интерфейса на новом портале Microsoft Purview.

Помимо сортировки результатов поиска по журналу аудита, их также можно отфильтровать. Это поможет быстро отфильтровать результаты для конкретного пользователя или действия.

Чтобы отфильтровать результаты, выполните указанные ниже действия.

1. Создайте и выполните поиск по журналам аудита.

2. Когда результаты отобразятся, выберите Фильтр результатов.

3. Под заголовком каждого столбца приводятся поля ключевых слов.

4. Выберите одно из полей под заголовком столбца и введите слово или фразу в зависимости от столбца, по который выполняется фильтрация. Результаты автоматически изменятся в соответствии с условием фильтра.

5. Чтобы очистить фильтр, выберите X в поле фильтра или просто выберите Скрыть фильтрацию.

Экспорт результатов поиска в файл

Примечание.

В течение ограниченного времени этот классический интерфейс обнаружения электронных данных также доступен на новом портале Microsoft Purview. Включите классический интерфейс eDiscovery портала соответствия требованиям в параметрах интерфейса обнаружения электронных данных (предварительная версия) для отображения классического интерфейса на новом портале Microsoft Purview.

Результаты поиска в журнале аудита можно экспортировать в CSV-файл на локальном компьютере. Этот файл можно открыть в Microsoft Excel и использовать такие функции, как поиск, сортировка, фильтрация и разделение одного столбца (который содержит ячейки с несколькими значениями) на несколько столбцов.

1. Выполните поиск по журналу аудита, а затем изменяйте условия поиска, пока не получите нужные результаты.

2. Выберите Экспорт результатов и выберите один из следующих параметров:

   • Сохраните загруженные результаты: Выберите этот параметр, чтобы экспортировать только те записи, которые отображаются в разделе Результаты на странице поиска в журнале аудита хранителя . Скачанный CSV-файл содержит те же столбцы (и данные), которые отображаются на странице ("Дата", "Пользователь", "Действие", "Элемент" и "Сведения"). В CSV-файл включен дополнительный столбец ( Далее), содержащий дополнительные сведения из записи журнала аудита. Так как вы экспортируете результаты, загруженные (и доступные для просмотра) на странице Поиск в журнале аудита, экспортируется не более 5000 записей.

   • Скачайте все результаты: Выберите этот параметр, чтобы экспортировать все записи из журнала аудита, соответствующие условиям поиска. Для большого набора результатов поиска выберите этот параметр, чтобы скачать все записи из журнала аудита в дополнение к 5000 результатов, которые можно отобразить на странице поиска в журнале аудита хранителя . Этот параметр скачивает необработанные данные из журнала аудита в CSV-файл и содержит дополнительные сведения из записи журнала аудита в столбце AuditData. При выборе этого варианта экспорта скачивание файла может занять больше времени, так как файл может быть гораздо больше скачиваемого при выборе первого варианта.

     Важно!

     В CSV-файл можно загрузить до 50 000 записей результатов одной операции поиска по журналу аудита. Если в CSV-файл загружено 50 000 записей, можно предположить, что условиям поиска соответствует более 50 000 событий. Чтобы обойти это ограничение и экспортировать больше записей, попробуйте указать диапазон дат, позволяющий сократить количество записей из журнала. Чтобы экспортировать больше 50 000 записей, вы можете выполнить поиск несколько раз со смежными диапазонами дат.

3. После выбора параметра экспорта в нижней части окна появится сообщение с предложением открыть CSV-файл, сохранить его в папке Загрузки или сохранить в определенной папке.

Дополнительные сведения о просмотре, фильтрации или экспорте результатов поиска в журнале аудита см. в разделе Поиск в журнале аудита.