Zoeken in het auditlogboek in de Microsoft Purview-complianceportal
Wilt u weten of een gebruiker een bepaald document heeft bekeken of een item uit zijn of haar postvak heeft verwijderd? Als dit het geval is, kunt u in het geïntegreerde auditlogboek van de Microsoft Purview-complianceportal zoeken om gebruikers- en beheerdersactiviteiten in uw organisatie te bekijken. Duizenden bewerkingen door gebruikers en beheerders die in tientallen Microsoft 365-services en -oplossingen worden uitgevoerd, worden vastgelegd, vastgelegd en bewaard in het geïntegreerde auditlogboek van uw organisatie. Gebruikers in uw organisatie kunnen zoeken in het auditlogboek om de auditrecords voor deze bewerkingen te zoeken, te bekijken en te exporteren (naar een CSV-bestand).
Tip
Als u geen E5-klant bent, gebruikt u de 90-daagse proefversie van Microsoft Purview-oplossingen om te verkennen hoe aanvullende Purview-mogelijkheden uw organisatie kunnen helpen bij het beheren van gegevensbeveiliging en nalevingsbehoeften. Begin nu bij de hub Microsoft Purview-nalevingsportal proefversies. Meer informatie over registratie- en proefvoorwaarden.
Microsoft 365-services die audit ondersteunen
Wat is het doel van een geïntegreerd auditlogboek? Omdat u in het auditlogboek kunt zoeken naar activiteiten die zijn uitgevoerd in verschillende Microsoft 365-services. De volgende tabel bevat de Microsoft 365-services en -functies die worden ondersteund door het geïntegreerde auditlogboek.
| Microsoft 365-service of -functie | Recordtypen |
|---|---|
| Azure Active Directory | AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon |
| Azure Information Protection | AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat |
| Communicatiecompliance | ComplianceSupervisionExchange |
| Inhoudsverkenner | LabelContentExplorer |
| Gegevensconnectors | ComplianceConnector |
| Preventie van gegevensverlies (DLP) | ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint |
| Dynamics 365 | CRM |
| eDiscovery (Standard + Premium) | Discovery, AeD |
| Exacte gegevensmatch | MipExactDataMatch |
| Exchange Online | ExchangeAdmin, ExchangeItem, ExchangeItemAggregated |
| Forms | MicrosoftForms |
| Informatiebarrières | InformationBarrierPolicyApplication |
| Microsoft 365 Defender | AirInvestigation, AirManualInvestigation, AirAdminActionInvestigation, MS365DCustomDetection |
| Microsoft Defender for Identity (MDI) | MicrosoftDefenderForIdentityAudit |
| Microsoft Teams | MicrosoftTeams |
| MyAnalytics | MyAnalyticsSettings |
| OneDrive voor Bedrijven | OneDrive |
| Power Apps | PowerAppsApp, PowerAppsPlan |
| Power Automate | MicrosoftFlow |
| Power BI | PowerBIAudit |
| Quarantaine | Quarantaine |
| mip-labels (Microsoft Purview Informatiebeveiliging) | MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation |
| Gevoelige informatietypen | DlpSensitiveInformationType |
| Gevoeligheidslabels | MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch |
| Portal voor versleutelde berichten | OMEPortal |
| SharePoint Online | SharePoint, SharePointFileOperation,SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation |
| Stream | MicrosoftStream |
| Bedreigingsinformatie | ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent |
| Viva Goals | Viva Goals |
| Workplace Analytics | WorkplaceAnalytics |
| Yammer | Yammer |
| SystemSync | DataShareCreated, DataShareDeleted, GenerateCopyOfLakeData, DownloadCopyOfLakeData |
Zie het artikel Activiteiten in auditlogboek voor meer informatie over de bewerkingen die worden gecontroleerd in elk van de services die in de vorige tabel worden vermeld.
In de vorige tabel wordt ook de recordtypewaarde aangegeven die moet worden gebruikt om in het auditlogboek te zoeken naar activiteiten in de bijbehorende service met behulp van de Search-UnifiedAuditLog-cmdlet in Exchange Online PowerShell of met behulp van een PowerShell-script. Sommige services hebben meerdere recordtypen voor verschillende soorten activiteiten binnen dezelfde service. Ga voor een completere lijst met controlerecordtypen naarOffice 365 Management Activity-API-schema.
Ga voor meer informatie over het gebruik van PowerShell om het auditlogboek te doorzoeken:
Vereisten voor het doorzoeken van het auditlogboek
Controleer de volgende items voordat u het auditlogboek gaat doorzoeken.
Zoeken in auditlogboek is standaard ingeschakeld voor organisaties met Microsoft 365 en Office 365 Enterprise. Als u wilt controleren of zoeken in auditlogboeken is ingeschakeld, kunt u de volgende opdracht uitvoeren in Exchange Online PowerShell:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabledDe waarde van
Truevoor de eigenschap UnifiedAuditLogIngestionEnabled geeft aan dat zoeken in auditlogboek is ingeschakeld. Voor meer informatie, zie Zoeken in auditlogboeken in- of uitschakelen.Belangrijk
Zorg ervoor dat u de vorige opdracht uitvoert in Exchange Online PowerShell. Hoewel de cmdlet Get-AdminAuditLogConfig ook beschikbaar is in PowerShell voor beveiligingsnaleving & , is de eigenschap UnifiedAuditLogIngestionEnabled altijd
False, zelfs wanneer zoeken in auditlogboeken is ingeschakeld.U moet de rol Alleen-weergeven auditlogboeken of Auditlogboeken toegewezen krijgen in Exchange Online om het auditlogboek te doorzoeken. Deze rollen worden standaard toegewezen aan de rollengroepen Compliancebeheer en Organisatiebeheer op de pagina Machtigingen in het Exchange-beheercentrum. Globale beheerders in Office 365 en Microsoft 365 worden automatisch toegevoegd als leden van de rollengroep Organisatiebeheer in Exchange Online. Als u een gebruiker de mogelijkheid wilt geven om in het auditlogboek te zoeken met het minimale bevoegdheidsniveau, kunt u een aangepaste rollengroep maken in Exchange Online, de rol Alleen-weergeven auditlogboeken of Auditlogboeken toevoegen en vervolgens de gebruiker toevoegen als lid van de nieuwe rollengroep. Zie voor meer informatie Rollengroepen beheren in Exchange Online.
Als u aan gebruikers de rol Audit-logboeken alleen-weergeven of Audit-logboeken toevoegen toewijst op de pagina Machtigingen in de complianceportal, kunnen ze het auditlogboek niet doorzoeken. U moet deze machtigingen toewijzen in Exchange Online. Dat komt omdat de onderliggende cmdlet voor het doorzoeken van het auditlogboek een Exchange Online-cmdlet is.
Wanneer een gecontroleerde activiteit wordt uitgevoerd door een gebruiker of beheerder, wordt een auditrecord gegenereerd en opgeslagen in het auditlogboek voor uw organisatie. De tijdsduur dat een auditrecord wordt bewaard (en doorzoekbaar is in het auditlogboek) is afhankelijk van uw Office 365- of Microsoft 365 Enterprise-abonnement, en specifiek het type licentie dat aan specifieke gebruikers is toegewezen.
Voor gebruikers waaraan een Office 365 E5- of Microsoft 365 E5-licentie is toegewezen (of gebruikers met een Microsoft 365 E5 Compliance- of Microsoft 365 E5 eDiscovery en Audit invoeglicentie), worden auditrecords voor Azure Active Directory-, Exchange- en SharePoint-activiteit standaard bewaard voor één jaar. Organisaties kunnen ook een bewaarbeleid voor auditlogboeken opstellen om auditrecords voor activiteiten in andere services maximaal een jaar te bewaren. Zie voor meer informatie Bewaarbeleid voor auditlogboeken beheren.
Opmerking
Als uw organisatie heeft deelgenomen aan het private preview-programma voor het één jaar bewaren van auditrecords, wordt de bewaartermijn voor auditrecords die zijn gegenereerd vóór de implementatiedatum voor algemene beschikbaarheid niet opnieuw ingesteld.
Voor gebruikers waaraan een andere (niet-E5) Office 365- of Microsoft 365-licentie is toegewezen, worden auditrecords 90 dagen bewaard. Zie de servicebeschrijving van de beveiligings- en complianceportal voor een lijst met Office 365- en Microsoft 365-abonnementen die ondersteuning bieden voor geïntegreerde auditlogboekregistratie.
Opmerking
Zelfs wanneer postvakcontrole standaard is ingeschakeld, ziet u mogelijk dat postvakcontrolegebeurtenissen voor sommige gebruikers niet worden gevonden in zoekopdrachten in auditlogboeken in de complianceportal of via de Office 365 Management Activity API. Zie ook Meer informatie over controlelogboekregistratie van postvakken.
Als u zoeken in auditlogboeken wilt uitschakelen voor uw organisatie, kunt u de volgende opdracht uitvoeren in Exchange Online PowerShell:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $falseAls u het zoeken in auditlogboeken opnieuw wilt inschakelen, kunt u de volgende opdracht uitvoeren in Exchange Online PowerShell:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $trueZie Zoeken in auditlogboeken uitschakelen voor meer informatie.
De onderliggende cmdlet die wordt gebruikt om het auditlogboek te doorzoeken, is een Exchange Online cmdlet, namelijk Search-UnifiedAuditLog. Dat betekent dat u deze cmdlet kunt gebruiken om in het auditlogboek te zoeken in plaats van het zoekprogramma op de Audit-pagina in de complianceportal. U moet deze cmdlet uitvoeren in Exchange Online PowerShell. Zie Search-UnifiedAuditLog voor meer informatie.
Voor informatie over het exporteren van de zoekresultaten die zijn geretourneerd door de Search-UnifiedAuditLog-cmdlet naar een CSV-bestand, zie de sectie 'Tips voor het exporteren en bekijken van het auditlogboek' in Auditlogboekrecords exporteren, configureren en weergeven.
Als u via programmacode gegevens uit het auditlogboek wilt downloaden, raden we aan de Office 365 Management Activity-API te gebruiken in plaats van een PowerShell-script. De Office 365 Management Activity-API is een REST-webservice waarvan u gebruik kunt maken om voor uw organisatie oplossingen te ontwikkelen voor activiteiten, beveiliging en nalevingscontrole. Zie Office 365 Management Activity-API-referentie voor meer informatie.
Azure Active Directory (Azure AD) is de directoryservice die wordt gebruikt voor Microsoft 365. Het geïntegreerde auditlogboek bevat activiteiten van gebruikers, groepen, toepassingen, domeinen en adreslijsten die in het Microsoft 365-beheercentrum of in de Azure-beheerportal zijn uitgevoerd. Zie Azure Active Directory-auditrapportgebeurtenissen voor een volledige lijst met Azure AD-gebeurtenissen.
Na een gebeurtenis garandeert Microsoft geen specifiek tijdstip waarop de bijbehorende auditrecord zichtbaar wordt in de resultaten van Zoeken in auditlogboek. Voor kernservices (zoals Exchange, SharePoint, OneDrive en Teams) zijn auditrecords doorgaans beschikbaar binnen 60 tot 90 minuten na een gebeurtenis. Voor andere services kan het langer duren voordat de auditrecords beschikbaar zijn. Sommige problemen die niet kunnen worden voorkomen (zoals een serverstoring), kunnen zich echter buiten de auditservice voordoen, waardoor het langer duurt voordat de auditrecords beschikbaar zijn. Daarom verbindt Microsoft zich niet aan een bepaald tijdstip.
Auditlogboekregistratie voor Power BI is niet standaard ingeschakeld. Om naar Power BI-activiteiten te zoeken in het auditlogboek, moet u de controlefunctie in het beheerportal van Power BI inschakelen. Zie de sectie Auditlogboeken in Power BI-beheerportal.
Zoeken in het auditlogboek
Dit is het proces voor het zoeken in het auditlogboek in Microsoft 365.
- Stap 1: Een zoekopdracht in het auditlogboek uitvoeren
- Stap 2: De zoekresultaten bekijken
- Stap 3: de zoekresultaten exporteren naar een bestand
Stap 1: Een zoekopdracht in het auditlogboek uitvoeren
Ga naar https://compliance.microsoft.com en meld u aan.
Tip
Gebruik een privé browsesessie (geen gewone sessie) om toegang te krijgen tot de complianceportal, zodat hierdoor de referenties waarmee u momenteel bent aangemeld, niet worden gebruikt. Druk op Ctrl+Shift+N om een InPrivate-browsingsessie te openen in Microsoft Edge of een privé-browsingsessie in Google Chrome (een incognitovenster genoemd).
Selecteer audit in het linkerdeelvenster van de complianceportal.
De paginaAudit wordt weergegeven.
Opmerking
Als de koppeling Beginnen met het opnemen van gebruikers- en beheerdersactiviteiten wordt weergegeven, selecteert u deze om controle in te schakelen. Als u deze koppeling niet ziet, is controle al ingeschakeld voor uw organisatie.
Configureer de volgende zoekcriteria op het tabblad Zoeken:
- Begindatum en Einddatum: standaard worden de laatste zeven dagen geselecteerd. Selecteer een bereik voor de datum en tijd om de gebeurtenissen weer te geven die in die periode hebben plaatsgevonden. De datum en tijd worden weergegeven in Coordinated Universal Time (UTC). Het grootste datumbereik dat u kunt opgeven is 90 dagen. Er wordt een fout weergegeven als het geselecteerde datumbereik groter is dan 90 dagen.
Tip
Als u het maximum datumbereik van 90 dagen gebruikt, selecteert u het huidige tijdstip voor Begindatum. Anders krijgt u de foutmelding dat de begindatum eerder is dan de einddatum. Als u de controle de afgelopen 90 dagen hebt ingeschakeld, kan het maximum datumbereik niet beginnen vóór de datum waarop de controle is ingeschakeld.
Activiteiten: selecteer de vervolgkeuzelijst om de activiteiten weer te geven waarnaar u kunt zoeken. Activiteiten van gebruikers en beheerders staan gerangschikt in groepen met gerelateerde activiteiten. U kunt specifieke activiteiten selecteren of u kunt de naam van de activiteitsgroep selecteren om alle activiteiten in de groep te selecteren. U kunt ook een geselecteerde activiteit selecteren om de selectie te wissen. Als u de zoekopdracht hebt uitgevoerd, worden alleen de vermeldingen in het auditlogboek voor de geselecteerde activiteiten weergegeven. Als u Resultaten tonen voor alle activiteiten selecteert, worden de resultaten weergegeven voor alle activiteiten die zijn uitgevoerd door de geselecteerde gebruiker of groep gebruikers.
Er worden meer dan honderd activiteiten van gebruikers en beheerders in het auditlogboek vastgelegd. Selecteer het tabblad Gecontroleerde activiteiten in het artikel van dit artikel om de beschrijvingen van elke activiteit in elk van de verschillende services te bekijken.Gebruikers: selecteer in dit vak en selecteer vervolgens een of meer gebruikers waarvoor u zoekresultaten wilt weergeven. De vermeldingen in het auditlogboek voor de geselecteerde activiteit die is uitgevoerd door de gebruikers die u in dit vak selecteert, worden in de lijst met resultaten weergegeven. Laat dit vak leeg als u vermeldingen wilt zien voor alle gebruikers (en serviceaccounts) in uw organisatie.
Bestand, map of site: typ de naam (of een gedeelte ervan) van het bestand of de map om te zoeken naar activiteit met betrekking tot dat bestand of die map die het opgegeven trefwoord bevat. U kunt ook een URL van een bestand of map opgeven. Als u een URL gebruikt, moet u ervoor zorgen dat het volledige URL-pad wordt getypt of dat als u een deel van de URL typt, geen speciale tekens of spaties bevat (het gebruik van het jokerteken (*) wordt echter ondersteund).
Laat dit vak leeg als u vermeldingen wilt zien voor alle bestanden en mappen in uw organisatie.
Tip
Als u op zoek bent naar alle activiteiten die betrekking hebben op een site, voegt u het jokerteken (*) toe na de URL om alle vermeldingen voor die site te retourneren; bijvoorbeeld
"https://contoso-my.sharepoint.com/personal*".Als u op zoek bent naar alle activiteiten met betrekking tot een bestand, voegt u het jokerteken (*) toe vóór de bestandsnaam om alle vermeldingen voor dat bestand te retourneren; bijvoorbeeld
"*Customer_Profitability_Sample.csv".
Selecteer Zoeken om de zoekopdracht uit te voeren op basis van uw zoekcriteria.
De zoekresultaten worden geladen en na enkele ogenblikpen worden ze weergegeven op een nieuwe pagina. Wanneer de zoekopdracht is voltooid, wordt het aantal gevonden resultaten weergegeven. Er worden maximaal 50.000 gebeurtenissen weergegeven in stappen van 150 gebeurtenissen. Als meer dan 50.000 gebeurtenissen voldoen aan de zoekcriteria, worden alleen de 50.000 niet-gesorteerde gebeurtenissen weergegeven.
Tips voor het zoeken in het auditlogboek
U kunt specifieke activiteiten selecteren waarnaar u wilt zoeken door de naam van de activiteit te selecteren. U kunt ook zoeken naar alle activiteiten in een groep (zoals bestands- en mapactiviteiten) door de groepsnaam te selecteren. Als een activiteit is geselecteerd, kunt u deze selecteren om de selectie te annuleren. U kunt ook het zoekvak gebruiken om de activiteiten weer te geven die het trefwoord bevatten dat u typt.
Selecteer Resultaten tonen voor alle activiteiten in de lijst Activiteiten om vermeldingen uit het auditlogboek van de Exchange-beheerder weer te geven. Gebeurtenissen uit dit auditlogboek geven een cmdlet-naam weer (bijvoorbeeld Set-Mailbox) in de kolom Activiteit van de resultaten. Selecteer voor meer informatie het tabblad Gecontroleerde activiteiten in dit artikel en selecteer vervolgens Exchange-beheerdersactiviteiten.
Op dezelfde manier zijn er enkele controleactiviteiten waarvoor geen overeenkomstig item in de Activiteitenlijst staat. Als u de naam van de bewerking voor deze activiteiten weet, kunt u zoeken naar alle activiteiten, vervolgens de bewerkingen filteren nadat u de zoekresultaten hebt geëxporteerd naar een CSV-bestand.
Selecteer Wissen om de huidige zoekcriteria te wissen. Het datumbereik wordt weer terug ingesteld op de standaardwaarde van de afgelopen zeven dagen. U kunt ook Alles wissen selecteren om resultaten weer te geven voor alle activiteiten om alle geselecteerde activiteiten te annuleren.
Als er 50.000 resultaten worden gevonden, kunt u aannemen dat er meer dan 50.000 gebeurtenissen zijn die aan de zoekcriteria voldoen. U kunt de zoekcriteria verfijnen en de zoekopdracht opnieuw uitvoeren om minder resultaten te retourneren, of u kunt de 50.000 zoekresultaten exporteren door Resultaten> exporterenAlle resultaten downloaden te selecteren.
Stap 2: de zoekresultaten bekijken
De resultaten van een zoekopdracht in een auditlogboek worden weergegeven onder Resultaten op de pagina Zoeken in het auditlogboek. Zoals eerder vermeld, worden maximaal 50.000 (nieuwste) gebeurtenissen weergegeven in stappen van 150 gebeurtenissen. Gebruik de schuifbalk of druk op Shift + End om de volgende 150 gebeurtenissen weer te geven.
De resultaten bevatten de volgende informatie over alle gebeurtenissen die door de zoekopdracht worden geretourneerd:
Datum: de datum en tijd (in UTC) waarop de gebeurtenis heeft plaatsgevonden.
IP-adres: het IP-adres van het apparaat dat is gebruikt toen de activiteit in het logboek werd vastgelegd. Het IP-adres wordt weergegeven in een IPv4- of IPv6-adresindeling.
Opmerking
Voor sommige services is de waarde die in dit veld wordt weergegeven mogelijk het IP-adres van een vertrouwde applicatie (bijvoorbeeld Office op the web-apps) die namens een gebruiker de service aanroept en niet het IP-adres van het apparaat dat is gebruikt door een persoon die de activiteit heeft uitgevoerd. Voor beheeractiviteiten (of activiteiten die door een systeemaccount worden uitgevoerd) voor Azure Active Directory-gerelateerde gebeurtenissen wordt het IP-adres ook niet geregistreerd en is de waarde die in dit veld wordt weergegeven,
null.Gebruiker: de gebruiker (of serviceaccount) die de actie heeft uitgevoerd die de gebeurtenis heeft veroorzaakt.
Activiteit: de activiteit die door de gebruiker is uitgevoerd. Deze waarde komt overeen met de activiteiten die u hebt geselecteerd in de vervolgkeuzelijst Activiteiten. Voor een gebeurtenis uit het auditlogboek voor Exchange-beheerders is de waarde in deze kolom een Exchange-cmdlet.
Item: het object dat is gemaakt of gewijzigd als gevolg van de bijbehorende activiteit. Bijvoorbeeld het bestand dat is bekeken of gewijzigd of het gebruikersaccount dat is bijgewerkt. Niet alle activiteiten hebben een waarde in deze kolom.
Detailgegevens: aanvullende informatie over een activiteit. Nogmaals, niet alle activiteiten hebben een waarde.
Tip
Selecteer een kolomkop onder Resultaten om de resultaten te sorteren. U kunt de resultaten sorteren van A tot Z of van Z naar A. Selecteer de kop Datum om de resultaten van oud naar nieuw of van nieuw naar oud te sorteren.
De details van een bepaalde gebeurtenis weergeven
U kunt meer informatie over een gebeurtenis bekijken door de gebeurtenisrecord te selecteren in de lijst met zoekresultaten. Er wordt een flyoutpagina weergegeven die de gedetailleerde eigenschappen van de gebeurtenisrecord bevat. De eigenschappen die worden weergegeven, zijn afhankelijk van de service waarin de gebeurtenis plaatsvindt.
Stap 3: de zoekresultaten exporteren naar een bestand
U kunt de resultaten van een zoekopdracht in een auditlogboek exporteren naar een door komma's gescheiden bestand (CSV) op uw lokale computer. U kunt dit bestand in Microsoft Excel openen en functies gebruiken als zoeken, sorteren, filteren en één kolom (die meerdere eigenschappen bevat) splitsen in meerdere kolommen.
Voer een zoekopdracht in een auditlogboek uit en pas de zoekcriteria aan tot u de gewenste resultaten hebt.
Selecteer op de pagina met zoekresultaten de optie Alleresultatendownloaden>.
Alle vermeldingen uit het auditlogboek die voldoen aan de zoekcriteria die zijn geëxporteerd naar een CSV-bestand. De onbewerkte gegevens uit het auditlogboek worden opgeslagen in een CSV-bestand. Aanvullende informatie uit de vermelding in het auditlogboek is opgenomen in een kolom met de naam AuditData in de CSV.
Belangrijk
U kunt maximaal 50.000 vermeldingen (als gevolg van één zoekopdracht) in een CSV-bestand downloaden. Als er 50.000 resultaten in het CSV-bestand zijn gedownload, kunt u aannemen dat er meer dan 50.000 gebeurtenissen zijn die aan de zoekcriteria voldoen. Als u meer wilt exporteren, kunt u een datumbereik kiezen om het aantal vermeldingen in het auditlogboek te verminderen. Mogelijk moet u meerdere zoekopdrachten uitvoeren met kleinere datumbereiken als u meer dan 50.000 vermeldingen wilt exporteren.
Nadat het exportproces is voltooid, wordt bovenaan het venster een bericht weergegeven waarin u wordt gevraagd het CSV-bestand te openen en op uw lokale computer op te slaan. U hebt ook toegang tot het CSV-bestand in de map Downloads.
Meer informatie over het exporteren en weergeven van zoekresultaten vanuit het auditlogboek
Wanneer u alle zoekresultaten downloadt, bevat het CSV-bestand de kolommen CreationDate, UserIds, Operationsen AuditData. De kolom AuditData bevat aanvullende informatie over elke gebeurtenis (vergelijkbaar met de gedetailleerde informatie die wordt weergegeven op de flyoutpagina wanneer u de zoekresultaten in het compliancecentrum bekijkt). De gegevens in deze kolom bestaan uit een JSON-object dat meerdere eigenschappen uit de auditlogboekrecord bevat. Elke eigenschap:waarde-paar in het JSON-object wordt gescheiden door een komma. U kunt het transformatiehulpmiddel JSON in Power Query Editor in Excel gebruiken om de AuditData-kolom te splitsen in meerdere kolommen, zodat elke eigenschap in het JSON-object een eigen kolom heeft. Hiermee kunt u sorteren en filteren op een of meer van deze eigenschappen. Zie Auditlogboekrecords exporteren, configureren en weergeven voor stapsgewijze instructies voor de Power Query Editor om het JSON-object te transformeren.
Na het splitsen van de kolom AuditData kunt u filteren op de kolom Bewerkingen als u de gedetailleerde eigenschappen voor een bepaald type activiteit wilt weergeven.
Als u alle resultaten hebt gedownload van een zoekopdracht die bestaat uit de gebeurtenissen van verschillende services, dan bevat de kolom AuditData in het CSV-bestand verschillende eigenschappen, afhankelijk van de service waarmee de actie is uitgevoerd. Vermeldingen uit bijvoorbeeld Exchange- en Microsoft Azure AD-auditlogboeken bevatten de eigenschap ResultStatus. Hiermee wordt aangegeven of de actie al dan niet is geslaagd. Deze eigenschap is niet opgenomen voor gebeurtenissen in SharePoint. Op dezelfde manier hebben SharePoint-gebeurtenissen een eigenschap waarmee de site-URL wordt aangegeven voor activiteiten in verband met bestanden en mappen. Als u dit gedrag wilt beperken, kunt u verschillende zoekopdrachten uitvoeren om de resultaten voor activiteiten van één service te exporteren.
Zie Gedetailleerde eigenschappen in het auditlogboek voor een beschrijving van veel eigenschappen die staan vermeld in de kolom AuditData van het CSV-bestand bij het downloaden van alle resultaten, en de service waartoe ze behoren.
Veelgestelde vragen
Wat zijn de verschillende Microsoft 365-services die momenteel worden gecontroleerd?
De meest gebruikte services, zoals Exchange Online, SharePoint Online, OneDrive voor Bedrijven, Azure Active Directory, Microsoft Teams, Dynamics 365, Defender voor Office 365 en Power BI, worden gecontroleerd. Zie het begin van dit artikel voor een lijst met services die worden gecontroleerd.
Welke activiteiten worden gecontroleerd door de controleservice in Microsoft 365?
Zie het artikel Activiteiten in auditlogboek voor een lijst en beschrijving van de activiteiten die worden gecontroleerd.
Hoe lang duurt het voordat een controlerecord beschikbaar is nadat een gebeurtenis is opgetreden?
De meeste controlegegevens zijn binnen 60-90 minuten beschikbaar, maar het kan tot 24 uur duren nadat een gebeurtenis is opgetreden voordat de bijbehorende vermelding in het auditlogboek in de zoekresultaten wordt weergegeven. Zie de sectie Voordat u in het auditlogboek van dit artikel zoekt, waarin wordt weergegeven hoe lang het duurt voordat gebeurtenissen in de verschillende services beschikbaar zijn.
Hoe lang worden de controlerecords bewaard?
Zoals eerder uitgelegd, worden controlerecords voor activiteiten die zijn uitgevoerd door gebruikers met een Office 365 E5- of Microsoft E5-licentie (of gebruikers met een invoeglicentie voor Microsoft 365 E5) voor één jaar bewaard. Voor alle andere abonnementen die geïntegreerde controlelogregistratie ondersteunen, worden controlerecords 90 dagen bewaard.
Heb ik via een programma toegang tot de controlegegevens?
Ja. De Office 365 Management Activity-API wordt gebruikt om de auditlogboeken via een programma op te halen. Zie voor meer informatie Aan de slag met Beheer-API's van Office 365.
Zijn er andere manieren om controlelogboeken te vinden, anders dan met behulp van het beveiligings- en compliancecentrum of de Office 365 Management Activity-API?
Ja, u kunt auditlogboeken ophalen met behulp van de volgende methoden:
- De Office 365 Management Activity-API.
- Het hulpprogramma voor het zoeken in auditlogboeken in de Microsoft Purview-complianceportal.
- De cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell.
Moet ik de controle individueel inschakelen voor elke service waar ik auditlogboeken voor wil vastleggen?
In de meeste services is controle standaard ingeschakeld nadat u in eerste instantie de controle voor uw organisatie hebt ingeschakeld (zoals wordt beschreven in de sectie Vereisten voor het doorzoeken van het auditlogboek in dit artikel).
Biedt de controleservice ondersteuning voor ontdubbelen van records?
Nee. De auditservicepijplijn is in realtime en kan daarom geen ondersteuning bieden voor duplicatie.
Waar worden controlegegevens opgeslagen?
Er zijn momenteel controleimplementaties voor pijplijnen in de regio's NA (Noord-Amerika), EMEA (Europa, het Midden-Oosten en Afrika) en APAC (Azië en Stille Oceaan). Tenants die in deze regio's zijn gevestigd, hebben hun controlegegevens opgeslagen in de regio. Voor tenants met meerdere geografische gebieden worden de auditgegevens die zijn verzameld uit alle regio's van de tenant, alleen opgeslagen in de thuisregio van de tenant. Het is echter mogelijk dat de gegevens alleen tijdens problemen met de livesite over deze gebieden worden verdeeld voor taakverdeling. Wanneer we deze activiteiten uitvoeren, worden de gegevens die worden verzonden versleuteld.
Zijn controlegegevens versleuteld?
Controlegegevens worden opgeslagen in Exchange-postvakken (in opgeslagen gegevens) in dezelfde regio waar de geïntegreerde controlepijplijn is geïmplementeerd. Postvakgegevens in rust worden niet versleuteld door Exchange. Met versleuteling op serviceniveau worden echter alle postvakgegevens versleuteld, omdat Exchange-servers in Microsoft-datacenters zijn versleuteld via BitLocker. Zie voor meer informatie Microsoft 365-versleuteling voor Skype voor Bedrijven, OneDrive voor Bedrijven, SharePoint Online en Exchange Online.
E-mailgegevens die onderweg zijn, worden altijd versleuteld.