Przeszukiwanie dziennika inspekcji w portalu zgodności

  • Artykuł
  • Czas czytania: 17 min

Czy chcesz sprawdzić, czy użytkownik wyświetlił określony dokument, czy oczyścił element ze swojej skrzynki pocztowej? Jeśli tak, możesz użyć narzędzia do wyszukiwania dzienników inspekcji w portal zgodności Microsoft Purview, aby przeszukać ujednolicony dziennik inspekcji, aby wyświetlić aktywność użytkowników i administratorów w organizacji. Tysiące operacji użytkowników i administratorów wykonywanych w dziesiątkach usług i rozwiązań platformy Microsoft 365 jest przechwytywanych, rejestrowanych i przechowywanych w ujednoliconym dzienniku inspekcji organizacji. Użytkownicy w organizacji mogą używać narzędzia do wyszukiwania dzienników inspekcji, aby wyszukiwać, wyświetlać i eksportować (do pliku CSV) rekordy inspekcji dla tych operacji.

Porada

Jeśli nie jesteś klientem E5, skorzystaj z 90-dniowej wersji próbnej rozwiązań Microsoft Purview, aby dowiedzieć się, w jaki sposób dodatkowe możliwości usługi Purview mogą pomóc organizacji w zarządzaniu potrzebami w zakresie zabezpieczeń danych i zgodności. Rozpocznij teraz w centrum portal zgodności Microsoft Purview Trials Hub. Dowiedz się więcej o warunkach rejestracji i wersji próbnej.

Usługi platformy Microsoft 365 obsługujące inspekcję

Dlaczego ujednolicony dziennik inspekcji? Ponieważ w dzienniku inspekcji można wyszukiwać działania wykonywane w różnych usługach platformy Microsoft 365. W poniższej tabeli wymieniono usługi i funkcje platformy Microsoft 365, które są obsługiwane przez ujednolicony dziennik inspekcji.

Usługa lub funkcja platformy Microsoft 365 Typy rekordów
Azure Active Directory AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon
Azure Information Protection AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat
Zgodność w komunikacji ComplianceSupervisionExchange
Eksplorator zawartości LabelContentExplorer
Łączniki danych ComplianceConnector
Ochrona przed utratą danych (DLP) ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint
Dynamics 365 CRM
eDiscovery (Standard + Premium) Odnajdywanie, AeD
Dokładne dopasowanie danych MipExactDataMatch
Exchange Online ExchangeAdmin, ExchangeItem, ExchangeItemAggregated
Formularzy MicrosoftForms
Bariery informacyjne InformationBarrierPolicyApplication
Microsoft 365 Defender AirInvestigation, AirManualInvestigation, AirAdminActionInvestigation, MS365DCustomDetection
Microsoft Defender for Identity (MDI) MicrosoftDefenderForIdentityAudit
Microsoft Teams MicrosoftTeams
MyAnalytics MyAnalyticsSettings
OneDrive dla Firm OneDrive
Power Apps PowerAppsApp, PowerAppsPlan
Power Automate MicrosoftFlow
Power BI PowerBIAudit
Kwarantanna Kwarantanna
etykiety Microsoft Purview Information Protection (MIP) MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation
Typy informacji poufnych DlpSensitiveInformationType
Etykiety wrażliwości MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch
Zaszyfrowany portal wiadomości OMEPortal
SharePoint Online SharePoint, SharePointFileOperation,SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation
Stream MicrosoftStream
Analiza zagrożeń ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent
Viva Goals Viva Goals
Workplace Analytics WorkplaceAnalytics
Yammer Yammer
SystemSync DataShareCreated, DataShareDeleted, GenerateCopyOfLakeData, DownloadCopyOfLakeData

Aby uzyskać więcej informacji o operacjach, które są poddawane inspekcji w każdej z usług wymienionych w poprzedniej tabeli, zobacz artykuł Audit log activities (Działania dziennika inspekcji ).

W poprzedniej tabeli zidentyfikowano również wartość typu rekordu używaną do wyszukiwania w dzienniku inspekcji działań w odpowiedniej usłudze przy użyciu polecenia cmdlet Search-UnifiedAuditLog w programie Exchange Online programu PowerShell lub za pomocą skryptu programu PowerShell. Niektóre usługi mają wiele typów rekordów dla różnych typów działań w ramach tej samej usługi. Aby uzyskać bardziej kompletną listę typów rekordów inspekcji, zobacz schemat interfejsu API działania zarządzania Office 365.

Aby uzyskać więcej informacji na temat korzystania z programu PowerShell do przeszukiwania dziennika inspekcji, zobacz:

Przed przeszukaniem dziennika inspekcji

Przed rozpoczęciem przeszukiwania dziennika inspekcji przejrzyj następujące elementy.

  • Wyszukiwanie dzienników inspekcji jest domyślnie włączone dla platformy Microsoft 365 i Office 365 organizacji przedsiębiorstwa. Aby sprawdzić, czy wyszukiwanie dzienników inspekcji jest włączone, możesz uruchomić następujące polecenie w programie Exchange Online programu PowerShell:

    Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

    Wartość True właściwości UnifiedAuditLogIngestionEnabled wskazuje, że wyszukiwanie dziennika inspekcji jest włączone. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie wyszukiwania dzienników inspekcji.

    Ważna

    Pamiętaj, aby uruchomić poprzednie polecenie w programie Exchange Online programu PowerShell. Mimo że polecenie cmdlet Get-AdminAuditLogConfig jest również dostępne w programie PowerShell zgodności zabezpieczeń & , właściwość UnifiedAuditLogIngestionEnabled jest zawsze Falsewłączona nawet po włączeniu wyszukiwania dziennika inspekcji.

  • Musisz mieć przypisaną rolę Dzienniki inspekcji tylko do widoku lub Dzienniki inspekcji w Exchange Online, aby przeszukać dziennik inspekcji. Domyślnie te role są przypisywane do grup ról Zarządzanie zgodnością i Zarządzanie organizacją na stronie Uprawnienia w Centrum administracyjnym programu Exchange. Administratorzy globalni w Office 365 i microsoft 365 są automatycznie dodawani jako członkowie grupy ról Zarządzanie organizacją w Exchange Online. Aby umożliwić użytkownikowi przeszukiwanie dziennika inspekcji z minimalnym poziomem uprawnień, możesz utworzyć niestandardową grupę ról w Exchange Online, dodać rolę Dzienniki inspekcji tylko do wyświetlania lub Dzienniki inspekcji, a następnie dodać użytkownika jako członka nowej grupy ról. Aby uzyskać więcej informacji, zobacz Zarządzanie grupami ról w Exchange Online.

    Jeśli przypiszesz użytkownikowi rolę dzienników inspekcji lub dzienników inspekcji View-Only na stronie Uprawnienia w portalu zgodności, nie będzie mógł przeszukiwać dziennika inspekcji. Musisz przypisać uprawnienia w Exchange Online. Dzieje się tak, ponieważ podstawowe polecenie cmdlet używane do przeszukiwania dziennika inspekcji jest Exchange Online poleceniem cmdlet.

  • Gdy inspekcja działania jest wykonywana przez użytkownika lub administratora, rekord inspekcji jest generowany i przechowywany w dzienniku inspekcji organizacji. Czas, przez który rekord inspekcji jest przechowywany (i można go przeszukiwać w dzienniku inspekcji) zależy od twojej subskrypcji Office 365 lub Microsoft 365 Enterprise, a w szczególności od typu licencji przypisanej do określonych użytkowników.

    • W przypadku użytkowników, którzy mają przypisaną licencję Office 365 E5 lub Microsoft 365 E5 (lub użytkowników z Zgodność platformy Microsoft 365 E5 lub Microsoft 365 E5 Licencja dodatku zbierania elektronicznych materiałów dowodowych i inspekcji), rekordy inspekcji aktywności usługi Azure Active Directory, Exchange i SharePoint są domyślnie przechowywane przez jeden rok. Organizacje mogą również tworzyć zasady przechowywania dzienników inspekcji, aby zachować rekordy inspekcji dla działań w innych usługach przez okres do jednego roku. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami przechowywania dzienników inspekcji.

      Uwaga

      Jeśli Twoja organizacja uczestniczyła w programie prywatnej wersji zapoznawczej na potrzeby rocznego przechowywania rekordów inspekcji, czas przechowywania rekordów inspekcji wygenerowanych przed ogólną datą wdrożenia dostępności nie zostanie zresetowany.

    • W przypadku użytkowników, do których przypisano dowolną inną licencję (inną niż E5) Office 365 lub licencję platformy Microsoft 365, rekordy inspekcji są przechowywane przez 90 dni. Aby uzyskać listę Office 365 i subskrypcji platformy Microsoft 365 obsługujących ujednolicone rejestrowanie inspekcji, zobacz opis usługi portalu zabezpieczeń i zgodności.

      Uwaga

      Nawet jeśli domyślnie włączono inspekcję skrzynek pocztowych, można zauważyć, że zdarzenia inspekcji skrzynki pocztowej dla niektórych użytkowników nie są odnalezione podczas przeszukiwania dzienników inspekcji w portalu zgodności lub za pośrednictwem interfejsu API działania zarządzania Office 365. Aby uzyskać więcej informacji, zobacz Więcej informacji na temat rejestrowania inspekcji skrzynki pocztowej.

  • Jeśli chcesz wyłączyć wyszukiwanie dzienników inspekcji w organizacji, możesz uruchomić następujące polecenie w programie Exchange Online programu PowerShell:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    Aby ponownie włączyć wyszukiwanie inspekcji, możesz uruchomić następujące polecenie w programie Exchange Online programu PowerShell:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Aby uzyskać więcej informacji, zobacz Wyłączanie wyszukiwania dzienników inspekcji.

  • Podstawowym poleceniem cmdlet używanym do przeszukiwania dziennika inspekcji jest polecenie cmdlet Exchange Online, czyli Search-UnifiedAuditLog. Oznacza to, że można użyć tego polecenia cmdlet do przeszukiwania dziennika inspekcji zamiast używania narzędzia wyszukiwania na stronie Inspekcja w portalu zgodności. To polecenie cmdlet należy uruchomić w programie Exchange Online programie PowerShell. Aby uzyskać więcej informacji, zobacz Search-UnifiedAuditLog.

    Aby uzyskać informacje na temat eksportowania wyników wyszukiwania zwróconych przez polecenie cmdlet Search-UnifiedAuditLog do pliku CSV, zobacz sekcję "Porady dotyczące eksportowania i wyświetlania dziennika inspekcji" w temacie Eksportowanie, konfigurowanie i wyświetlanie rekordów dziennika inspekcji.

  • Jeśli chcesz programowo pobierać dane z dziennika inspekcji, zalecamy użycie interfejsu API działania zarządzania Office 365 zamiast skryptu programu PowerShell. Interfejs API działania zarządzania Office 365 to usługa internetowa REST, która umożliwia opracowywanie rozwiązań do monitorowania operacji, zabezpieczeń i zgodności dla organizacji. Aby uzyskać więcej informacji, zobacz dokumentację interfejsu API działania zarządzania Office 365.

  • Usługa Azure Active Directory (Azure AD) to usługa katalogowa dla platformy Microsoft 365. Ujednolicony dziennik inspekcji zawiera działania użytkownika, grupy, aplikacji, domeny i katalogu wykonywane w Centrum administracyjne platformy Microsoft 365 lub w portalu zarządzania platformy Azure. Aby uzyskać pełną listę zdarzeń Azure AD, zobacz Zdarzenia raportu inspekcji usługi Azure Active Directory.

  • Firma Microsoft nie gwarantuje określonego czasu po wystąpieniu zdarzenia, aby odpowiedni rekord inspekcji został zwrócony w wynikach wyszukiwania dziennika inspekcji. W przypadku usług podstawowych (takich jak Exchange, SharePoint, OneDrive i Teams) dostępność rekordów inspekcji jest zwykle od 60 do 90 minut po wystąpieniu zdarzenia. W przypadku innych usług dostępność rekordów inspekcji może być dłuższa. Jednak niektóre problemy, które są nieuniknione (takie jak awaria serwera) mogą wystąpić poza usługą inspekcji, która opóźnia dostępność rekordów inspekcji. Z tego powodu firma Microsoft nie zobowiązuje się do określonego czasu.

  • Rejestrowanie inspekcji dla usługi Power BI nie jest domyślnie włączone. Aby wyszukać działania usługi Power BI w dzienniku inspekcji, musisz włączyć inspekcję w portalu administracyjnym usługi Power BI. Aby uzyskać instrukcje, zobacz sekcję "Dzienniki inspekcji" w portalu administracyjnym usługi Power BI.

Przeszukaj dziennik inspekcji

Oto proces przeszukiwania dziennika inspekcji na platformie Microsoft 365.

  1. Przejdź do i https://compliance.microsoft.com zaloguj się.

    Porada

    Użyj prywatnej sesji przeglądania (nie zwykłej sesji), aby uzyskać dostęp do portalu zgodności, ponieważ uniemożliwi to użycie poświadczeń, za pomocą których aktualnie zalogowano się. Naciśnij klawisze CTRL+SHIFT+N , aby otworzyć sesję przeglądania InPrivate w przeglądarce Microsoft Edge lub prywatną sesję przeglądania w przeglądarce Google Chrome (nazywaną oknem incognito).

  2. W lewym okienku portalu zgodności wybierz pozycję Inspekcja.

    Zostanie wyświetlona strona Inspekcja .

    Skonfiguruj kryteria, a następnie wybierz pozycję Wyszukaj, aby uruchomić raport.

    Uwaga

    Jeśli zostanie wyświetlony link Rozpocznij rejestrowanie użytkownika i działania administratora , wybierz go, aby włączyć inspekcję. Jeśli nie widzisz tego linku, inspekcja jest włączona dla Twojej organizacji.

  3. Na karcie Wyszukiwanie skonfiguruj następujące kryteria wyszukiwania:

    1. Data rozpoczęcia i data zakończenia: domyślnie wybrano ostatnie siedem dni. Wybierz zakres dat i godzin, aby wyświetlić zdarzenia, które wystąpiły w tym okresie. Data i godzina są prezentowane w uniwersalnym czasie koordynowanym (UTC). Maksymalny zakres dat, który można określić, wynosi 90 dni. Jeśli wybrany zakres dat jest większy niż 90 dni, zostanie wyświetlony błąd.

    Porada

    Jeśli używasz maksymalnego zakresu dat wynoszącego 90 dni, wybierz bieżącą godzinę dla daty rozpoczęcia. W przeciwnym razie zostanie wyświetlony błąd informujący o tym, że data rozpoczęcia jest wcześniejsza niż data zakończenia. Jeśli inspekcja została włączona w ciągu ostatnich 90 dni, maksymalny zakres dat nie może rozpocząć się przed datą włączenia inspekcji.

    1. Działania: wybierz listę rozwijaną, aby wyświetlić działania, których można wyszukać. Działania użytkownika i administratora są zorganizowane w grupy powiązanych działań. Możesz wybrać określone działania lub wybrać nazwę grupy działań, aby wybrać wszystkie działania w grupie. Możesz również wybrać wybrane działanie, aby wyczyścić zaznaczenie. Po uruchomieniu wyszukiwania zostaną wyświetlone tylko wpisy dziennika inspekcji dla wybranych działań. Wybranie pozycji Pokaż wyniki dla wszystkich działań powoduje wyświetlenie wyników dla wszystkich działań wykonywanych przez wybranego użytkownika lub grupę użytkowników.

      W dzienniku inspekcji jest zalogowanych ponad 100 działań użytkownika i administratora. Wybierz kartę Inspekcja działań w artykule tego artykułu, aby wyświetlić opisy każdego działania w każdej z różnych usług.

    2. Użytkownicy: wybierz w tym polu, a następnie wybierz co najmniej jednego użytkownika, aby wyświetlić wyniki wyszukiwania. Wpisy dziennika inspekcji dla wybranego działania wykonane przez użytkowników wybranych w tym polu są wyświetlane na liście wyników. Pozostaw to pole puste, aby zwrócić wpisy dla wszystkich użytkowników (i kont usług) w organizacji.

    3. Plik, folder lub lokacja: wpisz część lub wszystkie nazwy pliku lub folderu, aby wyszukać działanie związane z plikiem folderu zawierającym określone słowo kluczowe. Możesz również określić adres URL pliku lub folderu. Jeśli używasz adresu URL, upewnij się, że wpisz pełną ścieżkę adresu URL lub jeśli wpiszesz część adresu URL, nie dołącz żadnych znaków specjalnych ani spacji (jednak użycie symbolu wieloznacznego (*) jest obsługiwane).

      Pozostaw to pole puste, aby zwrócić wpisy dla wszystkich plików i folderów w organizacji.

    Porada

    • Jeśli szukasz wszystkich działań związanych z witryną, dodaj symbol wieloznaczny (*) po adresie URL, aby zwrócić wszystkie wpisy dla tej witryny; na przykład "https://contoso-my.sharepoint.com/personal*".

    • Jeśli szukasz wszystkich działań związanych z plikiem, dodaj symbol wieloznaczny (*) przed nazwą pliku, aby zwrócić wszystkie wpisy dla tego pliku; na przykład "*Customer_Profitability_Sample.csv".

  4. Wybierz pozycję Wyszukaj , aby uruchomić wyszukiwanie przy użyciu kryteriów wyszukiwania.

    Wyniki wyszukiwania są ładowane i po kilku chwilach są wyświetlane na nowej stronie. Po zakończeniu wyszukiwania zostanie wyświetlona liczba znalezionych wyników. Maksymalnie 50 000 zdarzeń będzie wyświetlanych w przyrostach 150 zdarzeń. Jeśli więcej niż 50 000 zdarzeń spełnia kryteria wyszukiwania, zostanie wyświetlonych tylko 50 000 niesortowanych zdarzeń.

    Liczba wyników jest wyświetlana po zakończeniu wyszukiwania.

Porady dotyczące przeszukiwania dziennika inspekcji

  • Możesz wybrać określone działania do wyszukania, wybierając nazwę działania. Możesz też wyszukać wszystkie działania w grupie (takie jak działania plików i folderów), wybierając nazwę grupy. Jeśli wybrano działanie, możesz je wybrać, aby anulować wybór. Możesz również użyć pola wyszukiwania, aby wyświetlić działania zawierające wpisane słowo kluczowe.

    Wybierz nazwę grupy działań, aby wybrać wszystkie działania.

  • Musisz wybrać pozycję Pokaż wyniki dla wszystkich działań na liście Działania , aby wyświetlić zdarzenia z dziennika inspekcji administratora programu Exchange. Zdarzenia z tego dziennika inspekcji wyświetlają nazwę polecenia cmdlet (na przykład Set-Mailbox) w kolumnie Działanie w wynikach. Aby uzyskać więcej informacji, wybierz kartę Inspekcja działań w tym artykule, a następnie wybierz pozycję Działania administratora programu Exchange.

    Podobnie istnieją pewne działania inspekcji, które nie mają odpowiedniego elementu na liście Działania . Jeśli znasz nazwę operacji dla tych działań, możesz wyszukać wszystkie działania, a następnie filtrować operacje po wyeksportowaniu wyników wyszukiwania do pliku CSV.

  • Wybierz pozycję Wyczyść , aby wyczyścić bieżące kryteria wyszukiwania. Zakres dat powraca do wartości domyślnej z ostatnich siedmiu dni. Możesz również wybrać pozycję Wyczyść wszystko, aby wyświetlić wyniki dla wszystkich działań , aby anulować wszystkie wybrane działania.

  • Jeśli zostanie znalezionych 50 000 wyników, prawdopodobnie można założyć, że istnieje ponad 50 000 zdarzeń spełniających kryteria wyszukiwania. Możesz uściślić kryteria wyszukiwania i ponownie uruchomić wyszukiwanie w celu zwrócenia mniejszej liczby wyników lub wyeksportować 50 000 wyników wyszukiwania, wybierając pozycję Eksportuj wyniki>Pobierz wszystkie wyniki.

Krok 2. Wyświetlanie wyników wyszukiwania

Wyniki wyszukiwania dziennika inspekcji są wyświetlane w obszarze Wyniki na stronie wyszukiwania dziennika inspekcji . Jak wspomniano wcześniej, maksymalnie 50 000 (najnowszych) zdarzeń jest wyświetlanych w przyrostach 150 zdarzeń. Użyj paska przewijania lub naciśnij klawisze Shift + End , aby wyświetlić następne 150 zdarzeń.

Wyniki zawierają następujące informacje o każdym zdarzeniu zwracanym przez wyszukiwanie:

  • Data: data i godzina (w utc), kiedy wystąpiło zdarzenie.

  • Adres IP: adres IP urządzenia, które było używane podczas rejestrowania działania. Adres IP jest wyświetlany w formacie adresu IPv4 lub IPv6.

    Uwaga

    W przypadku niektórych usług wartością wyświetlaną w tym polu może być adres IP zaufanej aplikacji (na przykład Office w sieci Web aplikacji) wywołujący do usługi w imieniu użytkownika, a nie adres IP urządzenia używanego przez osobę, która wykonała działanie. Ponadto w przypadku działań administratora (lub działań wykonywanych przez konto systemowe) dla zdarzeń związanych z usługą Azure Active Directory adres IP nie jest rejestrowany, a wartość wyświetlana w tym polu to null.

  • Użytkownik: użytkownik (lub konto usługi), który wykonał akcję, która wyzwoliła zdarzenie.

  • Działanie: działanie wykonywane przez użytkownika. Ta wartość odpowiada działaniom wybranym na liście rozwijanej Działania . W przypadku zdarzenia z dziennika inspekcji administratora programu Exchange wartość w tej kolumnie to polecenie cmdlet programu Exchange.

  • Element: obiekt, który został utworzony lub zmodyfikowany w wyniku odpowiedniego działania. Na przykład plik, który został wyświetlony lub zmodyfikowany, lub zaktualizowane konto użytkownika. Nie wszystkie działania mają wartość w tej kolumnie.

  • Szczegóły: dodatkowe informacje o działaniu. Ponownie nie wszystkie działania mają wartość.

Porada

Wybierz nagłówek kolumny w obszarze Wyniki , aby posortować wyniki. Wyniki można sortować od A do Z lub Z do A. Wybierz nagłówek Data , aby posortować wyniki od najstarszych do najnowszych lub od najnowszych do najstarszych.

Wyświetlanie szczegółów określonego zdarzenia

Aby wyświetlić więcej szczegółów dotyczących zdarzenia, wybierz rekord zdarzenia na liście wyników wyszukiwania. Zostanie wyświetlona strona wysuwana zawierająca szczegółowe właściwości rekordu zdarzenia. Wyświetlane właściwości zależą od usługi, w której występuje zdarzenie.

Krok 3. Eksportowanie wyników wyszukiwania do pliku

Wyniki wyszukiwania dziennika inspekcji można wyeksportować do pliku wartości rozdzielanej przecinkami (CSV) na komputerze lokalnym. Możesz otworzyć ten plik w programie Microsoft Excel i użyć funkcji, takich jak wyszukiwanie, sortowanie, filtrowanie i dzielenie pojedynczej kolumny (zawierającej wiele właściwości) na wiele kolumn.

  1. Uruchom wyszukiwanie w dzienniku inspekcji, a następnie popraw kryteria wyszukiwania do momentu uzyskania żądanych wyników.

  2. Na stronie wyników wyszukiwania wybierz pozycję Eksportuj>Pobierz wszystkie wyniki.

    Wszystkie wpisy z dziennika inspekcji spełniające kryteria wyszukiwania są eksportowane do pliku CSV. Nieprzetworzone dane z dziennika inspekcji są zapisywane w pliku CSV. Dodatkowe informacje z wpisu dziennika inspekcji są zawarte w kolumnie o nazwie AuditData w pliku CSV.

    Ważna

    Możesz pobrać maksymalnie 50 000 wpisów do pliku CSV z pojedynczego przeszukiwania dziennika inspekcji. Jeśli do pliku CSV zostanie pobranych 50 000 wpisów, można założyć, że istnieje ponad 50 000 zdarzeń spełniających kryteria wyszukiwania. Aby wyeksportować więcej niż ten limit, spróbuj użyć zakresu dat, aby zmniejszyć liczbę wpisów dziennika inspekcji. Może być konieczne uruchomienie wielu wyszukiwań z mniejszymi zakresami dat, aby wyeksportować ponad 50 000 wpisów.

  3. Po zakończeniu procesu eksportowania w górnej części okna zostanie wyświetlony komunikat z monitem o otwarcie pliku CSV i zapisanie go na komputerze lokalnym. Możesz również uzyskać dostęp do pliku CSV w folderze Pliki do pobrania.

Więcej informacji na temat eksportowania i wyświetlania wyników wyszukiwania dzienników inspekcji

  • Po pobraniu wszystkich wyników wyszukiwania plik CSV zawiera kolumny CreationDate, UserIds, Operations i AuditData. Kolumna AuditData zawiera dodatkowe informacje o każdym zdarzeniu (podobnie jak szczegółowe informacje wyświetlane na stronie wysuwanej podczas wyświetlania wyników wyszukiwania w portalu zgodności). Dane w tej kolumnie składają się z obiektu JSON, który zawiera wiele właściwości z rekordu dziennika inspekcji. Każda para właściwości:value w obiekcie JSON jest oddzielona przecinkami. Narzędzie przekształcania JSON w Edytor Power Query w programie Excel umożliwia podzielenie kolumny AuditData na wiele kolumn, dzięki czemu każda właściwość obiektu JSON ma własną kolumnę. Umożliwia to sortowanie i filtrowanie co najmniej jednej z tych właściwości. Aby uzyskać instrukcje krok po kroku dotyczące przekształcania obiektu JSON przy użyciu Edytor Power Query, zobacz Eksportowanie, konfigurowanie i wyświetlanie rekordów dziennika inspekcji.

    Po podzieleniu kolumny AuditData można filtrować kolumnę Operacje , aby wyświetlić szczegółowe właściwości określonego typu działania.

  • Po pobraniu wszystkich wyników z zapytania wyszukiwania zawierającego zdarzenia z różnych usług kolumna AuditData w pliku CSV zawiera różne właściwości w zależności od usługi, w której wykonano akcję. Na przykład wpisy z programu Exchange i dzienników inspekcji Azure AD obejmują właściwość o nazwie ResultStatus, która wskazuje, czy akcja zakończyła się pomyślnie, czy nie. Ta właściwość nie jest uwzględniana w przypadku zdarzeń w programie SharePoint. Podobnie zdarzenia programu SharePoint mają właściwość, która identyfikuje adres URL witryny dla działań związanych z plikami i folderami. Aby wyeliminować to zachowanie, rozważ użycie różnych wyszukiwań w celu wyeksportowania wyników działań z jednej usługi.

    Aby zapoznać się z opisem wielu właściwości wymienionych w kolumnie AuditData w pliku CSV podczas pobierania wszystkich wyników, a każda z nich ma zastosowanie, zobacz Szczegółowe właściwości w dzienniku inspekcji.

Często zadawane pytania

Jakie są różne usługi platformy Microsoft 365, które są obecnie poddawane inspekcji?

Najczęściej używane usługi, takie jak Exchange Online, SharePoint Online, OneDrive dla Firm, Azure Active Directory, Microsoft Teams, Dynamics 365, Ochrona usługi Office 365 w usłudze Defender i Power BI, są poddawane inspekcji. Zobacz początek tego artykułu , aby uzyskać listę usług, które są poddawane inspekcji.

Jakie działania są poddawane inspekcji przez usługę inspekcji na platformie Microsoft 365?

Zobacz artykuł Inspekcja działań dziennika , aby uzyskać listę i opis działań, które są poddawane inspekcji.

Jak długo trwa udostępnienie rekordu inspekcji po wystąpieniu zdarzenia?

Większość danych inspekcji jest dostępna w ciągu 60–90 minut, ale wyświetlenie odpowiedniego wpisu dziennika inspekcji w wynikach wyszukiwania może potrwać do 24 godzin. Zobacz sekcję Przed przeszukaniem dziennika inspekcji w tym artykule, która pokazuje czas potrzebny na udostępnienie zdarzeń w różnych usługach.

Jak długo są przechowywane rekordy inspekcji?

Jak wyjaśniono wcześniej, rekordy inspekcji działań wykonywanych przez użytkowników z przypisaną licencją Office 365 E5 lub Microsoft E5 (lub użytkowników z licencją dodatku Microsoft 365 E5) są przechowywane przez jeden rok. W przypadku wszystkich innych subskrypcji obsługujących ujednolicone rejestrowanie inspekcji rekordy inspekcji są przechowywane przez 90 dni.

Czy mogę programowo uzyskiwać dostęp do danych inspekcji?

Tak. Interfejs API działania zarządzania Office 365 służy do programowego pobierania dzienników inspekcji. Aby rozpocząć, zobacz Wprowadzenie do interfejsów API zarządzania Office 365.

Czy istnieją inne sposoby uzyskiwania dzienników inspekcji innych niż korzystanie z portalu zabezpieczeń i zgodności lub interfejsu API działania zarządzania Office 365?

Tak, dzienniki inspekcji można pobrać przy użyciu następujących metod:

Czy muszę indywidualnie włączyć inspekcję w każdej usłudze, dla której chcę przechwycić dzienniki inspekcji?

W większości usług inspekcja jest domyślnie włączona po początkowym włączeniu inspekcji dla organizacji (zgodnie z opisem w sekcji Przed przeszukaniem dziennika inspekcji w tym artykule).

Czy usługa inspekcji obsługuje cofanie duplikowania rekordów?

Nie. Potok usługi inspekcji znajduje się niemal w czasie rzeczywistym i w związku z tym nie może obsługiwać cofania duplikowania.

Gdzie są przechowywane dane inspekcji?

Obecnie przeprowadzamy inspekcję wdrożeń potoków w regionach NA (Ameryka Północna), EMEA (Europa, Bliski Wschód i Afryka) oraz APAC (Azja i Pacyfik). Dzierżawy znajdujące się w tych regionach będą przechowywać dane inspekcji w regionie. W przypadku dzierżaw z wieloma lokalizacjami geograficznymi dane inspekcji zebrane ze wszystkich regionów dzierżawy będą przechowywane tylko w regionie macierzystym dzierżawy. Możemy jednak przesyłać dane między tymi regionami w celu równoważenia obciążenia i tylko podczas problemów z lokacją na żywo. Gdy wykonujemy te działania, przesyłane dane są szyfrowane.

Czy inspekcja danych jest szyfrowana?

Dane inspekcji są przechowywane w skrzynkach pocztowych programu Exchange (dane magazynowane) w tym samym regionie, w którym wdrożono ujednolicony potok inspekcji. Dane skrzynki pocztowej magazynowane nie są szyfrowane przez program Exchange. Jednak szyfrowanie na poziomie usługi szyfruje wszystkie dane skrzynki pocztowej, ponieważ serwery programu Exchange w centrach danych firmy Microsoft są szyfrowane za pośrednictwem funkcji BitLocker. Aby uzyskać więcej informacji, zobacz Microsoft 365 Encryption for Skype dla firm, OneDrive dla Firm, SharePoint Online i Exchange Online.

Przesyłane dane poczty są zawsze szyfrowane.