Экспорт, настройка и просмотр записей журнала аудита

  • Статья

После поиска в журнале аудита и загрузки результатов поиска в CSV-файл файл содержит столбец AuditData, который содержит дополнительные сведения о каждом событии. Данные в этом столбце форматируются как объект JSON, который содержит несколько свойств, настроенных как пары свойство:значение, разделенные запятыми. Функцию преобразования JSON можно использовать в Редактор Power Query в Excel, чтобы разделить каждое свойство объекта JSON в столбце AuditData на несколько столбцов, чтобы каждое свойство было собственным. Это позволяет выполнять сортировку и фильтрацию по одному или нескольким из этих свойств, что позволяет быстро находить нужные данные аудита.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Шаг 1. Экспорт результатов поиска в журнале аудита

Сначала необходимо выполнить поиск в журнале аудита, а затем экспортировать результаты в файл со значениями, разделенными запятыми (CSV-файл), на локальный компьютер.

  1. Выполните поиск по журналу аудита и при необходимости изменяйте условия поиска, пока не результаты будут нужны.

  2. На странице результатов поиска выберите Экспорт.

    Щелкните Скачать все результаты.

    Этот параметр экспортирует все записи аудита из поиска по журналу аудита, выполненного на шаге 1, и добавляет необработанные данные из журнала аудита в CSV-файл. Подготовка скачиваемого файла к большому поиску занимает некоторое время. Большие файлы результаты при поиске всех действий или использовании широкого диапазона дат.

  3. После завершения процесса экспорта в верхней части окна отображается сообщение с предложением открыть CSV-файл и сохранить его на локальном компьютере. Вы также можете получить доступ к CSV-файлу в папке "Загрузки".

    Примечание.

    В CSV-файл можно загрузить до 50 000 записей результатов одной операции поиска по журналу аудита. Если в CSV-файл загружено 50 000 записей, можно предположить, что условиям поиска соответствует более 50 000 событий. Чтобы экспортировать больше этого предела, попробуйте использовать более узкий диапазон дат, чтобы уменьшить количество записей журнала аудита. Чтобы экспортировать больше 50 000 записей, вы можете выполнить поиск несколько раз со смежными диапазонами дат.

Шаг 2. Форматирование экспортированного журнала аудита с помощью редактора Power Query

Следующим шагом является использование функции преобразования JSON в Редактор Power Query в Excel для разделения каждого свойства в объекте JSON в столбце AuditData на собственный столбец. Затем вы фильтруете столбцы для просмотра записей на основе значений определенных свойств. Это поможет вам быстро найти конкретные данные аудита, которые вы ищете.

  1. Откройте пустую книгу в Excel для Office 365, Excel 2019 или Excel 2016.

  2. На вкладке Данные в группе ленты Получение & преобразование данных выберите Из текста или CSV.

    На вкладке Данные щелкните Из текста или CSV.

  3. Откройте CSV-файл, который вы скачали на шаге 1.

  4. В появившемся окне выберите Преобразовать данные.

    Щелкните Преобразовать данные.

    CSV-файл открывается в Редактор запросов. Существует четыре столбца: CreationDate, UserIds, Operations и AuditData. Столбец AuditData — это объект JSON, содержащий несколько свойств. Следующим шагом является создание столбца для каждого свойства в объекте JSON.

  5. Щелкните правой кнопкой мыши заголовок в столбце AuditData , выберите Преобразовать, а затем — JSON.

    Щелкните правой кнопкой мыши столбец AuditData, выберите команду Преобразовать, а затем выберите JSON.

  6. В правом верхнем углу столбца AuditData щелкните значок развертывания.

    В столбце AuditData щелкните значок развертывания.

    Отобразится частичный список свойств объектов JSON в столбце AuditData.

  7. Выберите Загрузить дополнительно , чтобы отобразить все свойства в объектах JSON в столбце AuditData .

    Щелкните Загрузить больше, чтобы отобразить все свойства в объекте JSON.

    Вы можете снять флажок рядом с любым свойством, которое не нужно включать. Устранение столбцов, которые не являются полезными для исследования, — хороший способ уменьшить объем данных, отображаемых в журнале аудита.

    Примечание.

    Свойства JSON, отображаемые на предыдущем снимке экрана (после нажатия кнопки Загрузить больше), основаны на свойствах, найденных в столбце AuditData из первых 1000 строк CSV-файла. Если после первых 1000 строк в записях есть разные свойства JSON, эти свойства (и соответствующий столбец) не будут включены, если столбец AuditData разделен на несколько столбцов. Чтобы избежать этого, попробуйте повторно запустить поиск в журнале аудита и сузить критерии поиска, чтобы возвращалось меньше записей. Другим обходным решением является фильтрация элементов в столбце Операции для уменьшения количества строк (перед выполнением шага 5 выше) перед преобразованием объекта JSON в столбце AuditData.

    Совет

    Чтобы просмотреть атрибут в списке, например AuditData.AffectedItems, щелкните значок Развернуть в правом верхнем углу столбца, из которого нужно извлечь атрибут, а затем выберите Развернуть до новой строки. Оттуда это будет запись, и вы можете щелкнуть значок Развернуть в правом верхнем углу столбца, просмотреть атрибуты и выбрать тот, который вы хотите просмотреть или извлечь.

  8. Выполните одно из следующих действий, чтобы отформатировать заголовок столбцов, добавляемых для каждого выбранного свойства JSON.

    • Снимите флажок Использовать исходное имя столбца в качестве префикса , чтобы использовать имя свойства JSON в качестве имен столбцов; Например, RecordType или SourceFileName.
    • Не устанавливайте флажок Использовать исходное имя столбца в качестве префикса , чтобы добавить префикс AuditData в имена столбцов. Например, AuditData.RecordType или AuditData.SourceFileName.

  9. Нажмите ОК.

    Столбец AuditData разделен на несколько столбцов. Каждый новый столбец соответствует свойству объекта AuditData JSON. Каждая строка в столбце содержит значение свойства. Если свойство не содержит значения, отображается значение NULL. В Excel ячейки со значениями NULL пусты.

  10. На вкладке Главная выберите Закрыть & Загрузить, чтобы закрыть Редактор Power Query и открыть преобразованный CSV-файл в книге Excel.

Поиск и экспорт записей журнала аудита с помощью PowerShell

Вместо средства поиска по журналам аудита на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview можно использовать командлет Поиск-UnifiedAuditLog в Exchange Online PowerShell для экспорта результатов поиска по журналам аудита в CSV-файл. Затем вы можете выполнить ту же процедуру, описанную в шаге 2, чтобы отформатировать журнал аудита с помощью редактора Power Query. Одним из преимуществ использования командлета PowerShell является то, что вы можете искать события из определенной службы с помощью параметра RecordType . Ниже приведено несколько примеров использования PowerShell для экспорта записей аудита в CSV-файл, чтобы можно было использовать редактор Power Query для преобразования объекта JSON в столбце AuditData, как описано в шаге 2.

В этом примере выполните следующие команды, чтобы вернуть все записи, связанные с операциями общего доступа SharePoint.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Результаты поиска экспортируются в CSV-файл PowerShellAuditlog , содержащий четыре столбца: CreationDate, UserIds, RecordType, AuditData.

Вы также можете использовать имя или значение перечисления для типа записи в качестве значения параметра RecordType . Список имен типов записей и их соответствующих значений перечисления см. в таблице AuditLogRecordType в схеме API действий управления Office 365.

Для параметра RecordType можно включить только одно значение. Чтобы найти записи аудита для других типов записей, необходимо выполнить две предыдущие команды еще раз, чтобы указать другой тип записи и добавить эти результаты в исходный CSV-файл. Например, выполните следующие две команды, чтобы добавить действия с файлами SharePoint из одного диапазона дат в файл PowerShellAuditlog.csv.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Советы по экспорту и просмотру журнала аудита

Ниже приведены некоторые советы и примеры экспорта и просмотра журнала аудита до и после использования функции преобразования JSON для разделения столбца AuditData на несколько столбцов.

  • Отфильтруйте столбец RecordType , чтобы отобразить только записи из определенной службы или функциональной области. Например, чтобы отобразить события, связанные с общим доступом к SharePoint, необходимо выбрать значение 14 (значение перечисления для записей, активированных действиями общего доступа SharePoint). Список служб, соответствующих значениям перечисления, отображаемым в столбце RecordType , см. в разделе Подробные свойства в журнале аудита.
  • Отфильтруйте столбец Операции, чтобы отобразить записи для определенных действий. Список большинства операций, соответствующих действиям с возможностью поиска в средстве поиска по журналам аудита на портале Microsoft Purview или на портале соответствия требованиям, см. в разделе "Действия аудита" Поиск журнала аудита.