Экспорт, настройка и просмотр записей журнала аудита

При поиске в журнале аудита и загрузке результатов поиска в файл с разделиемыми запятыми (.csv) файл содержит столбец AuditData. В этом столбце содержатся дополнительные сведения о каждом событии. Данные в этом столбце отформатированы в виде объекта JSON. Этот объект содержит несколько свойств, которые отображаются в виде пар "свойство:значение ", разделенных запятыми. Функцию преобразования JSON можно использовать в Редактор Power Query в Excel, чтобы разделить каждое свойство объекта JSON в столбце AuditData на несколько столбцов, чтобы каждое свойство было собственным. Эта функция позволяет выполнять сортировку и фильтрацию по одному или нескольким из этих свойств, что позволяет быстро находить нужные данные аудита.

Шаг 1. Экспорт результатов поиска в журнале аудита

Важно!

Чтобы процессы экспорта работали правильно, убедитесь, что брандмауэр сети не блокирует домен Azure Front Door (azurefd.net).

При использовании аудита (Standard) можно экспортировать до 50 000 записей в файл .csv из одного поискового запроса аудита. Для аудита (премиум) ограничение экспорта увеличивается до 100 000записей. Если количество результатов, возвращаемых поисковым запросом аудита, превышает эти ограничения, экспортируемый .csv файл не содержит все результаты и может опустить некоторые журналы аудита. Чтобы обеспечить полный экспорт данных, примите во внимание следующие рекомендации.

1. Уточните область поискового запроса, сузив диапазон дат или применяя другие фильтры, такие как UserId, Operation и т. д.
2. Выполните несколько поисковых запросов с меньшими сегментируемыми диапазонами дат для записи всех соответствующих журналов аудита.

Такой подход помогает обеспечить полный охват данных аудита в пределах ограничений экспорта.

Чтобы выполнить поиск в журнале аудита и экспортировать результаты в файле .csv на локальный компьютер, выполните следующие действия.

1. Выполните поиск по журналу аудита и при необходимости изменяйте условия поиска, пока не результаты будут нужны.

2. На странице результатов поиска выберите Экспорт.

   

   Этот параметр экспортирует все записи аудита из поиска по журналу аудита, выполненного на шаге 1. Она добавляет необработанные данные из журнала аудита в файл .csv. Подготовка скачиваемого файла к большому поиску занимает некоторое время. Большие файлы результаты при поиске всех действий или использовании широкого диапазона дат.

3. После завершения экспорта в верхней части окна появится сообщение с предложением открыть файл .csv и сохранить его на локальном компьютере. Чтобы увидеть это сообщение, может потребоваться обновить страницу. Вы также можете получить доступ к файлу .csv в папке Загрузки .

Шаг 2. Форматирование экспортированного журнала аудита с помощью редактора Power Query

На этом шаге вы используете функцию преобразования JSON в Редактор Power Query в Excel, чтобы разделить каждое свойство объекта JSON в столбце AuditData на собственный столбец. Затем вы фильтруете столбцы для просмотра записей на основе значений определенных свойств. Этот процесс помогает быстро найти конкретные данные аудита, которые вы ищете.

1. Откройте пустую книгу в Excel для Microsoft 365, Excel 2019 или Excel 2016.

2. На вкладке Данные в группе ленты Получение & преобразование данных выберите Из текста или CSV.

   

3. Откройте файл .csv, скачанный на шаге 1.

4. В появившемся окне выберите Преобразовать данные .

   

   Редактор запросов открывает файл .csv. Вы увидите четыре столбца: CreationDate, UserIds, Operations и AuditData. Столбец AuditData — это объект JSON, содержащий несколько свойств. Необходимо создать столбец для каждого свойства в объекте JSON.

5. Щелкните правой кнопкой мыши заголовок в столбце AuditData , выберите Преобразовать, а затем — JSON.

   

6. Щелкните значок развертывания в правом верхнем углу столбца AuditData .

   

   Вы увидите частичный список свойств объектов JSON в столбце AuditData .

7. Выберите Загрузить дополнительно , чтобы отобразить все свойства в объектах JSON в столбце AuditData .

   

   Вы можете очистить поле проверка рядом с любым свойством, которое не нужно включать. Устранение столбцов, которые не являются полезными для исследования, — хороший способ уменьшить объем данных, отображаемых в журнале аудита.

   Примечание.

   Свойства JSON, отображаемые на предыдущем снимке экрана (после нажатия кнопки Загрузить больше), основаны на свойствах, найденных в столбце AuditData из первых 1000 строк в файле .csv. Если после первых 1000 строк в записях существуют разные свойства JSON, эти свойства (и соответствующий столбец) не отображаются при разделении столбца AuditData на несколько столбцов. Чтобы избежать этой проблемы, попробуйте повторно запустить поиск по журналу аудита и сузить критерии поиска, чтобы возвращать меньше записей. Другим обходным решением является фильтрация элементов в столбце Операции , чтобы уменьшить количество строк (перед выполнением шага 5) перед преобразованием объекта JSON в столбце AuditData .

   Совет

   Чтобы просмотреть атрибут в списке, например AuditData.AffectedItems, щелкните значок Развернуть в правом верхнем углу столбца, из которого нужно извлечь атрибут, а затем выберите Развернуть в новую строку. Оттуда это запись, и вы можете щелкнуть значок Развернуть в правом верхнем углу столбца, просмотреть атрибуты и выбрать тот, который вы хотите просмотреть или извлечь.

8. Выполните одно из следующих действий, чтобы отформатировать заголовок столбцов, добавляемых для каждого выбранного свойства JSON.

   • Снимите флажок Использовать имя исходного столбца в качестве префикса проверка, чтобы использовать имя свойства JSON в качестве имен столбцов, например RecordType или SourceFileName.
   • Оставьте флажок Использовать исходное имя столбца в качестве префикса проверка, чтобы добавить префикс AuditData в имена столбцов, например AuditData.RecordType или AuditData.SourceFileName.

9. Нажмите OK.

   Столбец AuditData разделен на несколько столбцов. Каждый новый столбец соответствует свойству объекта AuditData JSON. Каждая строка в столбце содержит значение свойства. Если свойство не содержит значения, отображается значение NULL . В Excel ячейки со значениями NULL пусты.

10. На вкладке Главная выберите Закрыть & Загрузить, чтобы закрыть Редактор Power Query и открыть преобразованный файл .csv в книге Excel.

Поиск и экспорт записей журнала аудита с помощью PowerShell

Вместо средства поиска по журналам аудита на портале Microsoft Purview можно использовать командлет Search-UnifiedAuditLog в Exchange Online PowerShell для экспорта результатов поиска по журналу аудита в файл .csv. Затем вы можете выполнить ту же процедуру, описанную в шаге 2, чтобы отформатировать журнал аудита с помощью редактора Power Query. Одним из преимуществ использования командлета PowerShell является то, что вы можете искать события из определенной службы с помощью параметра RecordType . В следующих примерах показано, как использовать PowerShell для экспорта записей аудита в файл .csv, чтобы можно было использовать редактор Power Query для преобразования объекта JSON в столбце AuditData, как описано в шаге 2.

В следующем примере выполните команды, чтобы вернуть все записи, связанные с операциями общего доступа SharePoint.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Результаты поиска экспортируются в файл .csv с именем PowerShellAuditlog , который содержит четыре столбца: CreationDate, UserIds, RecordType, AuditData.

Для типа записи можно использовать имя или значение перечисления. Список имен типов записей и их соответствующих значений перечисления см. в таблице AuditLogRecordType в схеме API действий управления Office 365.

Для параметра RecordType можно включить только одно значение. Чтобы найти записи аудита для других типов записей, снова выполните две предыдущие команды, чтобы указать другой тип записи и добавить эти результаты в исходный файл .csv. Например, выполните следующие две команды, чтобы добавить действия с файлами SharePoint из одного диапазона дат в файл PowerShellAuditlog.csv.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Советы по экспорту и просмотру журнала аудита

Ниже приведены некоторые советы и примеры экспорта и просмотра журнала аудита до и после использования функции преобразования JSON для разделения столбца AuditData на несколько столбцов.

• Отфильтруйте столбец RecordType , чтобы отобразить только записи из определенной службы или функциональной области. Например, чтобы отобразить события, связанные с общим доступом к SharePoint, выберите 14 (значение перечисления для записей, активированных действиями общего доступа SharePoint). Список служб, соответствующих значениям перечисления, отображаемым в столбце RecordType , см. в разделе Подробные свойства в журнале аудита.
• Отфильтруйте столбец Операции, чтобы отобразить записи для определенных действий. Список большинства операций, соответствующих действиям с возможностью поиска в средстве поиска по журналам аудита на портале Microsoft Purview, см. в разделе "Проверенные действия" статьи Поиск в журнале аудита.

Запустите диагностику для конфигурации журнала аудита проверка

Чтобы выполнить диагностику для проверка конфигурации журнала аудита, выполните следующие действия.

Примечание.

Для выполнения диагностики необходимо быть глобальным администратором Microsoft 365.

1. Выберите диагностику в Центр администрирования Microsoft 365.
2. Введите имя участника-пользователя (UPN) или адрес электронной почты пользователя, в который отсутствуют записи аудита.

Примечание.

Если не ввести сведения о пользователе, в ходе диагностики выполняются общие проверки конфигурации аудита.

1. Выберите Выполнить тесты.
2. Просмотрите ключевые результаты диагностики, чтобы проверка конфигурации пользователя и аудита для вашей организации.