查看保管审核活动

  • 项目

需要了解用户是否查看了特定文档或从其邮箱中清除了某项? Microsoft Purview 电子数据展示 (Premium) 现已与Microsoft Purview 合规门户中的现有审核日志搜索工具集成。 使用此嵌入式体验,可以使用电子数据展示 (Premium) 保管人管理工具,通过轻松访问和搜索案例中的保管人的活动来促进调查。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 详细了解 谁可以注册和试用条款

获取权限

必须分配有 Exchange Online 中的“仅供查看审核日志”或“审核日志”角色才能搜索审核日志。 默认情况下,这些角色是在 Exchange 管理中心中的“权限”页上被分配给“合规性管理”和“组织管理”角色组。 要让用户能够使用最低级别权限搜索电子数据展示(高级)审核日志,可以在 Exchange Online 中创建自定义角色组,添加“仅限查看审核日志”或“审核日志”角色,然后将用户添加为新角色组的成员。 有关详细信息,请参阅在 Exchange Online 中管理角色组。

重要

如果在合规性门户中的“权限”页上向用户分配“仅供查看审核日志”或“审核日志”角色,则他们将无法搜索审核日志。 必须在 Exchange Online 中分配权限。 这是因为用于搜索审核日志的基础 cmdlet 是 Exchange Online cmdlet。

步骤 1:在审核日志中搜索保管人执行的活动

  1. 转到 电子数据展示 > 电子数据展示 (高级版) 并打开案例。

  2. 选择“选项”选项卡。

  3. 在“ 保管人 ”页上,从列表中选择一个保管人,然后在浮出控件页上选择“ 查看保管人活动 ”。

    将显示“保管人活动搜索”页。 请注意,在上一步中选择的保管人将显示在“ 保管人 ”下拉框中。 您可以在“保管人”下拉框中选择不同的保管人,但是一次只能搜索一个保管人的活动。

    保管人活动搜索页。

  4. 配置以下搜索条件:

    1. 选择下拉列表以显示你可以搜索的活动。 运行搜索后,仅将显示所选活动的审核日志项目。 选择“ 显示所有活动的结果” 将显示保管人执行与其他搜索条件匹配的所有活动的结果。

      活动列表。

    2. 选择日期和时间范围,以显示在这段时间内发生的事件。 默认情况下,将选择最近七天。 日期和时间将以协调世界时 (UTC) 格式显示。 可指定的最大日期范围为 90 天。

    3. 保管人 - 在此框中选择,然后选择要显示其搜索结果的特定保管人。 在此框中选择的用户所执行的所选活动的审核记录将显示在结果列表中。

  5. 选择“Search Button.搜索”以使用搜索条件运行搜索。 此时将加载搜索结果,片刻后将显示在新页面上。

步骤 2:查看搜索结果

审核日志搜索结果会显示在“审核日志搜索”页中的“结果”下。 如上文所述,最多显示 5,000 个最新事件(每次加载 150 个)。 若要显示更多事件,可以使用“结果”窗格中的滚动条,或按 Shift+End 显示随后的 150 个事件。

结果包含有关搜索返回的每个事件的以下信息。

  • 日期”:事件发生的日期和时间(采用 UTC 格式)。
  • IP 地址”:记录活动时所用设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。
  • 用户:执行触发事件的操作的用户(或服务帐户)。
  • 活动”:用户执行的活动。 此值对应于你在"活动"下拉列表中选定的活动。 对于来自 Exchange 管理员审核日志的事件,此列中的值为 Exchange cmdlet。
  • 项目”:由于相应活动而创建或修改的对象。 例如已查看或修改的文件或已更新的用户帐户。 并非所有活动在此列中都具有值。
  • 详细信息:有关活动的其他详细信息。 同样,并非所有活动均具有此值。

步骤 3:筛选搜索结果

除排序外,你还可以筛选审核日志搜索的结果。 这是一项可帮助你快速筛选特定用户或活动的结果的强大功能。

若要筛选结果,请执行以下操作:

  1. 创建并运行审核日志搜索。

  2. 结果显示后,单击“筛选结果”。

  3. 每个列标题下将显示关键字框。

  4. 根据要筛选的列,单击列标题下的其中一个框并键入字词。 结果将动态重新调整以显示符合筛选条件的事件。

  5. 若要清除筛选器,请单击筛选器框中的“X”,或单击“隐藏筛选”。

将搜索结果导出到文件。

可以将审核日志搜索的结果导出到本地计算机上的逗号分隔值 (CSV) 文件。 可以在 Microsoft Excel 中打开此文件,然后使用搜索、排序、筛选和将(包含多个属性的)单列拆分为多列等功能。

  1. 运行审核日志搜索,然后修订搜索条件直到获得所需结果。

  2. 单击“导出结果”,然后选择下列选项之一:

    • 保存加载的结果”:选择此选项可仅导出“审核日志搜索”页上“结果”之下显示的条目。 下载的 CSV 文件包含(“日期”、“用户”、“活动”、“项目”和“详细信息”)页面上显示的相同列(和数据)。 包含审核日志项目中更多信息的 CSV 文件包括一额外列(名为“更多”)。 由于你将导出“审核日志搜索”页上已加载(且可查看)的相同结果,因此最多可导出 5,000 个条目。

    • “下载所有结果”:选择此选项可以导出符合搜索条件的审核日志中的所有条目。 对于较大的搜索结果集,选择此选项可下载审核日志的所有条目以及可在“审核日志搜索”页上显示的 5,000 条审核记录。 此选项会将原始数据从审核日志下载到 CSV 文件,并在名为“AuditData”的列中包含审核日志项目中的其他信息。 如果选择此导出选项,下载该文件可能需要更长时间,因为文件可能比选择其他选项下载的文件大得多。

      重要

      你可以将最多 50,000 个条目从单个审核日志搜索中下载到 CSV 文件。 如果下载了 50,000 个条目到 CSV 文件,则可以假定可能存在超过 50,000 个符合搜索条件的事件。 若要导出的条目超出此限制,请尝试使用日期范围以减少审核日志项目。 你可能需要使用更小日期范围运行多个搜索来导出超过 50,000 个条目。

  3. 选择导出选项后,窗口底部将显示一条消息,提示你打开 CSV 文件并将其保存到“下载”文件夹或特定文件夹。

有关查看、筛选或导出审核日志搜索结果的详细信息,请参阅 搜索审核日志