匯出、 設定及檢視稽核記錄檔的記錄
在您搜尋稽核記錄並將搜尋結果下載至 CSV 檔案之後,檔案會包含名為 AuditData的資料行,其中包含每個事件的其他相關資訊。 此資料行中的資料會格式化為 JSON 物件,其中包含多個設定為 property:value 組的屬性,並以逗號分隔。 您可以使用 Excel 中Power Query 編輯器中的 JSON 轉換功能,將AuditData資料行中 JSON 物件中的每個屬性分割成多個資料行,讓每個屬性都有自己的資料行。 這可讓您排序和篩選其中一或多個屬性,這可協助您快速找出您要尋找的特定稽核資料。
提示
如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料。
步驟 1:匯出稽核記錄搜尋結果
第一個步驟是搜尋稽核記錄,然後將結果以逗號分隔的值匯出 (CSV) 檔案匯出至本機電腦。
執行 稽核記錄搜尋 ,並視需要修改搜尋準則,直到您有所需的結果為止。
在搜尋結果頁面上,選取 [ 匯出]。
![按一下 [下載所有結果]。](../media/audit-export-audit-search-results.png?view=o365-worldwide)
此選項會從您在步驟 1 中執行的稽核記錄搜尋中匯出所有稽核記錄,並將稽核記錄中的原始資料新增至 CSV 檔案。 準備下載檔案以進行大型搜尋需要一些時間。 搜尋所有活動或使用寬日期範圍時,將會產生大型檔案。
匯出流程完成之後,視窗頂端會顯示一則訊息,提示您開啟 CSV 檔案,並將其儲存到您的本地電腦。 您也可以存取下載資料夾中的 CSV 檔案。
注意事項
您可以從單一稽核記錄搜尋下載最多 50,000 個項目至 CSV 檔案。 如果已下載 50,000 個項目至 CSV 檔案,您可能可以假設有超過 50,000 個符合搜尋準則的事件。 若要匯出超過此限制,請嘗試使用較窄的日期範圍來減少稽核記錄檔記錄的數目。 您可能需要使用較小的日期範圍執行多次搜尋,以匯出 50,000 個以上的項目。
步驟 2:使用匯出的稽核記錄格式化Power Query 編輯器
下一個步驟是使用 Excel 中Power Query 編輯器中的 JSON 轉換功能,將AuditData資料行中 JSON 物件中的每個屬性分割成自己的資料行。 然後,您可以篩選資料行,以根據特定屬性的值來檢視記錄。 這可協助您快速找出您要尋找的特定稽核資料。
在 Excel 中開啟適用于 Office 365、Excel 2019 或 Excel 2016 的空白活頁簿。
在 [ 資料] 索 引標籤的 [ 取得 & 轉換資料 ] 功能區群組中,選取 [ 從文字/CSV]。
![在 [資料] 索引標籤上,按一下 [從文字/CSV]。](../media/jsontransformopencsvfile.png?view=o365-worldwide)
開啟您在步驟 1 中下載的 CSV 檔案。
在顯示的視窗中,選取 [ 轉換資料]。
![按一下 [轉換資料]。](../media/jsonopenpowerquery.png?view=o365-worldwide)
CSV 檔案會在查詢編輯器中開啟。 有四個數據行: CreationDate、 UserIds、 Operations和 AuditData。 AuditData 資料行是包含多個屬性的 JSON 物件。 下一個步驟是為 JSON 物件中的每個屬性建立資料行。
以滑鼠右鍵按一下 AuditData 資料 行中的標題,選取 [ 轉換],然後選取 [JSON]。
![以滑鼠右鍵按一下 AuditData 資料行,按一下 [轉換],然後選取 [JSON]。](../media/jsontransform.png?view=o365-worldwide)
在 AuditData 資料行的右上角,選取展開圖示。
![在 [AuditData] 資料行中,按一下展開圖示。](../media/jsontransformexpandicon.png?view=o365-worldwide)
AuditData資料行中 JSON 物件中的屬性部分清單隨即顯示。
選 取 [載入更多] 以在 [ AuditData ] 資料行中顯示 JSON 物件中的所有屬性。
![按一下 [載入更多] 以顯示 JSON 物件中的所有屬性。](../media/jsontransformloadjsonproperties.png?view=o365-worldwide)
您可以取消選取任何不想包含之屬性旁的核取方塊。 排除對您的調查沒有説明的資料行,是減少稽核記錄中顯示資料量的好方法。
注意事項
在您按一下 [ 載入更多 ] 之後 (上一個螢幕擷取畫面中顯示的 JSON 屬性) 是以 CSV 檔案中前 1,000 個數據列的 AuditData 資料行中找到的屬性為基礎。 如果前 1,000 個數據列之後的記錄中有不同的 JSON 屬性,當 AuditData 資料行分割成多個資料行時,這些屬性 (和對應的資料行) 將不會包含。 若要避免這種情況,請考慮重新執行稽核記錄搜尋,並縮小搜尋準則,以便傳回較少的記錄。 另一個因應措施是先篩選 Operations 資料 行中的專案,以減少 (的資料列數目,再執行上述步驟 5) ,然後再轉換 AuditData 資料 行中的 JSON 物件。
提示
若要在 AuditData.AffectedItems 等清單中檢視屬性,請按一下您要從中提取屬性之資料行右上角的 [ 展開 ] 圖示,然後選取 [ 展開至新的資料列]。 它將會是一筆記錄,您可以按一下資料行右上角的 [ 展開 ] 圖示、檢視屬性,然後選取您想要檢視或擷取的屬性。
請執行下列其中一項動作來格式化針對所選取之每個 JSON 屬性新增的資料行標題。
- 取消選取 [ 使用原始資料行名稱做為前置 詞] 核取方塊,以使用 JSON 屬性的名稱作為資料行名稱;例如, RecordType 或 SourceFileName。
- 保留選取 [ 使用原始資料行名稱做為前置 詞] 核取方塊,以將 AuditData 前置詞新增至資料行名稱;例如 AuditData.RecordType 或 AuditData.SourceFileName。
選取 [確定]。
AuditData 資料行會分割成多個資料行。 每個新資料行都會對應至 AuditData JSON 物件中的屬性。 資料行中的每個資料列都包含 屬性的值。 如果屬性不包含值,則會顯示 Null 值。 在 Excel 中,具有 Null 值的儲存格是空的。
在 [首頁]索引標籤上,選取 [關閉 & 載入] 以關閉Power Query 編輯器,然後在 Excel 活頁簿中開啟已轉換的 CSV 檔案。
使用 PowerShell 來搜尋和匯出稽核記錄
您可以使用 Exchange Online PowerShell 中的Search-UnifiedAuditLog Cmdlet,將稽核記錄搜尋的結果匯出至 CSV 檔案,而不是在Microsoft Purview 合規性入口網站中使用稽核記錄搜尋工具。 然後,您可以遵循步驟 2 中所述的相同程式,使用Power Query編輯器來格式化稽核記錄。 使用 PowerShell Cmdlet 的優點之一,是您可以使用 RecordType 參數,從特定服務搜尋事件。 以下是使用 PowerShell 將稽核記錄匯出至 CSV 檔案的一些範例,因此您可以使用Power Query編輯器在AuditData資料行中轉換 JSON 物件,如步驟 2 所述。
在此範例中,執行下列命令以傳回與 SharePoint 共用作業相關的所有記錄。
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
搜尋結果會匯出至名為 PowerShellAuditlog 的 CSV 檔案,其中包含四個數據行:CreationDate、UserIds、RecordType、AuditData) 。
您也可以使用記錄類型的名稱或列舉值做為 RecordType 參數的值。 如需記錄類型名稱及其對應列舉值的清單,請參閱 Office 365 管理活動 API 架構中的AuditLogRecordType資料表。
您只能包含 RecordType 參數的單一值。 若要搜尋其他記錄類型的稽核記錄,您必須再次執行前兩個命令,以指定不同的記錄類型,並將這些結果附加至原始 CSV 檔案。 例如,您會執行下列兩個命令,將相同日期範圍中的 SharePoint 檔案活動新增至PowerShellAuditlog.csv檔案。
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
匯出和檢視稽核記錄的秘訣
以下是一些在您使用 JSON 轉換功能將 AuditData 資料行分割成多個資料行之前和之後匯出和檢視稽核記錄的秘訣和範例。
- 篩選 RecordType 資料 行,只顯示來自特定服務或功能區域的記錄。 例如,若要顯示與 SharePoint 共用相關的事件,您可以選取 14 (SharePoint 共用活動所觸發記錄的列舉值) 。 如需對應至 RecordType 資料行中顯示之列舉值的服務清單,請參閱 稽核記錄中的詳細屬性。
- 篩選 Operations 資料 行以顯示特定活動的記錄。 如需對應至合規性入口網站中稽核記錄搜尋工具中可搜尋活動的大部分作業清單,請參閱 搜尋稽核記錄中的一節。