共用方式為

檢視監管人稽核活動

  • 發行項

需要了解是否有使用者已檢視特定文件或清除信箱中的項目嗎? Microsoft Purview 電子文件探索 (進階) 現在已與 Microsoft Purview 合規性入口網站 中現有的稽核記錄搜尋工具整合。 使用此內嵌體驗,您可以使用電子檔探索 (進階) 監管人管理工具,輕鬆存取並搜尋案例中的監管人活動,以協助調查。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

取得許可權

您必須在 Exchange Online 中獲指派僅限檢視稽核記錄或稽核記錄角色,才能搜尋或導出稽核記錄。 根據預設,這些角色會指派給 Exchange 系統管理中心 [許可權] 頁面上的 [合規性管理] 和 [組織管理] 角色群組。 若要讓用戶能夠使用最低許可權層級來搜尋電子檔探索 (進階) 稽核記錄,您可以在 Exchange Online 中建立自定義角色群組、新增僅限檢視稽核記錄稽核記錄角色,然後將使用者新增為新角色群組的成員。 如需詳細資訊,請參閱管理 Exchange Online 中的角色群組。

重要事項

如果您在合規性入口網站的 [許可權] 頁面上,將僅限檢視稽核 記錄 或稽核 記錄 角色指派給使用者,他們將無法搜尋或導出稽核記錄。 您必須在 Exchange Online 中指派權限。 這是因為用來搜尋稽核記錄的基礎 Cmdlet 是 Exchange Online Cmdlet。

步驟 1:搜尋 監管人所執行活動的稽核記錄

  1. 移至 eDiscovery > eDiscovery (Premium) 並開啟案例。

  2. 選取 [ 來源] 索引標籤

  3. 在 [ 監管人 ] 頁面上,從清單中選取監管人,然後選取飛出視窗頁面上的 [ 檢視監管人活動 ]。

    [監管人活動] 搜尋頁面隨即顯示。 請注意,您在上一個步驟中選取的監管人會顯示在 [ 監管人 ] 下拉式方塊中。 您可以在下拉式方塊中選取不同的監管人,但一次只能搜尋一位監管人的活動。

    監管人活動搜尋頁面。

  4. 設定下列搜尋準則:

    1. 活動 - 選取下拉式清單以顯示您可以搜尋的活動。 執行搜尋後,系統只會顯示所選活動的稽核記錄。 選 取 [顯示所有活動的結果 ] 會顯示監管人執行且符合其他搜尋準則之所有活動的結果。

      活動清單。

    2. 開始日期和結束日期 - 選取日期和時間範圍,以顯示該期間內發生的事件。 根據預設會選取過去七天。 日期和時間以國際標準時間 (UTC) 格式表示。 您可以指定的最大日期範圍是一年。

    3. 監管人 - 在此方塊中選取,然後選取要顯示搜尋結果的特定監管人。 結果清單會顯示您在此方塊中選取的使用者所執行的選定活動之稽核記錄。

  5. 取 [搜尋][按鈕]。使用您的搜尋準則執行搜尋。 搜尋結果會載入,並在幾分鐘后顯示在 [監管人活動] 搜尋頁面的 [結果] 下方。

步驟 2:檢視稽核記錄搜尋結果

稽核記錄搜尋的結果會顯示在 [監管人稽核記錄] 頁面的 [結果] 下方。 最多 5,000 個 (最新的) 事件會以 150 個事件的增量顯示。 若要顯示更多事件,您可以使用 [結果] 窗格中的滾動條,也可以按 Shift + End 顯示接下來的 150 個事件。

結果會包含搜尋所傳回之每個事件的下列相關資訊。

  • 日期:事件發生時的日期和時間 (以 UTC 格式顯示)。
  • IP 位址:記錄活動時所使用的裝置之 IP 位址。 IP 位址會以 IPv4 或 IPv6 位址格式顯示。
  • 使用者:執行動作並觸發事件的使用者 (或服務帳戶)。
  • 活動:使用者執行的活動。 這個值對應您在 [活動] 下拉式清單中選取的活動。 若是來自 Exchange 系統管理員稽核記錄的事件,此欄中的這個值則是 Exchange Cmdlet。
  • 項目:已建立或修改為對應活動結果的物件。 例如,已檢視或修改的檔案或已更新的使用者帳戶。 並非所有活動在此資料行中都具有值。
  • 詳細資料:有關活動的其他詳細資料。 同樣地,並非所有活動都會有值。

步驟 3:篩選搜尋結果

除了排序,您也可以篩選稽核記錄搜尋的結果。 這可協助您快速篩選特定用戶或活動的結果。

若要篩選結果:

  1. 建立並執行稽核記錄搜尋。

  2. 顯示結果時,選取 [ 篩選結果]

  3. 關鍵字方塊隨即顯示在每個欄標頭底下。

  4. 根據您要篩選的數據行,選取數據行標頭下的其中一個方塊,然後輸入單字或片語。 結果將動態重新調整為顯示與您的篩選相符之事件。

  5. 若要清除篩選,請在篩選方塊中選取 X ,或只選取 [隱藏篩選]

將搜尋結果匯出至檔案

您可以將稽核記錄搜尋的結果匯出至本機電腦上 CSV) 檔案 (逗號分隔值。 您可以在 Microsoft Excel 中開啟此檔案,並使用搜尋、排序、篩選和分割單一數據行 (等功能,其中包含) 多個數據行的多重值單元格。

  1. 執行稽核記錄搜尋,然後修改搜尋準則,直到您獲得想要的結果為止。

  2. 選取 [匯出結果],然後選取下列其中一個選項:

    • 儲存載入的結果:選擇此選項,只匯出 [監管人稽核記錄搜尋] 頁面上 [結果] 底下顯示的專案。 下載的 CSV 檔案會包含與頁面上顯示相同的欄 (及資料) (日期、使用者、活動、項目及詳細資料)。 標題為 [ 更多) ] 的其他數據行 (包含在 CSV 檔案中,其中包含稽核記錄專案的詳細資訊。 因為您正在匯出 [稽核記錄搜尋] 頁面上所載入的相同結果 (且可檢視),因此最多可匯出 5,000 個項目。

    • 下載所有結果: 選擇此選項可從符合搜尋準則的稽核記錄匯出所有專案。 對於一組大型的搜尋結果,選擇此選項可從稽核記錄下載所有專案,以及可在 監管人稽核記錄 搜尋頁面上顯示的 5,000 個結果。 此選項會將原始數據從稽核記錄下載到 CSV 檔案,並在名為 AuditData 的數據行中包含稽核記錄專案的其他資訊。 如果您選擇此匯出選項,下載檔案可能需要較久的時間。這是因為如果您選擇其他選項,檔案可能會遠大於下載的檔案。

      重要事項

      您可以從單一稽核記錄搜尋下載最多 50,000 個項目至 CSV 檔案。 如果已下載 50,000 個項目至 CSV 檔案,您可能可以假設有超過 50,000 個符合搜尋準則的事件。 若要匯出的內容超過此限制,請嘗試使用日期範圍來縮小稽核記錄項目的數量。 您可能需要使用較小的日期範圍執行多次搜尋,以匯出 50,000 個以上的項目。

  3. 選取匯出選項之後,視窗底部會顯示一則訊息,提示您開啟 CSV 檔案、將它儲存至 [下載] 資料夾,或將它儲存至特定資料夾

如需檢視、篩選或匯出稽核記錄搜尋結果的詳細資訊,請參閱 搜尋 稽核記錄