搜尋稽核記錄
組織可以在 Microsoft Purview 合規性入口網站中使用稽核記錄搜尋工具來搜尋統一的稽核記錄。 如此一來,組織就可以檢視使用者和系統管理員活動。 例如,組織可能需要判斷使用者是檢視特定文件,還是從其信箱清除項目。
在數十個 Microsoft 365 服務和解決方案中執行的數千個使用者和管理作業會擷取、記錄並保留在組織的整合稽核記錄中。 貴組織中的使用者可以使用稽核記錄搜尋工具以搜尋、檢視及匯出 (為 CSV 檔案) 這些作業的稽核記錄。
支援稽核的 Microsoft 365 服務
Microsoft 365 支援稽核記錄,讓組織可以搜尋它以尋找在不同 Microsoft 365 服務中執行的活動。 下表列出整合稽核記錄所支援的 Microsoft 365 服務和功能 (按字母順序)。
| Microsoft 365 服務或功能 | 記錄類型 |
|---|---|
| Microsoft Entra ID | AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon |
| Azure 資訊保護 | AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat |
| 通訊合規性 | ComplianceSuperVisionExchange |
| 內容總管 | LabelContentExplorer |
| 資料連接器 | ComplianceConnector |
| 資料外洩防護 (DLP) | ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint |
| Dynamics 365 | CRM |
| 電子文件探索 | 探索, AeD |
| 完全資料比對 | MipExactDataMatch |
| Exchange Online | ExchangeAdmin, ExchangeItem, ExchangeItemAggregated |
| 表單 | MicrosoftForms |
| 資訊屏障 | InformationBarrierPolicyApplication |
| Microsoft Defender XDR | AirInvestigation, AirManualInvestigation, AirAdminActionInvestigation, MS365DCustomDetection |
| Microsoft Teams | MicrosoftTeams |
| MyAnalytics | MyAnalyticsSettings |
| 商務用 OneDrive | OneDrive |
| Power 應用程式 | PowerAppsApp, PowerAppsPlan |
| Power Automate | MicrosoftFlow |
| Power BI | PowerBIAudit |
| 隔離 | 隔離 |
| 保留原則和保留標籤 | MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation |
| 敏感性資訊類型 | DlpSensitiveInformationType |
| 敏感度標籤 | MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch |
| 加密郵件入口網站 | OMEPortal |
| SharePoint Online | SharePoint,SharePointFileOperation,SharePointSharingOperation,SharePointListOperation,SharePointCommentOperation |
| 資料流 | MicrosoftStream |
| 威脅情報 | ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent |
| 工作場所分析 | WorkplaceAnalytics |
| Yammer | Yammer |
| SystemSync | DataShareCreated、DataShareDeleted、GenerateCopyOfLakeData、DownloadCopyOfLakeData |
上表也會識別記錄類型值, 用來在對應服務中搜尋活動的稽核記錄。 搜尋可以使用 Exchange Online PowerShell 中的 Search-UnifiedAuditLog Cmdlet 或使用 PowerShell 指令碼來進行。 有些服務在同一個服務中有多個不同類型的活動記錄類型。 有關稽核記錄類型的完整清單, 請參閱 Office 365 管理活動 API 結構描述。
其他閲讀資源。 有關使用 PowerShell 搜尋稽核記錄的詳細資訊, 請參閱:
搜尋稽核記錄
在 Microsoft Purview 合規性入口網站內搜尋稽核記錄的流程包括下列步驟:
- 執行稽核記錄搜尋。
- 檢視搜尋結果。
- 將搜尋結果匯出至檔案。
下列各節會更詳細討論這些步驟。
步驟 1:執行稽核記錄搜尋
登入 Microsoft Purview 合規性入口網站。
提示
使用私人瀏覽工作階段 (不是一般工作模式) 來存取合規性入口網站。 如此一來,您目前登入的認證將遭到禁止使用。 按 CTRL + SHIFT + N 開啟 Microsoft Edge 的 InPrivate 瀏覽工作階段,或在 Google Chrome 中開啟私人瀏覽工作階段 (稱為無痕式視窗)。
在 Microsoft Purview 合規性入口網站中,選取左側瀏覽窗格中的 [稽核]。
注意事項
如果顯示 [開始記錄使用者和系統管理活動] 連結,請按一下它以開啟稽核。 如果您沒有看到此連結,表示貴組織已開啟稽核。
在 [稽核] 頁面上,預設會顯示 [搜尋] 索引標籤。 在此索引標籤中設定下列搜尋準則:
![Microsoft Purview 合規性入口網站中 [稽核] 頁面的螢幕擷取畫面,其中顯示可設定的各種設定。](../../wwl/manage-microsoft-purview-audit-standard/media/audit-log-search-page-1-5b694ad3.png)
答: 開始日期和結束日期. 根據預設會選取過去七天。 選取日期和時間範圍,以顯示該期間內已發生的事件。 日期和時間以當地時間顯示。 您可以指定的最大日期範圍是 180 天。 如果選取的日期範圍大於180天,則會顯示錯誤。
如果您使用的日期範圍上限為 180 天,請選取 [開始日期] 的目前時間。 否則,您會收到一則錯誤表示開始日期早於結束日期。 如果您在過去 180 天內實作稽核,則無法在實作稽核的日期之前開始最大日期範圍。
B. 活動. 選取下拉式清單以顯示您可以搜尋的活動。 使用者和系統管理員活動會歸類成相關活動的群組。 您可以選取特定活動,或者也可以選取活動群組名稱以選取該群組中的所有活動。 您也可以選取選定的活動以清除選取。 執行搜尋後,只會顯示選定活動的稽核記錄項目。 選取 [顯示所有活動的結果] 會顯示選定使用者或使用者群組所執行的所有活動結果。 稽核記錄中會記錄超過 100 個使用者和系統管理員活動。
C. 使用者. 在此方塊中選取,然後選取要顯示搜尋結果的一或多個使用者。 結果清單會顯示您在此方塊中選取的使用者所執行的選定活動之稽核記錄項目。 若要傳回組織中所有使用者 (及服務帳戶) 的項目,請將此方塊保留空白。
D. 檔案,資料夾,或網站。 輸入檔案或資料夾名稱的部分或全部,以搜尋含有特定關鍵字的資料夾檔案相關活動。 您也可以指定檔案或資料夾的 URL。 如果您使用 URL,請確定您輸入了完整的 URL 路徑,或者,如果您只輸入部分 URL,請不要包含任何特殊字元或空格。 不過,支援使用萬用字元 (*)。
若要傳回貴組織中所有檔案和資料夾的項目,請將此方塊保留空白。
- 如果您要尋找與網站相關的所有活動,在 URL 後面加入萬用字元 (*) 可傳回該網站的所有項目。 例如:
https://contoso-my.sharepoint.com/personal* - 如果您要尋找與檔案相關的所有活動,在檔案名稱前面加入萬用字元 (*) 可傳回該檔案的所有項目。 例如:*Customer_Profitability_Sample.csv
- 如果您要尋找與網站相關的所有活動,在 URL 後面加入萬用字元 (*) 可傳回該網站的所有項目。 例如:
選取 [搜尋] 以使用您的搜尋準則執行搜尋。
步驟 2:檢視搜尋結果
開始搜尋之後,就會載入結果。 幾分鐘後,它們會顯示在新頁面上。 完成搜尋後,隨即顯示找到的結果數量。
系統會以 150 個事件為增量,最多顯示 50,000 個事件。 如果超過 50,000 個事件符合搜尋準則,則只會顯示傳回的 50,000 個未排序事件。
稽核記錄搜尋的結果會顯示在 [稽核記錄搜尋] 頁面的 [結果] 底下。 如先前所述,系統最多可顯示 50,000 個 (最新) 事件,每向下捲動一次則可顯示 150 個事件。 使用捲軸或 Shift + End 以顯示接下來的 150 個事件。
結果會包含搜尋所傳回之每個事件的下列相關資訊:
日期。 事件發生時的日期和時間 (以當地時間顯示)。
IP 位址。 記錄活動時所使用的裝置之 IP 位址。 IP 位址會以 IPv4 或 IPv6 位址格式顯示。
注意事項
針對某些服務,此欄位中顯示的值可能是代表使用者呼叫服務的受信任應用程式 (例如 Office 網頁版應用程式) 的 IP 位址,而不是執行活動的人員使用之裝置的 IP 位址。 此外,對於系統管理員活動 (或系統帳戶針對 Microsoft Entra 相關事件) 執行的活動,不會記錄 IP 位址。 因此,此欄位中顯示的值為 null。
[使用者]。 執行動作並觸發事件的使用者 (或服務帳戶)。
活動。 使用者執行的活動。 這個值對應在 [活動] 下拉式清單中選取的活動。 若是來自 Exchange 系統管理員稽核記錄的事件,此欄中的這個值則是 Exchange Cmdlet。
項目。 已建立或修改為對應活動結果的物件。 例如,已檢視或修改的檔案或已更新的使用者帳戶。 並非所有活動在此資料行中都具有值。
詳細資料。 有關活動的其他資訊。 同樣地,並非所有活動都會有值。
提示
選取 [結果] 下的欄位標頭以排序結果。 您可以將結果排序為由 A 至 Z 或由 Z 至 A。選取 [日期] 標頭以將結果依最舊至最新或最新至最舊排序。
您可以選取搜尋結果清單中的事件記錄,以檢視與事件相關的更多詳細資料。 顯示包含事件記錄中詳細屬性的飛出視窗頁面。 顯示的屬性視事件發生的服務而定。
步驟 3:將搜尋結果匯出至檔案
組織可以匯出稽核記錄搜尋的結果。 結果會匯出至本機電腦上以逗號分隔值 (CSV) 的檔案。 此檔案可以在 Microsoft Excel 中開啟。 您可以使用搜尋、排序、篩選,以及將單一欄位 (含有多重屬性) 分割為多個欄位等功能。
執行稽核記錄搜尋,然後修改搜尋準則,直到您獲得想要的結果為止。
在 [搜尋結果] 頁面上,選取 [匯出],然後選取 [下載所有結果]。
稽核記錄中符合搜尋條件的所有項目都會匯出至 CSV 檔案。 稽核記錄中的原始資料會儲存至 CSV 檔案。 來自稽核記錄項目的其他資訊會包含在 CSV 檔案中名稱為 AuditData 的欄位。
重要事項
您可以從單一稽核記錄搜尋下載最多 50,000 個項目至 CSV 檔案。 如果已下載 50,000 個項目至 CSV 檔案,您可能可以假設有超過 50,000 個符合搜尋準則的事件。 若要匯出的內容超過此限制,請嘗試使用日期範圍來縮小稽核記錄項目的數量。 您可能需要使用較小的日期範圍執行多次搜尋,以匯出 50,000 個以上的項目。
匯出流程完成之後,視窗頂端會顯示一則訊息,提示您開啟 CSV 檔案,並將其儲存到您的本地電腦。 您也可以在 [檔案總管] 中的 [下載] 資料夾存取此 CSV 檔案。
搜尋稽核記錄的祕訣
組織在搜尋稽核記錄時,應記住下列事項:
有多種方式可以選取活動:
您可以選取活動名稱,以選取要搜尋的特定活動。
或者您也可以選取群組名稱,以搜尋群組中的所有活動 (例如檔案和資料夾活動)。
如果已選取活動,您可以按一下它以取消選取。
您也可以使用搜尋方塊顯示含有您輸入的關鍵字之活動。
![螢幕擷取畫面顯示 [稽核記錄搜尋] 視窗,其中包含顯示各種搜尋提示的圖說文字。](../../wwl/manage-microsoft-purview-audit-standard/media/tips-for-run-audit-log-search-db8a937e.png)
您必須在 [活動] 清單中選取 [顯示所有活動的結果],才能顯示來自 Exchange 系統管理員稽核記錄的事件。 來自此稽核記錄的事件會在結果的 [活動] 欄位中顯示 Cmdlet 名稱 (例如 Set-Mailbox)。
同樣地,也會有些稽核活動在 [活動] 清單中沒有對應的項目。 若您知道這些活動的作業名稱,即可搜尋所有活動,然後在將搜尋結果匯出至 CSV 檔案之後篩選作業。
選取 [清除] 以清除目前的搜尋準則。 日期範圍會回到過去七天的預設值。 若要取消所有選取的活動,請選取 [全部清除] 以顯示所有活動的結果。
如果找到 50,000 個結果,您或許可以假設有超過 50,000 個符合搜尋準則的事件。 您可以:
- 精簡搜尋準則,然後重新執行搜尋以傳回較少的結果。
- 選取 [匯出結果],然後選取 [下載所有結果],以匯出所有搜尋結果。
知識檢查
為以下每個問題選擇最佳的回應。 然後選取「檢查您的答案」。