匯出、 設定及檢視稽核記錄檔的記錄
在您搜尋稽核記錄並將搜尋結果下載至 CSV 檔案之後,檔案會包含名為 AuditData 的資料行。 此資料行包含每個事件的其他相關資訊。 此資料行中的資料會格式化為 JSON 物件,其中包含多個設定為 property:value 組的屬性,且以逗號分隔。
問題:如果在 AuditData 資料行中將多個屬性合併在一起,組織如何排序和篩選一個特定屬性?
回答:透過 Excel 中 Power Query 編輯器中的 JSON 轉換功能。 此功能可讓組織將 AuditData 資料行中 JSON 物件的每個屬性分割成多個資料行。 如此一來,各個屬性都會有自己的資料行。 接著,組織可以依其中一個或多個屬性排序和篩選。 此流程可協助其快速找出所要尋找的特定稽核資料。
步驟 1:匯出稽核記錄搜尋結果
第一個步驟是搜尋稽核記錄,然後將結果用以逗號分隔值 (CSV) 的檔案匯出至本機電腦。
執行稽核記錄搜尋。
如果有必要,修改搜尋準則,直到您獲得想要的結果為止。
在搜尋結果頁面上,選取 [匯出],然後選取 [下載所有結果]。
![[稽核搜尋] 視窗的螢幕擷取畫面,其中已醒目提示 [下載所有結果] 選項。](../../wwl/manage-microsoft-purview-audit-standard/media/export-audit-search-results-553fefa1.png)
此選項會從稽核記錄搜尋匯出所有稽核記錄。 然後會將稽核記錄中的原始資料新增至 CSV 檔案。 準備下載檔案以進行大型搜尋需要一些時間。 搜尋所有活動或使用更大日期範圍時,將會產生大型檔案。
匯出流程完成之後,視窗頂端會顯示一則訊息,提示您開啟 CSV 檔案,並將其儲存到您的本地電腦。 您也可以存取 [下載] 資料夾中的 CSV 檔案。
注意
您可以從單一稽核記錄搜尋下載最多 50,000 個項目至 CSV 檔案。 如果已下載 50,000 個項目至 CSV 檔案,您可能可以假設有超過 50,000 個符合搜尋準則的事件。 若要匯出的內容超過此限制,請嘗試縮小日期範圍來降低稽核記錄的數量。 您可能需要使用較小的日期範圍執行多次搜尋,以匯出 50,000 個以上的項目。
步驟 2:使用 Power Query 編輯器將匯出的稽核記錄格式化
下一個步驟就是 Excel 中 Power Query 編輯器中的 JSON 轉換功能開始運作的地方。 其中一種方法是,使用 Excel 中的 Power Query JSON 轉換功能將 AuditData 資料行中 JSON 物件的每個屬性分割為各自的欄位。 然後,您可以篩選資料行,以根據特定屬性的值來檢視記錄。 如此一來,您就可以快速找出您要尋找的特定稽核資料。
在 Excel 中開啟適用於 Office 365、Excel 2019 或 Excel 2016 的空白活頁簿。
在 [ 數據] 索 引標籤的 [ 取得 & 轉換數據] 功能 區群組中,選取 [ 從文字/CSV]。
![Excel 試算表的螢幕擷取畫面,其中顯示功能區中的 [取得及轉換資料] 區段,並醒目提示 [從文字檔和 CSV] 選項。](../../wwl/manage-microsoft-purview-audit-standard/media/json-transform-open-csv-file-36489bd9.png)
開啟您在步驟 1 中下載的 CSV 檔案。
在顯示的視窗中,選取 [轉換資料]。
![已下載 CSV 檔案的螢幕擷取畫面,其中顯示醒目提示的 [轉換資料] 按鈕。](../../wwl/manage-microsoft-purview-audit-standard/media/json-open-power-query-076b48f4.png)
CSV 檔案會在查詢編輯器中開啟。 有四個欄標籤: CreationDate、UserIds、Operations 和 AuditData。
AuditData 資料行是包含多個屬性的 JSON 物件。 下一個步驟是為 JSON 物件中的每個屬性建立資料行。
以滑鼠右鍵按一下 AuditData 資料行中的標題,選取 [轉換],然後選取 [JSON]。
![在查詢編輯器中開啟的 CSV 檔案螢幕擷取畫面,其中顯示 [稽核資料] 資料行,並醒目提示 [轉換] 選項。](../../wwl/manage-microsoft-purview-audit-standard/media/json-transform-6a2c5ac4.png)
在 AuditData 資料行的右上角,選取展開圖示。
![在查詢編輯器中開啟的 CSV 檔案螢幕擷取畫面,其中顯示 [稽核資料] 資料行,並醒目提示 [展開] 圖示。](../../wwl/manage-microsoft-purview-audit-standard/media/json-transform-expand-icon-b3401c04.png)
AuditData 資料行中 JSON 物件中的屬性部分清單即顯示。
選取 [載入更多] 以在 [AuditData] 資料行中顯示 JSON 物件中的所有屬性。
![在查詢編輯器中開啟的 CSV 檔案螢幕擷取畫面,其中顯示 [稽核資料] 資料行,並醒目提示 [載入更多] 選項。](../../wwl/manage-microsoft-purview-audit-standard/media/json-transform-load-json-properties-f91cbced.png)
您可以取消選取任何不想包括之屬性旁的核取方塊。 排除對您的調查沒有幫助的資料行,是減少稽核記錄中顯示資料量的好方法。
注意事項
上一個螢幕擷取畫面 (在您選取 [載入更多] 之後) 中顯示的 JSON 屬性,是以 CSV 檔案中前 1,000 列的 AuditData 資料行中找到的屬性為基礎。 如果前 1,000 列之後的記錄中有不同的 JSON 屬性,當 AuditData 資料行分割成多個資料行時,這些屬性 (和對應的資料行) 將不會包含。 若要協助避免這種情況,請考慮重新執行稽核記錄搜尋。 但這次請縮小搜尋準則的範圍,以傳回較少的記錄。 另一個因應措施是先篩選 Operations 資料行中的項目,以減少資料列數目 (再執行上述步驟 5),然後再轉換 AuditData 資料行中的 JSON 物件。
提示
若要檢視清單內的屬性,例如 AuditData.AffectedItems,請選取您要從中提取屬性之資料行右上角的 [展開] 圖示。 然後選取 [展開至新列]。 自此它會是一筆記錄,您可以選取資料行右上角的 [展開] 圖示、檢視屬性,然後選取您想要檢視或擷取的屬性。
完成下列其中一個選項,以格式化針對所選取之每個 JSON 屬性新增的資料行標題:
- 取消選取 [使用原始資料行名稱做為前置詞] 核取方塊。 如此一來,JSON 屬性的名稱就會當做資料行名稱使用。 例如,RecordType 或 SourceFileName。
- 保留選取 [使用原始資料行名稱做為前置詞] 核取方塊。 如此一來,AuditData 前置詞就會新增至資料行名稱。 例如 AuditData.RecordType 或 AuditData.SourceFileName。
選取 [確定]。
AuditData 資料行現在會分割成多個資料行。 每個新資料行都會對應至 AuditData JSON 物件中的一個屬性。 資料行中的每個資料列都包含屬性的值。 如果屬性不包含值,則會顯示 Null 值。 在 Excel 中,具有 Null 值的儲存格是空的。
在 [ 首頁] 索引標籤上,選 取 [關閉 & 載入 ] 以關閉 Power Query 編輯器,然後在 Excel 活頁簿中開啟已轉換的 CSV 檔案。
使用 PowerShell 來搜尋和匯出稽核記錄
您可以使用 Exchange Online PowerShell 中的 Search-UnifiedAuditLog Cmdlet,將稽核記錄搜尋的結果匯出至 CSV 檔案,而不是在 Microsoft Purview 合規性入口網站中使用稽核記錄搜尋工具。 然後,您可以遵循步驟 2 中所述的相同程序,使用 Power Query 編輯器來格式化稽核記錄。
使用 PowerShell Cmdlet 的優點之一,是您可以使用 RecordType 參數,搜尋特定服務的事件。 本節顯示使用 PowerShell 將稽核記錄匯出至 CSV 檔案的一些範例,讓您可以使用 Power Query 編輯器在 AuditData 資料行中轉換 JSON 物件,如步驟 2 所述。
在此範例中,執行下列命令以傳回與 SharePoint 共用作業相關的所有記錄。
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
搜尋結果會匯出至名為 PowerShellAuditlog 的 CSV 檔案,其中包含四個欄標籤: CreationDate、UserIds、RecordType、AuditData。
您也可以使用記錄類型的名稱或列舉值做為 RecordType 參數的值。 如需記錄類型名稱及其對應列舉值的清單,請參閱 Office 365 管理活動 API 架構中的 AuditLogRecordType 資料表。
您只能針對 RecordType 參數包括單一值。 若要搜尋其他記錄類型的稽核記錄,您必須再次執行前兩個命令,以指定不同的記錄類型,並將這些結果附加至原始 CSV 檔案。 例如,您會執行下列兩個命令,將相同日期範圍中的 SharePoint 檔案活動新增至 PowerShellAuditlog.csv 檔案。
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
匯出和檢視稽核記錄的提示
以下是在您使用 JSON 轉換功能將 AuditData 資料行分割成多個資料行之前和之後匯出和檢視稽核記錄的一些提示和範例。
- 篩選 RecordType 資料行,只顯示來自特定服務或功能區域的記錄。 例如,若要顯示與 SharePoint 共用相關的事件,您可以選取 14 (SharePoint 共用活動所觸發記錄的列舉值)。 如需對應至 RecordType 資料行中顯示之列舉值的服務清單,請參閱 稽核記錄中的詳細屬性。
- 篩選 Operations 資料行以顯示特定活動的記錄。 如需對應至合規性入口網站中稽核記錄搜尋工具中可搜尋活動的大部分作業清單,請參閱 搜尋稽核記錄中的「稽核活動」一節。