監査ログを検索し、検索結果をコンマ区切り値 (.csv) ファイルにダウンロードすると、 AuditData という名前の列がファイルに含まれます。 この列には、各イベントに関する追加情報が保持されます。 この列のデータは JSON オブジェクトとして書式設定されます。 このオブジェクトには、コンマで区切られた property:value ペアとして表示される複数のプロパティが含まれています。 Excel のPower Query エディターの JSON 変換機能を使用して、AuditData 列の JSON オブジェクト内の各プロパティを複数の列に分割して、各プロパティに独自の列を含めることができます。 この機能を使用すると、これらのプロパティの 1 つ以上を並べ替えてフィルター処理できます。これは、探している特定の監査データをすばやく見つけるのに役立ちます。
手順 1: 監査ログの検索結果をエクスポートする
重要
エクスポート プロセスが正しく機能するには、Azure Front Door ドメイン (azurefd.net) がネットワーク ファイアウォールによってブロックされていないことを確認します。
Audit (Standard) を使用する場合、1 つの監査検索クエリから最大 50,000 件のレコードを .csv ファイルにエクスポートできます。 監査 (Premium) の場合、エクスポート制限は 100 万レコードに増加します。 監査検索クエリによって返される結果の数がこれらの制限を超えた場合、エクスポートされた .csv ファイルにはすべての結果が含まれていないので、一部の監査ログが省略される可能性があります。 完全なデータ エクスポートを確実に行うために、次の推奨事項を考慮してください。
- 日付範囲を絞り込むか、UserId、Operation などの他のフィルターを適用して、検索クエリのスコープを絞り込みます。
- より小さい、セグメント化された日付範囲で複数の検索を実行して、関連するすべての監査ログをキャプチャします。
この方法は、エクスポート制限の制約内で監査データを包括的にカバーするのに役立ちます。
監査ログを検索し、.csv ファイルの結果をローカル コンピューターにエクスポートするには、次の手順を実行します。
監査ログ検索を実行し、必要に応じて目的の結果になるまで検索条件を変更します。
検索結果ページで、[エクスポート] を選択 します。
![[エクスポート] を選択して、すべての結果をダウンロードします。](media/audit-export-audit-search-results.png)
このオプションは、手順 1 で実行した監査ログ検索からすべての監査レコードをエクスポートします。 監査ログの生データを .csv ファイルに追加します。 大規模な検索用のダウンロード ファイルを準備するにはしばらく時間がかかります。 すべてのアクティビティを検索するとき、または広い日付範囲を使用すると、大きなファイルが生成されます。
エクスポート プロセスが完了すると、ウィンドウの上部に、.csv ファイルを開いてローカル コンピューターに保存するように求めるメッセージが表示されます。 このメッセージを表示するには、ページを更新する必要がある場合があります。 ダウンロード フォルダー内 の .csv ファイルにアクセスすることもできます。
手順 2: Power Query エディターを使用してエクスポートされた監査ログを書式設定する
この手順では、Excel のPower Query エディターの JSON 変換機能を使用して、AuditData 列の JSON オブジェクト内の各プロパティを独自の列に分割します。 次に、列をフィルター処理して、特定のプロパティの値に基づいてレコードを表示します。 このプロセスは、探している特定の監査データをすばやく見つけるのに役立ちます。
Excel for Office 365、Excel 2019、または Excel 2016 で空白のブックを開きます。
[ データ ] タブの [ データの取得] & [データ変換 ] リボン グループ で、[テキスト/CSV から] を選択します。
![[データ] タブで、[テキスト/.csv から] をクリックします。](media/jsontransformopencsvfile.png)
手順 1 でダウンロードした .csv ファイルを開きます。
表示されているウィンドウで [ データの変換] を 選択します。
![[データの変換] を選択します。](media/jsonopenpowerquery.png)
クエリ エディターによって .csv ファイルが開きます。 CreationDate、UserIds、Operations、AuditData の 4 つの列が表示されます。 AuditData 列は、複数のプロパティを含む JSON オブジェクトです。 JSON オブジェクト内の各プロパティの列を作成する必要があります。
AuditData 列でタイトルを右クリックし、[変換] を選択してから、JSON を選択します。
![[AuditData] 列を右クリックし、[変換] をクリックし、[JSON] を選択します。](media/jsontransform.png)
AuditData 列の右上隅にある展開アイコンを選択します。
![[AuditData] 列で、展開アイコンをクリックします。](media/jsontransformexpandicon.png)
[ AuditData ] 列の JSON オブジェクトにプロパティの一部の一覧が表示されます。
[詳細を読み込む] を選択すると、AuditData 列の JSON オブジェクトのすべてのプロパティが表示されます。
![[詳細を読み込む] を選択して、JSON オブジェクトのすべてのプロパティを表示します。](media/jsontransformloadjsonproperties.png)
含めないプロパティの横にあるチェック ボックスをオフにできます。 調査に役立たない列を排除することは、監査ログに表示されるデータの量を減らす良い方法です。
注:
前のスクリーンショットに表示された JSON プロパティ ( [詳細を読み込む] を選択した後) は、.csv ファイルの最初の 1,000 行の AuditData 列にあるプロパティに基づいています。 最初の 1,000 行の後に異なる JSON プロパティがレコードに存在する場合、 AuditData 列を複数の列に分割しても、これらのプロパティ (および対応する列) は表示されません。 この問題を回避するには、監査ログ検索を再実行し、検索基準を絞り込んで、返されるレコードが少ないようにすることを検討してください。 もう 1 つの回避策は、AuditData 列の JSON オブジェクトを変換する前に、(手順 5 を実行する前に) 行数を減らすために Operations 列の項目をフィルター処理することです。
ヒント
AuditData.AffectedItems などのリスト内の属性を表示するには、属性をプルする列の右上隅にある [展開 ] アイコンを選択し、[ 新しい行に展開] を選択します。 そこからレコードがあり、列の右上隅にある [展開 ] アイコンを選択し、属性を表示し、表示または抽出する属性を選択できます。
選択した JSON プロパティごとに追加する列のタイトルを書式設定するには、次のいずれかの操作を行います。
- [元の 列名をプレフィックスとして使用 する] チェック ボックスをオフにして、JSON プロパティの名前を列名として使用します。たとえば、 RecordType や SourceFileName です。
- [ 元の列名をプレフィックスとして使用 する] チェック ボックスをオンのままにして、AuditData プレフィックスを列名に追加します。たとえば、 AuditData.RecordType や AuditData.SourceFileName などです。
[OK] を選択します。
AuditData 列を複数の列に分割します。 各新しい列は、AuditData JSON オブジェクトのプロパティに対応します。 列の各行には、プロパティの値が含まれています。 プロパティに値が含まれていない場合は、 null 値が表示されます。 Excel では、null 値を持つセルは空です。
[ホーム] タブで、[閉じる] & [読み込み] を選択してPower Query エディターを閉じ、変換された .csv ファイルを Excel ブックで開きます。
PowerShell を使用して監査ログ レコードを検索およびエクスポートする
Microsoft Purview ポータルで監査ログ検索ツールを使用する代わりに、Exchange Online PowerShell の Search-UnifiedAuditLog コマンドレットを使用して、監査ログ検索の結果を .csv ファイルにエクスポートできます。 その後、手順 2 で説明したのと同じ手順に従って、Power Query エディターを使用して監査ログを書式設定できます。 PowerShell コマンドレットを使用する利点の 1 つは、RecordType パラメーターを使用して特定のサービスからイベントを検索できることです。 次の例では、PowerShell を使用して監査レコードを .csv ファイルにエクスポートし、手順 2 で説明されているように、Power Query エディターを使用して AuditData 列の JSON オブジェクトを変換する方法を示します。
次の例では、 コマンドを実行して、SharePoint 共有操作に関連するすべてのレコードを返します。
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
検索結果は、CreationDate、UserIds、RecordType、AuditData の 4 つの列を含む PowerShellAuditlog という名前の .csv ファイルにエクスポートされます。
レコードの種類には、名前または列挙値を使用できます。 レコード型の名前とそれに対応する列挙値の一覧については、「Office 365 管理アクティビティ API スキーマ」の AuditLogRecordType 表を参照してください。
RecordType パラメーターに含めることができる値は 1 つだけです。 他のレコードの種類の監査レコードを検索するには、前の 2 つのコマンドをもう一度実行して別のレコードの種類を指定し、その結果を元の .csv ファイルに追加します。 たとえば、次の 2 つのコマンドを実行して、同じ日付範囲の SharePoint ファイル アクティビティを PowerShellAuditlog.csv ファイルに追加します。
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
監査ログをエクスポートおよび表示するためのヒント
JSON 変換機能を使用して AuditData 列を複数の列に分割する前と後に監査ログをエクスポートして表示するヒントと例を次に示します。
- RecordType 列をフィルター処理して、特定のサービスまたは機能領域のレコードのみを表示します。 たとえば、SharePoint 共有に関連するイベントを表示するには、 14 (SharePoint 共有アクティビティによってトリガーされるレコードの列挙値) を選択します。 RecordType 列に表示される列挙値に対応するサービスの一覧については、「監査ログの詳細なプロパティ」を参照してください。
- Operations 列をフィルター処理して、特定のアクティビティのレコードを表示します。 Microsoft Purview ポータルの監査ログ検索ツールの検索可能なアクティビティに対応するほとんどの操作の一覧については、「 監査ログの検索」の「監査アクティビティ」セクションを参照してください。