الملاحظات

تصدير سجلات سجل التدقيق وتكوينها وعرضها

  • مقالة
  • قراءة خلال 6 دقائق

ملاحظة

يسمى التوافق Microsoft 365 الآن Microsoft Purview وقد تم تغيير تسمية الحلول داخل منطقة الامتثال. لمزيد من المعلومات حول Microsoft Purview، راجع إعلان المدونة.

بعد البحث في سجل التدقيق وتنزيل نتائج البحث إلى ملف CSV، يحتوي الملف على عمود يسمى AuditData، والذي يحتوي على معلومات إضافية حول كل حدث. يتم تنسيق البيانات الموجودة في هذا العمود ككائن JSON، والذي يحتوي على خصائص متعددة تم تكوينها كأزواج خصائص:قيم مفصولة بفواصل. يمكنك استخدام ميزة تحويل JSON في محرر Power Query في Excel لتقسيم كل خاصية في كائن JSON في عمود AuditData إلى أعمدة متعددة بحيث يكون لكل خاصية عمودها الخاص. يتيح لك ذلك الفرز والتصفية على واحدة أو أكثر من هذه الخصائص، والتي يمكن أن تساعدك على تحديد موقع بيانات التدقيق المحددة التي تبحث عنها بسرعة.

الخطوة 1: تصدير نتائج البحث في سجل التدقيق

الخطوة الأولى هي البحث في سجل التدقيق ثم تصدير النتائج في ملف قيمة مفصولة بفواصل (CSV) إلى الكمبيوتر المحلي.

  1. قم بتشغيل البحث في سجل التدقيق ومراجعة معايير البحث إذا لزم الأمر حتى تحصل على النتائج المطلوبة.

  2. في صفحة نتائج البحث، انقر فوق ExportDownload > كافة النتائج.

    انقر فوق "تنزيل كافة النتائج".

    يقوم هذا الخيار بتصدير كافة سجلات التدقيق من بحث سجل التدقيق الذي قمت بتشغيله في الخطوة 1، ويضيف البيانات الأولية من سجل التدقيق إلى ملف CSV. يستغرق الأمر بعض الوقت لإعداد ملف التنزيل لإجراء بحث كبير. ستنتج الملفات الكبيرة عند البحث عن كافة الأنشطة أو استخدام نطاق تاريخ واسع.

  3. بعد اكتمال عملية التصدير، يتم عرض رسالة في أعلى النافذة تطالبك بفتح ملف CSV وحفظه على الكمبيوتر المحلي. يمكنك أيضا الوصول إلى ملف CSV في مجلد التنزيلات.

    ملاحظة

    يمكنك تنزيل 50000 إدخال كحد أقصى إلى ملف CSV من بحث سجل تدقيق واحد. إذا تم تنزيل 50,000 إدخال إلى ملف CSV، يمكنك على الأرجح افتراض وجود أكثر من 50,000 حدث تفي بمعايير البحث. لتصدير أكثر من هذا الحد، حاول استخدام نطاق تاريخ أضيق لتقليل عدد سجلات سجل التدقيق. قد تحتاج إلى تشغيل عمليات بحث متعددة مع نطاقات تاريخ أصغر لتصدير أكثر من 50000 إدخال.

الخطوة 2: تنسيق سجل التدقيق الذي تم تصديره باستخدام محرر Power Query

الخطوة التالية هي استخدام ميزة تحويل JSON في محرر Power Query في Excel لتقسيم كل خاصية في كائن JSON في عمود AuditData إلى عمودها الخاص. ثم تقوم بتصفية الأعمدة لعرض السجلات استنادا إلى قيم خصائص معينة. يمكن أن يساعدك هذا في تحديد موقع بيانات التدقيق المحددة التي تبحث عنها بسرعة.

  1. افتح مصنفا فارغا في Excel ل Office 365 أو Excel 2019 أو Excel 2016.

  2. على علامة التبويب "بيانات "، في مجموعة شريط "الحصول على & تحويل البيانات "، انقر فوق "من نص/CSV".

    على علامة التبويب "بيانات"، انقر فوق "من نص/CSV".

  3. افتح ملف CSV الذي قمت بتنزيله في الخطوة 1.

  4. في النافذة المعروضة، انقر فوق "تحويل البيانات".

    انقر فوق "تحويل البيانات".

    يتم فتح ملف CSV في محرر Power Query. هناك أربعة أعمدة: CreateDate و UserIds و Operations و AuditData. العمود AuditData هو كائن JSON يحتوي على خصائص متعددة. الخطوة التالية هي إنشاء عمود لكل خاصية في كائن JSON.

  5. انقر بزر الماوس الأيمن فوق العنوان في عمود AuditData ، وانقر فوق تحويل، ثم انقر فوق JSON.

    انقر بزر الماوس الأيمن فوق عمود AuditData، وانقر فوق Transform، ثم حدد JSON.

  6. في الزاوية العلوية اليسرى من عمود AuditData ، انقر فوق أيقونة التوسيع.

    في عمود AuditData، انقر فوق أيقونة التوسيع.

    يتم عرض قائمة جزئية بالخصائص في كائنات JSON في عمود AuditData .

  7. انقر فوق "تحميل المزيد " لعرض كافة الخصائص في كائنات JSON في عمود AuditData .

    انقر فوق "تحميل المزيد" لعرض كافة الخصائص في كائن JSON.

    يمكنك إلغاء تحديد خانة الاختيار إلى جانب أي خاصية لا تريد تضمينها. يعد التخلص من الأعمدة غير المفيدة للتحقيق الخاص بك طريقة جيدة لتقليل كمية البيانات المعروضة في سجل التدقيق.

    ملاحظة

    تستند خصائص JSON المعروضة في لقطة الشاشة السابقة (بعد النقر فوق تحميل المزيد) إلى الخصائص الموجودة في عمود AuditData من أول 1000 صف في ملف CSV. إذا كانت هناك خصائص JSON مختلفة في السجلات بعد أول 1000 صف، فلن يتم تضمين هذه الخصائص (وعمود مقابل) عند تقسيم عمود AuditData إلى أعمدة متعددة. للمساعدة في منع ذلك، ضع في اعتبارك إعادة تشغيل البحث في سجل التدقيق وتضييق معايير البحث بحيث يتم إرجاع عدد أقل من السجلات. هناك حل بديل آخر وهو تصفية العناصر في عمود العمليات لتقليل عدد الصفوف (قبل تنفيذ الخطوة 5 أعلاه) قبل تحويل كائن JSON في عمود AuditData .

    تلميح

    لعرض سمة ضمن قائمة مثل AuditData.AffectedItems، انقر فوق الأيقونة "توسيع " في الزاوية العلوية اليسرى من العمود الذي تريد سحب سمة منه، ثم حدد "توسيع إلى صف جديد". من هناك سيكون سجلا ويمكنك النقر فوق الأيقونة "توسيع " في الزاوية العلوية اليسرى من العمود، وعرض السمات، وتحديد السمة التي تريد عرضها أو استخراجها.

  8. قم بأحد الإجراءات التالية لتنسيق عنوان الأعمدة التي تمت إضافتها لكل خاصية JSON محددة.

    • إلغاء تحديد خانة الاختيار "استخدام اسم العمود الأصلي كبادئة " لاستخدام اسم الخاصية JSON كاسم الأعمدة؛ على سبيل المثال، RecordType أو SourceFileName.

    • اترك خانة الاختيار "استخدام اسم العمود الأصلي كبادئة " محددة لإضافة بادئة AuditData إلى أسماء الأعمدة؛ على سبيل المثال، AuditData.RecordType أو AuditData.SourceFileName.

  9. انقر فوق موافق.

    يتم تقسيم عمود AuditData إلى أعمدة متعددة. يتوافق كل عمود جديد مع خاصية في كائن AuditData JSON. يحتوي كل صف في العمود على قيمة الخاصية. إذا لم تتضمن الخاصية قيمة، فسيتم عرض القيمة الخالية . في Excel، تكون الخلايا ذات القيم الخالية فارغة.

  10. على علامة التبويب "الصفحة الرئيسية"، انقر فوق "إغلاق & التحميل" لإغلاق محرر Power Query وفتح ملف CSV الذي تم تحويله في مصنف Excel.

استخدام PowerShell للبحث عن سجلات سجل التدقيق وتصديرها

بدلا من استخدام أداة البحث في سجل التدقيق في مدخل توافق Microsoft Purview، يمكنك استخدام Search-UnifiedAuditLog cmdlet في Exchange Online PowerShell لتصدير نتائج البحث في سجل التدقيق إلى ملف CSV. ثم يمكنك اتباع نفس الإجراء الموضح في الخطوة 2 لتنسيق سجل التدقيق باستخدام محرر Power Query. تتمثل إحدى مزايا استخدام PowerShell cmdlet في أنه يمكنك البحث عن أحداث من خدمة معينة باستخدام معلمة RecordType . فيما يلي بعض الأمثلة على استخدام PowerShell لتصدير سجلات التدقيق إلى ملف CSV حتى تتمكن من استخدام محرر Power Query لتحويل كائن JSON في عمود AuditData كما هو موضح في الخطوة 2.

في هذا المثال، قم بتشغيل الأوامر التالية لإرجاع كافة السجلات المتعلقة بعمليات مشاركة SharePoint.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

يتم تصدير نتائج البحث إلى ملف CSV يسمى PowerShellAuditlog الذي يحتوي على أربعة أعمدة: CreationDate و UserIds و RecordType و AuditData).

يمكنك أيضا استخدام الاسم أو قيمة قائمة التعداد لنوع السجل كقيمة للمعلمة RecordType . للحصول على قائمة بأسماء أنواع السجلات وقيم التعداد المقابلة لها، راجع جدول AuditLogRecordType في مخطط واجهة برمجة تطبيقات نشاط الإدارة Office 365.

يمكنك تضمين قيمة واحدة فقط للمعلمة RecordType . للبحث عن سجلات التدقيق لأنواع سجلات أخرى، يجب تشغيل الأمرين السابقين مرة أخرى لتحديد نوع سجل مختلف وإلحاق هذه النتائج إلى ملف CSV الأصلي. على سبيل المثال، يمكنك تشغيل الأمرين التاليين لإضافة أنشطة ملف SharePoint من نطاق التاريخ نفسه إلى ملف PowerShellAuditlog.csv.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

تلميحات لتصدير سجل التدقيق وعرضه

فيما يلي بعض التلميحات والأمثلة لتصدير سجل التدقيق وعرضه قبل وبعد استخدام ميزة تحويل JSON لتقسيم عمود AuditData إلى أعمدة متعددة.

  • قم بتصفية عمود RecordType لعرض السجلات من خدمة معينة أو منطقة وظيفية فقط. على سبيل المثال، لإظهار الأحداث المتعلقة بمشاركة SharePoint، يمكنك تحديد 14 (قيمة تعداد السجلات التي تم تشغيلها بواسطة أنشطة مشاركة SharePoint). للحصول على قائمة بالخدمات التي تتوافق مع قيم قائمة التعداد المعروضة في عمود RecordType ، راجع الخصائص المفصلة في سجل التدقيق.

  • تصفية عمود العمليات لعرض سجلات أنشطة معينة. للحصول على قائمة بمعظم العمليات التي تتوافق مع نشاط قابل للبحث في أداة البحث في سجل التدقيق في مدخل التوافق، راجع قسم "الأنشطة التي تم تدقيقها" في البحث في سجل التدقيق.