Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen

Hinweis

Microsoft 365 Compliance wird jetzt Microsoft Purview genannt, und die Lösungen im Compliancebereich wurden umbenannt. Weitere Informationen zu Microsoft Purview finden Sie in der Blogankündigung und im Artikel "Was ist Microsoft Purview?" .

Nachdem Sie das Überwachungsprotokoll durchsucht und die Suchergebnisse in eine CSV-Datei heruntergeladen haben, enthält die Datei eine Spalte mit dem Namen AuditData, die zusätzliche Informationen zu jedem Ereignis enthält. Die Daten in dieser Spalte sind als JSON-Objekt formatiert, das mehrere Eigenschaften enthält, die als Eigenschaft:Wert-Paare durch Kommas getrennt konfiguriert sind. Sie können das JSON-Transformationsfeature im Power Query-Editor in Excel verwenden, um jede Eigenschaft im JSON-Objekt in der Spalte AuditData in mehrere Spalten aufzuteilen, sodass jede Eigenschaft eine eigene Spalte hat. Auf diese Weise können Sie nach einer oder mehreren dieser Eigenschaften sortieren und filtern, wodurch Sie die gewünschten Überwachungsdaten schnell finden können.

Schritt 1: Exportieren von Überwachungsprotokollsuchergebnissen

Der erste Schritt besteht darin, das Überwachungsprotokoll zu durchsuchen und dann die Ergebnisse in einer CSV-Datei (Comma-Separated Value) auf Ihren lokalen Computer zu exportieren.

  1. Führen Sie eine Überwachungsprotokollsuche aus, und überarbeiten Sie die Suchkriterien bei Bedarf, bis Sie die gewünschten Ergebnisse haben.

  2. Klicken Sie auf der Seite mit den Suchergebnissen auf Export > Alle Ergebnisse herunterladen.

    Klicken Sie auf "Alle Ergebnisse herunterladen".

    Diese Option exportiert alle Überwachungsdatensätze aus der Überwachungsprotokollsuche, die Sie in Schritt 1 ausgeführt haben, und fügt die Rohdaten aus dem Überwachungsprotokoll einer CSV-Datei hinzu. Es dauert eine Weile, bis die Downloaddatei für eine große Suche vorbereitet ist. Große Dateien ergeben sich bei der Suche nach allen Aktivitäten oder bei Verwendung eines breiten Datumsbereichs.

  3. Nach Abschluss des Exportvorgangs wird am oberen Rand des Fensters eine Nachricht angezeigt, in der Sie aufgefordert werden, die CSV-Datei zu öffnen und sie auf Ihrem lokalen Computer zu speichern. Sie können auch im Ordner „Downloads“ auf die CSV-Datei zugreifen.

    Hinweis

    Aus seiner einzigen Suche in einer Protokolldatei können Sie maximal 50.000 Einträge in eine CSV-Datei herunterladen. Wenn 50.000 Einträge in die CSV-Datei heruntergeladen werden, können Sie wahrscheinlich davon ausgehen, dass mehr als 50.000 Ereignisse die Suchkriterien erfüllen. Wenn Sie mehr als diesen Grenzwert exportieren möchten, versuchen Sie, einen engeren Datumsbereich zu verwenden, um die Anzahl der Überwachungsprotokolldatensätze zu verringern. Möglicherweise müssen Sie mehrere Suchläufe mit kleineren Datumsbereichen durchführen, um mehr als 50.000 Einträge zu exportieren.

Schritt 2: Formatieren des exportierten Überwachungsprotokolls mithilfe der Power Query-Editor

Der nächste Schritt besteht darin, die JSON-Transformationsfunktion im Power Query-Editor in Excel zu verwenden, um jede Eigenschaft im JSON-Objekt in der Spalte "AuditData" in eine eigene Spalte aufzuteilen. Anschließend filtern Sie Spalten, um Datensätze basierend auf den Werten bestimmter Eigenschaften anzuzeigen. Dies kann Ihnen helfen, die spezifischen Überwachungsdaten, nach denen Sie suchen, schnell zu finden.

  1. Öffnen Sie eine leere Arbeitsmappe in Excel für Office 365, Excel 2019 oder Excel 2016.

  2. Klicken Sie auf der Registerkarte "Daten " in der Menübandgruppe "& Daten transformieren " auf " Aus Text/CSV".

    Klicken Sie auf der Registerkarte "Daten" auf "Aus Text/CSV".

  3. Öffnen Sie die CSV-Datei, die Sie in Schritt 1 heruntergeladen haben.

  4. Klicken Sie in dem angezeigten Fenster auf "Daten transformieren".

    Klicken Sie auf "Daten transformieren".

    Die CSV-Datei wird im Abfrage-Editor geöffnet. Es gibt vier Spalten: CreationDate, UserIds, Operations und AuditData. Die Spalte "AuditData " ist ein JSON-Objekt, das mehrere Eigenschaften enthält. Der nächste Schritt besteht darin, eine Spalte für jede Eigenschaft im JSON-Objekt zu erstellen.

  5. Klicken Sie mit der rechten Maustaste auf den Titel in der Spalte "AuditData ", klicken Sie auf "Transformieren", und klicken Sie dann auf "JSON".

    Klicken Sie mit der rechten Maustaste auf die Spalte "AuditData", klicken Sie auf "Transformieren", und wählen Sie dann JSON aus.

  6. Klicken Sie in der oberen rechten Ecke der Spalte "AuditData " auf das Symbol "Erweitern".

    Klicken Sie in der Spalte "AuditData" auf das Symbol "Erweitern".

    Es wird eine Teilliste der Eigenschaften in den JSON-Objekten in der Spalte "AuditData " angezeigt.

  7. Klicken Sie auf "Weitere laden ", um alle Eigenschaften in den JSON-Objekten in der Spalte "AuditData " anzuzeigen.

    Klicken Sie auf "Weitere laden", um alle Eigenschaften im JSON-Objekt anzuzeigen.

    Sie können das Kontrollkästchen neben einer beliebigen Eigenschaft aufheben, die Sie nicht einschließen möchten. Das Entfernen von Spalten, die für Ihre Untersuchung nicht nützlich sind, ist eine gute Möglichkeit, die Im Überwachungsprotokoll angezeigte Datenmenge zu reduzieren.

    Hinweis

    Die im vorherigen Screenshot angezeigten JSON-Eigenschaften (nachdem Sie auf "Weitere laden" geklickt haben) basieren auf den Eigenschaften in der Spalte "AuditData " aus den ersten 1.000 Zeilen in der CSV-Datei. Wenn nach den ersten 1.000 Zeilen unterschiedliche JSON-Eigenschaften in Datensätzen vorhanden sind, werden diese Eigenschaften (und eine entsprechende Spalte) nicht einbezogen, wenn die AuditData-Spalte in mehrere Spalten aufgeteilt wird. Um dies zu verhindern, sollten Sie die Überwachungsprotokollsuche erneut ausführen und die Suchkriterien so einschränken, dass weniger Datensätze zurückgegeben werden. Eine weitere Problemumgehung besteht darin, Elemente in der Spalte "Vorgänge " zu filtern, um die Anzahl der Zeilen zu verringern (bevor Sie Schritt 5 oben ausführen), bevor Sie das JSON-Objekt in die Spalte "AuditData " transformieren.

    Tipp

    Wenn Sie ein Attribut in einer Liste anzeigen möchten, z. B. AuditData.AffectedItems, klicken Sie auf das Symbol "Erweitern " in der oberen rechten Ecke der Spalte, aus der Sie ein Attribut abrufen möchten, und wählen Sie dann " Bis neue Zeile erweitern" aus. Von dort aus ist es ein Datensatz, und Sie können in der oberen rechten Ecke der Spalte auf das Symbol " Erweitern " klicken, die Attribute anzeigen und das Symbol auswählen, das Sie anzeigen oder extrahieren möchten.

  8. Führen Sie eine der folgenden Aktionen aus, um den Titel der Spalten zu formatieren, die für jede ausgewählte JSON-Eigenschaft hinzugefügt werden.

    • Deaktivieren Sie das Kontrollkästchen "Ursprünglichen Spaltennamen als Präfix verwenden", um den Namen der JSON-Eigenschaft als Spaltennamen zu verwenden. beispiel: RecordType oder SourceFileName.

    • Lassen Sie das Kontrollkästchen " Ursprünglichen Spaltennamen als Präfix verwenden" aktiviert, um den Spaltennamen das AuditData-Präfix hinzuzufügen. Beispiel: AuditData.RecordType oder AuditData.SourceFileName.

  9. Klicken Sie auf OK.

    Die AuditData-Spalte ist in mehrere Spalten unterteilt. Jede neue Spalte entspricht einer Eigenschaft im AuditData-JSON-Objekt. Jede Zeile in der Spalte enthält den Wert für die Eigenschaft. Wenn die Eigenschaft keinen Wert enthält, wird der NULL-Wert angezeigt. In Excel sind Zellen mit NULL-Werten leer.

  10. Klicken Sie auf der Registerkarte "Start" auf "Schließen" & "Laden", um die Power Query-Editor zu schließen und die transformierte CSV-Datei in einer Excel Arbeitsmappe zu öffnen.

Verwenden von PowerShell zum Durchsuchen und Exportieren von Überwachungsprotokolldatensätzen

Statt das Überwachungsprotokoll-Suchtool im Microsoft Purview Compliance-Portal zu verwenden, können Sie das Cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell verwenden, um die Ergebnisse einer Überwachungsprotokollsuche in eine CSV-Datei zu exportieren. Anschließend können Sie das in Schritt 2 beschriebene Verfahren zum Formatieren des Überwachungsprotokolls mithilfe des Power Query-Editors ausführen. Ein Vorteil der Verwendung des PowerShell-Cmdlets besteht darin, dass Sie mithilfe des RecordType-Parameters nach Ereignissen aus einem bestimmten Dienst suchen können. Hier sind einige Beispiele für die Verwendung von PowerShell zum Exportieren von Überwachungsdatensätzen in eine CSV-Datei, sodass Sie den Power Query-Editor verwenden können, um das JSON-Objekt in der Spalte "AuditData" zu transformieren, wie in Schritt 2 beschrieben.

Führen Sie in diesem Beispiel die folgenden Befehle aus, um alle Datensätze im Zusammenhang mit SharePoint Freigabevorgängen zurückzugeben.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Die Suchergebnisse werden in eine CSV-Datei mit dem Namen PowerShellAuditlog exportiert, die vier Spalten enthält: CreationDate, UserIds, RecordType, AuditData).

Sie können auch den Namen oder den Enumerationswert für den Datensatztyp als Wert für den RecordType-Parameter verwenden. Eine Liste der Datensatztypnamen und der entsprechenden Enumerationswerte finden Sie in der Tabelle "AuditLogRecordType" im Api-Schema Office 365 Verwaltungsaktivität.

Sie können nur einen einzelnen Wert für den RecordType-Parameter einschließen. Um nach Überwachungsdatensätzen für andere Datensatztypen zu suchen, müssen Sie die beiden vorherigen Befehle erneut ausführen, um einen anderen Datensatztyp anzugeben und diese Ergebnisse an die ursprüngliche CSV-Datei anzufügen. Sie würden z. B. die folgenden beiden Befehle ausführen, um SharePoint Dateiaktivitäten aus demselben Datumsbereich zur PowerShellAuditlog.csv Datei hinzuzufügen.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Tipps zum Exportieren und Anzeigen des Überwachungsprotokolls

Hier sind einige Tipps und Beispiele für das Exportieren und Anzeigen des Überwachungsprotokolls vor und nach der Verwendung des JSON-Transformationsfeatures zum Aufteilen der AuditData-Spalte in mehrere Spalten.

  • Filtern Sie die Spalte "RecordType ", um nur die Datensätze aus einem bestimmten Dienst oder Funktionsbereich anzuzeigen. Wenn Sie beispielsweise Ereignisse im Zusammenhang mit SharePoint Freigabe anzeigen möchten, wählen Sie "14" aus (der Enumerationswert für Datensätze, die durch SharePoint Freigabeaktivitäten ausgelöst werden). Eine Liste der Dienste, die den in der Spalte "RecordType " angezeigten Enumerationswerten entsprechen, finden Sie unter Detaillierte Eigenschaften im Überwachungsprotokoll.

  • Filtern Sie die Spalte "Vorgänge ", um die Datensätze für bestimmte Aktivitäten anzuzeigen. Eine Liste der meisten Vorgänge, die einer durchsuchbaren Aktivität im Überwachungsprotokoll-Suchtool im Complianceportal entsprechen, finden Sie im Abschnitt "Überwachte Aktivitäten" im Abschnitt "Durchsuchen des Überwachungsprotokolls".