Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-DatensätzenExport, configure, and view audit log records

Nachdem Sie das Überwachungsprotokoll durchsucht und die Suchergebnisse in eine CSV-Datei heruntergeladen haben, enthält die Datei eine Spalte namens AuditData, die zusätzliche Informationen zu jedem Ereignis enthält.After you search the audit log and download the search results to a CSV file, the file contains a column named AuditData, which contains additional information about each event. Die Daten in dieser Spalte sind als JSON-Objekt formatiert, das mehrere Eigenschaften enthält, die als Property:Value-Paare durch Kommas getrennt konfiguriert sind.The data in this column is formatted as a JSON object, which contains multiple properties that are configured as property:value pairs separated by commas. Sie können das JSON-Transformationsfeature im Power Query Editor in Excel verwenden, um jede Eigenschaft im JSON-Objekt in der Spalte AuditData in mehrere Spalten zu teilen, sodass jede Eigenschaft eine eigene Spalte hat.You can use the JSON transform feature in the Power Query Editor in Excel to split each property in the JSON object in the AuditData column into multiple columns so that each property has its own column. Auf diese Weise können Sie eine oder mehrere dieser Eigenschaften sortieren und filtern, wodurch Sie die gesuchten Überwachungsdaten schnell finden können.This lets you sort and filter on one or more of these properties, which can help you quickly locate the specific auditing data you're looking for.

Schritt 1: Exportieren von ÜberwachungsprotokollsuchergebnissenStep 1: Export audit log search results

Der erste Schritt ist das Durchsuchen des Überwachungsprotokolls und anschließendes Exportieren der Ergebnisse in einer CSV-Datei (Comma-Separated Value) auf den lokalen Computer.The first step is to search the audit log and then export the results in a comma-separated value (CSV) file to your local computer.

  1. Führen Sie eine Überwachungsprotokollsuche aus, und überarbeiten Sie die Suchkriterien bei Bedarf, bis Sie die gewünschten Ergebnisse haben.Run an audit log search and revise the search criteria if necessary until you have the desired results.

  2. Klicken Sie auf Ergebnisse exportieren, und wählen Sie Alle Ergebnisse herunterladen aus.Click Export results and select Download all results.

    Klicken Sie auf Alle Ergebnisse herunterladen

    Mit dieser Option können Sie alle Überwachungsdatensätze aus der Überwachungsprotokollsuche exportieren, die Sie in Schritt 1 erstellt haben, und die Rohdaten aus dem Überwachungsprotokoll in eine CSV-Datei herunterladen.This option to exports all the audit records from the audit log search you ran in step 1, and downloads the raw data from the audit log to a CSV file.

    Am unteren Rand des Fensters wird eine Meldung angezeigt, in der Sie aufgefordert werden, die CSV-Datei zu öffnen oder zu speichern.A message is displayed at the bottom of the window that prompts you to open or save the CSV file.

  3. Klicken Sie > Speichern unter, und speichern Sie die CSV-Datei auf Ihrem lokalen Computer.Click Save > Save as and save the CSV file to your local computer. Es dauert eine Weile, bis viele Suchergebnisse heruntergeladen werden.It takes a while to download many search results. Dies ist in der Regel bei der Suche nach allen Aktivitäten oder einem breiten Datumsbereich der Fall.This is typically the case when searching for all activities or a broad date range. Eine Meldung am unteren Rand des Fensters wird angezeigt, wenn die CSV-Datei heruntergeladen wurde.A message at the bottom of the windows is displayed when the CSV file is finished downloading.

    Meldung, die angezeigt wird, wenn der Download der CSV-Datei abgeschlossen ist

Hinweis

Aus seiner einzigen Suche in einer Protokolldatei können Sie maximal 50.000 Einträge in eine CSV-Datei herunterladen.You can download a maximum of 50,000 entries to a CSV file from a single audit log search. Wenn 50.000 Einträge in die CSV-Datei heruntergeladen werden, können Sie wahrscheinlich davon ausgehen, dass mehr als 50.000 Ereignisse die Suchkriterien erfüllen.If 50,000 entries are downloaded to the CSV file, you can probably assume there are more than 50,000 events that met the search criteria. Um mehr als diesen Grenzwert zu exportieren, versuchen Sie, einen Datumsbereich zu verwenden, um die Anzahl der Überwachungsprotokolldatensätze zu reduzieren.To export more than this limit, try using a date range to reduce the number of audit log records. Möglicherweise müssen Sie mehrere Suchläufe mit kleineren Datumsbereichen durchführen, um mehr als 50.000 Einträge zu exportieren.You might have to run multiple searches with smaller date ranges to export more than 50,000 entries.

Schritt 2: Formatieren des exportierten Überwachungsprotokolls mit dem Power Query EditorStep 2: Format the exported audit log using the Power Query Editor

Im nächsten Schritt wird das JSON-Transformationsfeature im Power Query Editor in Excel verwendet, um jede Eigenschaft im JSON-Objekt in der Spalte AuditData in eine eigene Spalte zu teilen.The next step is to use the JSON transform feature in the Power Query Editor in Excel to split each property in the JSON object in the AuditData column into its own column. Anschließend filtern Sie Spalten, um Datensätze basierend auf den Werten bestimmter Eigenschaften anzuzeigen.Then you filter columns to view records based on the values of specific properties. Dies kann Ihnen dabei helfen, die bestimmten Überwachungsdaten, die Sie suchen, schnell zu finden.This can help you quickly locate the specific auditing data you're looking for.

  1. Öffnen Sie eine leere Arbeitsmappe in Excel für Office 365, Excel 2019 oder Excel 2016.Open a blank workbook in Excel for Office 365, Excel 2019, or Excel 2016.

  2. Klicken Sie auf der Registerkarte Daten in der Gruppe & Daten transformieren auf Von Text/CSV.On the Data tab, in the Get & Transform Data ribbon group, click From Text/CSV.

    Klicken Sie auf der Registerkarte Daten auf Von Text/CSV

  3. Öffnen Sie die CSV-Datei, die Sie in Schritt 1 heruntergeladen haben.Open the CSV file that you downloaded in Step 1.

  4. Klicken Sie im angezeigten Fenster auf Daten transformieren.In the window that's displayed, click Transform Data.

    Klicken Sie auf Daten transformieren

    Die CSV-Datei wird im Abfrage-Editor geöffnet.The CSV file is opened in the Query Editor. Es gibt vier Spalten: CreationDate, UserIds, Operations und AuditData.There are four columns: CreationDate, UserIds, Operations, and AuditData. Die Spalte AuditData ist ein JSON-Objekt, das mehrere Eigenschaften enthält.The AuditData column is a JSON object that contains multiple properties. Im nächsten Schritt erstellen Sie eine Spalte für jede Eigenschaft im JSON-Objekt.The next step is to create a column for each property in the JSON object.

  5. Klicken Sie in der Spalte AuditData mit der rechten Maustaste auf den Titel, klicken Sie auf Transformieren, und klicken Sie dann auf JSON.Right-click the title in the AuditData column, click Transform, and then click JSON.

    Klicken Sie mit der rechten Maustaste auf die Spalte AuditData, klicken Sie auf Transformieren, und wählen Sie dann JSON aus.

  6. Klicken Sie in der oberen rechten Ecke der Spalte AuditData auf das Erweiterungssymbol.In the upper-right corner of the AuditData column, click the expand icon.

    Klicken Sie in der Spalte AuditData auf das Erweiterungssymbol.

    Eine Teilliste der Eigenschaften in den JSON-Objekten in der Spalte AuditData wird angezeigt.A partial list of the properties in the JSON objects in the AuditData column is displayed.

  7. Klicken Sie auf Weitere Laden, um alle Eigenschaften in den JSON-Objekten in der Spalte AuditData anzeigen.Click Load more to display all properties in the JSON objects in the AuditData column.

    Klicken Sie auf Weitere Objekte laden, um alle Eigenschaften im JSON-Objekt anzeigen zu können.

    Sie können das Kontrollkästchen neben einer beliebigen Eigenschaft deaktivieren, die Sie nicht enthalten möchten.You can unselect the checkbox next to any property that you don't want to include. Das Entfernen von Spalten, die für Ihre Untersuchung nicht hilfreich sind, ist eine gute Möglichkeit, die Im Überwachungsprotokoll angezeigte Datenmenge zu reduzieren.Eliminating columns that aren't useful for your investigation is a good way to reduce the amount of data displayed in the audit log.

    Hinweis

    Die im vorherigen Screenshot angezeigten JSON-Eigenschaften (nachdem Sie auf Weitere Laden geklickt haben) basieren auf den Eigenschaften in der Spalte AuditData aus den ersten 1.000 Zeilen in der CSV-Datei.The JSON properties displayed in the previous screenshot (after you click Load more) are based on the properties found in the AuditData column from the first 1,000 rows in the CSV file. Wenn nach den ersten 1.000 Zeilen unterschiedliche JSON-Eigenschaften in Datensätzen vorhanden sind, werden diese Eigenschaften (und eine entsprechende Spalte) nicht einbezogen, wenn die Spalte AuditData in mehrere Spalten aufgeteilt wird.If there are different JSON properties in records after the first 1,000 rows, these properties (and a corresponding column) won't be included when the AuditData column is split into multiple columns. Um dies zu verhindern, sollten Sie die Überwachungsprotokollsuche erneut ausführen und die Suchkriterien einengen, sodass weniger Datensätze zurückgegeben werden.To help prevent this, consider re-running the audit log search and narrow the search criteria so that fewer records are returned. Eine weitere Problemumgehung besteht im Filtern von Elementen in der Spalte Vorgänge, um die Anzahl der Zeilen zu reduzieren (bevor Sie Schritt 5 oben ausführen), bevor Sie das JSON-Objekt in der Spalte AuditData transformieren.Another workaround is to filter items in the Operations column to reduce the number of rows (before you perform step 5 above) before transforming the JSON object in the AuditData column.

    Tipp

    Klicken Sie zum Anzeigen eines Attributs in einer Liste wie AuditData.AffectedItems in der oberen rechten Ecke der Spalte, aus der Sie ein Attribut ziehen möchten, auf das Symbol Erweitern, und wählen Sie Dann Erweitern zu Neue Zeile aus.To view an attribute within a list such as AuditData.AffectedItems, click the Expand icon in the upper right corner of the column you want to pull an attribute from, and then select Expand to New Row. Von dort wird es ein Datensatz sein, und Sie können in der oberen rechten Ecke der Spalte auf das Symbol Erweitern klicken, die Attribute anzeigen und das Symbol auswählen, das Sie anzeigen oder extrahieren möchten.From there it will be a record and you can click the Expand icon in the upper right corner of the column, view the attributes, and select the one you want to view or extract.

  8. Gehen Sie wie folgt vor, um den Titel der Spalten zu formatieren, die für jede ausgewählte JSON-Eigenschaft hinzugefügt werden.Do one of the following things to format the title of the columns that are added for each JSON property that's selected.

    • Deaktivieren Sie das Kontrollkästchen Ursprünglicher Spaltenname als Präfix verwenden, um den Namen der JSON-Eigenschaft als Spaltennamen zu verwenden. beispiel: RecordType oder SourceFileName.Unselect the Use original column name as prefix checkbox to use the name of the JSON property as the column names; for example, RecordType or SourceFileName.

    • Lassen Sie das Kontrollkästchen Ursprünglicher Spaltenname als Präfix verwenden aktiviert, um den Spaltennamen das Präfix AuditData hinzuzufügen. Beispiel: AuditData.RecordType oder AuditData.SourceFileName.Leave the Use original column name as prefix checkbox selected to add the AuditData prefix to the column names; for example, AuditData.RecordType or AuditData.SourceFileName.

  9. Klicken Sie auf OK.Click OK.

    Die Spalte AuditData ist in mehrere Spalten aufgeteilt.The AuditData column is split into multiple columns. Jede neue Spalte entspricht einer Eigenschaft im AuditData-JSON-Objekt.Each new column corresponds to a property in the AuditData JSON object. Jede Zeile in der Spalte enthält den Wert für die Eigenschaft.Each row in the column contains the value for the property. Wenn die Eigenschaft keinen Wert enthält, wird der Nullwert angezeigt.If the property doesn't contain a value, the null value is displayed. In Excel sind Zellen mit Nullwerten leer.In Excel, cells with null values are empty.

  10. Klicken Sie auf der Registerkarte Start auf Schließen & Laden, um den Power Query Editor zu schließen und die transformierte CSV-Datei in einer Excel öffnen.On the Home tab, click Close & Load to close the Power Query Editor and open the transformed CSV file in an Excel workbook.

Verwenden von PowerShell zum Durchsuchen und Exportieren von ÜberwachungsprotokolleinträgenUse PowerShell to search and export audit log records

Anstatt das Überwachungsprotokollsuchtool im Security & Compliance Center zu verwenden, können Sie das Cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell verwenden, um die Ergebnisse einer Überwachungsprotokollsuche in eine CSV-Datei zu exportieren.Instead of using the audit log search tool in the Security & Compliance Center, you can use the Search-UnifiedAuditLog cmdlet in Exchange Online PowerShell to export the results of an audit log search to a CSV file. Anschließend können Sie das in Schritt 2 beschriebene Verfahren ausführen, um das Überwachungsprotokoll mithilfe des Power Query-Editors zu formatieren.Then you can follow the same procedure described in Step 2 to format the audit log using the Power Query editor. Ein Vorteil der Verwendung des PowerShell-Cmdlets besteht in der Suche nach Ereignissen eines bestimmten Diensts mithilfe des RecordType-Parameters.One advantage of using the PowerShell cmdlet is that you can search for events from a specific service by using the RecordType parameter. Nachfolgend finden Sie einige Beispiele für die Verwendung von PowerShell zum Exportieren von Überwachungsdatensätzen in eine CSV-Datei, damit Sie das JSON-Objekt mithilfe des Power Query-Editors in der Spalte AuditData transformieren können, wie in Schritt 2 beschrieben.Here are few examples of using PowerShell to export audit records to a CSV file so you can use the Power Query editor to transform the JSON object in the AuditData column as described in Step 2.

Führen Sie in diesem Beispiel die folgenden Befehle aus, um alle Datensätze im Zusammenhang mit SharePoint zurückzukehren.In this example, run the following commands to return all records related to SharePoint sharing operations.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Die Suchergebnisse werden in eine CSV-Datei mit dem Namen PowerShellAuditlog exportiert, die vier Spalten enthält: CreationDate, UserIds, RecordType, AuditData).The search results are exported to a CSV file named PowerShellAuditlog that contains four columns: CreationDate, UserIds, RecordType, AuditData).

Sie können auch den Namen oder Enumerationswert für den Datensatztyp als Wert für den RecordType-Parameter verwenden.You can also use the name or enum value for the record type as the value for the RecordType parameter. Eine Liste der Datensatztypnamen und der zugehörigen Enumerationswerte finden Sie in der Tabelle AuditLogRecordType in Office 365 Management Activity API schema.For a list of record type names and their corresponding enum values, see the AuditLogRecordType table in Office 365 Management Activity API schema.

Sie können nur einen einzelnen Wert für den RecordType-Parameter angeben.You can only include a single value for the RecordType parameter. Zum Suchen nach Überwachungsdatensätzen für andere Datensatztypen müssen Sie die beiden vorherigen Befehle erneut ausführen, um einen anderen Datensatztyp anzugeben und diese Ergebnisse an die ursprüngliche CSV-Datei anfügen.To search for audit records for other record types, you have to run the two previous commands again to specify a different record type and append those results to the original CSV file. Führen Sie beispielsweise die folgenden beiden Befehle aus, um SharePoint aus demselben Datumsbereich zur Datei PowerShellAuditlog.csv hinzufügen.For example, you would run the following two commands to add SharePoint file activities from the same date range to the PowerShellAuditlog.csv file.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Tipps zum Exportieren und Anzeigen des ÜberwachungsprotokollsTips for exporting and viewing the audit log

Hier sind einige Tipps und Beispiele für das Exportieren und Anzeigen des Überwachungsprotokolls vor und nach der Verwendung des JSON-Transformationsfeatures zum Aufteilen der Spalte AuditData in mehrere Spalten.Here are some tips and examples of exporting and viewing the audit log before and after you use the JSON transform feature to split the AuditData column into multiple columns.

  • Filtern Sie die Spalte RecordType so, dass nur die Datensätze aus einem bestimmten Dienst- oder Funktionsbereich angezeigt werden.Filter the RecordType column to display only the records from a specific service or functional area. Wenn Sie beispielsweise Ereignisse im Zusammenhang mit SharePoint anzeigen möchten, wählen Sie 14 aus (der Enumerationswert für Datensätze, die durch SharePoint freigabeaktivitäten ausgelöst werden).For example, to show events related to SharePoint sharing, you would select 14 (the enum value for records triggered by SharePoint sharing activities). Eine Liste der Dienste, die den in der Spalte RecordType angezeigten Enumerationswerten entsprechen, finden Sie unter Detaillierte Eigenschaften im Überwachungsprotokoll.For a list of the services that correspond to the enum values displayed in the RecordType column, see Detailed properties in the audit log.

  • Filtern Sie die Spalte Vorgänge, um die Datensätze für bestimmte Aktivitäten anzeigen zu können.Filter the Operations column to display the records for specific activities. Eine Liste der meisten Vorgänge, die einer durchsuchbaren Aktivität im Überwachungsprotokollsuchtool im Security & Compliance Center entsprechen, finden Sie im Abschnitt "Überwachte Aktivitäten" unter Durchsuchen des Überwachungsprotokolls im Security & Compliance Center.For a list of most operations that correspond to a searchable activity in the audit log search tool in the Security & Compliance Center, see the "Audited activities" section in Search the audit log in the Security & Compliance Center.