Exportar, configurar y ver registros de registro de auditoríaExport, configure, and view audit log records

Una vez que haya buscado en el registro de auditoría y descargando los resultados de la búsqueda en un archivo CSV, el archivo contendrá una columna denominada AuditData, que contiene información adicional sobre cada evento.After you search the audit log and download the search results to a CSV file, the file contains a column named AuditData, which contains additional information about each event. Los datos de esta columna tienen el formato de un objeto JSON, que contiene varias propiedades que se configuran como pares Property: Value separados por comas.The data in this column is formatted as a JSON object, which contains multiple properties that are configured as property:value pairs separated by commas. Puede usar la característica transformación de JSON en el editor de Power Query en Excel para dividir cada propiedad en el objeto JSON de la columna AuditData en varias columnas para que cada propiedad tenga su propia columna.You can use the JSON transform feature in the Power Query Editor in Excel to split each property in the JSON object in the AuditData column into multiple columns so that each property has its own column. Esto le permite ordenar y filtrar por una o varias de estas propiedades, lo que puede ayudarle a encontrar rápidamente los datos de auditoría específicos que está buscando.This lets you sort and filter on one or more of these properties, which can help you quickly locate the specific auditing data you're looking for.

Paso 1: exportar los resultados de la búsqueda de registros de auditoríaStep 1: Export audit log search results

El primer paso consiste en buscar en el registro de auditoría y, a continuación, exportar los resultados en un archivo de valores separados por comas (CSV) al equipo local.The first step is to search the audit log and then export the results in a comma-separated value (CSV) file to your local computer.

  1. Ejecute una búsqueda de registro de auditoría y revise los criterios de búsqueda si es necesario hasta que tenga los resultados deseados.Run an audit log search and revise the search criteria if necessary until you have the desired results.

  2. Haga clic en exportar resultados y seleccione descargar todos los resultados.Click Export results and select Download all results.

    Haga clic en descargar todos los resultados

    Esta opción permite exportar todos los registros de auditoría de la búsqueda de registros de auditoría que ejecutó en el paso 1 y descarga los datos sin procesar del registro de auditoría a un archivo CSV.This option to exports all the audit records from the audit log search you ran in step 1, and downloads the raw data from the audit log to a CSV file.

    Se muestra un mensaje en la parte inferior de la ventana que le pide que abra o guarde el archivo CSV.A message is displayed at the bottom of the window that prompts you to open or save the CSV file.

  3. Haga clic en guardar > guardar como y guarde el archivo CSV en el equipo local.Click Save > Save as and save the CSV file to your local computer. Se tarda un rato en descargar muchos resultados de búsqueda.It takes a while to download many search results. Este suele ser el caso cuando se busca en todas las actividades o en un intervalo de fechas amplio.This is typically the case when searching for all activities or a broad date range. Se muestra un mensaje en la parte inferior de la ventana cuando se termina de descargar el archivo CSV.A message at the bottom of the windows is displayed when the CSV file is finished downloading.

    Mensaje que se muestra cuando se termina de descargar el archivo CSV

Nota

Puede descargar un máximo de 50 000 entradas en un archivo CSV desde una única búsqueda de registros de auditoría.You can download a maximum of 50,000 entries to a CSV file from a single audit log search. Si se descargan 50 000 entradas en el archivo CSV, probablemente puede suponer que existen más de 50 000 eventos que cumplen los criterios de búsqueda.If 50,000 entries are downloaded to the CSV file, you can probably assume there are more than 50,000 events that met the search criteria. Para exportar más de este límite, pruebe a usar un intervalo de fechas para reducir el número de registros de auditoría.To export more than this limit, try using a date range to reduce the number of audit log records. Puede que tenga que ejecutar varias búsquedas con intervalos de fecha de menor tamaño para exportar más de 50 000 entradas.You might have to run multiple searches with smaller date ranges to export more than 50,000 entries.

Paso 2: dar formato al registro de auditoría exportado con el editor de Power QueryStep 2: Format the exported audit log using the Power Query Editor

El paso siguiente es usar la característica transformación de JSON en el editor de Power Query en Excel para dividir cada propiedad en el objeto JSON de la columna AuditData en su propia columna.The next step is to use the JSON transform feature in the Power Query Editor in Excel to split each property in the JSON object in the AuditData column into its own column. A continuación, filtre las columnas para ver los registros en función de los valores de propiedades específicas.Then you filter columns to view records based on the values of specific properties. Esto puede ayudarle a encontrar rápidamente los datos de auditoría específicos que está buscando.This can help you quickly locate the specific auditing data you're looking for.

  1. Abra un libro en blanco en Excel para Office 365, Excel 2019 o Excel 2016.Open a blank workbook in Excel for Office 365, Excel 2019, or Excel 2016.

  2. En la pestaña datos , en el grupo de cinta obtener & transformar datos , haga clic en desde texto/CSV.On the Data tab, in the Get & Transform Data ribbon group, click From Text/CSV.

    En la pestaña datos, haga clic en desde texto/CSV.

  3. Abra el archivo CSV que ha descargado en el paso 1.Open the CSV file that you downloaded in Step 1.

  4. En la ventana que se muestra, haga clic en transformar datos.In the window that's displayed, click Transform Data.

    Haga clic en transformar datos

    El archivo CSV se abre en el Editor de consultas.The CSV file is opened in the Query Editor. Hay cuatro columnas: CreationDate, userid, Operationsy AuditData.There are four columns: CreationDate, UserIds, Operations, and AuditData. La columna AuditData es un objeto JSON que contiene varias propiedades.The AuditData column is a JSON object that contains multiple properties. El paso siguiente es crear una columna para cada propiedad en el objeto JSON.The next step is to create a column for each property in the JSON object.

  5. Haga clic con el botón secundario en el título de la columna AuditData , haga clic en transformary, a continuación, en JSON.Right-click the title in the AuditData column, click Transform, and then click JSON.

    Haga clic con el botón secundario en la columna AuditData, haga clic en transformar y seleccione JSON.

  6. En la esquina superior derecha de la columna AuditData , haga clic en el icono de expandir.In the upper-right corner of the AuditData column, click the expand icon.

    En la columna AuditData, haga clic en el icono de expandir

    Se muestra una lista parcial de las propiedades de los objetos JSON en la columna AuditData .A partial list of the properties in the JSON objects in the AuditData column is displayed.

  7. Haga clic en cargar más para mostrar todas las propiedades de los objetos JSON en la columna AuditData .Click Load more to display all properties in the JSON objects in the AuditData column.

    Haga clic en cargar más para mostrar todas las propiedades en el objeto JSON

    Puede anular la selección de la casilla de verificación situada junto a cualquier propiedad que no desee incluir.You can unselect the checkbox next to any property that you don't want to include. Eliminar columnas que no son útiles para la investigación es una buena forma de reducir la cantidad de datos que se muestran en el registro de auditoría.Eliminating columns that aren't useful for your investigation is a good way to reduce the amount of data displayed in the audit log.

    Nota

    Las propiedades JSON que se muestran en la captura de pantalla anterior (después de hacer clic en cargar más) se basan en las propiedades que se encuentran en la columna AuditData de las primeras 1.000 filas del archivo CSV.The JSON properties displayed in the previous screenshot (after you click Load more) are based on the properties found in the AuditData column from the first 1,000 rows in the CSV file. Si hay distintas propiedades JSON en los registros después de las primeras 1.000 filas, estas propiedades (y una columna correspondiente) no se incluirán cuando la columna AuditData se divida en varias columnas.If there are different JSON properties in records after the first 1,000 rows, these properties (and a corresponding column) won't be included when the AuditData column is split into multiple columns. Para ayudar a evitar esto, considere la posibilidad de volver a ejecutar la búsqueda de registros de auditoría y restringir los criterios de búsqueda para que se devuelvan menos registros.To help prevent this, consider re-running the audit log search and narrow the search criteria so that fewer records are returned. Otra solución consiste en filtrar elementos en la columna operaciones para reducir el número de filas (antes de realizar el paso 5 anterior) antes de transformar el objeto JSON en la columna AuditData .Another workaround is to filter items in the Operations column to reduce the number of rows (before you perform step 5 above) before transforming the JSON object in the AuditData column.

  8. Realice una de las siguientes acciones para dar formato al título de las columnas que se agregan para cada propiedad JSON seleccionada.Do one of the following things to format the title of the columns that are added for each JSON property that's selected.

    • Anule la selección de la casilla usar el nombre de columna original como prefijo para usar el nombre de la propiedad JSON como los nombres de columna; por ejemplo, RecordType o SourceFileName.Unselect the Use original column name as prefix checkbox to use the name of the JSON property as the column names; for example, RecordType or SourceFileName.

    • Deje seleccionada la casilla Usar nombre de columna original como prefijo para agregar el prefijo AuditData a los nombres de columna; por ejemplo, AuditData. RecordType o AuditData. SourceFileName.Leave the Use original column name as prefix checkbox selected to add the AuditData prefix to the column names; for example, AuditData.RecordType or AuditData.SourceFileName.

  9. Haga clic en Aceptar.Click OK.

    La columna AuditData se divide en varias columnas.The AuditData column is split into multiple columns. Cada columna nueva corresponde a una propiedad del objeto JSON AuditData.Each new column corresponds to a property in the AuditData JSON object. Cada fila de la columna contiene el valor de la propiedad.Each row in the column contains the value for the property. Si la propiedad no contiene ningún valor, se muestra el valor null .If the property doesn't contain a value, the null value is displayed. En Excel, las celdas con valores NULL están vacías.In Excel, cells with null values are empty.

  10. En la pestaña Inicio , haga clic en cerrar & carga para cerrar el editor de Power Query y abrir el archivo CSV transformado en un libro de Excel.On the Home tab, click Close & Load to close the Power Query Editor and open the transformed CSV file in an Excel workbook.

Usar PowerShell para buscar y exportar registros de registro de auditoríaUse PowerShell to search and export audit log records

En lugar de usar la herramienta de búsqueda de registros de auditoría en el centro de seguridad & cumplimiento, puede usar el cmdlet Search-UnifiedAuditLog en Exchange Online PowerShell para exportar los resultados de una búsqueda de registro de auditoría a un archivo CSV.Instead of using the audit log search tool in the Security & Compliance Center, you can use the Search-UnifiedAuditLog cmdlet in Exchange Online PowerShell to export the results of an audit log search to a CSV file. A continuación, puede seguir el mismo procedimiento descrito en el paso 2 para dar formato al registro de auditoría con el editor de Power Query.Then you can follow the same procedure described in Step 2 to format the audit log using the Power Query editor. Una de las ventajas de usar el cmdlet de PowerShell es que puede buscar eventos de un servicio específico mediante el parámetro RecordType .One advantage of using the PowerShell cmdlet is that you can search for events from a specific service by using the RecordType parameter. Estos son algunos ejemplos de cómo usar PowerShell para exportar registros de auditoría a un archivo CSV para que pueda usar el editor de Power Query para transformar el objeto JSON en la columna AuditData como se describe en el paso 2.Here are few examples of using PowerShell to export audit records to a CSV file so you can use the Power Query editor to transform the JSON object in the AuditData column as described in Step 2.

En este ejemplo, ejecute los siguientes comandos para devolver todos los registros relacionados con las operaciones de uso compartido de SharePoint.In this example, run the following commands to return all records related to SharePoint sharing operations.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Los resultados de la búsqueda se exportan a un archivo CSV denominado PowerShellAuditlog que contiene cuatro columnas: CreationDate, userid, RecordType, AuditData).The search results are exported to a CSV file named PowerShellAuditlog that contains four columns: CreationDate, UserIds, RecordType, AuditData).

También puede usar el nombre o el valor de enumeración para el tipo de registro como el valor para el parámetro RecordType .You can also use the name or enum value for the record type as the value for the RecordType parameter. Para obtener una lista de los nombres de tipo de registro y sus valores de enumeración correspondientes, vea la tabla AuditLogRecordType en el esquema de la API de actividad de administración 365 de Office.For a list of record type names and their corresponding enum values, see the AuditLogRecordType table in Office 365 Management Activity API schema.

Solo puede incluir un valor único para el parámetro RecordType .You can only include a single value for the RecordType parameter. Para buscar registros de auditoría para otros tipos de registros, debe volver a ejecutar los dos comandos anteriores para especificar un tipo de registro diferente y anexar los resultados al archivo CSV original.To search for audit records for other record types, you have to run the two previous commands again to specify a different record type and append those results to the original CSV file. Por ejemplo, ejecutaría los dos comandos siguientes para agregar actividades de archivo de SharePoint del mismo intervalo de fechas al archivo de PowerShellAuditlog.csv.For example, you would run the following two commands to add SharePoint file activities from the same date range to the PowerShellAuditlog.csv file.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Sugerencias para exportar y ver el registro de auditoríaTips for exporting and viewing the audit log

A continuación, se muestran algunas sugerencias y ejemplos de cómo exportar y ver el registro de auditoría antes y después de usar la característica transformación JSON para dividir la columna AuditData en varias columnas.Here are some tips and examples of exporting and viewing the audit log before and after you use the JSON transform feature to split the AuditData column into multiple columns.

  • Filtre la columna RecordType para mostrar solo los registros de un área funcional o de un servicio específico.Filter the RecordType column to display only the records from a specific service or functional area. Por ejemplo, para Mostrar eventos relacionados con el uso compartido de SharePoint, debe seleccionar 14 (el valor de enumeración para los registros desencadenados por las actividades de uso compartido de SharePoint).For example, to show events related to SharePoint sharing, you would select 14 (the enum value for records triggered by SharePoint sharing activities). Para obtener una lista de los servicios que corresponden a los valores de enumeración mostrados en la columna RecordType , consulte propiedades detalladas en el registro de auditoría.For a list of the services that correspond to the enum values displayed in the RecordType column, see Detailed properties in the audit log.

  • Filtrar la columna operaciones para mostrar los registros de actividades específicas.Filter the Operations column to display the records for specific activities. Para obtener una lista de la mayoría de las operaciones que corresponden a una actividad que permite realizar búsquedas en la herramienta de búsqueda de registros de auditoría del centro de seguridad & cumplimiento, consulte la sección "actividades auditadas" en Buscar el registro de auditoría en el centro de seguridad & cumplimiento.For a list of most operations that correspond to a searchable activity in the audit log search tool in the Security & Compliance Center, see the "Audited activities" section in Search the audit log in the Security & Compliance Center.