Exporter, configurer et afficher des enregistrements du journal d’auditExport, configure, and view audit log records

Une fois que vous avez recherché le journal d’audit et téléchargé les résultats de la recherche dans un fichier CSV, le fichier contient une colonne nommée AuditData, qui contient des informations supplémentaires sur chaque événement.After you search the audit log and download the search results to a CSV file, the file contains a column named AuditData, which contains additional information about each event. Les données de cette colonne sont formatées en tant qu’objet JSON, qui contient plusieurs propriétés configurées en tant que paires propriété:valeur séparées par des virgules.The data in this column is formatted as a JSON object, which contains multiple properties that are configured as property:value pairs separated by commas. Vous pouvez utiliser la fonctionnalité de transformation JSON dans Power Query Editor dans Excel pour fractionner chaque propriété de l’objet JSON dans la colonne AuditData en plusieurs colonnes afin que chaque propriété possède sa propre colonne.You can use the JSON transform feature in the Power Query Editor in Excel to split each property in the JSON object in the AuditData column into multiple columns so that each property has its own column. Cela vous permet de trier et de filtrer une ou plusieurs de ces propriétés, ce qui peut vous aider à localiser rapidement les données d’audit spécifiques que vous recherchez.This lets you sort and filter on one or more of these properties, which can help you quickly locate the specific auditing data you're looking for.

Étape 1 : Exporter les résultats de recherche du journal d’auditStep 1: Export audit log search results

La première étape consiste à effectuer une recherche dans le journal d’audit, puis à exporter les résultats dans un fichier de valeurs séparées par des virgules (CSV) vers votre ordinateur local.The first step is to search the audit log and then export the results in a comma-separated value (CSV) file to your local computer.

  1. Exécutez une recherche dans le journal d’audit et révisez les critères de recherche si nécessaire jusqu’à obtenir les résultats souhaités.Run an audit log search and revise the search criteria if necessary until you have the desired results.

  2. Cliquez sur Exporter les résultats, puis sélectionnez Télécharger tous les résultats.Click Export results and select Download all results.

    Cliquez sur Télécharger tous les résultats

    Cette option permet d’exporter tous les enregistrements d’audit à partir de la recherche du journal d’audit que vous avez été l’étape 1 et de télécharger les données brutes du journal d’audit dans un fichier CSV.This option to exports all the audit records from the audit log search you ran in step 1, and downloads the raw data from the audit log to a CSV file.

    Un message s’affiche en bas de la fenêtre pour vous demander d’ouvrir ou d’enregistrer le fichier CSV.A message is displayed at the bottom of the window that prompts you to open or save the CSV file.

  3. Cliquez sur Enregistrer > enregistrer sous et enregistrer le fichier CSV sur votre ordinateur local.Click Save > Save as and save the CSV file to your local computer. Le téléchargement de nombreux résultats de recherche prend un certain temps.It takes a while to download many search results. C’est généralement le cas lorsque vous recherchez toutes les activités ou une plage de dates étendue.This is typically the case when searching for all activities or a broad date range. Un message en bas des fenêtres s’affiche lorsque le téléchargement du fichier CSV est terminé.A message at the bottom of the windows is displayed when the CSV file is finished downloading.

    Message affiché lorsque le téléchargement du fichier CSV est terminé

Notes

Vous pouvez télécharger un maximum de 50 000 entrées dans un fichier .csv à partir d’une seule recherche dans le journal d’audit.You can download a maximum of 50,000 entries to a CSV file from a single audit log search. Si 50 000 résultats sont téléchargés dans le fichier .csv, vous pouvez partir du principe que plus de 50 000 événements remplissent les critères de recherche.If 50,000 entries are downloaded to the CSV file, you can probably assume there are more than 50,000 events that met the search criteria. Pour exporter plus de données que cette limite, essayez d’utiliser une plage de dates pour réduire le nombre d’enregistrements du journal d’audit.To export more than this limit, try using a date range to reduce the number of audit log records. Vous devrez peut-être effectuer plusieurs recherches avec des plages de dates plus réduites pour exporter plus de 50 000 entrées.You might have to run multiple searches with smaller date ranges to export more than 50,000 entries.

Étape 2 : Mise en forme du journal d’audit exporté à l’aide de Power Query EditorStep 2: Format the exported audit log using the Power Query Editor

L’étape suivante consiste à utiliser la fonctionnalité de transformation JSON dans Power Query Editor dans Excel pour fractionner chaque propriété de l’objet JSON de la colonne AuditData en sa propre colonne.The next step is to use the JSON transform feature in the Power Query Editor in Excel to split each property in the JSON object in the AuditData column into its own column. Ensuite, vous filtrez les colonnes pour afficher les enregistrements en fonction des valeurs de propriétés spécifiques.Then you filter columns to view records based on the values of specific properties. Cela peut vous aider à localiser rapidement les données d’audit spécifiques que vous recherchez.This can help you quickly locate the specific auditing data you're looking for.

  1. Ouvrez un Excel vide pour Office 365, Excel 2019 ou Excel 2016.Open a blank workbook in Excel for Office 365, Excel 2019, or Excel 2016.

  2. Sous l’onglet Données, dans le groupe & Transformer les données, cliquez sur Texte/CSV.On the Data tab, in the Get & Transform Data ribbon group, click From Text/CSV.

    Sous l’onglet Données, cliquez sur Texte/CSV

  3. Ouvrez le fichier CSV que vous avez téléchargé à l’étape 1.Open the CSV file that you downloaded in Step 1.

  4. Dans la fenêtre qui s’affiche, cliquez sur Transformer les données.In the window that's displayed, click Transform Data.

    Cliquez sur Transformer les données

    Le fichier CSV est ouvert dans l’Éditeur de requêtes.The CSV file is opened in the Query Editor. Il existe quatre colonnes : CreationDate, UserIds, Operations et AuditData.There are four columns: CreationDate, UserIds, Operations, and AuditData. La colonne AuditData est un objet JSON qui contient plusieurs propriétés.The AuditData column is a JSON object that contains multiple properties. L’étape suivante consiste à créer une colonne pour chaque propriété dans l’objet JSON.The next step is to create a column for each property in the JSON object.

  5. Cliquez avec le bouton droit sur le titre dans la colonne AuditData, cliquez sur Transformer, puis cliquez sur JSON.Right-click the title in the AuditData column, click Transform, and then click JSON.

    Cliquez avec le bouton droit sur la colonne AuditData, cliquez sur Transformer, puis sélectionnez JSON

  6. Dans le coin supérieur droit de la colonne AuditData, cliquez sur l’icône développer.In the upper-right corner of the AuditData column, click the expand icon.

    Dans la colonne AuditData, cliquez sur l’icône développer

    Une liste partielle des propriétés des objets JSON dans la colonne AuditData s’affiche.A partial list of the properties in the JSON objects in the AuditData column is displayed.

  7. Cliquez sur Charger plus pour afficher toutes les propriétés des objets JSON dans la colonne AuditData.Click Load more to display all properties in the JSON objects in the AuditData column.

    Cliquez sur Charger plus pour afficher toutes les propriétés dans l’objet JSON

    Vous pouvez désélectionner la case à cocher en regard de toute propriété que vous ne souhaitez pas inclure.You can unselect the checkbox next to any property that you don't want to include. L’élimination de colonnes qui ne sont pas utiles pour votre examen est un bon moyen de réduire la quantité de données affichées dans le journal d’audit.Eliminating columns that aren't useful for your investigation is a good way to reduce the amount of data displayed in the audit log.

    Notes

    Les propriétés JSON affichées dans la capture d’écran précédente (après avoir cliqué sur Charger plus) sont basées sur les propriétés trouvées dans la colonne AuditData des 1 000 premières lignes du fichier CSV.The JSON properties displayed in the previous screenshot (after you click Load more) are based on the properties found in the AuditData column from the first 1,000 rows in the CSV file. S’il existe différentes propriétés JSON dans les enregistrements après les 1 000 premières lignes, ces propriétés (et une colonne correspondante) ne sont pas incluses lorsque la colonne AuditData est fractionnées en plusieurs colonnes.If there are different JSON properties in records after the first 1,000 rows, these properties (and a corresponding column) won't be included when the AuditData column is split into multiple columns. Pour éviter cela, envisagez de ré-exécutez la recherche dans le journal d’audit et limitez les critères de recherche afin que moins d’enregistrements soient renvoyés.To help prevent this, consider re-running the audit log search and narrow the search criteria so that fewer records are returned. Une autre solution consiste à filtrer les éléments de la colonne Opérations pour réduire le nombre de lignes (avant d’effectuer l’étape 5 ci-dessus) avant de transformer l’objet JSON dans la colonne AuditData.Another workaround is to filter items in the Operations column to reduce the number of rows (before you perform step 5 above) before transforming the JSON object in the AuditData column.

    Conseil

    Pour afficher un attribut au sein d’une liste telle que AuditData.AffectedItems, cliquez sur l’icône Développer dans le coin supérieur droit de la colonne à partir de celle-ci, puis sélectionnez Développer vers la nouvelle ligne.To view an attribute within a list such as AuditData.AffectedItems, click the Expand icon in the upper right corner of the column you want to pull an attribute from, and then select Expand to New Row. À partir de là, il s’agit d’un enregistrement et vous pouvez cliquer sur l’icône Développer dans le coin supérieur droit de la colonne, afficher les attributs et sélectionner celui que vous souhaitez afficher ou extraire. From there it will be a record and you can click the Expand icon in the upper right corner of the column, view the attributes, and select the one you want to view or extract.

  8. Pour mettre en forme le titre des colonnes ajoutées pour chaque propriété JSON sélectionnée, faites l’une des choses suivantes.Do one of the following things to format the title of the columns that are added for each JSON property that's selected.

    • Désélectionner la case à cocher Utiliser le nom de colonne d’origine comme préfixe pour utiliser le nom de la propriété JSON comme noms de colonne ; par exemple, RecordType ou SourceFileName.Unselect the Use original column name as prefix checkbox to use the name of the JSON property as the column names; for example, RecordType or SourceFileName.

    • Laissez la case à cocher Utiliser le nom de colonne d’origine comme préfixe sélectionnée pour ajouter le préfixe AuditData aux noms de colonnes ; par exemple, AuditData.RecordType ou AuditData.SourceFileName.Leave the Use original column name as prefix checkbox selected to add the AuditData prefix to the column names; for example, AuditData.RecordType or AuditData.SourceFileName.

  9. Cliquez sur OK.Click OK.

    La colonne AuditData est divisée en plusieurs colonnes.The AuditData column is split into multiple columns. Chaque nouvelle colonne correspond à une propriété dans l’objet JSON AuditData.Each new column corresponds to a property in the AuditData JSON object. Chaque ligne de la colonne contient la valeur de la propriété.Each row in the column contains the value for the property. Si la propriété ne contient pas de valeur, la valeur null s’affiche.If the property doesn't contain a value, the null value is displayed. Dans Excel, les cellules avec des valeurs null sont vides.In Excel, cells with null values are empty.

  10. Sous l’onglet Accueil, cliquez sur Fermer & charger pour fermer l’éditeur power query et ouvrir le fichier CSV transformé dans un classe Excel classer.On the Home tab, click Close & Load to close the Power Query Editor and open the transformed CSV file in an Excel workbook.

Utiliser PowerShell pour rechercher et exporter des enregistrements de journal d’auditUse PowerShell to search and export audit log records

Au lieu d’utiliser l’outil de recherche du journal d’audit dans le Centre de sécurité & conformité, vous pouvez utiliser la cmdlet Search-UnifiedAuditLog dans Exchange Online PowerShell pour exporter les résultats d’une recherche de journal d’audit vers un fichier CSV.Instead of using the audit log search tool in the Security & Compliance Center, you can use the Search-UnifiedAuditLog cmdlet in Exchange Online PowerShell to export the results of an audit log search to a CSV file. Vous pouvez ensuite suivre la même procédure décrite à l’étape 2 pour mettre en forme le journal d’audit à l’aide de l’éditeur Power Query.Then you can follow the same procedure described in Step 2 to format the audit log using the Power Query editor. L’un des avantages de l’utilisation de l’cmdlet PowerShell est que vous pouvez rechercher des événements à partir d’un service spécifique à l’aide du paramètre RecordType.One advantage of using the PowerShell cmdlet is that you can search for events from a specific service by using the RecordType parameter. Voici quelques exemples d’utilisation de PowerShell pour exporter des enregistrements d’audit vers un fichier CSV afin que vous pouvez utiliser l’éditeur Power Query pour transformer l’objet JSON dans la colonne AuditData, comme décrit à l’étape 2.Here are few examples of using PowerShell to export audit records to a CSV file so you can use the Power Query editor to transform the JSON object in the AuditData column as described in Step 2.

Dans cet exemple, exécutez les commandes suivantes pour renvoyer tous les enregistrements liés SharePoint opérations de partage.In this example, run the following commands to return all records related to SharePoint sharing operations.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Les résultats de la recherche sont exportés vers un fichier CSV nommé PowerShellAuditlog qui contient quatre colonnes : CreationDate, UserIds, RecordType, AuditData).The search results are exported to a CSV file named PowerShellAuditlog that contains four columns: CreationDate, UserIds, RecordType, AuditData).

Vous pouvez également utiliser le nom ou la valeur d’enum pour le type d’enregistrement comme valeur pour le paramètre RecordType.You can also use the name or enum value for the record type as the value for the RecordType parameter. Pour obtenir la liste des noms de types d’enregistrement et leurs valeurs d’énumérer correspondantes, voir la table AuditLogRecordType dans le schéma de l Office 365 API Activité de gestion.For a list of record type names and their corresponding enum values, see the AuditLogRecordType table in Office 365 Management Activity API schema.

Vous ne pouvez inclure qu’une seule valeur pour le paramètre RecordType.You can only include a single value for the RecordType parameter. Pour rechercher des enregistrements d’audit pour d’autres types d’enregistrements, vous devez ré-exécuter les deux commandes précédentes pour spécifier un type d’enregistrement différent et les addender au fichier CSV d’origine.To search for audit records for other record types, you have to run the two previous commands again to specify a different record type and append those results to the original CSV file. Par exemple, vous pouvez exécuter les deux commandes suivantes pour ajouter SharePoint activités de fichier de la même plage de dates au PowerShellAuditlog.csv fichier.For example, you would run the following two commands to add SharePoint file activities from the same date range to the PowerShellAuditlog.csv file.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Astuces pour l’exportation et l’affichage du journal d’auditTips for exporting and viewing the audit log

Voici quelques conseils et exemples d’exportation et d’affichage du journal d’audit avant et après l’utilisation de la fonctionnalité de transformation JSON pour fractionner la colonne AuditData en plusieurs colonnes.Here are some tips and examples of exporting and viewing the audit log before and after you use the JSON transform feature to split the AuditData column into multiple columns.

  • Filtrez la colonne RecordType pour afficher uniquement les enregistrements d’un service ou d’une zone fonctionnelle spécifique.Filter the RecordType column to display only the records from a specific service or functional area. Par exemple, pour afficher les événements liés au partage SharePoint, vous devez sélectionner 14 (valeur d’enum pour les enregistrements déclenchés par SharePoint activités de partage).For example, to show events related to SharePoint sharing, you would select 14 (the enum value for records triggered by SharePoint sharing activities). Pour obtenir la liste des services qui correspondent aux valeurs enum affichées dans la colonne RecordType, voir Propriétés détaillées dans le journal d’audit.For a list of the services that correspond to the enum values displayed in the RecordType column, see Detailed properties in the audit log.

  • Filtrez la colonne Opérations pour afficher les enregistrements pour des activités spécifiques.Filter the Operations column to display the records for specific activities. Pour obtenir la liste de la plupart des opérations qui correspondent à une activité de recherche dans l’outil de recherche du journal d’audit dans le Centre de sécurité & conformité, consultez la section « Activités auditées » dans le journal d’auditdu Centre de sécurité & conformité.For a list of most operations that correspond to a searchable activity in the audit log search tool in the Security & Compliance Center, see the "Audited activities" section in Search the audit log in the Security & Compliance Center.