Visualizzare l'attività di audit dei responsabili

  • Articolo

Se è necessario verificare se un utente ha visualizzato un documento specifico o ha eliminato un elemento dalla cassetta postale, Microsoft Purview eDiscovery (Premium) è ora integrato con lo strumento di ricerca del log di controllo esistente nel Portale di conformità di Microsoft Purview. Usando questa esperienza incorporata, è possibile usare lo strumento eDiscovery (Premium) Custodian Management per facilitare l'indagine accedendo facilmente all'attività e cercando i responsabili all'interno del caso.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Ottenere le autorizzazioni

È necessario assegnare il ruolo Log di controllo di sola visualizzazione o Log di controllo in Exchange Online per eseguire ricerche o esportare il log di controllo. Per impostazione predefinita, questi ruoli vengono assegnati ai gruppi di ruoli Gestione conformità e Gestione organizzazione nella pagina Autorizzazioninell'interfaccia di amministrazione di Exchange. Per consentire a un utente di eseguire ricerche nel log di controllo di eDiscovery (Premium) con il livello minimo di privilegi, è possibile creare un gruppo di ruoli personalizzato in Exchange Online, aggiungere il ruolo Log di controllo o Log di controllo di sola visualizzazione e quindi aggiungere l'utente come membro del nuovo gruppo di ruoli. Per altre informazioni, vedere Gestire i gruppi di ruoli in Exchange Online.

Importante

Se si assegna a un utente il ruolo Log di controllo o Log di controllo di sola visualizzazione nella pagina Autorizzazioni nel portale di conformità, non sarà in grado di cercare o esportare il log di controllo. È necessario assegnare le autorizzazioni in Exchange Online. Ciò avviene perché il cmdlet sottostante usato per la ricerca nel log di controllo è un cmdlet di Exchange Online.

Passaggio 1: Search il log di controllo per le attività eseguite da un responsabile

  1. Passare a eDiscovery > eDiscovery (Premium) e aprire il caso.

  2. Selezionare la scheda Origini .

  3. Nella pagina Responsabili selezionare un responsabile dall'elenco e quindi selezionare Visualizza attività responsabile nella pagina a comparsa.

    Viene visualizzata la pagina di ricerca Delle attività del responsabile. Si noti che il responsabile selezionato nel passaggio precedente viene visualizzato nella casella a discesa Responsabile. È possibile selezionare diversi responsabili nella casella a discesa, ma è possibile cercare solo le attività per un responsabile alla volta.

    Pagina di ricerca delle attività dei responsabili

  4. Configurare i criteri di ricerca seguenti:

    1. Attività : selezionare l'elenco a discesa per visualizzare le attività che è possibile cercare. Dopo aver eseguito la ricerca, vengono visualizzati solo i record di audit per le attività selezionate. Selezionando Mostra risultati per tutte le attività verranno visualizzati i risultati per tutte le attività eseguite dal responsabile che corrispondono agli altri criteri di ricerca.

      Elenco di attività.

    2. Data di inizio e data di fine : selezionare un intervallo di data e ora per visualizzare gli eventi che si sono verificati all'interno di tale periodo. Gli ultimi sette giorni sono selezionati per impostazione predefinita. La data e l'ora sono specificate in formato UTC (Coordinated Universal Time). L'intervallo di date massimo che è possibile specificare è un anno.

    3. Responsabili : selezionare in questa casella e quindi selezionare un responsabile specifico per cui visualizzare i risultati della ricerca. Nell'elenco dei risultati vengono visualizzati i record di audit dell'attività selezionata eseguita dagli utenti indicati in questa casella.

  5. Selezionare Search Pulsante. Per eseguire la ricerca usando i criteri di ricerca. I risultati della ricerca vengono caricati e, dopo alcuni istanti, vengono visualizzati in Risultati nella pagina di ricerca Attività responsabili.

Passaggio 2: Visualizzare i risultati della ricerca nel log di controllo

I risultati di una ricerca nel log di controllo vengono visualizzati in Risultati nella pagina Log di controllo del responsabile. Un massimo di 5.000 (più recenti) eventi vengono visualizzati in incrementi di 150 eventi. Per visualizzare altri eventi, è possibile usare la barra di scorrimento nel riquadro Risultati oppure premere MAIUSC +FINE per visualizzare i successivi 150 eventi.

I risultati includono le informazioni seguenti relative a ogni evento restituito dalla ricerca.

  • Data: data e ora (in formato UTC) in cui si è verificato l'evento.
  • Indirizzo IP: indirizzo IP del dispositivo usato durante la registrazione dell'attività. L'indirizzo IP viene visualizzato in formato IPv4 o IPv6.
  • Utente: utente (o account del servizio) che ha eseguito l'azione che ha attivato l'evento.
  • Attività: attività eseguita dall'utente. Questo valore corrisponde alle attività selezionate nell'elenco a discesa Attività. Per un evento del log di controllo dell'amministratore di Exchange, il valore in questa colonna è un cmdlet di Exchange.
  • Elemento: oggetto creato o modificato come risultato dell'attività corrispondente. Ad esempio, il file che è stato visualizzato o modificato oppure l'account utente che è stato aggiornato. Non tutte le attività presentano un valore in questa colonna.
  • Dettagli: dettagli aggiuntivi su un'attività. Anche in questo caso, non tutte le attività hanno un valore.

Passaggio 3: Filtrare i risultati della ricerca

Oltre a ordinare i risultati di una ricerca nel log di controllo, è anche possibile filtrarli. Ciò consente di filtrare rapidamente i risultati per un utente o un'attività specifica.

Per filtrare i risultati:

  1. Creare ed eseguire una ricerca nel log di controllo.

  2. Quando vengono visualizzati i risultati, selezionare Filtra risultati.

  3. Sotto ogni intestazione di colonna vengono visualizzate le caselle delle parole chiave.

  4. Selezionare una delle caselle sotto un'intestazione di colonna e digitare una parola o una frase, a seconda della colonna su cui si sta filtrando. I risultati verranno riorganizzati dinamicamente per visualizzare gli eventi corrispondenti al filtro.

  5. Per deselezionare un filtro, selezionare la X nella casella del filtro oppure selezionare Nascondi filtro.

Esportare i risultati della ricerca in un file

È possibile esportare i risultati di una ricerca nel log di controllo in un file CSV (Comma Separated Value) nel computer locale. È possibile aprire questo file in Microsoft Excel e usare funzionalità come la ricerca, l'ordinamento, il filtro e la suddivisione di una singola colonna (che contiene celle multivalore) in più colonne.

  1. Eseguire una ricerca nel log di controllo e quindi modificare i criteri di ricerca fino a ottenere i risultati desiderati.

  2. Selezionare Esporta risultati e selezionare una delle opzioni seguenti:

    • Salvare i risultati caricati: Scegliere questa opzione per esportare solo le voci visualizzate in Risultati nella pagina di ricerca del log di controllo del responsabile . Il file CSV che viene scaricato contiene le stesse colonne (e gli stessi dati) presenti nella pagina (Data, Utente, Attività, Elemento e Dettagli). Nel file CSV che contiene altre informazioni dalla voce del log di controllo è inclusa una colonna aggiuntiva denominata Altro. Poiché si stanno esportando gli stessi risultati caricati (e visualizzabili) nella pagina Ricerca log di controllo, verranno esportate al massimo 5.000 voci.

    • Scarica tutti i risultati: Scegliere questa opzione per esportare tutte le voci dal log di controllo che soddisfano i criteri di ricerca. Per un ampio set di risultati della ricerca, scegliere questa opzione per scaricare tutte le voci dal log di controllo oltre ai 5.000 risultati che possono essere visualizzati nella pagina di ricerca del log di controllo del responsabile . Questa opzione scarica i dati non elaborati dal log di controllo in un file CSV e contiene informazioni aggiuntive dalla voce del log di controllo in una colonna denominata AuditData. Se si sceglie questa opzione di esportazione potrebbe essere necessario più tempo per scaricare il file, in quanto il file potrebbe essere molto più grande di quello scaricato scegliendo l'altra opzione.

      Importante

      È possibile scaricare al massimo 50.000 voci in un file CSV da una singola ricerca nel log di controllo. Se vengono scaricate 50.000 voci nel file CSV, è probabile che ci siano più di 50.000 eventi che soddisfano i criteri di ricerca. Per eseguire l'esportazione oltre questo limite, provare a usare un intervallo di date per ridurre il numero di voci del log di controllo. Potrebbe essere necessario eseguire più ricerche con intervalli di date più piccoli per esportare più di 50.000 voci.

  3. Dopo aver selezionato un'opzione di esportazione, nella parte inferiore della finestra viene visualizzato un messaggio che richiede di aprire il file CSV, salvarlo nella cartella Download o salvarlo in una cartella specifica

Per altre informazioni sulla visualizzazione, l'applicazione di filtri o l'esportazione dei risultati della ricerca nel log di controllo, vedere Search log di controllo.