監査ログ レコードをエクスポート、構成、表示する
監査ログを検索し、検索結果を CSV ファイルにダウンロードすると、ファイルには AuditData という名前の列が含まれます。この列には、各イベントに関する追加情報が含まれます。 この列のデータは JSON オブジェクトとして書式設定されます。これには、コンマで区切られた property:value ペアとして構成された複数のプロパティが含まれています。 Excel のPower Query エディターの JSON 変換機能を使用して、AuditData 列の JSON オブジェクト内の各プロパティを複数の列に分割して、各プロパティに独自の列を含めることができます。 これにより、これらのプロパティの 1 つ以上を並べ替えてフィルター処理できます。これは、探している特定の監査データをすばやく見つけるのに役立ちます。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
手順 1: 監査ログの検索結果をエクスポートする
最初の手順では、監査ログを検索し、結果をコンマ区切り値 (CSV) ファイルでローカル コンピュータにエクスポートします。
監査ログ検索を実行し、必要に応じて目的の結果になるまで検索条件を変更します。
検索結果ページで、[エクスポート] を選択 します。
![[すべての結果をダウンロード] をクリックします。](media/audit-export-audit-search-results.png)
このオプションは、手順 1 で実行した監査ログ検索からすべての監査レコードをエクスポートし、監査ログの生データを CSV ファイルに追加します。 大規模な検索用のダウンロード ファイルを準備するにはしばらく時間がかかります。 すべてのアクティビティを検索するとき、または広い日付範囲を使用すると、大きなファイルが生成されます。
エクスポート処理が完了すると、ウィンドウの上部に、CSV ファイルを開いてローカル コンピュータに保存するように促すメッセージが表示されます。 ダウンロード フォルダーでも、CSV ファイルにアクセスできます。
注:
1 つの監査ログの検索から、最大 50,000 エントリを CSV ファイルにダウンロードできます。 50,000 エントリを CSV ファイルにダウンロードする場合、検索条件に一致するイベントが 50,000 件を超えていると見なすことができます。 この上限を超える件数をエクスポートするには、もっと狭い日付の範囲を使用して、監査ログのレコード数を減らしてください。 50,000 を超えるエントリをエクスポートするには、日付範囲が小さい複数の検索を実行する必要がある場合があります。
手順 2: Power Query エディターを使用してエクスポートされた監査ログを書式設定する
次の手順では、Excel のPower Query エディターの JSON 変換機能を使用して、AuditData 列の JSON オブジェクト内の各プロパティを独自の列に分割します。 次に、列をフィルター処理して、特定のプロパティの値に基づいてレコードを表示します。 これは、探している特定の監査データをすばやく見つけるのに役立ちます。
Excel for Office 365、Excel 2019、または Excel 2016 で空白のブックを開きます。
[ データ ] タブの [ データの取得] & [データ変換 ] リボン グループ で、[テキスト/CSV から] を選択します。
![[データ] タブで、[テキスト/CSV から] をクリックします。](media/jsontransformopencsvfile.png)
手順 1 でダウンロードした CSV ファイルを開きます。
表示されるウィンドウで、[データの変換] を選択します。
![[データの変換] をクリックします。](media/jsonopenpowerquery.png)
CSV ファイルがクエリ エディターで開きます。 CreationDate、UserIds、Operations、AuditData という 4 つの列があります。 AuditData 列は、複数のプロパティを含む JSON オブジェクトです。 次の手順では、JSON オブジェクト内の各プロパティの列を作成します。
AuditData 列でタイトルを右クリックし、[変換] を選択してから、JSON を選択します。
![[AuditData] 列を右クリックし、[変換] をクリックし、[JSON] を選択します。](media/jsontransform.png)
AuditData 列の右上隅にある展開アイコンを選択します。
![[AuditData] 列で、展開アイコンをクリックします。](media/jsontransformexpandicon.png)
AuditData 列の JSON オブジェクトのプロパティの一部の一覧が表示されます。
[詳細を読み込む] を選択すると、AuditData 列の JSON オブジェクトのすべてのプロパティが表示されます。
![[詳細を読み込む] をクリックして、JSON オブジェクト内のすべてのプロパティを表示します。](media/jsontransformloadjsonproperties.png)
含めないプロパティの横にあるチェック ボックスをオフにできます。 調査に役立たない列を排除することは、監査ログに表示されるデータの量を減らす良い方法です。
注:
前のスクリーンショットに表示された JSON プロパティ ([ 詳細の読み込み] をクリックした後) は、CSV ファイルの最初の 1,000 行の AuditData 列にあるプロパティに基づいています。 最初の 1,000 行の後でレコードに異なる JSON プロパティがある場合で、AuditData 列が複数の列に分割されている場合、これらのプロパティ (および対応する列) は含まれません。 これを防ぐには、監査ログ検索を再実行し、返されるレコードが少ないほど検索条件を絞り込むことを検討してください。 もう 1 つの回避策は、AuditData 列の JSON オブジェクトを変換する前に、(上記の手順 5 を実行する前に) 行数を減らす Operations 列の項目をフィルター処理することです。
ヒント
AuditData.AffectedItems などのリスト内の属性を表示するには、属性をプルする列の右上隅にある [展開 ] アイコンをクリックし、[ 新しい行に展開] を選択します。 そこからレコードが作成され、列の右上隅にある [展開 ] アイコンをクリックし、属性を表示し、表示または抽出する属性を選択できます。
選択した JSON プロパティごとに追加される列のタイトルを書式設定するには、次のいずれかの操作を行います。
- [元の 列名をプレフィックスとして使用 する] チェック ボックスをオフにして、JSON プロパティの名前を列名として使用します。たとえば、 RecordType や SourceFileName です。
- [ 元の列名をプレフィックスとして使用 する] チェック ボックスをオンのままにして、AuditData プレフィックスを列名に追加します。たとえば、 AuditData.RecordType や AuditData.SourceFileName などです。
[OK] を選択します。
AuditData 列は複数の列に分割されます。 各新しい列は、AuditData JSON オブジェクトのプロパティに対応します。 列の各行には、プロパティの値が含まれています。 プロパティに値が含まれていない場合は、null 値が表示されます。 Excel では、null 値を持つセルは空です。
[ホーム] タブで、[閉じる] & [読み込み] を選択してPower Query エディターを閉じ、変換された CSV ファイルを Excel ブックで開きます。
PowerShell を使用して監査ログ レコードを検索およびエクスポートする
Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで監査ログ検索ツールを使用する代わりに、Exchange Online PowerShell の Search-UnifiedAuditLog コマンドレットを使用して、監査ログ検索の結果を CSV ファイルにエクスポートできます。 その後、手順 2 で説明したのと同じ手順に従って、Power Query エディターを使用して監査ログを書式設定できます。 PowerShell コマンドレットを使用する利点の 1 つは、RecordType パラメーターを使用して特定のサービスからイベントを検索できることです。 手順 2 で説明されているように、PowerShell を使用して監査レコードを CSV ファイルにエクスポートし、Power Query エディターを使用して AuditData 列の JSON オブジェクトを変換する例をいくつか次に示します。
この例では、次のコマンドを実行して、SharePoint 共有操作に関連するすべてのレコードを返します。
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
検索結果は、CreateDate、UserIds、RecordType、AuditData の 4 つの列を含む PowerShellAuditlog という名前の CSV ファイルにエクスポートされます。
レコード型の名前または列挙値を RecordType パラメーターの値として使用することもできます。 レコード型の名前とそれに対応する列挙値の一覧については、「Office 365 管理アクティビティ API スキーマ」の AuditLogRecordType 表を参照してください。
RecordType パラメーターに含めることができる値は 1 つだけです。 他のレコードの種類の監査レコードを検索するには、前の 2 つのコマンドをもう一度実行して別のレコードの種類を指定し、その結果を元の CSV ファイルに追加する必要があります。 たとえば、次の 2 つのコマンドを実行して、同じ日付範囲の SharePoint ファイル アクティビティを PowerShellAuditlog.csv ファイルに追加します。
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
監査ログをエクスポートおよび表示するためのヒント
JSON 変換機能を使用して AuditData 列を複数の列に分割する前と後に監査ログをエクスポートして表示するヒントと例を次に示します。
- RecordType 列をフィルター処理して、特定のサービスまたは機能領域のレコードのみを表示します。 たとえば、SharePoint 共有に関連するイベントを表示するには、 14 (SharePoint 共有アクティビティによってトリガーされるレコードの列挙値) を選択します。 RecordType 列に表示される列挙値に対応するサービスの一覧については、「監査ログの詳細なプロパティ」を参照してください。
- Operations 列をフィルター処理して、特定のアクティビティのレコードを表示します。 Microsoft Purview ポータルまたはコンプライアンス ポータルの監査ログ検索ツールの検索可能なアクティビティに対応するほとんどの操作の一覧については、監査ログSearchの「監査アクティビティ」セクションを参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示