보유자 감사 활동 보기

  • 아티클
  • 읽는 데 5분 걸림

사용자가 특정 문서를 보았는지 또는 사서함에서 항목을 제거했는지 확인해야 하나요? 이제 Microsoft Purview eDiscovery(프리미엄)가 Microsoft Purview 규정 준수 포털 기존 감사 로그 검색 도구와 통합됩니다. 이 포함된 환경을 사용하면 eDiscovery(프리미엄) 보유자 관리 도구를 사용하여 사례 내의 보유자 활동에 쉽게 액세스하고 검색하여 조사를 용이하게 할 수 있습니다.

권한 가져오기

감사 로그를 검색하려면 Exchange Online에서 보기 전용 감사 로그 또는 감사 로그 역할이 할당되어야 합니다. 기본적으로 이러한 역할은 Exchange 관리 센터 사용 권한 페이지의 준수 관리 및 조직 관리 역할 그룹에 할당됩니다. 최소 권한 수준을 사용하여 eDiscovery(프리미엄) 감사 로그를 검색할 수 있는 권한을 사용자에게 제공하려면 Exchange Online에서 사용자 지정 역할 그룹을 만들고, 보기 전용 감사 로그 또는 감사 로그 역할을 추가한 다음, 새 역할 그룹의 구성원으로 사용자를 추가할 수 있습니다. 자세한 내용은 Exchange Online에서 역할 그룹 관리를 참조하세요.

중요

규정 준수 포털의 권한 페이지에서 사용자에게 감사 로그 보기 또는 감사 로그 역할을 할당하면 감사 로그를 검색할 수 없습니다. Exchange Online에서 사용 권한을 할당해야 합니다. 감사 로그를 검색하는 데 사용되는 기본 cmdlet이 Exchange Online cmdlet이기 때문입니다.

1단계: 감사 로그에서 보유자가 수행한 활동 검색

  1. eDiscovery > eDiscovery(프리미엄)로 이동하여 사례를 엽니다.

  2. 원본 탭 클릭합니다.

  3. 보유자 페이지에서 목록에서 보유자를 선택한 다음 플라이아웃 페이지에서 보유자 활동 보기를 클릭합니다.

    보유자 활동 검색 페이지가 표시됩니다. 이전 단계에서 선택한 보유자가 보유자 드롭다운 상자에 표시됩니다. 드롭다운 상자에서 다른 보유자를 선택할 수 있지만 한 번에 한 명의 보유자에 대한 활동만 검색할 수 있습니다.

    보유자 활동 검색 페이지.

  4. 다음과 같은 검색 조건을 구성합니다.

    1. 활동 - 드롭다운 목록을 클릭하여 검색할 수 있는 활동을 표시합니다. 검색을 실행하면 선택한 활동에 대한 감사 기록만 표시됩니다. 모든 활동에 대한 결과 표시 를 선택하면 다른 검색 조건과 일치하는 보유자가 수행한 모든 활동에 대한 결과가 표시됩니다.

      활동 목록입니다.

    2. 시작 날짜 및 종료 날짜 - 날짜 및 시간 범위를 선택하여 해당 기간 내에 발생한 이벤트를 표시합니다. 지난 7일은 기본적으로 선택됩니다. 날짜 및 시간은 UTC(협정 세계시) 형식으로 표시됩니다. 지정할 수 있는 최대 날짜 범위는 1년입니다.

    3. 보유자 - 이 상자를 클릭한 다음 검색 결과를 표시할 특정 보유자를 선택합니다. 이 상자에서 선택한 사용자가 수행한 선택한 활동에 대한 감사 레코드가 결과 목록에 표시됩니다.

  5. 검색 단추. 검색 조건을 사용하여 검색을 실행합니다. 검색 결과가 로드되고 몇 분 후에는 Custodian 활동 검색 페이지의 결과 아래에 표시됩니다.

2단계: 감사 로그 검색 결과 보기

감사 로그 검색 결과는 보유자 감사 로그 페이지의 결과 아래에 표시됩니다. 최대 5,000개(최신) 이벤트가 150개 이벤트 증분으로 표시됩니다. 이벤트를 더 표시하려면 결과 창에서 스크롤 막대를 사용하거나, Shift+End를 눌러 다음 150개의 이벤트를 표시할 수 있습니다.

결과에는 검색에서 반환되는 각 이벤트에 대한 다음 정보가 포함됩니다.

  • 날짜: 이벤트가 발생한 날짜 및 시간(UTC 형식)입니다.

  • IP 주소: 활동을 기록할 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다.

  • 사용자: 이벤트를 트리거한 작업을 수행한 사용자(또는 서비스 계정)입니다.

  • 활동: 사용자가 수행한 활동입니다. 이 값은 활동 드롭다운 목록에서 선택한 활동에 해당합니다. Exchange 관리자 감사 로그의 이벤트에 대한 이 열의 값은 Exchange cmdlet입니다.

  • 항목: 해당 활동의 결과로 생성 또는 수정된 개체입니다. 예를 들어, 보거나 수정된 파일 또는 업데이트된 사용자 계정입니다. 일부 활동은 이 열에 값이 없습니다.

  • 세부 정보: 활동에 대한 추가 정보입니다. 마찬가지로, 일부 활동에는 값이 없습니다.

3단계: 검색 결과 필터링

정렬 외에도 감사 로그 검색 결과를 필터링할 수 있습니다. 이렇게 하면 특정 사용자 또는 활동에 대한 결과를 빠르게 필터링할 수 있습니다.

결과를 필터링하려면

  1. 감사 로그 검색을 만들고 실행합니다.

  2. 결과가 표시되면 결과 필터링 을 클릭합니다.

  3. 각 열 머리글 아래에 키워드 상자가 표시됩니다.

  4. 열 머리글 아래에 있는 상자 중 하나를 클릭하고 필터링할 열에 따라 단어 또는 구를 입력합니다. 결과가 동적으로 다시 조정되어 필터와 일치하는 이벤트를 표시합니다.

  5. 필터를 지우려면 필터 상자에서 X 를 클릭하거나 필터링 숨기기 를 클릭합니다.

검색 결과를 파일로 내보내기

감사 로그 검색 결과를 로컬 컴퓨터의 CSV(쉼표로 구분된 값) 파일로 내보낼 수 있습니다. Microsoft Excel에서 이 파일을 열고 검색, 정렬, 필터링 및 단일 열(다중 값 셀 포함)을 여러 열로 분할하는 등의 기능을 사용할 수 있습니다.

  1. 감사 로그 검색을 실행한 다음 원하는 결과를 얻을 때까지 검색 조건을 수정합니다.

  2. 결과 내보내기를 클릭하고 다음 옵션 중 하나를 선택합니다.

    • 로드된 결과 저장: 보유자 감사 로그 검색 페이지의 결과 아래에 표시되는 항목만 내보내려면 이 옵션을 선택합니다. 다운로드한 CSV 파일에는 페이지에 표시되는 것과 동일한 열(날짜, 사용자, 활동, 항목 및 세부 정보) 및 데이터가 포함되어 있습니다. 추가 열( 자세히)은 감사 로그 항목의 추가 정보를 포함하는 CSV 파일에 포함됩니다. 감사 로그 검색 페이지에 로드되어 표시되는 것과 동일한 결과를 내보내기 때문에 최대 5,000개의 항목이 내보내집니다.

    • 모든 결과 다운로드: 검색 조건을 충족하는 감사 로그에서 모든 항목을 내보내려면 이 옵션을 선택합니다. 대용량 검색 결과 집합의 경우 이 옵션을 선택하여 감사 로그에서 모든 항목을 다운로드하고 보유자 감사 로그 검색 페이지에 표시할 수 있는 5,000개의 결과를 다운로드합니다. 이 옵션은 감사 로그에서 CSV 파일로 원시 데이터를 다운로드하고 AuditData라는 열에 있는 감사 로그 항목의 추가 정보를 포함합니다. 파일이 다른 옵션을 선택할 경우 다운로드되는 파일보다 훨씬 더 클 수 있기 때문에 이 내보내기 옵션을 선택할 경우 파일을 다운로드하는 데 오래 걸릴 수 있습니다.

      중요

      단일 감사 로그 검색에서 최대 50,000의 항목을 CSV 파일로 다운로드할 수 있습니다. 50,000개의 항목이 CSV 파일로 다운로드되면 검색 조건에 맞는 이벤트가 50,000개 이상 있다고 가정할 수 있습니다. 이 제한보다 많은 항목을 내보내려면 날짜 범위를 사용하여 감사 로그 항목 수를 줄이세요. 50,000개 이상의 항목을 내보내기 위해 더 작은 날짜 범위로 여러 번 검색을 실행해야 할 수 있습니다.

  3. 내보내기 옵션을 선택하면 CSV 파일을 열거나 다운로드 폴더에 저장하거나 특정 폴더에 저장하라는 메시지가 창 아래쪽에 표시됩니다.

감사 로그 검색 결과를 보거나 필터링하거나 내보내는 방법에 대한 자세한 내용은 감사 로그 검색을 참조하세요.