Eksportere, konfigurere og vise overvåkingsloggposter

  • Artikkel
  • 3 minutter å lese

Obs!

Microsoft 365-samsvar kalles nå Microsoft Purview, og løsningene i samsvarsområdet har blitt rebrandet. Hvis du vil ha mer informasjon om Microsoft Purview, kan du se bloggkunngjøringen.

Når du har søkt i overvåkingsloggen og lastet ned søkeresultatene til en CSV-fil, inneholder filen en kolonne kalt AuditData, som inneholder tilleggsinformasjon om hver hendelse. Dataene i denne kolonnen er formatert som et JSON-objekt, som inneholder flere egenskaper som er konfigurert som egenskap:verdipar atskilt med komma. Du kan bruke JSON-transformeringsfunksjonen i Power Query-redigering i Excel til å dele hver egenskap i JSON-objektet i AuditData-kolonnen i flere kolonner, slik at hver egenskap har sin egen kolonne. Dermed kan du sortere og filtrere etter én eller flere av disse egenskapene, noe som kan hjelpe deg med raskt å finne de spesifikke overvåkingsdataene du leter etter.

Trinn 1: Eksportere søkeresultater i overvåkingsloggen

Det første trinnet er å søke i overvåkingsloggen og deretter eksportere resultatene i en kommadelt fil (CSV) til den lokale datamaskinen.

  1. Kjør et søk i overvåkingsloggen , og endre søkekriteriene om nødvendig til du har de ønskede resultatene.

  2. Klikk Eksporter > nedlast alle resultatene på søkeresultatsiden.

    Klikk Last ned alle resultater.

    Dette alternativet eksporterer alle overvåkingspostene fra søk i overvåkingsloggen du kjørte i trinn 1, og legger til rådata fra overvåkingsloggen i en CSV-fil. Det tar litt tid å klargjøre nedlastingsfilen for et stort søk. Store filer vil resultere når du søker etter alle aktiviteter eller bruker et bredt datoområde.

  3. Når eksportprosessen er fullført, vises en melding øverst i vinduet som ber deg om å åpne CSV-filen og lagre den på den lokale datamaskinen. Du kan også få tilgang til CSV-filen i Nedlastinger-mappen.

    Obs!

    Du kan laste ned maksimalt 50 000 oppføringer til en CSV-fil fra ett enkelt søk i overvåkingsloggen. Hvis 50 000 oppføringer lastes ned til CSV-filen, kan du sannsynligvis anta at det er mer enn 50 000 hendelser som oppfyller søkekriteriene. Hvis du vil eksportere mer enn denne grensen, kan du prøve å bruke et smalere datoområde for å redusere antall poster i overvåkingsloggen. Du må kanskje kjøre flere søk med mindre datointervaller for å eksportere mer enn 50 000 oppføringer.

Trinn 2: Formatere den eksporterte overvåkingsloggen ved hjelp av Power Query-redigering

Det neste trinnet er å bruke JSON-transformeringsfunksjonen i Power Query-redigering i Excel til å dele hver egenskap i JSON-objektet i AuditData-kolonnen i sin egen kolonne. Deretter filtrerer du kolonner for å vise poster basert på verdiene for bestemte egenskaper. Dette kan hjelpe deg med raskt å finne de spesifikke overvåkingsdataene du leter etter.

  1. Åpne en tom arbeidsbok i Excel for Office 365, Excel 2019 eller Excel 2016.

  2. Klikk Fra tekst/CSV i gruppen Hent & Transformer dataData-fanen.

    Klikk Fra tekst/CSV på Data-fanen.

  3. Åpne CSV-filen du lastet ned i trinn 1.

  4. Klikk Transformer data i vinduet som vises.

    Klikk Transformer data.

    CSV-filen åpnes i Power Query-redigering. Det finnes fire kolonner: CreationDate, UserIds, Operations og AuditData. AuditData-kolonnen er et JSON-objekt som inneholder flere egenskaper. Det neste trinnet er å opprette en kolonne for hver egenskap i JSON-objektet.

  5. Høyreklikk tittelen i AuditData-kolonnen , klikk Transformer, og klikk deretter JSON.

    Høyreklikk AuditData-kolonnen, klikk Transformer, og velg deretter JSON.

  6. Klikk utvid-ikonet øverst til høyre i AuditData-kolonnen .

    Klikk utvidelsesikonet i AuditData-kolonnen.

    En delvis liste over egenskapene i JSON-objektene i AuditData-kolonnen vises.

  7. Klikk Last inn mer for å vise alle egenskapene i JSON-objektene i AuditData-kolonnen .

    Klikk Last inn mer for å vise alle egenskapene i JSON-objektet.

    Du kan fjerne merket i avmerkingsboksen ved siden av en egenskap du ikke vil inkludere. Å fjerne kolonner som ikke er nyttige for undersøkelsen, er en god måte å redusere datamengden som vises i overvåkingsloggen.

    Obs!

    JSON-egenskapene som vises i det forrige skjermbildet (etter at du klikker Last inn mer) er basert på egenskapene som finnes i AuditData-kolonnen fra de første 1000 radene i CSV-filen. Hvis det finnes ulike JSON-egenskaper i poster etter de første 1000 radene, inkluderes ikke disse egenskapene (og en tilsvarende kolonne) når AuditData-kolonnen er delt inn i flere kolonner. Du kan forhindre dette ved å kjøre søket i overvåkingsloggen på nytt og begrense søkekriteriene slik at færre poster returneres. En annen løsning er å filtrere elementer i Operasjoner-kolonnen for å redusere antall rader (før du utfører trinn 5 ovenfor) før du transformerer JSON-objektet i AuditData-kolonnen .

    Tips

    Hvis du vil vise et attributt i en liste, for eksempel AuditData.AffectedItems, klikker du Utvid-ikonet øverst til høyre i kolonnen du vil hente et attributt fra, og deretter velger du Utvid til Ny rad. Derfra vil det være en post, og du kan klikke Utvid-ikonet øverst til høyre i kolonnen, vise attributtene og velge den du vil vise eller trekke ut.

  8. Gjør én av følgende ting for å formatere tittelen på kolonnene som legges til for hver JSON-egenskap som er valgt.

    • Fjern merket for Bruk opprinnelig kolonnenavn som prefiks for å bruke navnet på JSON-egenskapen som kolonnenavn. for eksempel RecordType eller SourceFileName.

    • La avmerkingsboksen Bruk opprinnelig kolonnenavn som prefiks være merket for å legge til prefikset AuditData i kolonnenavnene. For eksempel AuditData.RecordType eller AuditData.SourceFileName.

  9. Klikk OK.

    AuditData-kolonnen er delt inn i flere kolonner. Hver nye kolonne tilsvarer en egenskap i AuditData JSON-objektet. Hver rad i kolonnen inneholder verdien for egenskapen. Hvis egenskapen ikke inneholder en verdi, vises nullverdien . I Excel er celler med nullverdier tomme.

  10. Klikk Lukk & Last innHjem-fanen for å lukke Power Query-redigering og åpne den transformerte CSV-filen i en Excel arbeidsbok.

Bruke PowerShell til å søke etter og eksportere overvåkingsloggposter

I stedet for å bruke søkeverktøyet for overvåkingslogg i samsvarsportalen for Microsoft Purview, kan du bruke cmdleten Search-UnifiedAuditLog i Exchange Online PowerShell til å eksportere resultatene av et søk i overvåkingsloggen til en CSV-fil. Deretter kan du følge samme fremgangsmåte som beskrevet i trinn 2, for å formatere overvåkingsloggen ved hjelp av redigeringsprogrammet for Power Query. En fordel med å bruke PowerShell-cmdleten er at du kan søke etter hendelser fra en bestemt tjeneste ved hjelp av RecordType-parameteren . Her er noen eksempler på hvordan du bruker PowerShell til å eksportere overvåkingsposter til en CSV-fil, slik at du kan bruke redigeringsprogrammet Power Query til å transformere JSON-objektet i AuditData-kolonnen, som beskrevet i trinn 2.

I dette eksemplet kjører du følgende kommandoer for å returnere alle poster relatert til SharePoint delingsoperasjoner.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Søkeresultatene eksporteres til en CSV-fil med navnet PowerShellAuditlog som inneholder fire kolonner: CreationDate, UserIds, RecordType, AuditData).

Du kan også bruke navnet eller opplistingsverdien for posttypen som verdi for RecordType-parameteren . Hvis du vil ha en liste over posttypenavn og tilhørende opplistingsverdier, kan du se AuditLogRecordType-tabellen i Office 365 Management Activity API-skjema.

Du kan bare inkludere én enkelt verdi for RecordType-parameteren . Hvis du vil søke etter overvåkingsposter for andre oppføringstyper, må du kjøre de to forrige kommandoene på nytt for å angi en annen posttype og tilføye disse resultatene i den opprinnelige CSV-filen. Du kan for eksempel kjøre følgende to kommandoer for å legge til SharePoint filaktiviteter fra samme datointervall til PowerShellAuditlog.csv-filen.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Tips for å eksportere og vise overvåkingsloggen

Her er noen tips og eksempler på hvordan du eksporterer og viser overvåkingsloggen før og etter at du bruker JSON-transformeringsfunksjonen til å dele AuditData-kolonnen i flere kolonner.

  • Filtrer RecordType-kolonnen for å vise bare postene fra en bestemt tjeneste eller et funksjonsområde. Hvis du for eksempel vil vise hendelser relatert til SharePoint deling, velger du 14 (opplistingsverdien for poster utløst av SharePoint delingsaktiviteter). Hvis du vil ha en liste over tjenester som samsvarer med opplistingsverdiene som vises i RecordType-kolonnen , kan du se Detaljerte egenskaper i overvåkingsloggen.

  • Filtrer Operasjoner-kolonnen for å vise postene for bestemte aktiviteter. Hvis du vil ha en liste over de fleste operasjoner som tilsvarer en søkbar aktivitet i søkeverktøyet for overvåkingsloggen i samsvarsportalen, kan du se delen Overvåkede aktiviteter i søk i overvåkingsloggen.