通过

查看保管审核活动

  • 项目

需要了解用户是否查看了特定文档或从其邮箱中清除了某项? Microsoft Purview 电子数据展示 (Premium) 现已与Microsoft Purview 合规门户中的现有审核日志搜索工具集成。 使用此嵌入式体验,可以使用电子数据展示 (Premium) 保管人管理工具,通过轻松访问和搜索案例中的保管人的活动来促进调查。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

获取权限

必须在 Exchange Online 中分配“仅查看审核日志”或“审核日志”角色才能搜索或导出审核日志。 默认情况下,这些角色分配给 Exchange 管理中心权限”页上的“合规性管理和组织管理”角色组。 若要让用户能够搜索电子数据展示 (Premium) 审核日志的最低权限级别,可以在 Exchange Online 创建自定义角色组,添加“仅查看审核日志”或“审核日志”角色,然后将该用户添加为新角色组的成员。 有关详细信息,请参阅在 Exchange Online 中管理角色组。

重要

如果在合规性门户的“权限”页上向用户分配 “仅查看审核日志 ”或“ 审核日志 ”角色,则他们将无法搜索或导出审核日志。 必须在 Exchange Online 中分配权限。 这是因为用于搜索审核日志的基础 cmdlet 是 Exchange Online cmdlet。

步骤 1:搜索保管人执行的活动的审核日志

  1. 转到 电子数据展示 > 电子数据展示 (高级版) 并打开案例。

  2. 选择“ ”选项卡。

  3. 在“ 保管人 ”页上,从列表中选择一个保管人,然后在浮出控件页上选择“ 查看保管人活动 ”。

    将显示“保管人活动搜索”页。 请注意,在上一步中选择的保管人将显示在“ 保管人 ”下拉框中。 可以在下拉框中选择不同的保管人,但一次只能搜索一个保管人的活动。

    保管人活动搜索页。

  4. 配置以下搜索条件:

    1. 活动 - 选择下拉列表以显示可搜索的活动。 运行搜索后,仅将显示所选活动的审核日志项目。 选择“ 显示所有活动的结果” 将显示保管人执行与其他搜索条件匹配的所有活动的结果。

      活动列表。

    2. 开始日期和结束日期 - 选择日期和时间范围以显示在该时间段内发生的事件。 默认情况下,将选择最近七天。 日期和时间将以协调世界时 (UTC) 格式显示。 可以指定的最大日期范围是一年。

    3. 保管人 - 在此框中选择,然后选择要显示其搜索结果的特定保管人。 在此框中选择的用户所执行的所选活动的审核记录将显示在结果列表中。

  5. 选择“搜索按钮”。使用搜索条件运行搜索。 将加载搜索结果,几分钟后,它们将显示在“保管人活动”搜索页上的“结果”下。

步骤 2:查看审核日志搜索结果

审核日志搜索结果显示在“保管人审核日志”页上的“结果”下。 最多 5,000 个 (最新) 事件以 150 个事件的增量显示。 若要显示更多事件,可以使用“结果”窗格中的滚动条,也可以按 Shift + End 显示接下来的 150 个事件。

结果包含有关搜索返回的每个事件的以下信息。

  • 日期”:事件发生的日期和时间(采用 UTC 格式)。
  • IP 地址”:记录活动时所用设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。
  • 用户:执行触发事件的操作的用户(或服务帐户)。
  • 活动”:用户执行的活动。 此值对应于你在"活动"下拉列表中选定的活动。 对于来自 Exchange 管理员审核日志的事件,此列中的值为 Exchange cmdlet。
  • 项目”:由于相应活动而创建或修改的对象。 例如已查看或修改的文件或已更新的用户帐户。 并非所有活动在此列中都具有值。
  • 详细信息:有关活动的其他详细信息。 同样,并非所有活动均具有此值。

步骤 3:筛选搜索结果

除排序外,你还可以筛选审核日志搜索的结果。 这有助于快速筛选特定用户或活动的结果。

若要筛选结果,请执行以下操作:

  1. 创建并运行审核日志搜索。

  2. 显示结果时,选择“ 筛选结果”。

  3. 每个列标题下将显示关键字框。

  4. 选择列标题下的框之一,并键入单词或短语,具体取决于要筛选的列。 结果将动态重新调整以显示符合筛选条件的事件。

  5. 若要清除筛选器,请在筛选器框中选择 “X ”,或仅选择“ 隐藏筛选”。

将搜索结果导出到文件

可以将审核日志搜索结果导出到本地计算机上的逗号分隔值 (CSV) 文件。 可以在 Microsoft Excel 中打开此文件,并使用搜索、排序、筛选和拆分包含多值单元格的单个列 () 到多个列中的功能。

  1. 运行审核日志搜索,然后修订搜索条件直到获得所需结果。

  2. 选择“导出结果”,然后选择以下选项之一:

    • 保存加载的结果:选择此选项可仅导出“保管人审核日志搜索”页上“结果”下显示的条目。 下载的 CSV 文件包含(“日期”、“用户”、“活动”、“项目”和“详细信息”)页面上显示的相同列(和数据)。 CSV 文件中包含了标题为“ 更多) ”的附加列 (,其中包含审核日志条目中的详细信息。 由于你将导出“审核日志搜索”页上已加载(且可查看)的相同结果,因此最多可导出 5,000 个条目。

    • 下载所有结果: 选择此选项可从审核日志中导出满足搜索条件的所有条目。 对于大量搜索结果,选择此选项可从审核日志下载所有条目,以及可在 “保管审核日志 搜索”页上显示的 5,000 个结果。 此选项会将审核日志中的原始数据下载到 CSV 文件,并在名为 AuditData 的列中包含审核日志条目中的其他信息。 如果选择此导出选项,下载该文件可能需要更长时间,因为文件可能比选择其他选项下载的文件大得多。

      重要

      你可以将最多 50,000 个条目从单个审核日志搜索中下载到 CSV 文件。 如果下载了 50,000 个条目到 CSV 文件,则可以假定可能存在超过 50,000 个符合搜索条件的事件。 若要导出的条目超出此限制,请尝试使用日期范围以减少审核日志项目。 你可能需要使用更小日期范围运行多个搜索来导出超过 50,000 个条目。

  3. 选择导出选项后,窗口底部会显示一条消息,提示你打开 CSV 文件,将其保存到“下载”文件夹,或将其保存到特定文件夹

有关查看、筛选或导出审核日志搜索结果的详细信息,请参阅搜索审核日志