Überwachungsprotokollierung für Gitter

Die Überwachungsprotokollierung hilft Organisationen dabei, effektiv auf Sicherheitsereignisse, forensische Untersuchungen, interne Untersuchungen und Complianceverpflichtungen zu reagieren. In diesem Artikel wird das Abfragen und Anfordern von Überwachungsprotokollen für Microsoft Mesh-Vorgänge und -Ereignisse zusammengefasst. Einige Vorgänge sind Gitterspezifisch, während andere mit anderen M365-Vorgängen verknüpft sind, z. B. M365: Exchange, SharePoint, Microsoft Entra (Azure AD)-Vorgänge, Microsoft Teams usw.

Mit der Überwachungsprotokollierung für Mesh kann ein Administrator Einblicke in einzelne oder Massenvorgänge sammeln, die sich auf Benutzeraktivitäten oder Vorgänge beziehen, die sich auf Interaktionen mit M365-Diensten für Microsoft Mesh ergeben.

Überwachungsprotokollierung für Mesh kann mit Microsoft Purview oder Exchange Online PowerShell erfolgen.

Hinweis

Microsoft Mesh bietet zwei Hauptangebote für Benutzer: immersive Räume in Teams und benutzerdefinierte immersive Räume. Die Überwachungsprotokollierung behandelt diese Angebote nicht als unabhängig, und daher können die Ereignisse in der Überwachung abhängig von dem von Ihnen abfragenden Ereignis entweder auf angebote oder beide Angebote verweisen.

Beispiele für Benutzeraktivitäten und -vorgänge, an denen ein Administrator für Mesh interessiert sein kann, sind:

• Endbenutzer in Mesh in Teams /Mesh Browser – Teilnehmen an Mesh-Sitzungen.

• Gitteradministratoren und Benutzer, die Ereignisse im Mesh-Portal erstellen.

• Content Creators using Mesh Toolkit (Mesh Uploader) to create and upload artifacts.

Überprüfbare Ereignisse für Microsoft Mesh

Die derzeit verfügbaren Überwachungsereignisse sind unten aufgeführt. Ereignisse werden basierend auf Benutzeraktivitäten im Mesh-Verwaltungsportal oder Sitzungs-/Vorlagenanpassungsaktivitäten in der Mesh-Anwendung generiert.

Veranstaltungsname	Beschreibung
EnvironmentDeleted	Löschen sie eine Gitterumgebung.
EnvironmentPublished	Veröffentlichen Sie eine neue Version einer Gitterumgebung.
ComponentCreated	Erstellen Sie eine Sitzungskomponente für eine bestimmte Mesh-Sitzung.
ComponentDeleted	Löschen einer Sitzungskomponente einer bestimmten Mesh-Sitzung.
TemplateCreated	Erstellen Sie eine neue Vorlage für Gitterwelt/Sammlung.
TemplateDeleted	Löschen Von Inhalten und Metadaten der Mesh World-Vorlage.
TemplateUpdated	Aktualisieren sie eine vorhandene Vorlage für Gitterwelt/Sammlung.
WorldCreated	Erstellen Sie eine Mesh World/Collection.
WorldDeleted	Löschen sie eine Gitterwelt/Sammlung.
WorldUpdated	Dient zum Aktualisieren einer Mesh World/Collection.
WorldMembersAdded	Fügen Sie mitglieder zur Mesh World/Collection hinzu.
WorldOwnersAdded	Fügen Sie Besitzer einer Mesh World/Collection hinzu.
WorldMembersRemoved	Entfernen eines Elements aus einer Mesh World/Collection.
WorldOwnersRemoved	Entfernen Sie einen Besitzer aus einer Mesh World/Collection.
EnvironmentStorageCreated	Erstellen Sie einen neuen Speicherort für eine Mesh-Umgebung.
SessionMetadataCreated	Erstellen sie Metadaten der Mesh World/Collection-Sitzung.
SessionMetadataDeleted	Löscht Gitterwelt-/Sammlungssitzungsmetadaten.
SessionMetadataUpdated	Aktualisieren der Metadaten der Mesh World/Collection-Sitzung.
SessionMetadataTemplateCreated	Erstellen Sie eine Vorlagenanpassung für Mesh World/Collection.
SessionEnvironmentSet	Legen Sie die Umgebung für eine Zusammenarbeitssitzung fest.
SessionJoin	Der Gitterdienst hat die erforderlichen Systemressourcen bereitgestellt und die Clientanwendung mit den Informationen bereitgestellt, die für die Teilnahme an einer Mesh-Sitzung erforderlich sind.

Einige Erläuterungen dazu, worauf sich die Terminologie in diesen Ereignissen bezieht:

• Sitzung: bezieht sich auf Sitzungen, wenn bestimmte Dinge für Umgebungen oder Besprechungen konfiguriert sind. Es gibt drei Arten von Sitzungen, die von Überwachungsprotokollen erfasst werden:

  • Vorlagenanpassungssitzung: Protokolle werden erfasst, wenn ein Benutzer eine Ereignisvorlage anpasst und Änderungen in der Mesh-Anwendung speichert.
  • Ereignisanpassungssitzung: Protokolle werden erfasst, wenn ein Benutzer ein einzelnes Ereignis anpasst und Änderungen in der Mesh-Anwendung speichert.
  • Ereignissitzung: Protokolle werden erfasst, wenn ein Mesh-Ereignis auftritt. In der Regel ist die Konfiguration unveränderlich, da z. B. komponenten nicht von Benutzern in einem Liveereignis platziert werden können.

• Welt : bezieht sich auf Sammlungen in Mesh im Web. Sammlungen sind ein Bucket, der Umgebungen und Vorlagen von Umgebungen enthält, die in Mesh-Ereignissen verwendet werden. Überwachungsprotokolle, die erfasst werden, wenn ein Benutzer eine Auflistung erstellt, eine Auflistung löscht, einer Auflistung Member hinzufügt, einer Auflistung Besitzer hinzufügt oder Besitzer aus einer Auflistung entfernt.

• Komponente: bezieht sich auf die Objekte, die in einer Umgebung gerendert werden, wenn eine Sitzung für ein Ereignis, eine Vorlage oder eine Anpassungssitzung gestartet wird. Wenn ein Benutzer versucht, eine Umgebung einzugeben, werden die Komponenten in dieser Umgebung durch Komponentenprotokolle geladen und erfasst.

Microsoft Purview

Microsoft Purview-Überwachungslösungen bieten eine integrierte Lösung, mit der Organisationen effektiv auf Sicherheitsereignisse, forensische Untersuchungen, interne Untersuchungen und Complianceverpflichtungen reagieren können.

Voraussetzungen für Purview-Überwachungsprotokollierungslösungen

Erfahren Sie, wie Sie mit Microsoft Purview-Überwachungsprotokollierungslösungen beginnen.

Erste Schritte mit der Suche

Erfahren Sie, wie Sie das Überwachungsprotokoll in Microsoft Purview durchsuchen.

Exportieren, konfigurieren und betrachten Sie Datensätze des Audit-Protokolls

Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokolldatensätzen

Exchange Online PowerShell

Voraussetzungen für die Verwendung von Exchange Online PowerShell

Um die Überwachungsprotokollierung für Mesh-Vorgänge durchzuführen, sind die folgenden Voraussetzungen erforderlich:

• Zugriff und Vertrautheit mit Microsoft Purview für die Überwachungsprotokollierung
• Zugriff und Vertrautheit mit dem PowerShell Exchange-Cmdlet
• Zum Ausführen von Cmdlet-Befehlen erforderliche Administratorberechtigungen
• Microsoft Excel oder ein anderes Datenanalysetool zum Analysieren der Daten nach dem Sammeln
• PowerShell v7

Erfassen von Überwachungsprotokollen für Mesh

Herstellen einer Verbindung mit Exchange Online mithilfe der Remote-PowerShell

Laden Sie in PowerShell das Exchange Online PowerShell-Modul

Import-Module ExchangeOnlineManagement

Stellen Sie eine Verbindung her, und führen Sie die Authentifizierung durch.

Connect-ExchangeOnline -UserPrincipalName [USER]@[AADDOMAIN].com

Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

Überprüfen, ob die Überwachungsprotokollierung aktiviert ist

Die Überwachungsprotokollierung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Wenn Sie jedoch eine neue Microsoft 365-Organisation einrichten, sollten Sie den Überwachungsstatus für Ihre Organisation überprüfen. Anweisungen finden Sie unter Aktivieren oder Deaktivieren der Überwachung.

Tipp

Um die für jedes Cmdlet erforderlichen Berechtigungen zu überprüfen, besuchen Sie bitte die Berechtigungen, die zum Ausführen eines Exchange-Cmdlets erforderlich sind.

Suchen nach Unified AuditLog-Ereignissen

Nachdem Sie überprüft haben, dass die Überwachungsprotokollierung aktiviert ist und Sie über die richtigen Berechtigungen zum Ausführen von Cmdlets verfügen, können Sie nun mithilfe des Befehls "Search-UnifiedAuditLog" mit verschiedenen Filtern nach Protokolldatensätzen suchen.

Wichtig

Es gibt ein breites Array von Parametern für Search-UnifiedAuditLog. Bitte lesen Sie die Search-UnifiedAuditLog-Dokumentation | Weitere Informationen finden Sie in Microsoft Learn .

Der Inhalt des Überwachungsdatensatzes enthält die folgenden Felder:

• RecordType – Workloadtyp, z. B. SharePoint oder MeshWorlds
• CreationDate
• UserIds – Benutzer, die einen Vorgang ausführen.
• Vorgänge – in der Regel Vorgangsname oder Vorgangsnamen.
• AuditData – JSON-codierte detaillierte Ereignisdaten. Die Inhalte unterscheiden sich je nach Workloadtyp.
• ResultIndex - Index einer Zeile in einem Ergebnis, das von PowerShell-Skript (1-N...) zurückgegeben wird.
• ResultCount – Gesamtanzahl der zeilen, die vom PowerShell-Skript zurückgegeben werden.
• Identität – Azure ID/Microsoft Entra GUID des Benutzers.

Search-UnifiedAuditLog (Beispiel 1)

Eine grundlegende Abfrage für Überwachungsprotokolle mit -StartDate und -EndDate.

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-05-01 | Export-Csv -Path .\export-all.csv -NoTypeInformation

Der Inhalt des Datensatzes wird in einem Format vorliegen, das anfangs schwer zu analysieren sein kann, aber sobald er formatiert wurde, sollte es verständlich sein.

Beispielantwort:

"AzureActiveDirectory","4/9/2024 6:49:03 PM","[XXXXXXX]@[XXXXX].com","Update group.","{""CreationTime"":""2024-04-09T18:49:03"",""Id"":""871d4a2e-8e38-488e-a83e-b7a7c6c65228"",""Operation"":""Update group."",""OrganizationId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82"",""RecordType"":8,""ResultStatus"":""Success"",""UserKey"":""10032002CCA9134A@meshrp.onmicrosoft.com"",""UserType"":0,""Version"":1,""Workload"":""AzureActiveDirectory"",""ClientIP"":""20.171.55.147"",""ObjectId"":""Group_1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""UserId"":""[XXXXXXX]@[XXXXX].com"",""AzureActiveDirectoryEventType"":1,""ExtendedProperties"":[{""Name"":""additionalDetails"",""Value"":""{\""GroupType\"":\""Unified\"",\""User-Agent\"":\""kiota-dotnet\/1.3.4\""}""},{""Name"":""extendedAuditEventCategory"",""Value"":""Group""}],""ModifiedProperties"":[{""Name"":""Description"",""NewValue"":""[\r\n  \""New collection of stuff for M365 Audit feature testing\""\r\n]"",""OldValue"":""[\r\n  \""New collection of stuff\""\r\n]""},{""Name"":""MailNickname"",""NewValue"":""[\r\n  \""MyCollectionofStuff2272\""\r\n]"",""OldValue"":""[\r\n  \""MyCollectionofStuff2\""\r\n]""},{""Name"":""Included Updated Properties"",""NewValue"":""Description, MailNickname"",""OldValue"":""""},{""Name"":""TargetId.GroupType"",""NewValue"":""Unified"",""OldValue"":""""}],""Actor"":[{""ID"":""[XXXXXXX]@[XXXXX].com"",""Type"":5},{""ID"":""10032002CCA9134A"",""Type"":3},{""ID"":""Microsoft Mesh Services"",""Type"":1},{""ID"":""3016d0ce-47cc-4005-b11d-5fcabb1b643d"",""Type"":2},{""ID"":""User_c7e95ea2-64f6-4743-b8e6-52ce520cba81"",""Type"":2},{""ID"":""c7e95ea2-64f6-4743-b8e6-52ce520cba81"",""Type"":2},{""ID"":""User"",""Type"":2}],""ActorContextId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82"",""ActorIpAddress"":""20.171.55.147"",""InterSystemsId"":""2cd62b4e-4744-4c55-8a88-e64771393266"",""IntraSystemId"":""0b9fe72c-eca5-4ad5-a9c5-5986e8bc963d"",""SupportTicketId"":"""",""Target"":[{""ID"":""Group_1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""Type"":2},{""ID"":""1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""Type"":2},{""ID"":""Group"",""Type"":2},{""ID"":""My Collection of Stuff 2"",""Type"":1}],""TargetContextId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82""}","4","2148","871d4a2e-8e38-488e-a83e-b7a7c6c65228","True","Unchanged"

Tipp

-NoTypeInformation ist ein PowerShell-Hilfsprogramm , um .csv Exporte sauberer zu machen.

Search-UnifiedAuditLog-Beispiel 2

Eine einfache Abfrage für alle Überwachungsprotokolle, die -Operations die World Zeichenfolge enthalten.

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-05-01 -Operations World* | Export-Csv -Path .\export-all-world.csv -NoTypeInformation

Search-UnifiedAuditLog-Beispiel 3

Eine einfache Abfrage für alle Überwachungsprotokolle, die -UserIds die [email@company.com] Zeichenfolge enthalten.

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-04-10 -UserIds [email@company.com] | Export-Csv -Path .\export-all-Max.csv -NoTypeInformation

Datensatzinhaltsanalyse

Der Inhalt des Überwachungsprotokolldatensatzes wird in einem JSON-Format zurückgegeben. Die AuditData-Analyse erfordert möglicherweise eine Vertrautheit mit der Analyse von Text als JSON oder XML.

Die Datensatzgruppe kann zur Analyse in Excel importiert werden. Weitere Informationen finden Sie unter Importieren von Daten aus Quellen in Excel.