Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen
Nachdem Sie das Überwachungsprotokoll durchsucht und die Suchergebnisse in eine CSV-Datei heruntergeladen haben, enthält die Datei eine Spalte mit dem Namen AuditData, die zusätzliche Informationen zu jedem Ereignis enthält. Die Daten in dieser Spalte sind als JSON-Objekt formatiert, das mehrere Eigenschaften enthält, die als Eigenschaft:Wert-Paare konfiguriert sind, die durch Kommas getrennt sind. Sie können die JSON-Transformationsfunktion im Power Query-Editor in Excel verwenden, um jede Eigenschaft im JSON-Objekt in der Spalte AuditData in mehrere Spalten aufzuteilen, sodass jede Eigenschaft über eine eigene Spalte verfügt. Auf diese Weise können Sie eine oder mehrere dieser Eigenschaften sortieren und filtern, sodass Sie die spezifischen Überwachungsdaten, die Sie suchen, schnell finden können.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Schritt 1: Exportieren von Suchergebnissen im Überwachungsprotokoll
Der erste Schritt besteht darin, das Überwachungsprotokoll zu durchsuchen und dann die Ergebnisse in einer CSV-Datei (Comma-Separated Value) auf Ihren lokalen Computer zu exportieren.
Führen Sie eine Überwachungsprotokollsuche aus, und überarbeiten Sie die Suchkriterien bei Bedarf, bis Die gewünschten Ergebnisse vorliegen.
Wählen Sie auf der Seite mit den Suchergebnissen exportieren aus.
Diese Option exportiert alle Überwachungsdatensätze aus der Überwachungsprotokollsuche, die Sie in Schritt 1 ausgeführt haben, und fügt die Rohdaten aus dem Überwachungsprotokoll einer CSV-Datei hinzu. Es dauert eine Weile, bis die Downloaddatei für eine große Suche vorbereitet ist. Große Dateien ergeben sich bei der Suche nach allen Aktivitäten oder bei Verwendung eines breiten Datumsbereichs.
Nach Abschluss des Exportvorgangs wird am oberen Rand des Fensters eine Nachricht angezeigt, in der Sie aufgefordert werden, die CSV-Datei zu öffnen und sie auf Ihrem lokalen Computer zu speichern. Sie können auch im Ordner „Downloads“ auf die CSV-Datei zugreifen.
Hinweis
Aus seiner einzigen Suche in einer Protokolldatei können Sie maximal 50.000 Einträge in eine CSV-Datei herunterladen. Wenn 50.000 Einträge in die CSV-Datei heruntergeladen werden, können Sie wahrscheinlich davon ausgehen, dass mehr als 50.000 Ereignisse die Suchkriterien erfüllen. Wenn Sie mehr als diesen Grenzwert exportieren möchten, versuchen Sie es mit einem Datenbereich, um die Anzahl der Einträge im Überwachungsprotokoll zu verringern. Möglicherweise müssen Sie mehrere Suchläufe mit kleineren Datumsbereichen durchführen, um mehr als 50.000 Einträge zu exportieren.
Schritt 2: Formatieren des exportierten Überwachungsprotokolls mithilfe der Power Query-Editor
Der nächste Schritt besteht darin, die JSON-Transformationsfunktion im Power Query-Editor in Excel zu verwenden, um jede Eigenschaft im JSON-Objekt in der Spalte AuditData in eine eigene Spalte aufzuteilen. Anschließend filtern Sie Spalten, um Datensätze basierend auf den Werten bestimmter Eigenschaften anzuzeigen. Dies kann Ihnen helfen, die spezifischen Überwachungsdaten, die Sie suchen, schnell zu finden.
Öffnen Sie eine leere Arbeitsmappe in Excel für Office 365, Excel 2019 oder Excel 2016.
Wählen Sie auf der Registerkarte Daten in der Menübandgruppe & Daten transformieren die Option Aus Text/CSV aus.
Öffnen Sie die CSV-Datei, die Sie in Schritt 1 heruntergeladen haben.
Wählen Sie im angezeigten Fenster Daten transformieren aus.
Die CSV-Datei wird im Abfrage-Editor geöffnet. Es gibt vier Spalten: CreationDate, UserIds, Operations und AuditData. Die Spalte AuditData ist ein JSON-Objekt, das mehrere Eigenschaften enthält. Der nächste Schritt besteht darin, eine Spalte für jede Eigenschaft im JSON-Objekt zu erstellen.
Klicken Sie mit der rechten Maustaste auf den Titel in der Spalte AuditData, wählen Sie Transformieren und dann JSON aus.
Wählen Sie in der oberen rechten Ecke der Spalte AuditData das Symbol zum Erweitern aus.
Eine partielle Liste der Eigenschaften in den JSON-Objekten in der Spalte AuditData wird angezeigt.
Wählen Sie Mehr laden aus, um alle Eigenschaften in den JSON-Objekten in der Spalte AuditData anzuzeigen.
Sie können das Kontrollkästchen neben jeder Eigenschaft deaktivieren, die Sie nicht einschließen möchten. Das Entfernen von Spalten, die für Ihre Untersuchung nicht nützlich sind, ist eine gute Möglichkeit, die im Überwachungsprotokoll angezeigte Datenmenge zu reduzieren.
Hinweis
Die im vorherigen Screenshot angezeigten JSON-Eigenschaften (nachdem Sie auf Mehr laden geklickt haben) basieren auf den Eigenschaften in der Spalte AuditData aus den ersten 1.000 Zeilen in der CSV-Datei. Wenn nach den ersten 1.000 Zeilen unterschiedliche JSON-Eigenschaften in Datensätzen vorhanden sind, werden diese Eigenschaften (und eine entsprechende Spalte) nicht einbezogen, wenn die AuditData-Spalte in mehrere Spalten aufgeteilt wird. Um dies zu verhindern, sollten Sie die Überwachungsprotokollsuche erneut ausführen und die Suchkriterien so einschränken, dass weniger Datensätze zurückgegeben werden. Eine weitere Problemumgehung besteht darin, Elemente in der Spalte Vorgänge zu filtern, um die Anzahl der Zeilen zu reduzieren (bevor Sie Schritt 5 ausführen), bevor Sie das JSON-Objekt in der Spalte AuditData transformieren.
Tipp
Um ein Attribut innerhalb einer Liste wie AuditData.AffectedItems anzuzeigen, klicken Sie auf das Symbol Erweitern in der oberen rechten Ecke der Spalte, aus der Sie ein Attribut abrufen möchten, und wählen Sie dann In neue Zeile erweitern aus. Von dort aus handelt es sich um einen Datensatz, und Sie können das Symbol Erweitern in der oberen rechten Ecke der Spalte auswählen, die Attribute anzeigen und das Symbol auswählen, das Sie anzeigen oder extrahieren möchten.
Führen Sie einen der folgenden Schritte aus, um den Titel der Spalten zu formatieren, die für jede ausgewählte JSON-Eigenschaft hinzugefügt werden.
- Deaktivieren Sie das Kontrollkästchen Originalspaltennamen als Präfix verwenden , um den Namen der JSON-Eigenschaft als Spaltennamen zu verwenden. Beispiel: RecordType oder SourceFileName.
- Lassen Sie das Kontrollkästchen Ursprünglichen Spaltennamen als Präfix verwenden aktiviert, um den Spaltennamen das Präfix AuditData hinzuzufügen. Beispiel: AuditData.RecordType oder AuditData.SourceFileName.
Wählen Sie OK aus.
Die Spalte AuditData ist in mehrere Spalten unterteilt. Jede neue Spalte entspricht einer Eigenschaft im JSON-Objekt AuditData. Jede Zeile in der Spalte enthält den Wert für die Eigenschaft. Wenn die Eigenschaft keinen Wert enthält, wird der NULL-Wert angezeigt. In Excel sind Zellen mit NULL-Werten leer.
Wählen Sie auf der Registerkarte Start die Option Schließen & Laden aus, um die Power Query-Editor zu schließen und die transformierte CSV-Datei in einer Excel-Arbeitsmappe zu öffnen.
Verwenden von PowerShell zum Durchsuchen und Exportieren von Überwachungsprotokolldatensätzen
Anstatt das Suchtool für Überwachungsprotokolle im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal zu verwenden, können Sie das Cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell verwenden, um die Ergebnisse einer Überwachungsprotokollsuche in eine CSV-Datei zu exportieren. Anschließend können Sie das in Schritt 2 beschriebene Verfahren ausführen, um das Überwachungsprotokoll mithilfe des Power Query-Editors zu formatieren. Ein Vorteil der Verwendung des PowerShell-Cmdlets besteht darin, dass Sie mithilfe des RecordType-Parameters nach Ereignissen aus einem bestimmten Dienst suchen können. Im Folgenden finden Sie einige Beispiele für die Verwendung von PowerShell zum Exportieren von Überwachungsdatensätzen in eine CSV-Datei, sodass Sie das JSON-Objekt in der Spalte AuditData mithilfe des Power Query-Editors transformieren können, wie in Schritt 2 beschrieben.
Führen Sie in diesem Beispiel die folgenden Befehle aus, um alle Datensätze im Zusammenhang mit SharePoint-Freigabevorgängen zurückzugeben.
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
Die Suchergebnisse werden in eine CSV-Datei namens PowerShellAuditlog exportiert, die vier Spalten enthält: CreationDate, UserIds, RecordType, AuditData).
Sie können auch den Namen oder Enumerationswert für den Datensatztyp als Wert für den RecordType-Parameter verwenden. Eine Liste der Namen von Datensatztypen und den entsprechenden Enumerationswerten finden Sie in der AuditLogRecordType-Tabelle in Office 365 Verwaltungsaktivitäts-API-Schema.
Sie können nur einen einzelnen Wert für den RecordType-Parameter einschließen. Um nach Überwachungsdatensätzen für andere Datensatztypen zu suchen, müssen Sie die beiden vorherigen Befehle erneut ausführen, um einen anderen Datensatztyp anzugeben und diese Ergebnisse an die ursprüngliche CSV-Datei anzufügen. Sie würden beispielsweise die folgenden beiden Befehle ausführen, um SharePoint-Dateiaktivitäten aus dem gleichen Datumsbereich zur PowerShellAuditlog.csv-Datei hinzuzufügen.
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
Tipps zum Exportieren und Anzeigen des Überwachungsprotokolls
Im Folgenden finden Sie einige Tipps und Beispiele für das Exportieren und Anzeigen des Überwachungsprotokolls, bevor und nachdem Sie die JSON-Transformationsfunktion verwendet haben, um die Spalte AuditData in mehrere Spalten aufzuteilen.
- Filtern Sie die Spalte RecordType, um nur die Datensätze aus einem bestimmten Dienst oder Funktionsbereich anzuzeigen. Wenn Sie beispielsweise Ereignisse im Zusammenhang mit der SharePoint-Freigabe anzeigen möchten, wählen Sie 14 (den Enumerationswert für Datensätze aus, die von SharePoint-Freigabeaktivitäten ausgelöst werden). Eine Liste der Dienste, die den in der Spalte RecordType angezeigten Enumerationswerten entsprechen, finden Sie unter Detaillierte Eigenschaften im Überwachungsprotokoll.
- Filtern Sie die Spalte Vorgänge, um die Datensätze für bestimmte Aktivitäten anzuzeigen. Eine Liste der meisten Vorgänge, die einer durchsuchbaren Aktivität im Überwachungsprotokoll-Suchtool im Microsoft Purview-Portal oder im Complianceportal entsprechen, finden Sie im Abschnitt "Überwachte Aktivitäten" unter Durchsuchen des Überwachungsprotokolls.