Durchsuchen des Überwachungsprotokolls
Eine Organisation kann das Überwachungsprotokollsuchtool im Microsoft Purview-Complianceportal verwenden, um das einheitliche Überwachungsprotokoll zu durchsuchen. Auf diese Weise kann die Organisation Benutzer- und Administratoraktivitäten anzeigen. Beispielsweise muss eine Organisation möglicherweise ermitteln, ob ein Benutzer ein bestimmtes Dokument angezeigt oder ein Element aus dem Postfach gelöscht hat.
Tausende von Benutzer- und Administratorvorgängen, die in Dutzenden von Microsoft 365-Diensten und -Lösungen durchgeführt werden, werden erfasst, aufgezeichnet und im einheitlichen Überwachungsprotokoll einer Organisation gespeichert. Benutzer in einer Organisation können das Tool zur Überwachungsprotokollsuche verwenden, um die Überwachungsdatensätze für diese Vorgänge zu suchen, anzuzeigen und (in eine CSV-Datei) zu exportieren.
Microsoft 365 Dienste, die die Überwachung unterstützen
Microsoft 365 unterstützt ein Überwachungsprotokoll, sodass Organisationen es nach Aktivitäten durchsuchen können, die in verschiedenen Microsoft 365-Diensten ausgeführt werden. In der folgenden Tabelle sind die Microsoft 365-Dienste und -Features (in alphabetischer Reihenfolge) aufgeführt, die vom einheitlichen Überwachungsprotokoll unterstützt werden.
| Microsoft 365-Dienst oder -Feature | Datensatztypen |
|---|---|
| Microsoft Entra-ID | AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon |
| Azure Information Protection | AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat |
| Kommunikationscompliance | ComplianceSuperVisionExchange |
| Inhalts-Explorer | LabelContentExplorer |
| Datenconnectors | ComplianceConnector |
| Verhinderung von Datenverlusten (Data Loss Prevention, DLP) | ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint |
| Dynamics 365 | CRM |
| eDiscovery | Discovery, AeD |
| Genaue Datenübereinstimmung | MipExactDataMatch |
| Exchange Online | ExchangeAdmin, ExchangeItem, ExchangeItemAggregated |
| Formulare | MicrosoftForms |
| Informationsbarrieren | InformationBarrierPolicyApplication |
| Microsoft Defender XDR | AirInvestigation, AirManualInvestigation, AirAdminActionInvestigation, MS365DCustomDetection |
| Microsoft Teams | MicrosoftTeams |
| MyAnalytics | MyAnalyticsSettings |
| OneDrive for Business | OneDrive |
| Power Apps | PowerAppsApp, PowerAppsPlan |
| Power Automate | MicrosoftFlow |
| Power BI | PowerBIAudit |
| Quarantäne | Quarantäne |
| Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen | MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation |
| Typen vertraulicher Informationen | DlpSensitiveInformationType |
| Vertraulichkeitsbezeichnungen | MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch |
| Verschlüsseltes Nachrichtenportal | OMEPortal |
| SharePoint Online | SharePoint, SharePointFileOperation, SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation |
| Stream | MicrosoftStream |
| Threat Intelligence | ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent |
| Workplace Analytics | WorkplaceAnalytics |
| Yammer | Yammer |
| SystemSync | DataShareCreated, DataShareDeleted, GenerateCopyOfLakeData, DownloadCopyOfLakeData |
In der vorherigen Tabelle ist der Datensatztypwert angegeben, der zum Durchsuchen des Überwachungsprotokolls nach Aktivitäten im entsprechenden Dienst verwendet werden soll. Suchvorgänge können mithilfe des Cmdlets Search-UnifiedAuditLog in Exchange Online PowerShell oder mithilfe eines PowerShell-Skripts durchgeführt werden. Einige Dienste haben mehrere Datensatztypen für verschiedene Arten von Aktivitäten innerhalb desselben Dienstes. Eine vollständigere Liste der Überwachungsdatensatztypen finden Sie unter Office 365-Verwaltungsaktivitäts-API-Schema.
Zusätzliche Informationen. Weitere Informationen zur Verwendung von PowerShell zum Durchsuchen des Überwachungsprotokolls finden Sie unter:
- Search-UnifiedAuditLog
- Verwenden eines PowerShell-Skripts zum Durchsuchen des Überwachungsprotokolls.
Durchsuchen des Überwachungsprotokolls
Das Durchsuchen des Überwachungsprotokolls innerhalb des Microsoft Purview-Complianceportal umfasst die folgenden Schritte:
- Ausführen einer Überwachungsprotokollsuche.
- Anzeigen der Suchergebnisse.
- Exportieren der Suchergebnisse in eine Datei.
Jeder dieser Schritte wird in den folgenden Abschnitten genauer untersucht.
Schritt 1: Durchführen einer Überwachungsprotokollsuche
Melden Sie sich im Microsoft Purview-Complianceportal an.
Tipp
Verwenden Sie eine private Browsersitzung (keine reguläre Sitzung), um auf das Complianceportal zuzugreifen. Dadurch wird verhindert, dass die Anmeldeinformationen, mit denen Sie derzeit angemeldet sind, verwendet werden. Drücken Sie STRG+UMSCHALT+N, um eine InPrivate-Browsersitzung in Microsoft Edge oder eine private Browsersitzung in Google Chrome (sogenanntes Inkognito-Fenster) zu öffnen.
Wählen Sie im Microsoft Purview-Complianceportal im linken Navigationsbereich Überwachen aus.
Hinweis
Wenn der Link zu Aufzeichnung von Benutzer- und Administratoraktivitäten starten angezeigt wird, klicken Sie darauf, um die Überwachung zu aktivieren. Wenn Sie diesen Link nicht sehen, ist die Überwachung für Ihre Organisation bereits aktiviert.
Auf der Seite Überwachen wird standardmäßig die Registerkarte Suchen angezeigt. Konfigurieren Sie die folgenden Suchkriterien auf dieser Registerkarte:
A. Startdatum und Enddatum. Standardmäßig sind die letzten sieben Tage ausgewählt. Wählen Sie einen Datums- und Uhrzeitbereich aus, um die Ereignisse anzuzeigen, die innerhalb dieses Zeitraums aufgetreten sind. Das Datum und die Uhrzeit werden in Ortszeit angezeigt. Der maximale Datumsbereich, den Sie angeben können, beträgt 180 Tage. Wenn der ausgewählte Datumsbereich größer als 180 Tage ist, wird ein Fehler angezeigt.
Wenn Sie den maximalen Datumsbereich von 180 Tagen verwenden, wählen Sie die aktuelle Uhrzeit für das Startdatum aus. Andernfalls wird eine Fehlermeldung angezeigt, in der mitgeteilt wird, dass das Startdatum vor dem Enddatum liegt. Wenn Sie die Überwachung innerhalb der letzten 180 Tage implementiert haben, kann der maximale Datumsbereich nicht vor dem Datum beginnen, an dem die Überwachung implementiert wurde.
B. Aktivitäten. Wählen Sie die Dropdownliste aus, um die Aktivitäten anzuzeigen, nach denen Sie suchen können. Benutzer- und Verwaltungsaktivitäten sind in Gruppen verwandter Aktivitäten organisiert. Sie können bestimmte Aktivitäten auswählen oder den Namen der Aktivitätsgruppe auswählen, um alle Aktivitäten in der Gruppe auszuwählen. Sie können auch eine ausgewählte Aktivität auswählen, um die Auswahl aufzuheben. Nachdem Sie die Suche ausgeführt haben, werden nur die Überwachungsprotokolleinträge für die ausgewählten Aktivitäten angezeigt. Durch Auswahl von Ergebnisse für alle Aktivitäten anzeigen werden Ergebnisse für alle Aktivitäten angezeigt, die von dem ausgewählten Benutzer oder der ausgewählten Benutzergruppe ausgeführt wurden. Es werden mehr als 100 Benutzer- und Administratoraktivitäten im Überwachungsprotokoll erfasst.
C. Benutzer. Wählen Sie dieses Feld aus, und wählen Sie dann einen oder mehrere Benutzer aus, für die Suchergebnisse angezeigt werden sollen. In der Liste der Ergebnisse werden die Überwachungsprotokolleinträge für die ausgewählte Aktivität angezeigt, die von den Benutzern ausgeführt wurde, die Sie in diesem Feld ausgewählt haben. Lassen Sie dieses Feld leer, um die Einträge für alle Benutzer (und Dienstkonten) in der Organisation zurückzugeben.
D. File, Ordner, oder Website. Geben Sie einen Datei- oder Ordnernamen ganz oder teilweise ein, um nach Aktivitäten für die Datei oder den Ordner zu suchen, die bzw. der das angegebene Schlüsselwort enthält. Sie können auch die URL einer Datei oder eines Ordners verwenden. Wenn Sie eine URL verwenden wollen, geben Sie unbedingt den vollständigen URL-Pfad ein. Falls Sie nur einen Teil der URL eingeben, verwenden Sie bitte keine Sonder- oder Leerzeichen. Die Verwendung des Platzhalterzeichens (*) wird jedoch unterstützt.
Lassen Sie dieses Feld leer, um Einträge für alle Dateien und Ordner in Ihrer Organisation zurückzugeben.
- Wenn Sie nach allen Aktivitäten suchen, die sich auf eine Website beziehen, fügen Sie nach der URL das Platzhalterzeichen (*) hinzu, um alle Einträge für diese Website zurückzugeben. Beispiel:
https://contoso-my.sharepoint.com/personal* - Wenn Sie nach allen Aktivitäten suchen, die sich auf eine Datei beziehen, fügen Sie das Platzhalterzeichen (*) vor dem Dateinamen hinzu, um alle Einträge für diese Datei zurückzugeben. Beispiel: *Customer_Profitability_Sample.csv
- Wenn Sie nach allen Aktivitäten suchen, die sich auf eine Website beziehen, fügen Sie nach der URL das Platzhalterzeichen (*) hinzu, um alle Einträge für diese Website zurückzugeben. Beispiel:
Wählen Sie Suchen aus, um die Suche mit Ihren Suchkriterien auszuführen.
Schritt 2: Anzeigen der Suchergebnisse
Nachdem Sie eine Suche gestartet haben, werden die Ergebnisse geladen. Nach einigen Augenblicken werden sie auf einer neuen Seite angezeigt. Nach Abschluss der Suche wird die Anzahl der gefundenen Ergebnisse angezeigt.
Es werden maximal 50.000 Ereignisse in Schritten von 150 Ereignissen angezeigt. Wenn mehr als 50.000 Ereignisse die Suchkriterien erfüllen, werden nur die zurückgegebenen 50.000 unsortierten Ereignisse angezeigt.
Die Ergebnisse einer Überwachungsprotokollsuche werden unter Ergebnisse auf der Seite Überwachungsprotokollsuche angezeigt. Wie bereits erwähnt werden maximal 50.000 Ereignisse (ggf. die 50.000 neuesten Ereignisse) in Schritten von 150 Ereignissen angezeigt. Zum Anzeigen der nächsten 150 Ereignisse verwenden Sie die Bildlaufleiste, oder drücken Sie UMSCHALT+ENDE.
Die Ergebnisse enthalten die folgenden Informationen zu den einzelnen Ereignissen, die bei der Suche zurückgegeben werden:
Datum. Das Datum und die Uhrzeit (in Ortszeit), zu der das Ereignis auftrat.
IP-Adresse. Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt.
Hinweis
Bei einigen Diensten ist der in diesem Feld angezeigte Wert möglicherweise die IP-Adresse einer vertrauenswürdigen Anwendung (z. B. Office in den Web-Apps), die anstelle eines Benutzers in den Dienst einruft und nicht die IP-Adresse des Geräts, das von der Person, die die Aktivität ausgeführt hat, verwendet wird. Außerdem wird die IP-Adresse bei Administratoraktivitäten (oder aktivitäten, die von einem Systemkonto ausgeführt werden) für Microsoft Entra verwandte Ereignisse nicht protokolliert. Daher ist der in diesem Feld angezeigte Wert NULL.
Benutzer: Der Benutzer (oder das Dienstkonto), der die Aktion ausführte, durch die das Ereignis ausgelöst wurde.
Aktivität. Die vom Benutzer ausgeführte Aktivität. Dieser Wert entspricht den Aktivitäten, die Sie in der Dropdownliste Aktivitäten ausgewählt haben. Bei einem Ereignis aus dem Exchange-Administratorüberwachungsprotokoll ist der Wert in dieser Spalte ein Exchange-Cmdlet.
Element. Das Objekt, das als Ergebnis der entsprechenden Aktivität erstellt oder geändert wurde. Dies kann z. B. die Datei sein, die angezeigt oder geändert wurde, oder das Benutzerkonto, das aktualisiert wurde. Nicht alle Aktivitäten haben in dieser Spalte einen Wert.
Detail. Zusätzliche Informationen zu einer Aktivität. Auch hier weisen nicht alle Aktivitäten einen Wert auf.
Tipp
Klicken Sie unter Ergebnisse auf eine Spaltenüberschrift, um die Ergebnisse zu sortieren. Sie können die Ergebnisse aufsteigend (von A nach Z) oder absteigend (von Z nach A) sortieren. Wählen Sie die Überschrift Datum aus, um die Ergebnisse vom ältesten zum neuesten oder vom neuesten zum ältesten zu sortieren.
Sie können weitere Details zu einem Ereignis anzeigen, indem Sie den Ereignisdatensatz in der Liste der Suchergebnisse auswählen. Daraufhin wird Flyout-Seite mit detaillierten Eigenschaften des Ereigniseintrags angezeigt. Die angezeigten Eigenschaften sind von dem Dienst abhängig, in dem das Ereignis auftritt.
Schritt 3: Exportieren der Suchergebnisse in eine Datei
Organisationen können die Ergebnisse einer Überwachungsprotokollsuche exportieren. Die Ergebnisse werden in eine CSV-Datei (Durch Trennzeichen getrennte Werte) auf einem lokalen Computer exportiert. Diese Datei kann in Microsoft Excel geöffnet werden. Sie können Funktionen wie das Suchen, Sortieren, Filtern und Teilen einer einzelnen Spalte (die Zellen mit mehreren Eigenschaften enthält) in mehrere Spalten verwenden.
Führen Sie eine Überwachungsprotokollsuche aus, und bearbeiten Sie dann die Suchkriterien, bis Sie die gewünschten Ergebnisse erhalten.
Wählen Sie auf der Seite Suchergebnisse die Option Exportieren und dann Alle Ergebnisse herunterladen aus.
Alle Einträge aus dem Überwachungsprotokoll, welche die Suchkriterien erfüllen, werden in eine CSV-Datei exportiert. Die Rohdaten aus dem Überwachungsprotokoll werden in einer CSV-Datei gespeichert. Zusätzliche Informationen aus dem Überwachungsprotokolleintrag sind in einer Spalte mit dem Namen AuditData in der CSV-Datei enthalten.
Wichtig
Aus seiner einzigen Suche in einer Protokolldatei können Sie maximal 50.000 Einträge in eine CSV-Datei herunterladen. Wenn 50.000 Einträge in die CSV-Datei heruntergeladen werden, können Sie wahrscheinlich davon ausgehen, dass mehr als 50.000 Ereignisse die Suchkriterien erfüllen. Wenn Sie mehr als diesen Grenzwert exportieren möchten, versuchen Sie es mit einem Datenbereich, um die Anzahl der Einträge im Überwachungsprotokoll zu verringern. Möglicherweise müssen Sie mehrere Suchläufe mit kleineren Datumsbereichen durchführen, um mehr als 50.000 Einträge zu exportieren.
Nach Abschluss des Exportvorgangs wird am oberen Rand des Fensters eine Nachricht angezeigt, in der Sie aufgefordert werden, die CSV-Datei zu öffnen und sie auf Ihrem lokalen Computer zu speichern. Sie können auch auf die CSV-Datei im Ordner Downloads in Datei-Explorerzugreifen.
Tipps zum Suchen im Überwachungsprotokoll
Organisationen sollten beim Durchsuchen des Überwachungsprotokolls die folgenden Überlegungen berücksichtigen:
Es gibt mehrere Möglichkeiten, Aktivitäten auszuwählen:
Sie können bestimmte Aktivitäten auswählen, nach denen gesucht werden soll, indem Sie den Aktivitätsnamen auswählen.
Sie können auch auf den Gruppennamen klicken, um nach allen Aktivitäten in einer Gruppe (z. B. Datei- und Ordneraktivitäten) zu suchen.
Wenn eine Aktivität ausgewählt ist, können Sie sie auswählen, um die Auswahl abzubrechen.
Sie können das Suchfeld verwenden, um die Aktivitäten anzuzeigen, die das von Ihnen eingegebene Schlüsselwort enthalten.
Sie müssen Ergebnisse für alle Aktivitäten anzeigen in der Liste Aktivitäten auswählen, um Einträge aus dem Exchange-Administrator-Überwachungsprotokoll anzuzeigen. Bei Ereignissen aus diesem Überwachungsprotokoll wird der Name eines Cmdlets (z. B. Set-Mailbox) in der Spalte Aktivität unter den Ergebnissen angezeigt.
Ebenso gibt es einige Überwachungsaktivitäten, für die in der Liste Aktivitäten kein entsprechendes Element enthalten ist. Wenn Sie den Namen des Vorgangs für diese Aktivitäten kennen, können Sie nach allen Aktivitäten suchen, und dann die Vorgänge filtern, nachdem Sie die Suchergebnisse in eine CSV-Datei exportiert haben.
Wählen Sie Auswahl aufheben aus, um die aktuelle Auswahl von Suchkriterien aufzuheben. Der Datumsbereich wird auf die Standardeinstellung für die letzten sieben Tage zurückgesetzt. Um alle ausgewählten Aktivitäten abzubrechen, wählen Sie Alle löschen, um Ergebnisse für alle Aktivitäten anzuzeigen aus.
Wenn 50.000 Ergebnisse gefunden werden, können Sie wahrscheinlich davon ausgehen, dass mehr als 50.000 Ereignisse die Suchkriterien erfüllen. Sie können eine der folgenden Aktionen ausführen:
- Verfeinern Sie die Suchkriterien, und führen Sie die Suche erneut aus, um weniger Ergebnisse zurückzugeben.
- Exportieren Sie alle Suchergebnisse, indem Sie Ergebnisse exportieren und dann Alle Ergebnisse herunterladen auswählen.
Wissenscheck
Wählen Sie für jede der folgenden Fragen die beste Antwort aus.