Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen

  • 6 Minuten

Nachdem Sie das Überwachungsprotokoll durchsucht und die Suchergebnisse in eine CSV-Datei heruntergeladen haben, enthält die Datei eine Spalte mit dem Namen AuditData. Diese Spalte enthält zusätzliche Informationen zu jedem Ereignis. Die Daten in dieser Spalte sind als JSON-Objekt formatiert, das mehrere Eigenschaften enthält, die als Eigenschaft:Wert-Paare konfiguriert sind, die durch Kommas getrennt sind.

Frage: Wie kann eine Organisation eine bestimmte Eigenschaft sortieren und filtern, wenn mehrere Eigenschaften in der Spalte AuditData kombiniert werden?

Antwort: Über das JSON-Transformationsfeature im Power Query-Editor in Excel. Dieses Feature ermöglicht es einer Organisation, jede Eigenschaft im JSON-Objekt in der Spalte AuditData in mehrere Spalten aufzuteilen. Auf diese Weise verfügt jede Eigenschaft über eine eigene Spalte. Eine Organisation wiederum kann eine oder mehrere dieser Eigenschaften sortieren und filtern. Dieser Prozess kann dabei helfen, die spezifischen Überwachungsdaten, nach denen gesucht wird, schnell zu finden.

Schritt 1: Exportieren von Suchergebnissen im Überwachungsprotokoll

Der erste Schritt besteht darin, das Überwachungsprotokoll zu durchsuchen und dann die Ergebnisse in einer CSV-Datei (Comma-Separated Value) auf Ihren lokalen Computer zu exportieren.

  1. Ausführen einer Überwachungsprotokollsuche.

  2. Überarbeiten Sie bei Bedarf die Suchkriterien, bis Sie die gewünschten Ergebnisse erhalten.

  3. Wählen Sie auf der Seite mit den Suchergebnissen exportieren und dann Alle Ergebnisse herunterladen aus.

    Screenshot des Fensters

    Mit dieser Option werden alle Überwachungsdatensätze aus der Überwachungsprotokollsuche exportiert. Anschließend werden die Rohdaten aus dem Überwachungsprotokoll einer CSV-Datei hinzugefügt. Es dauert eine Weile, bis die Downloaddatei für eine große Suche vorbereitet ist. Große Dateien ergeben sich bei der Suche nach allen Aktivitäten oder bei Verwendung eines breiten Datumsbereichs.

  4. Nach Abschluss des Exportvorgangs wird am oberen Rand des Fensters eine Nachricht angezeigt, in der Sie aufgefordert werden, die CSV-Datei zu öffnen und sie auf Ihrem lokalen Computer zu speichern. Sie können auch im Ordner Downloads auf die CSV-Datei zugreifen.

    Achtung

    Aus seiner einzigen Suche in einer Protokolldatei können Sie maximal 50.000 Einträge in eine CSV-Datei herunterladen. Wenn 50.000 Einträge in die CSV-Datei heruntergeladen werden, können Sie wahrscheinlich davon ausgehen, dass mehr als 50.000 Ereignisse die Suchkriterien erfüllen. Wenn Sie mehr als diesen Grenzwert exportieren möchten, versuchen Sie es mit einem Datenbereich, um die Anzahl der Einträge im Überwachungsprotokoll zu verringern. Möglicherweise müssen Sie mehrere Suchläufe mit kleineren Datumsbereichen durchführen, um mehr als 50.000 Einträge zu exportieren.

Schritt 2: Formatieren des exportierten Überwachungsprotokolls mithilfe der Power Query-Editor

Im nächsten Schritt kommt die JSON-Transformationsfunktion im Power Query-Editor in Excel ins Spiel. Dieses Feature teilt jede Eigenschaft im JSON-Objekt in der AuditData- Spalte in eine eigene Spalte auf. Anschließend können Sie Spalten filtern, um Datensätze basierend auf den Werten bestimmter Eigenschaften anzuzeigen. Auf diese Weise können Sie die spezifischen Überwachungsdaten, die Sie suchen, schnell finden.

  1. Öffnen Sie eine leere Arbeitsmappe in Excel für Office 365, Excel 2019 oder Excel 2016.

  2. Wählen Sie auf der Registerkarte Daten in der Menübandgruppe & Daten transformieren die Option Aus Text/CSV aus.

    Screenshot eines Excel-Arbeitsblatts mit dem Abschnitt

  3. Öffnen Sie die CSV-Datei, die Sie in Schritt 1 heruntergeladen haben.

  4. Wählen Sie im angezeigten Fenster Daten transformieren aus.

    Screenshot einer heruntergeladenen CS-Datei mit hervorgehobener Schaltfläche

    Die CSV-Datei wird im Abfrage-Editor geöffnet. Es gibt vier Spalten: CreationDate, UserIds, Operations und AuditData.

    Die Spalte AuditData ist ein JSON-Objekt, das mehrere Eigenschaften enthält. Der nächste Schritt besteht darin, eine Spalte für jede Eigenschaft im JSON-Objekt zu erstellen.

  5. Klicken Sie mit der rechten Maustaste auf den Titel in der Spalte AuditData, wählen Sie Transformieren und dann JSON aus.

    Screenshot einer im Abfrage-Editor geöffneten C S V-Datei mit hervorgehobener Spalte

  6. Wählen Sie in der oberen rechten Ecke der Spalte AuditData das Symbol zum Erweitern aus.

    Screenshot einer im Abfrage-Editor geöffneten C S V-Datei mit der Spalte

    Eine partielle Liste der Eigenschaften in den JSON-Objekten in der Spalte AuditData wird angezeigt.

  7. Wählen Sie Mehr laden aus, um alle Eigenschaften in den JSON-Objekten in der Spalte AuditData anzuzeigen.

    Screenshot einer im Abfrage-Editor geöffneten C S V-Datei mit hervorgehobener Spalte

    Sie können das Kontrollkästchen neben jeder Eigenschaft deaktivieren, die Sie nicht einschließen möchten. Das Entfernen von Spalten, die für Ihre Untersuchung nicht nützlich sind, ist eine gute Möglichkeit, die im Überwachungsprotokoll angezeigte Datenmenge zu reduzieren.

    Hinweis

    Die im vorherigen Screenshot angezeigten JSON-Eigenschaften (nachdem Sie Mehr laden ausgewählt haben) basieren auf den Eigenschaften in der Spalte AuditData aus den ersten 1.000 Zeilen in der CSV-Datei. Wenn nach den ersten 1.000 Zeilen unterschiedliche JSON-Eigenschaften in Datensätzen vorhanden sind, werden diese Eigenschaften (und eine entsprechende Spalte) nicht einbezogen, wenn die AuditData-Spalte in mehrere Spalten aufgeteilt wird. Um diese Situation zu verhindern, sollten Sie die Überwachungsprotokollsuche erneut ausführen. Aber dieses Mal schränken Sie die Suchkriterien ein, sodass weniger Datensätze zurückgegeben werden. Eine weitere Problemumgehung besteht darin, Elemente in der Spalte Vorgänge zu filtern, um die Anzahl der Zeilen zu reduzieren (bevor Sie Schritt 5 oben ausführen), bevor Sie das JSON-Objekt in der Spalte AuditData transformieren.

    Tipp

    Um ein Attribut in einer Liste wie AuditData.AffectedItems anzuzeigen, wählen Sie das Symbol Erweitern in der oberen rechten Ecke der Spalte aus, aus der Sie ein Attribut abrufen möchten. Wählen Sie dann Zu neuer Zeile erweitern aus. Von dort aus ist es ein Datensatz, und Sie können das Symbol Erweitern in der oberen rechten Ecke der Spalte auswählen, die Attribute anzeigen und die Attribute auswählen, die Sie anzeigen oder extrahieren möchten.

  8. Führen Sie eine der folgenden Optionen aus, um den Titel der Spalten zu formatieren, die für jede ausgewählte JSON-Eigenschaft hinzugefügt werden:

    • Deaktivieren Sie das Kontrollkästchen Ursprünglichen Spaltennamen als Präfix verwenden. Auf diese Weise wird der Name der JSON-Eigenschaften als Spaltennamen verwendet. Beispiel: RecordType oder SourceFileName.
    • Lassen Sie das Kontrollkästchen Originalspaltennamen als Präfix verwenden aktiviert. Auf diese Weise wird den Spaltennamen das Präfix AuditData hinzugefügt. Beispiel: AuditData.RecordType oder AuditData.SourceFileName.

  9. Wählen Sie OK aus.

    Die Spalte AuditData wird nun in mehrere Spalten aufgeteilt. Jede neue Spalte entspricht einer Eigenschaft im JSON-Objekt AuditData. Jede Zeile in der Spalte enthält den Wert für die Eigenschaft. Wenn die Eigenschaft keinen Wert enthält, wird der NULL-Wert angezeigt. In Excel sind Zellen mit NULL-Werten leer.

  10. Wählen Sie auf der Registerkarte Startdie Option Schließen & Laden aus, um den Power Query-Editor zu schließen und die transformierte CSV-Datei in einer Excel-Arbeitsmappe zu öffnen.

Verwenden von PowerShell zum Durchsuchen und Exportieren von Überwachungsprotokolldatensätzen

Anstatt das Suchtool für Überwachungsprotokolle im Microsoft Purview-Complianceportal zu verwenden, können Sie das Cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell verwenden, um die Ergebnisse einer Überwachungsprotokollsuche in eine CSV-Datei zu exportieren. Anschließend können Sie das in Schritt 2 beschriebene Verfahren ausführen, um das Überwachungsprotokoll mithilfe des Power Query-Editors zu formatieren.

Ein Vorteil der Verwendung des PowerShell-Cmdlets besteht darin, dass Sie mithilfe des RecordType-Parameters nach Ereignissen aus einem bestimmten Dienst suchen können. In diesem Abschnitt werden einige Beispiele für die Verwendung von PowerShell zum Exportieren von Überwachungsdatensätzen in eine CSV-Datei angezeigt, sodass Sie das JSON-Objekt in der Spalte AuditData mithilfe des Power Query-Editors transformieren können, wie in Schritt 2 beschrieben.

Führen Sie in diesem Beispiel die folgenden Befehle aus, um alle Datensätze im Zusammenhang mit SharePoint-Freigabevorgängen zurückzugeben.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Die Suchergebnisse werden in eine CSV-Datei mit dem Namen PowerShellAuditlog exportiert, die vier Spalten enthält: CreationDate, UserIds, RecordType, AuditData.

Sie können auch den Namen oder Enumerationswert für den Datensatztyp als Wert für den RecordType-Parameter verwenden. Eine Liste der Namen von Datensatztypen und den entsprechenden Enumerationswerten finden Sie in der AuditLogRecordType-Tabelle in Office 365 Verwaltungsaktivitäts-API-Schema.

Sie können nur einen einzelnen Wert für den RecordType-Parameter einschließen. Um nach Überwachungsdatensätzen für andere Datensatztypen zu suchen, müssen Sie die beiden vorherigen Befehle erneut ausführen, um einen anderen Datensatztyp anzugeben und diese Ergebnisse an die ursprüngliche CSV-Datei anzufügen. Sie würden beispielsweise die folgenden beiden Befehle ausführen, um SharePoint-Dateiaktivitäten aus dem gleichen Datumsbereich zur PowerShellAuditlog.csv-Datei hinzuzufügen.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Tipps zum Exportieren und Anzeigen des Überwachungsprotokolls

Im Folgenden finden Sie einige Tipps und Beispiele für das Exportieren und Anzeigen des Überwachungsprotokolls, bevor und nachdem Sie die JSON-Transformationsfunktion verwendet haben, um die Spalte AuditData in mehrere Spalten aufzuteilen.

  • Filtern Sie die Spalte RecordType, um nur die Datensätze aus einem bestimmten Dienst oder Funktionsbereich anzuzeigen. Wenn Sie beispielsweise Ereignisse im Zusammenhang mit der SharePoint-Freigabe anzeigen möchten, wählen Sie 14 (den Enumerationswert für Datensätze aus, die von SharePoint-Freigabeaktivitäten ausgelöst werden). Eine Liste der Dienste, die den in der Spalte RecordType angezeigten Enumerationswerten entsprechen, finden Sie unter Detaillierte Eigenschaften im Überwachungsprotokoll.
  • Filtern Sie die Spalte Vorgänge, um die Datensätze für bestimmte Aktivitäten anzuzeigen. Eine Liste der meisten Vorgänge, die einer durchsuchbaren Aktivität im Überwachungsprotokoll-Suchtool im Complianceportal entsprechen, finden Sie im Abschnitt "Überwachte Aktivitäten" unter Durchsuchen des Überwachungsprotokolls.