Eseguire ricerche nel log di controllo
Un'organizzazione può usare lo strumento di ricerca log di audit nel portale di conformità di Microsoft Purview per cercare nel log di controllo unificato. In questo modo, l'organizzazione può visualizzare l'attività utente e amministratore. Ad esempio, un'organizzazione potrebbe dover determinare se un utente ha visualizzato un documento specifico o ha eliminato un elemento dalla propria cassetta postale.
Migliaia di operazioni dell'utente e dell'amministratore eseguite in decine di servizi e soluzioni Microsoft 365 vengono acquisite, registrate e conservate nei log di audit unificati di un’organizzazione. Gli utenti di un’organizzazione possono utilizzare lo strumento di ricerca log di audit per cercare, visualizzare ed esportare (in un file CSV) i record di controllo per queste operazioni.
Servizi Microsoft 365 che supportano il controllo
Microsoft 365 supporta un log di controllo in modo che le organizzazioni possano cercarlo per le attività eseguite in diversi servizi Microsoft 365. Nella tabella seguente sono elencati servizi e funzionalità Microsoft 365 (in ordine alfabetico) supportati dal log di audit unificato.
| Servizio o funzionalità Microsoft 365 | Tipi di record |
|---|---|
| Microsoft Entra ID | AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon |
| Azure Information Protection | AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat |
| Conformità delle comunicazioni | ComplianceSuperVisionExchange |
| Esplora contenuto | LabelContentExplorer |
| Connettori dati | ComplianceConnector |
| Prevenzione della perdita di dati (DLP) | ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint |
| Dynamics 365 | CRM |
| eDiscovery | Discovery, AeD |
| Corrispondenze di dati esatte | MipExactDataMatch |
| Exchange Online | ExchangeAdmin, ExchangeItem, ExchangeItemAggregated |
| Forms | MicrosoftForms |
| Barriere informative | InformationBarrierPolicyApplication |
| Microsoft Defender XDR | AirInvestigation, AirManualInvestigation, AirAdminActionInvestigation, MS365DCustomDetection |
| Microsoft Teams | MicrosoftTeams |
| MyAnalytics | MyAnalyticsSettings |
| OneDrive for Business | OneDrive |
| Power Apps | PowerAppsApp, PowerAppsPlan |
| Power Automate | MicrosoftFlow |
| Power BI | PowerBIAudit |
| Quarantena | Quarantena |
| Criteri di conservazione ed etichette di conservazione. | MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation |
| Tipi di informazioni sensibili | DlpSensitiveInformationType |
| Etichette di riservatezza | MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch |
| Portale dei messaggi crittografati | OMEPortal |
| SharePoint Online | SharePoint, SharePointFileOperation, SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation |
| Stream | MicrosoftStream |
| Intelligence per le minacce | ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent |
| Workplace Analytics | WorkplaceAnalytics |
| Yammer | Yammer |
| SystemSync | DataShareCreated, DataShareDeleted, GenerateCopyOfLakeData, DownloadCopyOfLakeData |
Nella tabella precedente viene inoltre identificato il valore del tipo di record da utilizzare per cercare nel log di controllo le attività nel servizio corrispondente. Le ricerche possono essere eseguite usando il cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell o usando uno script di PowerShell. Alcuni servizi dispongono di più tipi di record per diversi tipi di attività all'interno dello stesso servizio. Per un elenco più completo dei tipi di record di controllo, vedere schema Office 365 Management Activity API Schema.
Letture aggiuntive. Per ulteriori informazioni sull'utilizzo di PowerShell per eseguire ricerche nel log di audit, vedere:
Eseguire ricerche nel log di controllo
Il processo di ricerca nel log di controllo all'interno del Portale di conformità di Microsoft Purview include i passaggi seguenti:
- Eseguire una ricerca nel log di audit.
- Visualizzare i risultati della ricerca.
- Esportare i risultati della ricerca eDiscovery in un file.
Le sezioni seguenti illustrano in dettaglio ciascuno di questi passaggi.
Passaggio 1: Eseguire una ricerca nel log di controllo
Accedere al portale di conformità di Microsoft Purview.
Consiglio
Usare una sessione di esplorazione privata (non una sessione normale) per accedere al portale di conformità. In questo modo, non sarà possibile usare le credenziali con cui si è attualmente connessi. Premere CTRL+MAIUSC+N per aprire una sessione di InPrivate Browsing in Microsoft Edge o una sessione di esplorazione privata in Google Chrome (denominata finestra di navigazione in incognito).
Nel riquadro di spostamento a sinistra del portale di conformità di Microsoft Purview selezionare Audit.
Nota
Se viene visualizzato il collegamento Avviare la registrazione delle attività di utenti e amministratori, selezionare questo per attivare il controllo. Se questo collegamento non è visualizzato, il controllo è già attivato per l'organizzazione.
Nella pagina Audit viene mostrata la schedaRicerca per impostazione predefinita. Configurare i criteri di ricerca seguenti in questa scheda:
R. Data di inizio e data di fine. Gli ultimi sette giorni sono selezionati per impostazione predefinita. Selezionare un intervallo di date e ore per visualizzare gli eventi che si sono verificati in quel periodo. La data e l'ora vengono visualizzati nel fuso orario locale. L'intervallo di date massimo che è possibile specificare è 180 giorni. Viene visualizzato un errore se l'intervallo di date selezionato è maggiore di 180 giorni.
Se si usa l'intervallo di date massimo di 180 giorni, selezionare l'ora corrente per la data di inizio. In caso contrario, verrà visualizzato un errore che indica che la data di inizio è precedente alla data di fine. Se il controllo è stato implementato negli ultimi 180 giorni, l'intervallo di date massimo non può iniziare prima della data in cui è stato implementato il controllo.
B. Attività. Selezionare l'elenco a discesa per visualizzare le attività che è possibile cercare. Le attività di utenti e amministratori sono organizzate in gruppi di attività correlate. È possibile selezionare attività specifiche oppure è possibile selezionare il nome del gruppo di attività per selezionare tutte le attività del gruppo. È anche possibile selezionare un'attività selezionata per annullare la selezione. Dopo aver eseguito la ricerca, vengono visualizzate solo le voci del log di controllo per le attività selezionate. Se si seleziona Visualizza i risultati per tutte le attività, vengono visualizzati i risultati per tutte le attività eseguite dall'utente o dal gruppo di utenti selezionato. Nel log di controllo vengono registrate più di 100 attività di utenti e amministratori.
C. Utenti. Selezionare in questa casella e quindi selezionare uno o più utenti per i quali visualizzare i risultati della ricerca. Nell'elenco di risultati vengono visualizzate le voci del log di controllo per l'attività selezionata eseguita dagli utenti specificati in questa casella. Lasciare la casella vuota per restituire le voci per tutti gli utenti (e gli account del servizio) nell'organizzazione.
D. File, cartellao sito. Digitare il nome di un file o di una cartella per cercare l'attività relativa al file della cartella che contiene la parola chiave specificata. È anche possibile specificare un URL di un file o una cartella. Se si utilizza un URL, assicurarsi di digitare il percorso URL completo oppure, se si digita solo una parte dell'URL, di non includere spazi o caratteri speciali. Tuttavia, l'uso del carattere jolly (*) è supportato.
Lasciare questa casella vuota per restituire le voci per tutti i file e le cartelle nell'organizzazione.
- Se si cercano tutte le attività correlate a un sito, aggiungere il carattere jolly (*) dopo l'URL per restituire tutte le voci del sito. Ad esempio:
https://contoso-my.sharepoint.com/personal* - Se si cercano tutte le attività relative a un file, aggiungere il carattere jolly (*) prima del nome del nome del file per restituire tutte le voci relative al file. Ad esempio: *Customer_Profitability_Sample.csv
- Se si cercano tutte le attività correlate a un sito, aggiungere il carattere jolly (*) dopo l'URL per restituire tutte le voci del sito. Ad esempio:
Selezionare Cerca per eseguire la ricerca usando i criteri di ricerca.
Passaggio 2: Visualizzare i risultati della ricerca
Dopo aver avviato una ricerca, i risultati vengono caricati. Dopo alcuni istanti vengono visualizzati in una nuova pagina. Al termine della ricerca, viene visualizzato il numero di risultati trovati.
Verrà visualizzato un massimo di 50.000 eventi in incrementi di 150 eventi. Se più di 50.000 eventi soddisfano i criteri di ricerca, verranno visualizzati solo i 50.000 eventi non ordinati restituiti.
I risultati di una ricerca nel log di controllo vengono visualizzati in Risultati nella pagina Ricerca log di controllo. Come affermato in precedenza, vengono visualizzati al massimo 50.000 eventi (i più recenti) in incrementi di 150 eventi. Usare la barra di scorrimento o premere MAIUSC+FINE per visualizzare i 150 eventi successivi.
I risultati includono le informazioni seguenti relative a ogni evento restituito dalla ricerca:
Data. Data e ora (nel fuso orario locale) in cui si è verificato l'evento.
Indirizzo IP. Indirizzo IP del dispositivo usato durante la registrazione dell'attività. L'indirizzo IP viene visualizzato in formato IPv4 o IPv6.
Nota
Per alcuni servizi, il valore visualizzato in questo campo potrebbe corrispondere all'indirizzo IP di un'applicazione attendibile, ad esempio un'app di Office sul Web, che chiama il servizio per conto di un utente e non l'indirizzo IP del dispositivo usato dalla persona che ha eseguito l'attività. Inoltre, per l'attività di amministratore (o l'attività eseguita da un account di sistema) per Microsoft Entra eventi correlati, l'indirizzo IP non viene registrato. Di conseguenza, il valore visualizzato in questo campo è Null.
Utente. L’utente (o account del servizio) che ha eseguito l'azione che ha attivato l'evento.
Attività. L’attività eseguita dall'utente. Questo valore corrisponde alle attività selezionate nell'elenco a discesa Attività. Per un evento del log di controllo dell'amministratore di Exchange, il valore in questa colonna è un cmdlet di Exchange.
Elemento. L’oggetto creato o modificato come risultato dell'attività corrispondente. Ad esempio, il file che è stato visualizzato o modificato oppure l'account utente che è stato aggiornato. Non tutte le attività presentano un valore in questa colonna.
Dettagli. Dettagli aggiuntivi su un'attività. Anche in questo caso, non tutte le attività hanno un valore.
Consiglio
Selezionare un'intestazione di colonna in Risultati per ordinare i risultati. È possibile ordinare i risultati dalla A alla Z o dalla Z alla A. Selezionare l'intestazione Data per ordinare i risultati dal meno recente al più recente o viceversa.
È possibile visualizzare altri dettagli di un evento selezionando il record dell'evento nell'elenco dei risultati della ricerca. Verrà visualizzata una pagina a comparsa contenente le proprietà dettagliate del record dell'evento. Le proprietà visualizzate dipendono dal servizio in cui si verifica l'evento.
Passaggio 3: Esportare i risultati della ricerca in un file
Le organizzazioni possono esportare i risultati di una ricerca nel log di controllo. I risultati vengono esportati in un file con valori delimitati da virgole (CSV) in un computer locale. Questo file può essere aperto in Microsoft Excel. È possibile usare caratteristiche come ricerca, ordinamento, filtro e divisione di una singola colonna (con più proprietà) in più colonne.
Eseguire una ricerca nel log di controllo e quindi modificare i criteri di ricerca fino a ottenere i risultati desiderati.
Nella pagina Risultati della ricerca selezionare Esporta e quindi selezionare Scarica tutti i risultati.
Tutte le voci del registro di controllo che soddisfano i criteri di ricerca vengono esportate in un file CSV. I dati non elaborati del log di audit vengono salvati in un file CSV. Altre informazioni ricavate dalla voce di log di audit sono incluse in una colonna denominata AuditData nel file CSV.
Importante
È possibile scaricare al massimo 50.000 voci in un file CSV da una singola ricerca nel log di controllo. Se vengono scaricate 50.000 voci nel file CSV, è probabile che ci siano più di 50.000 eventi che soddisfano i criteri di ricerca. Per eseguire l'esportazione oltre questo limite, provare a usare un intervallo di date per ridurre il numero di voci del log di controllo. Potrebbe essere necessario eseguire più ricerche con intervalli di date più piccoli per esportare più di 50.000 voci.
Al termine del processo di esportazione, nella parte superiore della finestra viene visualizzato un messaggio che richiede di aprire il file CSV e salvarlo nel computer locale. È possibile accedere al file CSV anche nella cartella Download in Esplora file.
Suggerimenti per la ricerca nel log di controllo
Le organizzazioni devono tenere presenti le considerazioni seguenti durante la ricerca nel log di controllo:
Esistono diversi modi per selezionare le attività:
È possibile selezionare attività specifiche da cercare selezionando il relativo nome.
È possibile cercare tutte le attività in un gruppo (ad esempio Attività su file e cartelle) selezionando il nome del gruppo.
Se è selezionata un'attività, è possibile selezionarla per annullare la selezione.
È possibile usare la casella di ricerca per visualizzare le attività contenenti la parola chiave digitata.
È necessario selezionare Visualizza i risultati per tutte le attività nell'elenco Attività per visualizzare gli eventi del log di controllo dell'amministratore di Exchange. Gli eventi di questo log di controllo mostrano un nome di cmdlet (ad esempio, Set-Mailbox) nella colonna Attività dei risultati.
Allo stesso modo, esistono alcune attività di controllo che non hanno un elemento corrispondente nell'elenco Attività. Se si conosce il nome dell'operazione per queste attività, è possibile cercare tutte le attività, quindi filtrare le operazioni dopo aver esportato i risultati della ricerca in un file CSV.
Selezionare Cancella per cancellare i criteri di ricerca correnti. L'intervallo di date torna impostato sul valore predefinito corrispondente agli ultimi sette giorni. Per annullare tutte le attività selezionate, selezionare Cancella tutto per visualizzare i risultati per tutte le attività.
Se vengono trovati 50,000 risultati, è probabile che ci siano più di 50,000 eventi che soddisfano i criteri di ricerca. Puoi:
- Perfezionare i criteri di ricerca ed eseguire nuovamente la ricerca per restituire un minor numero di risultati.
- Esportare tutti i risultati della ricerca selezionando Esporta risultati e quindi Scarica tutti i risultati.
Verifica delle conoscenze
Scegliere la risposta migliore per ognuna delle domande seguenti.