Esportare, configurare e visualizzare i record del log di controllo

  • 6 minuti

Dopo aver eseguito una ricerca nel log di controllo e aver scaricato i risultati della ricerca in un file CSV, il file contiene una colonna denominata AuditData. Questa colonna contiene informazioni aggiuntive su ogni evento. I dati in questa colonna sono formattati come oggetto JSON, che contiene più proprietà configurate come coppie proprietà:valore separate da virgole.

Domanda: Se nella colonna AuditData vengono combinate più proprietà, come può un'organizzazione ordinare e filtrare in base a una proprietà specifica?

Risposta: tramite la funzionalità di trasformazione JSON nel editor di Power Query in Excel. Questa funzionalità consente a un'organizzazione di suddividere ogni proprietà nell'oggetto JSON nella colonna AuditData in più colonne. In questo modo, ogni proprietà avrà una propria colonna. A sua volta, un'organizzazione può ordinare e filtrare in base a una o più di queste proprietà. Questo processo consente di individuare rapidamente i dati di controllo specifici che sta cercando.

Passaggio 1: Esportare i risultati della ricerca nel log di controllo

Il primo passaggio consiste nel cercare nel log di controllo e quindi esportare i risultati in un file con valori delimitati da virgole (CSV) nel computer locale.

  1. Eseguire una ricerca nel log di audit.

  2. Se necessario, modificare i criteri di ricerca fino a ottenere i risultati desiderati.

  3. Nella pagina dei risultati della ricerca selezionare Esporta e quindi selezionare Scarica tutti i risultati.

    Schermata della finestra di ricerca Audit con l'opzione Scarica tutti i risultati evidenziata.

    Questa opzione esporta tutti i record di audit dalla ricerca del registro di audit. Aggiunge quindi i dati grezzi del registro di audit a un file CSV. Ci vuole un po' di tempo per preparare il file di download per una ricerca di grandi dimensioni. Quando si ricercano tutte le attività o si utilizza un ampio intervallo di date, si ottengono file di grandi dimensioni.

  4. Al termine del processo di esportazione, nella parte superiore della finestra viene visualizzato un messaggio che richiede di aprire il file CSV e salvarlo nel computer locale. È possibile accedere al file CSV anche nella cartella Download.

    Attenzione

    È possibile scaricare al massimo 50.000 voci in un file CSV da una singola ricerca nel log di controllo. Se vengono scaricate 50.000 voci nel file CSV, è probabile che ci siano più di 50.000 eventi che soddisfano i criteri di ricerca. Per esportare più di questo limite, provare a utilizzare un intervallo di date più ristretto per ridurre il numero di record del registro di audit. Potrebbe essere necessario eseguire più ricerche con intervalli di date più piccoli per esportare più di 50.000 voci.

Passaggio 2: Formattare il log di controllo esportato usando il editor di Power Query

Il passaggio successivo è quello in cui entra in gioco la funzionalità di trasformazione JSON nel editor di Power Query in Excel. Questa funzione divide ogni proprietà dell'oggetto JSON nella colonna AuditData in una propria colonna. È quindi possibile filtrare le colonne per visualizzare i record in base ai valori di proprietà specifiche. In questo modo, è possibile individuare rapidamente i dati di controllo specifici che si sta cercando.

  1. Aprire una cartella di lavoro vuota in Excel per Office 365, Excel 2019 o Excel 2016.

  2. Nel gruppo della barra multifunzione Recupera & Trasforma dati della scheda Dati selezionare Da testo/CSV.

    Screenshot di un foglio di calcolo Excel che mostra la sezione Ottieni e trasforma dati nella barra multifunzione e l'opzione Da testo e C S V evidenziata.

  3. Aprire il file CSV scaricato al passaggio 1.

  4. Nella finestra visualizzata selezionare Trasforma dati.

    Screenshot di un file C S V scaricato che mostra il pulsante Trasforma dati evidenziato.

    Il file CSV viene aperto nell'Editor di Query. Sono disponibili quattro colonne: CreationDate, UserIds, Operations e AuditData.

    La colonna AuditData è un oggetto JSON che contiene più proprietà. Il passaggio successivo consiste nel creare una colonna per ogni proprietà nell'oggetto JSON.

  5. Fare clic con il pulsante destro del mouse sul titolo nella colonna AuditData, scegliere Trasforma e quindi selezionare JSON.

    Schermata di un file C S V aperto nell'Editor Query e che mostra la colonna Dati Audit e l'opzione Trasformazione evidenziata.

  6. Nell'angolo superiore destro della colonna AuditData selezionare l'icona di espansione.

    Schermata di un file C S V aperto nell'Editor Query che mostra la colonna Dati Audit e l'icona Espandi evidenziata.

    Viene visualizzato un elenco parziale delle proprietà negli oggetti JSON nella colonna AuditData .

  7. Selezionare Carica altro per visualizzare tutte le proprietà negli oggetti JSON nella colonna AuditData.

    Schermata di un file C S V aperto nell'Editor Query e che mostra la colonna Dati Audit e l'opzione Carica altro evidenziata.

    È possibile deselezionare la casella di controllo accanto a qualsiasi proprietà che non si desidera includere. L'eliminazione delle colonne non utili per l'indagine è un buon modo per ridurre la quantità di dati visualizzati nel log di controllo.

    Nota

    Le proprietà JSON visualizzate nello screenshot precedente (dopo aver selezionato Carica altro) si basano sulle proprietà presenti nella colonna AuditData delle prime 1.000 righe nel file CSV. Se nei record sono presenti proprietà JSON diverse dopo le prime 1.000 righe, queste proprietà (e una colonna corrispondente) non verranno incluse quando la colonna AuditData viene suddivisa in più colonne. Per evitare questa situazione, provare a rieseguire la ricerca nel log di controllo. Ma questa volta, limitare i criteri di ricerca in modo che vengano restituiti meno record. Un'altra soluzione alternativa consiste nel filtrare gli elementi nella colonna Operazioni per ridurre il numero di righe (prima del passaggio 5 precedente) prima di trasformare l'oggetto JSON nella colonna AuditData.

    Consiglio

    Per visualizzare un attributo all'interno di un elenco, ad esempio AuditData.AffectedItems, selezionare l'icona Espandi nell'angolo superiore destro della colonna da cui si vuole eseguire il pull di un attributo. Selezionare quindi Espandi in Nuova riga. Da qui sarà un record ed è possibile selezionare l'icona Espandi nell'angolo superiore destro della colonna, visualizzare gli attributi e selezionare quello che si vuole visualizzare o estrarre.

  8. Completare una delle opzioni seguenti per formattare il titolo delle colonne aggiunte per ogni proprietà JSON selezionata:

    • Deselezionare la casella di controllo Usa nome colonna originale come prefisso. In questo modo, il nome delle proprietà JSON verrà usato come nomi di colonna. Ad esempio, RecordType o SourceFileName.
    • Lasciare selezionata la casella di controllo Usa nome colonna originale come prefisso. In questo modo, il prefisso AuditData verrà aggiunto ai nomi di colonna. Ad esempio, AuditData.RecordType o AuditData.SourceFileName.

  9. Seleziona OK.

    La colonna AuditData verrà ora suddivisa in più colonne. Ogni nuova colonna corrisponde a una proprietà nell'oggetto JSON AuditData. Ogni riga della colonna contiene il valore della proprietà. Se la proprietà non contiene un valore, viene visualizzato il valore Null. In Excel le celle con valori Null sono vuote.

  10. Nella scheda Home selezionare Chiudi & Carica per chiudere l'editor di Power Query e aprire il file CSV trasformato in una cartella di lavoro di Excel.

Usare PowerShell per cercare ed esportare i record del registro di audit

Anziché usare lo strumento di ricerca dei log di controllo nel Portale di conformità di Microsoft Purview, è possibile usare il cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell per esportare i risultati di una ricerca nel log di controllo in un file CSV. Poi si può seguire la stessa procedura descritta al punto 2 per formattare il registro di audit usando l'editor di Power Query.

Un vantaggio dell'uso del cmdlet di PowerShell consiste nel fatto che è possibile cercare eventi da un servizio specifico usando il parametro RecordType. Questa sezione mostra alcuni esempi di utilizzo di PowerShell per esportare i record di audit in un file CSV, in modo da poter usare l'editor di Power Query per trasformare l'oggetto JSON nella colonna AuditData, come descritto al punto 2.

In questo esempio, eseguire i seguenti comandi per restituire tutti i record relativi alle operazioni di condivisione di SharePoint.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

I risultati della ricerca vengono esportati in un file CSV denominato PowerShellAuditlog che contiene quattro colonne: CreationDate, UserIds, RecordType, AuditData.

È anche possibile usare il nome o il valore dell'enumerazione per il tipo di record come valore per il parametro RecordType. Per un elenco dei nomi dei tipi di record e dei relativi valori di enumerazione corrispondenti, vedere la tabella AuditLogRecordType nello schema dell'API Attività di gestione Office 365.

È possibile includere solo un singolo valore per il parametro RecordType. Per cercare i record di audit per altri tipi di record, è necessario eseguire nuovamente i due comandi precedenti per specificare un tipo di record diverso e aggiungere i risultati al file CSV originale. Ad esempio, si eseguono i due comandi seguenti per aggiungere al file PowerShellAuditlog.csv le attività dei file SharePoint dello stesso intervallo di date.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Suggerimenti per l'esportazione e la visualizzazione del log di controllo

Ecco alcuni suggerimenti ed esempi relativi all'esportazione e alla visualizzazione del log di controllo prima e dopo l'uso della funzionalità di trasformazione JSON per suddividere la colonna AuditData in più colonne.

  • Filtrare la colonna RecordType per visualizzare solo i record di un servizio o di un'area funzionale specifica. Ad esempio, per visualizzare gli eventi correlati alla condivisione di SharePoint, è necessario selezionare 14 (il valore di enumerazione per i record attivati dalle attività di condivisione di SharePoint). Per un elenco dei servizi che corrispondono ai valori di enumerazione visualizzati nella colonna RecordType , vedere Proprietà dettagliate nel log di controllo.
  • Filtrare la colonna Operazioni per visualizzare i record per attività specifiche. Per un elenco della maggior parte delle operazioni che corrispondono a un'attività ricercabile nello strumento di ricerca del log di controllo nel portale di conformità, vedere la sezione "Attività controllate" in Cerca nel log di controllo.