Exportar, configurar e exibir registros de log de auditoria

Concluído

Após você pesquisar o log de auditoria e baixar os resultados da pesquisa em um arquivo CSV, o arquivo conterá uma coluna chamada AuditData. Essa coluna contém informações adicionais sobre cada evento. Os dados nessa coluna são formatados como um objeto JSON, que contém várias propriedades configuradas como pares property:value separados por vírgulas.

Pergunta: Se várias propriedades estiverem combinadas na coluna AuditData, como uma organização pode classificar e filtrar uma propriedade específica?

Resposta: Por meio do recurso de transformação do JSON no Editor do Power Query no Excel. Esse recurso permite que uma organização divida cada propriedade do objeto JSON na coluna AuditData em várias colunas. Se você fizer isso, cada propriedade terá sua própria coluna. Por sua vez, uma organização pode classificar e filtrar uma ou mais dessas propriedades. Esse processo pode ajudá-la a localizar rapidamente os dados de auditoria específicos que estiver procurando.

Etapa 1: Exportar resultados da pesquisa do log de auditoria

A primeira etapa é pesquisar o log de auditoria e, em seguida, exportar os resultados para o seu computador local em um arquivo CSV (valores separados por vírgula).

1. Execute uma pesquisa de logs de auditoria.

2. Se necessário, revise os critérios de pesquisa até obter os resultados desejados.

3. Na página de resultados da pesquisa, selecione Exportare, em seguida, selecione Baixar todos os resultados.

   

   Essa opção exporta todos os registros de auditoria da pesquisa do log de auditoria. Em seguida, adiciona os dados brutos do log de auditoria a um arquivo CSV. Pode demorar um pouco para preparar o arquivo de download de uma pesquisa grande. A pesquisa de todas as atividades ou de um amplo intervalo de datas irá resultar em arquivos grandes.

4. Depois de concluir o processo de exportação, uma mensagem é exibida na parte superior da janela que solicita que você abra o arquivo CSV e salve-o no seu computador local. Você também pode acessar o arquivo CSV na pasta Downloads.

   Cuidado

   É possível baixar no máximo 50 mil entradas para um arquivo CSV de uma única pesquisa de logs de auditoria. Se 50 mil entradas forem baixadas para o arquivo CSV, você poderá supor que existem provavelmente mais de 50 mil eventos que corresponderam aos critérios de pesquisa. Para exportar mais do que esse limite, tente usar um intervalo de datas menor para reduzir o número de registros do log de auditoria. Talvez você precise executar várias pesquisas com intervalos de datas menores para exportar mais de 50 mil entradas.

Etapa 2: Formatar o log de auditoria exportado usando o Editor do Power Query

É na próxima etapa que o recurso de transformação do JSON no Editor do Power Query no Excel entra em cena. Esse recurso irá dividir cada propriedade do objeto JSON na coluna AuditData em sua própria coluna. Em seguida, você poderá filtrar colunas para visualizar registros com base nos valores de propriedades específicas. Se fizer isso, você poderá localizar rapidamente os dados de auditoria específicos que estiver procurando.

1. Abra uma pasta de trabalho vazia no Excel para Office 365, Excel 2019 ou Excel 2016.

2. No separador Dados , no grupo do friso Obter & Transformar Dados , selecione De Texto/CSV.

   

3. Abra o arquivo CSV que você baixou na Etapa 1.

4. Na janela que aparece, selecione Transformar Dados.

   

   O arquivo CSV é aberto no Editor do Power Query. Existem quatro colunas: CreationDate, UserIds, Operations e AuditData.

   A coluna AuditData é um objeto JSON que contém várias propriedades. A próxima etapa é criar uma coluna para cada propriedade no objeto JSON.

5. Clique com o botão direito do mouse no título da coluna AuditData, selecione Transformare, em seguida, selecione JSON.

   

6. No canto superior direito da coluna AuditData, selecione o ícone de expansão.

   

   Uma lista parcial das propriedades dos objetos JSON na coluna AuditData é exibida.

7. Selecione Carregar mais para exibir todas as propriedades dos objetos JSON na coluna AuditData.

   

   Você pode desmarcar a caixa de seleção ao lado de qualquer propriedade que não quiser incluir. Eliminar colunas que não são úteis para a sua investigação é uma boa maneira de reduzir a quantidade de dados exibidos no log de auditoria.

   Observação

   As propriedades JSON exibidas na captura de tela anterior (após você selecionar Carregar mais) se baseiam nas propriedades encontradas na coluna AuditData das primeiras 1.000 linhas no arquivo CSV. Se houver propriedades JSON diferentes nos registros após as primeiras 1.000 linhas, essas propriedades (e uma coluna correspondente) não serão incluídas quando a coluna AuditData for dividida em várias colunas. Para ajudar a evitar essa situação, pense em executar a pesquisa do log de auditoria novamente. Mas, dessa vez, restrinja os critérios de pesquisa para que menos registros sejam retornados. Outra solução alternativa é filtrar itens na coluna Operations para reduzir o número de linhas (antes de executar a etapa 5 acima) antes de transformar o objeto JSON na coluna AuditData.

   Dica

   Para ver um atributo em uma lista, como AuditData.AffectedItems, selecione o ícone Expandir no canto superior direito da coluna da qual você deseja extrair um atributo. Em seguida, selecione Expandir para a Nova Linha. A partir daí , o atributo se tornará um registro e você poderá selecionar o ícone Expandir no canto superior direito da coluna, ver os atributos e selecionar o que você quer ver ou extrair.

8. Execute uma das seguintes opções para formatar o título das colunas que serão adicionadas para cada propriedade JSON selecionada:

   • Desmarque a caixa de seleção Usar o nome de coluna original como prefixo. Se você fizer isso, os nomes das propriedades JSON serão usados como nomes de coluna. Por exemplo, RecordType ou SourceFileName.
   • Deixe marcada a caixa de seleção Usar o nome de coluna original como prefixo. Se você fizer isso, o prefixo AuditData será adicionado aos nomes de coluna. Por exemplo, AuditData.RecordType ou AuditData.SourceFileName.

9. Clique em OK.

   A coluna AuditData agora será dividida em várias colunas. Cada nova coluna corresponderá a uma propriedade no objeto JSON AuditData. Cada linha na coluna conterá um valor para a propriedade. Se a propriedade não contiver um valor, o valor nulo será exibido. No Excel, as células com valores nulos ficam vazias.

10. No separador Base , selecione Fechar & Carregar para fechar o Editor do Power Query e abrir o ficheiro CSV transformado num livro do Excel.

Usar o PowerShell para pesquisar e exportar registros de log de auditoria

Em vez de usar a ferramenta de pesquisa do log de auditoria no portal de conformidade do Microsoft Purview, você pode usar o cmdlet Search-UnifiedAuditLog do PowerShell do Exchange Online para exportar os resultados de uma pesquisa do log de auditoria para um arquivo CSV. Em seguida, você pode seguir o mesmo procedimento descrito na Etapa 2 para formatar o log de auditoria usando o editor do Power Query.

Uma vantagem de usar o cmdlet do PowerShell é que você pode pesquisar eventos de um serviço específico usando o parâmetro RecordType. Esta seção mostra alguns exemplos de como usar o PowerShell para exportar registros de auditoria para um arquivo CSV para que você possa usar o editor do Power Query e transformar o objeto JSON na coluna AuditData, conforme descrito na Etapa 2.

Nesse exemplo, execute os comandos a seguir para retornar todos os registros relacionados às operações de compartilhamento do SharePoint.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Os resultados da pesquisa são exportados para um arquivo CSV chamado PowerShellAuditlog que contém quatro colunas: CreationDate, UserIds, RecordType e AuditData.

Você também pode usar o nome ou valor de enumeração do tipo de registro como o valor para o parâmetro RecordType. Para obter uma lista de nomes de tipo de registro e seus respectivos valores de enumeração, consulte a tabela AuditLogRecordType no esquema da API da Atividade de Gerenciamento do Office 365.

Você pode incluir somente um único valor para o parâmetro RecordType. Para pesquisar registros de auditoria para outros tipos de registro, você precisa executar os dois comandos anteriores novamente, para especificar um tipo de registro diferente e acrescentar esses resultados ao arquivo CSV original. Por exemplo, você poderia executar os dois comandos a seguir para adicionar atividades de arquivos do SharePoint do mesmo intervalo de datas ao arquivo PowerShellAuditlog.csv.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Dicas para exportar e conferir o log de auditoria

Aqui estão algumas dicas e exemplos de como exportar e ver o log de auditoria antes e depois de usar o recurso de transformação do JSON para dividir a coluna AuditData em várias colunas.

• Filtre a coluna RecordType para exibir somente os registros de um serviço específico ou área funcional. Por exemplo, para mostrar eventos relacionados ao compartilhamento do SharePoint, você poderia selecionar 14 (o valor de enumeração para registros disparados pelas atividades de compartilhamento do SharePoint). Para obter uma lista dos serviços que correspondem aos valores de enumeração exibidos na coluna RecordType, confira Propriedades detalhadas no log de auditoria.
• Filtre a coluna Operations para exibir os registros de atividades específicas. Para obter uma lista da maioria das operações que correspondem a uma atividade pesquisável na ferramenta de pesquisa do log de auditoria no portal de conformidade, confira a seção "Atividades auditadas" em Pesquisar o log de auditoria.