网格的审核日志记录

项目
06/05/2024

审核日志记录可帮助组织有效地响应安全事件、法医调查、内部调查和合规性义务。本文总结了如何查询和请求 Microsoft 网格操作和事件的审核日志。某些操作特定于网格，而另一些操作则与其他 M365 操作相关联，例如 M365：Exchange、SharePoint、Microsoft Entra （Azure AD）操作、Microsoft Teams 等。

使用网格审核日志记录，管理员可以收集与 Microsoft Mesh 的 M365 服务交互导致的与用户活动或操作相关的个人或批量操作的见解。

可以使用 Microsoft Purview 或 Exchange Online PowerShell 完成网格的审核日志记录。

注意

Microsoft Mesh 为用户提供两个主要产品：Teams 中的沉浸式空间和自定义沉浸式空间。审核日志记录不会将这些产品/服务视为独立产品/服务，因此审核中的事件可能会引用产品/服务或两种产品/服务，具体取决于查询的事件。

管理员可能对网格感兴趣的用户活动和操作的示例包括：

Teams/Mesh Browser 中网格中的最终用户 - 加入网格会话。
网格管理员 和用户在网格门户中创建事件。
使用网格工具包（网格上传程序）创建和上传项目的内容创建者 。

Microsoft Mesh 的可审核事件

下面列出了当前可用的审核事件。事件基于网格管理门户中的用户活动或网格应用程序中的会话/模板自定义活动生成。

事件名称	描述
EnvironmentDeleted	删除网格环境。
EnvironmentPublished	发布新版本的网格环境。
ComponentCreated	为给定网格会话创建会话组件。
ComponentDeleted	删除给定网格会话的会话组件。
TemplateCreated	创建新的网格世界/集合模板。
TemplateDeleted	删除网格世界模板内容和元数据。
TemplateUpdated	更新现有的网格世界/集合模板。
WorldCreated	创建网格世界/集合。
WorldDeleted	删除网格世界/集合。
WorldUpdated	更新网格世界/集合。
WorldMembersAdded	将成员添加到网格世界/集合。
WorldOwnersAdded	添加 Mesh World/Collection 的所有者。
WorldMembersRemoved	从网格世界/集合中删除成员。
WorldOwnersRemoved	从网格世界/集合中删除所有者。
EnvironmentStorageCreated	为网格环境创建新的存储位置。
SessionMetadataCreated	创建网格世界/集合会话元数据。
SessionMetadataDeleted	删除网格世界/集合会话元数据。
SessionMetadataUpdated	更新网格世界/集合会话元数据。
SessionMetadataTemplateCreated	为网格世界/集合创建模板自定义。
SessionEnvironmentSet	设置协作会话的环境。
SessionJoin	网格服务预配了必要的系统资源，并向客户端应用程序提供了加入网格会话所需的信息。

有关这些事件中的术语的一些说明：

会话：是指为环境或会议配置某些内容时的会话。审核日志捕获了三种类型的会话：
- 模板自定义会话：当用户自定义事件模板并在网格应用程序中保存更改时捕获日志。
- 事件自定义会话：当用户自定义单个事件并在网格应用程序中保存更改时捕获日志。
- 事件会话：在发生网格事件时捕获日志。通常，配置是不可变的，因为用户无法将组件放置在实时事件中，例如。
世界：指 Web 上的网格中的集合。集合是一个存储桶，用于保存网格事件中使用的环境和环境的模板。当用户创建集合、删除集合、将成员添加到集合、将所有者添加到集合或从集合中删除所有者时捕获审核日志。
组件：是指在为事件、模板或自定义会话启动会话时在环境中呈现的对象。如果用户尝试输入环境，则组件日志将加载并捕获该环境中的组件。

Microsoft Purview
Exchange Online PowerShell

Microsoft Purview 审核解决方案提供了一个集成解决方案，可帮助组织有效地应对安全事件、法医调查、内部调查和合规性义务。

使用 Exchange Online PowerShell 的先决条件

若要对网格操作执行审核日志记录，需要满足以下先决条件：

访问并熟悉 Microsoft Purview 进行审核日志记录
访问和熟悉 PowerShell Exchange cmdlet
运行 cmdlet 命令所需的管理员权限
Microsoft Excel 或其他数据分析工具，用于在收集数据后分析数据
PowerShell v7

收集网格的审核日志

连接到 Exchange Online PowerShell

在 PowerShell 中，加载 Exchange Online PowerShell 模块

Import-Module ExchangeOnlineManagement

连接并进行身份验证

Connect-ExchangeOnline -UserPrincipalName [USER]@[AADDOMAIN].com

有关详细信息，请参阅如何连接到 Exchange Online PowerShell。

验证审核日志记录是否已打开

默认情况下，Microsoft 365 组织的审核日志记录处于打开状态。但是，设置新的 Microsoft 365 组织时，应验证组织的审核状态。有关说明，请参阅如何打开或关闭审核。

提示

若要检查每个 cmdlet 所需的权限，请访问查找运行任何 Exchange cmdlet 所需的权限。

搜索统一 AuditLog 事件

验证是否已打开审核日志记录并具有运行 cmdlet 的适当权限后，现在可以使用具有各种筛选器的 Search-UnifiedAuditLog 命令搜索日志记录。

重要

有一系列参数。Search-UnifiedAuditLog 请查看 Search-UnifiedAuditLog 文档 |Microsoft Learn 了解详细信息。

审核记录内容包含以下字段：

RecordType - 工作负荷类型，例如 SharePoint 或 MeshWorlds
CreationDate
UserIds - 执行操作的用户。
操作 - 通常是操作名称或操作名称。
AuditData - JSON 编码的详细事件数据。内容因工作负荷类型而异。
ResultIndex - PowerShell 脚本返回的结果中行的索引（1-N...）。
ResultCount - PowerShell 脚本返回的行总数。
标识 - 用户的 Azure ID/Microsoft Entra GUID。

Search-UnifiedAuditLog 示例 1

使用和 -EndDate. 进行审核日志-StartDate的基本查询。

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-05-01 | Export-Csv -Path .\export-all.csv -NoTypeInformation

记录内容将采用最初难以分析的格式，但一旦格式化，它应该可以理解。

示例响应:

"AzureActiveDirectory","4/9/2024 6:49:03 PM","[XXXXXXX]@[XXXXX].com","Update group.","{""CreationTime"":""2024-04-09T18:49:03"",""Id"":""871d4a2e-8e38-488e-a83e-b7a7c6c65228"",""Operation"":""Update group."",""OrganizationId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82"",""RecordType"":8,""ResultStatus"":""Success"",""UserKey"":""10032002CCA9134A@meshrp.onmicrosoft.com"",""UserType"":0,""Version"":1,""Workload"":""AzureActiveDirectory"",""ClientIP"":""20.171.55.147"",""ObjectId"":""Group_1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""UserId"":""[XXXXXXX]@[XXXXX].com"",""AzureActiveDirectoryEventType"":1,""ExtendedProperties"":[{""Name"":""additionalDetails"",""Value"":""{\""GroupType\"":\""Unified\"",\""User-Agent\"":\""kiota-dotnet\/1.3.4\""}""},{""Name"":""extendedAuditEventCategory"",""Value"":""Group""}],""ModifiedProperties"":[{""Name"":""Description"",""NewValue"":""[\r\n  \""New collection of stuff for M365 Audit feature testing\""\r\n]"",""OldValue"":""[\r\n  \""New collection of stuff\""\r\n]""},{""Name"":""MailNickname"",""NewValue"":""[\r\n  \""MyCollectionofStuff2272\""\r\n]"",""OldValue"":""[\r\n  \""MyCollectionofStuff2\""\r\n]""},{""Name"":""Included Updated Properties"",""NewValue"":""Description, MailNickname"",""OldValue"":""""},{""Name"":""TargetId.GroupType"",""NewValue"":""Unified"",""OldValue"":""""}],""Actor"":[{""ID"":""[XXXXXXX]@[XXXXX].com"",""Type"":5},{""ID"":""10032002CCA9134A"",""Type"":3},{""ID"":""Microsoft Mesh Services"",""Type"":1},{""ID"":""3016d0ce-47cc-4005-b11d-5fcabb1b643d"",""Type"":2},{""ID"":""User_c7e95ea2-64f6-4743-b8e6-52ce520cba81"",""Type"":2},{""ID"":""c7e95ea2-64f6-4743-b8e6-52ce520cba81"",""Type"":2},{""ID"":""User"",""Type"":2}],""ActorContextId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82"",""ActorIpAddress"":""20.171.55.147"",""InterSystemsId"":""2cd62b4e-4744-4c55-8a88-e64771393266"",""IntraSystemId"":""0b9fe72c-eca5-4ad5-a9c5-5986e8bc963d"",""SupportTicketId"":"""",""Target"":[{""ID"":""Group_1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""Type"":2},{""ID"":""1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""Type"":2},{""ID"":""Group"",""Type"":2},{""ID"":""My Collection of Stuff 2"",""Type"":1}],""TargetContextId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82""}","4","2148","871d4a2e-8e38-488e-a83e-b7a7c6c65228","True","Unchanged"

提示

-NoTypeInformation 是一个 PowerShell 实用工具，用于使.csv导出更简洁。

Search-UnifiedAuditLog 示例 2

包含字符串的所有审核日志-OperationsWorld的基本查询。

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-05-01 -Operations World* | Export-Csv -Path .\export-all-world.csv -NoTypeInformation

Search Search-UnifiedAuditLog 示例 3

包含字符串的所有审核日志-UserIds[email@company.com]的基本查询。

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-04-10 -UserIds [email@company.com] | Export-Csv -Path .\export-all-Max.csv -NoTypeInformation

记录内容分析

审核日志记录内容以 JSON 格式返回。 AuditData 分析可能需要熟悉将文本解析为 JSON 或 XML。

可以将记录集导入到 Excel 进行分析。有关详细信息，请参阅如何将数据源中的数据导入 Excel。

通过