搜索审核日志
组织可以使用 Microsoft Purview 合规门户中的审核日志搜索工具来搜索统一审核日志。 通过执行此操作,组织可以查看用户和管理员活动。 例如,组织可能需要确定用户是否查看了特定文档或清除了邮箱中的项目。
在几十个 Microsoft 365 服务和解决方案中执行的数千个用户和管理员操作被捕获、记录并保留在组织的统一审核日志中。 组织中的用户可以使用审核日志搜索工具来搜索、查看和导出(到 CSV 文件)这些操作的审核记录。
支持审核的 Microsoft 365 服务
Microsoft 365 支持审核日志,因此组织可以在审核日志中搜索不同 Microsoft 365 服务中执行的活动。 下表列出了统一审核日志支持的 Microsoft 365 服务和功能(按字母顺序排列)。
| Microsoft 365 服务或功能 | 记录类型 |
|---|---|
| Microsoft Entra ID | AzureActiveDirectory、AzureActiveDirectoryAccountLogon、AzureActiveDirectoryStsLogon |
| Azure 信息保护 | AipDiscover、AipSensitivityLabelAction、AipProtectionAction、AipFileDeleted、AipHeartBeat |
| 通信合规性 | ComplianceSuperVisionExchange |
| 内容资源管理器 | LabelContentExplorer |
| 数据连接器 | ComplianceConnector |
| 数据丢失防护 (DLP) | ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint |
| Dynamics 365 | CRM |
| 电子数据展示 | 发现、AeD |
| 精确数据匹配 | MipExactDataMatch |
| Exchange Online | ExchangeAdmin、ExchangeItem、ExchangeItemAggregated |
| Forms | MicrosoftForms |
| 信息屏障 | InformationBarrierPolicyApplication |
| Microsoft Defender XDR | AirInvestigation, AirManualInvestigation, AirAdminActionInvestigation, MS365DCustomDetection |
| Microsoft Teams | MicrosoftTeams |
| MyAnalytics | MyAnalyticsSettings |
| OneDrive for Business | OneDrive |
| Power Apps | PowerAppsApp、PowerAppsPlan |
| Power Automate | MicrosoftFlow |
| Power BI | PowerBIAudit |
| Quarantine | Quarantine |
| 保留策略和保留标签 | MIPLabel、MipAutoLabelExchangeItem、MipAutoLabelSharePointItem、MipAutoLabelSharePointPolicyLocation |
| 敏感信息类型 | DlpSensitiveInformationType |
| 敏感度标签 | MIPLabel、SensitivityLabelAction、SensitivityLabeledFileAction、SensitivityLabelPolicyMatch |
| 加密的消息门户 | OMEPortal |
| SharePoint Online | SharePoint、SharePointFileOperation、SharePointSharingOperation、SharePointListOperation、SharePointCommentOperation |
| Stream | MicrosoftStream |
| 威胁智能 | ThreatIntelligence、ThreatIntelligenceUrl、ThreatFinder、ThreatIntelligenceAtpContent |
| 工作区分析 | WorkplaceAnalytics |
| Yammer | Yammer |
| SystemSync | DataShareCreated、DataShareDeleted、GenerateCopyOfLakeData、DownloadCopyOfLakeData |
上表标识了用于在审核日志中搜索相应服务中活动的记录类型值。 可以使用 Exchange Online PowerShell 中的 Search-UnifiedAuditLog cmdlet 或使用 PowerShell 脚本进行搜索。 对于同一服务中不同类型的活动,某些服务具有多个记录类型。 有关审核记录类型的更完整列表,请参阅 Office 365 管理活动 API 架构。
其他读取。 有关使用 PowerShell 搜索审核日志的详细信息,请参阅:
搜索审核日志
在 Microsoft Purview 合规门户中搜索审核日志的过程包括以下步骤:
- 运行审核日志搜索。
- 查看搜索结果。
- 将搜索结果导出到文件。
以下各节更详细地探讨了其中的每个步骤。
步骤 1:运行审核日志搜索
登录到 Microsoft Purview 合规门户。
提示
使用专用浏览会话(而不是常规会话)来访问合规门户。 通过执行此操作,将阻止使用当前登录的凭据。 请按住 CTRL+SHIFT+N 以在 Microsoft Edge 中打开 InPrivate 浏览会话,或在 Google Chrome 中打开专用浏览会话(称为隐身窗口)。
在 Microsoft Purview 合规门户的左侧导航窗格中,选择“审核”。
注意
如果显示“开始记录用户和管理员活动”链接,请选择该链接以打开审核。 如果未看到此链接,则已为你的组织开启审核。
默认情况下,会在“审核”页上显示“搜索”选项卡。 在此选项卡中配置以下搜索条件:
答: 开始日期和结束日期. 默认情况下,将选择最近七天。 选择日期和时间范围,以显示在这段时间内发生的事件。 日期和时间以本地时间显示。 可以指定的最大日期范围是 180 天。 如果所选日期范围大于 180 天,则显示错误。
如果使用的最大日期范围为 180 天,请选择“ 开始日期”的当前时间。 否则将收到说明开始日期早于结束日期的错误消息。 如果在过去 180 天内实施了审核,则最大日期范围不能在实施审核的日期之前开始。
B. 活动. 选择下拉列表以显示可以搜索的活动。 已将用户和管理员活动整理到相关活动组中。 可以选择特定活动,或选择活动组名称以选择该组中所有活动。 也可以选择已选活动以取消选择。 运行搜索后,仅将显示所选活动的审核日志项目。 选择“显示所有活动的结果”将显示由所选用户或用户组执行的所有活动的结果。 审核日志中记录了超过 100 个用户和管理员活动。
C. 用户. 选择此框,然后选择要为其显示搜索结果的一名或多名用户。 由你在此框中所选用户执行的所选活动的审核日志项目将显示在结果列表中。 将此框留空以返回组织中所有用户(和服务帐户)的条目。
D. 文件、文件夹或网站。 键入部分或完整的文件或文件夹名称,搜索与包含指定关键字的文件夹文件相关的活动。 你还可以指定文件或文件夹的 URL。 如果使用 URL,请确保输入完整的 URL 路径,或者如果输入部分 URL,则请勿包含任何特殊字符或空格。 不过支持使用通配符 (*) 。
将此框留空以返回组织中所有文件和文件夹的条目。
- 如果要查找与网站相关的所有活动,请在 URL 后面添加通配符 (*),以返回该网站的所有条目。 例如:
https://contoso-my.sharepoint.com/personal* - 如果要查找与文件相关的所有活动,请在文件名前添加通配符 (*) ,以返回该文件的所有条目。 例如:*Customer_Profitability_Sample.csv
- 如果要查找与网站相关的所有活动,请在 URL 后面添加通配符 (*),以返回该网站的所有条目。 例如:
选择“搜索”以使用搜索条件运行搜索。
步骤 2:查看搜索结果
开始搜索后,将加载结果。 片刻后,它们将显示在新页面上。 完成搜索后会显示找到的结果数。
最多可显示 5,000 个事件(每次加载 150 个)。 如果超过 50,000 个事件符合搜索条件,则仅显示返回的 50,000 个未排序事件。
审核日志搜索结果会显示在“审核日志搜索”页中的“结果”下。 如上文所述,最多显示 5,000 个最新事件(每次加载 150 个)。 使用滚动条或按Shift + End显示接下来的 150 个事件。
结果包含有关搜索返回的每个事件的以下信息:
日期。 事件发生的日期和时间(本地时间)。
IP 地址。 记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。
注意
对于某些服务,此字段中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员所使用设备的 IP 地址。 此外,对于管理员活动 (或系统帐户) 针对Microsoft Entra相关事件执行的活动,不会记录 IP 地址。 因此,此字段中显示的值为 null。
用户。 执行触发事件的操作的用户(或服务帐户)。
活动。 用户执行的活动。 此值对应于在“活动”下拉列表中选定的活动。 对于来自 Exchange 管理员审核日志的事件,此列中的值为 Exchange cmdlet。
项目。 由于相应活动而创建或修改的对象。 例如已查看或修改的文件或已更新的用户帐户。 并非所有活动在此列中都具有值。
详细信息。 有关活动的其他信息。 同样,并非所有活动均具有值。
提示
选择“结果”下的列标题对结果进行排序。 可以将结果按从 A 到 Z 或从 Z 到 A 的顺序排序。选择“日期”标题以将结果按从旧到新或从新到旧的顺序排序。
可以通过选择搜索结果列表中的事件记录查看有关事件的更多详细信息。 此时将显示包含事件记录的详细属性的“浮出”页。 显示的属性取决于其中发生事件的服务。
步骤 3:将搜索结果导出到文件
组织可以导出审核日志搜索结果。 结果将导出为本地计算机上的逗号分隔值(CSV)文件。 可以在 Microsoft Excel 中打开此文件。 可以使用搜索、排序、筛选和将(包含多个属性的)单列拆分为多列等功能。
运行审核日志搜索,然后修订搜索条件直到获得所需结果。
在“搜索结果”页上,选择“导出”,然后选择“下载所有结果”。
审核日志中满足已导出到 CSV 文件的搜索条件的所有条目。 审核日志中的原始数据保存到 CSV 文件。 审核日志条目中的其他信息包含在 CSV 文件中名为 AuditData 的列中。
重要
你可以将最多 50,000 个条目从单个审核日志搜索中下载到 CSV 文件。 如果下载了 50,000 个条目到 CSV 文件,则可以假定可能存在超过 50,000 个符合搜索条件的事件。 若要导出的条目超出此限制,请尝试使用日期范围以减少审核日志项目。 可能需要使用更小日期范围运行多个搜索来导出超过 50,000 个条目。
导出过程完成后,窗口顶部会显示一条消息,提示你打开 CSV 文件并将其保存到本地计算机。 还可以访问“文件资源管理器”的“下载”文件夹中的 CSV 文件。
有关搜索审核日志的提示
组织在搜索审核日志时应记住以下注意事项:
有多种选择活动的方法:
可以通过选择活动名称选择要搜索的特定活动。
可以通过选择组名搜索该组中的所有活动(例如“文件和文件夹活动”)。
如果选择了某活动,可以选择该活动以取消选择。
可以使用搜索框显示包含所键入关键字的活动。
必须选择“活动”列表中的“显示所有活动的结果”才能显示 Exchange 管理员审核日志中的条目。 此审核日志中的事件将在结果的“活动”列中显示 cmdlet 名称(例如 Set-Mailbox)。
同样,某些审核活动在“活动”列表中没有相应项目。 如果知道这些活动的操作名称,则可以搜索所有活动,然后在将搜索结果导出到 CSV 文件后筛选操作。
选择“清除”以清除当前搜索条件。 日期范围返回到默认值(过去七天)。 若要取消所有选定活动,请选择“全部清除以显示所有活动的结果”。
如果找到了 50,000 条结果,则可以假定可能存在超过 50,000 个符合搜索条件的事件。 您可以:
- 优化搜索条件并重新运行搜索以返回更少的结果。
- 通过选择“导出结果”并选择“下载所有结果”导出所有搜索结果。
知识检查
为以下每个问题选择最佳答案。