匯出、 設定及檢視稽核記錄檔的記錄
在您搜尋稽核記錄並將搜尋結果下載至 CSV 檔案之後,檔案會包含名為 AuditData 的數據行,其中包含每個事件的其他相關信息。 此資料行中的資料會格式化為 JSON 物件,其中包含多個設定為 property:value 組的屬性,且以逗號分隔。 您可以使用 Excel 中 Power Query 編輯器 中的 JSON 轉換功能,將 AuditData 數據行中 JSON 物件中的每個屬性分割成多個數據行,讓每個屬性都有自己的數據行。 這可讓您排序和篩選其中一或多個屬性,這可協助您快速找出您要尋找的特定稽核數據。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
步驟 1:匯出稽核記錄搜尋結果
第一個步驟是搜尋稽核記錄,然後將結果用以逗號分隔值 (CSV) 的檔案匯出至本機電腦。
執行 稽核記錄搜尋 ,並視需要修改搜尋準則,直到您有所需的結果為止。
在搜尋結果頁面上,選取 [ 導出]。
此選項會從您在步驟 1 中執行的稽核記錄搜尋中匯出所有稽核記錄,並將稽核記錄中的原始數據新增至 CSV 檔案。 準備下載檔案以進行大型搜尋需要一些時間。 搜尋所有活動或使用寬日期範圍時,會產生大型檔案。
匯出流程完成之後,視窗頂端會顯示一則訊息,提示您開啟 CSV 檔案,並將其儲存到您的本地電腦。 您也可以存取下載資料夾中的 CSV 檔案。
注意事項
您可以從單一稽核記錄搜尋下載最多 50,000 個項目至 CSV 檔案。 如果已下載 50,000 個項目至 CSV 檔案,您可能可以假設有超過 50,000 個符合搜尋準則的事件。 若要匯出的內容超過此限制,請嘗試縮小日期範圍來降低稽核記錄的數量。 您可能需要使用較小的日期範圍執行多次搜尋,以匯出 50,000 個以上的項目。
步驟 2:使用 Power Query 編輯器將匯出的稽核記錄格式化
下一個步驟是使用 Excel 中 Power Query 編輯器 中的 JSON 轉換功能,將 AuditData 資料行中 JSON 物件中的每個屬性分割成自己的數據行。 然後,您可以篩選數據行,以根據特定屬性的值來檢視記錄。 這可協助您快速找出您要尋找的特定稽核數據。
在 Excel 中開啟適用於 Office 365、Excel 2019 或 Excel 2016 的空白活頁簿。
在 [ 數據] 索 引標籤的 [ 取得 & 轉換數據] 功能 區群組中,選取 [ 從文字/CSV]。
開啟您在步驟 1 中下載的 CSV 檔案。
在顯示的視窗中,選取 [轉換資料]。
CSV 檔案會在 查詢編輯器 中開啟。 有四個欄標籤: CreationDate、UserIds、Operations 和 AuditData。 AuditData 資料行是包含多個屬性的 JSON 物件。 下一個步驟是為 JSON 物件中的每個屬性建立資料行。
以滑鼠右鍵按一下 AuditData 資料行中的標題,選取 [轉換],然後選取 [JSON]。
在 AuditData 資料行的右上角,選取展開圖示。
AuditData 資料行中 JSON 物件中的屬性部分清單即顯示。
選取 [載入更多] 以在 [AuditData] 資料行中顯示 JSON 物件中的所有屬性。
您可以取消選取任何不想包括之屬性旁的核取方塊。 排除對您的調查沒有幫助的資料行,是減少稽核記錄中顯示資料量的好方法。
注意事項
上一個螢幕快照中顯示的 JSON 屬性 (按兩下 [ 載入更多) 是以 CSV 檔案中前 1,000 個數據列的 AuditData 資料行中找到的屬性為基礎。 如果前 1,000 列之後的記錄中有不同的 JSON 屬性,當 AuditData 資料行分割成多個資料行時,這些屬性 (和對應的資料行) 將不會包含。 若要避免這種情況,請考慮重新執行稽核記錄搜尋,並縮小搜尋準則,以便傳回較少的記錄。 另一個因應措施是先篩選 Operations 數據行中的專案,以在您執行步驟 5) 之前減少 (的數據列數目,然後再轉換 AuditData 數據行中的 JSON 物件。
提示
若要在 AuditData.AffectedItems 等列表中檢視屬性,請按兩下您要從中提取屬性之數據行右上角的 展開圖示 ,然後選取 [ 展開至新的數據列]。 其中有一筆記錄,您可以選取數據行右上角的 [ 展開 ] 圖示、檢視屬性,然後選取您想要檢視或擷取的屬性。
請執行下列其中一項動作來格式化針對所選取之每個 JSON 屬性新增的數據行標題。
- 取消選取 [使用原始數據行名稱做為前置 詞] 複選框,以使用 JSON 屬性的名稱作為數據行名稱;例如, RecordType 或 SourceFileName。
- 保留選取 [ 使用原始數據行名稱做為前置 詞] 複選框,以將 AuditData 前置詞新增至數據行名稱;例如 AuditData.RecordType 或 AuditData.SourceFileName。
選取 [確定]。
AuditData 資料行會分割成多個數據行。 每個新資料行都會對應至 AuditData JSON 物件中的一個屬性。 資料行中的每個資料列都包含屬性的值。 如果屬性不包含值,則會顯示 Null 值。 在 Excel 中,具有 Null 值的儲存格是空的。
在 [首頁] 索引標籤上,選取 [關閉 & 載入] 以關閉 Power Query 編輯器,然後在 Excel 活頁簿中開啟已轉換的 CSV 檔案。
使用 PowerShell 來搜尋和匯出稽核記錄
您可以使用 Exchange Online PowerShell 中的 Search-UnifiedAuditLog Cmdlet,將稽核記錄搜尋的結果匯出至 CSV 檔案,而不是在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中使用稽核記錄搜尋工具。 然後,您可以遵循步驟 2 中所述的相同程序,使用 Power Query 編輯器來格式化稽核記錄。 使用 PowerShell Cmdlet 的優點之一,是您可以使用 RecordType 參數,搜尋特定服務的事件。 以下是使用PowerShell將稽核記錄匯出至 CSV 檔案的幾個範例,讓您可以使用 Power Query 編輯器在 AuditData 資料行中轉換 JSON 物件,如步驟 2 所述。
在此範例中,執行下列命令以傳回與 SharePoint 共用作業相關的所有記錄。
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
搜尋結果會導出至名為 PowerShellAuditlog 的 CSV 檔案,其中包含四個數據行:CreationDate、UserIds、RecordType、AuditData) 。
您也可以使用記錄類型的名稱或列舉值做為 RecordType 參數的值。 如需記錄類型名稱及其對應列舉值的清單,請參閱 Office 365 管理活動 API 架構中的 AuditLogRecordType 資料表。
您只能針對 RecordType 參數包括單一值。 若要搜尋其他記錄類型的稽核記錄,您必須再次執行前兩個命令,以指定不同的記錄類型,並將這些結果附加至原始 CSV 檔案。 例如,您會執行下列兩個命令,將相同日期範圍中的 SharePoint 檔案活動新增至 PowerShellAuditlog.csv 檔案。
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
匯出和檢視稽核記錄的提示
以下是一些在您使用 JSON 轉換功能將 AuditData 數據行分割成多個數據行之前和之後匯出和檢視稽核記錄的秘訣和範例。
- 篩選 RecordType 資料行,只顯示來自特定服務或功能區域的記錄。 例如,若要顯示與 SharePoint 共用相關的事件,您可以選取 14 (SharePoint 共用活動所觸發記錄的列舉值) 。 如需對應至 RecordType 資料行中顯示之列舉值的服務清單,請參閱 稽核記錄中的詳細屬性。
- 篩選 Operations 資料行以顯示特定活動的記錄。 如需對應至 Microsoft Purview 入口網站或合規性入口網站中稽核記錄搜尋工具中可搜尋活動的大部分作業清單,請參閱 搜尋稽核記錄中的一節。