Freigeben über

Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen

Wenn Sie das Überwachungsprotokoll durchsuchen und die Suchergebnisse in eine durch Trennzeichen getrennte Datei (.csv) herunterladen, enthält die Datei eine Spalte mit dem Namen AuditData. Diese Spalte enthält zusätzliche Informationen zu jedem Ereignis. Die Daten in dieser Spalte sind als JSON-Objekt formatiert. Dieses Objekt enthält mehrere Eigenschaften, die als Eigenschaft:Wert-Paare durch Kommas getrennt angezeigt werden. Sie können die JSON-Transformationsfunktion im Power Query-Editor in Excel verwenden, um jede Eigenschaft im JSON-Objekt in der Spalte AuditData in mehrere Spalten aufzuteilen, sodass jede Eigenschaft über eine eigene Spalte verfügt. Mit diesem Feature können Sie eine oder mehrere dieser Eigenschaften sortieren und filtern, sodass Sie die spezifischen Überwachungsdaten, die Sie suchen, schnell finden können.

Schritt 1: Exportieren von Suchergebnissen im Überwachungsprotokoll

Wichtig

Damit Exportprozesse ordnungsgemäß funktionieren, stellen Sie sicher, dass die Azure Front Door-Domäne (azurefd.net) nicht von Ihrer Netzwerkfirewall blockiert wird.

Wenn Sie Audit (Standard) verwenden, können Sie aus einer einzelnen Überwachungssuchabfrage bis zu 50.000 Datensätze in eine .csv-Datei exportieren. Für Audit (Premium) erhöht sich der Exportgrenzwert auf 100.000Datensätze. Wenn die Anzahl der von Ihrer Überwachungssuchabfrage zurückgegebenen Ergebnisse diese Grenzwerte überschreitet, enthält die exportierte .csv Datei nicht alle Ergebnisse und lässt möglicherweise einige Überwachungsprotokolle aus. Um einen vollständigen Datenexport sicherzustellen, sollten Sie die folgenden Empfehlungen berücksichtigen:

  1. Verfeinern Sie den Bereich Ihrer Suchabfrage , indem Sie den Datumsbereich einschränken oder andere Filter wie UserId, Operation usw. anwenden.
  2. Führen Sie mehrere Suchvorgänge mit kleineren, segmentierten Datumsbereichen durch, um alle relevanten Überwachungsprotokolle zu erfassen.

Dieser Ansatz trägt dazu bei, eine umfassende Abdeckung der Überwachungsdaten innerhalb der Einschränkungen der Exportgrenzwerte sicherzustellen.

Führen Sie die folgenden Schritte aus, um das Überwachungsprotokoll zu durchsuchen und die Ergebnisse in einer .csv-Datei auf Ihren lokalen Computer zu exportieren:

  1. Führen Sie eine Überwachungsprotokollsuche aus, und überarbeiten Sie die Suchkriterien bei Bedarf, bis Die gewünschten Ergebnisse vorliegen.

  2. Wählen Sie auf der Seite mit den Suchergebnissen exportieren aus.

    Wählen Sie Exportieren aus, um alle Ergebnisse herunterzuladen.

    Diese Option exportiert alle Überwachungsdatensätze aus der Überwachungsprotokollsuche, die Sie in Schritt 1 ausgeführt haben. Die Rohdaten aus dem Überwachungsprotokoll werden einer .csv-Datei hinzugefügt. Es dauert eine Weile, bis die Downloaddatei für eine große Suche vorbereitet ist. Große Dateien ergeben sich bei der Suche nach allen Aktivitäten oder bei Verwendung eines breiten Datumsbereichs.

  3. Wenn der Exportvorgang abgeschlossen ist, wird oben im Fenster eine Meldung angezeigt, in der Sie aufgefordert werden, die .csv Datei zu öffnen und auf Ihrem lokalen Computer zu speichern. Möglicherweise müssen Sie die Seite aktualisieren, damit diese Meldung angezeigt wird. Sie können auch auf die .csv-Datei im Ordner Downloads zugreifen.

Schritt 2: Formatieren des exportierten Überwachungsprotokolls mithilfe der Power Query-Editor

In diesem Schritt verwenden Sie die JSON-Transformationsfunktion im Power Query-Editor in Excel, um jede Eigenschaft im JSON-Objekt in der Spalte AuditData in eine eigene Spalte aufzuteilen. Anschließend filtern Sie Spalten, um Datensätze basierend auf den Werten bestimmter Eigenschaften anzuzeigen. Dieser Prozess hilft Ihnen, die spezifischen Überwachungsdaten, die Sie suchen, schnell zu finden.

  1. Öffnen Sie eine leere Arbeitsmappe in Excel für Microsoft 365, Excel 2019 oder Excel 2016.

  2. Wählen Sie auf der Registerkarte Daten in der Menübandgruppe & Daten transformieren die Option Aus Text/CSV aus.

    Klicken Sie auf der Registerkarte Daten auf Aus Text/.csv.

  3. Öffnen Sie die .csv Datei, die Sie in Schritt 1 heruntergeladen haben.

  4. Wählen Sie im angezeigten Fenster Daten transformieren aus.

    Wählen Sie Daten transformieren aus.

    Die Abfrage-Editor öffnet die .csv-Datei. Es werden vier Spalten angezeigt: CreationDate, UserIds, Operations und AuditData. Die Spalte AuditData ist ein JSON-Objekt, das mehrere Eigenschaften enthält. Sie müssen eine Spalte für jede Eigenschaft im JSON-Objekt erstellen.

  5. Klicken Sie mit der rechten Maustaste auf den Titel in der Spalte AuditData, wählen Sie Transformieren und dann JSON aus.

    Klicken Sie mit der rechten Maustaste auf die Spalte AuditData, klicken Sie auf Transformieren, und wählen Sie dann JSON aus.

  6. Wählen Sie das Erweiterungssymbol in der oberen rechten Ecke der Spalte AuditData aus.

    Klicken Sie in der Spalte AuditData auf das Symbol zum Erweitern.

    Sie sehen eine partielle Liste der Eigenschaften in den JSON-Objekten in der Spalte AuditData .

  7. Wählen Sie Mehr laden aus, um alle Eigenschaften in den JSON-Objekten in der Spalte AuditData anzuzeigen.

    Wählen Sie Mehr laden aus, um alle Eigenschaften im JSON-Objekt anzuzeigen.

    Sie können das Kontrollkästchen neben jeder Eigenschaft deaktivieren, die Sie nicht einschließen möchten. Das Entfernen von Spalten, die für Ihre Untersuchung nicht nützlich sind, ist eine gute Möglichkeit, die im Überwachungsprotokoll angezeigte Datenmenge zu reduzieren.

    Hinweis

    Die im vorherigen Screenshot angezeigten JSON-Eigenschaften (nachdem Sie mehr laden ausgewählt haben) basieren auf den Eigenschaften in der Spalte AuditData aus den ersten 1.000 Zeilen in der .csv-Datei. Wenn nach den ersten 1.000 Zeilen unterschiedliche JSON-Eigenschaften in Datensätzen vorhanden sind, werden diese Eigenschaften (und eine entsprechende Spalte) nicht angezeigt, wenn Sie die Spalte AuditData in mehrere Spalten aufteilen. Um dieses Problem zu vermeiden, sollten Sie die Überwachungsprotokollsuche erneut ausführen und die Suchkriterien so einschränken, dass weniger Datensätze zurückgegeben werden. Eine weitere Problemumgehung besteht darin, Elemente in der Spalte Vorgänge zu filtern, um die Anzahl der Zeilen zu reduzieren (bevor Sie Schritt 5 ausführen), bevor Sie das JSON-Objekt in der Spalte AuditData transformieren.

    Tipp

    Um ein Attribut in einer Liste wie AuditData.AffectedItems anzuzeigen, wählen Sie das Symbol Erweitern in der oberen rechten Ecke der Spalte aus, aus der Sie ein Attribut abrufen möchten, und wählen Sie dann In neue Zeile erweitern aus. Von dort aus ist es ein Datensatz, und Sie können das Symbol Erweitern in der oberen rechten Ecke der Spalte auswählen, die Attribute anzeigen und das Symbol auswählen, das Sie anzeigen oder extrahieren möchten.

  8. Führen Sie einen der folgenden Schritte aus, um den Titel der Spalten zu formatieren, die Sie für jede ausgewählte JSON-Eigenschaft hinzufügen.

    • Deaktivieren Sie das Kontrollkästchen Originalspaltennamen als Präfix verwenden , um den Namen der JSON-Eigenschaft als Spaltennamen zu verwenden. Beispiel: RecordType oder SourceFileName.
    • Lassen Sie das Kontrollkästchen Originalspaltennamen als Präfix verwenden aktiviert, um den Spaltennamen das Präfix AuditData hinzuzufügen. Beispiel: AuditData.RecordType oder AuditData.SourceFileName.

  9. Wählen Sie OK aus.

    Sie teilen die Spalte AuditData in mehrere Spalten auf. Jede neue Spalte entspricht einer Eigenschaft im JSON-Objekt AuditData. Jede Zeile in der Spalte enthält den Wert für die Eigenschaft. Wenn die Eigenschaft keinen Wert enthält, wird der NULL-Wert angezeigt. In Excel sind Zellen mit NULL-Werten leer.

  10. Wählen Sie auf der Registerkarte Startdie Option Schließen & Laden aus, um die Power Query-Editor zu schließen und die transformierte .csv-Datei in einer Excel-Arbeitsmappe zu öffnen.

Verwenden von PowerShell zum Durchsuchen und Exportieren von Überwachungsprotokolldatensätzen

Anstatt das Suchtool für Überwachungsprotokolle im Microsoft Purview-Portal zu verwenden, können Sie das Cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell verwenden, um die Ergebnisse einer Überwachungsprotokollsuche in eine .csv-Datei zu exportieren. Anschließend können Sie das in Schritt 2 beschriebene Verfahren ausführen, um das Überwachungsprotokoll mithilfe des Power Query-Editors zu formatieren. Ein Vorteil der Verwendung des PowerShell-Cmdlets besteht darin, dass Sie mithilfe des RecordType-Parameters nach Ereignissen aus einem bestimmten Dienst suchen können. Die folgenden Beispiele zeigen, wie Sie Mithilfe von PowerShell Überwachungsdatensätze in eine .csv-Datei exportieren, sodass Sie das JSON-Objekt in der Spalte AuditData mithilfe des Power Query-Editors transformieren können, wie in Schritt 2 beschrieben.

Führen Sie im folgenden Beispiel die Befehle aus, um alle Datensätze im Zusammenhang mit SharePoint-Freigabevorgängen zurückzugeben.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Die Suchergebnisse werden in eine .csv Datei namens PowerShellAuditlog exportiert, die vier Spalten enthält: CreationDate, UserIds, RecordType, AuditData.

Sie können den Namen oder enumerationswert für den Datensatztyp verwenden. Eine Liste der Namen von Datensatztypen und den entsprechenden Enumerationswerten finden Sie in der AuditLogRecordType-Tabelle in Office 365 Verwaltungsaktivitäts-API-Schema.

Sie können nur einen einzelnen Wert für den RecordType-Parameter einschließen. Um nach Überwachungsdatensätzen für andere Datensatztypen zu suchen, führen Sie die beiden vorherigen Befehle erneut aus, um einen anderen Datensatztyp anzugeben und diese Ergebnisse an die ursprüngliche .csv-Datei anzufügen. Führen Sie beispielsweise die folgenden beiden Befehle aus, um SharePoint-Dateiaktivitäten aus dem gleichen Datumsbereich zur PowerShellAuditlog.csv-Datei hinzuzufügen.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Tipps zum Exportieren und Anzeigen des Überwachungsprotokolls

Im Folgenden finden Sie einige Tipps und Beispiele für das Exportieren und Anzeigen des Überwachungsprotokolls, bevor und nachdem Sie die JSON-Transformationsfunktion verwendet haben, um die Spalte AuditData in mehrere Spalten aufzuteilen.

  • Filtern Sie die Spalte RecordType, um nur die Datensätze aus einem bestimmten Dienst oder Funktionsbereich anzuzeigen. Wenn Sie beispielsweise Ereignisse im Zusammenhang mit der SharePoint-Freigabe anzeigen möchten, wählen Sie 14 (den Enumerationswert für Datensätze aus, die von SharePoint-Freigabeaktivitäten ausgelöst werden). Eine Liste der Dienste, die den in der Spalte RecordType angezeigten Enumerationswerten entsprechen, finden Sie unter Detaillierte Eigenschaften im Überwachungsprotokoll.
  • Filtern Sie die Spalte Vorgänge, um die Datensätze für bestimmte Aktivitäten anzuzeigen. Eine Liste der meisten Vorgänge, die einer durchsuchbaren Aktivität im Überwachungsprotokoll-Suchtool im Microsoft Purview-Portal entsprechen, finden Sie im Abschnitt "Überwachte Aktivitäten" unter Durchsuchen des Überwachungsprotokolls.
  • Last updated on