Durchsuchen des Überwachungsprotokolls

Die Suche in Microsoft Purview Audit (Standard) und Audit (Premium) bietet Ihrem organization Zugriff auf kritische Überwachungsprotokollereignisdaten, sodass Sie Einblicke erhalten und Benutzeraktivitäten genauer untersuchen können.

• Suchaufträge, die Sie über das Microsoft Purview-Portal starten, benötigen nicht das Webbrowserfenster, um geöffnet zu bleiben. Diese Aufträge werden auch nach dem Schließen des Browserfensters weiterhin ausgeführt.
• Das System behält nun abgeschlossene Suchaufträge 30 Tage lang bei, sodass Sie auf frühere Überwachungssuchen zurückschauen können.
• Jeder Administratorbenutzer des Überwachungskontos kann bis zu 10 Suchaufträge gleichzeitig ausführen, wobei der Grenzwert auf einen ungefilterten Suchauftrag beschränkt ist.

Bevor Sie das Überwachungsprotokoll durchsuchen

Überprüfen Sie die folgenden Elemente, bevor Sie mit der Suche im Überwachungsprotokoll beginnen.

• Die Überwachungsprotokollsuche ist für Microsoft 365- und Office 365 Enterprise-Organisationen standardmäßig aktiviert. Um zu überprüfen, ob die Überwachungsprotokollsuche aktiviert ist, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

  Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
  

  Der Wert True für die Eigenschaft UnifiedLogIngestionEnabled gibt an, dass die Überwachungsprotokollsuche aktiviert ist. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren der Überwachungsprotokollsuche.

  Wichtig

  Stellen Sie sicher, dass Sie den vorherigen Befehl in Exchange Online PowerShell ausführen. Obwohl das Cmdlet Get-AdminAuditLogConfig auch in Security & Compliance PowerShell verfügbar ist, ist die UnifiedAuditLogIngestionEnabled-Eigenschaft immer False, auch wenn die Überwachungsprotokollsuche aktiviert ist.

• Zum Durchsuchen des Überwachungsprotokolls müssen Ihnen die Rollen Überwachungsprotokolle oder Nur Anzeigen von Überwachungsprotokollen im Microsoft Purview-Portal zugewiesen sein. Weitere Informationen finden Sie unter Erste Schritte mit Überwachungslösungen. Für den Zugriff auf Überwachungs-Cmdlets müssen Ihnen die Rollen Überwachungsprotokolle oder Nur anzeigende Überwachungsprotokolle im Exchange Admin Center zugewiesen sein. Sie können auch benutzerdefinierte Rollengruppen mit der Möglichkeit erstellen, das Überwachungsprotokoll zu durchsuchen, indem Sie die Rollen Nur anzeigen oder Überwachungsprotokolle zu einer benutzerdefinierten Rollengruppe hinzufügen. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Portal.

• Wenn ein Benutzer oder Administrator eine überwachte Aktivität ausführt, generiert das System einen Überwachungsdatensatz und speichert ihn im Überwachungsprotokoll für Ihre organization. Die Zeitdauer, die ein Überwachungsdatensatz aufbewahrt (und im Überwachungsprotokoll durchsuchbar) ist, hängt von Ihrem Office 365- oder Microsoft 365 Enterprise-Abonnement und insbesondere vom Lizenztyp ab, der bestimmten Benutzern zugewiesen ist.

  • Für Benutzer, denen eine Office 365 E5- oder Microsoft 365 E5-Lizenz zugewiesen ist (oder Benutzer mit einem Microsoft Purview Suite (früher als Microsoft 365 E5 Compliance bezeichnet) oder Microsoft 365 E5 Add-On-Lizenz für eDiscovery und Audit), behält das System überwachungsdatensätze für Microsoft Entra ID, Exchange und SharePoint-Aktivitäten standardmäßig ein Jahr lang bei. Organisationen können auch Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um Überwachungsdatensätze für Aktivitäten in anderen Diensten bis zu ein Jahr lang aufzubewahren. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.

    Hinweis

    Wenn Ihre organization am privaten Vorschauprogramm für die einjährige Aufbewahrung von Überwachungsdatensätzen teilgenommen haben, wird die Aufbewahrungsdauer für Überwachungsdatensätze, die vor dem Rolloutdatum der allgemeinen Verfügbarkeit generiert wurden, nicht zurückgesetzt.

  • Für Benutzer, denen eine andere (nicht E5) Office 365- oder Microsoft 365-Lizenz zugewiesen ist, behält das System Überwachungsdatensätze 180 Tage lang bei. Eine Liste der Office 365- und Microsoft 365-Abonnements, die die einheitliche Überwachungsprotokollierung unterstützen, finden Sie in den Abonnementanforderungen für Audit (Standard) und Audit (Premium).

    Wichtig

    Der Standardaufbewahrungszeitraum für Die Überwachung (Standard) wurde von 90 Tagen auf 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.

    Hinweis

    Selbst wenn die Postfachüberwachung standardmäßig aktiviert ist, können Sie feststellen, dass Postfachüberwachungsereignisse für einige Benutzer in Überwachungsprotokollsuchen im Microsoft Purview-Portal oder über die Office 365 Management Activity API nicht gefunden werden. Weitere Informationen finden Sie unter Weitere Informationen zur Postfachüberwachungsprotokollierung.

• Um die Überwachungsprotokollsuche für Ihre organization zu deaktivieren, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

  Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
  

  Um die Überwachungssuche erneut zu aktivieren, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

  Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
  

  Weitere Informationen finden Sie unter Deaktivieren der Überwachungsprotokollsuche.

• Das zugrunde liegende Cmdlet, das zum Durchsuchen des Überwachungsprotokolls verwendet wird, ist ein Exchange Online Cmdlet, also Search-UnifiedAuditLog. Das bedeutet, dass Sie dieses Cmdlet verwenden können, um das Überwachungsprotokoll zu durchsuchen, anstatt das Suchtool auf der Seite Überwachung im Microsoft Purview-Portal zu verwenden. Sie müssen dieses Cmdlet in Exchange Online PowerShell ausführen. Weitere Informationen finden Sie unter Search-UnifiedAuditLog.

  Informationen zum Exportieren der vom Search-UnifiedAuditLog-Cmdlet zurückgegebenen Suchergebnisse in eine CSV-Datei finden Sie im Abschnitt „Tipps zum Exportieren, konfigurieren und Anzeigen des Überwachungsprotokolls“ in Exportieren und Anzeigen des Überwachungsprotokolls.

• Um Daten programmgesteuert aus dem Überwachungsprotokoll herunterzuladen, empfiehlt es sich, anstelle eines PowerShell-Skripts die OFFICE 365-Verwaltungsaktivitäts-API zu verwenden. Die Office 365-Verwaltungsaktivitäts-API ist ein REST-Webdienst, den Sie beim Entwickeln von Lösungen zur Überwachung von Vorgängen, der Sicherheit und Compliance für Ihre Organisation verwenden können. Weitere Informationen finden Sie in der Referenz der Office 365-Verwaltungsaktivitäts-API.

• Microsoft Entra ID ist der Verzeichnisdienst für Microsoft 365. Das vereinheitlichte Überwachungsprotokoll enthält Benutzer-, Gruppen-, Anwendungs-, Domänen- und Verzeichnisaktivitäten, die im Microsoft 365 Admin Center oder im Azure-Verwaltungsportal ausgeführt wurden. Eine vollständige Liste der Microsoft Entra Ereignisse finden Sie unter Microsoft Entra Überwachen von Berichtsereignissen.

• Microsoft garantiert keinen bestimmten Zeitpunkt nach Eintreten eines Ereignisses zu dem der entsprechende Überwachungsprotokolleintrag in den Ergebnissen der Überwachungsprotokollsuche angezeigt wird. Bei Kerndiensten (z. B. Exchange, SharePoint, OneDrive und Teams) beträgt die Verfügbarkeit des Überwachungsdatensatzes in der Regel 60 bis 90 Minuten nach dem Eintreten eines Ereignisses. Bei anderen Diensten ist die Verfügbarkeit von Überwachungsdatensätzen möglicherweise länger. Einige Probleme, die unvermeidbar sind (z. B. ein Serverausfall), können jedoch außerhalb des Überwachungsdiensts auftreten, was die Verfügbarkeit von Überwachungsdatensätzen verzögert. Aus diesem Grund verpflichtet sich Microsoft nicht zu einer bestimmten Zeit.

• Wenn Sie im Überwachungsprotokoll nach Power BI-Aktivitäten suchen möchten, müssen Sie die Überwachung für das Power BI-Verwaltungsportal aktivieren. Anweisungen hierzu finden Sie im Abschnitt "Überwachungsprotokolle" im Power BI-Verwaltungsportal.

Erste Schritte mit der Suche

Führen Sie die folgenden Schritte aus, um mit der Suche zu beginnen:

1. Melden Sie sich beim Microsoft Purview-Portal an.

2. Wählen Sie die Karte Lösung überwachen aus. Wenn die Karte Überwachungslösung nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Kern die Option Überwachung aus.

3. Konfigurieren Sie auf der Seite Suchen die folgenden Suchkriterien, sofern zutreffend:

   1. Datums- und Uhrzeitbereich (UTC): Die letzten sieben Tage sind standardmäßig ausgewählt. Wählen Sie einen Datums- und Uhrzeitbereich aus, um die Ereignisse anzuzeigen, die innerhalb dieses Zeitraums aufgetreten sind. Datum und Uhrzeit werden in koordinierter Weltzeit (UTC) angezeigt. Der maximale Datumsbereich, den Sie angeben können, beträgt 180 Tage. Wenn der ausgewählte Datumsbereich größer als 180 Tage ist, wird ein Fehler angezeigt.

      Tipp

      Wenn Sie den maximalen Datumsbereich von 180 Tagen verwenden, wählen Sie die aktuelle Uhrzeit für das Startdatum aus. Andernfalls erhalten Sie eine Fehlermeldung, die besagt, dass das Startdatum vor dem Enddatum liegt. Wenn Sie die Überwachung innerhalb der letzten 180 Tage aktivieren, kann der maximale Datumsbereich nicht vor dem Datum beginnen, an dem die Überwachung aktiviert wurde.

   2. Schlüsselwortsuche: Geben Sie eine Schlüsselwort (keyword) oder einen Ausdruck ein, nach dem im Überwachungsprotokoll gesucht werden soll. Die Schlüsselwort (keyword) oder der Ausdruck wird im Überwachungsprotokoll oder in der Datei, dem Ordner oder den Websites (sofern angegeben) für die Suche gesucht. Um nach Text zu suchen, der Sonderzeichen enthält, ersetzen Sie die Sonderzeichen in Ihrer Schlüsselwort (keyword) Suche durch ein Sternchen(*). Um beispielsweise nach test_search_document zu suchen, verwenden Sie test*search*document.

      Wichtig

      In das Feld Schlüsselwortsuche eingegebene Begriffe werden nur innerhalb von indizierten Inhalten durchsucht (Inhalt innerhalb des allgemeinen Schemas überwachen). Der Inhalt der Überwachungsdaten im Überwachungsprotokoll wird nicht nach diesen Schlüsselwörtern durchsucht.

   3. Admin Einheiten: Wählen Sie die Dropdownliste aus, um die Verwaltungseinheiten anzuzeigen, auf die die überwachten Aktivitäten für Ihre Suche festgelegt werden sollen. Sie können eine oder mehrere Verwaltungseinheiten auswählen, auf die Ihre Suche beschränkt werden soll. Lassen Sie dieses Feld leer, um Einträge für alle Verwaltungseinheiten in Ihrem organization zurückzugeben.

   4. Aktivitäten – Anzeigenamen: Wählen Sie die Dropdownliste aus, um die Anzeigenamen für überwachte Aktivitäten anzuzeigen, nach denen Sie suchen können. Anzeigenamen für Benutzer- und Administratoraktivitäten sind in Gruppen verwandter Aktivitäten organisiert. Mithilfe von Anzeigenamen können Sie bestimmte überwachte Aktivitäten oder den Namen der Aktivitätsgruppe auswählen, um alle Aktivitäten in der Gruppe auszuwählen. Sie können auch eine ausgewählte Aktivität auswählen, um die Auswahl aufzuheben. Um nach einem Anzeigenamen für die Aktivitäten in der Liste zu suchen, verwenden Sie das Suchfeld über der Liste.

   5. Aktivitäten – Vorgangsnamen: Geben Sie die genauen Vorgangsnamen ein, die nach überwachten Aktivitäten gesucht werden sollen, die in Ihre Suchergebnisse eingeschlossen werden sollen. Sie können einen oder mehrere Vorgangsnamen durch Kommas getrennt eingeben. Dieses Suchkriterium ähnelt früheren Suchvorgängen, die nur in PowerShell verfügbar sind, und bietet mehr Flexibilität bei der Suche nach den benötigten Daten.

      Wichtig

      Vorgangsnamen müssen genau so eingegeben werden, wie sie benannt sind. Wenn Vorgangsnamen falsch eingegeben werden, werden keine Ergebnisse zurückgegeben.

      Wenn Sie beispielsweise nach allen Aktivitäten im Zusammenhang mit dem Aktivieren und Deaktivieren von Informationsbarrieren für eine SharePoint-Website in Ihrem organization suchen möchten, gehen Sie wie folgt vor:

      • Lesen Sie den Artikel Überwachungsaktivitäten , um den genauen Vorgangsnamen für die Aktivitäten der Informationsbarrieren zu finden, nach der Sie suchen möchten. In diesem Beispiel sind die Vorgangsnamen SPOIBIsEnabled und SPOIBIsDisabled.
      • Geben Sie spoibIsEnabled,SPOIBIsDisabled in das Suchfeld des Vorgangs ein. Es wird empfohlen, die Vorgangsnamen direkt aus dem Artikel in das Vorgangssuchfeld einzufügen, um sicherzustellen, dass sie korrekt und ohne Tippfehler eingegeben werden.

   6. Datensatztypen: Wählen Sie die Dropdownliste aus, um die Datensatztypen für überwachte Aktivitäten anzuzeigen, nach denen Sie suchen können. Sie können einen oder mehrere Datensatztypen auswählen, nach dem gesucht werden soll. Um in der Liste nach einem Datensatztyp zu suchen, verwenden Sie das Suchfeld über der Liste.

      Bestimmte Datensatztypen sind bestimmten Microsoft-Diensten und -Anwendungen zugeordnet. Wenn Sie ihre Suche beispielsweise auf bestimmte Datensatztypen festlegen möchten, die Vertraulichkeitsbezeichnungen in Microsoft Purview Information Protection (MIP) zugeordnet sind, können Sie die Datensatztypen MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem und MipAutoLabelSharePointPolicyLocation aus der Liste auswählen.

   7. Suchname: Geben Sie einen benutzerdefinierten Namen für Ihren Suchauftrag ein. Dieser Name wird verwendet, um Ihren Suchauftrag im Suchauftragsverlauf zu identifizieren. Wenn Sie keinen Namen eingeben, wird der Suchauftrag automatisch mit einer Kombination aus Datum und Uhrzeit benannt, die für die Suche und andere definierte Suchkriterienwerte definiert sind.

   8. Benutzer: Wählen Sie dieses Feld aus, und wählen Sie die Namen eines oder mehrerer Benutzer aus, für die Suchergebnisse angezeigt werden sollen. In der Liste der Ergebnisse werden die Überwachungsprotokolleinträge für die ausgewählte Aktivität angezeigt, die von den Benutzern ausgeführt wurde, die Sie in diesem Feld ausgewählt haben. Lassen Sie dieses Feld leer, um die Einträge für alle Benutzer (und Dienstkonten) in Ihrer Organisation zurückzugeben.

   9. Datei, Ordner oder Website: Geben Sie einen Teil oder den gesamten Namen einer Datei oder eines Ordners ein, um die zugehörige Aktivität zu finden. Dadurch werden Ergebnisse für übereinstimmende Dateien, Ordner und Websites zurückgegeben. Sie können auch eine vollständige URL oder einen Teil davon eingeben. Sonderzeichen oder Leerzeichen vermeiden. Sie können * als Wildcard am Ende der URL verwenden. Beispiel: https://<tenantname>.sharepoint.com/sites/site123*. Lassen Sie das Feld leer, um aktivitäten für alle Dateien und Ordner in Ihrem organization anzuzeigen.

   10. Workloads: Geben Sie Workloaddienste ein, oder suchen Sie nach Workloaddiensten, um nach Aktivitäten im Zusammenhang mit den ausgewählten Workloads zu suchen. Geben Sie den Namen einer Workload ein, um zur Workload in der Liste zu springen, oder scrollen Sie zu den Workloads, die Sie auswählen möchten.

4. Wählen Sie Suchen aus, um Ihren Suchauftrag zu starten. Für ein Benutzerkonto können maximal 10 Suchaufträge parallel ausgeführt werden. Wenn ein Benutzer mehr als 10 Suchaufträge benötigt, muss er warten, bis ein In Bearbeitungsauftrag einen Suchauftrag beendet oder gelöscht hat.

Dashboard für Suchaufträge

Der Suchauftrag Dashboard zeigt aktive und abgeschlossene Suchaufträge an. Für jeden Suchauftrag werden im Dashboard die folgenden Informationen angezeigt:

• Suchname: Der Name des Suchauftrags. Sie können den vollständigen Suchnamen für einen Auftrag anzeigen, indem Sie mit dem Mauszeiger auf den Namen des Suchauftrags zeigen.
• Auftrags-status: Die status des Suchauftrags. Die status können in der Warteschlange, In Bearbeitung oder Abgeschlossen sein.
• Status (%): Der Prozentsatz des Suchauftrags, den der Auftrag abgeschlossen hat.
• Suchzeit: Die Gesamtlaufzeit, die zum Abschließen des Suchauftrags verstrichen ist.
• Gesamtergebnisse: Die Gesamtanzahl der Ergebnisse, die der Suchauftrag zurückgibt.
• Erstellungszeit: Das Datum und die Uhrzeit der Erstellung des Suchauftrags in UTC.
• Suche durchgeführt von: Das Benutzerkonto, das den Suchauftrag erstellt.

Löschen Sie Suchaufträge, indem Sie den Auftrag und dann auf der Befehlsleiste Löschen auswählen. Durch das Löschen eines Suchauftrags werden die back-End-Daten, die der Suche zugeordnet sind, nicht gelöscht. Es löscht nur die Suchauftragsdefinition und das zugehörige Suchergebnis.

Um die Suchkriterien für einen vorhandenen Suchauftrag zu kopieren, wählen Sie den Auftrag aus, und klicken Sie dann auf der Befehlsleiste auf Diese Suche kopieren . Die Suchkriterien werden auf die Suchseite kopiert, und Sie können die Suchkriterien nach Bedarf für eine neue Suche ändern.

Auftragsdetails Dashboard suchen

Um Details zu einem Suchauftrag anzuzeigen, wählen Sie den Suchauftrag aus. Die Dashboard zeigt die Gesamtanzahl der Elemente im Auftrag oben an. Die Gesamtergebniszahl entfernt Duplikate, sodass sie möglicherweise kleiner als die Anzahl der Elemente im Suchauftrag Dashboard.

Die Details des Suchauftrags Dashboard zeigt die folgenden Informationen zu den einzelnen Elementen an, die in den Suchergebnissen gesammelt wurden:

• Datum (UTC): Das Datum und die Uhrzeit der Aktivität.
• IP-Adresse: Die IP-Adresse des Geräts, das zum Ausführen der Aktivität verwendet wurde.
• Benutzer: Das Benutzerkonto, das die Aktivität ausgeführt hat.
• Datensatztyp: Der datensatztyp, der der Aktivität zugeordnet ist.
• Aktivität: Der Anzeigename der aktivität, die ausgeführt wurde.
• Element: Der Name der Datei, des Ordners oder der Website, für die die Aktivität ausgeführt wurde.
• Admin Units: Die Administratoreinheit, zu der das Benutzerkonto gehört, das die Aktivität ausgeführt hat.
• Details: Zusätzliche Details zur Aktivität.

Sie können die Suchauftragselemente mithilfe der Spaltenüberschriften sortieren oder mithilfe des Filterbereichs einen benutzerdefinierten Filter erstellen. Verwenden Sie den Filter, um die Suchauftragselemente nach bestimmten Werten für jedes der Dashboard Spaltenkriterien zu filtern. Um alle Suchauftragselemente in eine .csv Datei zu exportieren, wählen Sie auf der Befehlsleiste Exportieren aus. Der Export unterstützt Ergebnisse von bis zu 50 KB für Audit (Standard) und bis zu 500 KB (500.000 Zeilen) für Audit (Premium).

Wählen Sie eine bestimmte Aktivität aus, um weitere Details zur Aktivität in einem Flyoutfenster anzuzeigen. Im Flyoutfenster werden die zusätzlichen Informationen zur Aktivität angezeigt.

Eingrenzen des Zugriffs auf Überwachungsprotokolle mithilfe von Verwaltungseinheiten

Der Zugriff zum Durchsuchen des Überwachungsprotokolls basiert auf den Verwaltungseinheiten , die dem Benutzer im Microsoft Purview-Portal zugewiesen sind. Ein eingeschränkter Administrator kann nur im Bereich der zugewiesenen Verwaltungseinheiten benutzergenerierte Überwachungsprotokolle durchsuchen und exportieren. Ein uneingeschränkter Administrator hat Zugriff auf alle Überwachungsprotokolle, einschließlich der Protokolle, die von Nichtbenutzer- und Systemkonten generiert wurden. Verwenden Sie das Cmdlet Search-UnifiedAuditLog , um von einem beliebigen Microsoft-Dienst aus auf bereichsbezogene Aktivitätsprotokolle zuzugreifen, einschließlich der Aktivitätsprotokolle des Exchange-Postfachs.

Nur uneingeschränkte Administratoren können über Suchabfragen auf die folgenden Überwachungsaktivitäten zugreifen. Wir arbeiten daran, sicherzustellen, dass auf diese Protokolle zugegriffen werden kann, wenn sie von einem eingeschränkten Administrator abgefragt werden. Um eine vollständige Liste der Überwachungsprotokolle für diese Aktivitäten anzuzeigen, senden Sie eine Suchanforderung mit einem uneingeschränkten Administratorkonto.

Weitere Informationen zu Verwaltungseinheiten finden Sie unter Berechtigungen im Microsoft Purview-Portal.