Partager via

Exporter, configurer et afficher des enregistrements du journal d’audit

Lorsque vous effectuez une recherche dans le journal d’audit et que vous téléchargez les résultats de la recherche dans un fichier de valeurs séparées par des virgules (.csv), le fichier contient une colonne nommée AuditData. Cette colonne contient des informations supplémentaires sur chaque événement. Les données de cette colonne sont mises en forme en tant qu’objet JSON. Cet objet contient plusieurs propriétés qui apparaissent sous forme de paires propriété :valeur séparées par des virgules. Vous pouvez utiliser la fonctionnalité de transformation JSON dans le Éditeur Power Query dans Excel pour fractionner chaque propriété de l’objet JSON de la colonne AuditData en plusieurs colonnes afin que chaque propriété ait sa propre colonne. Cette fonctionnalité vous permet de trier et de filtrer sur une ou plusieurs de ces propriétés, ce qui peut vous aider à localiser rapidement les données d’audit spécifiques que vous recherchez.

Étape 1 : Exporter les résultats de la recherche dans le journal d’audit

Importante

Pour que les processus d’exportation fonctionnent correctement, assurez-vous que le Azure domaine Front Door (azurefd.net) n’est pas bloqué par votre pare-feu réseau.

Lorsque vous utilisez Audit (Standard), vous pouvez exporter jusqu’à 50 000 enregistrements vers un fichier .csv à partir d’une seule requête de recherche d’audit. Pour Audit (Premium), la limite d’exportation passe à 100 000enregistrements. Si le nombre de résultats retournés par votre requête de recherche d’audit dépasse ces limites, le fichier .csv exporté n’inclut pas tous les résultats et peut omettre certains journaux d’audit. Pour garantir l’exportation complète des données, tenez compte des recommandations suivantes :

  1. Affinez l’étendue de votre requête de recherche en réduisant la plage de dates ou en appliquant d’autres filtres comme UserId, Operation, etc.
  2. Effectuez plusieurs recherches avec des plages de dates plus petites et segmentées pour capturer tous les journaux d’audit pertinents.

Cette approche permet de garantir une couverture complète des données d’audit dans les limites des limites d’exportation.

Pour effectuer une recherche dans le journal d’audit et exporter les résultats dans un fichier .csv vers votre ordinateur local, procédez comme suit :

  1. Exécutez une recherche dans les journaux d’audit et révisez les critères de recherche si nécessaire jusqu’à obtenir les résultats souhaités.

  2. Dans la page des résultats de la recherche, sélectionnez Exporter.

    Sélectionnez Exporter pour télécharger tous les résultats.

    Cette option exporte tous les enregistrements d’audit de la recherche dans le journal d’audit que vous avez exécutée à l’étape 1. Il ajoute les données brutes du journal d’audit à un fichier .csv. La préparation du fichier de téléchargement pour une recherche volumineuse prend un certain temps. Les fichiers volumineux résultent de la recherche de toutes les activités ou de l’utilisation d’une large plage de dates.

  3. Une fois le processus d’exportation terminé, un message s’affiche en haut de la fenêtre qui vous invite à ouvrir le fichier .csv et à l’enregistrer sur votre ordinateur local. Vous devrez peut-être actualiser la page pour voir ce message. Vous pouvez également accéder au fichier .csv dans le dossier Téléchargements .

Étape 2 : formater le journal d’audit exporté à l’aide de la Éditeur Power Query

Dans cette étape, vous utilisez la fonctionnalité de transformation JSON dans le Éditeur Power Query dans Excel pour fractionner chaque propriété de l’objet JSON de la colonne AuditData en sa propre colonne. Ensuite, vous filtrez les colonnes pour afficher les enregistrements en fonction des valeurs de propriétés spécifiques. Ce processus vous permet de localiser rapidement les données d’audit spécifiques que vous recherchez.

  1. Ouvrez un classeur vide dans Excel pour Microsoft 365, Excel 2019 ou Excel 2016.

  2. Sous l’onglet Données , dans le groupe de ruban Obtenir & Transformer des données , sélectionnez À partir du texte/CSV.

    Sous l’onglet Données, cliquez sur À partir du texte/.csv.

  3. Ouvrez le fichier .csv que vous avez téléchargé à l’étape 1.

  4. Sélectionnez Transformer les données dans la fenêtre qui s’affiche.

    Sélectionnez Transformer les données.

    Le Éditeur de requête ouvre le fichier .csv. Vous voyez quatre colonnes : CreationDate, UserIds, Operations et AuditData. La colonne AuditData est un objet JSON qui contient plusieurs propriétés. Vous devez créer une colonne pour chaque propriété dans l’objet JSON.

  5. Cliquez avec le bouton droit sur le titre dans la colonne AuditData , sélectionnez Transformer, puis JSON.

    Cliquez avec le bouton droit sur la colonne AuditData, cliquez sur Transformer, puis sélectionnez JSON.

  6. Sélectionnez l’icône développer dans le coin supérieur droit de la colonne AuditData .

    Dans la colonne AuditData, cliquez sur l’icône développer.

    Vous voyez une liste partielle des propriétés dans les objets JSON dans la colonne AuditData .

  7. Sélectionnez Charger plus de pour afficher toutes les propriétés des objets JSON dans la colonne AuditData.

    Sélectionnez Charger plus pour afficher toutes les propriétés dans l’objet JSON.

    Vous pouvez décochez la case case activée en regard de toute propriété que vous ne souhaitez pas inclure. L’élimination des colonnes qui ne sont pas utiles pour votre investigation est un bon moyen de réduire la quantité de données affichées dans le journal d’audit.

    Remarque

    Les propriétés JSON affichées dans la capture d’écran précédente (après avoir sélectionné Charger plus) sont basées sur les propriétés trouvées dans la colonne AuditData des 1 000 premières lignes du fichier .csv. Si des propriétés JSON différentes existent dans les enregistrements après les 1 000 premières lignes, ces propriétés (et une colonne correspondante) n’apparaissent pas lorsque vous fractionnez la colonne AuditData en plusieurs colonnes. Pour éviter ce problème, envisagez de réexécuter la recherche dans les journaux d’audit et d’affiner les critères de recherche afin que moins d’enregistrements soient retournés. Une autre solution de contournement consiste à filtrer les éléments de la colonne Opérations afin de réduire le nombre de lignes (avant d’effectuer l’étape 5) avant de transformer l’objet JSON dans la colonne AuditData .

    Conseil

    Pour afficher un attribut dans une liste telle que AuditData.AffectedItems, sélectionnez l’icône Développer dans le coin supérieur droit de la colonne à partir de laquelle vous souhaitez extraire un attribut, puis sélectionnez Développer vers une nouvelle ligne. À partir de là, il s’agit d’un enregistrement et vous pouvez sélectionner l’icône Développer dans le coin supérieur droit de la colonne, afficher les attributs et sélectionner celui que vous souhaitez afficher ou extraire.

  8. Effectuez l’une des opérations suivantes pour mettre en forme le titre des colonnes que vous ajoutez pour chaque propriété JSON que vous sélectionnez.

    • Désactivez la zone Utiliser le nom de colonne d’origine comme préfixe case activée pour utiliser le nom de la propriété JSON comme noms de colonne, par exemple RecordType ou SourceFileName.
    • Laissez la zone Utiliser le nom de colonne d’origine comme préfixe case activée sélectionnée pour ajouter le préfixe AuditData aux noms de colonne, par exemple AuditData.RecordType ou AuditData.SourceFileName.

  9. Sélectionnez OK.

    Vous fractionnez la colonne AuditData en plusieurs colonnes. Chaque nouvelle colonne correspond à une propriété dans l’objet JSON AuditData. Chaque ligne de la colonne contient la valeur de la propriété . Si la propriété ne contient pas de valeur, la valeur Null s’affiche. Dans Excel, les cellules avec des valeurs Null sont vides.

  10. Sous l’onglet Accueil, sélectionnez Fermer & Charger pour fermer le Éditeur Power Query et ouvrir le fichier .csv transformé dans un classeur Excel.

Utiliser PowerShell pour rechercher et exporter des enregistrements de journal d’audit

Au lieu d’utiliser l’outil de recherche de journal d’audit dans le portail Microsoft Purview, vous pouvez utiliser l’applet de commande Search-UnifiedAuditLog dans Exchange Online PowerShell pour exporter les résultats d’une recherche dans le journal d’audit vers un fichier .csv. Vous pouvez ensuite suivre la procédure décrite à l’étape 2 pour mettre en forme le journal d’audit à l’aide de l’éditeur Power Query. L’un des avantages de l’utilisation de l’applet de commande PowerShell est que vous pouvez rechercher des événements à partir d’un service spécifique à l’aide du paramètre RecordType . Les exemples suivants montrent comment utiliser PowerShell pour exporter des enregistrements d’audit vers un fichier .csv afin que vous puissiez utiliser l’éditeur de Power Query pour transformer l’objet JSON dans la colonne AuditData, comme décrit à l’étape 2.

Dans l’exemple suivant, exécutez les commandes pour retourner tous les enregistrements liés aux opérations de partage SharePoint.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Les résultats de la recherche sont exportés vers un fichier .csv nommé PowerShellAuditlog qui contient quatre colonnes : CreationDate, UserIds, RecordType, AuditData.

Vous pouvez utiliser le nom ou la valeur d’énumération pour le type d’enregistrement. Pour obtenir la liste des noms de types d’enregistrement et leurs valeurs d’énumération correspondantes, consultez la table AuditLogRecordType dans Office 365 schéma de l’API Activité de gestion.

Vous ne pouvez inclure qu’une seule valeur pour le paramètre RecordType . Pour rechercher des enregistrements d’audit pour d’autres types d’enregistrements, réexécutez les deux commandes précédentes pour spécifier un type d’enregistrement différent et ajoutez ces résultats au fichier .csv d’origine. Par exemple, exécutez les deux commandes suivantes pour ajouter des activités de fichier SharePoint de la même plage de dates au fichier PowerShellAuditlog.csv.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Conseils pour l’exportation et l’affichage du journal d’audit

Voici quelques conseils et exemples d’exportation et d’affichage du journal d’audit avant et après l’utilisation de la fonctionnalité de transformation JSON pour fractionner la colonne AuditData en plusieurs colonnes.

  • Filtrez la colonne RecordType pour afficher uniquement les enregistrements d’un service ou d’une zone fonctionnelle spécifique. Par exemple, pour afficher les événements liés au partage SharePoint, sélectionnez 14 (valeur d’énumération pour les enregistrements déclenchés par les activités de partage SharePoint). Pour obtenir la liste des services qui correspondent aux valeurs d’énumération affichées dans la colonne RecordType , consultez Propriétés détaillées dans le journal d’audit.
  • Filtrez la colonne Opérations pour afficher les enregistrements pour des activités spécifiques. Pour obtenir la liste de la plupart des opérations qui correspondent à une activité pouvant faire l’objet d’une recherche dans l’outil de recherche dans les journaux d’audit du portail Microsoft Purview, consultez la section « Activités auditées » dans Rechercher dans le journal d’audit.
  • Last updated on