감사 로그를 검색하고 검색 결과를 쉼표로 구분된 값(.csv) 파일로 다운로드하면 파일에 AuditData라는 열이 포함됩니다. 이 열에는 각 이벤트에 대한 추가 정보가 있습니다. 이 열의 데이터는 JSON 개체로 서식이 지정됩니다. 이 개체에는 쉼표로 구분된 property:value 쌍으로 표시되는 여러 속성이 포함되어 있습니다. Excel의 Power Query 편집기 JSON 변환 기능을 사용하여 AuditData 열의 JSON 개체에 있는 각 속성을 여러 열로 분할하여 각 속성에 고유한 열이 있도록 할 수 있습니다. 이 기능을 사용하면 이러한 속성 중 하나 이상을 정렬하고 필터링할 수 있으므로 원하는 특정 감사 데이터를 빠르게 찾을 수 있습니다.
1단계: 감사 로그 검색 결과 내보내기
중요
내보내기 프로세스가 올바르게 작동하려면 Azure Front Door 도메인(azurefd.net)이 네트워크 방화벽에 의해 차단되지 않았는지 확인합니다.
감사(Standard)를 사용하는 경우 단일 감사 검색 쿼리에서 최대 50,000개 레코드를 .csv 파일로 내보낼 수 있습니다. 감사(프리미엄)의 경우 내보내기 제한이 100,000개의 레코드로 증가합니다. 감사 검색 쿼리에서 반환된 결과 수가 이러한 제한을 초과하는 경우 내보낸 .csv 파일에는 모든 결과가 포함되지 않으며 일부 감사 로그를 생략할 수 있습니다. 전체 데이터 내보내기를 보장하려면 다음 권장 사항을 고려하세요.
- 날짜 범위를 좁히거나 UserId, Operation 등과 같은 다른 필터를 적용하여 검색 쿼리의 scope 구체화합니다.
- 더 작고 분할된 날짜 범위로 여러 검색을 수행하여 모든 관련 감사 로그를 캡처합니다.
이 방법을 사용하면 내보내기 제한의 제약 조건 내에서 감사 데이터를 포괄적으로 적용할 수 있습니다.
감사 로그를 검색하고 .csv 파일의 결과를 로컬 컴퓨터로 내보내려면 다음 단계를 완료합니다.
감사 로그 검색을 실행하고 필요한 경우 원하는 결과가 있을 때까지 검색 조건을 수정합니다.
검색 결과 페이지에서 내보내기를 선택합니다.
이 옵션은 1단계에서 실행한 감사 로그 검색에서 모든 감사 레코드를 내보냅니다. 감사 로그의 원시 데이터를 .csv 파일에 추가합니다. 대용량 검색을 위해 다운로드 파일을 준비하는 데 시간이 걸립니다. 대용량 파일은 모든 활동을 검색하거나 넓은 날짜 범위를 사용할 때 발생합니다.
내보내기 프로세스가 완료되면 창 맨 위에 .csv 파일을 열고 로컬 컴퓨터에 저장하라는 메시지가 표시됩니다. 이 메시지를 보려면 페이지를 새로 고쳐야 할 수 있습니다. 다운로드 폴더의 .csv 파일에 액세스할 수도 있습니다 .
2단계: 파워 쿼리 편집기를 사용하여 내보낸 감사 로그 서식 지정
이 단계에서는 Excel의 Power Query 편집기 JSON 변환 기능을 사용하여 AuditData 열의 JSON 개체에 있는 각 속성을 자체 열로 분할합니다. 그런 다음 열을 필터링하여 특정 속성 값에 따라 레코드를 봅니다. 이 프로세스를 통해 원하는 특정 감사 데이터를 빠르게 찾을 수 있습니다.
Microsoft 365용 Excel, Excel 2019 또는 Excel 2016 빈 통합 문서를 엽니다.
데이터 탭의 데이터 변환 & 가져오기 리본 그룹에서 텍스트/CSV에서를 선택합니다.
1단계에서 다운로드한 .csv 파일을 엽니다.
표시되는 창에서 데이터 변환 을 선택합니다.
쿼리 편집기 .csv 파일을 엽니다. CreationDate, UserIds, Operations 및 AuditData의 네 개의 열이 표시됩니다. AuditData 열은 여러 속성을 포함하는 JSON 개체입니다. JSON 개체의 각 속성에 대한 열을 만들어야 합니다.
AuditData 열에서 제목을 마우스 오른쪽 버튼으로 클릭하고 변환을 선택한 다음 JSON을 선택합니다.
AuditData 열의 오른쪽 위 모서리에서 확장 아이콘을 선택합니다.
AuditData 열의 JSON 개체에 속성의 일부 목록이 표시됩니다.
추가 로드를 선택하여 AuditData 열의 JSON 개체에 있는 모든 속성을 표시합니다.
포함하지 않으려는 속성 옆에 있는 검사 상자를 지울 수 있습니다. 조사에 유용하지 않은 열을 제거하는 것은 감사 로그에 표시되는 데이터의 양을 줄이는 좋은 방법입니다.
참고
이전 스크린샷에 표시된 JSON 속성( 추가 로드를 선택한 후)은 .csv 파일의 처음 1,000개 행에서 AuditData 열에 있는 속성을 기반으로 합니다. 처음 1,000개 행 이후 레코드에 다른 JSON 속성이 있는 경우 AuditData 열을 여러 열로 분할할 때 이러한 속성(및 해당 열)이 표시되지 않습니다. 이 문제를 방지하려면 감사 로그 검색을 다시 실행하고 더 적은 수의 레코드가 반환되도록 검색 조건을 좁히는 것이 좋습니다. 또 다른 해결 방법은 AuditData 열에서 JSON 개체를 변환하기 전에 5단계를 수행하기 전에 행 수를 줄이기 위해 Operations 열의 항목을 필터링하는 것입니다.
팁
AuditData.AffectedItems와 같은 목록 내에서 특성을 보려면 특성을 끌어오려는 열의 오른쪽 위 모서리에 있는 확장 아이콘을 선택한 다음 새 행으로 확장을 선택합니다. 여기에서 레코드가 있고 열의 오른쪽 위 모서리에 있는 확장 아이콘을 선택하고, 특성을 보고, 보거나 추출할 특성을 선택할 수 있습니다.
선택한 각 JSON 속성에 대해 추가하는 열의 제목에 서식을 지정하려면 다음 중 하나를 수행합니다.
- 원래 열 이름을 접두사로 사용 검사 상자에서 JSON 속성의 이름을 열 이름으로 사용합니다(예: RecordType 또는 SourceFileName).
- AuditData.RecordType 또는 AuditData.SourceFileName과 같은 열 이름에 AuditData 접두사를 추가하려면 원래 열 이름을 접두사 검사 사용 상자를 선택한 상태로 둡니다.
확인을 선택합니다.
AuditData 열을 여러 열로 분할합니다. 각각의 새 열은 AuditData JSON 개체의 속성에 해당합니다. 열의 각 행에는 속성 값이 포함됩니다. 속성에 값이 없으면 null 값이 나타납니다. Excel에서 null 값이 있는 셀은 비어 있습니다.
홈 탭에서 & 로드 닫기를 선택하여 Power Query 편집기 닫고 Excel 통합 문서에서 변환된 .csv 파일을 엽니다.
PowerShell을 사용하여 감사 로그 레코드 검색 및 내보내기
Microsoft Purview 포털에서 감사 로그 검색 도구를 사용하는 대신 Exchange Online PowerShell의 Search-UnifiedAuditLog cmdlet을 사용하여 감사 로그 검색 결과를 .csv 파일로 내보낼 수 있습니다. 그런 다음 2단계에서 설명한 것과 동일한 절차에 따라 파워 쿼리 편집기를 사용하여 감사 로그의 형식을 지정할 수 있습니다. PowerShell cmdlet 사용의 한 가지 이점은 RecordType 매개 변수를 사용하여 특정 서비스에서 이벤트를 검색할 수 있다는 것입니다. 다음 예제에서는 PowerShell을 사용하여 감사 레코드를 .csv 파일로 내보내는 방법을 보여 줍니다. 따라서 2단계에 설명된 대로 Power Query 편집기를 사용하여 AuditData 열에서 JSON 개체를 변환할 수 있습니다.
다음 예제에서는 명령을 실행하여 SharePoint 공유 작업과 관련된 모든 레코드를 반환합니다.
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
검색 결과는 CreationDate, UserIds, RecordType, AuditData의 네 개의 열이 포함된 PowerShellAuditlog 라는 .csv 파일로 내보냅니다.
레코드 형식의 이름 또는 열거형 값을 사용할 수 있습니다. 레코드 유형 이름 및 해당 enum 값 목록은 Office 365 관리 활동 API 스키마의 AuditLogRecordType 표를 참조하세요.
RecordType 매개 변수에는 단일 값만 포함할 수 있습니다. 다른 레코드 형식에 대한 감사 레코드를 검색하려면 이전 두 명령을 다시 실행하여 다른 레코드 형식을 지정하고 해당 결과를 원래 .csv 파일에 추가합니다. 예를 들어 다음 두 명령을 실행하여 동일한 날짜 범위의 SharePoint 파일 활동을 PowerShellAuditlog.csv 파일에 추가합니다.
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
감사 로그 내보내기 및 보기에 대한 팁
다음은 JSON 변환 기능을 사용하여 AuditData 열을 여러 열로 분할하기 전과 후에 감사 로그를 내보내고 보는 몇 가지 팁과 예제입니다.
- RecordType 열을 필터링하여 특정 서비스 또는 기능 영역의 레코드만 표시합니다. 예를 들어 SharePoint 공유와 관련된 이벤트를 표시하려면 14 (SharePoint 공유 활동에 의해 트리거된 레코드의 열거형 값)를 선택합니다. RecordType 열에 표시된 enum 값에 해당하는 서비스 목록은 감사 로그의 세부 속성을 참조하세요.
- 작업 열을 필터링하여 특정 활동에 대한 레코드를 표시합니다. Microsoft Purview 포털의 감사 로그 검색 도구에서 검색 가능한 작업에 해당하는 대부분의 작업 목록은 감사 로그 검색의 "감사된 활동" 섹션을 참조하세요.