共用方式為

檢視監管人稽核活動

重要事項

經典的電子檔探索體驗已 於 2025 年 8 月 31 日淘汰。 此淘汰包括傳統內容搜尋、傳統電子檔探索 (Standard) ,以及傳統電子檔探索 (進階) 。 這些選項無法作為 Microsoft Purview 入口網站中的體驗選項使用。

除非您在針對特定短期轉換案例使用這些舊版功能時直接與 Microsoft 合作,否則請使用 Microsoft Purview 入口網站新電子檔探索體驗的指引。

需要了解是否有使用者已檢視特定文件或清除信箱中的項目嗎? Microsoft Purview 電子文件探索 (Premium) 現在已與 Microsoft Purview 入口網站中現有的稽核記錄搜尋工具整合。 使用此內嵌體驗,您可以使用電子檔探索 (進階) 監管人管理工具,輕鬆存取和搜尋案例中監管人的活動,以協助您的調查。

取得權限

您必須在 Exchange Online 中獲指派 [僅檢視稽核記錄] 或 [稽核記錄] 角色,才能搜尋或匯出稽核記錄。 根據預設,這些角色會指派給 Exchange 系統管理中心 [許可權] 頁面上的 [合規性管理] 和 [組織管理] 角色群組。 若要讓使用者能夠以最低層級的許可權搜尋電子檔探索 (進階) 稽核記錄,您可以在Exchange Online中建立自定義角色群組、新增 [僅檢視稽核記錄] 或 [稽核記錄] 角色,然後將使用者新增為新角色群組的成員。 如需詳細資訊,請參閱管理 Exchange Online 中的角色群組。

重要事項

如果您在 Microsoft Purview 入口網站的 [許可權] 頁面上為使用者指派 [ 僅檢視稽核記錄 ] 或 [稽核記錄 ] 角色,他們將無法搜尋或匯出稽核記錄。 您必須在 Exchange Online 中指派權限。 這是因為用來搜尋稽核記錄的基礎 Cmdlet 是 Exchange Online Cmdlet。

步驟 1:搜尋稽核記錄,以取得監管人所執行的活動

  1. 移至 電子檔探索 > 電子檔探索 (進階) ,然後開啟案例。

  2. 選取 [來源] 索引標籤。

  3. 在 [ 監管人 ] 頁面上,從清單中選取監管人,然後在飛出視窗頁面上選取 [ 檢視監管人活動 ]。

    「託管人活動」搜尋頁面隨即顯示。 請注意,您在上一個步驟中選取的保管人會顯示在 「保管人 」下拉式方塊中。 您可以在下拉式方塊中選取不同的保管人,但一次只能搜尋一個保管人的活動。

    監管人活動搜尋頁面。

  4. 設定下列搜尋準則:

    1. 活動 - 選取下拉式清單以顯示您可以搜尋的活動。 執行搜尋後,系統只會顯示所選活動的稽核記錄。 選取 [ 顯示所有活動的結果 ] 將顯示監管人執行之符合其他搜尋準則之所有活動的結果。

      活動清單。

    2. 開始日期和結束日期 - 選取日期和時間範圍,以顯示該期間內發生的事件。 根據預設會選取過去七天。 日期和時間以國際標準時間 (UTC) 格式表示。 您可以指定的日期範圍上限為一年。

    3. 監管人 - 在此方塊中選取,然後選取要顯示搜尋結果的特定監管人。 結果清單會顯示您在此方塊中選取的使用者所執行的選定活動之稽核記錄。

  5. 選取 搜尋按鈕。 以使用搜尋條件執行搜尋。 搜尋結果隨即載入,片刻之後,它們會顯示在「保管人活動」搜尋頁面上的「結果」下。

步驟 2:檢視稽核記錄搜尋結果

稽核記錄搜尋的結果會顯示在「保管人稽核記錄」頁面上的「結果」下。 最多顯示 5,000 個 (最新) 事件,以 150 個事件為增量。 若要顯示更多事件,您可以使用 [結果] 窗格中的捲軸,也可以按 Shift + End 來顯示接下來的 150 個事件。

結果會包含搜尋所傳回之每個事件的下列相關資訊。

  • 日期:事件發生時的日期和時間 (以 UTC 格式顯示)。
  • IP 位址:記錄活動時所使用的裝置之 IP 位址。 IP 位址會以 IPv4 或 IPv6 位址格式顯示。
  • 使用者:執行動作並觸發事件的使用者 (或服務帳戶)。
  • 活動:使用者執行的活動。 這個值對應您在 [活動] 下拉式清單中選取的活動。 若是來自 Exchange 系統管理員稽核記錄的事件,此欄中的這個值則是 Exchange Cmdlet。
  • 項目:已建立或修改為對應活動結果的物件。 例如,已檢視或修改的檔案或已更新的使用者帳戶。 並非所有活動在此資料行中都具有值。
  • 詳細資料:有關活動的其他詳細資料。 同樣地,並非所有活動都會有值。

步驟 3:篩選搜尋結果

除了排序,您也可以篩選稽核記錄搜尋的結果。 這可協助您快速篩選特定使用者或活動的結果。

若要篩選結果:

  1. 建立並執行稽核記錄搜尋。

  2. 顯示結果時,選取 [篩選結果]。

  3. 關鍵字方塊隨即顯示在每個欄標頭底下。

  4. 選取欄標頭下的其中一個方塊,然後輸入單字或片語,視您要篩選的資料欄而定。 結果將動態重新調整為顯示與您的篩選相符之事件。

  5. 若要清除篩選器,請選取篩選方塊中的 [X],或只選取 [隱藏篩選]。

將搜尋結果匯出至檔案

您可以在本機電腦上將稽核記錄搜尋結果匯出為 CSV) 檔案 (逗號分隔值。 您可以在 Microsoft Excel 中開啟此文件,並使用搜尋、排序、過濾和分割包含多值儲存格) 多列的單一列 (等功能。

  1. 執行稽核記錄搜尋,然後修改搜尋準則,直到您獲得想要的結果為止。

  2. 選取 匯出結果 ,然後選取下列其中一個選項:

    • 儲存載入的結果:選擇此選項可僅匯出「保管人稽核記錄搜尋」頁面上「結果」下顯示的項目。 下載的 CSV 檔案會包含與頁面上顯示相同的欄 (及資料) (日期、使用者、活動、項目及詳細資料)。 CSV 檔案中包含標題 為「更多) 」 (其他直欄,其中包含稽核記錄項目的詳細資訊。 因為您正在匯出 [稽核記錄搜尋] 頁面上所載入的相同結果 (且可檢視),因此最多可匯出 5,000 個項目。

    • 下載所有結果: 選擇此選項可從稽核記錄中匯出符合搜尋準則的所有項目。 對於一組大型搜尋結果,請選擇此選項,以從稽核記錄下載所有項目,以及可顯示在 「保管人稽核記錄 」搜尋頁面上的 5,000 個結果。 此選項會將原始資料從稽核記錄下載到 CSV 檔案,並在名為 AuditData 的資料行中包含稽核記錄專案的其他資訊。 如果您選擇此匯出選項,下載檔案可能需要較久的時間。這是因為如果您選擇其他選項,檔案可能會遠大於下載的檔案。

      重要事項

      您可以從單一稽核記錄搜尋下載最多 50,000 個項目至 CSV 檔案。 如果已下載 50,000 個項目至 CSV 檔案,您可能可以假設有超過 50,000 個符合搜尋準則的事件。 若要匯出的內容超過此限制,請嘗試使用日期範圍來縮小稽核記錄項目的數量。 您可能需要使用較小的日期範圍執行多次搜尋,以匯出 50,000 個以上的項目。

  3. 選取匯出選項之後,視窗底部會顯示一則訊息,提示您開啟 CSV 檔案、將它儲存至 [下載] 資料夾,或將它儲存至特定資料夾

如需檢視、篩選或匯出稽核記錄搜尋結果的詳細資訊,請參閱 搜尋稽核記錄

  • Last updated on