Esportare, configurare e visualizzare i record del log di controllo

Dopo aver eseguito una ricerca nel log di controllo e aver scaricato i risultati della ricerca in un file CSV, il file contiene una colonna denominata AuditData, che contiene informazioni aggiuntive su ogni evento. I dati in questa colonna sono formattati come oggetto JSON, che contiene più proprietà configurate come coppie proprietà:valore separate da virgole. È possibile usare la funzionalità di trasformazione JSON nel editor di Power Query in Excel per suddividere ogni proprietà nell'oggetto JSON nella colonna AuditData in più colonne in modo che ogni proprietà abbia una propria colonna. In questo modo è possibile ordinare e filtrare in base a una o più di queste proprietà, che consentono di individuare rapidamente i dati di controllo specifici che si sta cercando.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Passaggio 1: Esportare i risultati della ricerca nel log di controllo

Il primo passaggio consiste nel cercare nel log di controllo e quindi esportare i risultati in un file con valori delimitati da virgole (CSV) nel computer locale.

  1. Eseguire una ricerca nel log di controllo e modificare i criteri di ricerca, se necessario, fino a ottenere i risultati desiderati.

  2. Nella pagina dei risultati della ricerca selezionare Esporta.

    Fare clic su Scarica tutti i risultati.

    Questa opzione esporta tutti i record di controllo dalla ricerca nel log di controllo eseguita nel passaggio 1 e aggiunge i dati non elaborati dal log di controllo a un file CSV. Ci vuole un po' di tempo per preparare il file di download per una ricerca di grandi dimensioni. Risultati di file di grandi dimensioni durante la ricerca di tutte le attività o l'uso di un intervallo di date ampio.

  3. Al termine del processo di esportazione, nella parte superiore della finestra viene visualizzato un messaggio che richiede di aprire il file CSV e salvarlo nel computer locale. È anche possibile accedere al file CSV nella cartella Download.

    Nota

    È possibile scaricare al massimo 50.000 voci in un file CSV da una singola ricerca nel log di controllo. Se vengono scaricate 50.000 voci nel file CSV, è probabile che ci siano più di 50.000 eventi che soddisfano i criteri di ricerca. Per esportare più di questo limite, provare a utilizzare un intervallo di date più ristretto per ridurre il numero di record del registro di audit. Potrebbe essere necessario eseguire più ricerche con intervalli di date più piccoli per esportare più di 50.000 voci.

Passaggio 2: Formattare il log di controllo esportato usando il editor di Power Query

Il passaggio successivo consiste nell'usare la funzionalità di trasformazione JSON nel editor di Power Query in Excel per suddividere ogni proprietà nell'oggetto JSON nella colonna AuditData nella relativa colonna. Filtrare quindi le colonne per visualizzare i record in base ai valori di proprietà specifiche. Ciò consente di individuare rapidamente i dati di controllo specifici che si stanno cercando.

  1. Aprire una cartella di lavoro vuota in Excel per Office 365, Excel 2019 o Excel 2016.

  2. Nel gruppo della barra multifunzione Recupera & Trasforma dati della scheda Dati selezionare Da testo/CSV.

    Nella scheda Dati fare clic su Da testo/CSV.

  3. Aprire il file CSV scaricato al passaggio 1.

  4. Nella finestra visualizzata selezionare Trasforma dati.

    Fare clic su Trasforma dati.

    Il file CSV viene aperto nel Editor di query. Sono disponibili quattro colonne: CreationDate, UserIds, Operations e AuditData. La colonna AuditData è un oggetto JSON che contiene più proprietà. Il passaggio successivo consiste nel creare una colonna per ogni proprietà nell'oggetto JSON.

  5. Fare clic con il pulsante destro del mouse sul titolo nella colonna AuditData, scegliere Trasforma e quindi selezionare JSON.

    Fare clic con il pulsante destro del mouse sulla colonna AuditData, scegliere Trasforma e quindi selezionare JSON.

  6. Nell'angolo superiore destro della colonna AuditData selezionare l'icona di espansione.

    Nella colonna AuditData fare clic sull'icona di espansione.

    Viene visualizzato un elenco parziale delle proprietà negli oggetti JSON nella colonna AuditData .

  7. Selezionare Carica altro per visualizzare tutte le proprietà negli oggetti JSON nella colonna AuditData.

    Fare clic su Carica altro per visualizzare tutte le proprietà nell'oggetto JSON.

    È possibile deselezionare la casella di controllo accanto a qualsiasi proprietà che non si desidera includere. L'eliminazione delle colonne non utili per l'indagine è un buon modo per ridurre la quantità di dati visualizzati nel log di controllo.

    Nota

    Le proprietà JSON visualizzate nello screenshot precedente (dopo aver fatto clic su Carica altro) si basano sulle proprietà presenti nella colonna AuditData delle prime 1.000 righe nel file CSV. Se nei record sono presenti proprietà JSON diverse dopo le prime 1.000 righe, queste proprietà (e una colonna corrispondente) non verranno incluse quando la colonna AuditData viene suddivisa in più colonne. Per evitare questo errore, è consigliabile eseguire di nuovo la ricerca nel log di controllo e limitare i criteri di ricerca in modo che vengano restituiti meno record. Un'altra soluzione alternativa consiste nel filtrare gli elementi nella colonna Operazioni per ridurre il numero di righe (prima del passaggio 5 precedente) prima di trasformare l'oggetto JSON nella colonna AuditData.

    Consiglio

    Per visualizzare un attributo all'interno di un elenco, ad esempio AuditData.AffectedItems, fare clic sull'icona Espandi nell'angolo superiore destro della colonna da cui si vuole eseguire il pull di un attributo e quindi selezionare Espandi in nuova riga. Da qui sarà un record ed è possibile fare clic sull'icona Espandi nell'angolo superiore destro della colonna, visualizzare gli attributi e selezionare quello che si vuole visualizzare o estrarre.

  8. Eseguire una delle operazioni seguenti per formattare il titolo delle colonne aggiunte per ogni proprietà JSON selezionata.

    • Deselezionare la casella di controllo Usa nome colonna originale come prefisso per usare il nome della proprietà JSON come nomi di colonna; ad esempio RecordType o SourceFileName.
    • Lasciare selezionata la casella di controllo Usa nome colonna originale come prefisso per aggiungere il prefisso AuditData ai nomi di colonna. Ad esempio, AuditData.RecordType o AuditData.SourceFileName.
  9. Selezionare OK.

    La colonna AuditData viene suddivisa in più colonne. Ogni nuova colonna corrisponde a una proprietà nell'oggetto JSON AuditData. Ogni riga della colonna contiene il valore della proprietà. Se la proprietà non contiene un valore, viene visualizzato il valore Null. In Excel le celle con valori Null sono vuote.

  10. Nella scheda Home selezionare Chiudi & Carica per chiudere il editor di Power Query e aprire il file CSV trasformato in una cartella di lavoro di Excel.

Usare PowerShell per cercare ed esportare i record del registro di audit

Anziché usare lo strumento di ricerca del log di controllo nel portale di Microsoft Purview o nel Portale di conformità di Microsoft Purview, è possibile usare il cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell per esportare i risultati di una ricerca nel log di controllo in un file CSV. Poi si può seguire la stessa procedura descritta al punto 2 per formattare il registro di audit usando l'editor di Power Query. Un vantaggio dell'uso del cmdlet di PowerShell consiste nel fatto che è possibile cercare eventi da un servizio specifico usando il parametro RecordType. Di seguito sono riportati alcuni esempi di utilizzo di PowerShell per esportare i record di controllo in un file CSV in modo da poter usare l'editor Power Query per trasformare l'oggetto JSON nella colonna AuditData, come descritto nel passaggio 2.

In questo esempio, eseguire i seguenti comandi per restituire tutti i record relativi alle operazioni di condivisione di SharePoint.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

I risultati della ricerca vengono esportati in un file CSV denominato PowerShellAuditlog che contiene quattro colonne: CreationDate, UserIds, RecordType, AuditData.

È anche possibile usare il nome o il valore dell'enumerazione per il tipo di record come valore per il parametro RecordType. Per un elenco dei nomi dei tipi di record e dei relativi valori di enumerazione corrispondenti, vedere la tabella AuditLogRecordType nello schema dell'API Attività di gestione Office 365.

È possibile includere solo un singolo valore per il parametro RecordType. Per cercare record di controllo per altri tipi di record, è necessario eseguire di nuovo i due comandi precedenti per specificare un tipo di record diverso e aggiungere tali risultati al file CSV originale. Ad esempio, si eseguono i due comandi seguenti per aggiungere al file PowerShellAuditlog.csv le attività dei file SharePoint dello stesso intervallo di date.

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Suggerimenti per l'esportazione e la visualizzazione del log di controllo

Ecco alcuni suggerimenti ed esempi relativi all'esportazione e alla visualizzazione del log di controllo prima e dopo l'uso della funzionalità di trasformazione JSON per suddividere la colonna AuditData in più colonne.

  • Filtrare la colonna RecordType per visualizzare solo i record di un servizio o di un'area funzionale specifica. Ad esempio, per visualizzare gli eventi correlati alla condivisione di SharePoint, è necessario selezionare 14 (il valore di enumerazione per i record attivati dalle attività di condivisione di SharePoint). Per un elenco dei servizi che corrispondono ai valori di enumerazione visualizzati nella colonna RecordType , vedere Proprietà dettagliate nel log di controllo.
  • Filtrare la colonna Operazioni per visualizzare i record per attività specifiche. Per un elenco della maggior parte delle operazioni che corrispondono a un'attività ricercabile nello strumento di ricerca del log di controllo nel portale di Microsoft Purview o nel portale di conformità, vedere la sezione "Attività controllate" in Search log di controllo.