Exportar, configurar e exibir registros de log de auditoria
Depois de pesquisar o log de auditoria e baixar os resultados da pesquisa em um arquivo CSV, o arquivo contém uma coluna chamada AuditData, que contém informações adicionais sobre cada evento. Os dados nessa coluna são formatados como um objeto JSON, que contém várias propriedades configuradas como pares property:value separados por vírgulas. Você pode usar o recurso de transformação JSON no Editor do Power Query no Excel para dividir cada propriedade no objeto JSON na coluna AuditData em várias colunas para que cada propriedade tenha sua própria coluna. Isso permite classificar e filtrar em uma ou mais dessas propriedades, o que pode ajudá-lo a localizar rapidamente os dados de auditoria específicos que você está procurando.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Etapa 1: Exportar resultados da pesquisa do log de auditoria
A primeira etapa é pesquisar o log de auditoria e, em seguida, exportar os resultados para o seu computador local em um arquivo CSV (valores separados por vírgula).
Execute uma pesquisa de log de auditoria e revise os critérios de pesquisa, se necessário, até que você tenha os resultados desejados.
Na página de resultados da pesquisa, selecione Exportar.
Essa opção exporta todos os registros de auditoria da pesquisa de log de auditoria que você executou na etapa 1 e adiciona os dados brutos do log de auditoria a um arquivo CSV. Pode demorar um pouco para preparar o arquivo de download de uma pesquisa grande. Os arquivos grandes resultam ao pesquisar todas as atividades ou usar um amplo intervalo de datas.
Depois de concluir o processo de exportação, uma mensagem é exibida na parte superior da janela que solicita que você abra o arquivo CSV e salve-o no seu computador local. Você também pode acessar o arquivo CSV na pasta Downloads.
Observação
É possível baixar no máximo 50 mil entradas para um arquivo CSV de uma única pesquisa de logs de auditoria. Se 50 mil entradas forem baixadas para o arquivo CSV, você poderá supor que existem provavelmente mais de 50 mil eventos que corresponderam aos critérios de pesquisa. Para exportar mais do que esse limite, tente usar um intervalo de datas menor para reduzir o número de registros do log de auditoria. Talvez seja necessário executar várias pesquisas com intervalos de datas menores para exportar mais de 50 mil entradas.
Etapa 2: Formatar o log de auditoria exportado usando o Editor do Power Query
A próxima etapa é usar o recurso de transformação JSON no Editor do Power Query no Excel para dividir cada propriedade no objeto JSON na coluna AuditData em sua própria coluna. Em seguida, você filtra colunas para exibir registros com base nos valores de propriedades específicas. Isso pode ajudá-lo a localizar rapidamente os dados de auditoria específicos que você está procurando.
Abra uma pasta de trabalho vazia no Excel para Office 365, Excel 2019 ou Excel 2016.
Na guia Dados , no grupo de faixas de opções Obter & Transformar Dados , selecione De Texto/CSV.
Abra o arquivo CSV que você baixou na Etapa 1.
Na janela que aparece, selecione Transformar Dados.
O arquivo CSV é aberto no Editor de Consultas. Existem quatro colunas: CreationDate, UserIds, Operations e AuditData. A coluna AuditData é um objeto JSON que contém várias propriedades. A próxima etapa é criar uma coluna para cada propriedade no objeto JSON.
Clique com o botão direito do mouse no título da coluna AuditData, selecione Transformare, em seguida, selecione JSON.
No canto superior direito da coluna AuditData, selecione o ícone de expansão.
Uma lista parcial das propriedades dos objetos JSON na coluna AuditData é exibida.
Selecione Carregar mais para exibir todas as propriedades dos objetos JSON na coluna AuditData.
Você pode desmarcar a caixa de seleção ao lado de qualquer propriedade que não quiser incluir. Eliminar colunas que não são úteis para a sua investigação é uma boa maneira de reduzir a quantidade de dados exibidos no log de auditoria.
Observação
As propriedades JSON exibidas na captura de tela anterior (depois de clicar em Carregar mais) são baseadas nas propriedades encontradas na coluna AuditData das primeiras 1.000 linhas no arquivo CSV. Se houver propriedades JSON diferentes nos registros após as primeiras 1.000 linhas, essas propriedades (e uma coluna correspondente) não serão incluídas quando a coluna AuditData for dividida em várias colunas. Para ajudar a evitar isso, considere executar novamente a pesquisa de log de auditoria e restringir os critérios de pesquisa para que menos registros sejam retornados. Outra solução alternativa é filtrar itens na coluna Operations para reduzir o número de linhas (antes de executar a etapa 5 acima) antes de transformar o objeto JSON na coluna AuditData.
Dica
Para exibir um atributo dentro de uma lista como AuditData.AffectedItems, clique no ícone Expandir no canto superior direito da coluna da qual você deseja extrair um atributo e selecione Expandir para Nova Linha. A partir daí, ele será um registro e você pode clicar no ícone Expandir no canto superior direito da coluna, exibir os atributos e selecionar aquele que você deseja exibir ou extrair.
Faça uma das seguintes coisas para formatar o título das colunas adicionadas para cada propriedade JSON selecionada.
- Desmarque a caixa de seleção Usar o nome da coluna original como prefixo para usar o nome da propriedade JSON como os nomes de coluna; por exemplo, RecordType ou SourceFileName.
- Deixe a caixa de seleção Usar o nome da coluna original como prefixo selecionado para adicionar o prefixo AuditData aos nomes da coluna; por exemplo, AuditData.RecordType ou AuditData.SourceFileName.
Selecione OK.
A coluna AuditData é dividida em várias colunas. Cada nova coluna corresponderá a uma propriedade no objeto JSON AuditData. Cada linha na coluna conterá um valor para a propriedade. Se a propriedade não contiver um valor, o valor nulo será exibido. No Excel, as células com valores nulos ficam vazias.
Na guia Página Inicial, selecione Fechar & Carregar para fechar o Editor do Power Query e abrir o arquivo CSV transformado em uma pasta de trabalho do Excel.
Usar o PowerShell para pesquisar e exportar registros de log de auditoria
Em vez de usar a ferramenta de pesquisa de log de auditoria no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview, você pode usar o cmdlet Pesquisa-UnifiedAuditLog no Exchange Online PowerShell para exportar os resultados de uma pesquisa de log de auditoria para um arquivo CSV. Em seguida, você pode seguir o mesmo procedimento descrito na Etapa 2 para formatar o log de auditoria usando o editor do Power Query. Uma vantagem de usar o cmdlet do PowerShell é que você pode pesquisar eventos de um serviço específico usando o parâmetro RecordType. Aqui estão alguns exemplos de como usar o PowerShell para exportar registros de auditoria para um arquivo CSV para que você possa usar o editor Power Query para transformar o objeto JSON na coluna AuditData, conforme descrito na Etapa 2.
Nesse exemplo, execute os comandos a seguir para retornar todos os registros relacionados às operações de compartilhamento do SharePoint.
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
Os resultados da pesquisa são exportados para um arquivo CSV chamado PowerShellAuditlog que contém quatro colunas: CreationDate, UserIds, RecordType, AuditData).
Você também pode usar o nome ou valor de enumeração do tipo de registro como o valor para o parâmetro RecordType. Para obter uma lista de nomes de tipo de registro e seus respectivos valores de enumeração, consulte a tabela AuditLogRecordType no esquema da API da Atividade de Gerenciamento do Office 365.
Você pode incluir somente um único valor para o parâmetro RecordType. Para pesquisar registros de auditoria para outros tipos de registro, você precisa executar os dois comandos anteriores novamente para especificar um tipo de registro diferente e acrescentar esses resultados ao arquivo CSV original. Por exemplo, você poderia executar os dois comandos a seguir para adicionar atividades de arquivos do SharePoint do mesmo intervalo de datas ao arquivo PowerShellAuditlog.csv.
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
Dicas para exportar e conferir o log de auditoria
Aqui estão algumas dicas e exemplos de exportação e exibição do log de auditoria antes e depois de usar o recurso de transformação JSON para dividir a coluna AuditData em várias colunas.
- Filtre a coluna RecordType para exibir somente os registros de um serviço específico ou área funcional. Por exemplo, para mostrar eventos relacionados ao compartilhamento do SharePoint, você selecionaria 14 (o valor de enumeração para registros disparados pelas atividades de compartilhamento do SharePoint). Para obter uma lista dos serviços que correspondem aos valores de enumeração exibidos na coluna RecordType, confira Propriedades detalhadas no log de auditoria.
- Filtre a coluna Operations para exibir os registros de atividades específicas. Para obter uma lista da maioria das operações que correspondem a uma atividade pesquisável na ferramenta de pesquisa de log de auditoria no portal do Microsoft Purview ou no portal de conformidade, consulte a seção "Atividades auditadas" no Pesquisa log de auditoria.