Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando si esegue una ricerca nel log di controllo e si scaricano i risultati della ricerca in un file con valori delimitati da virgole (.csv), il file contiene una colonna denominata AuditData. Questa colonna contiene informazioni aggiuntive su ogni evento. I dati in questa colonna vengono formattati come oggetto JSON. Questo oggetto contiene più proprietà visualizzate come coppie property:value separate da virgole. È possibile usare la funzionalità di trasformazione JSON nel editor di Power Query in Excel per suddividere ogni proprietà nell'oggetto JSON nella colonna AuditData in più colonne in modo che ogni proprietà abbia una propria colonna. Questa funzionalità consente di ordinare e filtrare in base a una o più di queste proprietà, che consentono di individuare rapidamente i dati di controllo specifici che si stanno cercando.
Passaggio 1: Esportare i risultati della ricerca nel log di controllo
Importante
Per il corretto funzionamento dei processi di esportazione, assicurarsi che il dominio frontdoor di Azure (azurefd.net) non sia bloccato dal firewall di rete.
Quando si usa Audit (Standard), è possibile esportare fino a 50.000 record in un file .csv da una singola query di ricerca di controllo. Per Audit (Premium), il limite di esportazione aumenta a 1 milione direcord. Se il numero di risultati restituiti dalla query di ricerca di controllo supera questi limiti, il file di .csv esportato non include tutti i risultati e potrebbe omettere alcuni log di controllo. Per garantire l'esportazione completa dei dati, prendere in considerazione le raccomandazioni seguenti:
- Perfezionare l'ambito della query di ricerca restringendo l'intervallo di date o applicando altri filtri, ad esempio UserId, Operation e altro ancora.
- Eseguire più ricerche con intervalli di date segmentati più piccoli per acquisire tutti i log di controllo pertinenti.
Questo approccio consente di garantire una copertura completa dei dati di controllo entro i vincoli dei limiti di esportazione.
Per eseguire ricerche nel log di controllo ed esportare i risultati in un file .csv nel computer locale, seguire questa procedura:
Eseguire una ricerca nel log di controllo e modificare i criteri di ricerca, se necessario, fino a ottenere i risultati desiderati.
Nella pagina dei risultati della ricerca selezionare Esporta.
Questa opzione esporta tutti i record di controllo dalla ricerca nel log di controllo eseguita nel passaggio 1. Aggiunge i dati non elaborati dal log di controllo a un file di .csv. Ci vuole un po' di tempo per preparare il file di download per una ricerca di grandi dimensioni. Risultati di file di grandi dimensioni durante la ricerca di tutte le attività o l'uso di un intervallo di date ampio.
Al termine del processo di esportazione, nella parte superiore della finestra viene visualizzato un messaggio che richiede di aprire il file .csv e salvarlo nel computer locale. Potrebbe essere necessario aggiornare la pagina per visualizzare questo messaggio. È anche possibile accedere al file .csv nella cartella Download .
Passaggio 2: Formattare il log di controllo esportato usando il editor di Power Query
In questo passaggio si usa la funzionalità di trasformazione JSON nel editor di Power Query in Excel per suddividere ogni proprietà nell'oggetto JSON nella colonna AuditData nella relativa colonna. Filtrare quindi le colonne per visualizzare i record in base ai valori di proprietà specifiche. Questo processo consente di individuare rapidamente i dati di controllo specifici che si sta cercando.
Aprire una cartella di lavoro vuota in Excel per Office 365, Excel 2019 o Excel 2016.
Nel gruppo della barra multifunzione Recupera & Trasforma dati della scheda Dati selezionare Da testo/CSV.
Aprire il file .csv scaricato nel passaggio 1.
Selezionare Trasforma dati nella finestra visualizzata.
Il Editor di query apre il file .csv. Vengono visualizzate quattro colonne: CreationDate, UserIds, Operations e AuditData. La colonna AuditData è un oggetto JSON che contiene più proprietà. È necessario creare una colonna per ogni proprietà nell'oggetto JSON.
Fare clic con il pulsante destro del mouse sul titolo nella colonna AuditData, scegliere Trasforma e quindi selezionare JSON.
Selezionare l'icona di espansione nell'angolo superiore destro della colonna AuditData .
Viene visualizzato un elenco parziale delle proprietà negli oggetti JSON nella colonna AuditData .
Selezionare Carica altro per visualizzare tutte le proprietà negli oggetti JSON nella colonna AuditData.
È possibile deselezionare la casella di controllo accanto a qualsiasi proprietà che non si desidera includere. L'eliminazione delle colonne non utili per l'indagine è un buon modo per ridurre la quantità di dati visualizzati nel log di controllo.
Nota
Le proprietà JSON visualizzate nello screenshot precedente (dopo aver selezionato Carica altro) si basano sulle proprietà presenti nella colonna AuditData delle prime 1.000 righe del file .csv. Se nei record sono presenti proprietà JSON diverse dopo le prime 1.000 righe, queste proprietà (e una colonna corrispondente) non vengono visualizzate quando si suddivide la colonna AuditData in più colonne. Per evitare questo problema, è consigliabile eseguire di nuovo la ricerca nel log di controllo e limitare i criteri di ricerca in modo che venga restituito un minor numero di record. Un'altra soluzione alternativa consiste nel filtrare gli elementi nella colonna Operazioni per ridurre il numero di righe (prima del passaggio 5) prima di trasformare l'oggetto JSON nella colonna AuditData .
Consiglio
Per visualizzare un attributo all'interno di un elenco, ad esempio AuditData.AffectedItems, selezionare l'icona Espandi nell'angolo superiore destro della colonna da cui si vuole eseguire il pull di un attributo e quindi selezionare Espandi in nuova riga. Da qui si tratta di un record ed è possibile selezionare l'icona Espandi nell'angolo superiore destro della colonna, visualizzare gli attributi e selezionare quello che si vuole visualizzare o estrarre.
Eseguire una delle operazioni seguenti per formattare il titolo delle colonne aggiunte per ogni proprietà JSON selezionata.
- Deselezionare la casella di controllo Usa nome colonna originale come prefisso per usare il nome della proprietà JSON come nomi di colonna; ad esempio RecordType o SourceFileName.
- Lasciare selezionata la casella di controllo Usa nome colonna originale come prefisso per aggiungere il prefisso AuditData ai nomi di colonna. Ad esempio, AuditData.RecordType o AuditData.SourceFileName.
Selezionare OK.
La colonna AuditData viene suddivisa in più colonne. Ogni nuova colonna corrisponde a una proprietà nell'oggetto JSON AuditData. Ogni riga della colonna contiene il valore della proprietà. Se la proprietà non contiene un valore, viene visualizzato il valore Null . In Excel le celle con valori Null sono vuote.
Nella scheda Home selezionare Chiudi & Carica per chiudere il editor di Power Query e aprire il file .csv trasformato in una cartella di lavoro di Excel.
Usare PowerShell per cercare ed esportare i record del registro di audit
Anziché usare lo strumento di ricerca dei log di controllo nel portale di Microsoft Purview, è possibile usare il cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell per esportare i risultati di una ricerca nel log di controllo in un file di .csv. Poi si può seguire la stessa procedura descritta al punto 2 per formattare il registro di audit usando l'editor di Power Query. Un vantaggio dell'uso del cmdlet di PowerShell consiste nel fatto che è possibile cercare eventi da un servizio specifico usando il parametro RecordType. Gli esempi seguenti illustrano come usare PowerShell per esportare i record di controllo in un file .csv in modo da poter usare l'editor Power Query per trasformare l'oggetto JSON nella colonna AuditData, come descritto nel passaggio 2.
Nell'esempio seguente eseguire i comandi per restituire tutti i record correlati alle operazioni di condivisione di SharePoint.
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
I risultati della ricerca vengono esportati in un file .csv denominato PowerShellAuditlog che contiene quattro colonne: CreationDate, UserIds, RecordType, AuditData.
È possibile usare il nome o il valore dell'enumerazione per il tipo di record. Per un elenco dei nomi dei tipi di record e dei relativi valori di enumerazione corrispondenti, vedere la tabella AuditLogRecordType nello schema dell'API Attività di gestione Office 365.
È possibile includere solo un singolo valore per il parametro RecordType. Per cercare record di controllo per altri tipi di record, eseguire di nuovo i due comandi precedenti per specificare un tipo di record diverso e aggiungere tali risultati al file di .csv originale. Ad esempio, eseguire i due comandi seguenti per aggiungere le attività di file di SharePoint dallo stesso intervallo di date al file PowerShellAuditlog.csv.
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
Suggerimenti per l'esportazione e la visualizzazione del log di controllo
Ecco alcuni suggerimenti ed esempi relativi all'esportazione e alla visualizzazione del log di controllo prima e dopo l'uso della funzionalità di trasformazione JSON per suddividere la colonna AuditData in più colonne.
- Filtrare la colonna RecordType per visualizzare solo i record di un servizio o di un'area funzionale specifica. Ad esempio, per visualizzare gli eventi correlati alla condivisione di SharePoint, selezionare 14 (il valore di enumerazione per i record attivati dalle attività di condivisione di SharePoint). Per un elenco dei servizi che corrispondono ai valori di enumerazione visualizzati nella colonna RecordType , vedere Proprietà dettagliate nel log di controllo.
- Filtrare la colonna Operazioni per visualizzare i record per attività specifiche. Per un elenco della maggior parte delle operazioni che corrispondono a un'attività ricercabile nello strumento di ricerca del log di controllo nel portale di Microsoft Purview, vedere la sezione "Attività controllate" in Cerca nel log di controllo.