Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Quando pesquisa o registo de auditoria e transfere os resultados da pesquisa para um ficheiro de valores separados por vírgulas (.csv), o ficheiro contém uma coluna chamada AuditData. Esta coluna contém informações adicionais sobre cada evento. Os dados nesta coluna são formatados como um objeto JSON. Este objeto contém várias propriedades que aparecem como pares property:value separados por vírgulas. Pode utilizar a funcionalidade de transformação JSON no Editor do Power Query no Excel para dividir cada propriedade no objeto JSON na coluna AuditData em múltiplas colunas para que cada propriedade tenha a sua própria coluna. Esta funcionalidade permite-lhe ordenar e filtrar uma ou mais destas propriedades, o que pode ajudá-lo a localizar rapidamente os dados de auditoria específicos que procura.
Etapa 1: Exportar resultados da pesquisa do log de auditoria
Ao utilizar a Auditoria (Standard), pode exportar até 50 000 registos para um ficheiro de .csv a partir de uma única consulta de pesquisa de auditoria. Para Auditoria (Premium), o limite de exportação aumenta para 1 milhão deregistos. Se o número de resultados devolvidos pela consulta de pesquisa de auditoria exceder estes limites, o ficheiro CSV exportado não inclui todos os resultados e poderá omitir alguns registos de auditoria. Para garantir a exportação completa de dados, considere as seguintes recomendações:
- Refine o âmbito da consulta de pesquisa ao restringir o intervalo de datas ou ao aplicar outros filtros, como UserId, Operation e muito mais.
- Efetue múltiplas pesquisas com intervalos de datas mais pequenos e segmentados para capturar todos os registos de auditoria relevantes.
Esta abordagem ajuda a garantir uma cobertura abrangente dos dados de auditoria dentro das restrições dos limites de exportação.
Para procurar no registo de auditoria e exportar os resultados num ficheiro .csv para o computador local, conclua os seguintes passos:
Execute uma pesquisa de registo de auditoria e reveja os critérios de pesquisa, se necessário, até ter os resultados pretendidos.
Na página de resultados da pesquisa, selecione Exportar.
Esta opção exporta todos os registos de auditoria da pesquisa de registos de auditoria que executou no passo 1. Adiciona os dados não processados do registo de auditoria a um ficheiro CSV. Pode demorar um pouco para preparar o arquivo de download de uma pesquisa grande. Resultado de ficheiros grandes ao procurar todas as atividades ou ao utilizar um vasto intervalo de datas.
Quando o processo de exportação for concluído, é apresentada uma mensagem na parte superior da janela que lhe pede para abrir o ficheiro CSV e guardá-lo no seu computador local. Você também pode acessar o arquivo CSV na pasta Downloads.
Etapa 2: Formatar o log de auditoria exportado usando o Editor do Power Query
Neste passo, vai utilizar a funcionalidade de transformação JSON no Editor do Power Query no Excel para dividir cada propriedade no objeto JSON na coluna AuditData na sua própria coluna. Em seguida, filtra colunas para ver registos com base nos valores de propriedades específicas. Este processo ajuda-o a localizar rapidamente os dados de auditoria específicos que procura.
Abra uma pasta de trabalho vazia no Excel para Office 365, Excel 2019 ou Excel 2016.
No separador Dados , no grupo do friso Obter & Transformar Dados , selecione De Texto/CSV.
Abra o arquivo CSV que você baixou na Etapa 1.
Selecione Transformar Dados na janela apresentada.
O Editor de Consultas abre o ficheiro CSV. Verá quatro colunas: CreationDate, UserIds, Operations e AuditData. A coluna AuditData é um objeto JSON que contém várias propriedades. Tem de criar uma coluna para cada propriedade no objeto JSON.
Clique com o botão direito do mouse no título da coluna AuditData, selecione Transformare, em seguida, selecione JSON.
Selecione o ícone expandir no canto superior direito da coluna AuditData .
Verá uma lista parcial das propriedades nos objetos JSON na coluna AuditData .
Selecione Carregar mais para exibir todas as propriedades dos objetos JSON na coluna AuditData.
Você pode desmarcar a caixa de seleção ao lado de qualquer propriedade que não quiser incluir. Eliminar colunas que não são úteis para a sua investigação é uma boa maneira de reduzir a quantidade de dados exibidos no log de auditoria.
Observação
As propriedades JSON exibidas na captura de tela anterior (após você selecionar Carregar mais) se baseiam nas propriedades encontradas na coluna AuditData das primeiras 1.000 linhas no arquivo CSV. Se existirem propriedades JSON diferentes nos registos após as primeiras 1000 linhas, estas propriedades (e uma coluna correspondente) não aparecem quando divide a coluna AuditData em múltiplas colunas. Para ajudar a evitar este problema, considere voltar a executar a pesquisa de registos de auditoria e restringir os critérios de pesquisa para que sejam devolvidos menos registos. Outra solução é filtrar itens na coluna Operações para reduzir o número de linhas (antes de executar o passo 5) antes de transformar o objeto JSON na coluna AuditData .
Dica
Para ver um atributo numa lista como AuditData.AffectedItems, selecione o ícone Expandir no canto superior direito da coluna a partir da qual pretende extrair um atributo e, em seguida, selecione Expandir para Nova Linha. A partir daí, é um registo e pode selecionar o ícone Expandir no canto superior direito da coluna, ver os atributos e selecionar aquele que pretende ver ou extrair.
Efetue um dos seguintes procedimentos para formatar o título das colunas que adicionar para cada propriedade JSON que selecionar.
- Anule a seleção da caixa de verificação Utilizar o nome da coluna original como prefixo para utilizar o nome da propriedade JSON como os nomes das colunas; por exemplo, RecordType ou SourceFileName.
- Deixe a caixa de verificação Utilizar o nome da coluna original como prefixo selecionada para adicionar o prefixo AuditData aos nomes das colunas; por exemplo, AuditData.RecordType ou AuditData.SourceFileName.
Selecione OK.
Divida a coluna AuditData em múltiplas colunas. Cada nova coluna corresponderá a uma propriedade no objeto JSON AuditData. Cada linha na coluna conterá um valor para a propriedade. Se a propriedade não contiver um valor, será apresentado o valor nulo . No Excel, as células com valores nulos ficam vazias.
No separador Base, selecione Fechar & Carregar para fechar a Editor do Power Query e abrir o ficheiro CSV transformado num livro do Excel.
Usar o PowerShell para pesquisar e exportar registros de log de auditoria
Em vez de utilizar a ferramenta de pesquisa de registos de auditoria no portal do Microsoft Purview, pode utilizar o cmdlet Search-UnifiedAuditLog no Exchange Online PowerShell para exportar os resultados de uma pesquisa de registo de auditoria para um ficheiro CSV. Em seguida, você pode seguir o mesmo procedimento descrito na Etapa 2 para formatar o log de auditoria usando o editor do Power Query. Uma vantagem de usar o cmdlet do PowerShell é que você pode pesquisar eventos de um serviço específico usando o parâmetro RecordType. Os exemplos seguintes mostram como utilizar o PowerShell para exportar registos de auditoria para um ficheiro CSV para que possa utilizar o editor de Power Query para transformar o objeto JSON na coluna AuditData, conforme descrito no Passo 2.
No exemplo seguinte, execute os comandos para devolver todos os registos relacionados com operações de partilha do SharePoint.
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
Os resultados da pesquisa são exportados para um ficheiro CSV com o nome PowerShellAuditlog que contém quatro colunas: CreationDate, UserIds, RecordType, AuditData.
Pode utilizar o nome ou o valor de enumeração para o tipo de registo. Para obter uma lista de nomes de tipo de registro e seus respectivos valores de enumeração, consulte a tabela AuditLogRecordType no esquema da API da Atividade de Gerenciamento do Office 365.
Você pode incluir somente um único valor para o parâmetro RecordType. Para procurar registos de auditoria para outros tipos de registo, execute novamente os dois comandos anteriores para especificar um tipo de registo diferente e acrescentar esses resultados ao ficheiro CSV original. Por exemplo, execute os dois comandos seguintes para adicionar atividades de ficheiros do SharePoint do mesmo intervalo de datas ao ficheiro PowerShellAuditlog.csv.
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
Dicas para exportar e conferir o log de auditoria
Seguem-se algumas sugestões e exemplos de exportação e visualização do registo de auditoria antes e depois de utilizar a funcionalidade de transformação JSON para dividir a coluna AuditData em múltiplas colunas.
- Filtre a coluna RecordType para exibir somente os registros de um serviço específico ou área funcional. Por exemplo, para mostrar eventos relacionados com a partilha do SharePoint, selecione 14 (o valor de enumeração dos registos acionados pelas atividades de partilha do SharePoint). Para obter uma lista dos serviços que correspondem aos valores de enumeração exibidos na coluna RecordType, confira Propriedades detalhadas no log de auditoria.
- Filtre a coluna Operations para exibir os registros de atividades específicas. Para obter uma lista da maioria das operações que correspondem a uma atividade pesquisável na ferramenta de pesquisa de registos de auditoria no portal do Microsoft Purview, veja a secção "Atividades auditadas" em Procurar no registo de auditoria.