コンプライアンスセンターの統合監査ログをPowershellで出力する場合、Search-UnifiedAuditLogのコマンドレットで可能ですが、"RecordType" を指定することでカテゴリー別に csv ファイルで抽出が可能であることを確認いたしました。
RecordTypeの情報は、非公開のため確認した結果をご紹介したいと思います。
RecordType 対応コードと意味一覧
以下のフォーマットで記述しております。
-----------
コード : 対応オプション
取得ログ内容
--------------
1 : ExchangeAdmin
Exchange 管理者監査ログのレコードを意味します。
2 : ExchangeItem
Exchange メールボックス監査ログの、単一のメールボックス アイテムに対して行われた操作に関するレコードを意味します。
3 : ExchangeItemGroup
Exchange メールボックス監査ログからのレコードも示します。 このレコードの種類は、ソース メールボックス内の複数のアイテムに対して操作が実行されたことを示します (削除済みアイテム フォルダーへの複数のアイテムの移動、または複数のアイテムの完全な削除など)。
4 : SharePoint
SharePoint でのサイト管理者の操作 (管理者またはユーザーがサイトに対するアクセス許可を割り当てるなど) を意味します。
6 : SharePointFileOperation
SharePoint でのファイルまたはフォルダーに関連する操作 (ユーザーの表示、ファイルの変更など) を意味します。
8 : AzureActiveDirectory
Azure Active Directory で行われた管理者の操作を意味します。
9 : AzureActiveDirectoryAccountLogon
Azure Active Directory での OrgId ログオン イベントを意味します。このレコードの種類は非推奨となっています。
10 : DataCenterSecurityCmdlet
データ センターで Microsoft 担当者が行ったセキュリティ コマンドレット イベントを意味します。
11 : ComplianceDLPSharePoint
SharePoint でのデータ損失防止 (DLP) イベントを意味します。
13 : ComplianceDLPExchange
統合 DLP ポリシーを使用して構成された場合の Exchange の DLP イベントを意味します。 Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) に基づく DLP イベントはサポートされていません。
14 : SharePointSharingOperation
SharePoint の共有イベントを意味します。
15 : AzureActiveDirectoryStsLogon
Azure Active Directory の Secure Token Service (STS) ログオン イベントを意味します。
18 : SecurityComplianceCenterEOPCmdlet
コンプライアンス センターのアイテム保持ポリシーやアクセス許可の閲覧が実行されたことを意味します。
19 : 対応オプションは不明
非常に短い期間内に発生する反復アクティビティが集約されたExchange メールボックスの操作を意味します。
20 : PowerBIAudit
Power BI のイベントを意味します。
21 : CRM
Dynamics 365 のイベントを意味します。
22 : Yammer
Yammer のイベントを意味します。
23 : SkypeForBusinessCmdlets
Skype for Business のイベントを意味します。
24 : Discovery
コンプライアンス センターで [コンテンツ検索] を実行し、eDiscovery のケースを管理することによって実行されるアクティビティを意味します。
25 : MicrosoftTeams
Microsoft Teams のイベントを意味します。
28 : MipAutoLabelExchangeItem
Exchange Online Protection と Office 365 Advanced Threat Protection からのフィッシングとマルウェアのイベントを意味します。
29 : MailSubmission
Exchange Online Protection と Office 365 Advanced Threat Protection からのフィッシングとマルウェアの提出イベントを意味します。
30 : MicrosoftFlow
Microsoft Power Automate (旧称 Microsoft Flow) イベントを意味します。
31 : AeD
Advanced eDiscovery (高度な電子情報開示) イベントを意味します。
32 : MicrosoftStream
Microsoft Stream のイベントを意味します。
33 : ComplianceDLPSharePointClassification
SharePoint の DLP 分類に関連するイベントを意味します。
35 : Project
Microsoft Project のイベントを意味します。
36 : SharePointListOperation
Sharepoint リストのイベントを意味します。
37 : SharePointCommentOperation
SharePoint コメントに関連するイベントを意味します。
38 : DataGovernance
セキュリティ/コンプライアンス センターにおけるアイテム保持ポリシーと保持ラベルに関連するイベントを意味します。
40 : SecurityComplianceAlerts
コンプライアンスセンターの [アラート] が動作したことを意味します。
※アラートが配信されることでログが記録されます。
41 : ThreatIntelligenceUrl
Office 365 Advanced Threat Protection でのブロック時の安全なリンクと上書きのブロック イベントを意味します。
42 : SecurityComplianceInsights
セキュリティ & コンプライアンスセンターの、insights およびレポートに関連するイベントを示します。
43 : MIPLabel
秘密度ラベルで (手動または自動で) タグ付けされたメール メッセージのトランスポート パイプラインでの検出に関連するイベント。
44 : WorkplaceAnalytics
Workplace Analytics のイベントを意味します。
45 : PowerAppsApp
Power アプリのイベントを意味します。
48 : LabelContentExplorer
データ分類コンテンツ エクスプローラーに関係するイベント。
47 : ThreatIntelligenceAtpContent
SharePoint、OneDrive、Microsoft Teams 内のファイルに対する、Office 365 Advanced Threat Protection からのフィッシングとマルウェアのイベントを意味します。
49 : TeamsHealthcare
医療関係向け Microsoft Teams の患者アプリケーションに関連するイベントを意味します。
50 : ExchangeItemAggregated
MailItemsAccessed メールボックス監査アクションに関連するイベントを意味します。
51 : HygieneEvent
スパム対策とメール検疫に関連するイベントを示します。
52 : DataInsightsRestApiAudit
データ インサイト REST API に関連するイベントを意味します。
53 : InformationBarrierPolicy
情報障壁ポリシーの適用に関連するイベントを意味します。
54 : SharePointListItemOperation
SharePoint リスト アイテム イベントを意味します。
55 : SharePointContentTypeOperation
SharePoint コンテンツ タイプ イベントを意味します。
56 : SharePointFieldOperation
SharePoint リスト フィールド イベントを意味します。
62 : Campaign
メール攻撃キャンペーンに関連するイベントを意味します。
64 : AirAdminActionInvestigation
自動調査および対応イベントを意味します。
65 : Quarantine
検疫監査レコードイベントを示します。
66 : MicrosoftForms
Microsoft Forms のイベントを意味します。
68 : ComplianceSupervisionExchange
Exchange の通信コンプライアンス イベントを示します。
69 : CustomerKeyServiceEncryption
カスタマー キーの暗号化に関連するイベントを意味します。
コマンドレットの実行例
[構文]
Search-UnifiedAuditLog -ResultSize "5000" -StartDate <開始日> -EndDate <終了日> -RecordType "<レコードの種類>" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "<ファイル名を含んだ保存先のパス.csv>"
[実行例]
Search-UnifiedAuditLog -ResultSize "5000" -StartDate "2021/06/20" -EndDate "2021/06/22" -RecordType ExchangeAdmin | Export-Csv -Encoding UTF8 -NoTypeInformation -Path C:\Temp\UnifiedAuditLogSearch.csv
[解説]
・[ResultSize] パラメータにて [5000] を指定することで、1 つの CSV ファイルに出力ができる最大数 5,000 件分のログを出力できます。
・上記実行例では、[C] ドライブ直下の [Temp] フォルダにログを出力してます。
検索結果の確認方法
・ CreationDate : 操作が行われた日時
・ UserIds : 操作を実行したユーザー
・ Operations : 何のアクティビティか
・ AuditData : 実行された操作の詳細を確認可能