Search-UnifiedAuditLog で取得される AuditData 列の値について、複数の項目が一括で表示される動作である確認しました。
そのAuditDataの特定の項目のみを取得することが可能であるかについてご紹介したいと思います。
Search-UnifiedAuditLog で取得される AuditData 列の特定の項目のみを取得する場合、以下の Powershell のコマンドレットでSelect にて、項目を指定し実行することで可能であることを確認いたしました。
以下の記事をもとにExchange Online に接続してから実行してください。
2 行で実行してください
<構文>
$AuditLogs = Search-UnifiedAuditLog -StartDate "開始日" -EndDate "終了日" -UserIds "対象ユーザーのアドレス"
$AuditLogs.AuditData | ConvertFrom-Json | Select "出力する項目" | Export-Csv -NoTypeInformation -Encoding UTF8 -NoTypeInformation -Path "ファイル名を含んだ保存先のパス"
<実行例>
$AuditLogs = Search-UnifiedAuditLog -StartDate 2022/4/1 -EndDate 2022/4/30 -UserIds User001@contoso.com
$AuditLogs.AuditData | ConvertFrom-Json | Select Operation,UserId | Export-Csv -NoTypeInformation -Encoding UTF8 -Path "C:\Temp\AuditData.csv"