[Content Search] の操作ログについて
[Content Search (コンテンツの検索)] を実行したユーザーや検索条件の情報をログから確認する場合、監査ログを利用することで可能です。
なお、[Content Search (コンテンツの検索)] を作成して実行した場合は、[コンテンツの検索の作成]、コンテンツの検索を開始した場合は、[コンテンツの検索の開始] のアクティビティを指定することで取得が可能です。
また、検索条件は、"ExchangeLocations" の値から対象となったメールボックス、"Query" の値から検索条件を確認することができます。
監査ログの取得手順
1. 管理者アカウントにて、画面左ペインの [管理センター] - [Microsoft Purview] にて、Microsoft Purview にアクセスしにサインインします。
2. 左メニューの [ソリューション] > [監査] をクリックします。
3. [日付と時刻の範囲] で [開始] と [終了] の日時を任意で指定します。(UTC での指定)
※ E5 の場合は 1 年前、E5 ライセンス以外 (E3 など) は 180 日前まで指定が可能。
4. [アクティビティ -フレンドリ名] の項目から以下の [電子情報開示アクティビティ] より、以下のアクティビティを選択します。
・コンテンツの検索の作成
・コンテンツの検索の開始
5. 任意で [検索名] で作成するジョブの名前を指定します。
6. [検索] をクリックします。
7. 画面下にジョブが作成されますので、[ジョブの状態] が "完了済み" になるまでお待ちください。
8. [ジョブの状態] が "完了済み" になりましたら、ジョブをクリックします。
9. 一覧にて、各ログから [日付] が実行した日時、[ユーザー] が実行したユーザー、[アイテム] が実行した検索ルール名を確認することができます。
10. 対象のログをクリックすることで詳細な情報を確認することができ、"ExchangeLocations" の値から対象となったメールボックス、"Query" の値から検索条件を確認することができます。
また、手順 9. にて、上部の [エクスポート] をクリックすることで CSV ファイルにエクスポートすることが可能です。
ダウンロードした csv にて 2 バイト文字が含まれる場合文字化けして表示されますので、以下手順にて修正してください。
文字化けの修正手順
1. ダウンロードした csv をデスクトップなどわかりやすい場所にペーストします。
2. ペーストしたファイルを右クリックし [プログラムから開く(H)] - [メモ帳] を選択します。
3. メモ帳でファイルが開かれたら、 [ファイル] をクリックします。
4. [名前を付けて保存] をクリックし、ファイル名はそのまま、下部の文字コードを "UTF-8(BOM付き)" に指定し [保存] をクリックします。
※ 上書きに関する警告が表示されますが、 [はい] で許可します。
5. メモ帳を閉じ、あらためて csv を開くことで文字化けが発生せず内容を確認することができます。
CSV ファイルの出力結果
- CreationDate : 実行した日時
- UserId : 実行したユーザー
- AuditData : "Parameters" 内の Name が検索ルール名、ExchangeLocation が対象メールボックス、Query が検索条件
