社畜の所業

社畜の所業

Microsoft365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

※このサイトはPR記事を含みます。

【Office365参考書】ユーザーの操作を監査する監査ログとは?

Microsoft365

f:id:it-bibouroku:20200305151118j:plain

メールボックス監査ログと管理者監査ログのコマンドレットが廃止される予定です。以下の記事でご紹介してます。

 

it-bibouroku.hateblo.jp

 

各ユーザーの操作したログを確認したいというシナリオがあると思います。 

  

その場合、「監査ログ」の機能があります。 

  

「メールボックス監査ログ」や「管理者監査ログ」は、Exchange 管理センターで取得可能ですが、セキュリティコンプライアンスセンターの [監査ログの検索] を実施することで、Exchange Online の情報、SharePoint や OneDrive の情報をすべて取得することができます。 

  

ただし、あらかじめ画面上から有効化していないとログが記録されていないので、まずは有効化を実施することを忘れないようにしましょう。 

  

それでは、手順についてご紹介していきたいと思います。 

  

■ 監査ログレポートの有効化手順 

  1. 管理者権限を付与されているユーザーにて Office 365 ポータルにサインインします。
  2. Admin Center 画面左のメニュー一覧から [管理センター] を展開し、[セキュリティ] をクリックします。
  3. 画面左のメニュー一覧から [検索と調査] を展開し、[監査ログの検索] をクリックします。
  4. [監査ログの検索] 下の [ユーザーと管理者のアクティビティの記録を開始する] をクリックします。
  5. [ユーザーと管理者のアクティビティの記録を開始する : これを有効にすると、組織のユーザーと管理者のアクティビティが Office 365 監査ログに記録されて、レポートに表示できるようになります。 ] の画面が表示されましたら [有効にする] をクリックします。

       ※ 有効前の情報は出力ができません

  1. [監査ログの検索] 下表記が [Office 365 監査ログを準備しています。数時間以内にユーザーと管理者のアクティビティの検索ができるようになります。] に変わりますため、画面の更新が完了するまでお待ちください。
  2. 更新が完了いたしますと、[監査ログの検索] の文字下の表示が消えます。

  

 

Office365 テナント内に Exchange Online を含むライセンスがひとつでもない場合は、有効化しようとするとエラーになります。 
SharePoint や OneDrive の情報しか取得しないという場合でもExchange Onlineのライセンスが必要です。 

 

  

  

■ 監査ログの検索の利用手順 

  1. 管理者権限を付与されているユーザーにて Office 365 ポータルにサインインします。
  2. Admin Center 画面左のメニュー一覧から [管理センター] を展開し、[セキュリティ] をクリックします。
  3. 画面左のメニュー一覧から [検索と調査] を展開し、[監査ログの検索] をクリックします。
  4. [監査ログの検索] 画面にて、[アクティビティ] より検索したい項目を選択します。 

   ※ すべてのアクティビティの結果を表示も選択可能です。 

  1. 開始日と終了日を設定し、[検索] をクリックします。 
  2. 検索結果を確認します。

  

  

■ 監査ログの検索のエクスポート手順 

  1. 管理者権限を付与されているユーザーにて Office 365 ポータルにサインインします。
  2. Admin Center 画面左のメニュー一覧から [管理センター] を展開し、[セキュリティ] をクリックします。
  3. 画面左のメニュー一覧から [検索と調査] を展開し、[監査ログの検索] をクリックします。
  4. [監査ログの検索] 画面にて、開始日と終了日を設定し、[検索] をクリックします。

※ [アクティビティ] より検索したい項目を選択することも可能です。 

  1. 検索結果が表示されましたら、右上の [結果のエクスポート] にて、[すべての結果をダウンロードする] をクリックします。
  2. [保存] の横の [▼] をクリックし、[名前を付けて保存] にてデスクトップなどに保存します。
  3. 保存したログをご提供ください。

  

  

Powershellのコマンドレットで実行する場合 

SharePoint や OneDrive の情報を取得する場合でもExchange Onlineに接続して実行します。 

 

it-bibouroku.hateblo.jp

 

  

[基本構文] 

Search-UnifiedAuditLog -StartDate "<開始日時>" -EndDate "<終了日時>" -ResultSize <ログを取得する件数> -Formatted | Export-CSV -Path <ファイルの出力場所\ファイル名.csv> -Encoding UTF8 -NotypeInformation 

  

[実行例] 

Search-UnifiedAuditLog -StartDate "02/28/2017" -EndDate "03/13/2017" -ResultSize 5000 -Formatted | Export-CSV -Path "C:\Temp\UnifiedAuditLog.csv" -Encoding UTF8 -NotypeInformation 

  

  

[出力される項目] 

1.RunspaceId   : 一般的にイベントが発生したセッションを一意に識別するIDと認識されております。このフィールドは、Exchange によって内部で使用されます。 

2.RecordType   : レコードの種類 

3.CreationDate : 実施した日時 

4.UserIds      : 実施したユーザー 

5.Operations   : 操作の種類 

6.AuditData    : ログの内容 

7.ResultIndex  : 現在の反復でのヒット数 

8.ResultCount  : すべての反復のヒット数(ログの総数を確認できる) 

9.Identity     : ログに付与された一意の値 

10.IsValid      : 一般的にテストにパスしたかどうかを示す値を取得すると認識されております。内容が有効な場合は [True]、それ以外は [False] 

11.ObjectState  : このフィールドは、Exchange によって内部で使用されます。 

  

細かい操作を指定する場合は、Operations のパラメーターで指定することができます。 
指定する値は、以下のサイトの [監査されるアクティビティ] の [操作] の項目で確認ができます。 
例 : ファイルへのアクセスの場合、[-Operations "FileAccessed"]とコマンドに追加します。 

 

  以下の公開情報もあわせてご参照ください。

support.office.com

 

広告

 

目の疲れを防止するにはPCメガネがオススメです!

 

 

 
【ランキング1位獲得】 JIS検査済 PCメガネ パソコン メガネ PC眼鏡 ブルーライトカット 96% UV420 紫外線カット 眼鏡 メンズ レディース ケース クロス セット ブルーカット眼鏡 伊達眼鏡 伊達めがね 伊達メガネ uvカット 

 

 

高スペックPCが約3万円で購入できます

 
すぐ届く!【楽天年間ランキングでパソコン1位!】初期設定不要!すぐ使える! ノートパソコン 中古 Windows10 Office付き 新品 爆速SSD 中古パソコン Corei5 店長おまかせNECノート 4GB 15インチ 中古ノートパソコン リフレッシュPC 

 

 

アフィリエイトをするなら「もしもアフィリエイト(登録無料)」