メールボックス監査ログと管理者監査ログのコマンドレットが廃止される予定です。以下の記事でご紹介してます。
各ユーザーの操作したログを確認したいというシナリオがあると思います。
その場合、「監査ログ」の機能があります。
「メールボックス監査ログ」や「管理者監査ログ」は、Exchange 管理センターで取得可能ですが、セキュリティコンプライアンスセンターの [監査ログの検索] を実施することで、Exchange Online の情報、SharePoint や OneDrive の情報をすべて取得することができます。
ただし、あらかじめ画面上から有効化していないとログが記録されていないので、まずは有効化を実施することを忘れないようにしましょう。
それでは、手順についてご紹介していきたいと思います。
■ 監査ログレポートの有効化手順
- 管理者権限を付与されているユーザーにて Office 365 ポータルにサインインします。
- Admin Center 画面左のメニュー一覧から [管理センター] を展開し、[セキュリティ] をクリックします。
- 画面左のメニュー一覧から [検索と調査] を展開し、[監査ログの検索] をクリックします。
- [監査ログの検索] 下の [ユーザーと管理者のアクティビティの記録を開始する] をクリックします。
- [ユーザーと管理者のアクティビティの記録を開始する : これを有効にすると、組織のユーザーと管理者のアクティビティが Office 365 監査ログに記録されて、レポートに表示できるようになります。 ] の画面が表示されましたら [有効にする] をクリックします。
※ 有効前の情報は出力ができません
- [監査ログの検索] 下表記が [Office 365 監査ログを準備しています。数時間以内にユーザーと管理者のアクティビティの検索ができるようになります。] に変わりますため、画面の更新が完了するまでお待ちください。
- 更新が完了いたしますと、[監査ログの検索] の文字下の表示が消えます。
Office365 テナント内に Exchange Online を含むライセンスがひとつでもない場合は、有効化しようとするとエラーになります。
SharePoint や OneDrive の情報しか取得しないという場合でもExchange Onlineのライセンスが必要です。
■ 監査ログの検索の利用手順
- 管理者権限を付与されているユーザーにて Office 365 ポータルにサインインします。
- Admin Center 画面左のメニュー一覧から [管理センター] を展開し、[セキュリティ] をクリックします。
- 画面左のメニュー一覧から [検索と調査] を展開し、[監査ログの検索] をクリックします。
- [監査ログの検索] 画面にて、[アクティビティ] より検索したい項目を選択します。
※ すべてのアクティビティの結果を表示も選択可能です。
- 開始日と終了日を設定し、[検索] をクリックします。
- 検索結果を確認します。
■ 監査ログの検索のエクスポート手順
- 管理者権限を付与されているユーザーにて Office 365 ポータルにサインインします。
- Admin Center 画面左のメニュー一覧から [管理センター] を展開し、[セキュリティ] をクリックします。
- 画面左のメニュー一覧から [検索と調査] を展開し、[監査ログの検索] をクリックします。
- [監査ログの検索] 画面にて、開始日と終了日を設定し、[検索] をクリックします。
※ [アクティビティ] より検索したい項目を選択することも可能です。
- 検索結果が表示されましたら、右上の [結果のエクスポート] にて、[すべての結果をダウンロードする] をクリックします。
- [保存] の横の [▼] をクリックし、[名前を付けて保存] にてデスクトップなどに保存します。
- 保存したログをご提供ください。
■ Powershellのコマンドレットで実行する場合
※ SharePoint や OneDrive の情報を取得する場合でもExchange Onlineに接続して実行します。
[基本構文]
Search-UnifiedAuditLog -StartDate "<開始日時>" -EndDate "<終了日時>" -ResultSize <ログを取得する件数> -Formatted | Export-CSV -Path <ファイルの出力場所\ファイル名.csv> -Encoding UTF8 -NotypeInformation
[実行例]
Search-UnifiedAuditLog -StartDate "02/28/2017" -EndDate "03/13/2017" -ResultSize 5000 -Formatted | Export-CSV -Path "C:\Temp\UnifiedAuditLog.csv" -Encoding UTF8 -NotypeInformation
[出力される項目]
1.RunspaceId : 一般的にイベントが発生したセッションを一意に識別するIDと認識されております。このフィールドは、Exchange によって内部で使用されます。
2.RecordType : レコードの種類
3.CreationDate : 実施した日時
4.UserIds : 実施したユーザー
5.Operations : 操作の種類
6.AuditData : ログの内容
7.ResultIndex : 現在の反復でのヒット数
8.ResultCount : すべての反復のヒット数(ログの総数を確認できる)
9.Identity : ログに付与された一意の値
10.IsValid : 一般的にテストにパスしたかどうかを示す値を取得すると認識されております。内容が有効な場合は [True]、それ以外は [False]
11.ObjectState : このフィールドは、Exchange によって内部で使用されます。
細かい操作を指定する場合は、Operations のパラメーターで指定することができます。
指定する値は、以下のサイトの [監査されるアクティビティ] の [操作] の項目で確認ができます。
例 : ファイルへのアクセスの場合、[-Operations "FileAccessed"]とコマンドに追加します。
以下の公開情報もあわせてご参照ください。
広告
目の疲れを防止するにはPCメガネがオススメです!
高スペックPCが約3万円で購入できます
アフィリエイトをするなら「もしもアフィリエイト(登録無料)」