Экспорт данных журнала аудита

  • 10 мин

Как стандартные, так и премиум-версии Аудит Microsoft Purview имеют возможность экспортировать журналы аудита в CSV-файл. Эта функция необходима для выполнения подробного анализа данных и соответствия требованиям к отчетам о соответствии. Экспорт CSV позволяет выполнять обширные операции с данными и более глубокие аналитические сведения о действиях аудита, которые важны для поддержания высоких стандартов безопасности данных в конфиденциальных средах.

После защиты электронных записей работоспособности (EHR) с помощью Аудит Microsoft Purview ит-отдел в нашей сети здравоохранения теперь сосредоточен на функциональных возможностях экспорта. Экспортируя журналы аудита, они стремятся углубить анализ, поддерживая текущие оценки безопасности и соответствие стандартам защиты данных о работоспособности.

Здесь вы узнаете:

  • Экспорт журналов аудита в CSV-файл.
  • Используйте Редактор Power Query Excel для управления и анализа данных аудита.
  • Настройте экспорт журналов аудита с помощью PowerShell в соответствии с конкретными потребностями исследования.

Экспорт и преобразование данных журнала аудита

Понимание эффективного экспорта и преобразования данных журнала аудита имеет решающее значение для комплексного анализа данных и мониторинга соответствия требованиям. Вот как можно обрабатывать процесс экспорта и преобразования с помощью средств Аудит Microsoft Purview и Редактор Power Query Excel.

Экспорт результатов поиска в журнале аудита

  1. Начните с поиска в журнале аудита. Настройте критерии поиска по мере необходимости, чтобы обеспечить запись необходимых данных.

  2. На странице результатов поиска выберите "Экспорт" , чтобы скачать все записи аудита из поиска в CSV-файл. Подготовка скачивания может занять время, особенно для больших поисковых запросов.

    Снимок экрана: место экспорта для экспорта данных.

  3. После завершения процесса экспорта появится запрос, который поможет вам открыть CSV-файл и сохранить его на локальном компьютере. Вы также можете получить доступ к CSV-файлу в папке Загрузки.

    • В CSV-файл можно загрузить до 50 000 записей результатов одной операции поиска по журналу аудита. Если результаты поиска превышают это ограничение, рекомендуется использовать более узкий диапазон дат для управления объемом данных.

Преобразование данных журнала аудита с помощью редактора Power Query

После экспорта данных аудита следующий шаг включает использование Редактор Power Query Excel для повышения удобства чтения и удобства использования данных.

  1. Откройте пустую книгу в Excel и перейдите на вкладку "Данные ". Выберите "Из текста или CSV", чтобы открыть экспортируемый CSV-файл .

    Снимок экрана: кнопка

  2. После открытия CSV-файла выберите "Преобразовать данные", чтобы начать редактирование в Редактор Power Query.

    Снимок экрана: кнопка преобразования данных в Excel.

  3. Щелкните правой кнопкой мыши AuditData, выберите "Преобразовать", а затем в Редактор запросов выберите JSON. Этот шаг преобразует данные в доступный для чтения формат, создавая отдельные столбцы для каждого свойства в объекте JSON.

    Снимок экрана, показывающий, где выбрать преобразование, а затем JSON для анализа данных.

  4. Щелкните значок развертывания в правом верхнем углу столбца AuditData , чтобы просмотреть список свойств в объектах JSON.

    Снимок экрана: значок развертывания.

  5. Если изначально отображаются только некоторые свойства, выберите "Загрузить больше ", чтобы отобразить полный список свойств в объектах JSON.

    Снимок экрана, на котором показано, где выбрать

  6. Отмените выбор каких-либо свойств, которые не нужно упростить представление данных. Это помогает сосредоточиться только на соответствующих данных для анализа.

    • Помните, что свойства, отображаемые после нажатия кнопки "Загрузить больше ", основаны на первых 1000 строках в CSV-файле. Если разные свойства существуют за пределами этих строк, они не отображаются при развертывании столбца AuditData . Чтобы обеспечить запись всех необходимых свойств, может потребоваться уточнить поиск в журнале аудита, чтобы вернуть меньше записей или отфильтровать менее релевантные данные в столбце Operations перед расширением AuditData.

  7. Определите, нужно ли включить исходное имя столбца в качестве префикса в новые заголовки столбцов, что может помочь обеспечить четкость источника данных.

  8. После настройки столбцов нажмите кнопку "ОК ", чтобы применить преобразования. Каждое свойство из объекта JSON теперь отображается в собственном столбце, что упрощает анализ данных.

  9. Чтобы завершить работу, нажмите кнопку "Закрыть и загрузить" на вкладке "Главная", чтобы выйти из Редактор Power Query и открыть преобразованный CSV-файл в книге Excel.

Поиск и экспорт записей журнала аудита с помощью PowerShell

Для более настраиваемого Search-UnifiedAuditLog поиска в журнале аудита рекомендуется использовать командлет в Exchange Online PowerShell. Этот подход позволяет точно запрашивать запросы, особенно при фильтрации по RecordType. После экспорта CSV-файл можно отформатировать с помощью того же метода, что и в редакторе Power Query в Excel.

Пример. Экспорт записей аудита SharePoint

Представьте, что ит-отдел по соответствию требованиям в вашей сети здравоохранения должен просматривать операции совместного использования SharePoint в рамках аудита доступа к записям работоспособности и совместному использованию. Вот как они могут использовать PowerShell для записи и анализа этих действий:

  1. Выполните поиск операций совместного использования SharePoint в течение определенного периода, выполнив следующие действия :

    $auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
    • Экспортируйте результаты в CSV-файл:
    $auditlog | Select-Object -Property CreationDate, UserIds, RecordType, AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

    Полученный файл, PowerShellAuditlog.csv, включает четыре столбца: CreationDate, UserIds, RecordType, AuditData.

  2. Добавьте дополнительные данные в существующий CSV-файл, выполнив следующую команду:

    $auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation

    $auditlog | Select-Object -Property CreationDate, UserIds, RecordType, AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Советы по экспорту и просмотру журнала аудита

После экспорта данных используйте Редактор Power Query в Excel для преобразования объекта JSON в столбце AuditData в структурированный формат. Этот процесс улучшает видимость данных и помогает в анализе точек:

  • Фильтрация по RecordType: фокус на конкретных событиях, таких как операции совместного использования SharePoint, для упрощения проверок и обеспечения соответствия нормативным требованиям по данным здравоохранения.
  • Фильтрация по операциям. Сузьте до точных действий для отслеживания того, как конфиденциальная информация осуществляется или изменяется.

Проверка знаний

Выберите оптимальный ответ на приведенный ниже вопрос.