Office 365 監査ログ レポートの PowerShell コマンドレットによる利用方法


やっっっっっと、Office 365 監査ログ レポート (直前まで Office 365 アクティビティ レポートとも言っていました) がリリースされました。

Auditing, reporting and storage improvements for SharePoint Online and OneDrive for Business
https://blogs.office.com/2016/02/17/auditing-reporting-and-storage-improvements-for-sharepoint-online-and-onedrive-for-business/

Search the audit log in the Office 365 Protection Center
https://support.office.com/en-us/article/0d4d0f35-390b-4518-800e-0c7ec95e946c

Office 365 監査ログ レポートの機能そのものに関しては以下を参照ください。

Search the audit log in the Office 365 Protection Center
https://support.office.com/en-us/article/0d4d0f35-390b-4518-800e-0c7ec95e946c

今回は、PowerShell コマンドレットである Search-UnifiedAuditLog を利用してみます。

Search-UnifiedAuditLog
https://technet.microsoft.com/en-us/library/mt238501(v=exchg.160).aspx

利用に際して最初の壁になるのが、IP アドレスやユーザー エージェントなど詳細な情報がパラメータ AuditData に JSON フォーマット ({“abc”:”xyz”,”def”:”123”,…}) で入っているので、分割が必要だという点です。
Exchange、SharePoint や Azure Adcite Directory など各種サービスの情報をまとめているので、情報の構造が異なるためにこのようなフォーマットになっているのですが、素晴らしいことに PowerShell には ConvertFrom-Json コマンドレットがありますので上手に利用します。

ということで、こちらに簡単なサンプルを記載してみます。AuditData から IP アドレスと ObjectId (ファイルを参照した場合だとファイルのフルパス) を抜き出して CSV ファイルとして保存しています。

$credential = Get-Credential

Connect-MsolService -Credential $credential

# Exchange Online へ接続

$exchangeSession = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri “https://outlook.office365.com/powershell-liveid/” -Credential $credential -Authentication “Basic” -AllowRedirection

Import-PSSession $exchangeSession

# Office 365 監査ログ レポートの情報の取得

$logs = Search-UnifiedAuditLog -StartDate 1/5/2016 -EndDate 2/14/2016 -RecordType SharePointFileOperation -ResultSize 5000

# CSV ファイルへの出力

Foreach ($log in $logs)

{

$data = (ConvertFrom-Json $log.AuditData)

$output = $log.CreationDate.ToString() + “,” + $log.UserIds + “,” + $log.Operations + “,” + $data.ClientIP + “,” + $data.ObjectId

Add-Content -path C:\Temp\auditlog.csv $output -Encoding String

}

すごく簡単な参考資料 (https://doc.co/Wvr39x) も見ながら、Office 365 監査ログ レポートの機能をうまく活用してみてください。

広告