보유자 감사 활동 보기

사용자가 특정 문서를 보았는지 또는 사서함에서 항목을 제거했는지 확인해야 하나요? Microsoft Purview eDiscovery(프리미엄)는 이제 Microsoft Purview 규정 준수 포털 기존 감사 로그 검색 도구와 통합됩니다. 이 포함된 환경을 사용하면 eDiscovery(프리미엄) 보유자 관리 도구를 사용하여 사례 내의 보유자 활동에 쉽게 액세스하고 검색하여 조사를 용이하게 할 수 있습니다.

권한 가져오기

감사 로그를 검색하거나 내보내려면 Exchange Online 보기 전용 감사 로그 또는 감사 로그 역할이 할당되어야 합니다. 기본적으로 이러한 역할은 Exchange 관리 센터의사용 권한 페이지에 있는 준수 관리 및 조직 관리 역할 그룹에 할당됩니다. 사용자에게 최소 권한 수준으로 eDiscovery(프리미엄) 감사 로그를 검색할 수 있는 기능을 제공하려면 Exchange Online 사용자 지정 역할 그룹을 만들고 보기 전용 감사 로그 또는 감사 로그 역할을 추가한 다음 사용자를 새 역할 그룹의 구성원으로 추가할 수 있습니다. 자세한 내용은 Exchange Online에서 역할 그룹 관리를 참조하세요.

1단계: 감사 로그에서 관리자가 수행한 활동 검색

1. eDiscovery eDiscovery>(프리미엄)로 이동하여 사례를 엽니다.

2. 원본 탭 을 선택합니다.

3. 보유자 페이지에서 목록에서 보유자를 선택한 다음 플라이아웃 페이지에서 보유자 활동 보기를 선택합니다.

   보유자 활동 검색 페이지가 표시됩니다. 이전 단계에서 선택한 보유자가 보유자 드롭다운 상자에 표시됩니다. 드롭다운 상자에서 다른 보유자를 선택할 수 있지만 한 번에 한 명의 보유자에 대한 활동만 검색할 수 있습니다.

   

4. 다음과 같은 검색 조건을 구성합니다.

   1. 활동 - 검색할 수 있는 활동을 표시하려면 드롭다운 목록을 선택합니다. 검색을 실행하면 선택한 활동에 대한 감사 기록만 표시됩니다. 모든 활동에 대한 결과 표시를 선택하면 다른 검색 조건과 일치하는 보유자가 수행한 모든 활동에 대한 결과가 표시됩니다.

      

   2. 시작 날짜 및 종료 날짜 - 해당 기간 내에 발생한 이벤트를 표시할 날짜 및 시간 범위를 선택합니다. 지난 7일이 기본적으로 선택됩니다. 날짜 및 시간은 UTC(협정 세계시) 형식으로 표시됩니다. 지정할 수 있는 최대 날짜 범위는 1년입니다.

   3. 보유자 - 이 상자에서 선택한 다음 검색 결과를 표시할 특정 보유자를 선택합니다. 이 상자에서 선택한 사용자가 수행한 선택한 활동에 대한 감사 레코드가 결과 목록에 표시됩니다.

5. 검색 조건을 사용하여 검색을 실행합니다. 검색 결과가 로드되고 잠시 후 관리자 활동 검색 페이지의 결과 아래에 표시됩니다.

2단계: 감사 로그 검색 결과 보기

감사 로그 검색의 결과는 보유자 감사 로그 페이지의 결과 아래에 표시됩니다. 최대 5,000개(최신) 이벤트가 150개 이벤트 단위로 표시됩니다. 더 많은 이벤트를 표시하려면 결과 창에서 스크롤 막대를 사용하거나 Shift + End를 눌러 다음 150개의 이벤트를 표시할 수 있습니다.

결과에는 검색에서 반환되는 각 이벤트에 대한 다음 정보가 포함됩니다.

• 날짜: 이벤트가 발생한 날짜 및 시간(UTC 형식)입니다.
• IP 주소: 활동을 기록할 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다.
• 사용자: 이벤트를 트리거한 작업을 수행한 사용자(또는 서비스 계정)입니다.
• 활동: 사용자가 수행한 활동입니다. 이 값은 활동 드롭다운 목록에서 선택한 활동에 해당합니다. Exchange 관리자 감사 로그의 이벤트에 대한 이 열의 값은 Exchange cmdlet입니다.
• 항목: 해당 활동의 결과로 생성 또는 수정된 개체입니다. 예를 들어, 보거나 수정된 파일 또는 업데이트된 사용자 계정입니다. 일부 활동은 이 열에 값이 없습니다.
• 세부 정보: 활동에 대한 추가 정보입니다. 마찬가지로, 일부 활동에는 값이 없습니다.

3단계: 검색 결과 필터링

정렬 외에도 감사 로그 검색 결과를 필터링할 수 있습니다. 이렇게 하면 특정 사용자 또는 활동에 대한 결과를 빠르게 필터링할 수 있습니다.

결과를 필터링하려면

1. 감사 로그 검색을 만들고 실행합니다.

2. 결과가 표시되면 결과 필터링을 선택합니다.

3. 각 열 머리글 아래에 키워드 상자가 표시됩니다.

4. 열 머리글 아래의 상자 중 하나를 선택하고 필터링하는 열에 따라 단어 또는 구를 입력합니다. 결과가 동적으로 다시 조정되어 필터와 일치하는 이벤트를 표시합니다.

5. 필터를 지우려면 필터 상자에서 X 를 선택하거나 필터링 숨기기를 선택합니다.

검색 결과를 파일로 내보내기

감사 로그 검색 결과를 로컬 컴퓨터의 CSV(쉼표로 구분된 값) 파일로 내보낼 수 있습니다. Microsoft Excel에서 이 파일을 열고 검색, 정렬, 필터링 및 단일 열(다중 값 셀 포함)을 여러 열로 분할하는 등의 기능을 사용할 수 있습니다.

1. 감사 로그 검색을 실행한 다음 원하는 결과를 얻을 때까지 검색 조건을 수정합니다.

2. 결과 내보내기를 선택하고 다음 옵션 중 하나를 선택합니다.

   • 로드된 결과 저장: 관리자 감사 로그 검색 페이지의 결과 아래에 표시되는 항목만 내보내려면 이 옵션을 선택합니다. 다운로드한 CSV 파일에는 페이지에 표시되는 것과 동일한 열(날짜, 사용자, 활동, 항목 및 세부 정보) 및 데이터가 포함되어 있습니다. 감사 로그 항목의 추가 정보가 포함된 추가 열( 자세히)이 CSV 파일에 포함되어 있습니다. 감사 로그 검색 페이지에 로드되어 표시되는 것과 동일한 결과를 내보내기 때문에 최대 5,000개의 항목이 내보내집니다.

   • 모든 결과 다운로드: 검색 조건을 충족하는 감사 로그에서 모든 항목을 내보내려면 이 옵션을 선택합니다. 대규모 검색 결과 집합의 경우 이 옵션을 선택하여 감사 로그에서 모든 항목을 다운로드하고 , 관리자 감사 로그 검색 페이지에 표시할 수 있는 5,000개의 결과를 다운로드합니다. 이 옵션은 감사 로그에서 CSV 파일로 원시 데이터를 다운로드하고 AuditData라는 열에 있는 감사 로그 항목의 추가 정보를 포함합니다. 파일이 다른 옵션을 선택할 경우 다운로드되는 파일보다 훨씬 더 클 수 있기 때문에 이 내보내기 옵션을 선택할 경우 파일을 다운로드하는 데 오래 걸릴 수 있습니다.

     중요

     단일 감사 로그 검색에서 최대 50,000의 항목을 CSV 파일로 다운로드할 수 있습니다. 50,000개의 항목이 CSV 파일로 다운로드되면 검색 조건에 맞는 이벤트가 50,000개 이상 있다고 가정할 수 있습니다. 이 제한보다 많은 항목을 내보내려면 날짜 범위를 사용하여 감사 로그 항목 수를 줄이세요. 50,000개 이상의 항목을 내보내기 위해 더 작은 날짜 범위로 여러 번 검색을 실행해야 할 수 있습니다.

3. 내보내기 옵션을 선택하면 CSV 파일을 열거나 다운로드 폴더에 저장하거나 특정 폴더에 저장하라는 메시지가 창 아래쪽에 표시됩니다.

감사 로그 검색 결과를 보거나 필터링하거나 내보내는 방법에 대한 자세한 내용은 감사 로그 검색을 참조하세요.