簡単解説！ダウンロードした監査ログのデータを簡単に参照する方法

Microsoft 365 / Office 365 管理者の皆さま、組織の監査担当の皆さま、監査ログをダウンロードして閲覧されたことはございますか？
ダウンロードした素の状態で「誰が・何を・どうしたのか」を読み取ることは、かなり難易度が高いです。

今回は、このダウンロードした監査ログのデータを簡単に参照できるように、Step by Step でデータの変換方法を解説していきたいと思います。

ダウンロードした素の状態の監査ログ

まずは、監査ログを検索して結果をダウンロードします。 

---

ファイルには各監査イベントに関する追加情報が含まれる AuditData という列があります。

この AuditData 列のデータは JSON オブジェクトとして書式設定されており、コンマで区切られた複数のプロパティが含まれています。
このデータは、そのままでは参照することが難しいでのすが Excel の Power Query  エディターの JSON 変換機能を使用することで AuditData 列の各プロパティを複数の列に分割することができます。

これにより、各プロパティに対して並べ替えとフィルター処理を行うことが出来るようになり、探している特定の監査データをすばやく簡単に見つけることができるようになります。

ダウンロードした監査ログの変換方法

1．検索した監査ログをダウンロードしておきます。

2．Excel を起動します。

3．[データ] タブをクリックして、[データの取得と変換] グループにある [テキストまたはCSVから] をクリックします。

4．ダウンロードしておいた監査ログのCSVファイルを開きます。

5．表示されたウィンドウから [データの変換] をクリックします。

6．CSVファイルが Power Query エディターで開かれたら、AuditData 列のタイトルを右クリックして [変換] > [JSON] をクリックします。

7．AuditData 列の右上隅にある [展開] アイコンをクリックします。

8．[さらに読み込む] をクリックして AuditData 列のすべてのプロパティを表示します。

※ 注意 ※
上図のプロパティは CSVファイルの 1000行目までのデータが含まれます。1001行目以降に別のプロパティがある場合、次の手順９で複数の列に分割された際にそのプロパティに対応する列は作成されません。
これについては、監査ログ検索時に検索条件を絞り、返されるレコード数を減らすか、手順６の前に Operation 列にフィルターを適用して行数を減らすことで回避できる場合があります。

9．[元の列名をプレフィックスとして使用します] のチェックのオン/オフを選択して [OK] をクリックすると、AuditData 列は複数のプロパティの列に分割されます。

☑ チェックをオンにした場合は、プロパティ名の前に ”AuditData” が付きます。

□ チェックをオフにした場合は、プロパティ名のみの列になります。

10．[ホーム] タブにある [閉じて読み込む] をクリックします。

11．変換されたCSVファイルがExcelで開かれます。

参考リンク

監査ログ レコードをエクスポート、構成、表示する – Microsoft 365 Compliance | Microsoft Docs