审计日志本身不像警报策略,数据防丢失保护策略等自带一份图表,所以很多可以通过审计日志发现的问题并不直观,其次管理员中心所显示的用户使用每个SaaS的情况(Usage)并不包含所有的SaaS软件,如果管理员想看个Power BI的使用量,那么是看不到的。也许微软自己内部有部门可以调去这个数据,但是肯定也比较麻烦。
那么我们尝试用Power BI结合审计日志来看看能获取到什么样的信息。
注:读者最好有一些Power BI的基础,后面我会传一个大约30个章节的课程到51里。不过这里你可以按照步骤一步一步来也没问题。
审计日志本身是可以下载为一个Excel文件,但是这个文件里是有很多的问题:
1.过多的无效信息,比如好几项GUID
2.重复信息,只是对行为的抬头标注不一样,但是本身信息是重复的
3.不包含用户名,只包含UPN,不容一眼看出是谁
4.审计日志只能存过去3个月的信息
我们一样一样来看,先解决这些无效信息。我们直接用Power BI把这份审计日志导入,然后选择查询编辑–也就是处理数据
这里我们把除了这列JASON格式的其他列全部删除,因为JASON格式中包含了我们所需的全部信息
可以看到里面包含的信息:
解析JASON
对于JASON格式,Power BI提供了专门的解析功能,只需要点击一下,就全部展开了
展开
但是展开前我们要剔除掉一些没用的数据,这里我剔除了以下数据:第一次你可以先全部展开来看到底都有哪些信息,根据情况来定,不一定按照我这里的。
ID
OrganizationID
RecordType
UserKey
UserType
Version
ClientIP
ObjectID
ApplicationDisplayName
ApplicationId
CorrelationId
EventSource
ItemType
EventData
拆分一下时间信息:
用split column
留下来的这些都是最有用的信息,当然一定要重命名抬头
到这里处理数据就结束了,那么如何解决用户名取代UPN的问题?
很简单,我们把所有的活动用户都下载下来,在Office 365活跃用户这里,这份表格稍微处理一下也导入到Power BI中
处理完的数据,当然我这是测试账号,所以跟实际生产环境肯定有区别,最好也把外部用户剔除掉
很显然,两份表格有键,就是UPN,我们建立这个关系(如果你数据都是一起导入的话,Power BI有可能会自动建立)
现在我们就可以开始制作我们想要的报告了。
注:无需做的跟我一样,而且本身测试账户的数据也没有很大说服力,生产环境的真实数据会更好一些
针对这个审计日志只保留30天的问题,我们可以用一个PowerShell脚本来解决,用Windows task scheduler来设置一个任务,每过30天自动下载一次,然后手动追加上这条数据
命令:
Search-UnifiedAuditLog -StartDate 6/21/2019 -EndDate 9/21/2019
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
