Microsoft 365 Auditlogs nach Excel exportieren

Die Auditlogs von Diensten aus Microsoft 365 können berechtigte Accounts auswerten und als csv-Datei exportieren. Mit ein wenig Anpassung ist es eine vollwertige Übersicht die über Excel auswertbar ist.

In den Auditlogs protokolliert Microsoft Aktivitäten aller Azure AD Accounts um auf Anforderung die Logs für definierte Aktivitäten auszuwerten. Für Details beachte den Blogpost. Die Ergebnisse einer Abfrage kann ein berechtigter Account in eine csv-Datei exportieren. Ohne Nachbesserung am Export kann es mit Excel nicht wie gewohnt ausgewertet oder gefiltert werden. In dem Post soll es eine Anleitung sein wie der Standardexport von Microsoft so angepasst wird damit eine vollständige Auswertung und Filteroptionen möglich sind.

  1. Du solltest den ersten Blogpost zum Thema M365 Auditlogs kennen.
  2. Öffne mit einem berechtigten Account das neue Microsoft 365 Compliance Center und wähle in der linken Navigationsbar Audit. Vielleicht musst du alle Navigationspunkte einblenden lassen damit du Audit findest.
  3. Dort kannst du die gewünschte Auswertung definieren und eine Suche starten. Beachte den Zeitraum wie lange Microsoft die Daten pro Lizenz durchsuchen lässt.
LizenzZeitraum
Microsoft 365 E5 und Office 365 E5365 Tage
Alle anderen Lizenzen90 Tage
  1. Die Ergebnisse kannst du mit der Exportoption exportieren. Es wird zwischen zwei Optionen unterschieden.
    • Save loaded results
      Exportiert alles was im Moment angezeigt wird.

    • Download all results
      Exportiert alle Ergebnisse für diese Abfrage. Das Maximum sind 50.000 Ergebnisse pro Export. Im GUI zeigt es die Summe aller gefundenen Items an. Sind es mehr solltest du die Abfrage verändern. Den Export kannst du trotzdem durchführen. Es wird dir nur 50.000 Ergebnisse exportieren.

  2. Den Export für alle Ergebnisse speichert es in eine csv-Datei. Die Datei hat standardmässig 4 Spalten: CreationDate, UserIds, Operations, AuditData
  3. Die relevanten Informationen sind in der Spalte AuditData inkludiert. Daten in der Spalte sind in JSON formatiert. Excel kann JSON ebenfalls konvertieren. Das Ziel ist diese Werte für eine Auswertung in Excel aufzubereiten.
  4. In der Ribbon-Bar von Excel unter Daten wähle Daten abrufen > Power Query-Editor starten.
  1. Es öffnet sich ein leerer Power Query-Editor. Den csv-Export von vorhin musst du als neue Datenquelle in den Editor einbinden. Wähle im Menü Neue Quelle > Datei > Text/CSV und wähle deinen csv-Export.
  1. Es wird dir die ersten 200 Zeilen zur Vorschau anzeigen. Bestätige den Import.
  2. Insgesamt hat es alle 4 Spalten importiert, relevant ist nur die Spalte AuditData. Um die Daten aus der Spalte in ein für Excel lesbares Format zu konvertieren muss der Editor wissen wie es die Spalte konvertieren soll.
  3. Rechtsklick auf die Spalte AuditData > Transformieren > JSON.
  1. Der Header dieser Spalte verändert sich. Das Zeichen mit den zwei Pfeilen wird dir eine Vorschau zeigen welche Spaltennamen es im JSON erkannt hat. Damit gibst du an welche Werte es konvertieren soll.
  1. Bestätigst du die Auswahl wird der Editor die JSON-Werte in Spalten konvertieren.
  1. Das lesbare Format in Excel ist damit soweit fertig. Über den Power Query-Editor kann das Ergebnis in die Excel-Datei übertragen werden. Wähle in der Ribbon-Bar Schliessen & laden. Damit erstellt es in Excel ein neues Tabellenblatt und überträgt die Ergebnisse aus dem Editor.
  1. Als letzten Schritt solltest du die zuvor importierte Datenquelle (die csv-Datei) wieder entfernen. Da die Konvertierung abgeschlossen ist benötigt es die angefügte Datenquelle nicht mehr. Im Excel zeigt es dir auf der rechten Seite “Abfragen und Verbindungen” an. Über Rechtsklick auf die Datenquelle ist es möglich diese aus der Excel-Datei zu entfernen.
  1. Im Excel kannst die Spalten nun wie gewohnt ausblenden, löschen, filtern usw. Die Bezeichnungen der Spalten sind praktisch selbstbeschreibend.
Share
Avatar-Foto

Tobias Asböck

Tobias ist ein Senior System Engineer mit rund 10 Jahren Berufserfahrung für Microsoft 365 Produkte wie SharePoint Online, OneDrive for Business, Teams Collaboration, Entra ID, Information Protection, Universal Print und Microsoft 365 Lizenzierung. Aus der Vergangenheit kennt er über einen Zeitraum von 15+ Jahren die Planung, Administration und den Betrieb von SharePoint Server Umgebungen. Tobias ist ein PowerShell Scripter mit Zertifizierungen für Microsoft 365 Produkte. In seiner Freizeit beschäftigt sich Tobias mit Aktualisierungen in der M365-Welt, ist mit seinem Rennvelo unterwegs und anderen sportlichen Aktivitäten beschäftigt. Bei Fragen kontaktiere mich über LinkedIn oder [email protected].

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert