One Drive for Business監査ログ取得する為の仕込み方法

One Drive for Business監査ログ取得する為の仕込み方法

2018年4月17日
Google AdSenseの広告です。クリックすると詳細な情報が見れます。

“One drive for Business”にて操作ログ(アクセスログ)を確認します。何か障害が発生した際に原因究明をするためにも、このOneDriveアクセスログを取得することは、とても重要です。今回はOneDriveのアクセスログ(操作ログ、監査ログ)の取得方法について手順をシェアします。

OneDriveのアクセスログ

OneDrive内に保存されているデータに変更があった時に、操作ログを記録しておく機能のことです。

OneDrive監査ログ

有事の際、情報漏洩や重要書類の紛失した際にOneDriveアクセスログを解析して監査します。

Office 365 監査ログ レポートについて:OneDriveアクセスログ取得

Office 365 では、Office 365 監査ログ レポート (ユーザー アクティビティ レポート) にて、SharePoint Online および OneDrive for Business のユーザー操作 (表示、編集、削除、ファイルのダウンロード・アップロード・作成、共有など) の監査機能があります。
Office 365 監査ログでは指定した日付から過去 90 日の範囲内で検索を行うことが可能です。
また、本機能は Exchange Online のライセンスが必要となる機能です。
Office 365 監査ログ (ユーザー アクティビティ レポート) をご確認する管理者ユーザーには Exchange Online のライセンスを付与する必要があります。

Office 365 監査ログで取得可能なログの種類

SharePoint Online および OneDrive for Business に関して取得可能な主なログについて
テナント内のユーザーがファイルをアップロードした際の操作ログ、テナント内のユーザーが共有を実施した際のログ、共有したアイテムが共有先でダウンロードされた際の操作ログなどが取得が可能です。
※ 下記以外にも多数のログが取得可能です。
・ ファイルのアクセス
・ ファイルのチェックイン
・ ファイルのチェックアウト
・ ファイル チェックアウトの破棄
・ ファイルのコピー
・ ファイルの削除
・ ごみ箱からのファイルの削除
・ 第 2 段階のごみ箱からのファイルの削除
・ ファイルのダウンロード
・ ファイルのアクセス
・ ファイルの変更
・ ファイルの移動
・ ファイルの名前変更
・ ファイルの復元
・ ファイルのアップロード
・ ファイル、フォルダー、またはサイトの共有解除
・ ファイル、フォルダー、またはサイトの共有
・ 共有の招待の作成
・ 共有の招待の承諾
・ 共有の招待の取り下げ
・ アクセス要求の承諾
・ アクセス要求の作成
・ アクセス要求の拒否
・ 匿名リンクの作成
・ 匿名リンクの使用
・ 匿名リンクの削除
・ 匿名リンクの更新
上記以外にも約 100 項目についてのログ取得が可能です。
参考URLはこちらです。
Office 365 監査ログの詳細なプロパティ

Office 365 監査ログの利用方法について

Office 365 監査ログでは、SharePoint Online および OneDrive for Business におけるユーザー操作のログ取得が可能です。
以前の監査ログと異なり、ファイルのアクセスや、ダウンロードに関するログの取得も可能です。
利用するには、事前に [ユーザー アクティビティのレコーディングを開始する] を有効にする必要があります。

機能の有効化 (事前設定)

利用開始前に以下の設定にて機能をオンに切り替えておく必要があります。
1) 全体管理者アカウントにて、Office 365 管理センターにアクセスします。
2) 画面左側メニューにて [管理センター] – [セキュリティ] をクリックします。
3) 左側メニュー “検索と調査” セクションの [監査ログの検索] をクリックします。
※ 後述の項目が表示されない場合には、既にオンになっているため、以下設定は不要です。
4) [ユーザーと管理者のアクティビティの記録を開始する] をクリックします。
5) メッセージが表示されるので [有効にする] をクリックします。
6) “監査ログの収集がオンになりました。数時間以内に組織の監査ログの収集を開始します。” と表示されます。
7) 上記メッセージが表示されなくなったら、ログの収集が可能です。
以下の “機能の利用手順” をご実施します。

機能の利用手順

1) 全体管理者アカウントにて、Office 365 管理センターにアクセスします。
2) 画面左側メニューにて [管理センター] – [セキュリティ] をクリックします。
4) 左側メニュー “検索と調査” セクションの [監査ログの検索] をクリックします。
5) メニューより条件を指定し [検索] をクリックします。

– アクティビティ

監査されたい項目を指定できます。(複数選択可能)
一旦、”すべてのアクティビティの結果を表示” で確認してください。

– 開始日

検索の開始日を指定できます。設定手順を実施した日から選択することが可能です。

– 終了日

検索の終了日を指定できます。操作日の翌日までを選択することが可能です。

– ユーザー

取得したいユーザーを指定できます。招待済みであれば、テナント外部のユーザーを指定することも可能でございます。

– ファイル、フォルダー、またはサイト

ファイル名、フォルダー名、サイト URL (“https://<ドメイン名>.sharepoint.com” を含めず入力) を指定できます。
例 : “https://<ドメイン名>.sharepoint.com/sites/testA/List/1/” というリスト内のアイテムの場合、”sites/testA/List1/” と入力することで指定が可能です。

検索結果のエクスポート手順

上記操作手順の結果表示後、画面右上の [結果のエクスポート] をクリックし、以下からエクスポート方法を選択
・ 読み込まれた結果を保存します
画面に結果として表示された内容が記載された CSV ファイルが生成されます。
最大 1000 までの結果を出力することが可能となります。
・ すべての結果をダウンロードします
画面に結果として表示された内容に加え、システム等のログ情報が記載された CSV ファイルが生成されます。
1000 を超えた結果を出力が可能となりますが、出力に膨大な時間がかかる可能性があります。

出力された CSV ファイルが文字化けする場合の対処方法

1) 出力された CSV をメモ帳で開きます。
2) メモ帳の [ファイル] – [名前を付けて保存] をクリックします。
3) 文字コードを [ANSI] に変更し [保存] をクリックします。
4) 保存されたファイルを Excel で開き、文字化けが改善されている事を確認します。

<補足情報>取得した監査ログから、OneDrive for Business 上のアクティビティのみ抽出する方法について

OneDrive for Business 上のアクティビティのみを指定して検索したい場合、監査ログの検索画面の “ファイル、フォルダー、またはサイト” に “personal” と入力することで、全ユーザーの OneDrive for Business 上のアクティビティのみを指定することが可能です。
※ 特定のユーザーの OneDrive for Business 上のみを対象とする場合は、”personal <ユーザーアカウントの @ より前>” と入力します。
例)「personal◇ユーザーアカウント」◇はスペースを空けます。
※ 特定のフォルダー内のファイルに対するログを確認したい場合は、”personal <ユーザーアカウントの @ より前> <フォルダー名>” と入力します。この際、フォルダー名は完全一致している必要があることを検証環境にて確認します。

ひとり情シスより

社内ファイルサーバの運用と同様で、保存されているファイルに何か障害が発生した際に、アクセスログ、アクセス履歴を追えるようにしておくことは、情報システムの基本です。また、有事の際に監査ログ(OneDrive監査ログ)を取得保管しておくことはとても重要です。運用設計時にはまずここはしっかりと学習しておく必要があるでしょう。