So verwenden Sie Microsoft 365-Nutzungsprotokolle optimal

microsoft 365

In diesen Beiträgen finden Sie weitere Tipps zu den Admin Centern, in welchen Sie die Microsoft 365-Nutzungsprotokolle beispielsweise aufrufen können:


Geh dahin zurück, wo du angefangen hast, oder so weit zurück, wie du kannst, prüfe alles, gehe deinen Weg noch einmal und erzähle die Wahrheit darüber. Singe oder schreie oder bezeuge oder behalte es für dich: Aber sei dir bewusst, woher du kamst.“ -James Baldwin

Wann immer eine Aktion in Microsoft 365 durchgeführt wird, wird diese Aktion protokolliert. Was genau protokolliert wird, hängt von der Art der Aktion ab, die durchgeführt wird, und davon, was mit dieser Aktion geschieht. Sprechen wir also weiter über Microsoft 365-Nutzungsprotokolle. Alle Aktionen haben einige Eigenschaften gemeinsam wie z. B. das Datum und die Uhrzeit, zu der sie ausgeführt wurde, die Art der Aktion, den ausführenden Nutzer und das betroffene Objekt.

Je nach Art der durchgeführten Aktion werden auch zusätzliche Informationen protokolliert. Eine Aktion, die beispielsweise an einer SharePoint-Datei durchgeführt wird, enthält auch Informationen über die SharePoint-Site, den Dateinamen usw.

Dies kann schnell zu einer beträchtlichen Menge an Daten führen, die es zu durchblicken gilt. Dieser Datenpool ist nicht nur recht umfangreich, da er alle Workloads in Microsoft 365 und einige andere abdeckt, sondern kann auch sehr tief sein. Es ist klar, dass das Durchforsten dieser Datenmenge nicht jedermanns Sache ist, und deshalb hat Microsoft mehrere Mechanismen für den Zugriff darauf bereitgestellt.

Nachfolgend sind die Möglichkeiten aufgeführt, mit denen die Daten der Microsoft 365-Nutzungsprotokolle angezeigt werden können. Es sei darauf hingewiesen, dass die Begriffe „Audit”, „Nutzung” und „Aktivität” im Folgenden synonym verwendet werden, da sie sich bei Microsoft alle auf ein und dieselbe Sache beziehen, nämlich die Microsoft 365-Nutzungsprotokolle.

Im Kontext

Wenn Sie schon einmal den Detailbereich eines Dokuments in Microsoft 365 überprüft haben, ist Ihnen vielleicht der Abschnitt Aktivität aufgefallen.

Dies ist eine Ansicht der Daten in den Nutzungsprotokollen, die auf das ausgewählte Dokument beschränkt ist. Standardmäßig werden alle Aktivitäten angezeigt, die sich auf das ausgewählte Dokument innerhalb der letzten 90 Tage beziehen.

Kontextbezogene Berichte können auch andere Formen annehmen. Wenn Sie auf einer SharePoint-Site auf die Schaltfläche Analytics klicken, öffnet sich ein Fenster mit einem Bericht, der die Aktivitäten der Aufrufe für diese Site auflistet.

Dieser Bericht zeigt Ansichten von drei Metriken (Site-Aufrufe, Site-Betrachter, pro Betrachter verbrachte Zeit) über zwei Dimensionen (Datum und Stunde) und aggregiert in drei datumsbasierten Gruppen (die letzten 7, 30 und 90 Tage) an.

Kontextbezogene Berichte haben einen sehr spezifischen Anwendungsbereich. In den obigen Beispielen beziehen sie sich auf ein bestimmtes Dokument und eine bestimmte Site. Sie sind auch auf bestimmte, vordefinierte Maßnahmen beschränkt. Diese Berichte basieren alle auf den in den Audit-Protokollen enthaltenen Daten, aber es ist nicht möglich, sie aufzuschlüsseln oder über mehrere Entitäten hinweg aufzuschlüsseln. Um diese Informationen zu sehen, muss man sich anderweitig umsehen.

Admin Portal

Das Microsoft 365 Admin-Portal enthält einen Berichtsabschnitt, der Unterabschnitte für Produktivitätsbewertung und Nutzung enthält.

Der Produktivitätswert zeigt Messwerte an, die aus Ihrem gesamten Tenant aggregiert werden. Zu Vergleichszwecken sind in diesen Darstellungen auch Durchschnittswerte von Organisationen enthalten, die „ähnlich wie Ihre” sind. Diese Kennzahlen werden im Zeitverlauf der letzten sechs Monate angezeigt und einmal pro Woche aktualisiert.

Der Abschnitt Nutzung enthält eine Vielzahl von Messwerten aus den verschiedenen in Microsoft 365 verfügbaren Workloads. Daten von Exchange, SharePoint, OneDrive, Teams und Yammer sind hier zu finden, zusammen mit Messwerten, die nicht aus dem Arbeitsbereich stammen, wie z. B. aktive Nutzer und Browser-Nutzung. Die meisten dieser Darstellungen ermöglichen es Ihnen, detailliertere Informationen abzurufen. Die Detailseite von Microsoft Teams können Sie unterhalb sehen:

Ein Nutzer kann einen von vier möglichen Zeiträumen auswählen: 7 Tage, 30 Tage, 90 Tage und 180 Tage. Auf dieser Berichtsseite können Sie sehen, dass der 30-Tage-Zeitraum ausgewählt wurde und alle angezeigten Daten diese Auswahl widerspiegeln. Im Detailbereich werden die Gesamtsummen für den ausgewählten Zeitraum angezeigt, in diesem Fall die Gesamtzahl der Channel-Nachrichten, Chat-Nachrichten, 1:1-Anrufe und Meetings für jeden Nutzer.

Es ist möglich, die Daten hinter jeder dieser Darstellungen manuell zu exportieren, indem Sie auf die Schaltfläche „Exportieren” in der gewünschten Darstellung klicken. Dadurch wird eine CSV-Datei heruntergeladen, in der die Daten für den ausgewählten Zeitraum zusammengefasst sind. Weitere Details sind nicht verfügbar.

Die Daten im Admin Portal werden täglich, alle zwei Tage oder wöchentlich angezeigt, je nach Workload.

Microsoft 365-Anwendung zur Nutzungsanalyse

Wenn Ihre Organisation Power BI verwendet, kann die Microsoft 365-Nutzungsanwendung eine Alternative zu den über das Portal verfügbaren Berichten darstellen. Es handelt sich dabei um eine Power BI-Vorlagenapp, für die eine Power-Lizenz erforderlich ist, entweder Pro für Nutzer oder Premium für die Organisation.

Mit dieser Anwendung werden voraggregierte Nutzungsdaten (dieselbe Quelle wie das Admin Portal) in ein Power BI-Datenset gebracht, und die Nutzer können über einen aus mehreren Tabellen bestehenden Power BI-Bericht auf die Daten zugreifen. Die Daten sind hier wie im Admin Portal, workload-basiert und auf Monatsebene voraggregiert.

Microsoft 365 App zur Nutzungsanalyse

Die niedrigste in der Nutzungsanalyse-Anwendung verfügbare Granularitätsebene ist die nach Monat. Sie bietet die gleichen Dimensionen und Kennzahlen wie die Administrator-Anwendung.

Microsoft Graph Reporting API

Die gleichen voraggregierten Daten, die im Admin Portal und in der Nutzungsanalyse-Anwendung verfügbar sind, sind auch programmatisch über die Microsoft Graph Reports API verfügbar. Über diese API ist es möglich, Daten mit einer Granularität von bis zu einem Tag abzurufen, vorausgesetzt, die Daten liegen in den letzten 30 Tagen. Die anderen Granularitätsebenen sind dieselben wie im Admin Portal – 7, 30, 90 und 180 Tage. Daten, die über 180 Tage hinausgehen, sind nicht verfügbar.

Microsoft 365 Compliance Center

Alle vorangegangenen Methoden für die Arbeit mit Nutzungsdaten befassen sich mit Daten, die für bestimmte Zeiträume, Dimensionen und Kennzahlen voraggregiert wurden. In manchen Fällen kann es jedoch notwendig sein, auf die Rohdaten zuzugreifen, um Fragen zu beantworten, die von den integrierten Berichten nicht vorweggenommen wurden, oder um eine detaillierte Analyse durchzuführen. Das Compliance Center bietet diese Detailtiefe, indem es direkten Zugriff auf die Audit-Protokolldaten ermöglicht.

Die Audit-Protokollierung ist standardmäßig aktiviert, kann aber auch ausgeschaltet werden. Um den Status der Protokollierung für einen Tenant zu überprüfen, folgen Sie der Anleitung „Auditing ein- oder ausschalten” im Microsoft 365 Compliance.

Wenn Sie im Microsoft 365 Admin Portal „Compliance” auswählen, wird das Compliance Center geöffnet, und Sie können auf die Audit-Protokolle zugreifen, indem Sie „Audit” im Abschnitt Lösungen auswählen. Daraufhin öffnet sich ein Abfragefenster, in dem Sie das Audit-Protokoll durchsuchen können.

Zu den Suchparametern gehören Start- und Enddatum und -uhrzeit, die einzuschließenden Aktivitäten, die Nutzer, die die Aktion durchgeführt haben, und die URL der Objekte, auf die sich die Abfrage beziehen soll. Im folgenden Beispiel wird nach Aktivitäten des Typs „Kopieren”, „Zugriff” und „Herunterladen” für einen Tag gesucht. Der gesamte Tenant wird in den Suchbereich einbezogen.


Wenn Sie auf die Schaltfläche „Suchen” klicken, werden alle Audit-Datensätze angezeigt, die den Abfrageparametern entsprechen.

Detaillierte Informationen zu jedem Datensatz können durch Anklicken des Eintrags angezeigt werden. Der Umfang der Daten im Detailfenster hängt von der Art der Aktivität ab. Wenn Sie auf die Schaltfläche Exportieren klicken, können Sie eine CSV-Datei mit den detaillierten Ergebnissen herunterladen. Weitere Informationen zum Durchsuchen des Prüfprotokolls mit dem Compliance Center finden Sie hier.

Standardmäßig können die Daten für die letzten 90 Tage abgerufen werden. Mit der entsprechenden Lizenz können die Daten für einige Aktivitätstypen bis zu 10 Jahre aufbewahrt werden. Ausführliche Informationen zum Einrichten von Aufbewahrungsrichtlinien finden Sie unter Verwalten von Aufbewahrungsrichtlinien für Audit-Protokolle – Microsoft 365 Compliance.

Verwendung von PowerShell zum Herunterladen von Audit-Protokolldaten

Das Erstellen einer Abfrage über das Compliance Center ist für Ad-hoc-Abfragen nützlich, aber wenn eine Automatisierung erforderlich ist, kann PowerShell verwendet werden, um die Prüfungsprotokolle mit dem Cmdlet Search-UnifiedAuditLog im ExchangePowerShell-Modul abzufragen (siehe Search-UnifiedAuditLog (ExchangePowerShell) ).

Für PowerShell gilt die gleiche Aufbewahrungsfrist wie für das Compliance Center. Standardmäßig sind die Daten für 90 Tage verfügbar.

Office 365 Management APIs

Für eine vollständige Kontrolle können die Audit-Protokolle über die Office 365 Management APIs abgefragt werden (nein, sie wurden aus irgendeinem Grund noch nicht in Microsoft 365 umbenannt).

Mit den Office 365 APIs können Sie programmatisch alle Datensatztypen für alle Datensätze ohne Drosselung abfragen und sie in eine benutzerdefinierte Anwendung einbinden.

Für die APIs stehen die gleichen Datensatztypen zur Verfügung wie im Compliance Center. Es ist erwähnenswert, dass trotz des Namens „Office 365” Aktivitätsdatensätze für Produkte verfügbar sind, die technisch gesehen außerhalb von Office 365 liegen, einschließlich der Power Platform und Active Directory-Aktivitäten.

Die für die APIs verfügbaren Daten unterscheiden sich in einem wichtigen Punkt von den im Compliance Center und in PowerShell verfügbaren Daten. Bei der Abfrage des Audit-Protokolls über die APIs werden unabhängig von den Aufbewahrungsrichtlinien des Unternehmens nicht mehr als die letzten 6 Tage an Daten zurückgegeben.

Schlussgedanken

Es gibt unzählige Optionen für den Zugriff auf Audit-Daten und Microsoft 365-Nutzungsprotokolle. Diese Optionen variieren von einfachen kontextbezogenen Informationen bis hin zu komplexen Lösungen, die für Entwickler geeignet sind. Wenn Sie wissen, wie Sie das Beste aus den Ihnen zur Verfügung stehenden Tools machen können, sollten Sie in der Lage sein, die benötigten Informationen zu finden. Und sollte es Lücken in den Standardlösungen geben, gibt es Produkte von Drittanbietern, wie z.B. tyGraph, die Ihnen helfen können, die Macht der Daten, die in Ihren Nutzungsprotokollen gefunden werden, freizusetzen!


Abonnieren Sie unseren Blog, um mehr über Microsoft 365-Nutzungsprotokolle zu erfahren!