Enterprise Vault™ 監査

一般的なアイテム削除の監査エントリ用のクエリー検索例

次の簡単なクエリーは、指定された期間内のすべての検索と削除エントリを監査データベースから取得します。

USE EnterpriseVaultAudit
SELECT *  FROM [EnterpriseVaultAudit].[dbo].[EVAuditView]
WHERE CategoryName in ('Search', 'Delete')
AND AuditDate BETWEEN '2017-10-05 08:27:48' and '2017-10-05 08:32:37'
ORDER BY AuditID desc

次の SQL クエリーでは、この簡単なクエリーが、アーカイブにもフィルタを適用するように拡張されています。アーカイブの情報は、Enterprise Vault ディレクトリに格納されています。

DECLARE @ArchiveId varchar(112)
DECLARE @StartDateTime datetime
DECLARE @EndDateTime datetime

SET @ArchiveId = '1B29F35DAA512AC47A64558FDF7A614571110000example.local'
SET @StartDateTime = '2017-10-05 08:27:48'
SET @EndDateTime = '2017-10-05 08:28:37'

CREATE TABLE #ArchiveFolders
(
       VaultEntryId varchar(112)
)

INSERT INTO #ArchiveFolders
SELECT VaultEntryId 
FROM [EnterpriseVaultDirectory].[dbo].[ArchiveFolderView]
WHERE ArchiveVEID = @ArchiveId

SELECT *  FROM [EnterpriseVaultAudit].[dbo].[EVAuditView] 
auditView LEFT JOIN #ArchiveFolders archFolder
ON archFolder.VaultEntryId = auditView.Vault
WHERE AuditDate BETWEEN @StartDateTime and @EndDateTime
AND CategoryName in ('Search', 'Delete')
ORDER BY AuditID

DROP TABLE #ArchiveFolders

表: SQL クエリーから返される監査エントリの値の例 に、監査データベースの SQL クエリーによって返されるデータの例を示します。列のタイトルは、監査データベースのデータベースビュー EVAuditView に関連しています。［値の例 (Search)］列の値は、削除するアイテムの最初に検索によって作成された監査エントリを示します。［値の例 (Delete)］列の値は、ユーザー jdoe がアイテムを削除したときに作成された監査エントリを示します。

表: アイテム削除の証拠を提供する手順 の手順に従うと、アイテムが存在しなくなったことを示す最終的な検索の監査エントリもあります。この監査エントリは、表: SQL クエリーから返される監査エントリの値の例 には含まれていません。

監査データベースのエントリの形式および EVAuditView 列の値の監査エントリのさまざまな種類について詳しくは、このドキュメントの付録を参照してください。