Tìm kiếm nhật ký giám sát (audit logs) trong Office 365

1.      Giới thiệu

Bạn đang cần biết liệu người dùng đã xem một tài liệu cụ thể nào hoặc xóa một mục từ hộp thư của họ hay không? Trung tâm tuân thủ & bảo mật Office 365 có thể giúp bạn tìm kiếm nhật ký giám sát hợp nhất để xem hoạt động của người dùng và quản trị viên trong tổ chức Office 365 của bạn. Tại sao cần dùng nhật ký giám sát thống nhất? Bởi vì bạn có thể tìm kiếm các loại hoạt động quản trị viên và người dùng sau trong Office 365:

  • Hoạt động của người dùng trong SharePoint Online và OneDrive for Business
  • Hoạt động của người dùng trong Exchange Online (Ghi nhật ký giám sát hộp thư Exchange)
  • Hoạt động quản trị viên trong SharePoint Online
  • Hoạt động quản trị viên trong Azure Active Directory (dịch vụ thư mục cho Office 365)
  • Hoạt động quản trị viên trong Exchange Online (Ghi nhật ký giám sát quản trị viên trao đổi)
  • Hoạt động của người dùng và quản trị viên trong Sway
  • Hoạt động khám phá điện tử trong trung tâm tuân thủ và bảo mật
  • Hoạt động của người dùng và quản trị viên trong Power BI
  • Hoạt động của người dùng và quản trị viên trong Nhóm Microsoft
  • Hoạt động của người dùng và quản trị viên trong Dynamics 365
  • Hoạt động của người dùng và quản trị viên trong Yammer
  • Hoạt động của người dùng và quản trị viên trong Microsoft Flow
  • Hoạt động của người dùng và quản trị viên trong Microsoft Stream
  • Hoạt động phân tích và quản trị viên trong Microsoft Workplace Analytics
  • Hoạt động của người dùng và quản trị viên trong Microsoft PowerApps

2.      Trước khi bắt đầu

Hãy chắc chắn đọc kỹ các mục sau đây trước khi bạn bắt đầu tìm kiếm các bản ghi giám sát Office 365.

  • Trước tiên, bạn (hoặc quản trị viên khác) phải bật ghi nhật ký giám sát trước khi bạn có thể bắt đầu tìm kiếm nhật ký giám sát Office 365. Để bật tính năng này, nhấp vào Bắt đầu ghi lại hoạt động của người dùng và quản trị viên trên trang tìm kiếm Nhật ký giám sát trong Trung tâm bảo mật & tuân thủ. (Nếu bạn không thấy liên kết này, giám sát đã được bật cho tổ chức của bạn.) Sau khi bạn bật nó, một thông báo được hiển thị cho biết nhật ký giám sát đang được chuẩn bị và bạn có thể chạy tìm kiếm trong một vài vài giờ sau khi chuẩn bị hoàn tất. Bạn chỉ cần làm thao tác này một lần duy nhất.
  • Bạn phải được chỉ định vai trò View-Only Audit Logs hoặc Nhật ký giám sát trong Exchange Online để tìm kiếm nhật ký giám sát Office 365. Theo mặc định, các vai trò này được gán cho các nhóm vai trò Quản lý tuân thủ và Quản lý tổ chức trên trang Permissions trong trung tâm quản trị Exchange.
  • Khi một hoạt động được giám sát được thực hiện bởi người dùng hoặc quản trị viên, một bản ghi giám sát được tạo và lưu trữ trong nhật ký giám sát Office 365 cho tổ chức của bạn. Khoảng thời gian mà hồ sơ giám sát được lưu giữ (và có thể tìm kiếm trong nhật ký giám sát) tùy thuộc vào đăng ký Office 365 của bạn và cụ thể là loại giấy phép được gán cho một người dùng cụ thể.
  • Như đã nêu trước đây, lệnh ghép ngắn cơ bản được sử dụng để tìm kiếm nhật ký giám sát là một lệnh ghép ngắn Exchange Online, đó là Search-UnifiedAuditLog. Điều đó có nghĩa là bạn có thể sử dụng lệnh ghép ngắn này để tìm kiếm nhật ký giám sát Office 365 thay vì sử dụng trang tìm kiếm Nhật ký giám sát trong Trung tâm bảo mật & tuân thủ. Bạn phải chạy lệnh ghép ngắn này trong PowerShell từ xa được kết nối với tổ chức Exchange Online của bạn.
  • Nếu bạn muốn tải xuống dữ liệu theo chương trình từ nhật ký giám sát Office 365, chúng tôi khuyên bạn nên sử dụng API hoạt động quản lý Office 365 thay vì sử dụng tập lệnh PowerShell.
  • Có thể mất tới 30 phút hoặc tối đa 24 giờ sau khi một sự kiện xảy ra để mục nhật ký giám sát tương ứng được hiển thị trong kết quả tìm kiếm.
  • Azure Active Directory (Azure AD) là dịch vụ thư mục cho Office 365. Nhật ký giám sát hợp nhất chứa các hoạt động người dùng, nhóm, ứng dụng, tên miền và thư mục được thực hiện trong trung tâm quản trị Microsoft 365 hoặc trong cổng quản lý Azure.
  • Ghi nhật ký giám sát cho Power BI không được bật theo mặc định. Để tìm kiếm các hoạt động Power BI trong nhật ký giám sát Office 365, bạn phải kích hoạt giám sát trong cổng quản trị Power BI.

3.      Tìm kiếm nhật ký giám sát

Đây là quá trình tìm kiếm nhật ký giám sát trong Office 365.

Bước 1: Chạy tìm kiếm nhật ký giám sát

  1. Truy cập https://protection.office.com.
  2. Đăng nhập vào Office 365 bằng tài khoản cơ quan hoặc trường học của bạn.
  3. Trong ngăn bên trái của Trung tâm tuân thủ & bảo mật, bấm Tìm kiếm, sau đó bấm Tìm kiếm nhật ký giám sát.

Trang tìm kiếm nhật ký giám sát được hiển thị.

  1. Định cấu hình các tiêu chí tìm kiếm sau:

a. Hoạt động: Nhấp vào danh sách thả xuống để hiển thị các hoạt động mà bạn có thể tìm kiếm. Các hoạt động của người dùng và quản trị viên được tổ chức thành các nhóm hoạt động liên quan. Bạn có thể chọn các hoạt động cụ thể hoặc bạn có thể nhấp vào tên nhóm hoạt động để chọn tất cả các hoạt động trong nhóm. Bạn cũng có thể nhấp vào một hoạt động đã chọn để xóa lựa chọn. Sau khi bạn chạy tìm kiếm, chỉ các mục nhật ký giám sát cho các hoạt động đã chọn được hiển thị. Chọn Hiển thị kết quả cho tất cả các hoạt động để hiển thị kết quả cho tất cả các hoạt động được thực hiện bởi người dùng hoặc nhóm người dùng đã chọn.

Hơn 100 hoạt động người dùng và quản trị viên được ghi vào nhật ký giám sát Office 365. Bấm vào tab Hoạt động được giám sát tại chủ đề của bài viết này để xem mô tả của mọi hoạt động trong mỗi dịch vụ Office 365 khác nhau.

  1. Ngày bắt đầu và ngày kết thúc: Bảy ngày cuối cùng được chọn theo mặc định. Chọn một phạm vi ngày và giờ để hiển thị các sự kiện xảy ra trong khoảng thời gian đó. Ngày và giờ được trình bày theo định dạng Giờ phối hợp quốc tế (UTC). Phạm vi ngày tối đa mà bạn có thể chỉ định là 90 ngày. Một lỗi được hiển thị nếu phạm vi ngày đã chọn lớn hơn 90 ngày.
  2. Người dùng: Nhấp vào hộp này và sau đó chọn một hoặc nhiều người dùng để hiển thị kết quả tìm kiếm. Các mục nhật ký giám sát cho hoạt động đã chọn được thực hiện bởi người dùng bạn chọn trong hộp này được hiển thị trong danh sách kết quả. Để trống ô này để trả về các mục cho tất cả người dùng (và tài khoản dịch vụ) trong tổ chức của bạn.
  3. Tệp, thư mục hoặc trang web: Nhập một số hoặc tất cả tên tệp hoặc thư mục để tìm kiếm hoạt động liên quan đến tệp của thư mục chứa từ khóa đã chỉ định. Bạn cũng có thể chỉ định một URL của một tập tin hoặc thư mục. Nếu bạn sử dụng URL, hãy đảm bảo nhập đường dẫn URL đầy đủ hoặc nếu bạn nhập một phần của URL, không bao gồm bất kỳ ký tự hoặc khoảng trắng đặc biệt nào. Để trống ô này để trả về các mục cho tất cả các tệp và thư mục trong tổ chức của bạn.
  4. Nhấp vào Tìm kiếm để chạy tìm kiếm bằng tiêu chí tìm kiếm của bạn.

Các kết quả tìm kiếm được tải và sau một vài phút, chúng được hiển thị dưới Kết quả. Khi tìm kiếm kết thúc, số lượng kết quả tìm thấy được hiển thị. Tối đa 5.000 sự kiện sẽ được hiển thị trong khung Kết quả với gia số 150 sự kiện. Nếu hơn 5.000 sự kiện đáp ứng tiêu chí tìm kiếm, 5.000 sự kiện gần đây nhất sẽ được hiển thị.

Mẹo tìm kiếm nhật ký giám sát

Bạn có thể chọn các hoạt động cụ thể để tìm kiếm bằng cách nhấp vào tên hoạt động. Hoặc bạn có thể tìm kiếm tất cả các hoạt động trong một nhóm (chẳng hạn như các hoạt động Tệp và thư mục) bằng cách nhấp vào tên nhóm. Nếu một hoạt động được chọn, bạn có thể nhấp vào nó để hủy lựa chọn. Bạn cũng có thể sử dụng hộp tìm kiếm để hiển thị các hoạt động có chứa từ khóa mà bạn nhập.

Bạn phải chọn Hiển thị kết quả cho tất cả các hoạt động trong danh sách Hoạt động để hiển thị các sự kiện từ nhật ký giám sát quản trị viên Exchange. Các sự kiện từ nhật ký giám sát này hiển thị tên cmdlet (ví dụ: Set-Mailbox) trong cột Hoạt động trong kết quả. Để biết thêm thông tin, bấm vào tab Hoạt động được giám sát trong chủ đề này và sau đó nhấp vào Trao đổi hoạt động quản trị viên.

Tương tự, có một số hoạt động giám sát không có mục tương ứng trong danh sách Hoạt động. Nếu bạn biết tên của hoạt động cho các hoạt động này, bạn có thể tìm kiếm tất cả các hoạt động, sau đó lọc kết quả bằng cách nhập tên của hoạt động trong hộp cho cột Hoạt động.

Nhấp vào Xóa để xóa các tiêu chí tìm kiếm hiện tại. Phạm vi ngày trở về mặc định của bảy ngày qua. Bạn cũng có thể nhấp vào Xóa tất cả để hiển thị kết quả cho tất cả các hoạt động để hủy tất cả các hoạt động đã chọn.

Nếu 5.000 kết quả được tìm thấy, có lẽ bạn có thể cho rằng có hơn 5.000 sự kiện đáp ứng các tiêu chí tìm kiếm. Bạn có thể tinh chỉnh các tiêu chí tìm kiếm và chạy lại tìm kiếm để trả về ít kết quả hơn hoặc bạn có thể xuất tất cả các kết quả tìm kiếm bằng cách chọn Xuất kết quả > Tải xuống tất cả kết quả.

Bước 2: Xem kết quả tìm kiếm

Kết quả tìm kiếm nhật ký giám sát được hiển thị dưới Kết quả trên trang tìm kiếm Nhật ký giám sát. Như đã nêu trước đây, tối đa 5.000 sự kiện (mới nhất) được hiển thị theo gia số của 150 sự kiện. Để hiển thị nhiều sự kiện hơn, bạn có thể sử dụng thanh cuộn trong ngăn Kết quả hoặc bạn có thể nhấn Shift + End để hiển thị 150 sự kiện tiếp theo.

Kết quả chứa thông tin sau về mỗi sự kiện được tìm kiếm trả về.

  • Ngày: Ngày và giờ (ở định dạng UTC) khi sự kiện xảy ra.
  • Địa chỉ IP: Địa chỉ IP của thiết bị được sử dụng khi hoạt động được ghi lại. Địa chỉ IP được hiển thị ở định dạng địa chỉ IPv4 hoặc IPv6.
  • Người dùng: Người dùng (hoặc tài khoản dịch vụ) đã thực hiện hành động kích hoạt sự kiện.
  • Hoạt động: Hoạt động được thực hiện bởi người dùng. Giá trị này tương ứng với các hoạt động bạn đã chọn trong danh sách thả xuống Hoạt động. Đối với một sự kiện từ nhật ký giám sát quản trị viên Exchange, giá trị trong cột này là một lệnh ghép ngắn Exchange.
  • Mục: Đối tượng được tạo hoặc sửa đổi là kết quả của hoạt động tương ứng. Ví dụ: tệp đã được xem hoặc sửa đổi hoặc tài khoản người dùng đã được cập nhật. Không phải tất cả các hoạt động có một giá trị trong cột này.
  • Chi tiết: Thông tin bổ sung về một hoạt động. Một lần nữa, không phải tất cả các hoạt động đều có giá trị.

Xem chi tiết cho một sự kiện cụ thể

Bạn có thể xem thêm chi tiết về một sự kiện bằng cách nhấp vào bản ghi sự kiện trong danh sách kết quả tìm kiếm. Trang Chi tiết được hiển thị có chứa các thuộc tính chi tiết từ bản ghi sự kiện. Các thuộc tính được hiển thị tùy thuộc vào dịch vụ Office 365 trong đó sự kiện xảy ra. Để hiển thị các chi tiết này, nhấp vào Thêm thông tin.

Bước 3: Lọc kết quả tìm kiếm

Ngoài việc sắp xếp, bạn cũng có thể lọc kết quả tìm kiếm nhật ký giám sát. Đây là một tính năng tuyệt vời có thể giúp bạn nhanh chóng lọc kết quả cho một người dùng hoặc hoạt động cụ thể. Ban đầu, bạn có thể tạo một tìm kiếm rộng và sau đó nhanh chóng lọc kết quả để xem các sự kiện cụ thể. Sau đó, bạn có thể thu hẹp tiêu chí tìm kiếm và chạy lại tìm kiếm để trả về một bộ kết quả nhỏ hơn, ngắn gọn hơn.

Để lọc kết quả:

  1. Chạy một tìm kiếm nhật ký giám sát.
  2. Khi kết quả được hiển thị, nhấp vào Kết quả lọc.
  3. Các hộp từ khóa được hiển thị dưới mỗi tiêu đề cột.
  4. Nhấp vào một trong các hộp bên dưới tiêu đề cột và nhập từ hoặc cụm từ, tùy thuộc vào cột bạn đang lọc. Kết quả sẽ tự động điều chỉnh để hiển thị các sự kiện phù hợp với bộ lọc của bạn.
  5. Để xóa bộ lọc, nhấp vào X trong hộp bộ lọc hoặc nhấp vào Ẩn bộ lọc.

Bước 4: Xuất kết quả tìm kiếm thành tệp

Bạn có thể xuất kết quả tìm kiếm nhật ký giám sát sang tệp CSV trên máy tính cục bộ của bạn. Bạn có thể mở tệp này trong Microsoft Excel và sử dụng các tính năng như tìm kiếm, sắp xếp, lọc và tách một cột duy nhất (có chứa nhiều thuộc tính) thành nhiều cột.

  1. Chạy tìm kiếm nhật ký giám sát, sau đó sửa lại các tiêu chí tìm kiếm cho đến khi bạn có kết quả mong muốn.
  2. Nhấp vào Xuất kết quả và chọn một trong các tùy chọn sau:
  • Lưu kết quả đã tải: Chọn tùy chọn này để chỉ xuất các mục được hiển thị bên dưới Kết quả trên trang tìm kiếm Nhật ký giám sát. Tệp CSV được tải xuống chứa cùng các cột (và dữ liệu) được hiển thị trên trang (Ngày, Người dùng, Hoạt động, Mục và Chi tiết). Một cột bổ sung (có tên Khác) được bao gồm trong tệp CSV chứa nhiều thông tin hơn từ mục nhật ký giám sát. Vì bạn đang xuất cùng một kết quả được tải (và có thể xem được) trên trang tìm kiếm Nhật ký giám sát, tối đa 5.000 mục nhập được xuất.
  • Tải xuống tất cả các kết quả: Chọn tùy chọn này để xuất tất cả các mục từ nhật ký giám sát Office 365 đáp ứng các tiêu chí tìm kiếm. Đối với một tập hợp lớn các kết quả tìm kiếm, chọn tùy chọn này để tải xuống tất cả các mục từ nhật ký giám sát bên cạnh 5.000 hồ sơ giám sát có thể được hiển thị trên trang tìm kiếm Nhật ký giám sát. Tùy chọn này tải dữ liệu thô từ nhật ký giám sát sang tệp CSV và chứa thông tin bổ sung từ mục nhật ký giám sát trong một cột có tên AuditData. Có thể mất nhiều thời gian hơn để tải xuống tệp nếu bạn chọn tùy chọn xuất này vì tệp có thể lớn hơn nhiều so với tệp được tải xuống nếu bạn chọn tùy chọn khác.
  1. Sau khi bạn chọn tùy chọn xuất, một thông báo sẽ được hiển thị ở dưới cùng của cửa sổ nhắc bạn mở tệp CSV, lưu nó vào thư mục Tải xuống hoặc lưu vào thư mục cụ thể.

Thông tin thêm về xuất và xem kết quả tìm kiếm nhật ký giám sát

Nếu bạn tải xuống tất cả các kết quả tìm kiếm, tệp CSV chứa một cột có tên AuditData, chứa thông tin bổ sung về mỗi sự kiện. Dữ liệu trong cột này bao gồm một đối tượng JSON chứa nhiều thuộc tính từ bản ghi nhật ký giám sát. Mỗi thuộc tính: cặp giá trị trong đối tượng JSON được phân tách bằng dấu phẩy. Bạn có thể sử dụng công cụ biến đổi JSON trong Power Query Editor trong Excel để chia cột AuditData thành nhiều cột để mỗi thuộc tính trong đối tượng JSON có cột riêng. Điều này cho phép bạn sắp xếp và lọc trên một hoặc nhiều thuộc tính này. Để biết hướng dẫn từng bước bằng cách sử dụng Power Query Editor để chuyển đổi đối tượng JSON, hãy xem Xuất, định cấu hình và xem các bản ghi nhật ký giám sát.

Sau khi bạn tách cột AuditData, bạn có thể lọc trên cột Hoạt động để hiển thị các thuộc tính chi tiết cho một loại hoạt động cụ thể.

Tùy chọn Tải xuống tất cả kết quả tải xuống dữ liệu thô từ nhật ký giám sát Office 365 vào tệp CSV. Tệp này chứa các tên cột khác nhau (CreationDate, UserIds, Operation, AuditData) so với tệp được tải xuống nếu bạn chọn tùy chọn Lưu kết quả đã tải. Các giá trị trong hai tệp CSV khác nhau cho cùng một hoạt động cũng có thể khác nhau. Ví dụ: hoạt động trong cột Hành động trong tệp CSV và có thể có giá trị khác với tên “thân thiện với người dùng” được hiển thị trong cột Hoạt động trên trang tìm kiếm Nhật ký giám sát. Ví dụ: MailboxLogin so với Người dùng đã đăng nhập vào hộp thư.

Khi bạn tải xuống tất cả các kết quả từ truy vấn tìm kiếm có chứa các sự kiện từ các dịch vụ Office 365 khác nhau, cột AuditData trong tệp CSV chứa các thuộc tính khác nhau tùy thuộc vào dịch vụ được thực hiện trong dịch vụ nào. Ví dụ: các mục từ nhật ký giám sát Exchange và Azure AD bao gồm một thuộc tính có tên là resultStatus cho biết hành động đó có thành công hay không. Thuộc tính này không được bao gồm cho các sự kiện trong SharePoint. Tương tự, các sự kiện SharePoint có một thuộc tính xác định URL trang web cho các hoạt động liên quan đến tệp và thư mục. Để giảm thiểu hành vi này, hãy xem xét sử dụng các tìm kiếm khác nhau để xuất kết quả cho các hoạt động từ một dịch vụ.

4.      Hoạt động giám sát

Các bảng này hoạt động nhóm liên quan hoặc các hoạt động từ một dịch vụ Office 365 cụ thể. Các bảng bao gồm tên thân thiện được hiển thị trong danh sách thả xuống Hoạt động và tên của hoạt động tương ứng xuất hiện trong thông tin chi tiết của hồ sơ giám sát và trong tệp CSV khi bạn xuất kết quả tìm kiếm.

  • Hoạt động tập tin và trang
  • Hoạt động thư mục
  • Hoạt động danh sách SharePoint
  • Chia sẻ và truy cập các hoạt động yêu cầu
  • Hoạt động đồng bộ hóa
  • Hoạt động cấp phép trang web
  • Hoạt động quản trị trang
  • Trao đổi hoạt động hộp thư
  • Hoạt động Sway
  • Hoạt động quản trị người dùng
  • Hoạt động quản trị nhóm Azure AD
  • Hoạt động quản trị ứng dụng
  • Hoạt động quản trị vai trò
  • Hoạt động quản trị thư mục
  • Hoạt động khám phá điện tử
  • Hoạt động khám phá điện tử nâng cao
  • Hoạt động Power BI
  • Phân tích nơi làm việc của Microsoft
  • Các hoạt động của Nhóm Microsoft
  • Hoạt động Yammer
  • Hoạt động của Microsoft Flow
  • Các hoạt động của Microsoft PowerApps
  • Hoạt động của Microsoft Stream
  • Hoạt động quản trị viên Exchange

Ví dụ 1 trường hợp: Hoạt động thư mục

Bảng sau đây mô tả các hoạt động thư mục trong SharePoint Online và OneDrive for Business.

Tên thân thiện Hoạt động Mô tả
Thư mục sao chép FolderCopied Người dùng sao chép thư mục từ một trang web sang một vị trí khác trong SharePoint hoặc OneDrive for Business.
Tạo thư mục FolderCreated Người dùng tạo một thư mục trên một trang web.
Thư mục đã xóa FolderDeleted Người dùng xóa một thư mục từ một trang web.
Thư mục bị xóa từ thùng rác FolderDeletedFirstStageRecycleBin Người dùng xóa một thư mục từ thùng rác trên một trang web.
Thư mục đã xóa từ thùng rác giai đoạn hai FolderDeletedSecondStageRecycleBin Người dùng xóa một thư mục từ thùng rác giai đoạn hai trên một trang web.
Thư mục được sửa đổi FolderModified Người dùng sửa đổi một thư mục trên một trang web. Điều này bao gồm thay đổi siêu dữ liệu thư mục, chẳng hạn như thay đổi thẻ và thuộc tính.
Thư mục được chuyển FolderMoved Người dùng di chuyển một thư mục đến một vị trí khác trên một trang web.
Thư mục được đổi tên FolderRenamed Người dùng đổi tên một thư mục trên một trang web.
Thư mục phục hồi FolderRestored Người dùng khôi phục thư mục đã xóa từ thùng rác trên trang web.

5.      Các câu hỏi thường gặp

Các dịch vụ Office 365 khác nhau hiện đang được giám sát là gì?

Các dịch vụ Office 365 được sử dụng nhiều nhất như Exchange Online, SharePoint Online, OneDrive for Business, Azure Active Directory, Microsoft Teams, Dynamics 365, Advanced Threat Protection và Power BI đều được kiểm tra.

Mất bao lâu để một bản ghi giám sát có sẵn sau khi một sự kiện đã xảy ra?

Hầu hết dữ liệu giám sát có sẵn trong vòng 30 phút nhưng có thể mất đến 24 giờ sau khi một sự kiện xảy ra để mục nhật ký giám sát tương ứng được hiển thị trong kết quả tìm kiếm. Xem bảng trong phần Trước khi bạn bắt đầu bài viết này cho biết thời gian cần thiết cho các sự kiện trong các dịch vụ Office 365 khác nhau sẽ khả dụng.

Hồ sơ giám sát được giữ lại trong bao lâu?

Như đã giải thích trước đó, thời gian lưu giữ hồ sơ giám sát tùy thuộc vào thuê bao Office 365 của tổ chức bạn.

  • Office 365 E3: Hồ sơ giám sát được lưu giữ trong 90 ngày.
  • Office 365 E5: Hồ sơ giám sát cũng được lưu giữ trong 90 ngày. Giữ lại hồ sơ giám sát trong một năm cuối cùng có thể có sẵn cho người dùng E5 và người dùng có giấy phép E3 và giấy phép bổ trợ Tuân thủ nâng cao Office 365.

Bài viết thuộc về: Office365vietnam.info

Ý kiến của bạn:

This site uses Akismet to reduce spam. Learn how your comment data is processed.