Valvontalokin säilytyskäytäntöjen hallinta

  • Artikkeli
  • 5 minuutin lukuaika

Voit luoda ja hallita valvontalokien säilytyskäytäntöjä Microsoft Purview -yhteensopivuusportaali. Valvontalokin säilytyskäytännöt ovat osa uutta Microsoft Purview -valvonta (Premium). Valvontalokin säilytyskäytännön avulla voit määrittää, kuinka kauan valvontalokeja säilytetään organisaatiossasi. Voit säilyttää valvontalokeja enintään 10 vuoden ajan. Voit luoda käytäntöjä seuraavien ehtojen perusteella:

  • Kaikki toiminnot yhdessä tai useammassa Microsoft 365 -palvelussa
  • Tietyt toiminnot (Microsoft 365 -palvelussa), joita kaikki käyttäjät tai tietyt käyttäjät suorittavat
  • Prioriteettitaso, joka määrittää, mikä käytäntö on etusijalla, kun organisaatiossasi on useita käytäntöjä

Vihje

Jos et ole E5-asiakas, käytä 90 päivän Microsoft Purview -ratkaisujen kokeiluversiota ja tutustu siihen, miten muut Purview-ominaisuudet voivat auttaa organisaatiotasi hallitsemaan tietoturva- ja yhteensopivuustarpeita. Aloita nyt Microsoft Purview -yhteensopivuusportaali kokeilukeskuksesta. Lue lisätietoja rekisteröitymisestä ja kokeiluehdoista.

Valvontalokin oletuspidätyskäytäntö

Microsoft 365:n valvonta (Premium) tarjoaa oletusarvoisen valvontalokin säilytyskäytännön kaikille organisaatioille. Tämä käytäntö säilyttää kaikki Exchange Online, SharePoint Onlinen, OneDrive for Business ja Azure Active Directoryn valvontatietueet yhden vuoden ajan. Tämä oletuskäytäntö säilyttää valvontatietueet, jotka sisältävät kuormituksen ominaisuuden AzureActiveDirectory, Exchange, OneDrive ja SharePoint arvon (joka on palvelu, jossa toiminto tapahtui). Oletuskäytäntöä ei voi muokata. Tämän artikkelin Lisätietoja-osiossa on luettelo kunkin oletuskäytäntöön sisältyvän kuormituksen tietuetyypeistä.

Huomautus

Valvontalokin oletuspidätyskäytäntöä sovelletaan vain valvontatietueisiin niiden käyttäjien suorittamalle toiminnalle, joille on määritetty Office 365 tai Microsoft 365 E5 käyttöoikeus tai joilla on Microsoft 365 E5 Compliance- tai E5 eDiscovery- ja Audit-lisäosien käyttöoikeus. Jos organisaatiossasi on muita kuin E5-käyttäjiä tai vieraskäyttäjiä, heidän vastaavat valvontatietueensa säilytetään 90 päivän ajan.

Ennen kuin luot valvontalokin säilytyskäytännön

  • Sinun on määritettävä organisaation määritysrooli yhteensopivuusportaalissa, jotta voit luoda tai muokata valvonnan säilytyskäytäntöä.

  • Organisaatiossa voi olla enintään 50 valvontalokin säilytyskäytäntöä.

  • Valvontalokin säilyttäminen yli 90 päivän (ja enintään vuoden) ajan edellyttää, että valvontalokin luoneelle käyttäjälle (suorittamalla valvotun toiminnon) on määritettävä Office 365 E5- tai Microsoft 365 E5-käyttöoikeus tai Microsoft 365 E5 Compliance- tai E5 eDiscovery- ja Audit-lisäosan käyttöoikeus. Valvontalokien säilyttäminen 10 vuoden ajan edellyttää, että valvontalokin luoneelle käyttäjälle on määritettävä E5-käyttöoikeuden lisäksi myös 10 vuoden valvontalokin säilytyslisäosa.

    Huomautus

    Jos valvontalokin muodostava käyttäjä ei täytä näitä käyttöoikeusvaatimuksia, tiedot säilytetään korkeimman prioriteetin säilytyskäytännön mukaisesti. Tämä voi olla käyttäjän käyttöoikeuden oletussäilytyskäytäntö tai käyttäjää ja sen tietuetyyppiä vastaava korkeimman prioriteetin käytäntö.

  • Kaikki mukautetut valvontalokien säilytyskäytännöt (organisaatiosi luomat) ovat etusijalla oletuspidätyskäytäntöön nähden. Jos esimerkiksi luot Exchange-postilaatikon toiminnolle valvontalokin säilytyskäytännön, jonka säilytysaika on alle yksi vuosi, Exchange-postilaatikon toimintojen valvontatietueet säilytetään mukautetun käytännön määrittämän lyhyemmän keston ajan.

Valvontalokin säilytyskäytännön luominen

  1. Siirry osoitteeseen https://compliance.microsoft.com ja kirjaudu sisään käyttäjätilillä, jolle on määritetty Organisaation määritys -rooli yhteensopivuusportaalin Käyttöoikeudet-sivulla.

  2. Valitse yhteensopivuusportaalin vasemmassa ruudussa Valvonta.

  3. Valitse Valvontapidätyskäytännöt-välilehti .

  4. Valitse Luo valvontapidätyskäytäntö ja täytä sitten seuraavat kentät pikaikkunasivulla:

    Uusi valvonnan säilytyskäytännön pikaikkuna.

    1. Käytännön nimi: Valvontalokin säilytyskäytännön nimi. Tämän nimen on oltava yksilöllinen organisaatiossasi, eikä sitä voi muuttaa käytännön luomisen jälkeen.

    2. Kuvaus: Valinnainen, mutta hyödyllinen, jos haluat antaa tietoja käytännöstä, kuten tietuetyypin tai kuormituksen, käytännössä määritetyt käyttäjät ja keston.

    3. Käyttäjät: Valitse vähintään yksi käyttäjä, jolla käytäntöä käytetään. Jos jätät tämän ruudun tyhjäksi, käytäntöä sovelletaan kaikkiin käyttäjiin. Jos jätät tietuetyypin tyhjäksi, sinun on valittava käyttäjä.

    4. Tietuetyyppi: Valvontatietuetyyppi, jota käytäntö koskee. Jos jätät tämän ominaisuuden tyhjäksi, valitse käyttäjä Käyttäjät-ruudusta . Voit valita yksittäisen tietuetyypin tai useita tietuetyyppejä:

      • Jos valitset yksittäisen tietuetyypin, Aktiviteetit-kenttä näytetään dynaamisesti. Avattavan luettelon avulla voit valita toimintoja valitusta tietuetyypistä, johon käytäntöä käytetään. Jos et valitse tiettyjä toimintoja, käytäntöä sovelletaan kaikkiin valitun tietuetyypin toimintoihin.
      • Jos valitset useita tietuetyyppejä, et voi valita toimintoja. Käytäntöä sovelletaan kaikkiin valittujen tietuetyyppien toimintoihin.

    5. Kesto: Aika käytännön ehtojen täyttävien valvontalokien säilyttämiseen.

    6. Ensisijainen: Tämä arvo määrittää järjestyksen, jossa valvontalokin säilytyskäytännöt käsitellään organisaatiossasi. Pienempi arvo ilmaisee suurempaa prioriteettia. Kelvolliset prioriteetit ovat numeerisia arvoja väliltä 1 - 10 000. Arvo 1 on suurin prioriteetti ja arvo 10 000 on pienin prioriteetti. Esimerkiksi käytäntö, jonka arvo on 5 , on etusijalla käytäntöön nähden, jonka arvo on 10. Kuten aiemmin selitettiin, mikä tahansa mukautettu valvontalokin säilytyskäytäntö on etusijalla organisaation oletuskäytäntöön nähden.

  5. Luo uusi valvontalokin säilytyskäytäntö valitsemalla Tallenna .

Uusi käytäntö näkyy Luettelossa Valvo säilytyskäytäntöjä -välilehdellä.

Valvontalokien säilytyskäytäntöjen hallinta yhteensopivuusportaalissa

Valvontalokin säilytyskäytännöt on lueteltu Valvontapidätyskäytännöt-välilehdessä (kutsutaan myös koontinäytöksi). Koontinäytön avulla voit tarkastella, muokata ja poistaa valvonnan säilytyskäytäntöjä.

Näytä käytännöt koontinäytössä

Valvontalokin säilytyskäytännöt on lueteltu koontinäytössä. Yksi etu, kun tarkastelet käytäntöjä koontinäytössä, on se, että voit valita Prioriteetti-sarakkeen ja luetella käytännöt siinä prioriteetissa, jossa niitä käytetään. Kuten aiemmin selitettiin, pienempi arvo tarkoittaa suurempaa prioriteettia.

Valvonta-säilytyskäytäntöjen koontinäytön Prioriteetti-sarake.

Voit myös valita käytännön sen asetusten näyttämiseksi pikaikkunasivulla.

Huomautus

Organisaatiosi oletusarvoista valvontalokin säilytyskäytäntöä ei näytetä koontinäytössä.

Muokkaa käytäntöjä koontinäytössä

Jos haluat muokata käytäntöä, valitse se näyttääksesi pikaikkunan. Voit muokata yhtä tai useampaa asetusta ja tallentaa tekemäsi muutokset.

Tärkeää

Jos käytät Cmdlet-komentoa New-UnifiedAuditLogRetentionPolicy , voit luoda valvontalokin säilytyskäytännön tietuetyypeille tai toiminnoille, jotka eivät ole käytettävissä koontinäytön Valvontasäilytyskäytännön luominen -työkalussa. Tässä tapauksessa et voi muokata käytäntöä (esimerkiksi muuttaa säilytyksen kestoa tai lisätä ja poistaa toimintoja) Valvonta-säilytyskäytäntöjen koontinäytöstä. Voit tarkastella ja poistaa käytäntöä vain Microsoft Purview -yhteensopivuusportaali. Jos haluat muokata käytäntöä, sinun on käytettävä Set-UnifiedAuditLogRetentionPolicy cmdlet-komentoa kohdassa Suojauksen & yhteensopivuus PowerShell.>

Vihje: Pikaikkunasivun yläreunassa näkyy sanoma käytännöistä, joita on muokattava PowerShellin avulla.

Poista käytäntöjä koontinäytöstä

Jos haluat poistaa käytännön, valitse Poistapoista -kuvake. kuvake ja vahvista sitten, että haluat poistaa käytännön. Käytäntö poistetaan koontinäytöstä, mutta käytännön poistaminen organisaatiosta voi kestää jopa 30 minuuttia.

Valvontalokien säilytyskäytäntöjen luominen ja hallinta PowerShellissä

Voit myös luoda ja hallita valvontalokien säilytyskäytäntöjä suojauksen & vaatimustenmukaisuuden PowerShellin avulla. Yksi syy Käyttää PowerShelliä on luoda käytäntö tietuetyypille tai aktiviteetille, joka ei ole käytettävissä käyttöliittymässä.

Valvontalokin säilytyskäytännön luominen PowerShellissä

Luo valvontalokin säilytyskäytäntö PowerShellissä seuraavasti:

  1. Muodosta yhteys tietoturvaan & Yhteensopivuuden PowerShell.

  2. Luo valvontalokin säilytyskäytäntö suorittamalla seuraava komento:

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100

    Tässä esimerkissä luodaan valvontalokin säilytyskäytäntö nimeltä "Microsoft Teamsin valvontakäytäntö" käyttäen seuraavia asetuksia:

    • Käytännön kuvaus.
    • Säilyttää kaikki Microsoft Teams -toiminnot ( RecordType-parametrin määrittämänä).
    • Säilyttää Microsoft Teams -valvontalokeja 10 vuoden ajan.
    • Prioriteetti on 100.

Tässä on toinen esimerkki valvontalokin säilytyskäytännön luomisesta. Tämä käytäntö säilyttää käyttäjän kirjautumisen valvontalokit kuuden kuukauden ajan käyttäjälle admin@contoso.onmicrosoft.com.

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

Lisätietoja on kohdassa New-UnifiedAuditLogRetentionPolicy.

Näytä käytännöt PowerShellissä

Käytä Get-UnifiedAuditLogRetentionPolicy-cmdlet-komentoa tietoturvan & vaatimustenmukaisuuden PowerShellissä valvontalokin säilytyskäytäntöjen tarkastelemiseen.

Tässä on esimerkkikomento, joka näyttää kaikkien valvontalokien säilytyskäytäntöjen asetukset organisaatiossasi. Tämä komento lajittelee käytännöt suurimmasta pienimpään prioriteettiin.

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

Huomautus

Get-UnifiedAuditLogRetentionPolicy cmdlet ei palauta oletusarvoista valvontalokin säilytyskäytäntöä organisaatiollesi.

Muokkaa käytäntöjä PowerShellissä

Muokkaa aiemmin luotua valvontalokin säilytyskäytäntöä Set-UnifiedAuditLogRetentionPolicy cmdlet-komennolla tietoturvan & vaatimustenmukaisuuden PowerShellissä.

Poista käytäntöjä PowerShellissä

Poista valvontalokin säilytyskäytäntö käyttämällä Remove-UnifiedAuditLogRetentionPolicy cmdlet-komentoa tietoturvan & vaatimustenmukaisuuden PowerShellissä. Käytännön poistaminen organisaatiosta voi kestää jopa 30 minuuttia.

Lisätietoja

Kuten aiemmin todettiin, Azure Active Directoryn, Exchange Online, SharePoint Onlinen ja OneDrive for Business toimintojen valvontatietueet säilytetään oletusarvoisesti yhden vuoden ajan. Seuraavassa taulukossa on luettelo kaikista tietuetyypeistä (kullekin näistä palveluista), jotka sisältyvät oletusarvon mukaiseen valvontalokin säilytyskäytäntöön. Tämä tarkoittaa sitä, että tämän tietuetyyppisten toimintojen valvontalokit säilytetään yhden vuoden ajan, ellei mukautettu valvontalokin säilytyskäytäntö ole etusijalla tietyssä tietuetyypissä, toiminnossa tai käyttäjässä. Kunkin tietuetyypin Enum-arvo (joka näytetään valvontatietueen RecordType-ominaisuuden arvona) näkyy sulkeissa.


AzureActiveDirectory Exchange SharePoint tai OneDrive
AzureActiveDirectory (8) ExchangeAdmin (1) ComplianceDLPSharePoint (11)
AzureActiveDirectoryAccountLogon (9) ExchangeItem (2) ComplianceDLPSharePointClassification (33)
AzureActiveDirectoryStsLogon (15) Kampanja (62) Projekti (35)
ComplianceDLPExchange (13) SharePoint (4)
ComplianceSupervisionExchange (68) SharePointCommentOperation (37)
CustomerKeyServiceEncryption (69) SharePointContentTypeOperation (55)
ExchangeAggregatedOperation (19) SharePointFieldOperation (56)
ExchangeItemAggregated (50) SharePointFileOperation (6)
ExchangeItemGroup (3) SharePointListOperation (36)
InformationBarrierPolicyApplication (53) SharePointSharingOperation (14)