감사 켜기 또는 끄기

  • 아티클

감사 로깅은 기본적으로 Microsoft 365 조직에 대해 설정됩니다. 그러나 새 Microsoft 365 organization 설정할 때 organization 대한 감사 상태 확인해야 합니다. 자세한 내용은 이 문서의 organization 감사 상태 확인 섹션을 참조하세요.

Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털 감사가 켜져 있으면 organization 사용자 및 관리자 활동이 감사 로그에 기록되고 180일 동안 자동으로 유지됩니다. 감사 데이터의 보존(수명)은 감사 로그에 추가될 때 시작되며 감사 로그 보존 정책 및 사용자에게 할당된 라이선스에 따라 유지됩니다.

중요

감사(표준)의 기본 보존 기간이 90일에서 180일로 변경되었습니다. 2023년 10월 17일 이전에 생성된 감사(표준) 로그는 90일 동안 유지됩니다. 2023년 10월 17일 또는 그 이후에 생성된 감사(표준) 로그는 180일의 새로운 기본 보존 기간을 따릅니다.

사용자 라이선스 또는 보존 정책을 변경하면 감사 데이터의 만료 날짜도 변경됩니다.

organization 감사 로그 데이터를 기록하고 유지하지 않으려는 이유가 있을 수 있습니다. 이러한 경우 전역 관리자는 Microsoft 365에서 organization 대한 감사를 해제할 수 있습니다. 자세한 내용은 이 문서의 감사 끄기 섹션을 참조하세요.

중요

Microsoft 365에서 감사를 해제하는 경우 Office 365 관리 활동 API 또는 Microsoft Sentinel을 사용하여 organization 대한 감사 데이터 또는 로그에 액세스할 수 없습니다. 이 문서의 단계에 따라 감사를 해제하면 Microsoft Purview 포털 또는 규정 준수 포털을 사용하여 감사 로그를 검색하거나 Exchange Online PowerShell에서 Search-UnifiedAuditLog cmdlet을 실행할 때 결과가 반환되지 않습니다.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

감사를 켜거나 끄기 전에

감사를 켜거나 끄려면 Exchange Online 감사 로그 역할이 할당되어야 합니다. 기본적으로 이 역할은 Exchange 관리 센터의 사용 권한 페이지에 있는 준수 관리조직 관리 역할 그룹에 할당됩니다.

organization 대한 감사 상태 확인

organization 대한 감사가 켜져 있는지 확인하려면 powerShell을 Exchange Online 다음 명령을 실행할 수 있습니다.

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

UnifiedAuditLogIngestionEnabled 속성의 True 값은 감사가 켜져 있음을 나타냅니다. 값은 False 감사가 켜져 있지 않음을 나타냅니다.

중요

Exchange Online PowerShell에서 이전 명령을 실행해야 합니다. Get-AdminAuditLogConfig cmdlet은 Security & Compliance PowerShell에서도 사용할 수 있지만 감사가 켜져 있는 경우에도 UnifiedAuditLogIngestionEnabled 속성은 항상 False입니다.

감사 켜기

organization 대한 감사가 설정되지 않은 경우 Microsoft Purview 포털 또는 규정 준수 포털에서 또는 Exchange Online PowerShell을 사용하여 켤 수 있습니다. 감사를 켠 후 감사 로그를 검색할 때 결과를 반환하는 데 몇 시간이 걸릴 수 있습니다.

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.

감사를 켜려면 다음 단계를 완료합니다.

  1. Microsoft Purview 포털에 로그인합니다.
  2. 감사 솔루션 카드 선택합니다. 감사 솔루션 카드 표시되지 않으면 모든 솔루션 보기를 선택한 다음 Core 섹션에서 감사를 선택합니다.
  3. organization 대한 감사가 켜져 있지 않으면 사용자 및 관리자 활동 기록을 시작하라는 배너가 표시됩니다.
  4. 기록 시작 사용자 및 관리자 활동 배너를 선택합니다.

변경 내용이 적용되는 데 최대 60분이 걸릴 수 있습니다.

PowerShell을 사용하여 감사 켜기

  1. Exchange Online PowerShell에 연결합니다.

  2. 다음 PowerShell 명령을 실행하여 감사를 켭니다.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    변경 내용이 적용되는 데 최대 60분이 걸릴 수 있다는 메시지가 표시됩니다.

감사 끄기

감사를 끄려면 Exchange Online PowerShell을 사용해야 합니다.

  1. Exchange Online PowerShell에 연결합니다.

  2. 다음 PowerShell 명령을 실행하여 감사를 해제합니다.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

  3. 잠시 후 감사가 꺼져 있는지 확인합니다(사용 안 함). 이 작업을 수행하는 방법은 다음 두 가지입니다.

    • Exchange Online PowerShell에서 다음 명령을 실행합니다.

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

      UnifiedAuditLogIngestionEnabled 속성의 False 값은 감사가 꺼져 있음을 나타냅니다.

    • 규정 준수 포털의 감사 페이지로 이동합니다.

      organization 대한 감사가 켜져 있지 않으면 사용자 및 관리자 활동 기록을 시작하라는 배너가 표시됩니다.

상태 감사할 때 레코드 감사

organization 감사 상태 변경 내용은 자체 감사됩니다. 즉, 감사가 설정되거나 해제될 때 감사 레코드가 기록됩니다. Exchange 관리자 감사 로그에서 이러한 감사 레코드를 검색할 수 있습니다.

Exchange 관리자 감사 로그에서 감사를 켜거나 끌 때 생성되는 감사 레코드를 검색하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

이러한 이벤트에 대한 감사 레코드에는 감사 상태 변경된 시기, 변경한 관리자 및 변경에 사용된 컴퓨터의 IP 주소에 대한 정보가 포함됩니다. 다음 스크린샷은 organization 감사 상태 변경에 해당하는 감사 레코드를 보여 줍니다.

감사 설정에 대한 감사 레코드

감사 설정에 대한 감사 레코드

CmdletParameters 속성의 Confirm 값은 Microsoft Purview 포털 또는 규정 준수 포털에서 또는 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true cmdlet을 실행하여 통합 감사 로깅이 켜져 있음을 나타냅니다.

감사 해제에 대한 감사 레코드

감사 해제에 대한 감사 레코드

Confirm 값은 CmdletParameters 속성에 포함되지 않습니다. 이는 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false 명령을 실행하여 통합 감사 로깅이 해제되었음을 나타냅니다.

Exchange 관리자 감사 로그 검색에 대한 자세한 내용은 Search-AdminAuditLog를 참조하세요.