감사 로그 검색

Microsoft Purview 감사(표준) 및 감사(프리미엄)의 Search 중요한 감사 로그 이벤트 데이터에 대한 organization 액세스 권한을 부여하여 인사이트를 얻고 사용자 활동을 추가로 조사할 수 있습니다.

• 규정 준수 포털을 통해 시작된 Search 작업을 완료하기 위해 더 이상 웹 브라우저 창을 열어 둘 필요가 없습니다. 이러한 작업은 브라우저 창이 닫힌 후에도 계속 실행됩니다.
• 완료된 검색 작업은 이제 30일 동안 저장되므로 기록 감사 검색을 참조할 수 있습니다.
• 각 관리자 감사 계정 사용자는 최대 10개의 동시 검색 작업이 진행 중일 수 있으며 필터링되지 않은 검색 작업은 최대 1개입니다.

팁

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

감사 로그를 검색하기 전에

감사 로그 검색을 시작하기 전에 다음 항목을 검토해야 합니다.

• Microsoft 365 및 Office 365 엔터프라이즈 조직에서는 기본적으로 감사 로그 검색이 켜져 있습니다. 감사 로그 검색이 켜져 있는지 확인하려면 Exchange Online PowerShell에서 다음 명령을 실행할 수 있습니다.

  Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
  

  UnifiedAuditLogIngestionEnabled에 대한 True 값은 로그 검색이 켜져 있는 것을 나타냅니다. 자세한 내용은 감사 로그 검색 설정 및 해제를 참조하세요.

  중요

  Exchange Online PowerShell에서 이전 명령을 실행해야 합니다. Get-AdminAuditLogConfig cmdlet은 Security & Compliance PowerShell에서도 사용할 수 있지만 감사 로그 검색이 켜져 있는 경우에도 UnifiedAuditLogIngestionEnabled 속성은 항상 False입니다.

• 감사 로그를 검색하려면 Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털 감사 로그 또는 보기 전용 감사 로그 역할이 할당되어야 합니다. 기본적으로 이러한 역할은 규정 준수 포털의 권한 페이지에서 감사 관리자 및 감사 읽기 권한 자 역할 그룹에 할당됩니다. 자세한 내용은 감사 솔루션 시작을 참조하세요. 감사 cmdlet에 액세스하려면 Exchange 관리 센터에서 감사 로그 또는 보기 전용 감사 로그 역할을 할당받아야 합니다. 보기 전용 감사 로그 또는 감사 로그 역할을 사용자 지정 역할 그룹에 추가하여 감사 로그를 검색하는 기능을 사용하여 사용자 지정 역할 그룹을 만들 수도 있습니다 .

  자세한 내용은 다음 항목을 참조하세요.

  • Microsoft Purview 포털의 사용 권한
  • Microsoft Purview 규정 준수 포털의 사용 권한

• 사용자 또는 관리자가 감사되는 활동을 수행하면 감사 레코드가 생성되어 조직의 감사 로그에 저장됩니다. 감사 기록이 보존되는(감사 로그에서 검색 가능한) 시간은 Office 365 또는 Microsoft 365 Enterprise 구독, 그리고 특히 특정 사용자에게 할당된 라이선스 유형에 따라 다릅니다.

  • Office 365 E5 또는 Microsoft 365 E5 라이선스가 할당된 사용자(또는 Microsoft 365 E5 Compliance 또는 Microsoft 365 E5 eDiscovery 및 감사 추가 기능 라이선스가 있는 사용자)의 경우 Microsoft Entra ID, Exchange 및 SharePoint 활동은 기본적으로 1년 동안 유지됩니다. 조직은 감사 로그 보존 정책을 만들어 다른 서비스 활동에 대한 감사 레코드를 최대 1년 동안 유지할 수도 있습니다. 자세한 내용은 감사 로그 보존 정책 관리를 참조하십시오.

    참고

    조직이 감사 레코드의 1년 보존을 위해 개인 미리보기 프로그램에 참여한 경우 일반 가용성 롤아웃 날짜 이전에 생성 된 감사 레코드의 보존 기간은 재설정되지 않습니다.

  • 다른(E5 이외의) Office 365 또는 Microsoft 365 라이선스가 할당된 사용자의 경우 감사 레코드는 180일 동안 보존됩니다. 통합 감사 로깅을 지원하는 Office 365 및 Microsoft 365 구독 목록은 감사(표준) 및 감사(프리미엄)에 대한 구독 요구 사항을 참조하세요.

    중요

    감사(표준)의 기본 보존 기간이 90일에서 180일로 변경되었습니다. 2023년 10월 17일 이전에 생성된 감사(표준) 로그는 90일 동안 유지됩니다. 2023년 10월 17일 또는 그 이후에 생성된 감사(표준) 로그는 180일의 새로운 기본 보존 기간을 따릅니다.

    참고

    기본적으로 사서함 감사가 켜져 있는 경우에도 일부 사용자의 사서함 감사 이벤트는 규정 준수 포털의 감사 로그 검색 또는 Office 365 관리 활동 API를 통해 찾을 수 없습니다. 자세한 내용은 사서함 감사 로깅에 대한 자세한 정보를 참조하세요.

• 조직에 대한 감사 로그 검색을 해제하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

  Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
  

  감사 검색을 다시 설정하기 위해 Exchange Online PowerShell에서 다음 명령을 실행할 수 있습니다.

  Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
  

  자세한 내용은 감사 로그 검색 해제를 참조하세요.

• 감사 로그를 검색하는 데 사용되는 기본 cmdlet은 Search-UnifiedAuditLog인 Exchange Online cmdlet입니다. 즉, 규정 준수 포털의 감사 페이지에서 검색 도구를 사용하는 대신 이 cmdlet을 사용하여 감사 로그를 검색할 수 있습니다. Exchange Online PowerShell에서 이 cmdlet을 실행해야 합니다. 자세한 내용은 Search-UnifiedAuditLog를 참조하세요.

  Search-UnifiedAuditLog cmdlet에서 반환되는 검색 결과를 CSV 파일로 내보내는 방법에 대한 자세한 내용은 감사 로그 레코드 내보내기, 구성 및 보기의 "감사 로그 내보내기 및 보기 팁" 섹션을 참조하세요.

• 감사 로그에서 프로그래밍 방식으로 데이터를 다운로드하려면 PowerShell 스크립트를 사용하는 대신 Office 365 관리 작업 API를 사용하는 것이 좋습니다. Office 365 관리 작업 API는 조직의 작업, 보안 및 규정 준수 모니터링 솔루션을 개발하는 데 사용할 수 있는 REST 웹 서비스입니다. 자세한 내용은 Office 365 관리 작업 API 참조를 참조하세요.

• Microsoft Entra ID Microsoft 365용 디렉터리 서비스입니다. 통합 감사 로그에는 Microsoft 365 관리 센터 또는 Azure 관리 포털에서 수행된 사용자, 그룹, 응용 프로그램, 도메인 및 디렉터리 활동이 포함됩니다. Microsoft Entra 이벤트의 전체 목록은 보고서 이벤트 감사 Microsoft Entra 참조하세요.

• 감사 로그 검색 결과에 해당 감사 레코드가 반환되려면 이벤트 발생 시점으로부터 얼마의 시간이 소요될지 Microsoft에서는 확실히 말씀드릴 수 없습니다. 핵심 서비스(Exchange, SharePoint, OneDrive, Teams)의 경우, 감사 레코드는 일반적으로 이벤트 발생 후 60~90분 정도 후면 사용할 수 있습니다. 그 밖의 서비스에서는 감사 레코드를 사용하기 위해 좀 더 기다려야 할 수 있습니다. 단, 몇 가지 불가피한 문제(서버 사용 중단 등)가 감사 서비스 외부에서 발생하는 경우 감사 레코드를 사용할 수 있는 시점을 늦출 수 있습니다. 이런 이유로 인해 Microsoft에서는 특정 시간을 커밋하지 않습니다.

• 감사 로그에서 Power BI 작업을 검색하려면 Power BI 관리 포털에서 감사를 사용하도록 설정해야 합니다. 자세한 내용은 Power BI 관리 포털의 "감사 로그" 섹션을 참조 하세요.

검색 시작

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.

Microsoft Purview 포털

검색을 시작하려면 다음 단계를 완료합니다.

1. Microsoft Purview 포털에 로그인합니다.

2. 감사 솔루션 카드 선택합니다. 감사 솔루션 카드 표시되지 않으면 모든 솔루션 보기를 선택한 다음 Core 섹션에서 감사를 선택합니다.

3. Search 페이지에서 해당하는 경우 다음 검색 조건을 구성합니다.

   1. 날짜 및 시간 범위(UTC): 지난 7일은 기본적으로 선택됩니다. 날짜 및 시간 범위를 선택하여 해당 기간 내에 발생한 이벤트를 표시합니다. 날짜와 시간은 UTC(협정 세계시)에 표시됩니다. 지정할 수 있는 최대 날짜 범위는 180일입니다. 선택한 날짜 범위가 180일보다 크면 오류가 표시됩니다.

      팁

      최대 날짜 범위인 180일을 사용하는 경우 시작 날짜의 현재 시간을 선택합니다. 그러지 않으면 시작 날짜가 종료 날짜보다 이전이라는 오류가 표시됩니다. 지난 180일 이내에 감사를 설정한 경우 감사가 켜진 날짜 이전에 최대 날짜 범위를 시작할 수 없습니다.

   2. 키워드 Search: 감사 로그에서 검색할 키워드(keyword) 또는 구를 입력합니다. 키워드(keyword) 또는 구는 감사 로그 또는 파일, 폴더 또는 사이트(지정된 경우)에서 검색됩니다. 특수 문자가 포함된 텍스트를 검색하려면 특수 문자를 키워드(keyword) 검색에서 별표(*)로 바꿉니다. 예를 들어 test_search_document 검색하려면 test*search*document를 사용합니다.

      중요

      키워드 Search 필드에 입력된 용어는 인덱싱된 콘텐츠(감사 일반 스키마 내의 콘텐츠) 내에서만 검색됩니다. 감사 로그의 감사 데이터 콘텐츠 는 이러한 키워드를 검색하지 않습니다.

   3. 관리 단위: 드롭다운 목록을 선택하여 감사된 활동을 검색 범위로 지정할 관리 단위를 표시합니다. 하나 이상의 관리 단위를 선택하여 검색을 scope 수 있습니다. organization 모든 관리 단위에 대한 항목을 반환하려면 이 상자를 비워 둡니다.

   4. 활동 - 친숙한 이름: 드롭다운 목록을 선택하여 검색할 수 있는 감사된 활동에 대한 친숙한 이름을 표시합니다. 사용자 및 관리자 활동에 대한 친숙한 이름은 관련 활동 그룹으로 구성됩니다. 친숙한 이름을 사용하여 특정 감사된 활동을 선택하거나 활동 그룹 이름을 선택하여 그룹의 모든 활동을 선택할 수 있습니다. 선택한 활동을 선택하여 선택을 취소할 수도 있습니다. 목록에서 활동 이름을 검색하려면 목록 위의 검색 상자를 사용합니다.

   5. 활동 - 작업 이름: 검색 결과에 포함할 감사된 활동을 검색할 정확한 작업 이름을 입력합니다. 하나 이상의 작업 이름을 쉼표로 구분하여 입력할 수 있습니다. 이 검색 조건은 PowerShell에서만 사용할 수 있는 이전 검색과 유사하며 필요한 데이터를 찾는 데 더 큰 유연성을 제공합니다.

      중요

      작업 이름은 명명된 대로 정확하게 입력해야 합니다. 작업 이름을 잘못 입력하면 결과가 반환되지 않습니다.

      예를 들어 organization SharePoint 사이트의 정보 장벽 사용 및 사용 안 함과 관련된 모든 활동을 검색하려면 다음을 수행합니다.

      • 감사 활동 문서를 검토하여 검색하려는 정보 장벽 활동의 정확한 작업 이름을 찾습니다. 이 예제에서 작업 이름은 SPOIBIsEnabled 및 SPOIBIsDisabled입니다.
      • 작업 검색 필드에 SPOIBIsEnabled,SPOIBIsDisabled 를 입력합니다. 오타 없이 올바르게 입력되도록 아티클에서 작업 검색 필드로 직접 작업 이름을 복사하고 붙여넣는 것이 좋습니다.

   6. 레코드 유형: 드롭다운 목록을 선택하여 검색할 수 있는 감사된 활동에 대한 레코드 유형을 표시합니다. 검색할 하나 이상의 레코드 유형을 선택할 수 있습니다. 목록에서 레코드 유형을 검색하려면 목록 위의 검색 상자를 사용합니다.
      
      특정 레코드 유형 은 특정 Microsoft 서비스 및 애플리케이션과 연결됩니다. 예를 들어 MIP(scope Microsoft Purview Information Protection 민감도 레이블과 연결된 특정 레코드 형식을 검색하려면 목록에서 MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem 및 MipAutoLabelSharePointPolicyLocation 레코드 형식을 선택할 수 있습니다.

   7. Search 이름: 검색 작업의 사용자 지정 이름을 입력합니다. 이 이름은 검색 작업 기록에서 검색 작업을 식별하는 데 사용됩니다. 이름을 입력하지 않으면 검색 및 기타 정의된 검색 조건 값에 대해 정의된 날짜와 시간의 조합을 사용하여 검색 작업의 이름이 자동으로 지정됩니다.

   8. 사용자: 이 필드를 선택하고 검색 결과를 표시할 하나 이상의 사용자 이름을 선택합니다. 이 상자에서 선택한 사용자가 수행한 선택한 활동에 대한 감사 로그 항목이 결과 목록에 표시됩니다. 조직의 모든 사용자(및 서비스 계정)에 대한 항목을 반환하려면 이 상자를 비워 둡니다.

   9. 파일, 폴더 또는 사이트: 파일 또는 폴더 이름의 일부 또는 전부를 입력하여 지정된 키워드(keyword) 포함하는 폴더 파일과 관련된 활동을 검색합니다. 이 검색 조건은 해당 파일, 폴더 및 사이트에 대한 모든 관련 결과를 반환합니다. 파일 또는 폴더의 URL을 지정할 수도 있습니다. URL을 사용하는 경우 전체 URL 경로를 입력하거나 URL의 일부를 입력하는 경우 특수 문자 또는 공백을 포함하지 마세요(그러나 와일드카드 문자 사용(*)가 지원됨). 조직의 모든 파일 및 폴더에 대한 항목을 반환하려면 이 상자를 비워 둡니다.

   10. 워크로드: 워크로드 서비스를 입력하거나 검색하여 선택한 워크로드와 관련된 활동을 검색합니다. 목록에서 워크로드로 이동하거나 선택하려는 워크로드로 스크롤할 워크로드의 이름을 입력합니다.

4. Search 선택하여 검색 작업을 시작합니다. 하나의 사용자 계정에 대해 최대 10개의 검색 작업을 병렬로 실행할 수 있습니다. 사용자에게 10개 이상의 검색 작업이 필요한 경우 진행 중인 작업이 완료되거나 검색 작업을 삭제할 때까지 기다려야 합니다.

규정 준수 포털

검색을 시작하려면 다음 단계를 완료합니다.

1. Microsoft Purview 규정 준수 포털 로그인합니다.

2. 왼쪽 패널에서 감사 탭을 선택합니다.

3. 감사 페이지의 맨 위에 있는 새 Search 탭을 선택합니다.

4. 새 Search 탭에서 해당하는 경우 다음 검색 조건을 구성합니다.

   1. 시작 날짜 및 날짜: 기본적으로 최근 7일이 선택됩니다. 날짜 및 시간 범위를 선택하여 해당 기간 내에 발생한 이벤트를 표시합니다. 날짜와 시간은 UTC(협정 세계시)에 표시됩니다. 지정할 수 있는 최대 날짜 범위는 180일입니다. 선택한 날짜 범위가 180일보다 크면 오류가 표시됩니다.

      팁

      최대 날짜 범위인 180일을 사용하는 경우 시작 날짜의 현재 시간을 선택합니다. 그러지 않으면 시작 날짜가 종료 날짜보다 이전이라는 오류가 표시됩니다. 지난 180일 이내에 감사를 설정한 경우 감사가 켜진 날짜 이전에 최대 날짜 범위를 시작할 수 없습니다.

   2. 키워드 Search: 감사 로그에서 검색할 키워드(keyword) 또는 구를 입력합니다. 키워드(keyword) 또는 구는 감사 로그 또는 파일, 폴더 또는 사이트(지정된 경우)에서 검색됩니다. 특수 문자가 포함된 텍스트를 검색하려면 특수 문자를 키워드(keyword) 검색에서 별표(*)로 바꿉니다. 예를 들어 test_search_document 검색하려면 test*search*document를 사용합니다.

      중요

      키워드 Search 필드에 입력된 용어는 인덱싱된 콘텐츠(감사 일반 스키마 내의 콘텐츠) 내에서만 검색됩니다. 감사 로그의 감사 데이터 콘텐츠 는 이러한 키워드를 검색하지 않습니다.

   3. 관리 단위: 드롭다운 목록을 선택하여 감사된 활동을 검색 범위로 지정할 관리 단위를 표시합니다. 하나 이상의 관리 단위를 선택하여 검색을 scope 수 있습니다. organization 모든 관리 단위에 대한 항목을 반환하려면 이 상자를 비워 둡니다.

   4. 활동 - 친숙한 이름: 드롭다운 목록을 선택하여 검색할 수 있는 감사된 활동에 대한 친숙한 이름을 표시합니다. 사용자 및 관리자 활동에 대한 친숙한 이름은 관련 활동 그룹으로 구성됩니다. 친숙한 이름을 사용하여 특정 감사된 활동을 선택하거나 활동 그룹 이름을 선택하여 그룹의 모든 활동을 선택할 수 있습니다. 선택한 활동을 선택하여 선택을 취소할 수도 있습니다. 목록에서 활동 이름을 검색하려면 목록 위의 검색 상자를 사용합니다.

   5. 활동 - 작업 이름: 검색 결과에 포함할 감사된 활동을 검색할 정확한 작업 이름을 입력합니다. 하나 이상의 작업 이름을 쉼표로 구분하여 입력할 수 있습니다. 이 검색 조건은 PowerShell에서만 사용할 수 있는 이전 검색과 유사하며 필요한 데이터를 찾는 데 더 큰 유연성을 제공합니다.

      중요

      작업 이름은 명명된 대로 정확하게 입력해야 합니다. 작업 이름을 잘못 입력하면 결과가 반환되지 않습니다.

      예를 들어 organization SharePoint 사이트의 정보 장벽 사용 및 사용 안 함과 관련된 모든 활동을 검색하려면 다음을 수행합니다.

      • 감사 활동 문서를 검토하여 검색하려는 정보 장벽 활동의 정확한 작업 이름을 찾습니다. 이 예제에서 작업 이름은 SPOIBIsEnabled 및 SPOIBIsDisabled입니다.
      • 작업 검색 필드에 SPOIBIsEnabled,SPOIBIsDisabled 를 입력합니다. 오타 없이 올바르게 입력되도록 아티클에서 작업 검색 필드로 직접 작업 이름을 복사하고 붙여넣는 것이 좋습니다.

   6. 레코드 유형: 드롭다운 목록을 선택하여 검색할 수 있는 감사된 활동에 대한 레코드 유형을 표시합니다. 검색할 하나 이상의 레코드 유형을 선택할 수 있습니다. 목록에서 레코드 유형을 검색하려면 목록 위의 검색 상자를 사용합니다.
      
      특정 레코드 유형 은 특정 Microsoft 서비스 및 애플리케이션과 연결됩니다. 예를 들어 MIP(scope Microsoft Purview Information Protection 민감도 레이블과 연결된 특정 레코드 형식을 검색하려면 목록에서 MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem 및 MipAutoLabelSharePointPolicyLocation 레코드 형식을 선택할 수 있습니다.

   7. Search 이름: 검색 작업의 사용자 지정 이름을 입력합니다. 이 이름은 검색 작업 기록에서 검색 작업을 식별하는 데 사용됩니다. 이름을 입력하지 않으면 검색 및 기타 정의된 검색 조건 값에 대해 정의된 날짜와 시간의 조합을 사용하여 검색 작업의 이름이 자동으로 지정됩니다.

   8. 사용자: 이 필드를 선택하고 검색 결과를 표시할 하나 이상의 사용자 이름을 선택합니다. 이 상자에서 선택한 사용자가 수행한 선택한 활동에 대한 감사 로그 항목이 결과 목록에 표시됩니다. 조직의 모든 사용자(및 서비스 계정)에 대한 항목을 반환하려면 이 상자를 비워 둡니다.

   9. 파일, 폴더 또는 사이트: 파일 또는 폴더 이름의 일부 또는 전부를 입력하여 지정된 키워드(keyword) 포함하는 폴더 파일과 관련된 활동을 검색합니다. 이 검색 조건은 해당 파일, 폴더 및 사이트에 대한 모든 관련 결과를 반환합니다. 파일 또는 폴더의 URL을 지정할 수도 있습니다. URL을 사용하는 경우 전체 URL 경로를 입력하거나 URL의 일부를 입력하는 경우 특수 문자 또는 공백을 포함하지 마세요(그러나 와일드카드 문자 사용(*)가 지원됨). 조직의 모든 파일 및 폴더에 대한 항목을 반환하려면 이 상자를 비워 둡니다.

   10. 워크로드: 워크로드 서비스를 입력하거나 검색하여 선택한 워크로드와 관련된 활동을 검색합니다. 목록에서 워크로드로 이동하거나 선택하려는 워크로드로 스크롤할 워크로드의 이름을 입력합니다.

5. Search 선택하여 검색 작업을 시작합니다. 하나의 사용자 계정에 대해 최대 10개의 검색 작업을 병렬로 실행할 수 있습니다. 사용자에게 10개 이상의 검색 작업이 필요한 경우 진행 중인 작업이 완료되거나 검색 작업을 삭제할 때까지 기다려야 합니다.

Search 작업 dashboard

활성 및 완료된 검색 작업은 검색 작업 dashboard 표시됩니다. dashboard 각 검색 작업에 대해 다음 정보를 표시합니다.

• Search 이름: 검색 작업의 이름입니다. 검색 작업 이름 위에 커서를 가져가면 작업에 대한 전체 검색 이름을 볼 수 있습니다.
• 작업 상태: 검색 작업의 상태. 상태 큐에 대기 중, 진행 중 또는 완료될 수 있습니다.
• 진행률(%): 완료된 검색 작업의 백분율입니다.
• Search 시간: 검색 작업을 완료하기 위해 경과된 총 실행 시간입니다.
• 총 결과: 검색 작업에서 반환된 총 결과 수입니다.
• 생성 시간: UTC에서 검색 작업을 만든 날짜 및 시간입니다.
• Search 수행: 검색 작업을 만든 사용자 계정입니다.

작업을 선택한 다음 명령 모음에서 삭제를 선택하여 검색 작업을 삭제 합니다. 검색 작업을 삭제해도 검색과 연결된 백 엔드 데이터는 삭제되지 않습니다. 검색 작업 정의 및 연결된 검색 결과만 삭제합니다.

기존 검색 작업에 대한 검색 조건을 복사하려면 작업을 선택한 다음 명령 모음에서 이 검색 복사 를 선택합니다. 검색 조건은 검색 페이지에 복사되며 새 검색에 필요한 대로 검색 조건을 수정할 수 있습니다.

Search 작업 세부 정보 dashboard

검색 작업에 대한 세부 정보를 보려면 검색 작업을 선택합니다. 작업의 총 항목 수는 dashboard 맨 위에 포함됩니다. 총 결과 번호는 중복을 공제하므로 검색 작업 dashboard 항목 수보다 적을 수 있습니다.

검색 작업 세부 정보 dashboard 검색 작업 결과에 수집된 개별 항목에 대한 다음 정보를 표시합니다.

• 날짜(UTC): 활동이 발생한 날짜 및 시간입니다.
• IP 주소: 작업을 수행하는 데 사용된 디바이스의 IP 주소입니다.
• 사용자: 활동을 수행한 사용자 계정입니다.
• 레코드 형식: 활동과 연결된 레코드 형식입니다.
• 활동: 수행된 활동의 식별 이름입니다.
• 항목: 작업이 수행된 파일, 폴더 또는 사이트의 이름입니다.
• 관리 단위: 활동을 수행한 사용자 계정이 속한 관리 단위입니다.
• 세부 정보: 활동에 대한 추가 세부 정보입니다.

열 머리글을 사용하여 검색 작업 항목을 정렬하거나 필터 창을 사용하여 사용자 지정 필터를 만들 수 있습니다. 필터를 사용하여 dashboard 열 조건에 대한 특정 값에 대한 검색 작업 항목을 필터링합니다. 모든 검색 작업 항목을 .csv 파일로 내보내려면 명령 모음에서 내보내 기를 선택합니다. 내보내기에서는 감사(표준)에 대해 최대 50KB, 감사(프리미엄)에 대해 최대 500KB(500,000개 행)의 결과를 지원합니다.

특정 활동을 선택하여 플라이아웃 창에서 활동에 대한 자세한 내용을 확인합니다. 플라이아웃 창에는 활동에 대한 추가 정보가 표시됩니다.

관리 단위를 사용하여 감사 로그에 대한 액세스 범위 지정

감사 로그 검색에 대한 액세스는 규정 준수 포털에서 감사 로그에 액세스하는 사용자에게 할당된 관리 단위에 따라 범위가 지정됩니다. 제한된 관리자는 관리 단위의 scope 내에서만 사용자 생성 감사 로그를 검색하고 내보낼 수 있습니다. 무제한 관리자는 비사용자 및 시스템 계정에서 생성된 로그를 포함하여 모든 감사 로그에 액세스할 수 있습니다.

관리자에게 할당된 관리 단위	범위가 지정된 검색을 수행할 수 있는 관리 단위	감사 로그 검색 및 내보내기 액세스
없음(기본값): 무제한 관리자	모든 관리 단위를 사용할 수 있습니다.	모든 사용자, 비 사용자 또는 시스템 계정의 모든 활동 로그에 액세스합니다.
하나 이상의 관리 단위: 제한된 관리자	관리자에게 할당된 관리 단위만 사용할 수 있습니다.	일치하는 관리 단위 할당을 사용하여 사용자의 활동 로그에 액세스합니다.

참고

Search-MailboxAuditLog 및 Search-AdminAuditLog cmdlet은 현재 범위가 지정된 액세스를 지원하지 않습니다. 이러한 cmdlet을 사용하는 Search 요청에는 검색을 수행하는 사용자가 범위가 지정된 관리자인 경우에도 Exchange의 범위가 지정되지 않은 활동 로그가 항상 포함됩니다. Exchange 사서함 활동 로그를 포함하여 Microsoft 서비스에서 범위가 지정된 활동 로그에 액세스하려면 Search-UnifiedAuditLog cmdlet을 사용합니다.

다음 감사 활동은 무제한 관리자가 수행하는 검색 쿼리에서만 액세스할 수 있습니다. 제한된 관리자가 쿼리할 때 이러한 로그에 액세스할 수 있도록 노력하고 있습니다. 이러한 활동에 대한 감사 로그의 전체 목록을 보려면 무제한 관리자 계정을 사용하여 검색 요청을 제출합니다.

서비스	작업
Azure Information Protection	검색
Dynamics 365	CrmDefaultActivity
끝점 데이터 손실 방지	FileCreated FileCreatedOnNetworkShare FileCreatedOnRemovableMedia FileDeleted
Exchange	Set-Mailbox Set-MailboxPlan SupervisionBulkEmailExclusion
Microsoft Forms	ViewRuntimeForm

관리 단위에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 권한을 참조하세요.