Pesquisar o log de auditoria no portal de conformidade
Precisa descobrir se um usuário visualizou um documento específico ou apagou um item de sua caixa de correio? Se for o caso, você pode usar a ferramenta de pesquisa do log de auditoria no portal de conformidade Microsoft Purview para pesquisar o log de auditoria unificado para exibir as atividades do usuário e do administrador na sua organização. Milhares de operações de usuário e de administrador realizadas em dezenas de serviços e soluções do Microsoft 365 são capturadas, registradas e retidas no log de auditoria unificado da sua organização. Os usuários em sua organização podem usar a ferramenta de pesquisa de log de auditoria para pesquisar, exibir e exportar (para um arquivo CSV) os registros de auditoria para essas operações.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Serviços Microsoft 365 que dão suporte à auditoria
Por quê usar um log de auditoria unificada? Porque você pode pesquisar no log de auditoria atividades executadas em diferentes serviços Microsoft 365. A tabela a seguir lista os serviços e recursos do Microsoft 365 com suporte no log de auditoria unificado.
| Recurso ou serviço Microsoft 365 | Tipos de registro |
|---|---|
| Azure Active Directory | AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon |
| Proteção de Informações do Azure | AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat |
| Conformidade de comunicações | ComplianceSupervisionExchange |
| Explorador de conteúdo | LabelContentExplorer |
| Conectores de dados | ComplianceConnector |
| Prevenção de perda de dados (DLP) | ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint |
| Dynamics 365 | CRM |
| descoberta eletrônica (Standard + Premium) | Descoberta, AeD |
| Correspondência exata de dados | MipExactDataMatch |
| Exchange Online | ExchangeAdmin, ExchangeItem, ExchangeItemAggregated |
| Forms | MicrosoftForms |
| Barreiras de informações | InformationBarrierPolicyApplication |
| Microsoft 365 Defender | AirInvestigation, AirManualInvestigation, AirAdminActionInvestigation, MS365DCustomDetection |
| Microsoft Defender para Identidade (MDI) | MicrosoftDefenderForIdentityAudit |
| Microsoft Teams | MicrosoftTeams |
| MyAnalytics | MyAnalyticsSettings |
| OneDrive for Business | OneDrive |
| Power Apps | PowerAppsApp, PowerAppsPlan |
| Power Automate | MicrosoftFlow |
| Power BI | PowerBIAudit |
| Quarentena | Quarentena |
| rótulos MIP (Proteção de Informações do Microsoft Purview) | MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation |
| Tipos de informações confidenciais | DlpSensitiveInformationType |
| Rótulos de confidencialidade | MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch |
| Portal de mensagens criptografadas | OMEPortal |
| SharePoint Online | SharePoint, SharePointFileOperation, SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation |
| Stream | MicrosoftStream |
| Inteligência contra ameaças | ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent |
| Viva Goals | Viva Goals |
| Workplace Analytics | WorkplaceAnalytics |
| Yammer | Yammer |
| SystemSync | DataShareCreated, DataShareDeleted, GenerateCopyOfLakeData, DownloadCopyOfLakeData |
Para obter mais informações sobre as operações auditadas em cada um dos serviços listados na tabela anterior, consulte o artigo Atividades de log de auditoria .
A tabela anterior também identifica o valor do tipo de registro a ser usado para pesquisar atividades no log de auditoria no serviço correspondente usando o cmdlet Search-UnifiedAuditLog no PowerShell do Exchange Online ou usando um script do PowerShell. Alguns serviços têm vários tipos de registro para diferentes tipos de atividades dentro do mesmo serviço. Para obter uma lista mais completa dos tipos de registro de auditoria, consulte O esquema da API da Atividade de Gestão do Office 365.
Para obter mais informações sobre como usar o PowerShell para pesquisar o log de auditoria, consulte:
Antes de pesquisar o registro de auditoria
Verifique os itens a seguir antes de começar a pesquisar o log de auditoria.
A pesquisa de log de auditoria é ativada por padrão para organizações usando o Microsoft 365 e o Microsoft Office 365 corporativo. Para verificar se a pesquisa de log de auditoria está ativada, você pode executar o seguinte comando no Exchange Online PowerShell:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabledO valor de
Truepara a propriedade UnifiedAuditLogIngestionEnabled indica que a pesquisa de log de auditoria está ativada. Para saber mais, confira Ativar ou desativar a pesquisa de log de auditoria.Importante
Execute o comando anterior no Exchange Online PowerShell. Embora o cmdlet Get-AdminAuditLogConfig também esteja disponível no PowerShell de Conformidade de Segurança & , a propriedade UnifiedAuditLogIngestionEnabled é sempre
False, mesmo quando a pesquisa de log de auditoria é ativada.Você precisa receber a função Logs de Auditoria somente exibição ou Logs de Auditoria no Exchange Online para pesquisar o log de auditoria. Por padrão, essas funções são atribuídas aos grupos de funções gerenciamento de conformidade e gerenciamento de organização na página Permissões no centro de administração do Exchange. Os administradores globais do Office 365 e do Microsoft 365 são adicionados automaticamente como membros do grupo de funções gerenciamento de organização no Exchange Online. Para dar a um usuário a capacidade de pesquisar o log de auditoria com o nível mínimo de privilégios, você pode criar um grupo de função personalizado em Exchange Online, adicionar a função Logs de Auditoria Somente Exibição ou Logs de Auditoria e adicionar o usuário como membro do novo grupo de funções. Para saber mais, confira Gerenciar Grupos de Funções do Exchange Online.
Se você atribuir a um usuário a função Logs de Auditoria Somente Exibição ou Logs de Auditoria na página Permissões no portal de conformidade, ele não poderá pesquisar o log de auditoria. Você deve atribuir as permissões no Exchange Online. Isso ocorre porque o cmdlet subjacente usado para pesquisar o log de auditoria é um cmdlet Exchange Online.
Quando uma atividade auditada é realizada por um usuário ou administrador, um registro de auditoria é gerado e armazenado no log de auditoria para a sua organização. O período de tempo em que um registro de auditoria é mantido (e pesquisável no log de auditoria) depende da sua assinatura do Office 365 ou do Microsoft 365 Enterprise e, especificamente, o tipo de licença atribuída a usuários específicos.
Para os usuários que receberam uma licença do Office 365 E5 ou do Microsoft 365 E5 (ou usuários com uma licença complementar da Conformidade do Microsoft 365 E5 ou da Auditoria e Descoberta Eletrônica do Microsoft 365 E5), registros de auditoria do Azure Active Directory, Exchange e das atividades do SharePoint são mantidos por um ano, por padrão. As organizações também podem criar políticas de retenção de log de auditoria para manter os registros de auditoria para atividades em outros serviços por até um ano. Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.
Observação
Se a sua organização participou do programa de visualização particular para a retenção de registros de auditoria por um ano, a duração da retenção para registros de auditoria gerados antes da data da implantação da disponibilidade geral não será redefinida.
Para os usuários que receberam qualquer outra licença (não E5) do Office 365 ou do Microsoft 365, os registros de auditoria serão mantidos por 90 dias. Para obter uma lista de assinaturas do Office 365 e do Microsoft 365 que dão suporte ao registro em log de auditoria unificada, confira a descrição do serviço do portal de segurança e conformidade.
Observação
Mesmo quando a auditoria de caixa de correio ativada por padrão é ativada, você pode notar que eventos de auditoria de caixa de correio para alguns usuários não são encontrados em pesquisas de log de auditoria no portal de conformidade ou por meio da API de Atividade de Gerenciamento de Office 365. Para saber mais, confira Mais informações sobre o log de auditoria de caixa de correio.
Se desejar desativar a pesquisa de log de auditoria para sua organização, você pode executar o seguinte comando no PowerShell do Exchange Online:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $falsePara ativar a pesquisa de auditoria novamente, execute o seguinte comando no PowerShell do Exchange Online:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $truePara saber mais, confira Desativar a pesquisa de log de auditoria.
O cmdlet subjacente usado para pesquisar o log de auditoria é um cmdlet Exchange Online, que é Search-UnifiedAuditLog. Isso significa que você pode utilizar este cmdlet para pesquisar o log de auditoria em vez de usar a ferramenta de pesquisa na página Auditoria no portal de conformidade. Você precisa executar esse cmdlet no PowerShell do Exchange Online. Para saber mais, confira Search-UnifiedAuditLog.
Para obter informações sobre como exportar os resultados da pesquisa retornados pelo cmdlet Search-UnifiedAuditLog para um arquivo CSV, confira a seção "Dicas para exportar e exibir o log de auditoria" em Exportar, configurar e exibir registros de log de auditoria.
Se quiser baixar dados programaticamente do log de auditoria, recomendamos que você use a API da Atividade de Gestão do Office 365 em vez de usar um script do PowerShell. A API de Atividades de Gerenciamento do Office 365 é um serviço Web REST que você pode usar para desenvolver soluções de monitoramento de operações, segurança e conformidade para sua organização. Para mais informações, confira referência da API de Atividade de Gerenciamento do Office 365.
O Azure Active Directory (Azure AD) é o serviço de diretório do Microsoft 365. O log de auditoria unificado contém atividades de usuários, grupos, aplicativos, domínios e atividades de diretórios realizadas no Centro de administração do Microsoft 365 ou no portal de gerenciamento do Azure. Para obter uma lista completa de eventos do Azure AD, confira Eventos de Relatório de Auditoria do Azure Active Directory.
A Microsoft não garante um tempo específico após a ocorrência de um evento para que o registro de auditoria correspondente seja retornado nos resultados de uma pesquisa de log de auditoria. Para serviços principais (como Exchange, Microsoft Office SharePoint Online, OneDrive e Teams), a disponibilidade do registro de auditoria geralmente é de 60 a 90 minutos após a ocorrência de um evento. Para outros serviços, a disponibilidade do registro de auditoria pode ser maior. No entanto, alguns problemas inevitáveis (como uma interrupção do servidor) podem ocorrer fora do serviço de auditoria, o que atrasa a disponibilidade dos registros de auditoria. Por esse motivo, a Microsoft não se compromete com um horário específico.
O log de auditoria do Power BI não está habilitado por padrão. Para pesquisar as atividades do Power BI no log de auditoria, habilite o recurso de auditoria no Portal de Administração do Power BI. Para obter instruções, confira a seção "logs de auditoria" no portal de administração do Power bi.
Pesquisar o log de auditoria
Aqui está o processo de busca do log de auditoria Microsoft 365.
- Etapa 1: Executar uma pesquisa de log de auditoria
- Etapa 2: Exibir os resultados da pesquisa
- Etapa 3: Exportar os resultados da pesquisa para um arquivo
Etapa 1: Executar uma pesquisa de log de auditoria
Vá para https://compliance.microsoft.com e entre.
Dica
Use uma sessão de navegação privada (não uma sessão regular) para acessar o portal de conformidade, pois isso impedirá que a credencial com a qual você está conectado no momento seja usada. Pressione CTRL+SHIFT+N para abrir uma sessão de Navegação InPrivate no Microsoft Edge ou uma sessão de navegação privada no Google Chrome (chamada de janela anônima).
No painel esquerdo do portal de conformidade, selecione Auditoria.
A página Auditoria é exibida.
Observação
Se o link iniciar a gravação do usuário e da atividade de administrador for exibido, selecione-o para ativar a auditoria. Se você não vê este link, a auditoria é ativada para sua organização.
Na guia Pesquisar configure os seguintes critérios de busca:
- Data de início e Data de término: Os últimos sete dias são selecionados por padrão. Selecione um intervalo de datas e horas para exibir os eventos ocorridos durante esse período. A data e a hora são apresentadas em UTC (Horário Universal Coordenado). O intervalo de datas máximo que você pode especificar é de 90 dias. Um erro será exibido se o período selecionado for superior a 90 dias.
Dica
Se você estiver usando o intervalo máximo de datas de 90 dias, selecione a hora atual para a Data de início. Caso contrário, você receberá um erro afirmando que a data de início é anterior à data de término. Se você tiver ativado a auditoria nos últimos 90 dias, o intervalo máximo de datas não poderá começar antes da data em que a auditoria foi ativada.
Atividades: selecione a lista suspensa para exibir as atividades que você pode pesquisar. As atividades de usuário e administrador são organizadas em grupos de atividades relacionadas. Você pode selecionar atividades específicas ou selecionar o nome do grupo de atividades para selecionar todas as atividades no grupo. Você também pode selecionar uma atividade selecionada para limpar a seleção. Após a execução da pesquisa, apenas as entradas do log de auditoria das atividades selecionadas serão exibidas. Ao selecionar Mostrar resultados para todas as atividades os resultados para todas as atividades executadas pelo usuário ou grupo de usuários selecionado será exibido.
Mais de 100 atividades de usuários e administradores são registradas no log de auditoria. Selecione a guia Atividades auditadas no artigo deste artigo para ver as descrições de cada atividade em cada um dos diferentes serviços.Usuários: selecione nesta caixa e selecione um ou mais usuários para exibir os resultados da pesquisa. As entradas do log de auditoria para a atividade selecionada realizada pelos usuários que você seleciona nessa caixa são exibidas na lista de resultados. Deixe essa caixa em branco para retornar entradas para todos os usuários (e contas de serviço) na sua organização.
Arquivo, pasta ou site: Digite alguns ou todos os nome de arquivo ou pasta para pesquisar atividades relacionadas ao arquivo de pasta que contenha a palavra-chave especificada. Você também pode especificar uma URL de um arquivo ou pasta. Se você usar uma URL, certifique-se de digitar o caminho completo da URL ou se digitar uma parte da URL, não inclua caracteres ou espaços especiais (no entanto, há suporte para usar o caractere curinga (*).
Deixe essa caixa em branco para retornar entradas para todos os arquivos e pastas em sua organização.
Dica
Se você estiver procurando todas as atividades relacionadas a um site, adicione o caractere curinga (*) após a URL para retornar todas as entradas para esse site; por exemplo,
"https://contoso-my.sharepoint.com/personal*".Se você estiver procurando todas as atividades relacionadas a um arquivo, adicione o caractere curinga (*) antes do nome do arquivo para retornar todas as entradas desse arquivo; por exemplo,
"*Customer_Profitability_Sample.csv".
Selecione Pesquisar para executar a pesquisa usando seus critérios de pesquisa.
Os resultados da pesquisa são carregados e, após alguns momentos, são exibidos em uma nova página. Quando a pesquisa estiver concluída, o número de resultados encontrados será exibido. Um máximo de 50.000 eventos será exibido em incrementos de 150 eventos. Se mais de 50.000 eventos atenderem aos critérios de pesquisa, somente os 50.000 eventos não classificados retornados serão exibidos.
Dicas para pesquisar o log de auditoria
Você pode selecionar atividades específicas para pesquisar selecionando o nome da atividade. Ou você pode pesquisar todas as atividades em um grupo (como atividades de arquivo e pasta) selecionando o nome do grupo. Se uma atividade for selecionada, você poderá selecioná-la para cancelar a seleção. Você também pode usar a caixa de pesquisa para exibir as atividades que contêm a palavra-chave digitada.
É necessário selecionar Mostrar resultados para todas as atividades, na lista Atividades para exibir eventos do log de auditoria de administradores do Exchange. Os eventos desse log de auditoria exibem um nome de cmdlet (por exemplo, Set-Mailbox) na coluna Atividade dos resultados. Para obter mais informações, selecione a guia Atividades auditadas neste artigo e selecione Atividades de administrador do Exchange.
Da mesma forma, existem algumas atividades de auditoria que não possuem um item correspondente na lista Atividades. Se você souber o nome da operação dessas atividades, poderá pesquisar todas as atividades e filtrar as operações depois de exportar os resultados da pesquisa para um arquivo CSV.
Selecione Limpar para limpar os critérios de pesquisa atuais. O intervalo de datas retorna para os últimos sete dias padrão. Você também pode selecionar Limpar tudo para mostrar resultados de todas as atividades para cancelar todas as atividades selecionadas.
Se 50.000 resultados forem encontrados, você poderá supor que existam provavelmente mais de 50.000 eventos que corresponderam aos critérios de pesquisa. Você pode refinar os critérios de pesquisa e executar novamente a pesquisa para retornar menos resultados ou exportar os 50.000 resultados da pesquisa selecionando Exportar resultados>Baixe todos os resultados.
Etapa 2: Exibir os resultados da pesquisa
Os resultados de uma pesquisa de log de auditoria são exibidos em Resultados, na página Pesquisa de log de auditoria. Conforme mencionado anteriormente, um máximo de 50.000 eventos (mais recentes) é exibido em incrementos de 150 eventos. Use a barra de rolagem ou pressione Shift + End para exibir os próximos 150 eventos.
Os resultados contêm as seguintes informações sobre cada evento retornado pela pesquisa:
Data: a data e a hora (em UTC) quando o evento ocorreu.
Endereço IP: O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.
Observação
Para alguns serviços, o valor exibido nesse campo pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, em atividades de administrador (ou atividade realizada por uma conta do sistema) para os eventos relacionados ao Active Directory do Azure, o endereço IP não é registrado e o valor exibido neste campo é
null.Usuário: O usuário (ou a conta de serviço) que realizou a ação que disparou o evento.
Atividade: A atividade realizada pelo usuário. Esse valor corresponde às atividades que você selecionou na lista suspensa Atividades. Para um evento do log de auditoria de administradores do Exchange, o valor nessa coluna é um cmdlet do Exchange.
Item: O objeto que foi criado ou modificado como resultado da atividade correspondente. Por exemplo, o arquivo que foi exibido ou modificado ou a conta do usuário que foi atualizada. Nem todas as atividades têm um valor nesta coluna.
Detalhe: Informações adicionais sobre uma atividade. Novamente, nem todas as atividades têm um valor.
Dica
Selecione um cabeçalho de coluna em Resultados para classificar os resultados. Você pode classificar os resultados de A a Z ou Z para A. Selecione o cabeçalho Date para classificar os resultados do mais antigo para o mais novo ou mais recente para o mais antigo.
Exibir os detalhes de um evento específico
Você pode exibir mais detalhes sobre um evento selecionando o registro de eventos na lista de resultados da pesquisa. É exibida uma página de detalhes que contém as propriedades detalhadas do registro do evento. As propriedades exibidas dependem do serviço em que o evento ocorre.
Etapa 3: Exportar os resultados da pesquisa para um arquivo
É possível exportar os resultados de uma pesquisa de logs de auditoria para um arquivo CSV (valores separados por vírgula) no seu computador local. Você pode abrir esse arquivo no Microsoft Excel e usar recursos como pesquisa, classificação, filtragem e divisão de uma única coluna (que contém várias propriedades) em várias colunas.
Execute uma pesquisa de logs de auditoria e, em seguida, reveja os critérios de pesquisa até ter os resultados desejados.
Na página de resultados da pesquisa, selecione Exportar>Baixar todos os resultados.
Todas as entradas do log de auditoria que atendem aos critérios da pesquisa são exportadas para um arquivo CSV. Os dados brutos do log de auditoria são salvos em um arquivo CSV. As informações adicionais da entrada do log de auditoria são incluídas em uma coluna chamada AuditData no CSV.
Importante
É possível baixar no máximo 50 mil entradas para um arquivo CSV de uma única pesquisa de logs de auditoria. Se 50 mil entradas forem baixadas para o arquivo CSV, você poderá supor que existem provavelmente mais de 50 mil eventos que corresponderam aos critérios de pesquisa. Para exportar mais do que esse limite, tente usar um intervalo de datas para reduzir o número de entradas do log de auditoria. Talvez seja necessário executar várias pesquisas com intervalos de datas menores para exportar mais de 50 mil entradas.
Depois de concluir o processo de exportação, uma mensagem é exibida na parte superior da janela que solicita que você abra o arquivo CSV e salve-o no seu computador local. Você também pode acessar o arquivo CSV na pasta Downloads.
Informações adicionais sobre como exportar e exibir resultados da pesquisa do log de auditoria
Quando você baixa todos os resultados da pesquisa, o arquivo CSV contém as colunas CreationDate, UserIds, Operationse AuditData. A coluna AuditData contém informações adicionais sobre cada evento (semelhante às informações detalhadas exibidas na página do submenu quando você exibe os resultados da pesquisa no portal de conformidade). Os dados dessa coluna consistem em um objeto JSON contendo várias propriedades do registro de log de auditoria. Cada par propriedade: valor no objeto JSON é separado por uma vírgula. Você pode usar a ferramenta transformação JSON no editor do Power Query do Excel para dividir a coluna AuditData em várias colunas, de modo que cada propriedade no objeto JSON tenha sua própria coluna. Isso permitirá que você classifique e filtre uma ou mais dessas propriedades. Para obter instruções passo a passo sobre como usar o editor do Power Query para transformar o objeto JSON, confira Exportar, configurar e exibir registros de log de auditoria.
Depois de dividir a coluna AuditData, você pode filtrar a coluna Operações para exibir as propriedades detalhadas de um tipo específico de atividade.
Quando você baixa todos os resultados de uma consulta de pesquisa que contém eventos de diferentes serviços, a coluna AuditData do arquivo CSV contém propriedades diferentes, dependendo do serviço no qual a ação foi realizada. Por exemplo, as entradas do Exchange e os logs de auditoria do Azure AD incluem uma propriedade chamada ResultStatus que indica se a ação teve êxito ou não. Essa propriedade não está incluída para eventos do SharePoint. Da mesma forma, os eventos do SharePoint têm uma propriedade que identifica a URL do site para atividades relacionadas a arquivos pastas. Para atenuar esse comportamento, considere usar diferentes pesquisas para exportar os resultados de atividades de um único serviço.
Para obter uma descrição das propriedades listadas na coluna AuditData do arquivo CSV quando você baixa todos os resultados e o serviço ao qual cada uma se aplica, veja Propriedades detalhadas no log de auditoria.
Perguntas frequentes
Quais são os diferentes serviços do Microsoft 365 que atualmente são auditados?
Os serviços mais usados como Exchange Online, Microsoft Office SharePoint Online, Microsoft OneDrive for Business, Azure Active Directory, Microsoft Teams, Dynamics 365, Defender para Office 365 e Power BI são auditados. Confira o Início deste artigo para obter uma lista de serviços que são auditados.
Quais atividades são auditadas pelo serviço de auditoria no Microsoft 365?
Consulte o artigo Atividades de log de auditoria para obter uma lista e uma descrição das atividades auditadas.
Quanto tempo leva para um registro de auditoria estar disponível após um evento ter ocorrido?
A maioria dos dados de auditoria está disponível dentro de 60-90 minutos, mas pode levar até 24 horas após um evento ocorrer para que a entrada de log de auditoria correspondente seja exibida nos resultados da pesquisa. Consulte a seção Antes de pesquisar o log de auditoria deste artigo que mostra o tempo necessário para que eventos nos diferentes serviços estejam disponíveis.
Por quanto tempo os registros de auditoria são mantidos?
Como explicado anteriormente, os registros de auditoria para atividades realizadas por usuários que receberam uma licença do Office 365 E5 ou do Microsoft E5 (ou usuários com uma licença complementar do Microsoft 365 E5) são mantidos por um ano. Para todas as outras assinaturas que oferecem suporte ao log de auditoria unificado, os registros de auditoria são mantidos por 90 dias.
Posso acessar os dados de auditoria de forma programática?
Sim. A API de atividade de gerenciamento do Office 365 é usada para buscar os logs de auditoria por programação. Para saber mais, confira Introdução às APIs de Gerenciamento do Office 365.
Existem outras maneiras de obter logs de auditoria além de usar o portal de segurança e conformidade ou a API da Atividade de Gestão do Office 365?
Sim, você pode recuperar os logs de auditoria usando os seguintes métodos:
- A API da Atividade de Gestão do Office 365.
- A ferramenta de pesquisa de log de auditoria no portal de conformidade do Microsoft Purview.
- O cmdlet Search-UnifiedAuditLog no PowerShell do Exchange Online.
Preciso habilitar individualmente a auditoria em cada serviço para o qual quero capturar os logs de auditoria?
Na maioria dos serviços, a auditoria é ativada por padrão depois que você inicialmente ativa a auditoria para sua organização (como descrito na seção Antes de você procurar o log de auditoria neste artigo).
O serviço de auditoria oferece suporte para a duplicação de registros?
Não. O pipeline do serviço de auditoria está quase em tempo real, portanto não é compatível com a duplicação.
Onde os dados de auditoria são armazenados?
Atualmente, temos implantações de pipeline de auditoria nas regiões da América do Norte, Europa, Oriente Médio, África e Pacífico Asiático. Os inquilinos hospedados nessas regiões terão seus dados de auditoria armazenados na região. Para locatários multigeográficos, os dados de auditoria coletados de todas as regiões do locatário serão armazenados apenas na região de origem do locatário. No entanto, podemos transmitir os dados entre essas regiões para balancear a carga e apenas durante problemas no site ao vivo. Quando realizamos essas atividades, os dados em trânsito são criptografados.
Os dados de auditoria são criptografados?
Os dados de auditoria são armazenados nas caixas de correio do Exchange (dados em repouso) na mesma região em que o pipeline de auditoria é implantado. Os dados da caixa de correio em repouso não são criptografados pelo Exchange. No entanto, a criptografia no nível de serviço criptografa todos os dados da caixa de correio, pois os servidores do Exchange nos datacenters da Microsoft são criptografados via BitLocker. Para obter mais informações, confira Criptografia do Microsoft 365 para Skype for Business, OneDrive for Business, SharePoint Online e Exchange Online.
Os dados de email em trânsito sempre são criptografados.