Compartilhar via

Ver a atividade de auditoria do custodiante

  • Artigo

Precisa descobrir se um usuário visualizou um documento específico ou apagou um item de sua caixa de correio? Descoberta Eletrônica do Microsoft Purview (Premium) agora está integrado à ferramenta de pesquisa de log de auditoria existente no portal de conformidade do Microsoft Purview. Usando essa experiência inserida, você pode usar a ferramenta gerenciamento de custódia premium (eDiscovery) para facilitar sua investigação acessando e pesquisando facilmente a atividade em busca de custodiantes em seu caso.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Obter permissões

Você precisa receber a função Logs de Auditoria somente exibição ou Logs de Auditoria no Exchange Online para pesquisar ou exportar o log de auditoria. Por padrão, essas funções são atribuídas aos grupos de funções gerenciamento de conformidade e gerenciamento de organização na página Permissões no centro de administração do Exchange. Para dar a um usuário a capacidade de pesquisar o log de auditoria do eDiscovery (Premium) com o nível mínimo de privilégios, você pode criar um grupo de função personalizado em Exchange Online, adicionar a função Logs de Auditoria Somente Exibição ou Logs de Auditoria e adicionar o usuário como membro do novo grupo de funções. Para saber mais, confira Gerenciar Grupos de Funções do Exchange Online.

Importante

Se você atribuir a um usuário a função Logs de Auditoria somente exibição ou Logs de Auditoria na página Permissões no portal de conformidade, ele não poderá pesquisar ou exportar o log de auditoria. Você deve atribuir as permissões no Exchange Online. Isso ocorre porque o cmdlet subjacente usado para pesquisar o log de auditoria é um cmdlet Exchange Online.

Etapa 1: Pesquisa o log de auditoria para atividades executadas por um custodiante

  1. Vá para eDiscovery > eDiscovery (Premium) e abra o caso.

  2. Selecione a guia Fontes .

  3. Na página Custodians , selecione um custodiante na lista e selecione Exibir atividade de custodiante na página de sobrevoo.

    A página de pesquisa de atividades do Custodian é exibida. Observe que o custodiante selecionado na etapa anterior é exibido na caixa suspensa Custodian . Você pode selecionar diferentes custodiantes na caixa suspensa, mas só é possível pesquisar atividades para um custodiante por vez.

    Página de pesquisa de atividades do guardião

  4. Configure os seguintes critérios de pesquisa:

    1. Atividades – selecione a lista suspensa para exibir as atividades que você pode pesquisar. Depois de executar a pesquisa, somente os registros de Auditoria das atividades selecionadas serão exibidos. Selecionar Mostrar resultados para todas as atividades exibirá resultados para todas as atividades executadas pelo custodiante que correspondam aos outros critérios de pesquisa.

      Lista de atividades.

    2. Data de início e data de término – selecione um intervalo de data e hora para exibir os eventos ocorridos nesse período. Os últimos sete dias são selecionados por padrão. A data e a hora são apresentadas no formato UTC (Tempo Universal Coordenado). O intervalo máximo de datas que você pode especificar é de um ano.

    3. Custodiantes – selecione nesta caixa e selecione um custodiante específico para exibir os resultados da pesquisa. Os registros de auditoria para a atividade selecionada realizada pelos usuários que você seleciona nessa caixa são exibidas na lista de resultados.

  5. Selecione Pesquisa Botão. para executar a pesquisa usando seus critérios de pesquisa. Os resultados da pesquisa são carregados e, após alguns momentos, são exibidos em Resultados na página de pesquisa atividades de custódia.

Etapa 2: exibir os resultados da pesquisa de log de auditoria

Os resultados de uma pesquisa de log de auditoria são exibidos em Resultados na página de log auditoria de custódia. Um máximo de 5.000 eventos (mais recentes) são exibidos em incrementos de 150 eventos. Para exibir mais eventos, você pode usar a barra de rolagem no painel Resultados ou pressionar Shift + End para exibir os próximos 150 eventos.

Os resultados contêm as seguintes informações sobre cada evento retornado pela pesquisa.

  • Data:: A data e a hora (no formato UTC) de ocorrência do evento.
  • Endereço IP: O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.
  • Usuário: O usuário (ou a conta de serviço) que realizou a ação que disparou o evento.
  • Atividade: A atividade realizada pelo usuário. Esse valor corresponde às atividades que você selecionou na lista suspensa Atividades. Para um evento do log de auditoria de administradores do Exchange, o valor nessa coluna é um cmdlet do Exchange.
  • Item: O objeto que foi criado ou modificado como resultado da atividade correspondente. Por exemplo, o arquivo que foi exibido ou modificado ou a conta do usuário que foi atualizada. Nem todas as atividades têm um valor nesta coluna.
  • Detalhes: Detalhes adicionais sobre uma atividade. Novamente, nem todas as atividades terão um valor.

Etapa 3: Filtrar os resultados da pesquisa

Além de classificar, você também pode filtrar os resultados de uma pesquisa de log de auditoria. Isso pode ajudá-lo a filtrar rapidamente os resultados de um usuário ou atividade específico.

Para filtrar os resultados:

  1. Crie e execute uma pesquisa de log de auditoria.

  2. Quando os resultados forem exibidos, selecione Filtrar resultados.

  3. Caixas de palavras-chave são exibidas em cada cabeçalho de coluna.

  4. Selecione uma das caixas em um cabeçalho de coluna e digite uma palavra ou frase, dependendo da coluna na qual você está filtrando. Os resultados serão reajustados dinamicamente para exibir os eventos que correspondem ao seu filtro.

  5. Para limpar um filtro, selecione o X na caixa de filtro ou selecione Ocultar filtragem.

Exportar os resultados da pesquisa para um arquivo

Você pode exportar os resultados de uma pesquisa de log de auditoria para um arquivo CSV (valor separado por vírgula) em seu computador local. Você pode abrir esse arquivo no Microsoft Excel e usar recursos como pesquisar, classificar, filtrar e dividir uma única coluna (que contém células de vários valores) em várias colunas.

  1. Execute uma pesquisa de logs de auditoria e, em seguida, reveja os critérios de pesquisa até ter os resultados desejados.

  2. Selecione Exportar resultados e selecione uma das seguintes opções:

    • Salvar resultados carregados: Escolha essa opção para exportar apenas as entradas exibidas em Resultados na página de pesquisa de log da Auditoria de Custódia . O arquivo CSV baixado contém as mesmas colunas (e dados) exibidos na página (Data, Usuário, Atividade, Item e Detalhes). Uma coluna adicional (intitulada Mais) está incluída no arquivo CSV que contém mais informações da entrada do log de auditoria. Como você está exportando os mesmos resultados que estão carregados (e visíveis) na página Pesquisa de log de auditoria, no máximo 5.000 entradas são exportadas.

    • Baixe todos os resultados: Escolha essa opção para exportar todas as entradas do log de auditoria que atendam aos critérios de pesquisa. Para obter um grande conjunto de resultados de pesquisa, escolha essa opção para baixar todas as entradas do log de auditoria, além dos 5.000 resultados que podem ser exibidos na página de pesquisa de log da Auditoria de Custódia . Essa opção baixará os dados brutos do log de auditoria para um arquivo CSV e contém informações adicionais da entrada de log de auditoria em uma coluna chamada AuditData. O download do arquivo poderá ser mais demorado se você escolher essa opção de exportação, pois o arquivo pode ser muito maior do que o baixado com a outra opção.

      Importante

      É possível baixar no máximo 50 mil entradas para um arquivo CSV de uma única pesquisa de logs de auditoria. Se 50 mil entradas forem baixadas para o arquivo CSV, você poderá supor que existem provavelmente mais de 50 mil eventos que corresponderam aos critérios de pesquisa. Para exportar mais do que esse limite, tente usar um intervalo de datas para reduzir o número de entradas do log de auditoria. Talvez seja necessário executar várias pesquisas com intervalos de datas menores para exportar mais de 50 mil entradas.

  3. Depois de selecionar uma opção de exportação, uma mensagem é exibida na parte inferior da janela que solicita que você abra o arquivo CSV, salve-o na pasta Downloads ou salve-a em uma pasta específica

Para obter mais informações sobre como exibir, filtrar ou exportar resultados de pesquisa de log de auditoria, consulte Pesquisa log de auditoria.