Pesquisar o log de auditoria
A pesquisa em Auditoria do Microsoft Purview (Standard) e Auditoria (Premium) dá à sua organização acesso a dados de eventos de registo de auditoria críticos para obter informações e investigar mais aprofundadamente as atividades dos utilizadores.
- As tarefas de pesquisa iniciadas através do portal de conformidade já não requerem que a janela do browser permaneça aberta para concluir. Esses trabalhos continuarão sendo executados mesmo depois que a janela do navegador for fechada.
- As tarefas de pesquisa concluídas são agora armazenadas durante 30 dias, dando-lhe a capacidade de referenciar pesquisas de auditoria históricas.
- Cada utilizador da conta de Auditoria de administrador pode ter um máximo de 10 tarefas de pesquisa simultâneas em curso com um máximo de uma tarefa de pesquisa não filtrada.
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.
Certifique-se de que revê os seguintes itens antes de começar a procurar no registo de auditoria.
A pesquisa de log de auditoria é ativada por padrão para organizações usando o Microsoft 365 e o Microsoft Office 365 corporativo. Para verificar se a pesquisa de registos de auditoria está ativada, pode executar o seguinte comando no Exchange Online PowerShell:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
O valor de
True
para a propriedade UnifiedAuditLogIngestionEnabled indica que a pesquisa de log de auditoria está ativada. Para saber mais, confira Ativar ou desativar a pesquisa de log de auditoria.Importante
Certifique-se de que executa o comando anterior no Exchange Online PowerShell. Embora o cmdlet Get-AdminAuditLogConfig também esteja disponível no PowerShell de Conformidade do & de Segurança, a propriedade UnifiedAuditLogIngestionEnabled é sempre
False
, mesmo quando a pesquisa de registos de auditoria está ativada.Tem de lhe ser atribuída a função Registos de Auditoria ou Registos de Auditoria Apenas de Visualização no portal do Microsoft Purview ou portal de conformidade do Microsoft Purview para procurar no registo de auditoria. Por predefinição, estas funções são atribuídas aos grupos de funções Gestor de Auditoria e Leitor de Auditoria na página Permissões no portal de conformidade. Para obter mais informações, veja Introdução às soluções de auditoria. Para aceder aos cmdlets de auditoria, tem de lhe ser atribuída a função Registos de Auditoria ou Registos de Auditoria Apenas de Visualização no centro de administração do Exchange. Também pode criar grupos de funções personalizados com a capacidade de pesquisar o registo de auditoria ao adicionar as funções Registos de Auditoria apenas de Visualização ou Registos de Auditoria a um grupo de funções personalizado.
Para saber mais, confira:
Quando uma atividade auditada é realizada por um usuário ou administrador, um registro de auditoria é gerado e armazenado no log de auditoria para a sua organização. O período de tempo em que um registro de auditoria é mantido (e pesquisável no log de auditoria) depende da sua assinatura do Office 365 ou do Microsoft 365 Enterprise e, especificamente, o tipo de licença atribuída a usuários específicos.
Para os utilizadores a quem foi atribuída uma licença de Office 365 E5 ou Microsoft 365 E5 (ou utilizadores com uma licença de suplemento de Deteção de Dados Eletrónicos de Microsoft 365 E5 Compliance ou Microsoft 365 E5 e Auditoria), registos de auditoria para Microsoft Entra ID, as atividades do Exchange e do SharePoint são retidas por um ano por predefinição. As organizações também podem criar políticas de retenção de log de auditoria para manter os registros de auditoria para atividades em outros serviços por até um ano. Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.
Observação
Se a sua organização participou do programa de visualização particular para a retenção de registros de auditoria por um ano, a duração da retenção para registros de auditoria gerados antes da data da implantação da disponibilidade geral não será redefinida.
Para os utilizadores atribuídos a qualquer outro (não E5) Office 365 ou licença do Microsoft 365, os registos de auditoria são retidos durante 180 dias. Para obter uma lista de subscrições do Office 365 e do Microsoft 365 que suportam o registo de auditoria unificado, veja os requisitos de subscrição para Auditoria (Standard) e Auditoria (Premium).
Importante
O período de retenção predefinido para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os registos de auditoria (Standard) gerados antes de 17 de outubro de 2023 são retidos durante 90 dias. Os registos de auditoria (Standard) gerados em ou depois de 17 de outubro de 2023 seguem a nova retenção predefinida de 180 dias.
Observação
Mesmo quando a auditoria da caixa de correio está ativada por predefinição, poderá reparar que os eventos de auditoria da caixa de correio para alguns utilizadores não são encontrados em pesquisas de registos de auditoria no portal de conformidade ou através da API de Atividade de Gestão de Office 365. Para saber mais, confira Mais informações sobre o log de auditoria de caixa de correio.
Se desejar desativar a pesquisa de log de auditoria para sua organização, você pode executar o seguinte comando no PowerShell do Exchange Online:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
Para ativar a pesquisa de auditoria novamente, execute o seguinte comando no PowerShell do Exchange Online:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
Para saber mais, confira Desativar a pesquisa de log de auditoria.
O cmdlet subjacente utilizado para pesquisar o registo de auditoria é um cmdlet Exchange Online, que é Search-UnifiedAuditLog. Isso significa que você pode utilizar este cmdlet para pesquisar o log de auditoria em vez de usar a ferramenta de pesquisa na página Auditoria no portal de conformidade. Você precisa executar esse cmdlet no PowerShell do Exchange Online. Para saber mais, confira Search-UnifiedAuditLog.
Para obter informações sobre como exportar os resultados da pesquisa retornados pelo cmdlet Search-UnifiedAuditLog para um arquivo CSV, confira a seção "Dicas para exportar e exibir o log de auditoria" em Exportar, configurar e exibir registros de log de auditoria.
Se quiser baixar dados programaticamente do log de auditoria, recomendamos que você use a API da Atividade de Gestão do Office 365 em vez de usar um script do PowerShell. A API de Atividades de Gerenciamento do Office 365 é um serviço Web REST que você pode usar para desenvolver soluções de monitoramento de operações, segurança e conformidade para sua organização. Para mais informações, confira referência da API de Atividade de Gerenciamento do Office 365.
Microsoft Entra ID é o serviço de diretório do Microsoft 365. O log de auditoria unificado contém atividades de usuários, grupos, aplicativos, domínios e atividades de diretórios realizadas no Centro de administração do Microsoft 365 ou no portal de gerenciamento do Azure. Para obter uma lista completa de eventos Microsoft Entra, veja eventos de relatórios de auditoria Microsoft Entra.
A Microsoft não garante um tempo específico após a ocorrência de um evento para que o registro de auditoria correspondente seja retornado nos resultados de uma pesquisa de log de auditoria. Para serviços principais (como Exchange, Microsoft Office SharePoint Online, OneDrive e Teams), a disponibilidade do registro de auditoria geralmente é de 60 a 90 minutos após a ocorrência de um evento. Para outros serviços, a disponibilidade do registro de auditoria pode ser maior. No entanto, alguns problemas inevitáveis (como uma interrupção do servidor) podem ocorrer fora do serviço de auditoria, o que atrasa a disponibilidade dos registros de auditoria. Por esse motivo, a Microsoft não se compromete com um horário específico.
Para pesquisar as atividades do Power BI no log de auditoria, habilite o recurso de auditoria no Portal de Administração do Power BI. Para obter instruções, confira a seção "logs de auditoria" no portal de administração do Power bi.
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
Conclua os seguintes passos para começar a procurar:
Inicie sessão no portal do Microsoft Purview.
Selecione a solução auditoria card. Se a solução auditoria card não for apresentada, selecione Ver todas as soluções e, em seguida, selecione Auditoria na secção Núcleo.
Na página Procurar , configure os seguintes critérios de pesquisa conforme aplicável:
Intervalo de datas e horas (UTC): os últimos sete dias estão selecionados por predefinição. Selecione um intervalo de datas e horas para exibir os eventos ocorridos durante esse período. A data e hora são apresentadas na Hora Universal Coordenada (UTC). O intervalo de datas máximo que pode especificar é de 180 dias. É apresentado um erro se o intervalo de datas selecionado for superior a 180 dias.
Dica
Se estiver a utilizar o intervalo de datas máximo de 180 dias, selecione a hora atual para a Data de início. Caso contrário, você receberá um erro afirmando que a data de início é anterior à data de término. Se tiver ativado a auditoria nos últimos 180 dias, o intervalo máximo de datas não poderá ser iniciado antes da data em que a auditoria foi ativada.
Pesquisa de Palavras-chave: introduza uma palavra-chave ou expressão para procurar no registo de auditoria. A palavra-chave ou expressão é pesquisada no registo de auditoria ou no ficheiro, pasta ou sites (se especificado) para a pesquisa. Para procurar texto que contenha carateres especiais, substitua os carateres especiais por um asterisco(*) na pesquisa palavra-chave. Por exemplo, para procurar test_search_document, utilize test*search*document.
Importante
Os termos introduzidos no campo Pesquisa de Palavras-chave só são pesquisados no conteúdo indexado (conteúdo no esquema comum Auditoria). O conteúdo dos dados de auditoria no registo de auditoria não é procurado por estas palavras-chave.
unidades de Administração: selecione a lista pendente para apresentar as unidades administrativas para as quais pretende definir o âmbito das atividades auditadas para a pesquisa. Pode selecionar uma ou mais unidades administrativas para definir o âmbito da sua pesquisa. Deixe esta caixa em branco para devolver entradas para todas as unidades administrativas na sua organização.
Atividades – nomes amigáveis: selecione a lista pendente para apresentar os nomes amigáveis das atividades auditadas que pode procurar. Os nomes amigáveis para atividades de utilizadores e administradores estão organizados em grupos de atividades relacionadas. Com nomes amigáveis, pode selecionar atividades auditadas específicas ou pode selecionar o nome do grupo de atividades para selecionar todas as atividades no grupo. Você também pode clicar em uma atividade selecionada para limpar a seleção. Para procurar um nome amigável para as atividades na lista, utilize a caixa de pesquisa acima da lista.
Atividades – nomes de operações: introduza os nomes exatos das operações para procurar atividades auditadas a incluir nos resultados da pesquisa. Pode introduzir um ou mais nomes de operações, separados por vírgulas. Este critério de pesquisa é semelhante às pesquisas anteriores apenas disponíveis no PowerShell e proporciona maior flexibilidade para o ajudar a encontrar os dados de que precisa.
Importante
Os nomes das operações têm de ser introduzidos exatamente como são denominados. Se os nomes das operações forem introduzidos incorretamente, não são devolvidos resultados.
Por exemplo, para procurar todas as atividades relacionadas com a ativação e desativação de barreiras de informações de um site do SharePoint na sua organização, deve:
- Reveja o artigo atividades de auditoria para encontrar o nome exato da operação para as atividades de barreiras de informações que pretende procurar. Neste exemplo, os nomes das operações são SPOIBIsEnabled e SPOIBIsDisabled.
- Introduza SPOIBIsEnabled,SPOIBIsDisabled no campo de pesquisa de operações. Recomendamos que copie e cole os nomes das operações diretamente do artigo no campo de pesquisa de operações para garantir que são introduzidos corretamente e sem erros de digitação.
Tipos de registo: selecione a lista pendente para apresentar os tipos de registo das atividades auditadas que pode procurar. Pode selecionar um ou mais tipos de registo para procurar. Para procurar um tipo de registo na lista, utilize a caixa de pesquisa acima da lista.
Os tipos de registo específicos estão associados a aplicações e serviços Microsoft específicos. Por exemplo, se quiser definir o âmbito da sua pesquisa para tipos de registo específicos associados a etiquetas de confidencialidade no Proteção de Informações do Microsoft Purview (MIP), pode selecionar os tipos de registo MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem e MipAutoLabelSharePointPolicyLocation na lista.Nome da pesquisa: introduza um nome personalizado para a tarefa de pesquisa. Este nome é utilizado para identificar a tarefa de pesquisa no histórico de tarefas de pesquisa. Se não introduzir um nome, o nome da tarefa de pesquisa é automaticamente denominado através de uma combinação da data e hora definidas para a pesquisa e outros valores de critérios de pesquisa definidos.
Utilizadores: selecione este campo e selecione os nomes de um ou mais utilizadores para os quais pretende apresentar os resultados da pesquisa. As entradas do log de auditoria para a atividade selecionada realizada pelos usuários que você seleciona nessa caixa são exibidas na lista de resultados. Deixe essa caixa em branco para retornar entradas para todos os usuários (e contas de serviço) na sua organização.
Ficheiro, pasta ou site: introduza um ou todos os nomes de um ficheiro ou pasta para procurar atividade relacionada com o ficheiro da pasta que contém o palavra-chave especificado. Este critério de pesquisa devolve todos os resultados relacionados para ficheiros, pastas e sites correspondentes. Você também pode especificar uma URL de um arquivo ou pasta. Se utilizar um URL, certifique-se de que o tipo do caminho completo do URL ou se escrever uma parte do URL não inclui quaisquer carateres especiais ou espaços (no entanto, a utilização do caráter universal (*) é suportada). Deixe essa caixa em branco para retornar entradas para todos os arquivos e pastas em sua organização.
Cargas de trabalho: introduza ou procure serviços de carga de trabalho para procurar atividade relacionada com as cargas de trabalho selecionadas. Introduza o nome de uma carga de trabalho para ir para a carga de trabalho na lista ou desloque-se para as cargas de trabalho que pretende selecionar.
Selecione Procurar para iniciar a sua tarefa de pesquisa. Um máximo de 10 tarefas de pesquisa podem ser executadas em paralelo para uma conta de utilizador. Se um utilizador precisar de mais de 10 tarefas de pesquisa, tem de aguardar que uma tarefa em curso termine ou elimine uma tarefa de pesquisa.
As tarefas de pesquisa ativas e concluídas são apresentadas na tarefa de pesquisa dashboard. O dashboard apresenta as seguintes informações para cada tarefa de pesquisa:
- Nome da pesquisa: o nome da tarefa de pesquisa. O nome de pesquisa completo de uma tarefa pode ser visto ao pairar o cursor sobre o nome da tarefa de pesquisa.
- Tarefa status: a status da tarefa de pesquisa. O status pode ser Em Fila, Em Curso ou Concluído.
- Progresso (%): a percentagem da tarefa de pesquisa que foi concluída.
- Tempo de pesquisa: o tempo de execução total decorrido para concluir a tarefa de pesquisa.
- Total de resultados: o número total de resultados devolvidos pela tarefa de pesquisa.
- Hora de criação: a data e hora em que a tarefa de pesquisa foi criada em UTC.
- Pesquisa realizada por: a conta de utilizador que criou a tarefa de pesquisa.
Elimine as tarefas de pesquisa selecionando a tarefa e, em seguida, selecionando Eliminar na barra de comandos. Eliminar uma tarefa de pesquisa não elimina os dados de back-end associados à pesquisa. Elimina apenas a definição da tarefa de pesquisa e o resultado de pesquisa associado.
Para copiar os critérios de pesquisa de uma tarefa de pesquisa existente, selecione a tarefa e, em seguida, selecione Copiar esta pesquisa na barra de comandos. Os critérios de pesquisa são copiados para a página de pesquisa e pode modificar os critérios de pesquisa conforme necessário para uma nova pesquisa.
Para ver detalhes sobre uma tarefa de pesquisa, selecione a tarefa de pesquisa. O número total de itens na tarefa está incluído na parte superior da dashboard. O número total de resultados deduz duplicados, razão pela qual pode ser menor do que o número de itens na tarefa de pesquisa dashboard.
Os detalhes da tarefa de pesquisa dashboard apresenta as seguintes informações sobre os itens individuais recolhidos nos resultados da tarefa de pesquisa:
- Data (UTC): a data e hora em que a atividade ocorreu.
- Endereço IP: o endereço IP do dispositivo que foi utilizado para efetuar a atividade.
- Utilizador: a conta de utilizador que efetuou a atividade.
- Tipo de registo: o tipo de registo associado à atividade.
- Atividade: o nome amigável da atividade que foi realizada.
- Item: o nome do ficheiro, pasta ou site em que a atividade foi executada.
- unidades de Administração: a unidade de administrador à qual pertence a conta de utilizador que efetuou a atividade.
- Detalhes: detalhes adicionais sobre a atividade.
Pode ordenar os itens da tarefa de pesquisa com os cabeçalhos de coluna ou criar um filtro personalizado com o painel de filtro. Utilize o filtro para filtrar os itens da tarefa de pesquisa para valores específicos para qualquer um dos critérios da coluna dashboard. Para exportar todos os itens de tarefa de pesquisa para um ficheiro de .csv, selecione Exportar na barra de comandos. A exportação suporta resultados até 50 KB para Auditoria (Standard) e até 500 KB (500 000 linhas) para Auditoria (Premium).
Selecione uma atividade específica para ver mais detalhes sobre a atividade numa janela de lista de opções. A janela de lista de opções apresenta as informações adicionais sobre a atividade.
O acesso à pesquisa no registo de auditoria é limitado com base nas unidades administrativas atribuídas ao utilizador que acede ao registo de auditoria no portal de conformidade. Um administrador restrito só pode procurar e exportar registos de auditoria gerados pelo utilizador no âmbito das respetivas unidades administrativas. Um administrador sem restrições tem acesso a todos os registos de auditoria, incluindo registos gerados por contas de sistema e não utilizadores. Para aceder aos registos de atividades no âmbito de qualquer serviço Microsoft, incluindo registos de atividades da caixa de correio do Exchange, utilize o cmdlet Search-UnifiedAuditLog .
Administração unidades atribuídas aos administradores | Administração unidades disponíveis para efetuar a pesquisa no âmbito | Acesso aos registos de auditoria de pesquisa e exportação |
---|---|---|
Nenhum (Predefinição): Administrador sem restrições | Todas as unidades administrativas estão disponíveis | Acesso a todos os registos de atividades de qualquer utilizador, não utilizador ou conta de sistema. |
Uma ou mais unidades administrativas: Administrador restrito | Só estão disponíveis as unidades administrativas atribuídas ao administrador | Acesso a registos de atividades de utilizadores com uma atribuição de unidade administrativa correspondente. |
As seguintes atividades de auditoria só são acessíveis por consultas de pesquisa realizadas por um administrador sem restrições. Estamos a trabalhar para garantir que estes registos estão acessíveis quando consultados por um administrador restrito. Para ver uma lista completa dos registos de auditoria para estas atividades, submeta um pedido de pesquisa com uma conta de administrador sem restrições.
Serviço | Operação |
---|---|
Proteção de Informações do Azure | Descobrir |
Dynamics 365 | CrmDefaultActivity |
Prevenção contra perda de dados do ponto de extremidade | FileCreated FileCreatedOnNetworkShare FileCreatedOnRemovableMedia FileDeleted |
Exchange | Set-Mailbox Set-MailboxPlan SupervisionBulkEmailExclusion |
Microsoft Forms | ViewRuntimeForm |
Para obter mais informações sobre unidades administrativas, veja Permissões no portal de conformidade do Microsoft Purview.