Pesquisar o log de auditoria
Uma organização pode usar a ferramenta de pesquisa de log de auditoria no portal de conformidade do Microsoft Purview para pesquisar o log de auditoria unificado. Ao fazer isso, a organização pode exibir a atividade de usuário e administrador. Por exemplo, uma organização pode precisar determinar se um usuário visualizou um documento específico ou limpou um item de sua caixa de correio.
Milhares de operações de usuário e de administrador realizadas em dezenas de serviços e soluções do Microsoft 365 são capturadas, registradas e retidas no log de auditoria unificado da sua organização. Os usuários em sua organização podem usar a ferramenta de pesquisa de log de auditoria para pesquisar, exibir e exportar (para um arquivo CSV) os registros de auditoria para essas operações.
Serviços Microsoft 365 que dão suporte à auditoria
O Microsoft 365 dá suporte a um log de auditoria para que as organizações possam pesquisá-lo para atividades executadas em diferentes serviços do Microsoft 365. A tabela a seguir lista os recursos e serviços Microsoft 365 serviços (em ordem alfabética) compatíveis com o log de auditoria unificado.
| Serviço ou recurso do Microsoft 365 | Tipos de registro |
|---|---|
| Microsoft Entra ID | AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon |
| Proteção de Informações do Azure | AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat |
| Conformidade de comunicações | ComplianceSuperVisionExchange |
| Explorador de conteúdo | LabelContentExplorer |
| Conectores de dados | ComplianceConnector |
| Prevenção de perda de dados (DLP) | ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint |
| Dynamics 365 | CRM |
| Descoberta eletrônica | Descoberta, AeD |
| Correspondência exata de dados | MipExactDataMatch |
| Exchange Online | ExchangeAdmin, ExchangeItem, ExchangeItemAggregated |
| Forms | MicrosoftForms |
| Barreiras de informações | InformationBarrierPolicyApplication |
| Microsoft Defender XDR | AirInvestigation, AirManualInvestigation, AirAdminActionInvestigation, MS365DCustomDetection |
| Microsoft Teams | MicrosoftTeams |
| MyAnalytics | MyAnalyticsSettings |
| OneDrive for Business | OneDrive |
| Power Apps | PowerAppsApp, PowerAppsPlan |
| Power Automate | MicrosoftFlow |
| Power BI | PowerBIAudit |
| Quarentena | Quarentena |
| Políticas de retenção e rótulos de retenção | MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation |
| Tipos de informações confidenciais | DlpSensitiveInformationType |
| Rótulos de confidencialidade | MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch |
| Portal de mensagens criptografadas | OMEPortal |
| SharePoint Online | SharePoint, SharePointFileOperation, SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation |
| Stream | MicrosoftStream |
| Inteligência contra ameaças | ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent |
| Workplace Analytics | WorkplaceAnalytics |
| Yammer | Yammer |
| SystemSync | DataShareCreated, DataShareDeleted, GenerateCopyOfLakeData, DownloadCopyOfLakeData |
A tabela anterior também identifica o valor do tipo de registro a ser usado para pesquisar atividades no log de auditoria no serviço correspondente. As pesquisas podem ser realizadas usando o cmdlet Search-UnifiedAuditLog no PowerShell do Exchange Online ou usando um script do PowerShell. Alguns serviços têm vários tipos de registro para diferentes tipos de atividades dentro do mesmo serviço. Para obter uma lista mais completa dos tipos de registro de auditoria, consulte O esquema da API da Atividade de Gestão do Office 365.
Leitura adicional. Para obter mais informações sobre como usar o PowerShell para pesquisar o log de auditoria, consulte:
Pesquisar o log de auditoria
O processo de pesquisa do log de auditoria no portal de conformidade do Microsoft Purview inclui as seguintes etapas:
- Execute uma pesquisa de logs de auditoria.
- Exibir os resultados da pesquisa.
- Exportar os resultados da pesquisa para um arquivo.
Cada um desses métodos é examinado com mais detalhes nas etapas a seguir.
Etapa 1: Executar uma pesquisa de log de auditoria
Entre no portal de Conformidade do Microsoft Azure.
Dica
Use uma sessão de navegação privada (não uma sessão regular) para acessar o portal de conformidade. Ao fazer isso, a credencial com a qual você está conectado no momento será impedida de ser usada. Pressione CTRL+SHIFT+N para abrir uma sessão de Navegação InPrivate no Microsoft Edge ou uma sessão de navegação privada no Google Chrome (chamada de janela anônima).
No portal de Conformidade do Microsoft Purview, no painel de navegação esquerdo, selecione Auditoria.
Observação
Se o link Começar a registrar a atividade de usuário e administração for exibido, clique nele para ativar a auditoria. Se você não vir esse link, a auditoria já está ativada em sua organização.
Na página Auditoria , a guia Pesquisa é exibida por padrão. Configure os seguintes critérios de pesquisa nesta guia:
A. Data de início e Data de término. Os últimos sete dias são selecionados por padrão. Selecione um intervalo de datas e horas para exibir os eventos ocorridos durante esse período. A data e hora são apresentadas na horário local. O intervalo de datas máximo que pode especificar é de 180 dias. É apresentado um erro se o intervalo de datas selecionado for superior a 180 dias.
Se estiver a utilizar o intervalo de datas máximo de 180 dias, selecione a hora atual para a Data de início. Caso contrário, você receberá um erro afirmando que a data de início é anterior à data de término. Se tiver implementado a auditoria nos últimos 180 dias, o intervalo de datas máximo não poderá ser iniciado antes da data em que a auditoria foi implementada.
B. Atividades. Clique na lista suspensa para exibir as atividades que você pode procurar. As atividades de usuário e administrador são organizadas em grupos de atividades relacionadas. Você pode selecionar atividades específicas ou pode clicar no nome do grupo de atividades para selecionar todas as atividades que ele contém. Você também pode clicar em uma atividade selecionada para limpar a seleção. Após a execução da pesquisa, apenas as entradas do log de auditoria das atividades selecionadas serão exibidas. Ao selecionar Mostrar resultados para todas as atividades os resultados para todas as atividades executadas pelo usuário ou grupo de usuários selecionado será exibido. Mais de 100 atividades de usuários e administradores são registradas no log de auditoria.
C. Usuários. Clique nessa caixa e selecione um ou mais usuários para os quais deseja exibir resultados. As entradas do log de auditoria para a atividade selecionada realizada pelos usuários que você seleciona nessa caixa são exibidas na lista de resultados. Deixe essa caixa em branco para retornar entradas para todos os usuários (e contas de serviço) na sua organização.
D. Arquivo, pastaou site. Digite alguns ou todos os nome de arquivo ou pasta para pesquisar atividades relacionadas ao arquivo ou pasta que contenha a palavra-chave especificada. Você também pode especificar uma URL de um arquivo ou pasta. Se você usar uma URL, certifique-se, ao digitar o caminho completo ou apenas uma parte da URL, não incluir espaços ou caracteres especiais. No entanto, há suporte para usar o caractere curinga (*).
Deixe essa caixa em branco para retornar entradas para todos os arquivos e pastas em sua organização.
- Se você estiver procurando todas as atividades relacionadas a um site, adicione o símbolo curinga (*) após a URL para retornar todas as entradas para esse site. Por exemplo:
https://contoso-my.sharepoint.com/personal* - Se você estiver procurando por todas as atividades relacionadas a um arquivo, adicione o símbolo curinga (*) antes do nome do arquivo para retornar todas as entradas desse arquivo. Por exemplo: *Customer_Profitability_Sample.csv
- Se você estiver procurando todas as atividades relacionadas a um site, adicione o símbolo curinga (*) após a URL para retornar todas as entradas para esse site. Por exemplo:
Selecione Pesquisar para executar a pesquisa usando seus critérios de pesquisa.
Etapa 2: Exibir os resultados da pesquisa
Depois de iniciar uma pesquisa, os resultados serão carregados. Depois de alguns momentos, eles são exibidos em uma nova página. Quando a pesquisa for concluída, o número de resultados encontrados será exibido.
Um máximo de 50.000 eventos será exibido em incrementos de 150 eventos. Se mais de 50.000 eventos atenderem aos critérios de pesquisa, somente os 50.000 eventos não classificados retornados serão exibidos.
Os resultados de uma pesquisa de log de auditoria são exibidos em Resultados, na página Pesquisa de log de auditoria. Conforme mencionado anteriormente, um máximo de 50.000 eventos (mais recentes) é exibido em incrementos de 150 eventos. Use a barra de rolagem ou pressione Shift + End para exibir os próximos 150 eventos.
Os resultados contêm as seguintes informações sobre cada evento retornado pela pesquisa:
Data. A data e a hora (no seu horário local) de ocorrência do evento.
Endereço IP. O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.
Observação
Para alguns serviços, o valor exibido nesse campo pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para a atividade de administrador (ou atividade realizada por uma conta de sistema) para eventos relacionados com o Microsoft Entra, o endereço IP não é registado. Como resultado, o valor exibido neste campo é nulo.
Usuário. O usuário (ou a conta de serviço) que realizou a ação que disparou o evento.
Atividade. A atividade realizada pelo usuário. Esse valor corresponde às atividades que você selecionou na lista suspensa Atividades. Para um evento do log de auditoria de administradores do Exchange, o valor nessa coluna é um cmdlet do Exchange.
Item. O objeto que foi criado ou modificado como resultado da atividade correspondente. Por exemplo, o arquivo que foi exibido ou modificado ou a conta do usuário que foi atualizada. Nem todas as atividades têm um valor nesta coluna.
Detalhe. Informações adicionais sobre uma atividade. Novamente, nem todas as atividades têm um valor.
Dica
Selecione um cabeçalho de coluna em Resultados para classificar os resultados. Você pode classificar os resultados da A até Z ou de Z até A. Selecione o cabeçalho Data para classificar os resultados do mais antigo para o mais recente, ou vice-versa.
É possível visualizar mais detalhes sobre o evento clicando no registro de evento na lista de resultados da pesquisa. É exibida uma página de detalhes que contém as propriedades detalhadas do registro do evento. As propriedades exibidas dependem do serviço em que o evento ocorre.
Etapa 3: Exportar os resultados da pesquisa para um arquivo
As organizações podem exportar os resultados de uma pesquisa de log de auditoria. Os resultados são exportados para um arquivo CSV (valor separado por vírgulas) em um computador local. Esse arquivo pode ser aberto no Microsoft Excel. Você pode usar recursos como pesquisa, classificação, filtragem e divisão de uma única coluna (que contém várias propriedades) em várias colunas.
Execute uma pesquisa de logs de auditoria e, em seguida, reveja os critérios de pesquisa até ter os resultados desejados.
Na página Resultados da pesquisa, selecione Exportar e, em seguida, selecione Baixar todos os resultados.
Todas as entradas do log de auditoria que atendem aos critérios da pesquisa são exportadas para um arquivo CSV. Os dados brutos do log de auditoria são salvos em um arquivo CSV. As informações adicionais da entrada do log de auditoria são incluídas em uma coluna chamada AuditData no arquivo CSV.
Importante
É possível baixar no máximo 50 mil entradas para um arquivo CSV de uma única pesquisa de logs de auditoria. Se 50 mil entradas forem baixadas para o arquivo CSV, você poderá supor que existem provavelmente mais de 50 mil eventos que corresponderam aos critérios de pesquisa. Para exportar mais do que esse limite, tente usar um intervalo de datas para reduzir o número de entradas do log de auditoria. Talvez seja necessário executar várias pesquisas com intervalos de datas menores para exportar mais de 50 mil entradas.
Depois de concluir o processo de exportação, uma mensagem é exibida na parte superior da janela que solicita que você abra o arquivo CSV e salve-o no seu computador local. Você também pode acessar o arquivo CSV na pasta Downloads no Explorador de Arquivos.
Dicas para pesquisar o log de auditoria
As organizações devem ter em mente as seguintes considerações ao pesquisar o log de auditoria:
Há várias maneiras de selecionar atividades:
É possível selecionar atividades específicas para procurar selecionando o nome da atividade.
Também é possível procurar todas as atividades em um grupo (como Atividades de arquivos e pastas) selecionando o nome do grupo.
Se uma atividade estiver selecionada, você poderá clicar nela para cancelar a seleção.
Você também pode usar a caixa de pesquisa para exibir as atividades que contêm a palavra-chave digitada.
É necessário selecionar Mostrar resultados para todas as atividades, na lista Atividades para exibir eventos do log de auditoria de administradores do Exchange. Os eventos desse log de auditoria exibem um nome de cmdlet (por exemplo, Set-Mailbox) na coluna Atividade nos resultados.
Da mesma forma, existem algumas atividades de auditoria que não possuem um item correspondente na lista Atividades. Se você souber o nome da operação dessas atividades, poderá pesquisar todas as atividades e filtrar as operações depois de exportar os resultados da pesquisa para um arquivo CSV.
Selecione Limpar para limpar os critérios de pesquisa atuais. O intervalo de datas retorna para os últimos sete dias padrão. Para cancelar todas as atividades selecionadas, selecione Limpar tudo para mostrar resultados para todas as atividades.
Se 50 mil resultados forem encontrados, você poderá supor que existam provavelmente mais de 50 mil eventos que corresponderam aos critérios de pesquisa. Você pode:
- Refine os critérios de pesquisa e execute novamente a pesquisa para retornar menos resultados.
- Exporte todos os resultados da pesquisa selecionando Exportar resultados e Baixar todos os resultados.
Verificação de conhecimentos
Escolha a melhor resposta para as perguntas abaixo. Em seguida, selecione "Verifique suas respostas".