Поиск в журнале аудита

Поиск в Аудит Microsoft Purview (стандартный) и аудит (премиум) предоставляют вашей организации доступ к критически важным данным о событиях журнала аудита, чтобы получить аналитические сведения и дальнейшее исследование действий пользователей.

• Поиск заданиям, инициированным через портал соответствия требованиям, больше не требуется, чтобы окно веб-браузера оставалось открытым для завершения. Эти задания будут выполняться даже после закрытия окна браузера.
• Завершенные задания поиска теперь хранятся в течение 30 дней, что дает возможность ссылаться на исторические запросы аудита.
• Каждый пользователь учетной записи аудита администратора может иметь не более 10 одновременных заданий поиска с одним нефильтрованным заданием поиска.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Перед поиском в журнале аудита

Прежде чем начать поиск в журнале аудита, обязательно ознакомьтесь со следующими элементами.

• Поиск в журнале аудита включен по умолчанию для организаций, использующих Microsoft 365 и Office 365 корпоративный. Чтобы убедиться, что поиск по журналам аудита включен, выполните следующую команду в Exchange Online PowerShell:

  Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
  

  Значение True для свойства UnifiedAuditLogIngestionEnabled указывает на то, что поиск в журнале аудита включен. Дополнительные сведения см. в статье Включение и отключение поиска в журнале аудита.

  Важно!

  Не забудьте выполнить предыдущую команду в Exchange Online PowerShell. Хотя командлет Get-AdminAuditLogConfig также доступен в PowerShell для соответствия требованиям безопасности &, свойство UnifiedAuditLogIngestionEnabled всегда Falseимеет значение , даже если включен поиск по журналам аудита.

• Для поиска в журнале аудита вам должны быть назначены роли Журналы аудита или Только просмотр журналов аудита на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview. По умолчанию эти роли назначаются группам ролей Диспетчер аудита и Читатель аудита на странице Разрешения на портале соответствия требованиям. Дополнительные сведения см. в статье Начало работы с решениями аудита. Для доступа к командлетам аудита необходимо назначить роли Журналы аудита или Просмотр только журналов аудита в Центре администрирования Exchange. Вы также можете создать настраиваемые группы ролей с возможностью поиска в журнале аудита, добавив в настраиваемую группу ролей роли Журналы аудита только для просмотра или Журналы аудита .

  Дополнительные сведения см. в разделе:

  • Разрешения на портале Microsoft Purview
  • Разрешения на портале соответствия требованиям Microsoft Purview

• Когда проверяемое действие выполняется пользователем или администратором, запись аудита создается и сохраняется в журнале аудита для вашей организации. Срок хранения записи аудита (и возможность ее поиска в журнале аудита) зависит от подписки Office 365 или Microsoft 365 корпоративный, и, в частности, от типа лицензии, присвоенной определенным пользователям.

  • Для пользователей, которым назначена лицензия на Office 365 E5 или Microsoft 365 E5 (или пользователи с лицензией на надстройку для Соответствие требованиям Microsoft 365 E5 или Microsoft 365 E5 eDiscovery и Audit), записи аудита для Microsoft Entra IDДействия Exchange и SharePoint по умолчанию сохраняются в течение одного года. Организации также могут создавать политики хранения журнала аудита, позволяющие хранить записи аудита для действий в других службах до одного года. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.

    Примечание.

    Если ваша организация принимала участие в конфиденциальной программе по ознакомлению с предварительной версией записей аудита, хранящихся в течение одного года, срок хранения записей аудита, которые были созданы до даты выпуска общедоступной версии, не будет сброшен.

  • Для пользователей, которым назначена любая другая (не E5) лицензия Office 365 или Microsoft 365, записи аудита хранятся в течение 180 дней. Список подписок на Office 365 и Microsoft 365, поддерживающих единое ведение журнала аудита, см. в разделе Требования к подпискам для аудита (стандартный) и аудита (премиум).

    Важно!

    Срок хранения по умолчанию для аудита (стандартный) изменился с 90 до 180 дней. Журналы аудита (стандартный), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (стандартный), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.

    Примечание.

    Даже если аудит почтовых ящиков включен по умолчанию, вы можете заметить, что события аудита почтовых ящиков для некоторых пользователей не обнаруживаются в поиске по журналам аудита на портале соответствия требованиям или через API действий управления Office 365. Подробности см. в разделе Дополнительные сведения о журнале аудита почтовых ящиков.

• Чтобы отключить поиск в журнале аудита для своей организации, запустите следующую команду в удаленном PowerShell в Exchange Online:

  Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
  

  Чтобы снова включить поиск в журнале аудита, можно выполнить в Exchange Online PowerShell следующую команду:

  Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
  

  Для получения дополнительной информации см. Отключение поиска в журнале аудита.

• Базовый командлет, используемый для поиска в журнале аудита, является командлетом Exchange Online, который является Поиск-UnifiedAuditLog. Это означает, что для поиска в журнале аудита можно использовать этот командлет вместо средства поиска на странице Аудит на портале соответствия требованиям. Этот командлет необходимо запускать в Exchange Online PowerShell. Дополнительные сведения см. в статье Search-UnifiedAuditLog.

  Сведения об экспорте результатов поиска, возвращаемых командлетом Search-UnifiedAuditLog в CSV-файл, см. в разделе "Советы по экспорту и просмотру журнала аудита" статьи Экспорт, настройка и просмотр записей журнала аудита.

• Если вы хотите программно загрузить данные из журнала аудита, мы рекомендуем использовать API-интерфейс управления активностью Office 365 вместо сценария PowerShell. API действий управления Office 365 — это веб-служба REST, используемая для разработки решений мониторинга операций, безопасности и соответствия требованиям в организации. Дополнительные сведения см. в статье Справочник по API действий управления Office 365.

• Microsoft Entra ID — это служба каталогов для Microsoft 365. Единый журнал аудита содержит сведения о действиях, выполненных с пользователями, группами, приложениями, доменами и каталогами в Центре администрирования Microsoft 365 или на портале управления Azure. Полный список событий Microsoft Entra см. в разделе События отчета Microsoft Entra аудита.

• Корпорация Майкрософт не гарантирует определенное время после возникновения события для возврата соответствующей записи аудита в результатах поиска по журналу аудита. Для основных служб (таких как Exchange, SharePoint, OneDrive и Teams) доступность записей аудита обычно обеспечивается через 60–90 минут после возникновения события. Для других служб обеспечение доступности записей аудита может занимать больше времени. Однако некоторые неустранимые проблемы (например, сбой сервера) могут возникать за пределами службы аудита, что задерживает обеспечение доступности записей аудита. По этой причине корпорация Майкрософт не устанавливает определенное время.

• Для поиска операций Power BI в журнале аудита необходимо включить аудит на портале администрирования Power BI. Инструкции см. в разделе "Журналы аудита" статьи Портал администрирования Power BI.

Начало работы с поиском

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

Чтобы приступить к поиску, выполните следующие действия.

1. Войдите на портал Microsoft Purview.

2. Выберите карта решение аудит. Если карта Решение аудита не отображается, выберите Просмотреть все решения, а затем выберите Аудит в разделе Основные.

3. На странице Поиск настройте следующие условия поиска.

   1. Диапазон даты и времени (UTC): последние семь дней выбираются по умолчанию. Выберите диапазон дат и времени, чтобы просмотреть события, которые произошли за этот период. Дата и время представлены в формате UTC. Максимальный диапазон дат, который можно указать, составляет 180 дней. Если выбранный диапазон дат превышает 180 дней, отображается ошибка.

      Совет

      Если вы используете максимальный диапазон дат в 180 дней, выберите текущее время для даты начала. В противном случае появится сообщение об ошибке из-за того, что дата начала раньше даты окончания. Если вы включили аудит в течение последних 180 дней, максимальный диапазон дат не может начинаться до даты включения аудита.

   2. Ключевое слово Поиск. Введите ключевое слово или фразу для поиска в журнале аудита. Ключевое слово или фраза выполняется в журнале аудита или в файле, папке или на сайтах (если указано) для поиска. Чтобы найти текст, содержащий специальные символы, замените специальные символы звездочкой(*) в ключевое слово поиска. Например, для поиска test_search_document используйте test*search*document.

      Важно!

      Термины, введенные в поле Ключевое слово Поиск, выполняются только в индексированном содержимом (содержимое в общей схеме аудита). Данные аудита в журнале аудита не ищут эти ключевые слова.

   3. Администратор единицы измерения. Выберите раскрывающийся список, чтобы отобразить административные единицы, для области действия аудита для поиска. Вы можете выбрать одну или несколько административных единиц для область поиска. Оставьте это поле пустым, чтобы вернуть записи для всех административных единиц в вашей организации.

   4. Действия — понятные имена. Выберите раскрывающийся список, чтобы отобразить понятные имена для проверенных действий, которые можно найти. Понятные имена действий пользователей и администраторов организованы в группы связанных действий. Используя понятные имена, вы можете выбрать определенные действия аудита или выбрать имя группы действий, чтобы выбрать все действия в группе. Вы также можете выбрать выбранное действие, чтобы снять выделение. Чтобы найти понятное имя для действий в списке, используйте поле поиска над списком.

   5. Действия — имена операций. Введите точные имена операций для поиска проверенных действий для включения в результаты поиска. Можно ввести одно или несколько имен операций, разделенных запятыми. Это условие поиска похоже на предыдущие поисковые запросы, доступные только в PowerShell, и обеспечивает большую гибкость, помогая находить нужные данные.

      Важно!

      Имена операций должны вводиться точно так же, как они называются. Если имена операций введены неправильно, результаты не возвращаются.

      Например, чтобы найти все действия, связанные с включением и отключением информационных барьеров для сайта SharePoint в вашей организации, выполните следующие действия:

      • Ознакомьтесь со статьей о действиях аудита , чтобы найти точное имя операции для действий информационных барьеров, которые требуется найти. В этом примере имена операций — SPOIBIsEnabled и SPOIBIsDisabled.
      • В поле поиска операции введите SPOIBIsEnabled,SPOIBIsDisabled . Мы рекомендуем скопировать и вставить имена операций непосредственно из статьи в поле поиска операции, чтобы убедиться, что они введены правильно и без опечаток.

   6. Типы записей. Выберите раскрывающийся список, чтобы отобразить типы записей для проверенных действий, которые можно найти. Вы можете выбрать один или несколько типов записей для поиска. Чтобы найти тип записи в списке, используйте поле поиска над списком.
      
      Определенные типы записей связаны с определенными службами и приложениями Майкрософт. Например, если вы хотите область поиск определенных типов записей, связанных с метками конфиденциальности в Защита информации Microsoft Purview (MIP), можно выбрать из списка типы записей MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem и MipAutoLabelSharePointPolicyLocation.

   7. Поиск имя: введите пользовательское имя для задания поиска. Это имя используется для идентификации задания поиска в журнале заданий поиска. Если не ввести имя, задание поиска будет автоматически называться с помощью сочетания даты и времени, определенных для поиска, и других определенных значений условий поиска.

   8. Пользователи. Выберите это поле и выберите имена одного или нескольких пользователей для отображения результатов поиска. В списке результатов приводятся записи журнала аудита для выбранного действия, выполненного выбранными в этом поле пользователями. Чтобы получить результаты для всех пользователей (и учетных записей служб) в организации, оставьте это поле пустым.

   9. Файл, папка или сайт. Введите некоторые или все имена файла или папки для поиска действий, связанных с файлом папки, содержащей указанные ключевое слово. Это условие поиска возвращает все связанные результаты для соответствующих файлов, папок и сайтов. Также можно указать URL-адрес файла или папки. Если вы используете URL-адрес, убедитесь, что введите полный путь к URL-адресу, или если вы вводите часть URL-адреса, не включайте никаких специальных символов или пробелов (однако использование подстановочного знака (*) поддерживается). Чтобы получить результаты для всех файлов и папок в организации, оставьте это поле пустым.

   10. Рабочие нагрузки. Введите или найдите службы рабочей нагрузки для поиска действий, связанных с выбранными рабочими нагрузками. Введите имя рабочей нагрузки, чтобы перейти к рабочей нагрузке в списке, или прокрутите страницу до рабочих нагрузок, которые вы хотите выбрать.

4. Выберите Поиск, чтобы начать задание поиска. Для одной учетной записи пользователя можно параллельно выполнять не более 10 заданий поиска. Если пользователю требуется более 10 заданий поиска, он должен дождаться завершения или удаления задания поиска.

Портал соответствия требованиям

Чтобы приступить к поиску, выполните следующие действия.

1. Войдите в Портал соответствия требованиям Microsoft Purview.

2. Перейдите на вкладку Аудит на левой панели.

3. Выберите вкладку Создать Поиск в верхней части страницы Аудит.

4. На вкладке Новый Поиск настройте следующие условия поиска.

   1. Дата начала и Дата окончания. По умолчанию выбраны последние семь дней. Выберите диапазон дат и времени, чтобы просмотреть события, которые произошли за этот период. Дата и время представлены в формате UTC. Максимальный диапазон дат, который можно указать, составляет 180 дней. Если выбранный диапазон дат превышает 180 дней, отображается ошибка.

      Совет

      Если вы используете максимальный диапазон дат в 180 дней, выберите текущее время для даты начала. В противном случае появится сообщение об ошибке из-за того, что дата начала раньше даты окончания. Если вы включили аудит в течение последних 180 дней, максимальный диапазон дат не может начинаться до даты включения аудита.

   2. Ключевое слово Поиск. Введите ключевое слово или фразу для поиска в журнале аудита. Ключевое слово или фраза выполняется в журнале аудита или в файле, папке или на сайтах (если указано) для поиска. Чтобы найти текст, содержащий специальные символы, замените специальные символы звездочкой(*) в ключевое слово поиска. Например, для поиска test_search_document используйте test*search*document.

      Важно!

      Термины, введенные в поле Ключевое слово Поиск, выполняются только в индексированном содержимом (содержимое в общей схеме аудита). Данные аудита в журнале аудита не ищут эти ключевые слова.

   3. Администратор единицы измерения. Выберите раскрывающийся список, чтобы отобразить административные единицы, для области действия аудита для поиска. Вы можете выбрать одну или несколько административных единиц для область поиска. Оставьте это поле пустым, чтобы вернуть записи для всех административных единиц в вашей организации.

   4. Действия — понятные имена. Выберите раскрывающийся список, чтобы отобразить понятные имена для проверенных действий, которые можно найти. Понятные имена действий пользователей и администраторов организованы в группы связанных действий. Используя понятные имена, вы можете выбрать определенные действия аудита или выбрать имя группы действий, чтобы выбрать все действия в группе. Вы также можете выбрать выбранное действие, чтобы снять выделение. Чтобы найти понятное имя для действий в списке, используйте поле поиска над списком.

   5. Действия — имена операций. Введите точные имена операций для поиска проверенных действий для включения в результаты поиска. Можно ввести одно или несколько имен операций, разделенных запятыми. Это условие поиска похоже на предыдущие поисковые запросы, доступные только в PowerShell, и обеспечивает большую гибкость, помогая находить нужные данные.

      Важно!

      Имена операций должны вводиться точно так же, как они называются. Если имена операций введены неправильно, результаты не возвращаются.

      Например, чтобы найти все действия, связанные с включением и отключением информационных барьеров для сайта SharePoint в вашей организации, выполните следующие действия:

      • Ознакомьтесь со статьей о действиях аудита , чтобы найти точное имя операции для действий информационных барьеров, которые требуется найти. В этом примере имена операций — SPOIBIsEnabled и SPOIBIsDisabled.
      • В поле поиска операции введите SPOIBIsEnabled,SPOIBIsDisabled . Мы рекомендуем скопировать и вставить имена операций непосредственно из статьи в поле поиска операции, чтобы убедиться, что они введены правильно и без опечаток.

   6. Типы записей. Выберите раскрывающийся список, чтобы отобразить типы записей для проверенных действий, которые можно найти. Вы можете выбрать один или несколько типов записей для поиска. Чтобы найти тип записи в списке, используйте поле поиска над списком.
      
      Определенные типы записей связаны с определенными службами и приложениями Майкрософт. Например, если вы хотите область поиск определенных типов записей, связанных с метками конфиденциальности в Защита информации Microsoft Purview (MIP), можно выбрать из списка типы записей MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem и MipAutoLabelSharePointPolicyLocation.

   7. Поиск имя: введите пользовательское имя для задания поиска. Это имя используется для идентификации задания поиска в журнале заданий поиска. Если не ввести имя, задание поиска будет автоматически называться с помощью сочетания даты и времени, определенных для поиска, и других определенных значений условий поиска.

   8. Пользователи. Выберите это поле и выберите имена одного или нескольких пользователей для отображения результатов поиска. В списке результатов приводятся записи журнала аудита для выбранного действия, выполненного выбранными в этом поле пользователями. Чтобы получить результаты для всех пользователей (и учетных записей служб) в организации, оставьте это поле пустым.

   9. Файл, папка или сайт. Введите некоторые или все имена файла или папки для поиска действий, связанных с файлом папки, содержащей указанные ключевое слово. Это условие поиска возвращает все связанные результаты для соответствующих файлов, папок и сайтов. Также можно указать URL-адрес файла или папки. Если вы используете URL-адрес, убедитесь, что введите полный путь к URL-адресу, или если вы вводите часть URL-адреса, не включайте никаких специальных символов или пробелов (однако использование подстановочного знака (*) поддерживается). Чтобы получить результаты для всех файлов и папок в организации, оставьте это поле пустым.

   10. Рабочие нагрузки. Введите или найдите службы рабочей нагрузки для поиска действий, связанных с выбранными рабочими нагрузками. Введите имя рабочей нагрузки, чтобы перейти к рабочей нагрузке в списке, или прокрутите страницу до рабочих нагрузок, которые вы хотите выбрать.

5. Выберите Поиск, чтобы начать задание поиска. Для одной учетной записи пользователя можно параллельно выполнять не более 10 заданий поиска. Если пользователю требуется более 10 заданий поиска, он должен дождаться завершения или удаления задания поиска.

панель мониторинга заданий Поиск

Активные и завершенные задания поиска отображаются на панели мониторинга задания поиска. На панели мониторинга отображаются следующие сведения для каждого задания поиска:

• Поиск имя: имя задания поиска. Полное имя поиска для задания можно увидеть, наведите указатель мыши на имя поискового задания.
• Состояние задания: состояние задания поиска. Состояние может быть в очереди, Выполняется или Завершено.
• Ход выполнения (%): процент завершенного задания поиска.
• Поиск время: общее время выполнения, затраченное на выполнение задания поиска.
• Всего результатов: общее количество результатов, возвращаемых заданием поиска.
• Время создания: дата и время создания задания поиска в формате UTC.
• Поиск выполнено: учетная запись пользователя, создавшего задание поиска.

Удалите задания поиска, выбрав задание и выбрав Удалить на панели команд. Удаление задания поиска не приводит к удалению внутренних данных, связанных с поиском. Он удаляет только определение задания поиска и связанный результат поиска.

Чтобы скопировать условия поиска для существующего задания поиска, выберите задание, а затем выберите Копировать этот поиск на панели команд. Условия поиска копируются на страницу поиска, и вы можете изменить условия поиска по мере необходимости для нового поиска.

панель мониторинга сведений о задании Поиск

Чтобы просмотреть сведения о задании поиска, выберите задание поиска. Общее количество элементов в задании включается в верхней части панели мониторинга. Общее число результатов вычитает дубликаты, поэтому оно может быть меньше, чем количество элементов на панели мониторинга задания поиска.

На панели мониторинга сведений о задании поиска отображаются следующие сведения об отдельных элементах, собранных в результатах задания поиска:

• Дата (UTC): дата и время выполнения действия.
• IP-адрес: IP-адрес устройства, которое использовалось для выполнения действия.
• Пользователь: учетная запись пользователя, выполняющая действие.
• Тип записи: тип записи, связанный с действием.
• Действие: понятное имя выполненного действия.
• Элемент: имя файла, папки или сайта, с которым было выполнено действие.
• Администратор единиц: единица администрирования, к которой принадлежит учетная запись пользователя, выполняющая действие.
• Сведения: дополнительные сведения о действии.

Вы можете отсортировать элементы задания поиска с помощью заголовков столбцов или создать настраиваемый фильтр с помощью области фильтра. Используйте фильтр для фильтрации элементов задания поиска по определенным значениям для любого из условий столбца панели мониторинга. Чтобы экспортировать все элементы заданий поиска в файл .csv, выберите Экспорт на панели команд. Экспорт поддерживает результаты до 50 КБ для аудита (стандартный) и до 500 КБ (500 000 строк) для аудита (премиум).

Выберите определенное действие, чтобы просмотреть дополнительные сведения о нем во всплывающем окне. Во всплывающем окне отображаются дополнительные сведения о действии.

Определение области доступа к журналам аудита с помощью административных единиц

Доступ к поиску в журнале аудита определяется на основе административных единиц, назначенных пользователю, обращающемуся к журналу аудита на портале соответствия требованиям. Ограниченный администратор может выполнять поиск и экспорт журналов аудита, созданных пользователем, только в область административных единиц. Неограниченный администратор имеет доступ ко всем журналам аудита, включая журналы, созданные не пользователями и системными учетными записями.

Администратор единиц, назначенных администраторам	Администратор единиц, доступных для поиска по области	Доступ к журналам аудита для поиска и экспорта
Нет (по умолчанию): неограниченный администратор	Доступны все административные единицы	Доступ ко всем журналам действий из любой учетной записи пользователя, не относясь к пользователю или системной учетной записи.
Одна или несколько административных единиц: ограниченный администратор	Доступны только административные единицы, назначенные администратору.	Доступ к журналам действий от пользователей с соответствующим назначением административной единицы.

Примечание.

Командлеты Поиск-MailboxAuditLog и Поиск-AdminAuditLog в настоящее время не поддерживают доступ с ограниченной областью. Поиск запросы, использующие эти командлеты, всегда включают журналы действий без проверки из Exchange, даже если пользователь, выполняющий поиск, является администратором области. Чтобы получить доступ к журналам действий с заданной областью из любой службы Майкрософт, включая журналы действий почтовых ящиков Exchange, используйте командлет Поиск-UnifiedAuditLog.

Следующие действия аудита доступны только поисковым запросам, выполняемым неограниченным администратором. Мы работаем над тем, чтобы эти журналы были доступны при запросе ограниченного администратора. Чтобы просмотреть полный список журналов аудита для этих действий, отправьте запрос на поиск с помощью неограниченной учетной записи администратора.

Служба	Operation
Azure Information Protection	Обнаружение
Dynamics 365	CrmDefaultActivity
Защита от потери данных в конечной точке	FileCreated FileCreatedOnNetworkShare FileCreatedOnRemovableMedia FileDeleted
Exchange	Set-Mailbox Set-MailboxPlan SupervisionBulkEmailExclusion
Microsoft Forms	ViewRuntimeForm

Дополнительные сведения об административных единицах см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.