Аудит нового поиска

Для получения аналитики и проведения дальнейшего исследования действий пользователей, вашей организации требуется доступ к критически важным данным событий журнала аудита. Ранее задания поиска в Портал соответствия требованиям Microsoft Purview ограничивались созданием параллельных заданий аудита и просмотром исторических заданий поиска. Для завершения этих критически важных заданий аудита поиска было необходимо, чтобы окно браузера оставалось открытым.

Аудит нового поиска основан на существующих функциях поиска и включает следующие ключевые улучшения:

• Задания поиска, инициированные через портал соответствия требованиям, больше не требуют, чтобы окно веб-браузера оставалось открытым для завершения. Эти задания будут выполняться даже после закрытия окна браузера.
• Завершенные задания поиска теперь хранятся в течение 30 дней, что дает возможность ссылаться на исторические запросы аудита.
• Каждый пользователь учетной записи аудита администратора может иметь не более 10 одновременных заданий поиска с одним нефильтрованным заданием поиска.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подготовка к работе

• Ознакомьтесь со следующими Аудит Microsoft Purview статьями, чтобы получить подробные сведения о действиях. Функции создания и экспорта заданий поиска в значительной степени зависят от нюансов данных журнала аудита.

  • Действия в журнале аудита
  • Подробные свойства в журнале аудита
  • Экспорт, настройка и просмотр записей журнала аудита

• Поиск с помощью сеанса PowerShell Exchange Online с помощью командлета Search-UnifiedAuditLog в настоящее время несовместим с новым поиском.

Начало работы с Audit New Search

Выполните следующие действия, чтобы приступить к аудиту нового поиска:

1. Войдите в Портал соответствия требованиям Microsoft Purview.

2. Перейдите на вкладку Аудит на левой панели домашней страницы, чтобы перейти к средству аудита.

3. Выберите вкладку Новый поиск в верхней части страницы Аудит .

   

4. На вкладке Новый поиск настройте следующие условия поиска.

   1. Дата начала и Дата окончания. По умолчанию выбраны последние семь дней. Выберите диапазон дат и времени, чтобы просмотреть события, которые произошли за этот период. Дата и время представлены в формате UTC. Максимальный диапазон дат, который можно указать, составляет 180 дней. Если выбранный диапазон дат превышает 180 дней, отображается ошибка.

      Совет

      Если вы используете максимальный диапазон дат в 180 дней, выберите текущее время для даты начала. В противном случае появится сообщение об ошибке из-за того, что дата начала раньше даты окончания. Если вы включили аудит в течение последних 180 дней, максимальный диапазон дат не может начинаться до даты включения аудита.

   2. Поиск по ключевым словам. Введите ключевое слово или фразу для поиска в журнале аудита. Ключевое слово или фраза выполняется в журнале аудита или в файле, папке или на сайтах (если указано) для поиска. Чтобы найти текст, содержащий специальные символы, замените специальные символы звездочкой(*) в ключевое слово поиска. Например, для поиска test_search_document используйте test*search*document.

      Важно!

      Термины, введенные в поле Поиска ключевых слов , выполняются только в индексированных содержимом (содержимое в общей схеме аудита). Данные аудита в журнале аудита не ищут эти ключевые слова.

   3. Администратор единицы измерения. Выберите раскрывающийся список, чтобы отобразить административные единицы, для области действия аудита для поиска. Вы можете выбрать одну или несколько административных единиц для область поиска. Оставьте это поле пустым, чтобы вернуть записи для всех административных единиц в вашей организации.

   4. Действия — понятные имена. Выберите раскрывающийся список, чтобы отобразить понятные имена для проверенных действий, которые можно найти. Понятные имена действий пользователей и администраторов организованы в группы связанных действий. Используя понятные имена, вы можете выбрать определенные действия аудита или выбрать имя группы действий, чтобы выбрать все действия в группе. Вы также можете выбрать выбранное действие, чтобы снять выделение. Чтобы найти понятное имя для действий в списке, используйте поле поиска над списком.

   5. Действия — имена операций. Введите точные имена операций для поиска проверенных действий для включения в результаты поиска. Можно ввести одно или несколько имен операций, разделенных запятыми. Это условие поиска похоже на предыдущие поисковые запросы, доступные только в PowerShell, и обеспечивает большую гибкость, помогая находить нужные данные.

      Важно!

      Имена операций должны вводиться точно так же, как они называются. Если имена операций введены неправильно, результаты не возвращаются.

      Например, чтобы найти все действия, связанные с включением и отключением информационных барьеров для сайта SharePoint в вашей организации, выполните следующие действия:

      • Ознакомьтесь со статьей о действиях аудита , чтобы найти точное имя операции для действий информационных барьеров, которые требуется найти. В этом примере имена операций — SPOIBIsEnabled и SPOIBIsDisabled.
      • В поле поиска операции введите SPOIBIsEnabled,SPOIBIsDisabled . Мы рекомендуем скопировать и вставить имена операций непосредственно из статьи в поле поиска операции, чтобы убедиться, что они введены правильно и без опечаток.

   6. Типы записей. Выберите раскрывающийся список, чтобы отобразить типы записей для проверенных действий, которые можно найти. Вы можете выбрать один или несколько типов записей для поиска. Чтобы найти тип записи в списке, используйте поле поиска над списком.
      
      Определенные типы записей связаны с определенными службами и приложениями Майкрософт. Например, если вы хотите область поиск определенных типов записей, связанных с метками конфиденциальности в Защита информации Microsoft Purview (MIP), можно выбрать из списка типы записей MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem и MipAutoLabelSharePointPolicyLocation.

   7. Имя поиска. Введите пользовательское имя для задания поиска. Это имя используется для идентификации задания поиска в журнале заданий поиска. Если не ввести имя, задание поиска будет автоматически называться с помощью сочетания даты и времени, определенных для поиска, и других определенных значений условий поиска.

   8. Пользователи. Выберите это поле и выберите имена одного или нескольких пользователей для отображения результатов поиска. В списке результатов приводятся записи журнала аудита для выбранного действия, выполненного выбранными в этом поле пользователями. Чтобы получить результаты для всех пользователей (и учетных записей служб) в организации, оставьте это поле пустым.

   9. Файл, папка или сайт. Введите некоторые или все имена файла или папки для поиска действий, связанных с файлом папки, содержащей указанные ключевое слово. Это условие поиска возвращает все связанные результаты для соответствующих файлов, папок и сайтов. Также можно указать URL-адрес файла или папки. Если вы используете URL-адрес, убедитесь, что введите полный путь к URL-адресу, или если вы вводите часть URL-адреса, не включайте никаких специальных символов или пробелов (однако использование подстановочного знака (*) поддерживается). Чтобы получить результаты для всех файлов и папок в организации, оставьте это поле пустым.

5. Выберите Поиск , чтобы начать задание поиска. Для одной учетной записи пользователя можно параллельно выполнять не более 10 заданий поиска. Если пользователю требуется более 10 заданий поиска, он должен дождаться завершения или удаления задания поиска.

Панель мониторинга задания поиска

Активные и завершенные задания поиска отображаются на панели мониторинга задания поиска. На панели мониторинга отображаются следующие сведения для каждого задания поиска:

• Имя поиска: имя задания поиска. Полное имя поиска для задания можно увидеть, наведите указатель мыши на имя поискового задания.
• Состояние задания: состояние задания поиска. Состояние может быть в очереди, Выполняется или Завершено.
• Ход выполнения (%): процент завершенного задания поиска.
• Время поиска: общее время выполнения, затраченное на выполнение задания поиска.
• Всего результатов: общее количество результатов, возвращаемых заданием поиска.
• Время создания: дата и время создания задания поиска в формате UTC.
• Поиск выполняется: учетная запись пользователя, создавшего задание поиска.

Удалите задания поиска, выбрав задание и выбрав Удалить на панели команд. Удаление задания поиска не приводит к удалению внутренних данных, связанных с поиском. Он удаляет только определение задания поиска и связанный результат поиска.

Чтобы скопировать условия поиска для существующего задания поиска, выберите задание, а затем выберите Копировать этот поиск на панели команд. Условия поиска копируются на страницу поиска, и вы можете изменить условия поиска по мере необходимости для нового поиска.

Панель мониторинга сведений о задании поиска

Чтобы просмотреть сведения о задании поиска, выберите задание поиска. Общее количество элементов в задании включается в верхней части панели мониторинга. Общее число результатов вычитает дубликаты, поэтому оно может быть меньше, чем количество элементов на панели мониторинга задания поиска.

На панели мониторинга сведений о задании поиска отображаются следующие сведения об отдельных элементах, собранных в результатах задания поиска:

• Дата (UTC): дата и время выполнения действия.
• IP-адрес: IP-адрес устройства, которое использовалось для выполнения действия.
• Пользователь: учетная запись пользователя, выполняющая действие.
• Тип записи: тип записи, связанный с действием.
• Действие: понятное имя выполненного действия.
• Элемент: имя файла, папки или сайта, с которым было выполнено действие.
• Администратор единиц: единица администрирования, к которой принадлежит учетная запись пользователя, выполняющая действие.
• Сведения: дополнительные сведения о действии.

Вы можете отсортировать элементы задания поиска с помощью заголовков столбцов или создать настраиваемый фильтр с помощью области фильтра. Используйте фильтр для фильтрации элементов задания поиска по определенным значениям для любого из условий столбца панели мониторинга. Чтобы экспортировать все элементы заданий поиска в файл .csv, выберите Экспорт на панели команд. Экспорт поддерживает результаты до 50 КБ для аудита (стандартный) и до 500 КБ (500 000 строк) для аудита (премиум).

Выберите определенное действие, чтобы просмотреть дополнительные сведения о нем во всплывающем окне. Во всплывающем окне отображаются дополнительные сведения о действии.