Включение и отключение аудита
Ведение журнала аудита включено по умолчанию для организаций Microsoft 365. Однако при настройке новой организации Microsoft 365 необходимо проверить состояние аудита вашей организации. Инструкции см. в разделе Проверка состояния аудита для вашей организации этой статьи.
Если аудит включен на портале Microsoft Purview или в Портал соответствия требованиям Microsoft Purview, действия пользователей и администраторов из вашей организации записываются в журнал аудита и автоматически сохраняются в течение 180 дней. Хранение (время существования) для данных аудита начинается, когда они добавляются в журнал аудита и хранятся на основе политик хранения журнала аудита и лицензии, назначенной пользователям.
Важно!
Срок хранения по умолчанию для аудита (стандартный) изменился с 90 до 180 дней. Журналы аудита (стандартный), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (стандартный), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.
Изменения в политиках лицензирования или хранения пользователей также изменяют дату окончания срока действия данных аудита.
У вашей организации могут быть причины, по которым не требуется записывать и хранить данные журнала аудита. В таких случаях глобальный администратор может отключить аудит в Microsoft 365 для вашей организации. Инструкции см. в разделе Отключение аудита этой статьи.
Важно!
Если вы отключите аудит в Microsoft 365, вы не сможете использовать API действий управления Office 365 или Microsoft Sentinel для доступа к данным аудита или журналам вашей организации. Отключение аудита, выполнив действия, описанные в этой статье, означает, что результаты не будут возвращены при поиске в журнале аудита с помощью портала Microsoft Purview или портала соответствия требованиям, а также при выполнении командлета Search-UnifiedAuditLog в Exchange Online PowerShell.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Вам должна быть назначена роль Журналы аудита в Exchange Online, чтобы включить или отключить аудит. По умолчанию эта роль назначается группам ролей "Управление соответствием требованиям" и "Управление организацией " на странице "Разрешения" в Центре администрирования Exchange.
- Пошаговые инструкции по поиску в журнале аудита см. в разделе Поиск в журнале аудита.
- Дополнительные сведения об API действий управления Microsoft 365 см. в статье Начало работы с API управления Microsoft 365.
Чтобы убедиться, что аудит включен для вашей организации, можно выполнить следующую команду в Exchange Online PowerShell:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
Значение True
свойства UnifiedAuditLogIngestionEnabled указывает, что аудит включен. Значение False
указывает, что аудит не включен.
Важно!
Не забудьте выполнить предыдущую команду в Exchange Online PowerShell. Хотя командлет Get-AdminAuditLogConfig также доступен в PowerShell по обеспечению соответствия безопасности &, свойство UnifiedAuditLogIngestionEnabled всегда False
имеет значение , даже если аудит включен.
Если аудит не включен для вашей организации, его можно включить на портале Microsoft Purview или на портале соответствия требованиям, а также с помощью Exchange Online PowerShell. После включения аудита может потребоваться несколько часов, прежде чем вы сможете вернуть результаты при поиске в журнале аудита.
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.
Чтобы включить аудит, выполните следующие действия.
- Войдите на портал Microsoft Purview.
- Выберите карта решение аудит. Если карта Решение аудита не отображается, выберите Просмотреть все решения, а затем выберите Аудит в разделе Основные.
- Если аудит не включен для вашей организации, отобразится баннер с предложением начать запись действий пользователей и администраторов.
- Выберите баннер Начать запись действий пользователей и администраторов .
На то, чтобы изменения вступают в силу, может потребоваться до 60 минут.
Выполните следующую команду PowerShell, чтобы включить аудит.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
Появится сообщение о том, что изменение может ввести в силу до 60 минут.
Для отключения аудита необходимо использовать Exchange Online PowerShell.
Выполните следующую команду PowerShell, чтобы отключить аудит.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
Через некоторое время убедитесь, что аудит отключен (отключен). Это можно сделать двумя способами:
В Exchange Online PowerShell выполните следующую команду:
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
Значение
False
свойства UnifiedAuditLogIngestionEnabled указывает, что аудит отключен.Перейдите на страницу Аудит на портале соответствия требованиям.
Если аудит не включен для вашей организации, отобразится баннер с предложением начать запись действий пользователей и администраторов.
Изменения состояния аудита в организации сами по себе проверяются. Это означает, что записи аудита регистрируются при включении или отключении аудита. Эти записи аудита можно найти в журнале аудита администратора Exchange.
Чтобы найти в журнале аудита администратора Exchange записи аудита, которые создаются при включении или отключении аудита, выполните следующую команду в Exchange Online PowerShell:
Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig
Записи аудита для этих событий содержат сведения о том, когда было изменено состояние аудита, администратор, который изменил его, и IP-адрес компьютера, который использовался для изменения. На следующих снимках экрана показаны записи аудита, соответствующие изменению состояния аудита в организации.
Значение Confirm
в свойстве CmdletParameters указывает, что единое ведение журнала аудита было включено на портале Microsoft Purview или на портале соответствия требованиям, а также при выполнении командлета Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true .
Значение Confirm
не включается в свойство CmdletParameters . Это означает, что единое ведение журнала аудита было отключено с помощью команды Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false .
Дополнительные сведения о поиске в журнале аудита администратора Exchange см. в разделе Search-UnifiedAuditLog.