Поиск по журналу аудита с помощью классического поиска

  • Статья

Важно!

С 30 ноября 2023 г. классический поиск будет прекращен вместо нового поиска. Новый поиск включает усовершенствования, такие как более быстрое время поиска, дополнительные параметры поиска, возможность сохранения поиска и многое другое.

Перед поиском в журнале аудита

Прежде чем начать поиск в журнале аудита, обязательно ознакомьтесь со следующими элементами.

  • Поиск в журнале аудита включен по умолчанию для организаций, использующих Microsoft 365 и Office 365 корпоративный. Чтобы убедиться, что поиск по журналам аудита включен, выполните следующую команду в Exchange Online PowerShell:

    Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

    Значение True для свойства UnifiedAuditLogIngestionEnabled указывает на то, что поиск в журнале аудита включен. Дополнительные сведения см. в статье Включение и отключение поиска в журнале аудита.

    Важно!

    Не забудьте выполнить предыдущую команду в Exchange Online PowerShell. Хотя командлет Get-AdminAuditLogConfig также доступен в PowerShell для соответствия требованиям безопасности & , свойство UnifiedAuditLogIngestionEnabled всегда Falseимеет значение , даже если включен поиск по журналам аудита.

  • Для поиска в журнале аудита вам должны быть назначены роли Журналы аудита или Только просмотр журналов аудита в Портал соответствия требованиям Microsoft Purview. По умолчанию эти роли назначаются группам ролей Диспетчер аудита и Читатель аудита на странице Разрешения на портале соответствия требованиям. Дополнительные сведения см. в статье Настройка аудита (стандартный) в Microsoft 365. Вы также можете создать настраиваемые группы ролей с возможностью поиска в журнале аудита, добавив в настраиваемую группу ролей роли Журналы аудита только для просмотра или Журналы аудита . Дополнительные сведения см. в статье Разрешения на портале соответствия требованиям Microsoft Purview.

  • Когда проверяемое действие выполняется пользователем или администратором, запись аудита создается и сохраняется в журнале аудита для вашей организации. Срок хранения записи аудита (и возможность ее поиска в журнале аудита) зависит от подписки Office 365 или Microsoft 365 корпоративный, и, в частности, от типа лицензии, присвоенной определенным пользователям.

    • Для пользователей, которым назначена лицензия на Office 365 E5 или Microsoft 365 E5 (или пользователи с лицензией на надстройку для Соответствие требованиям Microsoft 365 E5 или Microsoft 365 E5 eDiscovery и Audit), записи аудита для Microsoft Entra Идентификаторы, действия Exchange и SharePoint по умолчанию хранятся в течение одного года. Организации также могут создавать политики хранения журнала аудита, позволяющие хранить записи аудита для действий в других службах до одного года. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.

      Примечание.

      Если ваша организация принимала участие в конфиденциальной программе по ознакомлению с предварительной версией записей аудита, хранящихся в течение одного года, срок хранения записей аудита, которые были созданы до даты выпуска общедоступной версии, не будет сброшен.

    • Для пользователей, которым назначена любая другая (не E5) лицензия Office 365 или Microsoft 365, записи аудита хранятся в течение 180 дней. Список подписок на Office 365 и Microsoft 365, поддерживающих единое ведение журнала аудита, см. в разделе Требования к подпискам для аудита (стандартный) и аудита (премиум).

      Важно!

      Срок хранения по умолчанию для аудита (стандартный) изменился с 90 до 180 дней. Журналы аудита (стандартный), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (стандартный), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.

      Примечание.

      Даже если аудит почтовых ящиков включен по умолчанию, вы можете заметить, что события аудита почтовых ящиков для некоторых пользователей не обнаруживаются в поиске по журналам аудита на портале соответствия требованиям или через API действий управления Office 365. Подробности см. в разделе Дополнительные сведения о журнале аудита почтовых ящиков.

  • Чтобы отключить поиск в журнале аудита для своей организации, запустите следующую команду в удаленном PowerShell в Exchange Online:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    Чтобы снова включить поиск в журнале аудита, можно выполнить в Exchange Online PowerShell следующую команду:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Для получения дополнительной информации см. Отключение поиска в журнале аудита.

  • Базовый командлет, используемый для поиска в журнале аудита, является Exchange Online командлетом Search-UnifiedAuditLog. Это означает, что для поиска в журнале аудита можно использовать этот командлет вместо средства поиска на странице Аудит на портале соответствия требованиям. Этот командлет необходимо запускать в Exchange Online PowerShell. Дополнительные сведения см. в статье Search-UnifiedAuditLog.

    Сведения об экспорте результатов поиска, возвращаемых командлетом Search-UnifiedAuditLog в CSV-файл, см. в разделе "Советы по экспорту и просмотру журнала аудита" статьи Экспорт, настройка и просмотр записей журнала аудита.

  • Если вы хотите программно загрузить данные из журнала аудита, мы рекомендуем использовать API-интерфейс управления активностью Office 365 вместо сценария PowerShell. API действий управления Office 365 — это веб-служба REST, используемая для разработки решений мониторинга операций, безопасности и соответствия требованиям в организации. Дополнительные сведения см. в статье Справочник по API действий управления Office 365.

  • Microsoft Entra идентификатор — это служба каталогов для Microsoft 365. Единый журнал аудита содержит сведения о действиях, выполненных с пользователями, группами, приложениями, доменами и каталогами в Центре администрирования Microsoft 365 или на портале управления Azure. Полный список событий Microsoft Entra см. в разделе События отчета Microsoft Entra аудита.

  • Корпорация Майкрософт не гарантирует определенное время после возникновения события для возврата соответствующей записи аудита в результатах поиска по журналу аудита. Для основных служб (таких как Exchange, SharePoint, OneDrive и Teams) доступность записей аудита обычно обеспечивается через 60–90 минут после возникновения события. Для других служб обеспечение доступности записей аудита может занимать больше времени. Однако некоторые неустранимые проблемы (например, сбой сервера) могут возникать за пределами службы аудита, что задерживает обеспечение доступности записей аудита. По этой причине корпорация Майкрософт не устанавливает определенное время.

  • Для поиска операций Power BI в журнале аудита необходимо включить аудит на портале администрирования Power BI. Инструкции см. в разделе "Журналы аудита" статьи Портал администрирования Power BI.

Поиск в журнале аудита

Процесс поиска по журналу аудита в Microsoft 365 состоит из указанных ниже этапов.

  1. Перейдите на https://compliance.microsoft.com и войдите.

    Совет

    Используйте закрытый сеанс браузера (а не обычный) для доступа к порталу соответствия требованиям, так как это предотвратит использование учетных данных, с которым вы вошли в систему. Чтобы открыть сеанс просмотра InPrivate в Microsoft Edge или частный сеанс просмотра в Google Chrome (он называется окном инкогнито), нажмите клавиши CTRL+SHIFT+N.

  2. В левой области портала соответствия требованиям выберите Аудит.

    Откроется страница Аудит.

    Настройте условия, а затем выберите Поиск, чтобы запустить отчет.

    Примечание.

    Если отображается ссылка Начать запись действий пользователя и администратора , выберите ее, чтобы включить аудит. Если ее нет, аудит для вашей организации включен.

  3. На вкладке Классический поиск настройте следующие условия поиска:

    1. Дата начала и Дата окончания. По умолчанию выбраны последние семь дней. Выберите диапазон дат и времени, чтобы просмотреть события, которые произошли за этот период. Дата и время представлены в формате UTC. Максимальный диапазон дат, который можно указать, составляет 180 дней. Если выбранный диапазон дат превышает 180 дней, отображается ошибка.

    Совет

    Если вы используете максимальный диапазон дат в 180 дней, выберите текущее время для даты начала. В противном случае появится сообщение об ошибке из-за того, что дата начала раньше даты окончания. Если вы включили аудит в течение последних 180 дней, максимальный диапазон дат не может начинаться до даты включения аудита.

    1. Действия. Выберите раскрывающийся список, чтобы отобразить действия, которые можно найти. Активность пользователя и администратора организованы в группы связанных действий. Вы можете выбрать определенные действия или выбрать имя группы действий, чтобы выбрать все действия в группе. Вы также можете выбрать выбранное действие, чтобы снять выделение. После запуска поиска будут показаны записи журнала аудита, относящиеся только к выбранным действиям. Если выбрать пункт Показать результаты по всем действиям, будут показаны результаты для всех действий, совершенных выбранным пользователем или группой пользователей.

      В журнале аудита зарегистрировано более 100 действий пользователей и администраторов. Описание каждого действия в каждой из разных служб см. в статье Действия журнала аудита .

    2. Пользователи. Выберите в этом поле, а затем выберите одного или нескольких пользователей для отображения результатов поиска. В списке результатов приводятся записи журнала аудита для выбранного действия, выполненного выбранными в этом поле пользователями. Чтобы получить результаты для всех пользователей (и учетных записей служб) в организации, оставьте это поле пустым.

    3. Файл, папка или сайт. Введите полное имя файла или папки либо его часть, чтобы найти действие, связанное с этим файлом или папкой. Также можно указать URL-адрес файла или папки. Если вы используете URL-адрес, убедитесь, что введите полный путь к URL-адресу, или если вы вводите часть URL-адреса, не включайте никаких специальных символов или пробелов (однако использование подстановочного знака (*) поддерживается).

      Чтобы получить результаты для всех файлов и папок в организации, оставьте это поле пустым.

    Совет

    • Если вы ищете все действия, связанные с сайтом, добавьте подстановочный знак (*) после URL-адреса, чтобы вернуть все записи для этого сайта; например, "https://contoso-my.sharepoint.com/personal*".

    • Если вы ищете все действия, связанные с файлом, добавьте подстановочный знак (*) перед именем файла, чтобы вернуть все записи для этого файла; например, "*Customer_Profitability_Sample.csv".

  4. Выберите Поиск , чтобы запустить поиск с использованием ваших критериев поиска.

    Результаты поиска загружаются, а через несколько секунд они отображаются на новой странице. По завершении поиска отображается число найденных результатов. Не более 50 000 событий отображаются с шагом в 150 событий. Если более 50 000 событий соответствуют условиям поиска, отображаются только 50 000 возвращенных несортированных событий.

    Количество результатов, отображаемое после завершения поиска.

Советы по поиску в журнале аудита

  • Вы можете выбрать конкретные действия для поиска, выбрав имя действия. Вы также можете найти все действия в группе (например , действия с файлами и папками), выбрав имя группы. Если действие выбрано, вы можете выбрать его, чтобы отменить выбор. В поле поиска также можно просмотреть действия, содержащие введенное ключевое слово.

    Выберите имя группы действий, чтобы выбрать все действия.

  • Чтобы отобразить записи из журнала аудита действий администратора Exchange, нужно выбрать в списке Действия пункт Показать результаты по всем действиям. В результатах поиска события из этого журнала аудита содержат имена командлетов (например, Set-Mailbox) в столбце Действие. Для получения дополнительных сведений перейдите на вкладку Действия аудита в этой статье, а затем выберите Действия администратора Exchange.

    Для некоторых действий аудита нет соответствующих элементов в списке Действия. Если вам известно имя операции для этих действий, вы можете выполнить поиск всех действий, затем отфильтровать операции после экспорта результатов поиска в CSV-файл.

  • Выберите Очистить , чтобы очистить текущие критерии поиска. Диапазон дат сбрасывается в значение по умолчанию (последние семь дней). Вы также можете выбрать Очистить все, чтобы отобразить результаты для всех действий , чтобы отменить все выбранные действия.

  • Если найдено 50 000 результатов, можно предположить, что условиям поиска соответствует более 50 000 событий. Вы можете либо уточнить критерии поиска и повторно запустить поиск, чтобы получить меньше результатов, либо экспортировать 50 000 результатов поиска, выбрав Экспорт результатов>Скачать все результаты.

Шаг 2. Просмотр результатов поиска

Результаты поиска по журналу аудита выводятся в области Результаты на странице Поиск в журнале аудита. Как указано ранее, отображаются 50 000 последних событий с шагом 150. Чтобы отобразить следующие 150 событий, воспользуйтесь полосой прокрутки или нажмите клавиши SHIFT+END.

В результатах приводятся указанные ниже сведения о каждом событии, возвращенном поиском.

  • Дата: дата и время (в формате UTC), когда произошло событие.

  • IP-адрес. IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6.

    Примечание.

    Для некоторых служб значение, отображаемое в этом поле, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. Кроме того, для действий администратора (или действий, выполняемых системной учетной записью) для Microsoft Entra связанных событий IP-адрес не регистрируется и значение, отображаемое в этом поле: null.

  • Пользователь. Пользователь (или учетная запись службы), который выполнил действие, вызвавшее событие.

  • Действие. Действие, выполненное пользователем. Это значение соответствует действиям, выбранным в раскрывающемся списке Действия. Для события из журнала аудита действий администратора Exchange значение в этом столбце представляет собой командлет Exchange.

  • Элемент. Объект, созданный или измененный в результате соответствующего действия. Это может быть, например, просмотренный или измененный файл либо обновленная учетная запись пользователя. Значения в этом столбце отображаются не для всех действий.

  • Сведения. Дополнительные сведения о действии. Аналогичным образом значения в этом столбце отображаются не для всех действий.

Совет

Выберите заголовок столбца в разделе Результаты , чтобы отсортировать результаты. Вы можете сортировать результаты от А до Я или от Я до А. Выберите заголовок Дата , чтобы отсортировать результаты от самых старых к самым новым или от новых к самым старым.

Просмотр сведений об определенном событии

Вы можете просмотреть дополнительные сведения о событии, выбрав запись о событии в списке результатов поиска. Откроется всплывающая страница со свойствами, содержащимися в записи о событии. Отображаемые свойства зависят от службы, в которой происходит событие.

Шаг 3. Экспорт результатов поиска в файл

Результаты поиска по журналу аудита можно экспортировать в файл данных с разделителями-запятыми (CSV) на компьютере. Этот файл можно открыть в Microsoft Excel и использовать такие возможности, как поиск, сортировка, фильтрация и разделение одного столбца (содержащего несколько свойств) на несколько.

  1. Выполните поиск по журналу аудита, а затем изменяйте условия поиска, пока не получите нужные результаты.

  2. На странице результатов поиска выберите Экспорт>Скачать все результаты.

    Все записи из журнала аудита, соответствующие условиям поиска, экспортируются в CSV-файл. Необработанные данные из журнала аудита сохраняются в CSV-файл. Дополнительные сведения из записей журнала аудита включаются в столбец с именем AuditData в CSV-файле.

    Важно!

    В CSV-файл можно загрузить до 50 000 записей результатов одной операции поиска по журналу аудита. Если в CSV-файл загружено 50 000 записей, можно предположить, что условиям поиска соответствует более 50 000 событий. Чтобы обойти это ограничение и экспортировать больше записей, попробуйте указать диапазон дат, позволяющий сократить количество записей из журнала. Чтобы экспортировать больше 50 000 записей, вы можете выполнить поиск несколько раз со смежными диапазонами дат.

  3. После завершения процесса экспорта в верхней части окна отображается сообщение с предложением открыть CSV-файл и сохранить его на локальном компьютере. Вы также можете получить доступ к CSV-файлу в папке "Загрузки".

Дополнительные сведения об экспорте и просмотре результатов поиска в журнале аудита

  • При загрузке всех результатов поиска CSV-файл содержит столбцы CreationDate, UserIds, Operations и AuditData. Столбец AuditData содержит дополнительные сведения о каждом событии (аналогично подробным сведениям, отображаемым на всплывающей странице при просмотре результатов поиска в Центре соответствия требованиям). Данные в этом столбце состоят из объекта JSON, содержащего несколько свойств записи журнала аудита. Каждая пара свойство:значение в объекте JSON отделяется запятыми. С помощью средства преобразования JSON в редакторе Power Query в Excel можно разделить столбец AuditData на несколько столбцов, чтобы для каждого свойства в объекте JSON использовался отдельный столбец. Это позволит выполнять сортировку и фильтрацию по одному или нескольким из этих свойств. Пошаговые инструкции по преобразованию объекта JSON с помощью редактора Power Query см. в статье Экспорт, настройка и просмотр записей журнала аудита.

    После разделения столбца AuditData вы можете отфильтровать данные по столбцу Operations, чтобы увидеть подробную информацию для действий того или иного типа.

  • При загрузке всех результатов из поискового запроса, который содержит события из разных служб, столбец AuditData в файле CSV содержит разные свойства, в зависимости от того, в какой службе было выполнено действие. Например, записи из журналов аудита Exchange и Microsoft Entra содержат свойство ResultStatus, указывающее, успешно ли было выполнено действие. Это свойство отсутствует для событий в SharePoint. Аналогичным образом, события SharePoint имеют свойство, в котором указывается URL-адрес сайта для действий, связанных с файлами и папками. Чтобы избежать этого, рекомендуем использовать разные поисковые запросы для экспорта результатов из отдельных служб.

    Описание многих свойств, перечисленных в столбце AuditData в файле CSV при загрузке всех результатов и службы, к которой относится каждый, см. в разделе Подробные свойства в журнале аудита.

Определение области доступа к журналам аудита

Доступ к поиску в журнале аудита определяется на основе административных единиц, назначенных пользователю, обращающемуся к журналу аудита на портале соответствия требованиям. Ограниченный администратор может выполнять поиск и экспорт журналов аудита, созданных пользователем, только в область административных единиц. Неограниченный администратор имеет доступ ко всем журналам аудита, включая журналы, созданные не пользователями и системными учетными записями.

Администратор единиц, назначенных администраторам Администратор единиц, доступных для поиска по области Доступ к журналам аудита для поиска и экспорта
Нет (по умолчанию): неограниченный администратор Доступны все административные единицы Доступ ко всем журналам действий из любой учетной записи пользователя, не относясь к пользователю или системной учетной записи.
Одна или несколько административных единиц: ограниченный администратор Доступны только административные единицы, назначенные администратору. Доступ к журналам действий от пользователей с соответствующим назначением административной единицы.

Примечание.

Командлеты Search-MailboxAuditLog и Search-AdminAuditLog в настоящее время не поддерживают доступ с ограниченной областью. Запросы поиска с помощью этих командлетов всегда включают журналы действий без проверки из Exchange, даже если пользователь, выполняющий поиск, является администратором области. Чтобы получить доступ к журналам действий с заданной областью из любой службы Майкрософт, включая журналы действий почтовых ящиков Exchange, используйте командлет Search-UnifiedAuditLog .

Следующие действия аудита доступны только поисковым запросам, выполняемым неограниченным администратором. Мы работаем над тем, чтобы эти журналы были доступны при запросе ограниченного администратора. Чтобы просмотреть полный список журналов аудита для этих действий, отправьте запрос на поиск с помощью неограниченной учетной записи администратора.

Служба Operation
Azure Information Protection Обнаружение
Dynamics 365 CrmDefaultActivity
Защита от потери данных в конечной точке FileCreated
FileCreatedOnNetworkShare
FileCreatedOnRemovableMedia
FileDeleted
Exchange Set-Mailbox
Set-MailboxPlan
SupervisionBulkEmailExclusion
Microsoft Forms ViewRuntimeForm

Дополнительные сведения об административных единицах см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.

Вопросы и ответы

Какие службы Microsoft 365 в настоящее время проходят аудит?

Аудит наиболее часто используемых служб, таких как Exchange Online, SharePoint Online, OneDrive для бизнеса, идентификатор Microsoft Entra, Microsoft Teams, Dynamics 365, Defender для Office 365 и Power BI. Список служб, подлежащих аудиту, см. в начале этой статьи.

Какие действия проверяются службой аудита в Microsoft 365?

Список и описание действий, для которых проводится аудит, см. в статье Действия журнала аудита.

Сколько времени требуется, чтобы запись аудита стала доступной после выполнения события?

Большинство данных аудита доступны в течение 60–90 минут, но для отображения соответствующей записи журнала аудита в результатах поиска может потребоваться до 24 часов после возникновения события. См. раздел Перед поиском в журнале аудита этой статьи, где показано время, необходимое для доступности событий в разных службах.

Сколько хранятся записи аудита?

Записи аудита для действий, выполняемых пользователями, которым назначена лицензия Office 365 E5 или Microsoft E5 (или пользователи с лицензией на надстройку Microsoft 365 E5), хранятся в течение одного года. Для всех остальных подписок, поддерживающих единое ведение журнала аудита, записи аудита хранятся в течение 180 дней.

Важно!

Срок хранения по умолчанию для аудита (стандартный) изменился с 90 до 180 дней. Журналы аудита (стандартный), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (стандартный), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.

Можно ли получить доступ к данным аудита программным способом?

Да. Для получения журналов аудита программным способом используется API действий управления Office 365. Сведения о начале работы см. в статье Начало работы с API управления Office 365.

Существуют ли другие способы получения журналов аудита, кроме использования Центра безопасности и соответствия требованиям или API действий управления Office 365?

Да. Получить журналы аудита можно следующими способами:

Нужно ли включать аудит отдельно в каждой службе, для которой нужно создать журналы аудита?

В большинстве служб аудит включен по умолчанию после того, как вы изначально включили аудит для своей организации (как описано в разделе Перед поиском в журнале аудита в этой статье).

Поддерживает ли служба аудита дедупликацию записей?

Нет. Конвейер службы аудита работает практически в режиме реального времени и поэтому не поддерживает дедупликацию.

Где хранятся данные аудита?

В настоящее время существуют развертывания конвейеров аудита в регионах NA (Северная Америка), EMEA (Европа, Ближний Восток и Африка) и APAC (Азиатско-Тихоокеанский регион). У клиентов, находящихся в этих регионах, данные аудита хранятся в регионе. Для клиентов с несколькими регионами данные аудита, собранные из всех регионов клиента, хранятся только в домашнем регионе клиента. Однако вы можем направлять потоки данных между этими регионами для балансировки нагрузки и только при проблемах на активном сайте. При выполнении этих действий передаваемые данные зашифрованы.

Зашифрованы ли данные аудита?

Данные аудита хранятся в почтовых ящиках Exchange (неактивные данные) в том же регионе, из которого разворачивается единый конвейер аудита. Неактивные данные почтового ящика не шифруются Exchange. Однако при шифровании на уровне обслуживания шифруются все данные почтовых ящиков, так как серверы Exchange в центрах обработки данных корпорации Майкрософт зашифрованы с помощью BitLocker. Дополнительные сведения см. в статье Шифрование в Microsoft 365 для Skype для бизнеса, OneDrive для бизнеса, SharePoint Online и Exchange Online.

Данные почты при передаче всегда шифруются.