Söka i granskningsloggen i efterlevnadsportalen

  • Artikel

Behöver du ta reda på om en användare har visat ett visst dokument eller tagit bort ett objekt från postlådan? I så fall kan du använda verktyget för sökning i granskningslogg i Microsoft Purview-efterlevnadsportalen för att söka i den enhetliga granskningsloggen för att visa användar- och administratörsaktivitet i organisationen. Tusentals användar- och administratörsåtgärder som utförs i dussintals Microsoft 365-tjänster och -lösningar spelas i, registreras och behålls i organisationens enhetliga granskningslogg. Användarna i din organisation kan använda verktyget för sökning i granskningslogg för att söka efter, visa och exportera (till en CSV-fil) granskningsposterna för dessa åtgärder.

Tips

Om du inte är E5-kund kan du använda den 90 dagar långa utvärderingsversionen av Microsoft Purview-lösningar för att utforska hur ytterligare Purview-funktioner kan hjälpa din organisation att hantera datasäkerhet och efterlevnadsbehov. Börja nu på Utvärderingshubben för Efterlevnadsportalen i Microsoft Purview. Läs mer om registrering och utvärderingsvillkor.

Microsoft 365-tjänster som har stöd för granskning

Varför en enhetlig granskningslogg? Eftersom du kan söka i granskningsloggen efter aktiviteter som utförts i Microsoft 365-tjänster. I följande tabell visas de Microsoft 365-tjänster, appar och funktioner som stöds av den enhetliga granskningsloggen.

Microsoft 365-tjänst eller -funktion Posttyper
Azure Active Directory AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon
Azure Information Protection AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat
Kommunikationsefterlevnad ComplianceSupervisionExchange
Innehållsutforskaren LabelContentExplorer
Datakopplingar ComplianceConnector
Skydd mot dataförlust (DLP) ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint
Dynamics 365 CRM
eDiscovery (Standard + Premium) Discovery, AeD
Krypterad meddelandeportal OMEPortal
Exakta datamatchningar MipExactDataMatch
Exchange Online ExchangeAdmin, ExchangeItem, ExchangeItemAggregated
Formulär MicrosoftForms
Informationsbarriärer InformationBarrierPolicyApplication
Microsoft 365 Defender AirInvestigation, AirManualInvestigation, AirAdminActionInvestigation, MS365DCustomDetection
Microsoft Defender experter DefenderExpertsforXDRAdmin
Microsoft Defender for Identity (MDI) MicrosoftDefenderForIdentityAudit
Microsoft Planner PlannerCopyPlan, PlannerPlan, PlannerPlanList, PlannerRoster, PlannerRosterSensitivityLabel, PlannerTask, PlannerTaskList, PlannerTenantSettings
Microsoft Project för webben ProjectAccessed, ProjectCreated, ProjectDeleted, ProjectTenantSettingsUpdated, ProjectUpdated, RoadmapAccessed,RoadmapCreated, RoadmapDeleted, RoadmapItemAccessed,RoadmapItemCreated,RoadmapItemDeleted, RoadmapItemUpdated, RoadmapTenantSettingsUpdated, RoadmapUpdated, TaskAccessed, TaskCreated,TaskDeleted, TaskUpdated
etiketter för Microsoft Purview Information Protection (MIP) MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation
Microsoft Teams MicrosoftTeams
Microsoft To Do MicrosoftToDo, MicrosoftToDoAudit
MyAnalytics MyAnalyticsSettings
OneDrive för företag OneDrive
Power Apps PowerAppsApp, PowerAppsPlan
Power Automate MicrosoftFlow
Power BI PowerBIAudit
Karantän Karantän
Typer av känslig information DlpSensitiveInformationType
Känslighetsetiketter MIPLabel, SensitivityLabelAction, KänslighetLabeledFileAction, SensitivityLabelPolicyMatch
SharePoint Online SharePoint, SharePointFileOperation, SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation
Ström MicrosoftStream
SystemSync DataShareCreated, DataShareDeleted, GenerateCopyOfLakeData, DownloadCopyOfLakeData
Threat Intelligence ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent
Viva Goals Viva Goals
Workplace Analytics WorkplaceAnalytics
Yammer Yammer

Mer information om de åtgärder som granskas i var och en av de tjänster som anges i föregående tabell finns i artikeln Granskningsloggaktiviteter .

I föregående tabell identifieras också det posttypvärde som ska användas för att söka i granskningsloggen efter aktiviteter i motsvarande tjänst med cmdleten Search-UnifiedAuditLog i Exchange Online PowerShell eller med ett PowerShell-skript. Vissa tjänster har flera posttyper för olika typer av aktiviteter inom samma tjänst. En mer fullständig lista över granskningsposttyper finns i Office 365 API-schema för hanteringsaktivitet.

Mer information om hur du använder PowerShell för att söka i granskningsloggen finns i:

Innan du söker i granskningsloggen

Se till att granska följande objekt innan du börjar söka i granskningsloggen.

  • Granskningsloggsökning är som standard aktiverat för Microsoft 365- och Office 365 Enterprise-organisationer. Om du vill kontrollera att granskningsloggsökningen är aktiverad kan du köra följande kommando i Exchange Online PowerShell:

    Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

    Värdet True för egenskapen UnifiedAuditLogIngestionEnabled anger att granskningsloggsökning är aktiverat. Du kan läsa mer i Aktivera och inaktivera granskningsloggsökning.

    Viktigt

    Se till att köra föregående kommando i Exchange Online PowerShell. Även om cmdleten Get-AdminAuditLogConfig också är tillgänglig i PowerShell för säkerhetsefterlevnad & är egenskapen UnifiedAuditLogIngestionEnabled alltid False, även när granskningsloggsökning är aktiverat.

  • Du måste tilldelas rollen Skrivskyddade granskningsloggar eller Granskningsloggar i Exchange Online för att söka i granskningsloggen. Som standard tilldelas dessa roller rollgrupperna Efterlevnadshantering och Organisationshantering på sidan Behörigheter i administrationscentret för Exchange. Globala administratörer i Office 365 och Microsoft 365 läggs automatiskt till som medlemmar i rollgruppen Organisationshantering i Exchange Online. Om du vill ge en användare möjlighet att söka i granskningsloggen med den lägsta behörighetsnivån kan du skapa en anpassad rollgrupp i Exchange Online, lägga till rollen Granskningsloggar eller Granskningsloggar och sedan lägga till användaren som medlem i den nya rollgruppen. Mer information finns i Hantera rollgrupper i Exchange Online.

    Om du tilldelar en användare rollen Skrivskyddade granskningsloggar eller Granskningsloggar på sidan Behörigheter i efterlevnadsportalen kan de inte söka i granskningsloggen. Du måste tilldela behörigheterna i Exchange Online. Det beror på att den underliggande cmdleten som används för att söka i granskningsloggen är en Exchange Online-cmdlet.

  • När en granskad aktivitet utförs av en användare eller administratör skapas en granskningspost som lagras i granskningsloggen för organisationen. Hur länge en granskningspost behålls (och är sökbar i granskningsloggen) beror på din Office 365- eller Microsoft 365 Enterprise-prenumeration, och specifikt vilken typ av licens som tilldelas till specifika användare.

    • För användare som har tilldelats en Office 365 E5- eller Microsoft 365 E5-licens (eller användare med tilläggslicens för Microsoft 365 E5 Compliance eller Microsoft 365 E5 eDiscovery och granskning) behålls granskningsposter för Azure Active Directory-, Exchange- och SharePoint-aktiviteter i ett år som standard. Organisationer kan också skapa kvarhållningsprinciper för granskningsloggar för att behålla granskningsposter för aktiviteter i andra tjänster i upp till ett år. Mer information finns i Hantera kvarhållningsprinciper för granskningsloggar.

      Obs!

      Om organisationen har deltagit i det privata förhandsgranskningsprogrammet för ett års bevarande av granskningsposter återställs inte kvarhållningens varaktighet för granskningsposter som skapades innan distributionsdatumet för allmän tillgänglighet.

    • För användare som tilldelats andra (inte E5) Office 365- eller Microsoft 365-licenser behålls granskningsposter i 90 dagar. En lista över Office 365 och Microsoft 365-prenumerationer som stöder enhetlig granskningsloggning finns i beskrivningen av säkerhets- och efterlevnadsportaltjänsten.

      Obs!

      Även om granskning av postlådor är aktiverat som standard kan du se att granskningshändelser för postlådor för vissa användare inte hittas i granskningsloggsökningar i efterlevnadsportalen eller via api:et för Office 365 Management Activity. Mer information finns i Mer information om granskningsloggning för postlådor.

  • Om du vill inaktivera granskningsloggsökning för din organisation kan du köra följande kommando i Exchange Online PowerShell:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    Om du vill aktivera granskningsloggsökningen igen kan du köra följande kommando i Exchange Online PowerShell:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Mer information finns i Inaktivera granskningsloggsökning.

  • Den underliggande cmdlet som används för att söka i granskningsloggen är en Exchange Online cmdlet, som är Search-UnifiedAuditLog. Det betyder att du kan använda denna cmdlet för att söka i granskningsloggen istället för att använda sökverktyget i sidan Granskning i efterlevnadsportalen. Du måste köra denna cmdlet i en fjärr-PowerShell som är ansluten till din Exchange Online-organisation. Mer information finns i Search-UnifiedAuditLog.

    Information om hur du exporterar sökresultatet som returneras av cmdleten Search-UnifiedAuditLog till en CSV-fil finns i avsnittet "Tips för att exportera och visa granskningsloggen" i Exportera, konfigurera och visa granskningsloggposter.

  • Om du programmässigt vill ladda ned data från granskningsloggen rekommenderar vi att du använder Office 365 Management Activity-API istället för att använda ett PowerShell-skript. Office 365 Management Activity-API är en REST-webbtjänst som du kan använda för att utveckla övervakningslösningar för åtgärder, säkerhet och efterlevnad för din organisation. Mer information finns i referensen för Office 365 Management Activity-API.

  • Azure Active Directory (Azure AD) är katalogtjänsten för Microsoft 365. Den enhetliga granskningsloggen innehåller användar-, grupp-, program-, domän- och katalogaktiviteter som utförts i administrationscentret för Microsoft 365 eller i Azure-hanteringsportalen. En fullständig lista över Azure AD-händelser finns i Azure Active Directory-granskningsrapporthändelser.

  • Microsoft garanterar inte en viss tid efter att en händelse inträffar för att motsvarande granskningspost ska returneras i resultatet av en granskningsloggsökning. För kärntjänster (till exempel Exchange, SharePoint, OneDrive och Teams) är tillgängligheten för granskningsposter vanligtvis 60 till 90 minuter efter att en händelse inträffat. För andra tjänster kan tillgängligheten för granskningsposter vara längre. Vissa problem som inte kan undvikas (till exempel ett serveravbrott) kan dock uppstå utanför granskningstjänsten som fördröjer tillgängligheten för granskningsposter. Därför förbinder sig Inte Microsoft till en viss tid.

  • Om du vill söka efter Power BI-aktiviteter i granskningsloggen måste du aktivera granskning i administrationsportalen för Power BI. Anvisningar finns i avsnittet "Granskningsloggar" i Administrationsportal för Power BI.

Söka i granskningsloggen

Så här söker du i granskningsloggen i Microsoft 365.

  1. Gå till https://compliance.microsoft.com och logga in.

    Tips

    Använd en privat webbläsarsession (inte en vanlig session) för åtkomst till efterlevnadsportalen eftersom det gör att de autentiseringsuppgifter du är inloggad med inte används. Tryck på CTRL+SKIFT+N för att öppna en InPrivate-surfning session i Microsoft Edge eller en privat webbläsarsession i Google Chrome (kallas ett inkognitofönster).

  2. I den vänstra rutan i efterlevnadsportalen väljer du Granska.

    Sidan Granskning visas.

    Konfigurera villkor och välj sedan Sök för att köra rapporten.

    Obs!

    Om länken Starta inspelning av användar- och administratörsaktivitet visas väljer du den för att aktivera granskning. Om du inte ser den här länken aktiveras granskning för din organisation.

  3. Konfigurera följande sökvillkor på fliken Sök :

    1. Startdatum och Slutdatum: De senaste sju dagarna är valda som standard. Välj ett datum- och tidsintervall för att visa händelser som inträffat under perioden. Datum och tid visas i Coordinated Universal Time (UTC). Det maximala datumintervall som du kan ange är 90 dagar. Ett felmeddelande visas om det valda datumintervallet är längre än 90 dagar.

    Tips

    Om du använder det maximala datumintervallet 90 dagar väljer du aktuell tid som Startdatum. I annat fall får du ett felmeddelande om att startdatumet är tidigare än slutdatumet. Om du aktiverat granskningen inom de senaste 90 dagarna kan det maximala datumintervallet inte starta före det datum då granskningen aktiverades.

    1. Aktiviteter: Välj listrutan för att visa de aktiviteter som du kan söka efter. Användar- och administratörsaktiviteter är ordnade i grupper av relaterade aktiviteter. Du kan välja specifika aktiviteter eller välja aktivitetsgruppsnamnet för att välja alla aktiviteter i gruppen. Du kan också välja en vald aktivitet för att rensa markeringen. När du har kört sökningen visas bara granskningsloggposterna för de markerade aktiviteterna. Om du markerar Visa resultat för alla aktiviteter visas resultat för alla aktiviteter som utförts av den markerade användaren eller gruppen av användare.

      Över 100 användar- och administratörsaktiviteter loggas i granskningsloggen. Välj fliken Granskade aktiviteter i artikeln i den här artikeln för att se beskrivningarna av varje aktivitet i var och en av de olika tjänsterna.

    2. Användare: Välj i den här rutan och välj sedan en eller flera användare att visa sökresultat för. I resultatlistan visas granskningsloggposterna för den valda aktiviteten som utförts av de användare som du valt i den här rutan. Lämna rutan tom för att returnera poster för alla användare (och tjänstkonton) i organisationen.

    3. Fil, mapp eller webbplats: Skriv en del av eller hela fil- eller mappnamnet för att söka efter en aktivitet relaterad till filen eller mappen som innehåller det angivna nyckelordet. Du kan också ange en URL-adress till en fil eller mapp. Om du använder en URL ska du se till att ange den fullständiga URL-sökvägen eller om du skriver en del av URL:en, inte innehåller några specialtecken eller blanksteg (men jokertecknet (*) stöds).

      Lämna rutan tom för att returnera poster för alla filer eller mappar i organisationen.

    Tips

    • Om du letar efter alla aktiviteter som är relaterade till en webbplats lägger du till jokertecknet (*) efter URL:en för att returnera alla poster för webbplatsen. till exempel "https://contoso-my.sharepoint.com/personal*".

    • Om du letar efter alla aktiviteter som är relaterade till en fil lägger du till jokertecknet (*) före filnamnet för att returnera alla poster för filen. till exempel "*Customer_Profitability_Sample.csv".

  4. Välj Sök för att köra sökningen med hjälp av dina sökvillkor.

    Sökresultaten läses in och efter en liten stund visas de på en ny sida. När sökningen är klar visas antalet hittade resultat. Högst 50 000 händelser visas i steg om 150 händelser. Om fler än 50 000 händelser uppfyller sökvillkoren visas endast de 50 000 osorterade händelser som returneras.

    Antal resultat visas när sökningen är klar.

Tips för att söka i granskningsloggen

  • Du kan välja specifika aktiviteter att söka efter genom att välja aktivitetsnamnet. Du kan också söka efter alla aktiviteter i en grupp (till exempel Fil- och mappaktiviteter) genom att välja gruppnamnet. Om en aktivitet har valts kan du välja den för att avbryta markeringen. Du kan också använda sökrutan för att visa de aktiviteter som innehåller nyckelordet som du skriver.

    Välj aktivitetsgruppnamn för att välja alla aktiviteter.

  • Du måste markera Visa resultat för alla aktiviteter i listan Aktiviteter för att visa poster från granskningsloggen för Exchange-administratören. Händelser från den här granskningsloggen visar ett cmdlet-namn (till exempel Set-Mailbox) i kolumnen Aktivitet i resultatet. Om du vill ha mer information väljer du fliken Granskade aktiviteter i den här artikeln och väljer sedan Exchange-administratörsaktiviteter.

    På samma sätt finns det vissa granskningsaktiviteter som inte har motsvarande objekt i listan Aktiviteter. Om du känner till namnet på åtgärden för dessa aktiviteter kan du söka efter alla aktiviteter och sedan filtrera åtgärderna när du har exporterat sökresultatet till en CSV-fil.

  • Välj Rensa för att rensa de aktuella sökvillkoren. Datumintervallet återgår till standardvärdet som är de senaste sju dagarna. Du kan också välja Rensa alla för att visa resultat för alla aktiviteter för att avbryta alla markerade aktiviteter.

  • Om 50 000 resultat hittas kan du antagligen förutsätta att det finns fler än 50 000 händelser som uppfyller sökvillkoren. Du kan antingen förfina sökvillkoren och köra sökningen igen för att returnera färre resultat, eller så kan du exportera 50 000 sökresultat genom att välja Exportera resultat>Ladda ned alla resultat.

Steg 2: Visa sökresultatet

Resultatet för en granskningslogg visas under Resultat på sidan Granskningsloggsökning. Som tidigare nämnt visas som högst 50 000 händelser (de senaste) i steg om 150 händelser. Använd rullningslisten eller tryck på Skift + End för att visa de kommande 150 händelserna.

Resultatet innehåller följande information om varje händelse som returneras av sökningen:

  • Datum: Datum och tid (i UTC) när händelsen inträffade.

  • IP-adress: IP-adressen för den enhet som användes när aktiviteten loggades. IP-adressen visas i IPv4- eller IPv6-adressformat.

    Obs!

    För vissa tjänster kan värdet som visas i det här fältet vara IP-adressen för ett betrott program (till exempel Office på webben-appar) som anropar tjänsten för en användare och inte IP-adressen för den enhet som används av personen som utförde aktiviteten. För en administratörsaktivitet (eller en aktivitet som utförs av ett systemkonto) för Azure Active Directory-relaterade händelser loggas inte IP-adressen, och värdet som visas i det här fältet är null.

  • Användare: Användaren (eller tjänstkontot) som utförde åtgärden som utlöste händelsen.

  • Aktivitet: Den aktivitet som användaren utförde. Det här värdet motsvarar de aktiviteter som du valde i listrutan Aktiviteter. För en händelse från granskningsloggen för Exchange-administratören är värdet i den här kolumnen en Exchange-cmdlet.

  • Objekt: Objektet som skapades eller ändrades som ett resultat av motsvarande aktivitet. Exempelvis den fil som visades eller ändrades eller det användarkonto som uppdaterades. Alla aktiviteter har inte ett värde i den här kolumnen.

  • Information: Ytterligare information om en aktivitet. Inte heller här har alla aktiviteter ett värde.

Tips

Välj en kolumnrubrik under Resultat för att sortera resultatet. Du kan sortera resultaten från A till Z eller Z till A. Välj rubriken Datum om du vill sortera resultaten från äldsta till nyaste eller nyaste till äldsta.

Visa information för en viss händelse

Du kan visa mer information om en händelse genom att välja händelseposten i listan med sökresultat. En utfällbar sida visas som innehåller detaljerade egenskaper från händelseposten. Vilka egenskaper som visas beror på tjänsten där händelsen inträffar.

Steg 3: Exportera sökresultatet till en fil

Du kan exportera resultatet av en granskningsloggsökning till en fil med kommaavgränsade värden (CSV) på den lokala datorn. Du kan öppna den här filen i Microsoft Excel och använda funktioner som att söka, sortera, filtrera och dela en enstaka kolumn (som innehåller flera egenskaper) i flera kolumner.

  1. Kör en granskningsloggsökning och ändra sedan sökvillkoren tills du fått önskat resultat.

  2. På sökresultatsidan väljer du Exportera>Ladda ned alla resultat.

    Alla poster från granskningsloggen som uppfyller sökvillkoren exporteras till en CSV-fil. Rådata från granskningsloggen sparas i en CSV-fil. Ytterligare information från granskningsloggposten ingår i en kolumn med namnet AuditData i CSV-filen.

    Viktigt

    Du kan ladda ned högst 50 000 poster till en CSV-fil från en enstaka granskningsloggsökning. Om 50 000 poster laddas ned till CSV-filen kan du antagligen förutsätta att det finns fler än 50 000 händelser som uppfyller sökkriterierna. Om du vill exportera fler poster än så kan du prova att använda ett datumintervall för att minska antalet granskningsloggposter. Du kan behöva köra flera sökningar med mindre datumintervall för att exportera mer än 50 000 poster.

  3. När exporten är klar visas ett meddelande högst upp i fönstret där du uppmanas att öppna CSV-filen och spara den på din lokala dator. Du kan också komma åt CSV-filen i mappen Hämtade filer.

Mer information om hur du exporterar och visar resultat från en granskningsloggsökning

  • När du laddar ned alla sökresultat innehåller CSV-filen kolumnerna CreationDate, UserIds, Operationsoch AuditData. Kolumnen AuditData innehåller ytterligare information om varje händelse (liknande den detaljerade information som visas på den utfällbara sidan när du visar sökresultaten i efterlevnadsportalen). Data i den här kolumnen består av ett JSON-objekt som innehåller flera egenskaper från granskningsloggposten. Varje par med egenskap:värde i JSON-objektet avgränsas med kommatecken. Du kan använda transformeringsverktyget för JSON i Power Query-redigeraren i Excel för att dela AuditData-kolumnen i flera kolumner så att varje egenskap i JSON-objektet har en egen kolumn. Då kan du sortera och filtrera en eller flera av dessa egenskaper. Stegvisa instruktioner för hur du använder Power Query-redigeraren för att transformera JSON-objektet finns i Exportera, konfigurera och visa granskningsloggposter.

    När du delat kolumnen AuditData kan du filtrera på kolumnen Åtgärder för att visa detaljerade egenskaper för en viss typ av aktivitet.

  • När du laddar ned alla resultat från en sökfråga som innehåller händelser från olika tjänster innehåller kolumnen AuditData i CSV-filen olika egenskaper beroende på i vilken tjänst åtgärden utfördes. Poster från till exempel Exchange- och Azure AD-granskningsloggar innehåller en egenskap med namnet ResultStatus som anger om åtgärden lyckades eller inte. Den här egenskapen finns inte med för händelser i SharePoint. På samma sätt har SharePoint-händelser en egenskap som identifierar webbplatsadressen för fil- och mapprelaterade aktiviteter. Överväg att använda olika sökningar för att exportera resultat för aktiviteter från en enstaka tjänst för att minimera detta beteende.

    En beskrivning av många av de egenskaper som visas i kolumnen AuditData i CSV-filen när du laddar ned alla resultat samt vilken tjänst var och en gäller för finns i Detaljerade egenskaper i granskningsloggen.

Vanliga frågor och svar

Vilka olika Microsoft 365-tjänster granskas för närvarande?

De mest använda tjänsterna som Exchange Online, SharePoint Online, OneDrive för företag, Azure Active Directory, Microsoft Teams, Dynamics 365, Defender för Office 365 och Power BI granskas. I början av den här artikeln finns en lista med tjänster som granskas.

Vilka aktiviteter granskas av granskningstjänsten i Microsoft 365?

I artikeln Granskningsloggaktiviteter finns en lista och en beskrivning av de aktiviteter som granskas.

Hur lång tid tar det innan en granskningspost är tillgänglig efter att en händelse har inträffat?

De flesta granskningsdata är tillgängliga inom 60–90 minuter, men det kan ta upp till 24 timmar efter att en händelse inträffar innan motsvarande granskningsloggpost visas i sökresultatet. Se avsnittet Innan du söker i granskningsloggen i den här artikeln som visar den tid det tar för händelser i de olika tjänsterna att vara tillgängliga.

Hur länge behålls granskningsposterna?

Som tidigare beskrivits behålls granskningsposter för aktiviteter som utförts av användare som tilldelats en Office 365 E5- eller Microsoft E5-licens (eller användare med en Microsoft 365 E5-tilläggslicens) i ett år. För alla andra prenumerationer som har stöd för enhetlig granskningsloggning behålls granskningsposter i 90 dagar.

Kan jag komma åt granskningsdata programmässigt?

Ja. Office 365 Management Activity-API används för att programmässigt hämta granskningsloggarna. Information om hur du kommer igång finns i Komma igång med Office 365 Management API:er.

Finns det andra sätt att hämta granskningsloggar än att använda Säkerhets- och efterlevnadsportal eller Office 365 Management Activity-API?

Ja, du kan hämta granskningsloggar med följande metoder:

Behöver jag aktivera granskning individuellt i varje tjänst som jag vill samla in granskningsloggar för?

I de flesta tjänsterna är granskning aktiverad som standard när du först aktiverat granskning för din organisation (så som beskrivs i avsnittet Innan du söker i granskningsloggen i den här artikeln).

Har granskningstjänsten stöd för omkopiering av poster?

Nej. Pipelinen för granskningstjänsten är nästan i realtid och kan därför inte stödja omkopiering.

Var lagras granskningsdata?

Vi har för närvarande distributioner av granskningspipeline i regionerna NA (Nordamerika), EMEA (Europa, Mellanöstern och Afrika) och APAC (Asien och stillahavsområdet). Klientorganisationer i dessa regioner kommer att ha sina granskningsdata lagrade i regionen. För multi-geo-klienter lagras granskningsdata som samlas in från alla regioner i klientorganisationen endast i klientorganisationens hemregion. Vi kan däremot flöda data över de här regionerna för belastningsutjämning och bara under problem med livewebbplatser. När vi utför de här aktiviteterna krypteras data under överföring.

Krypteras granskningsdata?

Granskningsdata lagras i Exchange-postlådor (vilande data) i samma region där den enhetliga granskningspipelinen har distribuerats. Vilande postlådedata krypteras inte av Exchange. Kryptering på tjänstnivå krypterar emellertid alla postlådedata eftersom Exchange-servrar i Microsoft-datacenter krypteras via BitLocker. Mer information finns i Microsoft 365-kryptering för Skype för företag, OneDrive för företag, SharePoint Online och Exchange Online.

E-postdata under överföring är alltid krypterade.