在合規性入口網站中搜尋稽核記錄

需要了解是否有使用者已檢視特定文件或清除信箱中的項目嗎? 如果是,您可以使用 Microsoft Purview 合規性入口網站來搜尋整合的稽核記錄,以檢視組織中的使用者和系統管理員的活動。 在數十個 Microsoft 365 服務和解決方案中執行的數千個使用者和管理作業被擷取、記錄並保留在組織的整合稽核記錄中。 貴組織中的使用者可以使用稽核記錄搜尋工具以搜尋、檢視及匯出 (為 CSV 檔案) 這些作業的稽核記錄。

提示

如果您不是 E5 客戶,您可以免費試用 Microsoft Purview 中的所有進階功能。 使用 90 天的 Purview 解決方案試用版,探索健全的 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料

支援稽核的 Microsoft 365 服務

為什麼使用整合的稽核記錄? 因為您可以在稽核記錄中搜尋在不同 Microsoft 365 服務中執行的活動。 下表列出統一稽核記錄所支援的 Microsoft 365 服務和功能。

Microsoft 365 服務或功能 記錄類型
Azure Active Directory AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon
Azure 資訊保護 AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat
通訊合規性 ComplianceSupervisionExchange
內容總管 LabelContentExplorer
資料連接器 ComplianceConnector
資料外洩防護 (DLP) ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint
Dynamics 365 CRM
eDiscovery (Standard + Premium) 探索, AeD
完全資料比對 MipExactDataMatch
Exchange Online ExchangeAdmin, ExchangeItem, ExchangeItemAggregated
表單 MicrosoftForms
資訊屏障 InformationBarrierPolicyApplication
Microsoft 365 Defender AirInvestigation, AirManualInvestigation, AirAdminActionInvestigation, MS365DCustomDetection
Microsoft Teams MicrosoftTeams
MyAnalytics MyAnalyticsSettings
商務用 OneDrive OneDrive
Power 應用程式 PowerAppsApp, PowerAppsPlan
Power Automate MicrosoftFlow
Power BI PowerBIAudit
隔離 隔離
Microsoft Purview 資訊保護 (MIP) 標籤 MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation
敏感性資訊類型 DlpSensitiveInformationType
敏感度標籤 MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch
加密郵件入口網站 OMEPortal
SharePoint Online SharePoint, SharePointFileOperation, SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation
資料流 MicrosoftStream
威脅情報 ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent
Viva Goals Viva Goals
工作場所分析 WorkplaceAnalytics
Yammer Yammer
SystemSync DataShareCreated、DataShareDeleted、GenerateCopyOfLakeData、DownloadCopyOfLakeData

如需在上表所列的每個服務中稽核之作業的詳細資訊,請參閱 稽核記錄活動 一文。

上表也會識別記錄類型值, 用來在 Exchange Online PowerShell 中使用Search-UnifiedAuditLog Cmdlet 或使用 PowerShell 指令碼,在對應服務中搜尋活動的稽核記錄。 有些服務在同一個服務中有多個不同類型的活動記錄類型。 有關稽核記錄類型的完整清單, 請參閱 Office 365 管理活動 API 結構描述

有關使用 PowerShell 搜尋稽核記錄的詳細資訊, 請參閱:

在您搜尋稽核記錄之前

開始搜尋稽核記錄之前,請務必檢閱下列專案。

  • 預設會開啟適用於 Microsoft 365 和 Office 365 企業組織的 [稽核記錄搜尋]。 若要驗證 [稽核記錄搜尋] 已開啟,您可以在 Exchange Online PowerShell 中執行下列命令:

    Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
    

    UnifiedAuditLogIngestionEnabled 屬性為 True 值表示已開啟 [稽核記錄搜尋]。 如需詳細資訊,請參閱開啟或關閉稽核記錄搜尋

  • 您必須在Exchange Online中指派限檢視稽核記錄或稽核記錄角色,才能搜尋稽核記錄。 根據預設,這些角色會指派給 Exchange 系統管理中心 [許可權] 頁面上的[合規性管理] 和[組織管理] 角色群組。 Office 365和 Microsoft 365 中的全域系統管理員會自動新增為 Exchange Online 中組織管理角色群組的成員。 若要讓使用者能夠以最低許可權層級搜尋稽核記錄,您可以在 Exchange Online 中建立自訂角色群組、新增僅限檢視稽核記錄稽核記錄角色,然後將使用者新增為新角色群組的成員。 如需詳細資訊,請參閱管理 Exchange Online 中的角色群組

    如果您在合規性入口網站的 [權限] 頁面上,將 [僅限檢視稽核記錄] 或 [稽核記錄] 角色指派給使用者,使用者將無法搜尋稽核記錄。 您必須在 Exchange Online 中指派權限。 這是因為用來搜尋稽核記錄的基礎 Cmdlet 是 Exchange Online Cmdlet。

  • 當使用者或系統管理員執行稽核的活動時,稽核記錄會隨即產生,並儲存在您組織的稽核記錄中。 稽核記錄的保留時間及可在稽核記錄中搜尋的時間長度,取決於您的 Office 365 或 Microsoft 365 企業版訂閱,具體來說,取決於指派給特定使用者的授權類型。

    • 對於獲指派 Office 365 E5 或 Microsoft 365 E5 授權的使用者 (或擁有 Microsoft 365 E5 合規性或 Microsoft 365 E5 電子文件探索和稽核附加元件授權的使用者),Azure Active Directory、Exchange 和 SharePoint 活動的稽核記錄依預設會保留一年。 組織也可建立稽核記錄保留原則,以保留其他服務中的活動稽核記錄,最長一年。 如需詳細資訊,請參閱管理稽核記錄保留原則

      注意事項

      如果您的組織有參與一年期稽核記錄保留的私人預覽計畫,則將不會重設一般發行日期之前產生的稽核記錄保留期間。

    • 對於獲派其他任何 (非 E5) Office 365 或 Microsoft 365 授權的使用者,稽核記錄會保留 90 天。 如需支援統一稽核記錄的Office 365和 Microsoft 365 訂閱清單,請參閱安全性與合規性入口網站服務描述

      注意事項

      即使預設開啟信箱稽核,您可能會注意到某些使用者的信箱稽核事件在合規性入口網站或透過 Office 365 管理活動 API 的稽核記錄搜尋中找不到。 如需詳細資訊,請參閱信箱稽核記錄的相關資訊

  • 如果您要關閉組織的稽核記錄搜尋,您可以在 Exchange Online PowerShell 中執行下列命令:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    

    若要再次開啟稽核搜尋,您可以在 Exchange Online PowerShell 中執行下列命令:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    如需詳細資訊,請參閱關閉稽核記錄搜尋

  • 用來搜尋稽核記錄的基礎 Cmdlet 是Exchange Online Cmdlet,也就是Search-UnifiedAuditLog。 這表示您可以使用此 Cmdlet 來搜尋稽核記錄,而不是使用合規性入口網站的 [稽核] 頁面上的搜尋工具。 您必須在 Exchange Online PowerShell 中執行此 Cmdlet。 如需詳細資訊,請參閱 Search-UnifiedAuditLog

    若要了解如何將 Search-UnifiedAuditLog Cmdlet 所傳回的搜尋結果匯出為 CSV 檔案,請參閱匯出、設定及檢視稽核記錄檔的記錄中的<匯出及檢視稽核記錄的秘訣>一節。

  • 如果您想要以程式設計方式從稽核記錄下載資料,我們建議您使用 Office 365 管理活動 API,而非使用 PowerShell 指令碼。 Office 365 管理活動 API 是一個 REST Web 服務,可用於為貴組織開發作業、安全性以及合規性的監控解決方案。 如需詳細資訊,請參閱 Office 365 管理活動 API 參考

  • Azure Active Directory (Azure AD) 是適用於 Microsoft 365 的目錄服務。 整合的稽核記錄包含 Microsoft 365 系統管理員中心或 Azure 管理入口網站中執行的使用者、群組、應用程式、網域及目錄活動。 如需 Azure AD 事件的完整清單,請參閱 Azure Active Directory 稽核報告事件

  • Microsoft 不保證在發生事件之後的特定時間,稽核記錄搜尋的結果中會傳回對應的稽核記錄。 針對核心服務 (例如 Exchange、SharePoint、OneDrive和Teams),稽核記錄可用性通常是在事件發生後的 60 到 90 分鐘。 對於其他服務,稽核記錄可用性可能會更長。 不過,有些無法避免的問題 (例如伺服器中斷) 可能會在延遲稽核記錄可用性的稽核服務之外發生。 基於這個理由,Microsoft 不會承諾特定時間。

  • Power BI 的稽核記錄未預設為啟用。 若要在稽核記錄中搜尋 Power BI 活動,您必須在 Power BI 系統管理員入口網站中啟用稽核功能。 如需相關指示,請參閱 Power BI 系統管理員入口網站中的<稽核記錄>一節。

搜尋稽核記錄

下列是在 Microsoft 365 中搜尋稽核記錄的流程。

  1. 移至 https://compliance.microsoft.com 並登入。

    提示

    使用私人流覽會話 (不是一般會話) 來存取合規性入口網站,因為這會防止使用您目前登入的認證。 按 CTRL + SHIFT + N 開啟 Microsoft Edge 的 InPrivate 瀏覽工作階段, 或在 Google Chrome 中開啟私人瀏覽工作階段 (稱為無痕式視窗)。

  2. 在合規性入口網站的左窗格中,選取 [ 稽核]

    [稽核] 頁面隨即顯示。

    設定準則,然後選取 [搜尋] 以執行報表。

    注意事項

    如果顯示 [ 開始錄製使用者和系統管理活動 ] 連結,請選取它以開啟稽核。 如果您沒有看到此連結,表示貴組織已開啟稽核。

  3. [搜尋] 索引標籤上,設定下列搜尋準則:

    1. 開始日期結束日期:根據預設會選取過去七天。 選取日期和時間範圍,以顯示該期間內已發生的事件。 日期和時間以當地時間顯示。 您可以指定的最大日期範圍為 90 天。 如果選定的日期範圍大於 90 天,則會顯示錯誤。

    提示

    如果您使用的是 90 天的最大日期範圍,請為 [開始日期] 選取目前的時間。 否則,您會收到一則表示開始日期早於結束日期的錯誤。 如果您已開啟過去 90 天中的稽核,最大日期範圍不能在開啟稽核的日期之前開始。

    1. 活動:選取下拉式清單以顯示您可以搜尋的活動。 使用者和系統管理員活動會歸類成各種相關活動的群組。 您可以選取特定活動,也可以選取活動組名來選取群組中的所有活動。 您也可以選取選取的活動來清除選取專案。 執行搜尋後,只會顯示選定活動的稽核記錄項目。 選取 [顯示所有活動的結果] 會顯示選定使用者或使用者群組所執行的所有活動結果。

      稽核記錄中會記錄超過 100 個使用者和系統管理員活動。 選取本文文章中的 [ 稽核的活動 ] 索引標籤,以查看每個不同服務中每個活動的描述。

    2. 使用者:在此方塊中選取,然後選取一或多個使用者以顯示搜尋結果。 結果清單會顯示您在此方塊中選取的使用者所執行的選定活動之稽核記錄項目。 若要傳回貴組織中所有使用者 (及服務帳戶) 的項目,請將此方塊保留空白。

    3. 檔案、資料夾或網站:輸入整個檔案或資料夾名稱的一部分,以搜尋含有特定關鍵字之資料夾的檔案相關活動。 您也可以指定檔案或資料夾的 URL。 如果您使用 URL,請確定輸入完整的 URL 路徑,或如果您輸入 URL 的一部分,請勿包含任何特殊字元或空格 (不過,) 支援使用萬用字元 (*) 。

      若要傳回貴組織中所有檔案和資料夾的項目,請將此方塊保留空白。

    提示

    • 如果您要尋找與 網站相關的所有活動,請在 URL 後面新增萬用字元 (*) ,以傳回該網站的所有專案;例如, "https://contoso-my.sharepoint.com/personal*"

    • 如果您要尋找與檔案相關的所有活動,請在 名之前新增萬用字元 (*) ,以傳回該檔案的所有專案;例如, "*Customer_Profitability_Sample.csv"

  4. 取 [搜尋 ] 以使用您的搜尋準則執行搜尋。

    搜尋結果會載入,並在幾分鐘後顯示在新頁面上。 完成搜尋後,隨即顯示找到的結果數量。 系統會以 150 個事件為增量,最多顯示 50,000 個事件。 如果超過 50,000 個事件符合搜尋準則,則只會顯示傳回的 50,000 個未排序事件。

    搜尋完成後,會顯示結果數目。

搜尋稽核記錄的祕訣

  • 您可以選取活動名稱來選取要搜尋的特定活動。 或者,您可以選取組名來搜尋群組 (中的所有活動,例如) 的 檔案和資料夾活動 。 如果已選取活動,您可以選取它來取消選取專案。 您也可以使用搜尋方塊顯示含有您輸入的關鍵字之活動。

    選取活動組名以選取所有活動。

  • 您必須在 [活動] 清單中選取 [顯示所有活動的結果],才能顯示來自 Exchange 系統管理員稽核記錄的事件。 來自此稽核記錄的事件會在結果的 [活動] 欄中顯示 Cmdlet 名稱 (例如 Set-Mailbox)。 如需詳細資訊,請選取本文中的 [ 稽核的活動 ] 索引標籤,然後選取 [Exchange 系統管理員活動]

    同樣地,也會有些稽核活動在 [活動] 清單中沒有對應的項目。 若您知道這些活動的作業名稱,即可搜尋所有活動,然後在將搜尋結果匯出至 CSV 檔案之後篩選作業。

  • 取 [清除 ] 以清除目前的搜尋準則。 日期範圍會回到過去七天的預設值。 您也可以選取 [全部清除] 以顯示所有活動的結果 ,以取消所有選取的活動。

  • 如果找到 50,000 個結果,您可能可以假設有超過 50,000 個符合搜尋準則的結果。 您可以精簡搜尋準則並重新執行搜尋以傳回較少的結果,也可以選> 取 [匯出結果] [下載所有結果] 來匯出 50,000 個搜尋結果。

步驟 2:檢視搜尋結果

稽核記錄搜尋的結果會顯示在 [稽核記錄搜尋] 頁面的 [結果] 底下。 如先前所述,系統最多可顯示 50,000 個 (最新) 事件,每向下捲動一次則可顯示 150 個事件。 使用捲軸或 Shift + End 以顯示接下來的 150 個事件。

結果會包含搜尋所傳回之每個事件的下列相關資訊:

  • 日期:事件發生時的日期和時間 (以當地時間顯示)。

  • IP 位址:記錄活動時所使用的裝置之 IP 位址。 IP 位址會以 IPv4 或 IPv6 位址格式顯示。

    注意事項

    針對某些服務,此欄位中顯示的值可能是代表使用者呼叫服務的受信任應用程式 (例如 Office 網頁版應用程式) 的 IP 位址,而不是執行活動的人員使用之裝置的 IP 位址。 此外,針對 Azure Active Directory 相關事件的系統管理員活動 (或由系統帳戶執行的活動),不會記錄 IP 位址,且此欄位中顯示的值為 null

  • 使用者:執行動作並觸發事件的使用者 (或服務帳戶)。

  • 活動:使用者執行的活動。 這個值對應您在 [活動] 下拉式清單中選取的活動。 若是來自 Exchange 系統管理員稽核記錄的事件,此欄中的這個值則是 Exchange Cmdlet。

  • 項目:已建立或修改為對應活動結果的物件。 例如,已檢視或修改的檔案或已更新的使用者帳戶。 並非所有活動在此資料行中都具有值。

  • 詳細資料:有關活動的其他詳細資訊。 同樣地,並非所有活動都會有值。

提示

選取 [ 結果 ] 底下的資料行標頭來排序結果。 您可以將結果從 A 排序為 Z 或 Z 到 A。選取 [日期 ] 標頭,將結果從最舊到最新或最新到最舊排序。

檢視特定事件的詳細資料

您可以在搜尋結果清單中選取事件記錄,以檢視事件的更多詳細資料。 顯示包含事件記錄中詳細屬性的飛出視窗頁面。 顯示的屬性視事件發生的服務而定。

步驟 3:將搜尋結果匯出至檔案

您可以將稽核記錄搜尋的結果匯出至您本機電腦上的逗點分隔值 (CSV) 檔案。 您可以在 Microsoft Excel 中開啟此檔案,並使用搜尋、排序、篩選,以及將單一欄 (含有多重屬性) 分割為多個欄等功能。

  1. 執行稽核記錄搜尋,然後修改搜尋準則,直到您獲得想要的結果為止。

  2. 在搜尋結果頁面上,選取 [匯出>下載所有結果]

    稽核記錄中符合搜尋條件的所有項目都會匯出至 CSV 檔案。 稽核記錄中的原始資料會儲存至 CSV 檔案。 來自稽核記錄項目的其他資訊會包含在 CSV AuditData 欄位。

    重要事項

    您可以從單一稽核記錄搜尋下載最多 50,000 個項目至 CSV 檔案。 如果已下載 50,000 個項目至 CSV 檔案,您可能可以假設有超過 50,000 個符合搜尋準則的事件。 若要匯出的內容超過此限制,請嘗試使用日期範圍來縮小稽核記錄項目的數量。 您可能需要使用較小的日期範圍執行多次搜尋,以匯出 50,000 個以上的項目。

  3. 匯出流程完成之後,視窗頂端會顯示一則訊息,提示您開啟 CSV 檔案,並將其儲存到您的本地電腦。 您也可以存取下載資料夾中的 CSV 檔案。

有關匯出及檢視稽核記錄搜尋結果的更多資訊

  • 當您下載所有搜尋結果時,CSV 檔案會包含 CreationDateUserIdsOperationsAuditDataAuditData 欄位包含每個事件的其他資訊 (類似當您在合規性入口網站中查看搜尋結果時,飛出視窗頁面上顯示的詳細資訊)。 此欄資料包含的 JSON 物件具有稽核記錄中的多個屬性。 JSON 物件中的每個「屬性:值」配對都會以逗號分隔。 您可以在 Excel 的 Power Query 編輯器中使用 JSON 轉換工具,將 AuditData 欄分割成多個欄,好讓 JSON 物件中的每個屬性都有自己的欄。 這樣您就可以排序及篩選一或多個屬性。 如需使用 Power Query 編輯器轉換 JSON 物件的逐步指示,請參閱匯出、設定及檢視稽核記錄檔的記錄

    分割 [AuditData] 欄後,您可以在 [作業] 欄篩選,以顯示特定活動類型的詳細屬性。

  • 當您從搜尋查詢下載所有結果時,如果搜尋查詢包含不同服務中的事件,則 CSV 檔案中的 [AuditData] 欄會包含不同的屬性,視在何種服務中執行動作而定。 例如,來自 Exchange 和 Azure AD 稽核記錄的項目包括命名為 ResultStatus 的屬性,它會指出執行的動作是否成功。 SharePoint 中的事件不包括此屬性。 同樣地,SharePoint 事件有一個屬性可用來識別網站 URL 中的檔案和資料夾相關活動。 若要減少此行為,請考慮使用不同的搜尋,以匯出來自單一服務的活動結果。

    如需下載所有結果時,CSV 檔案 [AuditData] 欄中列出的多個屬性描述,以及各個適用的服務,請參閱稽核記錄中的詳細屬性

常見問題集

目前稽核的各種 Microsoft 365 服務是什麼?

最常使用的服務,例如 Exchange Online、SharePoint Online、商務用 OneDrive、Azure Active Directory、Microsoft Teams、Dynamics 365、Office 365 防護和 Power BI 都會進行稽核。 如需稽核的服務清單,請參閱這篇文章的開頭

稽核服務在 Microsoft 365 中稽核的活動為何?

如需已稽核之活動的清單和描述,請參閱稽核 記錄活動 一文。

事件發生後多久才能使用稽核記錄?

大部分的稽核資料可在 60-90 分鐘內取得,但在發生事件後最多可能需要 24 小時,對應的稽核記錄專案才會顯示在搜尋結果中。 請參閱本文的 在搜尋稽核記錄檔之前 一節,其中顯示不同服務中的事件可用所需的時間。

稽核記錄可保留多久時間?

如先前所述,由獲派 Office 365 E5 或 Microsoft E5 授權的使用者 (或擁有 Microsoft 365 E5 附加元件授權的使用者) 所執行活動的稽核記錄,會保留一年。 針對支援整合稽核記錄的其他所有訂閱,稽核記錄會保留 90天。

我可以以程式設計方式存取稽核資料嗎?

是。 Office 365 管理活動 API 可用來以程式設計方式擷取稽核記錄。 若要開始使用,請參閱開始使用 Office 365 管理 API

除了使用安全性與合規性入口網站或 Office 365 管理活動 API,有其他方法可取得稽核記錄嗎?

是,您可以使用下列方法來擷取稽核記錄:

針對想擷取稽核記錄的服務,我是否要為每項服務個別啟用稽核功能?

在大部分的服務中,在您初次為貴組織開啟稽核功能之後,稽核功能就會預設為啟用狀態 (如本文中的在您搜尋稽核記錄之前一節中所述)。

稽核服務支援刪除重複的記錄嗎?

否。 稽核服務管線幾乎是即時的,因此並不支援刪除重複資料。

稽核資料的儲存位置?

我們目前將稽核管線部署在 NA (北美洲)、EMEA (歐洲、中東及非洲) 和 APAC (亞太地區) 區域中。 這些地區的租用戶會將稽核資料儲存在區域。 對於多地理位置的租用戶,從租用戶的所有區域收集的稽核資料只會儲存在租用戶的首頁區域中。 不過,我們可以在這些區域間流通資料來達到負載平衡,並只能在即時網站期間才可這麼做。 當我們執行這些活動時,資料傳輸會經過加密處理。

稽核資料會加密嗎?

稽核資料會儲存在整合稽核管線部署所在位置中的 Exchange 信箱內 (靜態資料)。 Exchange 不會加密待用信箱資料。 不過,服務層級加密功能會加密所有信箱資料,因為 Microsoft 資料中心的 Exchange 伺服器是透過 BitLocker 進行加密。 如需詳細資訊,請參閱商務用 Skype、商務用 OneDrive、SharePoint Online 與 Exchange Online 的 Microsoft 365 加密

傳輸中的郵件資料一律會加密。