搜索审核日志

在 Microsoft Purview 审核 (Standard) 和 Audit (Premium 中搜索，) 组织可以访问关键审核日志事件数据，以获取见解并进一步调查用户活动。

• 通过合规性门户启动的搜索作业不再需要 Web 浏览器窗口保持打开状态才能完成。 即使在浏览器窗口关闭后，这些作业仍将继续运行。
• 已完成的搜索作业现在存储 30 天，使你能够引用历史审核搜索。
• 每个管理员审核帐户用户最多可以有 10 个正在进行的并发搜索作业，最多可以有一个未筛选的搜索作业。

提示

如果你不是 E5 客户，请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

在搜索审核日志之前

在开始搜索审核日志之前，请务必查看以下项。

• 默认情况下，Microsoft 365 和 Office 365 企业版组织开启审核日志搜索。 若要验证审核日志搜索是否已打开，可以在 Exchange Online PowerShell 中运行以下命令：

  Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
  

  UnifiedAuditLogestionEnabled 属性的 True 值表明已打开审核日志搜索。 有关详细信息，请参阅 打开或关闭审核日志搜索。

  重要

  请务必在 Exchange Online PowerShell 中运行上一个命令。 尽管安全 & Compliance PowerShell 中也提供了 Get-AdminAuditLogConfig cmdlet，但 UnifiedAuditLogIngestionEnabled 属性始终 False为 ，即使审核日志搜索处于打开状态也是如此。

• 必须在 Microsoft Purview 门户中或Microsoft Purview 合规门户中分配“审核日志”或“仅查看审核日志”角色才能搜索审核日志。 默认情况下，这些角色将分配给合规性门户的“权限”页上的“审核管理员”和“审核读取者”角色组。 有关详细信息，请参阅 审核解决方案入门。 若要访问审核 cmdlet，必须在 Exchange 管理中心中分配“ 审核日志 ”或“ 仅查看审核日志” 角色。 还可以通过将 “仅查看 审核日志”或“ 审核 日志”角色添加到自定义角色组来创建能够搜索审核日志的自定义角色组。

  有关更多信息，请参阅：

  • Microsoft Purview 门户中的权限
  • Microsoft Purview 合规性门户中的权限

• 当用户或管理员执行审核活动时，将生成审核记录并将其存储在组织的审核日志中。 保留审核记录（并且可在审核日志中搜索）的时间长度取决于你的 Office 365 或 Microsoft 365 企业版订阅，具体而言是分配给特定用户的许可证类型。

  • 对于分配有Office 365 E5或Microsoft 365 E5许可证 (的用户或具有Microsoft 365 E5 合规或Microsoft 365 E5电子数据展示和审核附加许可证) 的用户，审核Microsoft Entra ID、Exchange 和 SharePoint 活动默认保留一年。 此外，组织还可以创建审核日志保留策略，以便将其他服务中的活动的审核记录保留最长一年时间。 有关详细信息，请参阅管理审核日志保留策略。

    注意

    如果组织参与了审计记录保留一年的个人预览版计划，则在正式发布日期之前产生的审核记录的保留期限不会被重置。

  • 对于分配任何其他 (非 E5) Office 365 或Microsoft 365 许可证的用户，审核记录将保留 180 天。 有关支持统一审核日志记录的Office 365和Microsoft 365 订阅的列表，请参阅审核 (标准版) 和审核 (高级版) 的订阅要求。

    重要

    Audit (Standard) 的默认保留期已从 90 天更改为 180 天。 审核 (2023 年 10 月 17 日之前生成的标准) 日志将保留 90 天。 审核 (2023 年 10 月 17 日或之后生成的标准) 日志遵循新的默认保留期 180 天。

    注意

    即使默认情况下启用邮箱审核，你可能会注意到，某些用户的邮箱审核事件在合规性门户的审核日志搜索中或通过Office 365管理活动 API 找不到。 有关详细信息，请参阅有关邮箱审核日志记录的详细信息。

• 如果要关闭组织的审核日志搜索，可以在 Exchange Online PowerShell 中运行以下命令：

  Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
  

  若要再次打开审核搜索，可在 Exchange Online PowerShell 中运行以下命令：

  Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
  

  有关详细信息，请参阅关闭审核日志搜索。

• 用于搜索审核日志的基础 cmdlet 是一个 Exchange Online cmdlet，即 Search-UnifiedAuditLog。 这意味着可使用此 cmdlet 搜索审核日志，而不是使用合规性门户中的 审核 页面上的搜索工具。 必须在 Exchange Online PowerShell 中运行此 cmdlet。 有关详细信息，请参阅 Search-UnifiedAuditLog。

  有关将 Search-UnifiedAuditLog cmdlet 所返回的搜索结果导出到 CSV 文件的信息，请参阅导出、配置和查看审核日志记录中的“有关导出和查看审核日志的提示”部分。

• 若想以编程方式从审核日志下载数据，建议使用 Office 365 管理活动 API，而不是使用 PowerShell 脚本。 Office 365 管理活动 API 是一项 REST Web 服务，可用于为组织制定操作、安全和合规性监视解决方案。 有关详细信息，请参阅 Office 365 管理活动 API 参考。

• Microsoft Entra ID是 Microsoft 365 的目录服务。 统一审核日志包含用户、组、应用程序、域以及在 Microsoft 365 管理中心 或 Azure 管理门户中执行的目录活动。 有关Microsoft Entra事件的完整列表，请参阅Microsoft Entra审核报告事件。

• Microsoft 不保证在发生事件之后的特定时间，以便在审核日志搜索结果中返回相应的审核记录。 对于核心服务（如 Exchange、SharePoint、OneDrive 和 Teams），审核记录可用性通常在事件发生后 60 到 90 分钟。 对于其他服务，审核记录可用性可能会更长。 但是，一些不可避免的问题（例如服务器中断）可能会在审核服务外部发生，导致审核记录的可用性延迟。 因此，Microsoft 不会提交到特定时间。

• 若要在审核日志中搜索 Power BI 活动，则必须在 Power BI 管理门户中启用审核。 有关说明，请参阅 Power BI 管理门户中的“审核日志”部分。

搜索入门

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

完成以下步骤以开始搜索：

1. 登录到 Microsoft Purview 门户。

2. 选择“审核解决方案”卡。 如果未显示“审核解决方案卡，请选择”查看所有解决方案“，然后从”核心“部分选择”审核”。

3. 在 “搜索 ”页上，配置以下搜索条件（如果适用）：

   1. 日期和时间范围 (UTC) ：默认选择过去七天。 选择日期和时间范围，以显示在这段时间内发生的事件。 日期和时间以协调世界时 (UTC) 显示。 可以指定的最大日期范围是 180 天。 如果所选日期范围大于 180 天，则显示错误。

      提示

      如果使用的最大日期范围为 180 天，请选择“ 开始日期”的当前时间。 否则，你将收到说明开始日期早于结束日期的错误消息。 如果在过去 180 天内已启用审核，则最大日期范围不能在启用审核的日期之前开始。

   2. 关键字搜索：输入审核日志中要搜索的关键字 (keyword) 或短语。 如果指定) 进行搜索，则会在审核日志或文件、文件夹或网站中搜索 (关键字 (keyword) 或短语。 若要搜索包含特殊字符的文本，请将特殊字符替换为关键字 (keyword) 搜索中的星号 (*) 。 例如，若要搜索 test_search_document，请使用 test*search*document。

      重要

      在 “关键字搜索 ”字段中输入的术语仅在审核 通用架构) 中搜索索引内容 (内容。 审核日志中的审核 数据内容 不会搜索这些关键字。

   3. 管理员单位：选择下拉列表以显示希望审核活动范围限定为搜索的管理单元。 可以选择一个或多个管理单元，将搜索范围限定为 。 将此框留空可返回组织中所有管理单元的条目。

   4. 活动 - 友好名称：选择下拉列表以显示可搜索的已审核活动的友好名称。 用户和管理员活动的友好名称被组织成相关活动的组。 使用友好名称，可以选择特定的已审核活动，也可以选择活动组名称以选择组中的所有活动。 也可以选择已选活动以取消选择。 若要搜索列表中活动的友好名称，请使用列表上方的搜索框。

   5. 活动 - 操作名称：输入确切的操作名称，以搜索要包含在搜索结果中的已审核活动。 可以输入一个或多个操作名称，用逗号分隔。 此搜索条件类似于以前仅在 PowerShell 中提供的搜索，并且提供了更大的灵活性，可帮助你查找所需的数据。

      重要

      必须完全按照名称输入操作名称。 如果输入的操作名称不正确，则不会返回任何结果。

      例如，要搜索与为组织中的 SharePoint 网站启用和禁用信息屏障相关的所有活动，需要：

      • 查看 审核活动 一文，查找要搜索的信息屏障活动的确切操作名称。 在此 示例中，操作名称为 SPOIBIsEnabled 和 SPOIBIsDisabled。
      • 在操作搜索字段中输入 SPOIBIsEnabled，SPOIBIsDisabled 。 建议将操作名称直接从项目复制并粘贴到操作搜索字段，以确保正确输入操作名称且没有拼写错误。

   6. 记录类型：选择下拉列表以显示可搜索的已审核活动的记录类型。 可以选择一个或多个要搜索的记录类型。 若要在列表中搜索记录类型，请使用列表上方的搜索框。
      
      特定 记录类型 与特定的Microsoft服务和应用程序相关联。 例如，如果要将搜索范围限定为与 Microsoft Purview 信息保护 (MIP) 敏感度标签关联的特定记录类型，可以从列表中选择 MIPLabel、MipAutoLabelExchangeItem、MipAutoLabelSharePointItem 和 MipAutoLabelSharePointPolicyLocation 记录类型。

   7. 搜索名称：输入搜索作业的自定义名称。 此名称用于在搜索作业历史记录中标识搜索作业。 如果未输入名称，将使用为搜索定义的日期和时间值和其他定义的搜索条件值的组合自动命名搜索作业。

   8. 用户：选择此字段并选择要显示搜索结果的一个或多个用户的名称。 由你在此框中所选用户执行的所选活动的审核日志项目将显示在结果列表中。 将此框留空以返回组织中所有用户（和服务帐户）的条目。

   9. 文件、文件夹或站点：输入部分或全部文件或文件夹名称，以搜索与包含指定关键字 (keyword) 的文件夹文件相关的活动。 此搜索条件返回相应文件、文件夹和网站的所有相关结果。 你还可以指定文件或文件夹的 URL。 如果使用 URL，请确保键入完整的 URL 路径，或者如果键入 URL 的一部分，则不包含任何特殊字符或空格 (但是，) 支持使用通配符 (*) 。 将此框留空以返回组织中所有文件和文件夹的条目。

   10. 工作负载：输入或搜索工作负载服务，以搜索与所选工作负载相关的活动。 输入工作负荷的名称以跳转到列表中的工作负载，或滚动到要选择的工作负载。

4. 选择“ 搜索 ”以启动搜索作业。 一个用户帐户最多可以并行运行 10 个搜索作业。 如果用户需要 10 个以上的搜索作业，则必须等待 正在进行 作业完成或删除搜索作业。

合规性门户

完成以下步骤以开始搜索：

1. 登录到Microsoft Purview 合规门户。

2. 选择左侧面板上的“ 审核 ”选项卡。

3. 选择“审核”页面顶部的“新建搜索”选项卡。

4. 在“ 新建搜索 ”选项卡上，配置以下搜索条件（如果适用）：

   1. “开始日期”和“结束日期”：默认选择了过去七天。 选择日期和时间范围，以显示在这段时间内发生的事件。 日期和时间以协调世界时 (UTC) 显示。 可以指定的最大日期范围是 180 天。 如果所选日期范围大于 180 天，则显示错误。

      提示

      如果使用的最大日期范围为 180 天，请选择“ 开始日期”的当前时间。 否则，你将收到说明开始日期早于结束日期的错误消息。 如果在过去 180 天内已启用审核，则最大日期范围不能在启用审核的日期之前开始。

   2. 关键字搜索：输入审核日志中要搜索的关键字 (keyword) 或短语。 如果指定) 进行搜索，则会在审核日志或文件、文件夹或网站中搜索 (关键字 (keyword) 或短语。 若要搜索包含特殊字符的文本，请将特殊字符替换为关键字 (keyword) 搜索中的星号 (*) 。 例如，若要搜索 test_search_document，请使用 test*search*document。

      重要

      在 “关键字搜索 ”字段中输入的术语仅在审核 通用架构) 中搜索索引内容 (内容。 审核日志中的审核 数据内容 不会搜索这些关键字。

   3. 管理员单位：选择下拉列表以显示希望审核活动范围限定为搜索的管理单元。 可以选择一个或多个管理单元，将搜索范围限定为 。 将此框留空可返回组织中所有管理单元的条目。

   4. 活动 - 友好名称：选择下拉列表以显示可搜索的已审核活动的友好名称。 用户和管理员活动的友好名称被组织成相关活动的组。 使用友好名称，可以选择特定的已审核活动，也可以选择活动组名称以选择组中的所有活动。 也可以选择已选活动以取消选择。 若要搜索列表中活动的友好名称，请使用列表上方的搜索框。

   5. 活动 - 操作名称：输入确切的操作名称，以搜索要包含在搜索结果中的已审核活动。 可以输入一个或多个操作名称，用逗号分隔。 此搜索条件类似于以前仅在 PowerShell 中提供的搜索，并且提供了更大的灵活性，可帮助你查找所需的数据。

      重要

      必须完全按照名称输入操作名称。 如果输入的操作名称不正确，则不会返回任何结果。

      例如，要搜索与为组织中的 SharePoint 网站启用和禁用信息屏障相关的所有活动，需要：

      • 查看 审核活动 一文，查找要搜索的信息屏障活动的确切操作名称。 在此 示例中，操作名称为 SPOIBIsEnabled 和 SPOIBIsDisabled。
      • 在操作搜索字段中输入 SPOIBIsEnabled，SPOIBIsDisabled 。 建议将操作名称直接从项目复制并粘贴到操作搜索字段，以确保正确输入操作名称且没有拼写错误。

   6. 记录类型：选择下拉列表以显示可搜索的已审核活动的记录类型。 可以选择一个或多个要搜索的记录类型。 若要在列表中搜索记录类型，请使用列表上方的搜索框。
      
      特定 记录类型 与特定的Microsoft服务和应用程序相关联。 例如，如果要将搜索范围限定为与 Microsoft Purview 信息保护 (MIP) 敏感度标签关联的特定记录类型，可以从列表中选择 MIPLabel、MipAutoLabelExchangeItem、MipAutoLabelSharePointItem 和 MipAutoLabelSharePointPolicyLocation 记录类型。

   7. 搜索名称：输入搜索作业的自定义名称。 此名称用于在搜索作业历史记录中标识搜索作业。 如果未输入名称，将使用为搜索定义的日期和时间值和其他定义的搜索条件值的组合自动命名搜索作业。

   8. 用户：选择此字段并选择要显示搜索结果的一个或多个用户的名称。 由你在此框中所选用户执行的所选活动的审核日志项目将显示在结果列表中。 将此框留空以返回组织中所有用户（和服务帐户）的条目。

   9. 文件、文件夹或站点：输入部分或全部文件或文件夹名称，以搜索与包含指定关键字 (keyword) 的文件夹文件相关的活动。 此搜索条件返回相应文件、文件夹和网站的所有相关结果。 你还可以指定文件或文件夹的 URL。 如果使用 URL，请确保键入完整的 URL 路径，或者如果键入 URL 的一部分，则不包含任何特殊字符或空格 (但是，) 支持使用通配符 (*) 。 将此框留空以返回组织中所有文件和文件夹的条目。

   10. 工作负载：输入或搜索工作负载服务，以搜索与所选工作负载相关的活动。 输入工作负荷的名称以跳转到列表中的工作负载，或滚动到要选择的工作负载。

5. 选择“ 搜索 ”以启动搜索作业。 一个用户帐户最多可以并行运行 10 个搜索作业。 如果用户需要 10 个以上的搜索作业，则必须等待 正在进行 作业完成或删除搜索作业。

搜索作业仪表板

活动搜索作业和已完成的搜索作业显示在搜索作业仪表板中。 仪表板为每个搜索作业显示以下信息：

• 搜索名称：搜索作业的名称。 通过将光标悬停在搜索作业名称上，可以看到作业的完整搜索名称。
• 作业状态：搜索作业的状态。 状态可以是 “已排队”、“ 正在进行”或 “已完成”。
• 进度 (%) ：已完成搜索作业的百分比。
• 搜索时间：完成搜索作业所经过的总运行时间。
• 结果总数：搜索作业返回的结果总数。
• 创建时间：以 UTC 格式创建搜索作业的日期和时间。
• 搜索执行者：创建搜索作业的用户帐户。

通过选择作业，然后在命令栏上选择 “删除” 来删除搜索作业。 删除搜索作业不会删除与搜索关联的后端数据。 它仅删除搜索作业定义和关联的搜索结果。

若要复制现有搜索作业的搜索条件，请选择该作业，然后在命令栏上选择“ 复制此搜索 ”。 搜索条件将复制到搜索页，你可以根据需要修改新搜索的搜索条件。

搜索作业详细信息仪表板

若要查看有关搜索作业的详细信息，请选择搜索作业。 作业中的项总数包含在仪表板的顶部。 总结果数会扣除重复项，这就是为什么它可能小于搜索作业仪表板项数的原因。

搜索作业详细信息仪表板显示有关在搜索作业结果中收集的各个项的以下信息：

• 日期 (UTC) ：活动的发生日期和时间。
• IP 地址：用于执行活动的设备的 IP 地址。
• 用户：执行活动的用户帐户。
• 记录类型：与活动关联的记录类型。
• 活动：已执行的活动的友好名称。
• 项目：活动所针对的文件、文件夹或站点的名称。
• 管理员单位：执行活动的用户帐户所属的管理单元。
• 详细信息：有关活动的其他详细信息。

可以使用列标题对搜索作业项进行排序，或使用筛选器窗格创建自定义筛选器。 使用筛选器筛选任何仪表板列条件的特定值的搜索作业项。 若要将所有搜索作业项导出到 .csv 文件，请在命令栏上选择“ 导出 ”。 对于审核 (标准版) ，导出支持最多 50 KB 的结果 (500,000 行，) 审核 (高级) 。

选择特定活动，在浮出窗口中查看有关该活动的更多详细信息。 浮出窗口显示有关活动的其他信息。

使用管理单元限定对审核日志的访问范围

搜索审核日志的权限范围取决于在合规性门户中分配给访问审核日志的用户的管理单元。 受限管理员只能在其管理单元范围内搜索和导出用户生成的审核日志。 不受限制的管理员有权访问所有审核日志，包括由非用户帐户和系统帐户生成的日志。 若要从任何Microsoft服务（包括 Exchange 邮箱活动日志）访问作用域内活动日志，请使用 Search-UnifiedAuditLog cmdlet。

分配给管理员的管理员单位	管理员单位可用于执行范围搜索	访问搜索和导出审核日志
无 (默认) ：不受限制的管理员	所有管理单元都可用	访问来自任何用户、非用户或系统帐户的所有活动日志。
一个或多个管理单元：受限管理员	只有分配给管理员的管理单元可用	从具有匹配管理单元分配的用户访问活动日志。

只有 不受限制的管理员执行的搜索查询才能访问以下审核活动。我们正在努力确保受限制的管理员查询时可以访问这些日志。若要查看这些活动的审核日志的完整列表，请使用不受限制的管理员帐户提交搜索请求。

服务	操作
Azure 信息保护	发现
Dynamics 365	CrmDefaultActivity
终结点数据丢失防护	FileCreated FileCreatedOnNetworkShare FileCreatedOnRemovableMedia FileDeleted
Exchange	Set-Mailbox Set-MailboxPlan SupervisionBulkEmailExclusion
Microsoft Forms	ViewRuntimeForm

有关管理单元的详细信息，请参阅Microsoft Purview 合规门户中的权限。