使用经典搜索搜索审核日志

重要

从 2023 年 10 月开始，经典搜索将停用，取代 新搜索，其中包括更快的搜索时间、其他搜索选项、保存搜索功能等增强功能。

在搜索审核日志之前

在开始搜索审核日志之前，请务必查看以下项。

• 默认情况下，Microsoft 365 和 Office 365 企业版组织开启审核日志搜索。 若要验证审核日志搜索是否已打开，可以在 Exchange Online PowerShell 中运行以下命令：

  Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
  

  UnifiedAuditLogestionEnabled 属性的 True 值表明已打开审核日志搜索。 有关详细信息，请参阅 打开或关闭审核日志搜索。

  重要

  请务必在 Exchange Online PowerShell 中运行上一个命令。 尽管安全性&合规性 PowerShell 中也提供了 Get-AdminAuditLogConfig cmdlet，但 UnifiedAuditLogIngestionEnabled 属性始终False为 ，即使审核日志搜索处于打开状态也是如此。

• 必须在合规性门户中分配“审核管理员”或“审核读取者”角色组， (预览) 或Exchange Online中的“仅查看审核日志”或“审核日志”角色才能搜索审核日志。 默认情况下，这些角色是在 Exchange 管理中心中的“权限”页上被分配给“合规性管理”和“组织管理”角色组。 Office 365 和 Microsoft 365 中的全局管理员将自动添加为 Exchange Online 的“组织管理”角色组成员。 若要使用户能够使用最低级别的特权搜索审核日志，可以在 Exchange Online 创建自定义角色组，添加“仅查看审核日志”或“审核日志”角色，然后将该用户添加为新角色组的成员。 有关详细信息，请参阅在 Exchange Online 中管理角色组。

• 当用户或管理员执行审核活动时，将生成审核记录并将其存储在组织的审核日志中。 保留审核记录（并且可在审核日志中搜索）的时间长度取决于你的 Office 365 或 Microsoft 365 企业版订阅，具体而言是分配给特定用户的许可证类型。

  • 对于分配了 Office 365 E5 或 Microsoft 365 E5 许可证的用户（或拥有 Microsoft 365 E5 合规版或 Microsoft 365 E5 电子数据展示和审核附加许可证的用户），Azure Active Directory、Exchange 和 SharePoint 活动的审核记录默认保留一年。 此外，组织还可以创建审核日志保留策略，以便将其他服务中的活动的审核记录保留最长一年时间。 有关详细信息，请参阅管理审核日志保留策略。

    注意

    如果组织参与了审计记录保留一年的个人预览版计划，则在正式发布日期之前产生的审核记录的保留期限不会被重置。

  • 对于分配有任何其他（非E5）Office 365 或 Microsoft 365 许可证的用户，审核记录将保留90天。 有关支持统一审核日志记录的Office 365和 Microsoft 365 订阅的列表，请参阅审核 (标准) 和审核 (高级) 的订阅要求。

    注意

    即使默认情况下启用邮箱审核，你可能会注意到，某些用户的邮箱审核事件在合规性门户的审核日志搜索中或通过Office 365管理活动 API 找不到。 有关详细信息，请参阅有关邮箱审核日志记录的详细信息。

• 如果要关闭组织的审核日志搜索，可以在 Exchange Online PowerShell 中运行以下命令：

  Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
  

  若要再次打开审核搜索，可在 Exchange Online PowerShell 中运行以下命令：

  Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
  

  有关详细信息，请参阅关闭审核日志搜索。

• 用于搜索审核日志的基础 cmdlet 是一个 Exchange Online cmdlet，即 Search-UnifiedAuditLog。 这意味着可使用此 cmdlet 搜索审核日志，而不是使用合规性门户中的 审核 页面上的搜索工具。 必须在 Exchange Online PowerShell 中运行此 cmdlet。 有关详细信息，请参阅 Search-UnifiedAuditLog。

  有关将 Search-UnifiedAuditLog cmdlet 所返回的搜索结果导出到 CSV 文件的信息，请参阅导出、配置和查看审核日志记录中的“有关导出和查看审核日志的提示”部分。

• 若想以编程方式从审核日志下载数据，建议使用 Office 365 管理活动 API，而不是使用 PowerShell 脚本。 Office 365 管理活动 API 是一项 REST Web 服务，可用于为组织制定操作、安全和合规性监视解决方案。 有关详细信息，请参阅 Office 365 管理活动 API 参考。

• Azure Active Directory (Azure AD) 是 Microsoft 365 的目录服务。 统一审核日志包含用户、组、应用程序、域以及在 Microsoft 365 管理中心 或 Azure 管理门户中执行的目录活动。 有关 Azure AD 事件的完整列表，请参阅 Azure Active Directory 审核报告事件。

• Microsoft 不保证在发生事件之后的特定时间，以便在审核日志搜索结果中返回相应的审核记录。 对于核心服务（如 Exchange、SharePoint、OneDrive 和 Teams），审核记录可用性通常在事件发生后 60 到 90 分钟。 对于其他服务，审核记录可用性可能会更长。 但是，一些不可避免的问题（例如服务器中断）可能会在审核服务外部发生，导致审核记录的可用性延迟。 因此，Microsoft 不会提交到特定时间。

• 若要在审核日志中搜索 Power BI 活动，则必须在 Power BI 管理门户中启用审核。 有关说明，请参阅 Power BI 管理门户中的“审核日志”部分。

搜索审核日志

下面介绍在 Microsoft 365 中搜索审核日志的流程。

• 步骤 1：运行审核日志搜索
• 步骤 2：查看搜索结果
• 步骤 3：将搜索结果导出到文件

步骤 1：运行审核日志搜索

1. 转到 https://compliance.microsoft.com 并登录。

   提示

   使用专用浏览会话（而不是常规会话）来访问合规性门户，因为它会阻止你使用当前登录时使用的凭据。 若要在 Microsoft Edge 中打开 InPrivate 浏览会话，或在 Google Chrome（称为隐身窗口）中打开专用浏览会话，请按住 CTRL+SHIFT+N。

2. 在合规性门户的左窗格中，选择“ 审核”。

   将显示“审核”页。

   

   注意

   如果显示“开始记录用户和管理员活动”链接，请选择该链接以打开审核。 如果未看到此链接，则已为你的组织开启审核。

3. 在“ 经典搜索 ”选项卡上，配置以下搜索条件：

   1. “开始日期”和“结束日期”：默认选择了过去七天。 选择日期和时间范围，以显示在这段时间内发生的事件。 日期和时间以协调世界时 (UTC) 显示。 可指定的最大日期范围为 90 天。 如果所选日期范围超过 90 天，将显示错误。

   提示

   如果要使用为期 90 天的最大日期范围，请选择当前时间作为“开始日期”。 否则，你将收到说明开始日期早于结束日期的错误消息。 如果你在过去 90 天内打开了审核，则最大日期范围不能从打开审核的日期之前开始。

   2. 活动：选择下拉列表以显示可搜索的活动。 已将用户和管理员活动整理到相关活动组中。 可以选择特定活动，或选择活动组名称以选择该组中所有活动。 也可以选择已选活动以取消选择。 运行搜索后，仅将显示所选活动的审核日志项目。 选择“显示所有活动的结果”将显示由所选用户或用户组执行的所有活动的结果。
      
      审核日志中记录了超过 100 个用户和管理员活动。 请参阅 审核日志活动 一文，了解每个不同服务中每个活动的说明。

   3. 用户：在此框中选择，然后选择一个或多个要显示其搜索结果的用户。 由你在此框中所选用户执行的所选活动的审核日志项目将显示在结果列表中。 将此框留空以返回组织中所有用户（和服务帐户）的条目。

   4. “文件、文件夹或网站”：键入部分或完整的文件或文件夹名称，搜索与包含指定关键字的文件夹文件相关的活动。 你还可以指定文件或文件夹的 URL。 如果使用 URL，请确保键入完整的 URL 路径，或者如果键入 URL 的一部分，则不包含任何特殊字符或空格 (但是，) 支持使用通配符 (*) 。
      
      将此框留空以返回组织中所有文件和文件夹的条目。

   提示

   • 如果要查找与网站相关的所有活动，请在 URL 后面添加通配符 (*) 以返回该网站的所有条目;例如 。 "https://contoso-my.sharepoint.com/personal*"

   • 如果要查找与文件相关的所有活动，请在文件名前面添加通配符 (*) ，以返回该文件的所有条目;例如 。 "*Customer_Profitability_Sample.csv"

4. 选择“搜索”以使用搜索条件运行搜索。

   将加载搜索结果，几分钟后，它们将显示在新页面上。 完成搜索后会显示找到的结果数。 最多以 150 个事件为增量显示 50，000 个事件。 如果超过 50，000 个事件符合搜索条件，则仅显示返回的 50，000 个未排序事件。

   

有关搜索审核日志的提示

• 可以通过选择活动名称选择要搜索的特定活动。 或者，可以通过选择组名称来搜索组 (（例如 文件和文件夹活动) ）中的所有活动。 如果选择了某活动，可以选择该活动以取消选择。 还可以使用搜索框显示包含所键入关键字的活动。

  

• 必须选择“活动”列表中的“显示所有活动的结果”才能显示 Exchange 管理员审核日志中的条目。 此审核日志中的事件将在结果的“活动”列中显示 cmdlet 名称（例如 Set-Mailbox）。 有关详细信息，请选择本文中的“ 审核活动 ”选项卡，然后选择“ Exchange 管理活动”。

  同样，某些审核活动在“活动”列表中没有相应项目。 如果知道这些活动的操作名称，则可以搜索所有活动，然后在将搜索结果导出到 CSV 文件后筛选操作。

• 选择“清除”以清除当前搜索条件。 日期范围返回到默认值（过去七天）。 还可以选择“ 全部清除”以显示所有活动的结果 ，以取消所有选定的活动。

• 如果找到了 5,000 条结果，则可以假定可能存在超过 5,000 个符合搜索条件的事件。 可以优化搜索条件并重新运行搜索以返回更少的结果，也可以通过选择“导出结果下载所有结果”来导出 50，000 个>搜索结果。

步骤 2：查看搜索结果

审核日志搜索结果会显示在“审核日志搜索”页中的“结果”下。 如上文所述，最多显示 5,000 个最新事件（每次加载 150 个）。 使用滚动条或按Shift + End显示接下来的 150 个事件。

结果包含有关搜索返回的每个事件的以下信息：

• 日期：事件发生时) UTC (日期和时间。

• “IP 地址”：记录活动时所用设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。

  注意

  对于某些服务，此字段中显示的值可能是代表用户调用服务的受信任应用程序（例如，Web 应用上的 Office）的 IP 地址，而不是执行活动的人员所使用设备的 IP 地址。 此外，对于针对 Azure Active Directory 相关事件的管理员活动（或由系统帐户执行的活动），未记录 IP 地址，此字段中显示的值为 null。

• 用户：执行触发事件的操作的用户（或服务帐户）。

• “活动”：用户执行的活动。 此值对应于你在“活动”下拉列表中选定的活动。 对于来自 Exchange 管理员审核日志的事件，此列中的值为 Exchange cmdlet。

• “项目”：由于相应活动而创建或修改的对象。 例如已查看或修改的文件或已更新的用户帐户。 并非所有活动在此列中都具有值。

• “详细信息”：有关活动的其他详细信息。 同样，并非所有活动均具有值。

提示

选择“结果”下的列标题对结果进行排序。 可以将结果按从 A 到 Z 或从 Z 到 A 的顺序排序。选择“日期”标题以将结果按从旧到新或从新到旧的顺序排序。

查看特定事件的详细信息

可以通过选择搜索结果列表中的事件记录查看有关事件的更多详细信息。 此时将显示包含事件记录的详细属性的“浮出”页。 显示的属性取决于其中发生事件的服务。

步骤 3：将搜索结果导出到文件

可以将审核日志搜索的结果导出到本地计算机上的逗号分隔值 (CSV) 文件。 可以在 Microsoft Excel 中打开此文件，然后使用搜索、排序、筛选和将（包含多个属性的）单列拆分为多列等功能。

1. 运行审核日志搜索，然后修订搜索条件直到获得所需结果。

2. 在搜索结果页上，选择 “导出>下载所有结果”。

   审核日志中满足已导出到 CSV 文件的搜索条件的所有条目。 审核日志中的原始数据保存到 CSV 文件。 审核日志条目中的其他信息包含在 CSV 中名为 AuditData 的列中。

   重要

   你可以将最多 50,000 个条目从单个审核日志搜索中下载到 CSV 文件。 如果下载了 50,000 个条目到 CSV 文件，则可以假定可能存在超过 50,000 个符合搜索条件的事件。 若要导出的条目超出此限制，请尝试使用日期范围以减少审核日志项目。 你可能需要使用更小日期范围运行多个搜索来导出超过 50,000 个条目。

3. 导出过程完成后，窗口顶部会显示一条消息，提示你打开 CSV 文件并将其保存到本地计算机。 还可以访问“下载”文件夹中的 CSV 文件。

有关导出和查看审核日志搜索结果的详细信息

• 下载所有搜索结果时，CSV 文件包含列 CreationDate、UserIds、Operations、AuditData。 AuditData 列包含有关每个事件的其他信息 (类似于在合规门户查看搜索结果时浮出控件页面上显示的详细信息)。 此列中的数据由一个 JSON 对象组成，其中包含审核日志记录中的多个属性。 JSON 对象中的每个 property:value 对均由逗号分隔。 你可以使用 Excel 中的 Power Query 编辑器的 JSON 转换工具将“AuditData”列拆分为多个列，以使 JSON 对象中的每个属性具有自己的列。 这让你能够对一个或多个属性进行排序和筛选。 有关使用 Power Query 编辑器转换 JSON 对象的分步说明，请参阅导出、配置和查看审核日志记录。

  拆分“AuditData”列后，你可以对“操作”列进行筛选以显示特定类型活动的详细属性。

• 下载（包含来自不同服务的事件的）搜索查询的所有结果时，CSV 文件中的“AuditData”列将含有不同属性，具体取决于在哪种服务中执行操作。 例如，来自 Exchange 和 Azure AD 审核日志的条目包含一个名为 ResultStatus 的属性，它指示操作是否成功。 来自 SharePoint 的事件不包含此属性。 类似地，SharePoint 事件具有用于标识文件和文件夹相关活动的网站 URL 的属性。 若要缓和此行为，建议使用多个搜索导出单个服务中活动的结果。

  有关下载所有结果时 CSV 文件的“AuditData”列中所列各个属性的说明以及每个属性适用的服务，请参阅审核日志中的属性详细信息。

限定对审核日志的访问范围

搜索审核日志的权限范围取决于在合规性门户中分配给访问审核日志的用户的管理单元。 受限管理员只能在其管理单元范围内搜索和导出用户生成的审核日志。 不受限制的管理员有权访问所有审核日志，包括由非用户帐户和系统帐户生成的日志。

分配给管理员的管理员单位	管理员单位可用于执行范围搜索	访问搜索和导出审核日志
无 (默认) ：不受限制的管理员	所有管理单元都可用	访问来自任何用户、非用户或系统帐户的所有活动日志。
一个或多个管理单元：受限管理员	只有分配给管理员的管理单元可用	从具有匹配管理单元分配的用户访问活动日志。

注意

Search-MailboxAuditLog 和 Search-AdminAuditLog cmdlet 当前不支持作用域访问。 使用这些 cmdlet 的搜索请求始终包含来自 Exchange 的无作用域活动日志，即使执行搜索的用户是作用域内管理员也是如此。若要从任何 Microsoft 服务（包括 Exchange 邮箱活动日志）访问作用域内活动日志，请使用 Search-UnifiedAuditLog cmdlet。

只有 不受限制的管理员执行的搜索查询才能访问以下审核活动。我们正在努力确保受限制的管理员查询时可以访问这些日志。若要查看这些活动的审核日志的完整列表，请使用不受限制的管理员帐户提交搜索请求。

服务	操作
Azure 信息保护	发现
Dynamics 365	CrmDefaultActivity
终结点数据丢失防护	FileCreated FileCreatedOnNetworkShare FileCreatedOnRemovableMedia FileDeleted
Exchange	Set-Mailbox Set-MailboxPlan SupervisionBulkEmailExclusion
Microsoft Forms	ViewRuntimeForm

有关管理单元的详细信息，请参阅Microsoft Purview 合规门户中的权限。

常见问题解答

目前审核的各种 Microsoft 365 服务有哪些？

已审核最常用的服务，例如 Exchange Online、SharePoint Online、OneDrive for Business、Azure Active Directory、Microsoft Teams、Dynamics 365、Defender for Office 365 和 Power BI。 有关已审核的服务列表，请参阅本文开头部分。

Microsoft 365 中的审核服务审核哪些活动？

有关 已审核活动 的列表和说明，请参阅审核日志活动一文。

审核记录在事件发生后的多长时间内可用？

大多数审核数据在 60-90 分钟内可用，但在事件发生后最多可能需要 24 小时，相应的审核日志条目才会显示在搜索结果中。 请参阅本文 的“搜索审核日志之前 ”部分，其中显示了不同服务中的事件可用所花费的时间。

审核记录将保留多长时间？

正如前面所述，分配了 Office 365 E5 或 Microsoft E5 许可证的用户（或者拥有 Microsoft 365 E5 附加许可证的用户）所执行活动的审核记录将保留一年。 对于支持统一审核日志记录的所有其他订阅，审核记录将保留 90 天。

我是否可以通过编程方式访问审核数据？

是。 Office 365 管理活动 API 用于以编程方式获取审核日志。 若要开始使用，请参阅 Office 365 管理 API 入门。

除了使用安全与合规门户或 Office 365 管理活动 API 之外，是否还有其他方法可以获取审核日志?

是的，可以使用以下方法检索审核日志：

• Office 365 管理活动 API。
• Microsoft Purview 合规性门户中的审核日志搜索工具。
• Exchange Online PowerShell 中的 Search-UnifiedAuditLog cmdlet。

是否需要在每个要捕获审核日志的服务中单独启用审核？

在大多数服务中，在首次为组织启用审核后将默认启用审核功能（如本文搜索审核日志之前部分所述）。

审核服务是否支持记录重复数据删除？

否。 审核服务管道几乎是实时的，因此不支持重复数据删除。

审核数据储存在哪里?

我们目前在 NA（北美）、EMEA（欧洲、中东和非洲）和 APAC（亚太地区）进行了审核管道部署。 驻留在这些区域中的租户的审核数据存储在区域中。 对于多地理位置租户，从租户的所有区域收集的审核数据将仅存储在租户主区域中。 但是，我们可能会使数据跨这些区域流动以实现负载平衡，并且仅在现场出现问题时才会这样做。 当我们执行这些活动时，传输中的数据会被加密。

审核数据是否已加密？

审核数据存储在部署统一审核管道的同一区域内的 Exchange 邮箱中（静态数据）。 Exchange 不会加密邮箱静态数据。 但是，服务级加密将对所有邮箱数据进行加密，因为 Microsoft 数据中心内的 Exchange 服务器将通过 BitLocker 加密。 有关详细信息，请参阅 适用于 Skype for Business 的 Microsoft 365 加密、OneDrive for Business、SharePoint Online 和 Exchange Online。

传输中的数据始终是加密的。