开始在统一审核日志中记录活动
100 XP
你已了解到默认情况下所有具有相应订阅的组织都启用了审核(标准),但仍必须开始记录。 在本练习中,你将执行以下任务:
- 使用 Purview 合规性门户审核搜索界面启用记录。
- 使用 Exchange PowerShell 检查状态并启用或禁用记录。
先决条件
- 你将需要一个具有支持 Microsoft Defender XDR 和 Microsoft Purview 的许可的 Microsoft 365 租户。
- 要运行 PowerShell cmdlet,需要配置 Cloud Shell(在 Microsoft Azure 门户或 Microsoft 365 管理中心门户中)。
备注
如果选择在本单元中执行此练习,注意可能会产生 Azure 订阅费用。 若要估算成本,请参阅 Microsoft Sentinel 定价。
使用 Purview 合规性门户开始记录审核日志
要在 Microsoft Purview 合规性门户开始记录,请选择“解决方案”下的“审核”,然后选择(蓝色水平条)“开始记录用户和管理员活动”。
提示
可以在 Microsoft Defender 门户中执行相同的步骤,如屏幕截图所示。
备注
如果“开始记录”的蓝色条不存在,则表示已启用记录。 可以使用 Exchange PowerShell cmdlet 禁用和重启记录。
使用 Exchange PowerShell 开始记录审核日志
要使用 Exchange PowerShell 开始记录,请执行以下步骤:
- 在“Microsoft Azure 门户”中,选择“Cloud Shell”图标以打开一个新的“PowerShell”会话。 如果 Cloud Shell 打开时出现 Bash 提示,则需要切换到 PowerShell。
- 在 PowerShell /home/xxx 命令提示符下,输入 Connect-EXOPSSession cmdlet 并等待它完成。 它会加载所需的所有 Exchange PowerShell cmdlet,你可以忽略任何警告消息。
- 接下来,输入 Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled cmdlet。 如果未启用记录,则会看到以下响应:UnifiedAuditLogIngestionEnabled : False(如果启用,则响应为 True)。
- 要启用记录,请输入 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true cmdlet。 你将收到以下响应:“警告:指定的管理员审核日志配置更改可能需要最多 60 分钟才能生效”。
- 几分钟后,可以重新运行 Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled cmdlet,响应将为 UnifiedAuditLogIngestionEnabled : True。
提示
可以通过运行 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false PowerShell cmdlet 来禁用审核日志记录。
完成这些步骤后,你将启用统一审核日志记录:
- 使用 Microsoft Purview 合规性门户(或 Microsoft Defender 门户)。
- 在 Cloud Shell 中使用 Exchange Online PowerShell cmdlet
检查你的工作
- 蓝色的“开始记录”条消失,可以在表单域中输入搜索条件。
- 或者,在 Azure Cloud Shell 中使用 Exchange PowerShell,“Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled”的结果为“True”。
