搜尋稽核記錄

在 Microsoft Purview 稽核 (Standard) 中搜尋，並稽核 (進階) 可讓您的組織存取重要的稽核記錄事件資料，以便您可以深入瞭解並進一步調查使用者活動。

• 您透過 Microsoft Purview 入口網站啟動的搜尋作業不需要網頁瀏覽器視窗保持開啟狀態即可完成。 即使您關閉瀏覽器視窗，這些工作仍會繼續執行。
• 系統現在會將已完成的搜尋工作保留 30 天，因此您可以回顧過去的稽核搜尋。
• 每個管理員稽核帳戶使用者最多可以同時執行 10 個搜尋工作，但限制為一個未篩選的搜尋工作。

在您搜尋稽核記錄之前

在開始搜尋稽核記錄之前，請先檢閱下列項目。

• 預設會開啟適用於 Microsoft 365 和 Office 365 企業組織的 [稽核記錄搜尋]。 若要確認已開啟稽核記錄搜尋，請在 Exchange Online PowerShell 中執行下列命令：

  Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
  

  UnifiedAuditLogIngestionEnabled 屬性為 True 值表示已開啟 [稽核記錄搜尋]。 如需詳細資訊，請參閱開啟或關閉稽核記錄搜尋。

  重要事項

  請務必在 Exchange Online PowerShell 中執行上一個命令。 雖然 Get-AdminAuditLogConfig Cmdlet 也可在安全性 & 合規性 PowerShell 中使用，但 UnifiedAuditLogIngestionEnabled 屬性一律為 False，即使已開啟稽核記錄搜尋也一樣。

• 您必須在 Microsoft Purview 入口網站中獲指派稽 核記錄 或唯 檢視稽核記錄 角色，才能搜尋稽核記錄。 如需詳細資訊，請參閱開始使用 稽核解決方案。 若要存取稽核 Cmdlet，您必須在 Exchange 系統管理中心中獲指派稽 核記錄 或唯 檢視稽核記錄 角色。 您也可以將 [ 唯檢視稽核記錄 ] 或 [ 稽核記錄 ] 角色新增至自訂角色群組，以建立自訂角色群組，以搜尋稽核記錄。 如需詳細資訊，請參閱 Microsoft Purview 入口網站中的許可權。

• 當使用者或管理員執行稽核活動時，系統會產生稽核記錄，並將其儲存在組織的稽核記錄中。 稽核記錄的保留時間及可在稽核記錄中搜尋的時間長度，取決於您的 Office 365 或 Microsoft 365 企業版訂閱，具體來說，取決於指派給特定使用者的授權類型。

  • 對於已指派Office 365 E5或Microsoft 365 E5授權 (的使用者，或具有先前稱為Microsoft 365 E5 合規性) 或Microsoft 365 E5的Microsoft Purview 套件 (的使用者電子檔探索和稽核附加元件授權) ，系統預設會將 Microsoft Entra ID、Exchange 和 SharePoint 活動的稽核記錄保留一年。 組織也可建立稽核記錄保留原則，以保留其他服務中的活動稽核記錄，最長一年。 如需詳細資訊，請參閱管理稽核記錄保留原則。

    注意事項

    如果您的組織參與了稽核記錄保留一年的私人預覽計劃，則不會重設在正式發行推出日期之前產生的稽核記錄的保留期間。

  • 對於指派任何其他 (非 E5) Office 365 或 Microsoft 365 授權的使用者，系統會保留稽核記錄 180 天。 如需支援統一稽核記錄的 Office 365 和 Microsoft 365 訂用帳戶清單，請參閱稽核 (Standard) 和稽核 (進階) 的訂用帳戶需求。

    重要事項

    稽核 (Standard) 的預設保留期間從 90 天變更為 180 天。 2023 年 10 月 17 日之前產生的稽核 (Standard) 記錄會保留 90 天。 2023 年 10 月 17 日或之後產生的稽核 (Standard) 記錄會遵循 180 天的新預設保留時間。

    注意事項

    即使預設已開啟信箱稽核，您可能會注意到，在 Microsoft Purview 入口網站或透過 Office 365 管理活動 API 的稽核記錄搜尋中找不到某些使用者的信箱稽核事件。 如需詳細資訊，請參閱信箱稽核記錄的相關資訊。

• 若要關閉組織的稽核記錄搜尋，請在 Exchange Online PowerShell 中執行下列命令：

  Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
  

  若要再次開啟稽核搜尋，請在 Exchange Online PowerShell 中執行下列命令：

  Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
  

  如需詳細資訊，請參閱關閉稽核記錄搜尋。

• 用來搜尋稽核記錄的基礎 Cmdlet 是 Exchange Online Cmdlet，也就是 Search-UnifiedAuditLog。 這表示您可以使用此 Cmdlet 來搜尋稽核記錄，而不是使用 Microsoft Purview 入口網站中 [稽核] 頁面上的搜尋工具。 您必須在 Exchange Online PowerShell 中執行此 Cmdlet。 如需詳細資訊，請參閱 Search-UnifiedAuditLog。

  若要了解如何將 Search-UnifiedAuditLog Cmdlet 所傳回的搜尋結果匯出為 CSV 檔案，請參閱匯出、設定及檢視稽核記錄檔的記錄中的＜匯出及檢視稽核記錄的秘訣＞一節。

• 若要以程式設計方式從稽核記錄下載資料，建議您使用 Office 365 管理活動 API，而不是使用 PowerShell 腳本。 Office 365 管理活動 API 是一個 REST Web 服務，可用於為貴組織開發作業、安全性以及合規性的監控解決方案。 如需詳細資訊，請參閱 Office 365 管理活動 API 參考。

• Microsoft Entra ID 是 Microsoft 365 的目錄服務。 整合的稽核記錄包含 Microsoft 365 系統管理員中心或 Azure 管理入口網站中執行的使用者、群組、應用程式、網域及目錄活動。 如需 Microsoft Entra 事件的完整清單，請參閱 Microsoft Entra 稽核報告事件。

• Microsoft 不保證在發生事件之後的特定時間，稽核記錄搜尋的結果中會傳回對應的稽核記錄。 針對核心服務 (例如 Exchange、SharePoint、OneDrive和Teams)，稽核記錄可用性通常是在事件發生後的 60 到 90 分鐘。 對於其他服務，審核記錄可用性可能會更長。 不過，部分無法避免的問題 (例如伺服器中斷) 可能會發生在審核服務之外，從而延遲審核記錄的可用性。 基於這個理由，Microsoft 不會承諾特定時間。

• 若要在稽核記錄中搜尋 Power BI 活動，您必須在 Power BI 系統管理員入口網站中啟用稽核功能。 如需相關指示，請參閱 Power BI 系統管理員入口網站中的＜稽核記錄＞一節。

開始使用搜尋

請完成下列步驟，以開始使用搜尋：

1. 登入 Microsoft Purview 入口網站。

2. 選取 稽核 解決方案卡片。 如果未顯示稽核解決方案卡片，請選取檢視所有解決方案，然後從核心區段中選取稽核。

3. 在 [搜尋 ] 頁面上，設定下列搜尋條件（視情況而定）：

   1. UTC) (日期和時間範圍 ：預設會選取過去七天。 選取日期和時間範圍，以顯示該期間內已發生的事件。 日期和時間以協調世界時 (UTC) 顯示。 您可以指定的日期範圍上限為 180 天。 如果選取的日期範圍大於 180 天，則會顯示錯誤。

      提示

      如果您使用 180 天的日期範圍上限，請選取 [ 開始日期] 的目前時間。 否則，您會收到錯誤，指出開始日期早於結束日期。 如果您在過去 180 天內開啟稽核，則日期範圍上限無法在開啟稽核的日期之前開始。

   2. 關鍵字搜尋：輸入要在稽核記錄中搜尋的關鍵字或短語。 在稽核記錄中搜尋關鍵字或片語，或在檔案、資料夾或網站 (中搜尋關鍵字或片語，如果指定) 搜尋。 若要搜尋包含特殊字元的文字，請在關鍵字搜尋中以星號 (*) 取代特殊字元。 例如，若要搜尋 test_search_document，請使用 test*search*document。

      重要事項

      在「 關鍵字搜尋 」欄位中輸入的字詞只會在索引內容 (稽核 通用結構描述) 內的內容中搜尋。 稽核記錄中的稽核 資料內容 不會搜尋這些關鍵字。

   3. 管理員單位：選取下拉式清單，以顯示您希望稽核活動範圍限定為搜尋的管理單位。 您可以選取一或多個管理單元來設定搜尋範圍。 將此方塊保留空白，以傳回組織中所有管理單位的項目。

   4. 活動 - 易記名稱：選取下拉式清單，以顯示您可以搜尋之稽核活動的易記名稱。 使用者和系統管理員活動的易記名稱會組織成相關活動群組。 您可以使用易記名稱，選取特定的稽核活動，也可以選取活動群組名稱來選取群組中的所有活動。 您也可以選取選定的活動以清除選取。 若要搜尋清單中活動的易記名稱，請使用清單上方的搜尋方塊。

   5. 活動 - 作業名稱：輸入確切的作業名稱，以搜尋要包含在搜尋結果中的稽核活動。 您可以輸入一或多個作業名稱，以逗點分隔。 此搜尋準則類似於先前僅在 PowerShell 中可用的搜尋，並提供更大的彈性，協助您尋找所需的資料。

      重要事項

      作業名稱必須完全按照其名稱輸入。 如果輸入作業名稱不正確，則不會傳回任何結果。

      例如，若要搜尋與組織中 SharePoint 網站啟用和停用資訊屏障相關的所有活動，您會：

      • 檢閱 稽核活動 文章，以尋找您要搜尋之資訊屏障活動的確切作業名稱。 在此 範例中，作業名稱為 SPOIBIsEnabled 和 SPOIBIsDisabled。
      • 在操作搜尋欄位中輸入 SPOIBIsEnabled，SPOIBIsDisabled 。 建議您將作業名稱直接從文章複製並貼上到作業搜尋欄位，以確保輸入正確且沒有拼字錯誤。

   6. 記錄類型：選取下拉式清單，以顯示您可以搜尋之稽核活動的記錄類型。 您可以選取一或多個記錄類型進行搜尋。 若要在清單中搜尋記錄類型，請使用清單上方的搜尋方塊。

      特定 記錄類型 與特定 Microsoft 服務和應用程式相關聯。 例如，如果您想要將搜尋範圍限定為與 MIP) 中敏感度標籤相關聯Microsoft Purview 資訊保護 (特定記錄類型，您可以從清單中選取 MIPLabel、MipAutoLabelExchangeItem、MipAutoLabelSharePointItem 和 MipAutoLabelSharePointPolicyLocation 記錄類型。

   7. 搜尋名稱：輸入搜尋工作的自訂名稱。 此名稱可用來在搜尋工作歷程記錄中識別您的搜尋工作。 如果您未輸入名稱，則會使用針對搜尋定義的日期和時間，以及其他已定義的搜尋準則值的組合，自動命名搜尋工作。

   8. 使用者：選取此欄位，然後選擇要顯示搜尋結果的一或多個使用者名稱。 結果清單會顯示您在此方塊中選取的使用者所執行的選定活動之稽核記錄項目。 若要傳回貴組織中所有使用者 (及服務帳戶) 的項目，請將此方塊保留空白。

   9. 檔案、資料夾或網站：輸入檔案或資料夾名稱的一部分或全部，以尋找相關活動。 這會傳回相符檔案、資料夾和網站的結果。 您也可以輸入完整的 URL 或其中的一部分，只需避免特殊字元或空格即可。 您可以使用 * 作為 URL 結尾的萬用字元。 例如，https://<tenantname>.sharepoint.com/sites/site123*。 將欄位保留空白，以查看組織中所有檔案和資料夾的活動。

   10. 工作負載：輸入或搜尋工作負載服務，以搜尋與所選工作負載相關的活動。 輸入工作負載的名稱，以跳至清單中的工作負載，或捲動至您要選取的工作負載。

4. 選取 [搜尋] 以開始您的搜尋作業。 一個使用者帳戶最多可以平行執行 10 個搜尋工作。 如果使用者需要超過 10 個搜尋工作，則必須等待進行 中 工作完成或刪除搜尋工作。

搜尋職位儀表板

搜尋工作儀表板會顯示作用中和已完成的搜尋工作。 對於每個搜尋工作，儀表板會顯示下列資訊：

• 搜尋名稱：搜尋工作的名稱。 您可以將游標移至搜尋工作名稱上，以查看工作的完整搜尋名稱。
• 工作狀態：搜尋工作的狀態。 狀態可以是 [已排入佇列]、[ 進行中] 或 [已完成]。
• 進度 (%) ：工作完成的搜尋工作百分比。
• 搜尋時間：完成搜尋工作所經過的執行時間總計。
• 結果總數：搜尋工作傳回的結果總數。
• 建立時間：搜尋工作以 UTC 為單位建立的日期和時間。
• 搜尋執行者：建立搜尋工作的使用者帳戶。

選取作業，然後選取命令列上的 刪除， 以刪除搜尋作業。 刪除搜尋工作不會刪除與搜尋相關聯的後端資料。 它只會刪除搜尋工作定義和相關聯的搜尋結果。

若要複製現有搜尋作業的搜尋準則，請選取作業，然後選取命令列上的複製此搜尋。 搜尋條件會複製到搜尋頁面，您可以視需要修改搜尋條件以進行新的搜尋。

搜尋工作詳細資料儀表板

若要檢視搜尋工作的詳細資訊，請選取搜尋工作。 儀表板會在頂端顯示工作中的項目總數。 結果總數會移除重複項，因此可能少於搜尋工作儀表板中的項目數。

搜尋工作詳細資料儀表板會顯示搜尋工作結果中收集之個別項目的下列資訊：

• Date (UTC) ：活動發生的日期和時間。
• IP 位址：用於執行活動的裝置的 IP 位址。
• 使用者：執行活動的使用者帳戶。
• 記錄類型：與活動相關聯的記錄類型。
• 活動：已執行之活動的易記名稱。
• 項目：對活動進行動作的檔案、資料夾或網站的名稱。
• 管理員單位：執行活動的使用者帳戶所屬的管理員單位。
• 詳細資料：有關活動的其他詳細資料。

您可以使用直欄標題來排序搜尋工作項目，或使用篩選窗格建立自訂篩選器。 使用篩選器來篩選搜尋工作項目，以取得任何儀表板直欄準則的特定值。 若要將所有搜尋工作項目匯出至 .csv 檔案，請選取命令列上的匯出。 匯出支援稽核 (Standard) 最多 50 KB 的結果，以及稽核 (進階) 最多 500 KB (500,000 列) 結果。

選取特定活動，以在飛出視窗中查看活動的詳細資訊。 飛出視窗會顯示活動的其他資訊。

使用管理單位設定稽核記錄的存取範圍

搜尋稽核記錄的存取權是根據 Microsoft Purview 入口網站中指派給使用者的 系統管理單位 為基礎。 受限制的系統管理員只能在其指派的管理單位範圍內搜尋和匯出使用者產生的稽核記錄。 不受限制的管理員可以存取所有稽核記錄，包括非使用者和系統帳戶產生的記錄。 若要從任何 Microsoft 服務存取範圍活動記錄，包括 Exchange 信箱活動記錄，請使用 Search-UnifiedAuditLog Cmdlet。

指派給管理員的管理單位	可用於執行範圍搜尋的管理員單位	存取搜尋和匯出稽核記錄
無 (預設) ：不受限制的管理員	所有行政單位均可用	從任何使用者、非使用者或系統帳戶存取所有活動記錄。
一或多個管理單位：受限制的管理員	只有指派給管理員的管理單位可用	存取具有相符管理單位指派之使用者的活動記錄。

只有 不受限制的系統管理員 才能透過搜尋查詢存取下列稽核活動。 我們正在努力確保這些記錄在受限制的管理員查詢時可以存取。若要檢視這些活動的稽核記錄完整清單，請使用不受限制的系統管理員帳戶提交搜尋要求。

服務	作業
Azure 資訊保護	探索
Dynamics 365	Crm預設活動
端點資料外洩防護	FileCreated FileCreatedOnNetwork共享 FileCreatedOnRemovableMedia FileDeleted
Exchange	Set-Mailbox Set-MailboxPlan SupervisionBulkEmail排除
Microsoft 表單	ViewRuntimeForm

如需系統管理單位的詳細資訊，請參閱 Microsoft Purview 入口網站中的許可權。