搜尋稽核記錄
搜尋 Microsoft Purview 稽核 (Standard) 和 Audit (Premium) 讓貴組織能夠存取重要的稽核記錄事件數據,以深入瞭解並進一步調查用戶活動。
- 透過合規性入口網站起始的搜尋作業不再需要網頁瀏覽器視窗保持開啟才能完成。 即使瀏覽器視窗關閉,這些工作仍然會繼續執行。
- 已完成的搜尋作業現在會儲存 30 天,讓您能夠參考歷史稽核搜尋。
- 每個系統管理員稽核帳戶使用者最多可以有10個進行中的並行搜尋作業,最多只能有一個未篩選的搜尋作業。
開始搜尋稽核記錄之前,請務必檢閱下列專案。
預設會開啟適用於 Microsoft 365 和 Office 365 企業組織的 [稽核記錄搜尋]。 若要確認稽核記錄搜尋已開啟,您可以在 Exchange Online PowerShell 中執行下列命令:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
UnifiedAuditLogIngestionEnabled 屬性為 True
值表示已開啟 [稽核記錄搜尋]。 如需詳細資訊,請參閱開啟或關閉稽核記錄搜尋。
重要
請務必在 Exchange Online PowerShell 中執行先前的命令。 雖然 Get-AdminAuditLogConfig Cmdlet 也可在 Security & Compliance PowerShell 中使用,但 UnifiedAuditLogIngestionEnabled 屬性一律 False
為 ,即使開啟稽核記錄搜尋也一樣。
您必須在 Microsoft Purview 入口網站中指派稽核記錄或僅檢視稽核記錄角色,或 Microsoft Purview 合規性入口網站 搜尋稽核記錄。 根據預設,這些角色會指派給合規性入口網站中 [許可權] 頁面上的 [稽核管理員] 和 [稽核讀取者] 角色群組。 如需詳細資訊, 請參閱開始使用稽核解決方案。 若要存取稽核 Cmdlet,您必須在 Exchange 系統管理中心指派稽核 記錄 或 僅檢視稽核記錄 角色。 您也可以將僅限 檢視稽核記錄 或 稽 核記錄角色新增至自定義角色群組,以建立能夠搜尋稽核記錄的自定義角色群組。
如需詳細資訊,請參閱:
當使用者或系統管理員執行稽核的活動時,稽核記錄會隨即產生,並儲存在您組織的稽核記錄中。 稽核記錄的保留時間及可在稽核記錄中搜尋的時間長度,取決於您的 Office 365 或 Microsoft 365 企業版訂閱,具體來說,取決於指派給特定使用者的授權類型。
針對指派 Office 365 E5 或 Microsoft 365 E5 授權 (或具有 Microsoft 365 E5 合規性 或 Microsoft 365 E5 電子檔探索和稽核附加元件授權) 的使用者,稽核 Microsoft Entra ID根據預設,、Exchange 和 SharePoint 活動會保留一年。 組織也可建立稽核記錄保留原則,以保留其他服務中的活動稽核記錄,最長一年。 如需詳細資訊,請參閱管理稽核記錄保留原則。
注意
如果您的組織有參與一年期稽核記錄保留的私人預覽計畫,則將不會重設一般發行日期之前產生的稽核記錄保留期間。
針對指派任何其他 (非 E5) Office 365 或Microsoft 365 授權的使用者,稽核記錄會保留 180 天。 如需支持統一稽核記錄的 Office 365 和Microsoft 365 訂用帳戶清單,請參閱稽核 (標準) 和稽核 (進階) 的訂用帳戶需求。
重要
稽核 (標準) 的預設保留期限已從 90 天變更為 180 天。 稽核 (2023 年 10 月 17 日之前產生的標準) 記錄會保留 90 天。 稽核 (2023 年 10 月 17 日或之後產生的標準) 記錄會遵循 180 天的新預設保留期。
注意
即使默認開啟信箱稽核,您可能會注意到某些使用者的信箱稽核事件在合規性入口網站或透過 Office 365 管理活動 API 的稽核記錄搜尋中找不到。 如需詳細資訊,請參閱信箱稽核記錄的相關資訊。
如果您要關閉組織的稽核記錄搜尋,您可以在 Exchange Online PowerShell 中執行下列命令:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
若要再次開啟稽核搜尋,您可以在 Exchange Online PowerShell 中執行下列命令:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
如需詳細資訊,請參閱關閉稽核記錄搜尋。
用來搜尋稽核記錄的基礎 Cmdlet 是 Exchange Online Cmdlet,也就是 Search-UnifiedAuditLog。 這表示您可以使用此 Cmdlet 來搜尋稽核記錄,而不是使用合規性入口網站的 [稽核] 頁面上的搜尋工具。 您必須在 Exchange Online PowerShell 中執行此 Cmdlet。 如需詳細資訊,請參閱 Search-UnifiedAuditLog。
若要了解如何將 Search-UnifiedAuditLog Cmdlet 所傳回的搜尋結果匯出為 CSV 檔案,請參閱匯出、設定及檢視稽核記錄檔的記錄中的<匯出及檢視稽核記錄的秘訣>一節。
如果您想要以程式設計方式從稽核記錄下載資料,我們建議您使用 Office 365 管理活動 API,而非使用 PowerShell 指令碼。 Office 365 管理活動 API 是一個 REST Web 服務,可用於為貴組織開發作業、安全性以及合規性的監控解決方案。 如需詳細資訊,請參閱 Office 365 管理活動 API 參考。
Microsoft Entra ID 是 Microsoft 365 的目錄服務。 整合的稽核記錄包含 Microsoft 365 系統管理員中心或 Azure 管理入口網站中執行的使用者、群組、應用程式、網域及目錄活動。 如需 Microsoft Entra 事件的完整清單,請參閱 Microsoft Entra 稽核報告事件。
Microsoft 不保證在發生事件之後的特定時間,稽核記錄搜尋的結果中會傳回對應的稽核記錄。 針對核心服務 (例如 Exchange、SharePoint、OneDrive和Teams),稽核記錄可用性通常是在事件發生後的 60 到 90 分鐘。 對於其他服務,稽核記錄可用性可能會更長。 不過,有些無法避免的問題 (例如伺服器中斷) 可能會在延遲稽核記錄可用性的稽核服務之外發生。 基於這個理由,Microsoft 不會承諾特定時間。
若要在稽核記錄中搜尋 Power BI 活動,您必須在 Power BI 系統管理員入口網站中啟用稽核功能。 如需相關指示,請參閱 Power BI 系統管理員入口網站中的<稽核記錄>一節。
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
完成下列步驟以開始使用搜尋:
登入 Microsoft 入口網站。
選取 [ 稽核 解決方案] 卡片。 如果未顯示稽核解決方案卡片,請選取 [檢視所有解決方案],然後從 [核心] 區段選取 [稽核]。
在 [ 搜尋] 頁面上,視需要設定下列搜尋準則:
UTC) (日期和時間範圍 :預設會選取過去七天。 選取日期和時間範圍,以顯示該期間內已發生的事件。 日期和時間會以國際標準時間 (UTC) 顯示。 您可以指定的最大日期範圍是 180 天。 如果選取的日期範圍大於180天,則會顯示錯誤。
提示
如果您使用的日期範圍上限為 180 天,請選取 [開始日期] 的目前時間。 否則,您會收到一則表示開始日期早於結束日期的錯誤。 如果您已在過去 180 天內開啟稽核,則在開啟稽核的日期之前,無法開始最大日期範圍。
關鍵詞搜尋:輸入要在稽核記錄中搜尋的關鍵詞或詞組。 如果指定搜尋) ,則會在稽核記錄檔或檔案、資料夾或網站中搜尋關鍵詞或片語 (。 若要搜尋包含特殊字元的文字,請將特殊字元取代為關鍵詞搜尋中的星號 (*) 。 例如,若要搜尋 test_search_document,請使用 test*search*document。
重要
在 [關鍵詞搜尋 ] 字段中輸入的字詞只會在 [稽核 通用 架構]) 內的索引內容 (內容中搜尋。 稽核記錄中的稽核 數據內容 不會搜尋這些關鍵詞。
管理員 單位:選取下拉式清單,以顯示您想要將稽核活動範圍設為搜尋範圍的管理單位。 您可以選取一或多個管理單位來設定搜尋範圍。 將此方塊保留空白,以傳回組織中所有管理單位的專案。
活動 - 易記名稱:選取下拉式清單,以顯示您可以搜尋之稽核活動的易記名稱。 用戶和系統管理員活動的易記名稱會組織成相關活動的群組。 使用易記名稱,您可以選取特定的稽核活動,也可以選取活動組名來選取群組中的所有活動。 您也可以選取選定的活動以清除選取。 若要搜尋清單中活動的易記名稱,請使用清單上方的搜尋方塊。
活動 - 作業名稱:輸入確切的作業名稱,以搜尋要包含在搜尋結果中的稽核活動。 您可以輸入一或多個作業名稱,並以逗號分隔。 此搜尋準則類似於先前僅在PowerShell中提供的搜尋,並提供更大的彈性來協助您尋找所需的數據。
重要
作業名稱的輸入必須與命名名稱完全相同。 如果輸入的作業名稱不正確,則不會傳回任何結果。
例如,若要搜尋與在組織中啟用和停用 SharePoint 網站資訊屏障相關的所有活動,您會:
- 檢閱 稽核活動 一文,以尋找您想要搜尋之資訊屏障活動的確切作業名稱。 在此範 例中,作業名稱是 SPOIBIsEnabled 和 SPOIBIsDisabled。
- 在作業搜尋欄位中輸入 SPOIBIsEnabled,SPOIBIsDisabled 。 建議您直接將作業名稱從文章複製並貼到作業搜尋欄位,以確保輸入正確且不輸入錯字。
記錄類型:選取下拉式清單,以顯示您可以搜尋之稽核活動的記錄類型。 您可以選取一或多個要搜尋的記錄類型。 若要在清單中搜尋記錄類型,請使用清單上方的搜尋方塊。
特定 記錄類型 會與特定Microsoft服務和應用程式相關聯。 例如,如果您想要在 Microsoft Purview 資訊保護 (MIP) 中搜尋與敏感度標籤相關聯的特定記錄類型,您可以從清單中選取 MIPLabel、MipAutoLabelExchangeItem、MipAutoLabelSharePointItem 和 MipAutoLabelSharePointPolicyLocation 記錄類型。
搜尋名稱:在搜尋作業的自訂名稱中輸入 。 此名稱可用來識別搜尋作業歷程記錄中的搜尋作業。 如果您未輸入名稱,則會使用針對搜尋和其他定義的搜尋準則值所定義的日期和時間組合,自動命名搜尋作業。
用戶:選取此欄位,然後選擇要顯示搜尋結果的一或多個用戶名稱。 結果清單會顯示您在此方塊中選取的使用者所執行的選定活動之稽核記錄項目。 若要傳回貴組織中所有使用者 (及服務帳戶) 的項目,請將此方塊保留空白。
檔案、資料夾或網站:輸入部分或所有檔案或資料夾名稱,以搜尋與包含指定關鍵詞的資料夾檔案相關的活動。 此搜尋準則會傳回對應檔案、資料夾和網站的所有相關結果。 您也可以指定檔案或資料夾的 URL。 如果您使用 URL,請確定類型為完整 URL 路徑,或如果您輸入 URL 的一部分,請勿包含任何特殊字元或空格 (不過,) 支援使用通配符 (*) 。 若要傳回貴組織中所有檔案和資料夾的項目,請將此方塊保留空白。
工作負載:輸入或搜尋工作負載服務,以搜尋與所選工作負載相關的活動。 輸入工作負載的名稱,以跳至清單中的工作負載,或捲動至您想要選取的工作負載。
選 取 [搜尋 ] 以啟動您的搜尋作業。 一個用戶帳戶最多可以平行執行10個搜尋作業。 如果使用者需要超過 10 個搜尋作業,則必須等候進行 中 作業完成或刪除搜尋作業。
完成下列步驟以開始使用搜尋:
登入 Microsoft Purview 合規性入口網站。
選取左面板上的 [ 稽核 ] 索引標籤。
選取 [稽核] 頁面頂端的 [新增搜尋] 索引卷標。
在 [ 新增搜尋] 索 引標籤上,視需要設定下列搜尋準則:
開始日期和結束日期:根據預設會選取過去七天。 選取日期和時間範圍,以顯示該期間內已發生的事件。 日期和時間會以國際標準時間 (UTC) 顯示。 您可以指定的最大日期範圍是 180 天。 如果選取的日期範圍大於180天,則會顯示錯誤。
提示
如果您使用的日期範圍上限為 180 天,請選取 [開始日期] 的目前時間。 否則,您會收到一則表示開始日期早於結束日期的錯誤。 如果您已在過去 180 天內開啟稽核,則在開啟稽核的日期之前,無法開始最大日期範圍。
關鍵詞搜尋:輸入要在稽核記錄中搜尋的關鍵詞或詞組。 如果指定搜尋) ,則會在稽核記錄檔或檔案、資料夾或網站中搜尋關鍵詞或片語 (。 若要搜尋包含特殊字元的文字,請將特殊字元取代為關鍵詞搜尋中的星號 (*) 。 例如,若要搜尋 test_search_document,請使用 test*search*document。
重要
在 [關鍵詞搜尋 ] 字段中輸入的字詞只會在 [稽核 通用 架構]) 內的索引內容 (內容中搜尋。 稽核記錄中的稽核 數據內容 不會搜尋這些關鍵詞。
管理員 單位:選取下拉式清單以顯示您想要將稽核活動範圍設為搜尋範圍的管理單位。 您可以選取一或多個管理單位來設定搜尋範圍。 將此方塊保留空白,以傳回組織中所有管理單位的專案。
活動 - 易記名稱:選取下拉式清單,以顯示您可以搜尋之稽核活動的易記名稱。 用戶和系統管理員活動的易記名稱會組織成相關活動的群組。 使用易記名稱,您可以選取特定的稽核活動,也可以選取活動組名來選取群組中的所有活動。 您也可以選取選定的活動以清除選取。 若要搜尋清單中活動的易記名稱,請使用清單上方的搜尋方塊。
活動 - 作業名稱:輸入確切的作業名稱,以搜尋要包含在搜尋結果中的稽核活動。 您可以輸入一或多個作業名稱,並以逗號分隔。 此搜尋準則類似於先前僅在PowerShell中提供的搜尋,並提供更大的彈性來協助您尋找所需的數據。
重要
作業名稱的輸入必須與命名名稱完全相同。 如果輸入的作業名稱不正確,則不會傳回任何結果。
例如,若要搜尋與在組織中啟用和停用 SharePoint 網站資訊屏障相關的所有活動,您會:
- 檢閱 稽核活動 一文,以尋找您想要搜尋之資訊屏障活動的確切作業名稱。 在此範 例中,作業名稱是 SPOIBIsEnabled 和 SPOIBIsDisabled。
- 在作業搜尋欄位中輸入 SPOIBIsEnabled,SPOIBIsDisabled 。 建議您直接將作業名稱從文章複製並貼到作業搜尋欄位,以確保輸入正確且不輸入錯字。
記錄類型:選取下拉式清單,以顯示您可以搜尋之稽核活動的記錄類型。 您可以選取一或多個要搜尋的記錄類型。 若要在清單中搜尋記錄類型,請使用清單上方的搜尋方塊。
特定 記錄類型 會與特定Microsoft服務和應用程式相關聯。 例如,如果您想要在 Microsoft Purview 資訊保護 (MIP) 中搜尋與敏感度標籤相關聯的特定記錄類型,您可以從清單中選取 MIPLabel、MipAutoLabelExchangeItem、MipAutoLabelSharePointItem 和 MipAutoLabelSharePointPolicyLocation 記錄類型。
搜尋名稱:在搜尋作業的自訂名稱中輸入 。 此名稱可用來識別搜尋作業歷程記錄中的搜尋作業。 如果您未輸入名稱,則會使用針對搜尋和其他定義的搜尋準則值所定義的日期和時間組合,自動命名搜尋作業。
用戶:選取此欄位,然後選擇要顯示搜尋結果的一或多個用戶名稱。 結果清單會顯示您在此方塊中選取的使用者所執行的選定活動之稽核記錄項目。 若要傳回貴組織中所有使用者 (及服務帳戶) 的項目,請將此方塊保留空白。
檔案、資料夾或網站:輸入部分或所有檔案或資料夾名稱,以搜尋與包含指定關鍵詞的資料夾檔案相關的活動。 此搜尋準則會傳回對應檔案、資料夾和網站的所有相關結果。 您也可以指定檔案或資料夾的 URL。 如果您使用 URL,請確定類型為完整 URL 路徑,或如果您輸入 URL 的一部分,請勿包含任何特殊字元或空格 (不過,) 支援使用通配符 (*) 。 若要傳回貴組織中所有檔案和資料夾的項目,請將此方塊保留空白。
工作負載:輸入或搜尋工作負載服務,以搜尋與所選工作負載相關的活動。 輸入工作負載的名稱,以跳至清單中的工作負載,或捲動至您想要選取的工作負載。
選 取 [搜尋 ] 以啟動您的搜尋作業。 一個用戶帳戶最多可以平行執行10個搜尋作業。 如果使用者需要超過 10 個搜尋作業,則必須等候進行 中 作業完成或刪除搜尋作業。
作用中和已完成的搜尋作業會顯示在搜尋作業儀錶板中。 儀錶板會顯示每個搜尋作業的下列資訊:
-
搜尋名稱:搜尋作業的名稱。 將游標停留在搜尋作業名稱上方,即可看到作業的完整搜尋名稱。
-
作業狀態:搜尋作業的狀態。 狀態可以是 [已排入佇列]、[ 進行中] 或 [ 已完成]。
-
進度 (%) :已完成的搜尋作業百分比。
-
搜尋時間:完成搜尋作業所經過的總運行時間。
-
總結果:搜尋作業傳回的結果總數。
-
建立時間:以 UTC 建立搜尋作業的日期和時間。
-
搜尋執行者:建立搜尋作業的用戶帳戶。
選取作業,然後在命令行上選取 [刪除],以 刪除 搜尋作業。 刪除搜尋作業並不會刪除與搜尋相關聯的後端數據。 它只會刪除搜尋工作定義和相關聯的搜尋結果。
若要複製現有搜尋作業的搜尋準則,請選取作業,然後在命令行上選取 [複製此搜尋 ]。 搜尋準則會複製到搜尋頁面,您可以視需要修改新搜尋的搜尋準則。
若要檢視搜尋作業的詳細數據,請選取搜尋作業。 工作中的項目總數會包含在儀錶板頂端。 總結果數會扣除重複專案,這就是為什麼其可能小於搜尋作業儀錶板中的項目數。
搜尋作業詳細資料儀錶板會顯示搜尋作業結果中所收集個別專案的下列資訊:
-
UTC) (日期:活動發生的日期和時間。
-
IP 位址:用來執行活動的裝置IP位址。
-
用戶:執行活動的用戶帳戶。
-
記錄類型:與活動相關聯的記錄類型。
-
活動:已執行之活動的易記名稱。
-
專案:活動所處理之檔案、資料夾或網站的名稱。
-
管理員 單位:執行活動之用戶帳戶所屬的管理單位。
-
詳細數據:活動的其他詳細數據。
您可以使用資料行標頭來排序搜尋作業專案,或使用篩選窗格建立自定義篩選。 使用篩選來篩選搜尋工作專案,以取得任何儀錶板數據行準則的特定值。 若要將所有搜尋作業項目匯出至 .csv 檔案,請選取命令行上的 [ 匯 出]。 導出支援稽核 (標準) 最多 50 KB 的結果,以及稽核 (進階) 最多 500 KB (500,000 個數據列) 。
選取特定活動,以查看飛出視窗中活動的詳細數據。 飛出視窗會顯示活動的其他相關信息。
搜尋稽核記錄的存取權是根據指派給在合規性入口網站中存取稽核記錄之使用者的管理單位來設定範圍。 受限制的系統管理員只能在其管理單位範圍內搜尋和匯出用戶產生的稽核記錄。 不受限制的系統管理員可以存取所有稽核記錄,包括非使用者和系統帳戶所產生的記錄。 若要從任何Microsoft服務存取範圍活動記錄,包括 Exchange 信箱活動記錄,請使用 Search-UnifiedAuditLog Cmdlet。
指派給系統管理員的 管理員 單位 |
管理員 可用來執行範圍搜尋的單位 |
存取搜尋和導出稽核記錄 |
無 (預設) :不受限制的系統管理員 |
所有管理單位皆可供使用 |
從任何使用者、非使用者或系統帳戶存取所有活動記錄。 |
一或多個管理單位:受限制的系統管理員 |
只有指派給系統管理員的管理單位可供使用 |
從具有相符管理單位指派的使用者存取活動記錄。 |
只有不受限制的系統 管理員所執行的搜尋查詢才能存取下列稽核活動。我們正努力確保這些記錄可在受限制的系統管理員查詢時存取。若要檢視這些活動的稽核記錄完整清單,請使用不受限制的系統管理員帳戶提交搜尋要求。
服務 |
作業 |
Azure 資訊保護 |
探索 |
Dynamics 365 |
CrmDefaultActivity |
端點資料外洩防護 |
FileCreated FileCreatedOnNetworkShare FileCreatedOnRemovableMedia FileDeleted |
Exchange |
Set-Mailbox Set-MailboxPlan SupervisionBulkEmailExclusion |
Microsoft 表單 |
ViewRuntimeForm |
如需管理單位的詳細資訊,請參閱 Microsoft Purview 合規性入口網站 中的許可權。