Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Ведение журнала аудита включено по умолчанию для организаций Microsoft 365. Однако при настройке новой организации Microsoft 365 проверьте состояние аудита вашей организации. Инструкции см. в разделе Проверка состояния аудита для вашей организации этой статьи.
При включении аудита на портале Microsoft Purview журнал аудита записывает действия пользователей и администраторов из вашей организации и автоматически сохраняет их в течение 180 дней. Хранение (время существования) для данных аудита начинается, когда они добавляются в журнал аудита и хранятся на основе политик хранения журнала аудита и лицензии, назначенной пользователям.
Важно!
Аудит по умолчанию не включен для лицензий для малого и среднего бизнеса (SMB), включая Microsoft 365 бизнес базовый, бизнес-Standard и бизнес премиум. Кроме того, для неуправляемых клиентов, использующих бесплатные пробные версии корпоративных лицензий, аудит не включен по умолчанию. В обоих случаях необходимо вручную включить аудит для организации.
Изменения в политиках лицензирования или хранения пользователей также изменяют дату окончания срока действия данных аудита.
У вашей организации могут быть причины, по которым не требуется записывать и хранить данные журнала аудита. В таких случаях глобальный администратор может отключить аудит в Microsoft 365 для вашей организации. Инструкции см. в разделе Отключение аудита этой статьи.
Важно!
Если вы отключите аудит в Microsoft 365, вы не сможете использовать API действий управления Office 365 или Microsoft Sentinel для доступа к данным аудита или журналам вашей организации. При отключении аудита поиск по журналу аудита в Microsoft Purview не возвращает результатов. Выполнение командлета Search-UnifiedAuditLog в Exchange Online PowerShell также не возвращает результатов.
Перед включением или отключением аудита
Вам должна быть назначена роль Журналы аудита в Exchange Online, чтобы включить или отключить аудит. По умолчанию эта роль выполняется в группах ролей "Управление соответствием требованиям " и "Управление организацией " на странице "Разрешения" в Центре администрирования Exchange.
- Пошаговые инструкции по поиску в журнале аудита см. в разделе Поиск в журнале аудита.
- Дополнительные сведения об API действий управления Microsoft 365 см. в статье Начало работы с API управления Microsoft 365.
Проверка состояния аудита для организации
Чтобы убедиться, что аудит включен для вашей организации, выполните следующую команду в Exchange Online PowerShell:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
Значение True свойства UnifiedAuditLogIngestionEnabled указывает, что аудит включен. Значение False указывает, что аудит не включен.
Важно!
Не забудьте выполнить предыдущую команду в Exchange Online PowerShell. Хотя командлет Get-AdminAuditLogConfig также доступен в PowerShell по обеспечению соответствия безопасности &, свойство UnifiedAuditLogIngestionEnabled всегда Falseимеет значение , даже если аудит включен.
Включение аудита
Если аудит не включен для вашей организации, включите его на портале Microsoft Purview или с помощью Exchange Online PowerShell. После включения аудита может потребоваться несколько часов, прежде чем вы сможете вернуть результаты при поиске в журнале аудита.
Чтобы включить аудит, выполните следующие действия.
- Войдите на портал Microsoft Purview.
- Выберите карта решение аудит. Если карта Решение аудита не отображается, выберите Просмотреть все решения, а затем выберите Аудит в разделе Основные.
- Если аудит не включен для вашей организации, отображается баннер с предложением начать запись действий пользователей и администраторов.
- Выберите баннер Начать запись действий пользователей и администраторов .
Чтобы изменения вступают в силу, может потребоваться до 60 минут.
Включение аудита с помощью PowerShell
Выполните следующую команду PowerShell, чтобы включить аудит.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $trueПоявится сообщение о том, что изменение может занять до 60 минут.
Отключение аудита
Используйте Exchange Online PowerShell, чтобы отключить аудит.
Выполните следующую команду PowerShell, чтобы отключить аудит.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $falseЧерез некоторое время убедитесь, что аудит отключен (отключен). Это можно сделать двумя способами:
В Exchange Online PowerShell выполните следующую команду:
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabledЗначение
Falseсвойства UnifiedAuditLogIngestionEnabled указывает, что аудит отключен.Перейдите на страницу Аудит на портале Microsoft Purview.
Если аудит не включен для вашей организации, появится баннер с предложением начать запись действий пользователей и администраторов.
Записи аудита при изменении состояния аудита
Ваша организация выполняет аудит изменений в состоянии аудита. Этот процесс выполняет аудит изменений в состоянии аудита. Записи аудита регистрируются при включении или отключении аудита. Эти записи аудита можно найти в журнале аудита администратора Exchange.
Чтобы найти в журнале аудита администратора Exchange записи аудита, которые создаются при включении или отключении аудита, выполните следующую команду в Exchange Online PowerShell:
Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig
Записи аудита для этих событий содержат сведения о том, когда было изменено состояние аудита, администратор, который изменил его, и IP-адрес компьютера, который использовался для изменения. На следующих снимках экрана показаны записи аудита, соответствующие изменению состояния аудита в организации.
Запись аудита для Set-AdminAuditLogConfig
Найдите значение UnifiedAuditLogIngestionEnabled результата в свойстве AuditData . Это значение указывает, было ли включено или отключено единое ведение журнала аудита на портале Microsoft Purview или при выполнении командлета Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true/false .
Дополнительные сведения о поиске в журнале аудита администратора Exchange см. в разделе Search-UnifiedAuditLog.