Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Ведение журнала аудита включено по умолчанию для организаций Microsoft 365. Однако при настройке новой организации Microsoft 365 необходимо проверить состояние аудита вашей организации. Инструкции см. в разделе Проверка состояния аудита для вашей организации этой статьи.
Если аудит включен на портале Microsoft Purview, действия пользователей и администраторов из вашей организации записываются в журнал аудита и автоматически сохраняются в течение 180 дней. Хранение (время существования) для данных аудита начинается, когда они добавляются в журнал аудита и хранятся на основе политик хранения журнала аудита и лицензии, назначенной пользователям.
Важно!
Срок хранения по умолчанию для аудита (Standard) изменился с 90 до 180 дней. Журналы аудита (Standard), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (Standard), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.
Изменения в политиках лицензирования или хранения пользователей также изменяют дату окончания срока действия данных аудита.
У вашей организации могут быть причины, по которым не требуется записывать и хранить данные журнала аудита. В таких случаях глобальный администратор может отключить аудит в Microsoft 365 для вашей организации. Инструкции см. в разделе Отключение аудита этой статьи.
Важно!
Если вы отключите аудит в Microsoft 365, вы не сможете использовать API действий управления Office 365 или Microsoft Sentinel для доступа к данным аудита или журналам вашей организации. Отключение аудита, выполнив действия, описанные в этой статье, означает, что результаты не возвращаются при поиске в журнале аудита с помощью Microsoft Purview или при выполнении командлета Search-UnifiedAuditLog в Exchange Online PowerShell.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Перед включением или отключением аудита
Вам должна быть назначена роль Журналы аудита в Exchange Online, чтобы включить или отключить аудит. По умолчанию эта роль назначается группам ролей "Управление соответствием требованиям" и "Управление организацией " на странице "Разрешения" в Центре администрирования Exchange.
- Пошаговые инструкции по поиску в журнале аудита см. в разделе Поиск в журнале аудита.
- Дополнительные сведения об API действий управления Microsoft 365 см. в статье Начало работы с API управления Microsoft 365.
Проверка состояния аудита для организации
Чтобы убедиться, что аудит включен для вашей организации, можно выполнить следующую команду в Exchange Online PowerShell:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
Значение True свойства UnifiedAuditLogIngestionEnabled указывает, что аудит включен. Значение False указывает, что аудит не включен.
Важно!
Не забудьте выполнить предыдущую команду в Exchange Online PowerShell. Хотя командлет Get-AdminAuditLogConfig также доступен в PowerShell по обеспечению соответствия безопасности &, свойство UnifiedAuditLogIngestionEnabled всегда Falseимеет значение , даже если аудит включен.
Включение аудита
Если аудит не включен для вашей организации, его можно включить на портале Microsoft Purview или с помощью Exchange Online PowerShell. После включения аудита может потребоваться несколько часов, прежде чем вы сможете вернуть результаты при поиске в журнале аудита.
Чтобы включить аудит, выполните следующие действия.
- Войдите на портал Microsoft Purview.
- Выберите карта решение аудит. Если карта Решение аудита не отображается, выберите Просмотреть все решения, а затем выберите Аудит в разделе Основные.
- Если аудит не включен для вашей организации, отобразится баннер с предложением начать запись действий пользователей и администраторов.
- Выберите баннер Начать запись действий пользователей и администраторов .
Чтобы изменения вступают в силу, может потребоваться до 60 минут.
Включение аудита с помощью PowerShell
Выполните следующую команду PowerShell, чтобы включить аудит.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $trueПоявится сообщение о том, что изменение может занять до 60 минут.
Отключение аудита
Для отключения аудита необходимо использовать Exchange Online PowerShell.
Выполните следующую команду PowerShell, чтобы отключить аудит.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $falseЧерез некоторое время убедитесь, что аудит отключен (отключен). Это можно сделать двумя способами:
В Exchange Online PowerShell выполните следующую команду:
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabledЗначение
Falseсвойства UnifiedAuditLogIngestionEnabled указывает, что аудит отключен.Перейдите на страницу Аудит на портале Microsoft Purview.
Если аудит не включен для вашей организации, отобразится баннер с предложением начать запись действий пользователей и администраторов.
Записи аудита при изменении состояния аудита
Изменения состояния аудита в организации сами по себе проверяются. Это означает, что записи аудита регистрируются при включении или отключении аудита. Эти записи аудита можно найти в журнале аудита администратора Exchange.
Чтобы найти в журнале аудита администратора Exchange записи аудита, которые создаются при включении или отключении аудита, выполните следующую команду в Exchange Online PowerShell:
Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig
Записи аудита для этих событий содержат сведения о том, когда было изменено состояние аудита, администратор, который изменил его, и IP-адрес компьютера, который использовался для изменения. На следующих снимках экрана показаны записи аудита, соответствующие изменению состояния аудита в организации.
Запись аудита для Set-AdminAuditLogConfig
Найдите значение UnifiedAuditLogIngestionEnabled результата в свойстве AuditData , которое указывает, было ли включено или отключено единое ведение журнала аудита на портале Microsoft Purview или путем выполнения командлета Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true/false .
Дополнительные сведения о поиске в журнале аудита администратора Exchange см. в разделе Search-UnifiedAuditLog.