Управление политиками хранения журнала аудита

Вы можете создавать политики хранения журналов аудита и управлять ими на портале Microsoft Purview. Политики хранения журнала аудита являются частью новых возможностей аудита (премиум) Microsoft Purview. Политика хранения журнала аудита позволяет задавать срок хранения журналов аудита в Организации. Вы можете хранить журналы аудита в течение 10 лет. Можно создавать политики, основанные на указанных ниже условиях:

  • Все действия в одной или нескольких службах Майкрософт
  • Конкретные действия в службе Майкрософт, выполняемые всеми пользователями или определенными пользователями
  • Уровень приоритета, указывающий, какая политика имеет приоритет при наличии нескольких политик в организации

Политика хранения журнала аудита по умолчанию в аудите (премиум)

Аудит (премиум) в Microsoft Purview предоставляет политику хранения журнала аудита по умолчанию для всех организаций. Изменить эту политику нельзя. Он хранит все записи аудита Exchange Online, SharePoint, OneDrive и Microsoft Entra в течение одного года. Эта политика по умолчанию сохраняет записи аудита, содержащие значения AzureActiveDirectory, Exchange, OneDrive и SharePoint для свойства Workload (это служба, в которой произошло действие). Записи аудита для всех остальных действий хранятся в течение 180 дней по умолчанию, или вы можете изменить срок хранения на другой с помощью настраиваемой политики хранения.

Примечание.

Политика хранения журналов аудита по умолчанию применяется только к записям аудита для действий, выполняемых пользователями, которым назначена лицензия на Office 365 или Microsoft 365 E5 или Microsoft Purview Suite (ранее известная как Соответствие требованиям Microsoft 365 E5) или E5 eDiscovery и Audit . Если в вашей организации есть пользователи, не относящиеся к E5, или гостевые пользователи, соответствующие записи аудита хранятся в течение 180 дней.

Срок хранения по умолчанию для записей аудита зависит от типа лицензии и времени создания записей.

Важно!

Срок хранения по умолчанию для аудита (Standard) изменился с 90 дней на 180 дней. Журналы аудита (Standard), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (Standard), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.

Что нужно сделать перед созданием политики хранения журнала аудита

  • Для создания или изменения политики хранения аудита требуется роль Конфигурация организации на портале Microsoft Purview.

  • В вашей организации может быть до 50 политик хранения журналов аудита.

  • Чтобы хранить журнал аудита дольше 180 дней (и до 1 года), пользователь, создающий журнал аудита (выполняя действия аудита), должен иметь лицензию на Office 365 E5 или Microsoft 365 E5 или Microsoft Purview Suite (ранее известный как Соответствие требованиям Microsoft 365 E5) или E5 eDiscovery и Audit . Чтобы хранить журналы аудита в течение 10 лет, пользователь, создающий журнал аудита, также должен иметь 10-летнюю лицензию на хранение журнала аудита в дополнение к лицензии E5.

    Примечание.

    Если пользователь, создающий журнал аудита, не соответствует этим требованиям лицензирования, данные сохраняются в соответствии с политикой хранения с наивысшим приоритетом. Это может быть политика хранения по умолчанию для лицензии пользователя или политика с наивысшим приоритетом, соответствующая пользователю и его типу записи.

  • Все пользовательские политики хранения журнала аудита (созданные вашей организацией) имеют приоритет над политикой хранения, заданной по умолчанию. Например, если вы создаете политику хранения журнала аудита для действия почтового ящика Exchange, срок хранения которого составляет более одного года, записи аудита для действий почтовых ящиков Exchange сохраняются в течение меньшего срока, указанного в настраиваемой политике.

  • Время существования элемента аудита для данных определяется при их добавлении в конвейер аудита и основано на параметрах лицензирования по умолчанию или применимых политиках хранения. Любые изменения в лицензировании или применимых политиках хранения изменяют срок действия данных аудита после обновления. Эти изменения не обновляют ранее зафиксированные элементы.

Создание политики хранения журнала аудита

Чтобы создать политику хранения аудита, выполните следующие действия.

  1. Войдите на портал Microsoft Purview с учетной записью пользователя, назначенной ролью Конфигурация организации на странице Роли & области на портале Microsoft Purview.

  2. Выберите карта решение аудит. Если карта Решение аудита не отображается, выберите Просмотреть все решения, а затем выберите Аудит в разделе Основные.

  3. Выберите Создать политику хранения аудита, а затем заполните следующие поля на всплывающей странице:

    Изображение пользователя

    • Имя политики: имя политики хранения журнала аудита. Это имя должно быть уникальным в вашей организации, и его нельзя изменить после создания политики.

    • Описание: необязательно, но полезно предоставить сведения о политике, такие как тип записи или рабочая нагрузка, пользователи, указанные в политике, и длительность.

    • Пользователи: Выберите одного или нескольких пользователей, к которым применяется политика. Если оставить это поле пустым, политика применяется ко всем пользователям.

    • Тип записи: тип записи аудита, к которому применяется политика. Если оставить это свойство пустым, политика применяется ко всем типам записей. Вы можете выбрать один или несколько типов записей:

    • Если выбрать один тип записи, поле Действия заполняется динамически. Используйте раскрывающийся список, чтобы выбрать действия из выбранного типа записи для применения политики. Если вы не выбрали определенные действия, политика применяется ко всем действиям выбранного типа записи.

      • Если вы выберите несколько типов записей, вы не сможете выбрать действия. Политика применяется ко всем действиям выбранных типов записей.
      • Длительность. Время, в течение которого должны храниться журналы аудита, удовлетворяющие условиям политики. Доступные варианты: 7 дней, 30 дней, 6 месяцев, 9 месяцев, 1 год, 3 года, 5 лет и 7 лет. Пользователи с лицензией на 10-летнее хранение журнала аудита могут выбрать параметр 10 лет .

    Важно!

    Чтобы хранить журналы аудита в течение 7 и 30 дней, необходимо иметь подписку Microsoft 365 корпоративный E5. Чтобы сохранить журналы аудита для параметров длительностью 3, 5 и 7 лет, вам должна быть назначена 10-летняя лицензия на хранение журналов аудита в дополнение к вашей подписке Microsoft 365 корпоративный E5. Дополнительные сведения о подписках и надстройках аудита см. в статье Решения аудита в Microsoft Purview.

    • Приоритет. Это значение определяет порядок, в котором обрабатываются политики хранения журналов аудита в организации. Более низкое значение означает более высокий приоритет. Приоритет выражается числовым значением от 1 до 10000. 1 — это наивысший приоритет, а 10000 — наинизший. Например, политика со значением 5 будет иметь приоритет над политикой со значением 10. Любая настраиваемая политика хранения журналов аудита имеет приоритет над политикой по умолчанию для вашей организации.

  4. Нажмите кнопку Сохранить, чтобы создать новую политику хранения журналов аудита.

Новая политика появится в списке на странице Политики .

Управление политиками хранения журналов аудита на портале Microsoft Purview

На вкладке Политики хранения аудита (также называемая панелью мониторинга) перечислены политики хранения журналов аудита. Панель мониторинга можно использовать для просмотра, изменения и удаления политик хранения записей аудита.

Просмотр политик на панели мониторинга

На панели мониторинга перечислены политики хранения журналов аудита. Одним из преимуществ просмотра политик на панели мониторинга является то, что вы можете выбрать столбец Приоритет , чтобы получить список политик в порядке приоритета, в котором они применяются. Как указано ранее, чем ниже значение, тем выше приоритет.

Столбец

Кроме того, вы можете выбрать политику, чтобы отобразить ее параметры на всплывающей странице.

Примечание.

На панели мониторинга не отображается политика хранения журнала аудита по умолчанию для вашей организации.

Изменение политик на панели мониторинга

Для изменения политики выберите ее, чтобы открыть всплывающую страницу. Вы можете изменить один или несколько параметров, а затем сохранить изменения.

Важно!

При использовании командлета New-UnifiedAuditLogRetentionPolicy можно создать политику хранения журнала аудита для типов записей или действий, которые недоступны в средстве Создания политики хранения аудита на панели мониторинга. В этом случае вы не можете изменить политику (например, изменить длительность хранения или добавить и удалить действия) на панели мониторинга Политики хранения аудита . Вы можете просматривать и удалять политику только на портале Microsoft Purview. Чтобы изменить политику, необходимо использовать командлет Set-UnifiedAuditLogRetentionPolicy в PowerShell по соответствию безопасности &. В верхней части всплывающей страницы отображается сообщение о политиках, которые необходимо изменить с помощью PowerShell.

Удаление политик на панели мониторинга

Чтобы удалить политику, щелкните значок Удалить и подтвердите, что вы хотите удалить политику. Политика удаляется из панели мониторинга, но ее удаление из вашей организации может занять до 30 минут.

Создание политик хранения журнала аудита и управление ими в PowerShell

Вы также можете использовать Безопасность и соответствие требованиям PowerShell для создания политик хранения журналов аудита и управления ими. Одной из причин использования PowerShell является создание политики для типа записи или действия, которые недоступны в пользовательском интерфейсе.

Создание политики хранения журнала аудита в PowerShell

Чтобы создать политику хранения журнала аудита в PowerShell, выполните следующие действия.

  1. Подключение к Безопасности и соответствию требованиям PowerShell

  2. Чтобы создать политику хранения журнала аудита, выполните следующую команду:

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100

    В этом примере создается политика хранения журнала аудита с именем "политика аудита Microsoft Teams" с такими параметрами:

    • Описание политики.
    • Сохраняет все действия в Microsoft Teams (как определено в параметре RecordType).
    • Сохраняет журнал аудита Microsoft Teams на 10 лет.
    • Приоритет — 100.

Вот еще один пример создания политики хранения журнала аудита. Эта политика сохраняет журналы аудита для действия "Пользователь вошел в систему" в течение шести месяцев для пользователя admin@contoso.onmicrosoft.com.

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

Дополнительные сведения см. в статье New-UnifiedAuditLogRetentionPolicy.

Просмотр политик в PowerShell

Используйте командлет Get-UnifiedAuditLogRetentionPolicy в Безопасности и соответствии требованиям PowerShell для просмотра политик хранения журналов аудита.

Следующая команда отображает параметры для всех политик хранения журналов аудита в организации. Эта команда сортирует политики в порядке убывания приоритета.

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

Примечание.

Командлет Get-UnifiedAuditLogRetentionPolicy не возвращает стандартную политику хранения журнала аудита для вашей организации.

Изменение политик в PowerShell

Используйте командлет Set-UnifiedAuditLogRetentionPolicy в Безопасности и соответствии требованиям PowerShell, чтобы изменить существующую политику хранения журнала аудита.

Удаление политик в PowerShell

Используйте командлет Remove-UnifiedAuditLogRetentionPolicy в Безопасности и соответствии требованиям PowerShell, чтобы удалить политику хранения журнала аудита. Удаление политики из организации может занять до 30 минут.

Дальнейшие действия

  • Last updated on