Поиск в журнале аудита

Поиск в Аудит Microsoft Purview (Standard) и аудите (премиум) предоставляет вашей организации доступ к критически важным данным о событиях журнала аудита, что позволяет получать аналитические сведения и исследовать действия пользователей.

• Задания поиска, которые вы запускаете на портале Microsoft Purview, не требуется окно веб-браузера, чтобы оставаться открытым до завершения. Эти задания продолжают выполняться даже после закрытия окна браузера.
• Теперь система сохраняет завершенные задания поиска в течение 30 дней, поэтому вы можете оглянуться на прошлые поисковые запросы аудита.
• Каждый пользователь учетной записи аудита администратора может одновременно выполнять до 10 заданий поиска с ограничением на одно нефильтрованное задание поиска.

Перед поиском в журнале аудита

Прежде чем начать поиск в журнале аудита, просмотрите следующие элементы.

• Поиск в журнале аудита включен по умолчанию для организаций, использующих Microsoft 365 и Office 365 корпоративный. Чтобы убедиться, что поиск по журналам аудита включен, выполните следующую команду в Exchange Online PowerShell:

  Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
  

  Значение True для свойства UnifiedAuditLogIngestionEnabled указывает на то, что поиск в журнале аудита включен. Дополнительные сведения см. в статье Включение и отключение поиска в журнале аудита.

  Важно!

  Не забудьте выполнить предыдущую команду в Exchange Online PowerShell. Хотя командлет Get-AdminAuditLogConfig также доступен в PowerShell для соответствия требованиям безопасности &, свойство UnifiedAuditLogIngestionEnabled всегда Falseимеет значение , даже если включен поиск по журналам аудита.

• Для поиска в журнале аудита вам должны быть назначены роли Журналы аудита или Журналы аудита только для просмотра на портале Microsoft Purview. Дополнительные сведения см. в статье Начало работы с решениями аудита. Для доступа к командлетам аудита необходимо назначить роли Журналы аудита или Просмотр только журналов аудита в Центре администрирования Exchange. Вы также можете создать настраиваемые группы ролей с возможностью поиска в журнале аудита, добавив в настраиваемую группу ролей роли Журналы аудита только для просмотра или Журналы аудита . Дополнительные сведения см. в разделе Разрешения на портале Microsoft Purview.

• Когда пользователь или администратор выполняет действие аудита, система создает запись аудита и сохраняет ее в журнале аудита для вашей организации. Срок хранения записи аудита (и возможность ее поиска в журнале аудита) зависит от подписки Office 365 или Microsoft 365 корпоративный, и, в частности, от типа лицензии, присвоенной определенным пользователям.

  • Для пользователей, которым назначена лицензия на Office 365 E5 или Microsoft 365 E5 (или пользователей с Соответствие требованиям Microsoft 365 E5 или Microsoft 365 E5 лицензией на надстройку для обнаружения электронных данных и аудита), система сохраняет записи аудита для Microsoft Entra идентификатор, действия Exchange и SharePoint в течение одного года по умолчанию. Организации также могут создавать политики хранения журнала аудита, позволяющие хранить записи аудита для действий в других службах до одного года. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.

    Примечание.

    Если ваша организация участвовала в программе закрытой предварительной версии для хранения записей аудита на один год, срок хранения записей аудита, созданных до даты выпуска общедоступной версии, не будет сброшен.

  • Для пользователей, которым назначена любая другая (не E5) лицензия Office 365 или Microsoft 365, система сохраняет записи аудита в течение 180 дней. Список подписок на Office 365 и Microsoft 365, поддерживающих единое ведение журнала аудита, см. в разделе Требования к подпискам для аудита (Standard) и аудита (премиум).

    Важно!

    Срок хранения по умолчанию для аудита (Standard) изменился с 90 дней на 180 дней. Журналы аудита (Standard), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (Standard), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.

    Примечание.

    Даже если аудит почтовых ящиков включен по умолчанию, вы можете заметить, что события аудита почтовых ящиков для некоторых пользователей не находятся в поиске по журналам аудита на портале Microsoft Purview или через API действий управления Office 365. Подробности см. в разделе Дополнительные сведения о журнале аудита почтовых ящиков.

• Чтобы отключить поиск по журналам аудита для организации, выполните следующую команду в Exchange Online PowerShell:

  Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
  

  Чтобы снова включить поиск аудита, выполните следующую команду в Exchange Online PowerShell:

  Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
  

  Для получения дополнительной информации см. Отключение поиска в журнале аудита.

• Базовый командлет, используемый для поиска в журнале аудита, является Exchange Online командлетом Search-UnifiedAuditLog. Это означает, что этот командлет можно использовать для поиска в журнале аудита вместо использования средства поиска на странице Аудит на портале Microsoft Purview. Этот командлет необходимо запускать в Exchange Online PowerShell. Дополнительные сведения см. в статье Search-UnifiedAuditLog.

  Сведения об экспорте результатов поиска, возвращаемых командлетом Search-UnifiedAuditLog в CSV-файл, см. в разделе "Советы по экспорту и просмотру журнала аудита" статьи Экспорт, настройка и просмотр записей журнала аудита.

• Для программного скачивания данных из журнала аудита рекомендуется использовать API действий управления Office 365 вместо скрипта PowerShell. API действий управления Office 365 — это веб-служба REST, используемая для разработки решений мониторинга операций, безопасности и соответствия требованиям в организации. Дополнительные сведения см. в статье Справочник по API действий управления Office 365.

• Microsoft Entra идентификатор — это служба каталогов для Microsoft 365. Единый журнал аудита содержит сведения о действиях, выполненных с пользователями, группами, приложениями, доменами и каталогами в Центре администрирования Microsoft 365 или на портале управления Azure. Полный список событий Microsoft Entra см. в разделе События отчета Microsoft Entra аудита.

• Корпорация Майкрософт не гарантирует определенное время после возникновения события для возврата соответствующей записи аудита в результатах поиска по журналу аудита. Для основных служб (таких как Exchange, SharePoint, OneDrive и Teams) доступность записей аудита обычно обеспечивается через 60–90 минут после возникновения события. Для других служб доступность записей аудита может быть больше. Однако некоторые неизбежные проблемы (например, сбой сервера) могут возникать за пределами службы аудита, что задерживает доступность записей аудита. По этой причине корпорация Майкрософт не устанавливает определенное время.

• Для поиска операций Power BI в журнале аудита необходимо включить аудит на портале администрирования Power BI. Инструкции см. в разделе "Журналы аудита" статьи Портал администрирования Power BI.

Начало работы с поиском

Чтобы приступить к поиску, выполните следующие действия.

1. Войдите на портал Microsoft Purview.

2. Выберите карта решение аудит. Если карта Решение аудита не отображается, выберите Просмотреть все решения, а затем выберите Аудит в разделе Основные.

3. На странице Поиск настройте следующие условия поиска.

   1. Диапазон даты и времени (UTC): последние семь дней выбираются по умолчанию. Выберите диапазон дат и времени, чтобы просмотреть события, которые произошли за этот период. Дата и время представлены в формате UTC. Максимальный диапазон дат, который можно указать, составляет 180 дней. Если выбранный диапазон дат превышает 180 дней, отображается ошибка.

      Совет

      Если используется максимальный диапазон дат 180 дней, выберите текущее время для даты начала. В противном случае появится сообщение об ошибке о том, что дата начала раньше даты окончания. Если включить аудит в течение последних 180 дней, максимальный диапазон дат не может начинаться до даты включения аудита.

   2. Поиск по ключевым словам. Введите ключевое слово или фразу для поиска в журнале аудита. Ключевое слово или фраза выполняется в журнале аудита или в файле, папке или на сайтах (если указано) для поиска. Чтобы найти текст, содержащий специальные символы, замените специальные символы звездочкой(*) в ключевое слово поиска. Например, для поиска test_search_document используйте test*search*document.

      Важно!

      Термины, введенные в поле Поиска ключевых слов , выполняются только в индексированных содержимом (содержимое в общей схеме аудита). Данные аудита в журнале аудита не ищут эти ключевые слова.

   3. Администратор единицы измерения. Выберите раскрывающийся список, чтобы отобразить административные единицы, для области действия аудита для поиска. Вы можете выбрать одну или несколько административных единиц для область поиска. Оставьте это поле пустым, чтобы вернуть записи для всех административных единиц в вашей организации.

   4. Действия — понятные имена. Выберите раскрывающийся список, чтобы отобразить понятные имена для проверенных действий, которые можно найти. Понятные имена действий пользователей и администраторов организованы в группы связанных действий. Используя понятные имена, вы можете выбрать определенные действия аудита или выбрать имя группы действий, чтобы выбрать все действия в группе. Вы также можете выбрать выбранное действие, чтобы снять выделение. Чтобы найти понятное имя для действий в списке, используйте поле поиска поверх списка.

   5. Действия — имена операций. Введите точные имена операций для поиска проверенных действий для включения в результаты поиска. Можно ввести одно или несколько имен операций, разделенных запятыми. Это условие поиска похоже на предыдущие поисковые запросы, доступные только в PowerShell, и обеспечивает большую гибкость, помогая находить нужные данные.

      Важно!

      Имена операций должны вводиться точно так же, как они называются. Если имена операций введены неправильно, результаты не возвращаются.

      Например, чтобы найти все действия, связанные с включением и отключением информационных барьеров для сайта SharePoint в вашей организации, выполните следующие действия:

      • Ознакомьтесь со статьей о действиях аудита , чтобы найти точное имя операции для действий информационных барьеров, которые требуется найти. В этом примере имена операций — SPOIBIsEnabled и SPOIBIsDisabled.
      • В поле поиска операции введите SPOIBIsEnabled,SPOIBIsDisabled . Мы рекомендуем скопировать и вставить имена операций непосредственно из статьи в поле поиска операции, чтобы убедиться, что они введены правильно и без опечаток.

   6. Типы записей. Выберите раскрывающийся список, чтобы отобразить типы записей для проверенных действий, которые можно найти. Вы можете выбрать один или несколько типов записей для поиска. Чтобы найти тип записи в списке, используйте поле поиска поверх списка.

      Определенные типы записей связаны с определенными службами и приложениями Майкрософт. Например, если вы хотите область поиск определенных типов записей, связанных с метками конфиденциальности в Защита информации Microsoft Purview (MIP), можно выбрать из списка типы записей MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem и MipAutoLabelSharePointPolicyLocation.

   7. Имя поиска. Введите пользовательское имя для задания поиска. Это имя используется для идентификации задания поиска в журнале заданий поиска. Если не ввести имя, задание поиска будет автоматически называться с помощью сочетания даты и времени, определенных для поиска, и других определенных значений условий поиска.

   8. Пользователи. Выберите это поле и выберите имена одного или нескольких пользователей для отображения результатов поиска. В списке результатов приводятся записи журнала аудита для выбранного действия, выполненного выбранными в этом поле пользователями. Чтобы получить результаты для всех пользователей (и учетных записей служб) в организации, оставьте это поле пустым.

   9. Файл, папка или сайт. Введите часть или все имя файла или папки, чтобы найти связанные действия. При этом возвращаются результаты сопоставления файлов, папок и сайтов. Вы также можете ввести полный URL-адрес или часть одного, просто избегайте специальных символов или пробелов. Вы можете использовать * в качестве подстановочного знака в конце URL-адреса. Например, https://<tenantname>.sharepoint.com/sites/site123*. Оставьте поле пустым, чтобы просмотреть действия для всех файлов и папок в организации.

   10. Рабочие нагрузки. Введите или найдите службы рабочей нагрузки для поиска действий, связанных с выбранными рабочими нагрузками. Введите имя рабочей нагрузки, чтобы перейти к рабочей нагрузке в списке, или прокрутите страницу до рабочих нагрузок, которые вы хотите выбрать.

4. Выберите Поиск , чтобы начать задание поиска. Для одной учетной записи пользователя можно параллельно выполнять не более 10 заданий поиска. Если пользователю требуется более 10 заданий поиска, он должен дождаться завершения или удаления задания поиска.

Панель мониторинга задания поиска

На панели мониторинга задания поиска отображаются активные и завершенные задания поиска. Для каждого задания поиска на панели мониторинга отображаются следующие сведения:

• Имя поиска: имя задания поиска. Вы можете увидеть полное имя поиска для задания, наместив курсор на имя задания поиска.
• Состояние задания: состояние задания поиска. Состояние может быть в очереди, Выполняется или Завершено.
• Ход выполнения (%): процент выполнения задания поиска, которое выполняется заданием.
• Время поиска: общее время выполнения, затраченное на выполнение задания поиска.
• Всего результатов: общее количество результатов, возвращаемых заданием поиска.
• Время создания: дата и время создания задания поиска в формате UTC.
• Поиск выполняется: учетная запись пользователя, создающая задание поиска.

Удалите задания поиска, выбрав задание и выбрав Удалить на панели команд. Удаление задания поиска не приводит к удалению внутренних данных, связанных с поиском. Он удаляет только определение задания поиска и связанный результат поиска.

Чтобы скопировать условия поиска для существующего задания поиска, выберите задание, а затем выберите Копировать этот поиск на панели команд. Условия поиска копируются на страницу поиска, и вы можете изменить условия поиска по мере необходимости для нового поиска.

Панель мониторинга сведений о задании поиска

Чтобы просмотреть сведения о задании поиска, выберите задание поиска. На панели мониторинга отображается общее количество элементов в задании в верхней части. Общее число результатов удаляет дубликаты, поэтому оно может быть меньше, чем количество элементов на панели мониторинга задания поиска.

На панели мониторинга сведений о задании поиска отображаются следующие сведения об отдельных элементах, собранных в результатах задания поиска:

• Дата (UTC): дата и время выполнения действия.
• IP-адрес: IP-адрес устройства, которое использовалось для выполнения действия.
• Пользователь: учетная запись пользователя, выполняющая действие.
• Тип записи: тип записи, связанный с действием.
• Действие: понятное имя выполненного действия.
• Элемент: имя файла, папки или сайта, с которым было выполнено действие.
• Администратор единиц: единица администрирования, к которой принадлежит учетная запись пользователя, выполняющая действие.
• Сведения: дополнительные сведения о действии.

Вы можете отсортировать элементы задания поиска с помощью заголовков столбцов или создать настраиваемый фильтр с помощью области фильтров. Используйте фильтр для фильтрации элементов задания поиска по определенным значениям для любого из условий столбца панели мониторинга. Чтобы экспортировать все элементы заданий поиска в файл .csv, выберите Экспорт на панели команд. Экспорт поддерживает результаты до 50 КБ для аудита (Standard) и до 500 КБ (500 000 строк) для аудита (премиум).

Выберите определенное действие, чтобы просмотреть дополнительные сведения о нем во всплывающем окне. Во всплывающем окне отображаются дополнительные сведения о действии.

Определение области доступа к журналам аудита с помощью административных единиц

Доступ к поиску в журнале аудита основан на административных единицах, назначенных пользователю на портале Microsoft Purview. Ограниченный администратор может выполнять поиск и экспорт журналов аудита, созданных пользователем, только в область назначенных административных единиц. Неограниченный администратор имеет доступ ко всем журналам аудита, включая журналы, созданные не пользователями и системными учетными записями. Чтобы получить доступ к журналам действий с заданной областью из любой службы Майкрософт, включая журналы действий почтовых ящиков Exchange, используйте командлет Search-UnifiedAuditLog .

Только неограниченные администраторы могут получить доступ к следующим действиям аудита с помощью поисковых запросов. Мы работаем над тем, чтобы эти журналы были доступны при запросе ограниченного администратора. Чтобы просмотреть полный список журналов аудита для этих действий, отправьте запрос на поиск с помощью учетной записи администратора без ограничений.

Дополнительные сведения об административных единицах см. в разделе Разрешения на портале Microsoft Purview.