Управление политиками хранения журнала аудита

  • 9 мин

Организации могут создавать политики хранения журналов аудита и управлять этими политиками на портале соответствия требованиям Microsoft Purview. Политики хранения журналов аудита входят в состав решения Microsoft Purview Audit (премиум). С помощью политики хранения журналов аудита организация может указать срок хранения журналов аудита. Журналы аудита можно хранить до 10 лет. Можно создавать политики хранения на основе следующих условий:

  • Все действия в одной или нескольких службах Microsoft 365.
  • Определенные действия (в службе Microsoft 365), выполняемые пользователями или определенными пользователями.
  • Уровень приоритета, указывающий преимущество той или иной политики, если в организации используется несколько политик.

Политика хранения журнала аудита по умолчанию

Решение Microsoft Purview Audit (премиум) предоставляет применяемую по умолчанию политику хранения журналов аудита для всех организаций. Эта политика сохраняет все записи аудита Exchange Online, SharePoint Online, OneDrive для бизнеса и Microsoft Entra. Используемая по умолчанию политика сохраняет записи аудита, у которых свойство "Workload" имеет значения "Exchange", "SharePoint"," OneDrive" и "AzureActiveDirectory" (это службы, в которых произошли действия).

Примечание.

Используемую по умолчанию политику хранения журналов аудита невозможно изменить.

Используемая по умолчанию политика хранения журналов аудита применяется только к записям аудита для действий, выполненных пользователями, которым назначена одна из следующих лицензий:

  • лицензия Office 365 или Microsoft 365 E5;
  • лицензия Microsoft 365 E5 Compliance или лицензия на надстройку "E5 eDiscovery and Audit".

Если в организации есть пользователи, у которых нет лицензий E5, или гостевые пользователи, то соответствующие записи аудита для этих пользователей будут храниться в течение 90 дней.

Что нужно сделать перед созданием политики хранения журнала аудита

Чтобы создавать политику хранения журналов аудита, организации должны соответствовать следующим требованиям:

  • Пользователям в организации, которым поручено создание и изменение политик хранения журналов аудита, необходимо назначить роль Настройка организации на портале соответствия требованиям Microsoft Purview.
  • В организации может быть не более 50 политик хранения журналов аудита.
  • Чтобы хранить журнал аудита дольше 90 дней (на срок до 1 года), у пользователя, который создает журнал аудита (выполняя подлежащее аудиту действие), должна быть лицензия Office 365 E5, Microsoft 365 E5, Microsoft 365 E5 Compliance или лицензия на надстройку "E5 eDiscovery and Audit".
  • Чтобы обеспечить хранение журнала аудита в течение 10 лет, пользователю, создающему журнал аудита, в дополнение к лицензии E5 также должна быть назначена 10-летняя дополнительная лицензия на хранение журнала аудита.
  • Все настраиваемые политики хранения журналов аудита, созданные организацией, имеют приоритет над политикой хранения, используемой по умолчанию. Предположим, что для действий с почтовыми ящиками Exchange вы создадите политику хранения журналов аудита со сроком хранения менее одного года. В этом случае записи аудита для действий с почтовыми ящиками Exchange будут храниться в течение более короткого периода, заданного настраиваемой политикой.

Создание политики хранения журнала аудита

Выполните следующие действия, чтобы создать настраиваемую политику хранения журналов аудита.

  1. Войдите на портал соответствия требованиям Microsoft Purview, используя учетную запись, которой назначена роль Настройка организации.

  2. На портале соответствия требованиям Microsoft Purview выберите Аудит вы области навигации.

  3. На странице Аудит перейдите на вкладку Политики хранения аудита.

  4. На вкладке Политики хранения аудита выберите Создать политику хранения аудита, затем заполните следующие поля в появившемся окне Новая политика хранения аудита.

    Снимок экрана: окно

    1. Имя политики. Имя политики хранения журнала аудита. Это имя должно быть уникальным в пределах организации. После создания политики ее имя невозможно изменить.
    2. Описание. Описание политики. Это необязательное поле, но целесообразно предоставить дополнительные сведения о политике. Например, можно указать тип записей или рабочей нагрузки, длительность политики или пользователей, к которым она применяется.
    3. Пользователи. Выберите одного или нескольких пользователей, к которым будет применена политика. Если оставить это поле пустым, политика будет применяться ко всем пользователям. Если вы оставите Тип записи пустым, вам потребуется выбрать пользователя.
    4. Тип записи Тип записи аудита, к которому будет применена политика. Если оставить это свойство пустым, нужно будет выбрать пользователя в поле Пользователи. Вы можете выбрать один или несколько типов записей:
      • Один тип записи. Если выбрать один тип записи, поле Действия заполняется динамически. Вы можете использовать раскрывающийся список, чтобы выбрать действия выбранного типа записи, к которым применяется политика. Если вы не выберете конкретные действия, политика будет применяться ко всем действиям выбранного типа записи.
      • Несколько типов записей. Если выбрать несколько типов записей, то не будет возможности выбирать действия. Политика будет применяться ко всем действиям выбранных типов записей.
    5. Длительность. Время, в течение которого следует хранить журналы аудита, соответствующие условиям политики.
    6. Приоритет. Это значение определяет порядок, в котором обрабатываются политики хранения журналов аудита в организации. Более низкое значение означает более высокий приоритет. Допустимые значения приоритета: от 1 до 10000. При этом 1 — высший приоритет, а 10000 — низший. Например, политика со значением 5 будет иметь приоритет над политикой со значением 10. Как было сказано ранее, все настраиваемые политики хранения журналов аудита имеют приоритет над политикой, используемой в организации по умолчанию.

  5. Нажмите кнопку Сохранить, чтобы создать новую политику хранения журналов аудита.

Новая политика отображается в списке на вкладке Политики хранения записей аудита.

Управление политиками хранения журналов аудита на портале соответствия требованиям Microsoft Purview

Политики хранения журнала аудита перечислены на вкладке Политики хранения записей аудита (другое название — панель мониторинга). Панель мониторинга можно использовать для просмотра, изменения и удаления политик хранения записей аудита.

Просмотр политик на панели мониторинга

Политики хранения журнала аудита перечислены на панели мониторинга. Одно из преимуществ просмотра политик на информационной панели заключается в том, что можно выбрать столбец Приоритет: в этом случае политики будут перечислены в соответствии с приоритетом их применения. Как указано ранее, чем ниже значение, тем выше приоритет.

Снимок экрана: вкладка

Также можно выбрать политику: в этом случае ее параметры будут показаны в появившейся области сведений.

Примечание.

Стандартная политика хранения журнала аудита вашей организации не отображается на панели мониторинга.

Изменение политик на панели мониторинга

Для изменения политики выберите ее, чтобы открыть область сведений о политике. Вы можете изменить один или несколько параметров и сохранить изменения.

Важно!

Если создавать политики с помощью командлета New-UnifiedAuditLogRetentionPolicy, можно создать политику хранения журналов аудита для типов записей или действий, недоступных в средстве Создание политик хранения аудита на портале соответствия требованиям Microsoft Purview. В этом случае вы не сможете изменять эту политику (например, изменять срок хранения, добавлять или удалять действия) на панели мониторинга Политики хранения записей аудита. Вы сможете просматривать и удалять политику только на Портале соответствия Microsoft Purview. Чтобы изменить такую политику, нужно использовать командлет Set-UnifiedAuditLogRetentionPolicy в модуле PowerShell "Безопасность и соответствие требованиям".

Совет

Если для изменения политики необходимо использовать PowerShell, в верхней части области сведений о политике отображается сообщение.

Удаление политик на панели мониторинга

Чтобы удалить политику, щелкните значок корзины (Удалить). Затем подтвердите, что политику нужно удалить. Политика будет удалена с информационной панели. Удаление политики из организации может занять до 30 минут.

Создание политик хранения журнала аудита и управление ими в PowerShell

Также можно использовать модуль PowerShell "Безопасность и соответствие требованиям", чтобы создавать политики хранения журналов аудита и управлять этими политиками. Одна из причин создания политик с помощью PowerShell состоит в том, что в этом случае можно создавать политики для типов записей или действий, которые недоступны на портале соответствия требованиям Microsoft Purview.

Создание политики хранения журнала аудита в PowerShell

Выполните следующие действия, чтобы создать политику хранения журнала аудита в PowerShell.

  1. В Windows PowerShell установите подключение к модулю Безопасность и соответствие требованиям.

  2. Чтобы создать политику хранения журнала аудита, выполните следующую команду:

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100

    В этом примере создается политика хранения журнала аудита с именем "политика аудита Microsoft Teams" с такими параметрами:

    • Описание политики.
    • Сохраняет все действия в Microsoft Teams (как определено в параметре RecordType).
    • Сохраняет журнал аудита Microsoft Teams на 10 лет.
    • Назначает политике приоритет 100.

Вот еще один пример создания политики хранения журнала аудита. Эта политика выполняет следующие действия.

  • Сохраняет журналы аудита для действия "Пользователь выполнил вход" в течение шести месяцев.
  • Это делается для пользователя admin@contoso.onmicrosoft.com.
  • Назначает политике приоритет 25.
New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

Просмотр политик в PowerShell

Чтобы просмотреть политики хранения журналов аудита, используйте командлет Get-UnifiedAuditLogRetentionPolicy в модуле PowerShell "Безопасность и соответствие требованиям".

Вот пример команды, с помощью которой можно отобразить параметры всех политик хранения данных журналов аудита в организации. Эта команда сортирует политики в порядке убывания приоритета.

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

Примечание.

Командлет Get-UnifiedAuditLogRetentionPolicy не возвращает политику хранения журналов аудита, используемую в организации по умолчанию.

Изменение политик в PowerShell

Чтобы изменить существующую политику хранения журналов аудита, используйте командлет Set-UnifiedAuditLogRetentionPolicy в модуле PowerShell "Безопасность и соответствие требованиям".

Удаление политик в PowerShell

Чтобы удалить политику хранения журналов аудита, используйте командлет Remove-UnifiedAuditLogRetentionPolicy в модуле PowerShell "Безопасность и соответствие требованиям". Удаление политики из организации может занять до 30 минут.

Проверка знаний

Выберите лучший ответ на каждый из приведенных ниже вопросов.