Поиск в журнале аудита

  • 10 мин

Организация может использовать средство поиска в журнале аудита на портале соответствия Microsoft Purview для поиска в едином журнале аудита. Таким образом, организация может просматривать действия пользователей и администраторов. Например, организации может потребоваться определить, просматривал ли пользователь определенный документ или удалял элемент из своего почтового ящика.

Тысячи операций пользователей и администраторов, выполняемых в десятках служб и решений Microsoft 365, фиксируются, записываются и сохраняются в едином журнале аудита организации. Пользователи в организации могут использовать инструмент поиска журнала аудита для поиска, просмотра и экспорта (в CSV-файл) записей аудита для этих операций.

Службы Microsoft 365, поддерживающие аудит

Microsoft 365 поддерживает журнал аудита, чтобы организации могли искать в нем действия, выполняемые в разных службах Microsoft 365. В следующей таблице перечислены службы и компоненты Microsoft 365 (в алфавитном порядке), поддерживаемые единым журналом аудита.

Служба или компонент Microsoft 365 Типы записей
Microsoft Entra ID AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon
Azure Information Protection AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat
Соответствие требованиям к обмену данными ComplianceSuperVisionExchange
Обозреватель содержимого LabelContentExplorer
Соединители данных ComplianceConnector
Защита от потери данных (DLP) ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint
Dynamics 365 CRM
Обнаружение электронных данных Discovery, AeD
Точное соответствие данных MipExactDataMatch
Exchange Online ExchangeAdmin, ExchangeItem, ExchangeItemAggregated
Forms MicrosoftForms
Информационные барьеры InformationBarrierPolicyApplication
Microsoft Defender XDR AirInvestigation, AirManualInvestigation, AirAdminActionInvestigation, MS365DCustomDetection
Microsoft Teams MicrosoftTeams
MyAnalytics MyAnalyticsSettings
OneDrive для бизнеса OneDrive
Power Apps PowerAppsApp, PowerAppsPlan
Power Automate MicrosoftFlow
Power BI PowerBIAudit
Карантин Quarantine
Политики и метки хранения MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation
Типы конфиденциальной информации DlpSensitiveInformationType
Метки конфиденциальности MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch
Портал зашифрованных сообщений OMEPortal
SharePoint Online SharePoint, SharePointFileOperation, SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation
Stream MicrosoftStream
Threat Intelligence ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent
Рабочая аналитика WorkplaceAnalytics
Yammer Yammer
SystemSync DataShareCreated, DataShareDeleted, GenerateCopyOfLakeData, DownloadCopyOfLakeData

В предыдущей таблице указано значение типа записи, используемое для поиска в журнале аудита действий в соответствующей службе. Поиск можно выполнять с помощью командлета Search-UnifiedAuditLog в Exchange Online PowerShell или с помощью сценария PowerShell. У некоторых служб есть несколько типов записей для различных типов действий в одной службе. Более полный список типов записей аудита см. в статье Схема API действий управления Office 365.

Дополнительные сведения. Дополнительные сведения об использовании PowerShell для поиска в журнале аудита:

Поиск в журнале аудита

Процесс поиска в журнале аудита на портале соответствия требованиям Microsoft Purview включает следующие шаги:

  1. Запустить поиск в журнале аудита.
  2. Просмотреть результаты поиска.
  3. Экспортировать результаты поиска в файл.

Каждый из этих шагов более подробно рассматривается в следующих разделах.

  1. Войдите на портал соответствия Microsoft Purview .

    Совет

    Используйте частный сеанс просмотра (не обычный сеанс) для доступа к порталу соответствия. Таким образом, учетные данные, с которыми вы вошли в систему, не будут использоваться. Нажмите CTRL+SHIFT+N , чтобы открыть сеанс просмотра InPrivate в Microsoft Edge или сеанс частного просмотра в Google Chrome (называемый окном инкогнито).

  2. На портале соответствия Microsoft Purview на левой панели навигации выберите Аудит .

    Примечание.

    Если отображается ссылка Начать запись действий пользователя и администратора , выберите ее, чтобы включить аудит. Если вы не видите эту ссылку, аудит уже включен для вашей организации.

  3. На странице Аудит вкладка Поиск отображается по умолчанию. Настройте следующие критерии поиска на этой вкладке:

    Снимок экрана страницы аудита на портале соответствия требованиям Microsoft Purview, на котором показаны различные параметры, которые можно настроить.

    • О. Дата начала и Дата окончания. По умолчанию выбраны последние семь дней. Выберите диапазон дат и времени, чтобы просмотреть события, которые произошли за этот период. Дата и время представлены по местному времени. Максимальный диапазон дат, который можно указать, составляет 180 дней. Если выбранный диапазон дат превышает 180 дней, отображается ошибка.

      Если вы используете максимальный диапазон дат в 180 дней, выберите текущее время для даты начала. В противном случае вы получите сообщение об ошибке о том, что дата начала предшествует дате окончания. Если вы реализовали аудит в течение последних 180 дней, максимальный диапазон дат не может начинаться до даты выполнения аудита.

    • Б. Действия. Выберите раскрывающийся список, чтобы отобразить действия, которые можно найти. Действия пользователей и администраторов организованы в группы связанных действий. Вы можете выбрать определенные действия или выбрать имя группы действий, чтобы выбрать все действия в группе. Вы также можете выбрать выбранное действие, чтобы снять выделение. После запуска поиска будут показаны записи журнала аудита, относящиеся только к выбранным действиям. Если выбрать пункт Показать результаты по всем действиям, будут показаны результаты для всех действий, совершенных выбранным пользователем или группой пользователей. В журнале аудита регистрируется более 100 действий пользователей и администраторов.

    • C. Пользователи. Выберите в этом поле, а затем выберите одного или нескольких пользователей, для которых будут отображаться результаты поиска. В списке результатов приводятся записи журнала аудита для выбранного действия, выполненного выбранными в этом поле пользователями. Оставьте это поле пустым, чтобы вернуть записи для всех пользователей (и учетных записей служб) в организации.

    • D. File, папка , или сайт . Введите часть или все имя файла или папки для поиска действий, связанных с файлом или папкой, содержащей указанное ключевое слово. Также можно указать URL-адрес файла или папки. Если используется URL-адрес, введите его целиком. Если вы ввели часть URL-адреса, не указывайте в нем специальные знаки и пробелы. Однако использование подстановочного знака (*) поддерживается.

      Чтобы получить результаты для всех файлов и папок в организации, оставьте это поле пустым.

      • Если вы ищете все действия, связанные с сайтом, добавьте подстановочный знак (*) после URL-адреса, чтобы получить все записи для этого сайта. Пример: https://contoso-my.sharepoint.com/personal*
      • Если вы ищете все действия, связанные с файлом, добавьте подстановочный знак (*) перед именем файла, чтобы получить все записи для этого файла. Например: *Customer_Profitability_Sample.csv

  4. Выберите Поиск , чтобы запустить поиск с использованием ваших критериев поиска.

Шаг 2. Просмотр результатов поиска

После того, как вы начали поиск, результаты загружаются. Через несколько секунд они отображаются на новой странице. По завершении поиска отображается количество найденных результатов.

Максимальное количество отображаемых событий: 50 000 с шагом 150. Если условия поиска соответствуют более 50 000 событий, будут возвращены только 50 000 несортированных событий.

Снимок экрана, на котором показано количество результатов, отображаемых после завершения поиска.

Результаты поиска по журналу аудита выводятся в области Результаты на странице Поиск в журнале аудита. Как указано ранее, отображаются 50 000 последних событий с шагом 150. Чтобы отобразить следующие 150 событий, воспользуйтесь полосой прокрутки или нажмите клавиши SHIFT+END.

В результатах приводятся указанные ниже сведения о каждом событии, возвращенном поиском.

  • Дата . Дата и время (по вашему местному времени), когда произошло событие.

  • IP-адрес . IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6.

    Примечание.

    Для некоторых служб значение, отображаемое в этом поле, может быть IP-адресом доверенного приложения (например, Office в веб-приложениях), вызывающего службу от имени пользователя, а не IP-адресом устройства, используемого человеком, который осуществлял деятельность. Кроме того, для действий администратора (или действий, выполняемых системной учетной записью) для Microsoft Entra связанных событий IP-адрес не регистрируется. В результате значение, отображаемое в этом поле, равно нулю.

  • Пользователь. Пользователь (или учетная запись службы), выполнивший действие, вызвавшее событие.

  • Действие . Действия, выполняемые пользователем. Это значение соответствует действиям, выбранным в раскрывающемся списке Действия . Для события из журнала аудита действий администратора Exchange значение в этом столбце представляет собой командлет Exchange.

  • Элемент. Объект, который был создан или изменен в результате соответствующей деятельности. Это может быть, например, просмотренный или измененный файл либо обновленная учетная запись пользователя. Значения в этом столбце отображаются не для всех действий.

  • Деталь . Дополнительная информация о деятельности. Аналогичным образом значения в этом столбце отображаются не для всех действий.

Совет

Выберите заголовок столбца в разделе Результаты , чтобы отсортировать результаты. Вы можете сортировать результаты от А до Я или от Я до А. Выберите заголовок Дата , чтобы отсортировать результаты от самых старых к самым новым или от новых к самым старым.

Вы можете просмотреть дополнительные сведения о событии, выбрав запись о событии в списке результатов поиска. Откроется всплывающая страница со свойствами, содержащимися в записи о событии. Отображаемые свойства зависят от службы, в которой происходит событие.

Шаг 3. Экспорт результатов поиска в файл

Организации могут экспортировать результаты поиска в журнале аудита. Результаты экспортируются в файл с разделителями-запятыми (CSV) на локальном компьютере. Этот файл можно открыть в Microsoft Excel. Вы можете использовать такие функции, как поиск, сортировка, фильтрация и разделение одного столбца (содержащего несколько свойств) на несколько столбцов.

  1. Выполните поиск по журналу аудита, а затем изменяйте условия поиска, пока не получите нужные результаты.

  2. На странице Результаты поиска выберите Экспортировать , а затем выберите Загрузить все результаты .

    Все записи из журнала аудита, соответствующие условиям поиска, экспортируются в CSV-файл. Необработанные данные из журнала аудита сохраняются в CSV-файл. Другая информация из записи журнала аудита включена в столбец AuditData файла CSV.

    Важно!

    В CSV-файл можно загрузить до 50 000 записей результатов одной операции поиска по журналу аудита. Если в CSV-файл загружено 50 000 записей, можно предположить, что условиям поиска соответствует более 50 000 событий. Чтобы обойти это ограничение и экспортировать больше записей, попробуйте указать диапазон дат, позволяющий сократить количество записей из журнала. Возможно, вам придется выполнить несколько поисков с меньшими диапазонами дат, чтобы экспортировать более 50 000 записей.

  3. После завершения процесса экспорта в верхней части окна отображается сообщение с предложением открыть CSV-файл и сохранить его на локальном компьютере. Вы также можете получить доступ к CSV-файлу в папке Загрузки в Проводнике файлов .

Советы по поиску в журнале аудита

При поиске в журнале аудита организациям следует учитывать следующие соображения:

  • Существует несколько способов выбора действий:

    • Вы можете выбрать конкретные действия для поиска, выбрав имя действия.

    • Вы можете искать все действия в группе (например, действия с файлами и папками), выбрав имя группы.

    • Если действие выбрано, вы можете выбрать его, чтобы отменить выбор.

    • Вы можете использовать поле поиска, чтобы отобразить действия, которые содержат введенное вами ключевое слово.

      Снимок экрана, показывающий окно поиска в журнале аудита с выноской, отображающей различные советы по поиску.

  • Чтобы отобразить записи из журнала аудита действий администратора Exchange, нужно выбрать в списке Действия пункт Показать результаты по всем действиям. События из этого журнала аудита отображают имя командлета (например, Set-Mailbox) в столбце Действия в результатах.

    Для некоторых действий аудита нет соответствующих элементов в списке Действия. Если вам известно имя операции для этих действий, вы можете выполнить поиск всех действий, затем отфильтровать операции после экспорта результатов поиска в CSV-файл.

  • Выберите Очистить , чтобы очистить текущие критерии поиска. Диапазон дат сбрасывается в значение по умолчанию (последние семь дней). Чтобы отменить все выбранные действия, выберите Очистить все, чтобы отобразить результаты для всех действий .

  • Если найдено 50 000 результатов, вы, вероятно, можете предположить, что существует более 50 000 событий, соответствующих критериям поиска. Вы можете:

    • Уточните критерии поиска и повторите поиск, чтобы получить меньше результатов.
    • Экспортируйте все результаты поиска, выбрав Экспортировать результаты , а затем выбрав Загрузить все результаты .

Проверка знаний

Выберите лучший ответ на каждый из приведенных ниже вопросов.