Pesquisar o log de auditoria

  • Artigo

Pesquisa em Auditoria do Microsoft Purview (Standard) e Auditoria (Premium) dão à sua organização acesso a dados críticos de eventos de log de auditoria para obter informações e investigar ainda mais as atividades do usuário.

  • Pesquisa trabalhos iniciados por meio do portal de conformidade não exigem mais que a janela do navegador da Web permaneça aberta para ser concluída. Esses trabalhos continuarão sendo executados mesmo depois que a janela do navegador for fechada.
  • Os trabalhos de pesquisa concluídos agora são armazenados por 30 dias, dando a você a capacidade de referenciar pesquisas de auditoria históricas.
  • Cada usuário da conta de auditoria de administrador pode ter um máximo de 10 trabalhos de pesquisa simultâneos em andamento com um máximo de um trabalho de pesquisa não filtrado.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Antes de pesquisar o registro de auditoria

Verifique os itens a seguir antes de começar a pesquisar o log de auditoria.

  • A pesquisa de log de auditoria é ativada por padrão para organizações usando o Microsoft 365 e o Microsoft Office 365 corporativo. Para verificar se a pesquisa de log de auditoria está ativada, você pode executar o seguinte comando no Exchange Online PowerShell:

    Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

    O valor de True para a propriedade UnifiedAuditLogIngestionEnabled indica que a pesquisa de log de auditoria está ativada. Para saber mais, confira Ativar ou desativar a pesquisa de log de auditoria.

    Importante

    Execute o comando anterior no Exchange Online PowerShell. Embora o cmdlet Get-AdminAuditLogConfig também esteja disponível no Security & Compliance PowerShell, a propriedade UnifiedAuditLogIngestionEnabled é sempre False, mesmo quando a pesquisa de log de auditoria é ativada.

  • Você precisa receber as funções Logs de Auditoria ou Logs de Auditoria Somente Exibição no portal do Microsoft Purview ou portal de conformidade do Microsoft Purview para pesquisar o log de auditoria. Por padrão, essas funções são atribuídas aos grupos de funções Audit Manager e Audit Reader na página Permissões no portal de conformidade. Para obter mais informações, consulte Introdução às soluções de auditoria. Para acessar cmdlets de auditoria, você deve receber as funções Logs de Auditoria ou Logs de Auditoria Somente Exibição no centro de administração do Exchange. Você também pode criar grupos de funções personalizados com a capacidade de pesquisar o log de auditoria adicionando as funções Logs de Auditoria somente exibição ou Logs de Auditoria a um grupo de funções personalizado.

    Para saber mais, veja:

  • Quando uma atividade auditada é realizada por um usuário ou administrador, um registro de auditoria é gerado e armazenado no log de auditoria para a sua organização. O período de tempo em que um registro de auditoria é mantido (e pesquisável no log de auditoria) depende da sua assinatura do Office 365 ou do Microsoft 365 Enterprise e, especificamente, o tipo de licença atribuída a usuários específicos.

    • Para usuários atribuídos uma licença de Office 365 E5 ou Microsoft 365 E5 (ou usuários com uma licença de complemento de Microsoft 365 E5 Compliance ou Microsoft 365 E5 eDiscovery e Auditoria), registros de auditoria para Microsoft Entra IDA atividade , Exchange e SharePoint são mantidas por um ano por padrão. As organizações também podem criar políticas de retenção de log de auditoria para manter os registros de auditoria para atividades em outros serviços por até um ano. Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.

      Observação

      Se a sua organização participou do programa de visualização particular para a retenção de registros de auditoria por um ano, a duração da retenção para registros de auditoria gerados antes da data da implantação da disponibilidade geral não será redefinida.

    • Para usuários atribuídos a qualquer outro Office 365 (não-E5) ou licença do Microsoft 365, os registros de auditoria são mantidos por 180 dias. Para obter uma lista de assinaturas do Office 365 e do Microsoft 365 que dão suporte ao log de auditoria unificada, confira os requisitos de assinatura para Auditoria (Standard) e Auditoria (Premium).

      Importante

      O período de retenção padrão para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os logs de auditoria (Standard) gerados antes de 17 de outubro de 2023 são mantidos por 90 dias. Os logs de auditoria (Standard) gerados em ou após 17 de outubro de 2023 seguem a nova retenção padrão de 180 dias.

      Observação

      Mesmo quando a auditoria de caixa de correio ativada por padrão é ativada, você pode notar que eventos de auditoria de caixa de correio para alguns usuários não são encontrados em pesquisas de log de auditoria no portal de conformidade ou por meio da API de Atividade de Gerenciamento de Office 365. Para saber mais, confira Mais informações sobre o log de auditoria de caixa de correio.

  • Se desejar desativar a pesquisa de log de auditoria para sua organização, você pode executar o seguinte comando no PowerShell do Exchange Online:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    Para ativar a pesquisa de auditoria novamente, execute o seguinte comando no PowerShell do Exchange Online:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Para saber mais, confira Desativar a pesquisa de log de auditoria.

  • O cmdlet subjacente usado para pesquisar o log de auditoria é um cmdlet Exchange Online, que é Pesquisa-UnifiedAuditLog. Isso significa que você pode utilizar este cmdlet para pesquisar o log de auditoria em vez de usar a ferramenta de pesquisa na página Auditoria no portal de conformidade. Você precisa executar esse cmdlet no PowerShell do Exchange Online. Para saber mais, confira Search-UnifiedAuditLog.

    Para obter informações sobre como exportar os resultados da pesquisa retornados pelo cmdlet Search-UnifiedAuditLog para um arquivo CSV, confira a seção "Dicas para exportar e exibir o log de auditoria" em Exportar, configurar e exibir registros de log de auditoria.

  • Se quiser baixar dados programaticamente do log de auditoria, recomendamos que você use a API da Atividade de Gestão do Office 365 em vez de usar um script do PowerShell. A API de Atividades de Gerenciamento do Office 365 é um serviço Web REST que você pode usar para desenvolver soluções de monitoramento de operações, segurança e conformidade para sua organização. Para mais informações, confira referência da API de Atividade de Gerenciamento do Office 365.

  • Microsoft Entra ID é o serviço de diretório do Microsoft 365. O log de auditoria unificado contém atividades de usuários, grupos, aplicativos, domínios e atividades de diretórios realizadas no Centro de administração do Microsoft 365 ou no portal de gerenciamento do Azure. Para obter uma lista completa de eventos Microsoft Entra, consulte Microsoft Entra eventos de relatório de auditoria.

  • A Microsoft não garante um tempo específico após a ocorrência de um evento para que o registro de auditoria correspondente seja retornado nos resultados de uma pesquisa de log de auditoria. Para serviços principais (como Exchange, Microsoft Office SharePoint Online, OneDrive e Teams), a disponibilidade do registro de auditoria geralmente é de 60 a 90 minutos após a ocorrência de um evento. Para outros serviços, a disponibilidade do registro de auditoria pode ser maior. No entanto, alguns problemas inevitáveis (como uma interrupção do servidor) podem ocorrer fora do serviço de auditoria, o que atrasa a disponibilidade dos registros de auditoria. Por esse motivo, a Microsoft não se compromete com um horário específico.

  • Para pesquisar as atividades do Power BI no log de auditoria, habilite o recurso de auditoria no Portal de Administração do Power BI. Para obter instruções, confira a seção "logs de auditoria" no portal de administração do Power bi.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Conclua as seguintes etapas para começar a pesquisar:

  1. Entre no portal do Microsoft Purview.

  2. Selecione a solução de auditoria cartão. Se a solução auditar cartão não for exibida, selecione Exibir todas as soluções e selecione Auditoria na seção Core.

  3. Na página Pesquisa, configure os seguintes critérios de pesquisa conforme aplicável:

    1. UTC (data e intervalo de tempo): os últimos sete dias são selecionados por padrão. Selecione um intervalo de datas e horas para exibir os eventos ocorridos durante esse período. A data e a hora são apresentadas em UTC (Horário Universal Coordenado). O intervalo máximo de datas que você pode especificar é de 180 dias. Um erro será exibido se o intervalo de datas selecionado for maior que 180 dias.

      Dica

      Se você estiver usando o intervalo máximo de datas de 180 dias, selecione a hora atual para a data de início. Caso contrário, você receberá um erro afirmando que a data de início é anterior à data de término. Se você tiver ativado a auditoria nos últimos 180 dias, o intervalo máximo de datas não poderá ser iniciado antes da data em que a auditoria foi ativada.

    2. Palavra-chave Pesquisa: insira uma palavra-chave ou frase para pesquisar no log de auditoria. A palavra-chave ou frase é pesquisada no log de auditoria ou no arquivo, pasta ou sites (se especificado) para a pesquisa. Para pesquisar o texto que contém caracteres especiais, substitua os caracteres especiais por um asterisco(*) em sua pesquisa de palavra-chave. Por exemplo, para pesquisar test_search_document, use test*search*document.

      Importante

      Os termos inseridos no campo Pesquisa palavra-chave são pesquisados apenas dentro do conteúdo indexado (conteúdo dentro do esquema comum auditar). O conteúdo de dados de auditoria no log de auditoria não é pesquisado por essas palavras-chave.

    3. Unidades Administração: selecione a lista suspensa para exibir as unidades administrativas às quais você deseja que as atividades auditadas sejam escopo para sua pesquisa. Você pode selecionar uma ou mais unidades administrativas para escopo de sua pesquisa. Deixe essa caixa em branco para retornar entradas para todas as unidades administrativas da sua organização.

    4. Atividades – nomes amigáveis: selecione a lista suspensa para exibir os nomes amigáveis para atividades auditadas que você pode pesquisar. Nomes amigáveis para atividades de usuário e administrador são organizados em grupos de atividades relacionadas. Usando nomes amigáveis, você pode selecionar atividades auditadas específicas ou selecionar o nome do grupo de atividades para selecionar todas as atividades no grupo. Você também pode clicar em uma atividade selecionada para limpar a seleção. Para pesquisar um nome amigável para as atividades na lista, use a caixa de pesquisa acima da lista.

    5. Atividades – nomes de operações: insira os nomes de operação exatos para pesquisar atividades auditadas a serem incluídas nos resultados da pesquisa. Você pode inserir um ou mais nomes de operação, separados por vírgulas. Esse critério de pesquisa é semelhante às pesquisas anteriores disponíveis apenas no PowerShell e oferece maior flexibilidade ajudando você a encontrar os dados necessários.

      Importante

      Os nomes de operação devem ser inseridos exatamente como são nomeados. Se os nomes de operação forem inseridos incorretamente, nenhum resultado será retornado.

      Por exemplo, para pesquisar todas as atividades relacionadas à habilitação e desabilitação de barreiras de informações para um site do SharePoint em sua organização, você faria:

      • Examine o artigo atividades de auditoria para localizar o nome exato da operação para as atividades de barreiras de informações que você deseja pesquisar. Neste exemplo, os nomes de operação são SPOIBIsEnabled e SPOIBIsDisabled.
      • Insira SPOIBIsEnabled, SPOIBIsDisabled no campo de pesquisa de operação. Recomendamos copiar e colar os nomes de operação diretamente do artigo para o campo de pesquisa de operação para garantir que eles sejam inseridos corretamente e sem erros de digitação.

    6. Tipos de registro: selecione a lista suspensa para exibir os tipos de registro para atividades auditadas que você pode pesquisar. Você pode selecionar um ou mais tipos de registro para pesquisar. Para pesquisar um tipo de registro na lista, use a caixa de pesquisa acima da lista.

      Tipos de registro específicos estão associados a serviços e aplicativos específicos da Microsoft. Por exemplo, se você quisesse escopo de sua pesquisa para tipos de registro específicos associados a rótulos de confidencialidade em Proteção de Informações do Microsoft Purview (MIP), você poderia selecionar os tipos de registro MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem e MipAutoLabelSharePointPolicyLocation da lista.

    7. Pesquisa nome: insira um nome personalizado para seu trabalho de pesquisa. Esse nome é usado para identificar seu trabalho de pesquisa no histórico de trabalho de pesquisa. Se você não inserir um nome, o trabalho de pesquisa será nomeado automaticamente usando uma combinação da data e da hora definidas para a pesquisa e outros valores de critérios de pesquisa definidos.

    8. Usuários: selecione este campo e escolha os nomes de um ou mais usuários para exibir os resultados da pesquisa. As entradas do log de auditoria para a atividade selecionada realizada pelos usuários que você seleciona nessa caixa são exibidas na lista de resultados. Deixe essa caixa em branco para retornar entradas para todos os usuários (e contas de serviço) na sua organização.

    9. Arquivo, pasta ou site: insira alguns ou todos os nomes de arquivo ou pasta para pesquisar atividades relacionadas ao arquivo de pasta que contém o palavra-chave especificado. Esse critério de pesquisa retorna todos os resultados relacionados para arquivos, pastas e sites correspondentes. Você também pode especificar uma URL de um arquivo ou pasta. Se você usar uma URL, certifique-se de digitar o caminho completo da URL ou se digitar uma parte da URL, não inclua caracteres ou espaços especiais (no entanto, o uso do caractere curinga (*) tem suporte). Deixe essa caixa em branco para retornar entradas para todos os arquivos e pastas em sua organização.

    10. Cargas de trabalho: insira ou pesquise serviços de carga de trabalho para pesquisar atividades relacionadas às cargas de trabalho selecionadas. Insira o nome de uma carga de trabalho para saltar para a carga de trabalho na lista ou role até as cargas de trabalho que você gostaria de selecionar.

  4. Selecione Pesquisa para iniciar seu trabalho de pesquisa. No máximo 10 trabalhos de pesquisa podem ser executados em paralelo para uma conta de usuário. Se um usuário exigir mais de 10 trabalhos de pesquisa, ele deverá aguardar um trabalho em andamento para concluir ou excluir um trabalho de pesquisa.

Pesquisa dashboard de trabalho

Trabalhos de pesquisa ativos e concluídos são exibidos no trabalho de pesquisa dashboard. O dashboard exibe as seguintes informações para cada trabalho de pesquisa:

  • Pesquisa nome: o nome do trabalho de pesquisa. O nome de pesquisa completo de um trabalho pode ser visto passando o cursor sobre o nome do trabalho de pesquisa.
  • Status de trabalho: o status do trabalho de pesquisa. O status pode ser enfileirado, em andamento ou concluído.
  • Progresso (%): o percentual do trabalho de pesquisa que foi concluído.
  • Pesquisa tempo: o tempo total de execução que passou para concluir o trabalho de pesquisa.
  • Total de resultados: o número total de resultados retornados pelo trabalho de pesquisa.
  • Hora da criação: a data e a hora em que o trabalho de pesquisa foi criado em UTC.
  • Pesquisa executada por: a conta de usuário que criou o trabalho de pesquisa.

Resultados de uma visão geral da pesquisa de auditoria no Microsoft Purview.

Exclua trabalhos de pesquisa selecionando o trabalho e selecionando Excluir na barra de comandos. Excluir um trabalho de pesquisa não exclui os dados de back-end associados à pesquisa. Ele exclui apenas a definição do trabalho de pesquisa e o resultado da pesquisa associado.

Para copiar os critérios de pesquisa de um trabalho de pesquisa existente, selecione o trabalho e selecione Copiar essa pesquisa na barra de comandos. Os critérios de pesquisa são copiados para a página de pesquisa e você pode modificar os critérios de pesquisa conforme necessário para uma nova pesquisa.

Pesquisa detalhes do trabalho dashboard

Para exibir detalhes sobre um trabalho de pesquisa, selecione o trabalho de pesquisa. O número total de itens no trabalho é incluído na parte superior do dashboard. O número total de resultados deduz duplicatas, razão pela qual pode ser menor do que o número de itens no trabalho de pesquisa dashboard.

Pesquisa dashboard de detalhes do item de trabalho.

Os detalhes do trabalho de pesquisa dashboard exibem as seguintes informações sobre os itens individuais coletados nos resultados do trabalho de pesquisa:

  • Data (UTC): A data e a hora em que a atividade ocorreu.
  • Endereço IP: o endereço IP do dispositivo usado para executar a atividade.
  • Usuário: a conta de usuário que executou a atividade.
  • Tipo de registro: o tipo de registro associado à atividade.
  • Atividade: o nome amigável da atividade que foi executada.
  • Item: o nome do arquivo, pasta ou site no qual a atividade foi executada.
  • Administração Units: a unidade de administrador à qual a conta de usuário que executou a atividade pertence.
  • Detalhes: detalhes adicionais sobre a atividade.

Você pode classificar os itens de trabalho de pesquisa usando os cabeçalhos de coluna ou criar um filtro personalizado usando o painel de filtro. Use o filtro para filtrar os itens de trabalho de pesquisa em busca de valores específicos para qualquer um dos critérios da coluna dashboard. Para exportar todos os itens de trabalho de pesquisa para um arquivo .csv, selecione Exportar na barra de comandos. A exportação dá suporte a resultados de até 50 KB para Auditoria (Standard) e até 500 KB (500.000 linhas) para Auditoria (Premium).

Selecione uma atividade específica para ver mais detalhes sobre a atividade em uma janela de fly-out. A janela fly-out exibe as informações adicionais sobre a atividade.

Pesquisa detalhes do item do trabalho.

Escopo do acesso a logs de auditoria usando unidades administrativas

O acesso para pesquisar o log de auditoria é escopo com base nas unidades administrativas atribuídas ao usuário que acessa o log de auditoria no portal de conformidade. Um administrador restrito só pode pesquisar e exportar logs de auditoria gerados pelo usuário no escopo de suas unidades administrativas. Um administrador irrestrito tem acesso a todos os logs de auditoria, incluindo logs gerados por contas de sistema e não usuários.

Administração unidades atribuídas a administradores Administração unidades disponíveis para executar a pesquisa em escopo Acesso a logs de auditoria de pesquisa e exportação
Nenhum (padrão): administrador irrestrito Todas as unidades administrativas estão disponíveis Acesso a todos os logs de atividades de qualquer usuário, não usuário ou conta do sistema.
Uma ou mais unidades administrativas: administrador restrito Somente as unidades administrativas atribuídas ao administrador estão disponíveis Acesso a logs de atividades de usuários com uma atribuição de unidade administrativa correspondente.

Observação

Os cmdlets Pesquisa-MailboxAuditLog e Pesquisa-AdminAuditLog atualmente não dão suporte ao acesso com escopo. Pesquisa solicitações usando esses cmdlets sempre incluem logs de atividades não copiados do Exchange, mesmo quando o usuário que executa a pesquisa é um administrador com escopo. Para acessar logs de atividades com escopo de qualquer serviço da Microsoft, incluindo logs de atividades da caixa de correio do Exchange, use o cmdlet Pesquisa-UnifiedAuditLog.

As atividades de auditoria a seguir só são acessíveis por consultas de pesquisa executadas por um administrador irrestrito. Estamos trabalhando para garantir que esses logs estejam acessíveis quando consultados por um administrador restrito. Para exibir uma lista completa de logs de auditoria para essas atividades, envie uma solicitação de pesquisa usando uma conta de administrador irrestrita.

Serviço Operação
Proteção de Informações do Azure Descobrir
Dynamics 365 CrmDefaultActivity
Prevenção contra perda de dados do ponto de extremidade FileCreated
FileCreatedOnNetworkShare
FileCreatedOnRemovableMedia
FileDeleted
Exchange Set-Mailbox
Set-MailboxPlan
SupervisãoBulkEmailExclusion
Microsoft Forms ViewRuntimeForm

Para obter mais informações sobre unidades administrativas, consulte Permissões no portal de conformidade do Microsoft Purview.