Log Audit O365: 15 Perkara Yang Anda Perlu Tahu

Artikel ini menerangkan gambaran keseluruhan log audit O365 dan cirinya untuk menjejaki aktiviti pengguna dan pentadbiran dalam penyewa Microsoft 365, seperti perubahan yang dibuat pada tetapan konfigurasi penyewa Exchange Online dan SharePoint Online mereka dan perubahan yang dibuat oleh pengguna kepada dokumen dan item lain. Pentadbir boleh menggunakan maklumat audit yang tersedia dalam Microsoft 365 untuk memenuhi kewajipan pematuhan.

1 Pengauditan peti mel

1.1 Sahkan pengauditan peti mel dihidupkan secara lalai dihidupkan

1.2 Tindakan peti mel untuk peti mel Kumpulan Microsoft 365

1.3 Matikan pengauditan peti mel hidupkan secara lalai

1.4 Log audit

1.5 Hidupkan pengauditan

1.5.1 Gunakan PowerShell untuk menghidupkan pengauditan

1.6 Dayakan pengauditan peti mel

1.7 Lumpuhkan pengauditan peti mel untuk peti mel tertentu

2 Pertukaran Laporan Audit Dalam Talian

3 O365 log audit powershell

4 Bagaimana untuk melihat laporan log audit dalam SharePoint Online?

5 O365 log audit api

6 Ringkasan

Pengauditan peti mel

Microsoft menghidupkan pengelogan audit peti mel secara lalai untuk semua organisasi. Ini bermakna tindakan tertentu yang dilakukan oleh pemilik peti mel, perwakilan dan pentadbir dilog secara automatik dan rekod audit peti mel yang sepadan akan tersedia apabila anda mencarinya dalam log audit peti mel. Sebelum pengauditan peti mel dihidupkan secara lalai, anda perlu mendayakannya secara manual untuk setiap peti mel pengguna dalam organisasi anda.

Berikut ialah beberapa faedah pengauditan peti mel secara lalai:

• Pengauditan didayakan secara automatik apabila anda membuat peti mel baharu. Anda tidak perlu mendayakannya secara manual untuk pengguna baharu.
• Anda tidak perlu mengurus tindakan peti mel yang diaudit. Satu set tindakan peti mel yang dipratentukan diaudit secara lalai untuk setiap jenis log masuk (Pentadbir, Perwakilan dan Pemilik).
• Apabila Microsoft mengeluarkan tindakan peti mel baharu, tindakan itu mungkin ditambah secara automatik pada senarai tindakan peti mel yang diaudit secara lalai (tertakluk kepada pengguna yang mempunyai lesen yang sesuai). Ini bermakna anda tidak perlu memantau penambahan tindakan baharu pada peti mel.
• Anda mempunyai dasar pengauditan peti mel yang konsisten merentas organisasi anda (kerana anda mengaudit tindakan yang sama untuk semua peti mel).

Sahkan pengauditan peti mel dihidupkan secara lalai dihidupkan

Untuk mengesahkan bahawa pengauditan peti mel dihidupkan secara lalai dihidupkan untuk organisasi anda, jalankan perintah berikut dalam  Exchange Online PowerShell :

Get-OrganizationConfig | Audit FL Dilumpuhkan

Nilai  False  menunjukkan bahawa pengauditan peti mel dihidupkan secara lalai didayakan untuk organisasi. Ini dihidupkan secara lalai nilai organisasi mengatasi tetapan pengauditan peti mel pada peti mel tertentu. Contohnya, jika pengauditan peti mel dilumpuhkan untuk peti mel (sifat  AuditEnabled  adalah  Palsu  pada peti mel), tindakan peti mel lalai masih akan diaudit untuk peti mel, kerana pengauditan peti mel dihidupkan secara lalai didayakan untuk organisasi.

Untuk memastikan pengauditan peti mel dilumpuhkan untuk peti mel tertentu, anda mengkonfigurasi pintasan pengauditan peti mel untuk pemilik peti mel dan pengguna lain yang telah diberi akses kepada peti mel. Untuk mendapatkan maklumat lanjut, lihat  pengelogan audit peti mel Bypass .

Tindakan peti mel untuk peti mel Kumpulan Microsoft 365

Pengauditan peti mel dihidupkan secara lalai membawa pengelogan audit peti mel ke peti mel Kumpulan Microsoft 365, tetapi anda tidak boleh menyesuaikan perkara yang dilog (anda tidak boleh menambah atau mengalih keluar tindakan peti mel yang dilog untuk sebarang jenis log masuk). Ingat, pentadbir dengan kebenaran Akses Penuh ke peti mel Kumpulan Microsoft 365 dianggap sebagai perwakilan.

Matikan pengauditan peti mel hidupkan secara lalai

Anda boleh mematikan pengauditan peti mel secara lalai untuk keseluruhan organisasi anda dengan menjalankan perintah berikut dalam Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $true

Mematikan pengauditan peti mel secara lalai mempunyai keputusan berikut:

• Pengauditan peti mel dilumpuhkan untuk organisasi anda.
• Dari masa anda melumpuhkan pengauditan peti mel secara lalai, tiada tindakan peti mel diaudit, walaupun jika pengauditan didayakan pada peti mel (sifat  AuditEnabled  pada peti mel adalah  Benar ).
• Pengauditan peti mel tidak didayakan untuk peti mel baharu dan menetapkan sifat  AuditEnabled  pada peti mel baharu atau sedia ada kepada  Benar  akan diabaikan.
• Sebarang tetapan perkaitan pintasan audit peti mel (dikonfigurasikan dengan menggunakan  cmdlet Set-MailboxAuditBypassAssociation  ) diabaikan.
• Rekod audit peti mel sedia ada disimpan sehingga had umur log audit untuk rekod tersebut tamat tempoh.

Log audit

Untuk pematuhan dalam Microsoft 365, Log Audit mungkin merupakan alat yang paling penting. Ia menjejaki setiap tindakan pengguna dan akaun merentas semua perkhidmatan Microsoft 365. Anda boleh menjalankan laporan tentang pemadaman, perkongsian, muat turun, pengeditan, bacaan dll, untuk semua pengguna dan semua produk. Anda juga boleh menyediakan amaran tersuai untuk menerima pemberitahuan apabila aktiviti tertentu berlaku.

Untuk semua kegunaannya, perkara yang paling menakjubkan tentangnya ialah ia tidak dihidupkan secara lalai.

Ia boleh mengecewakan apabila anda menemui pertanyaan atau masalah yang boleh diselesaikan dengan mudah jika anda mempunyai akses kepada log, hanya untuk mengetahui ia tidak pernah didayakan pada mulanya. Berikut ialah cara untuk menyediakannya dalam organisasi anda sendiri.

Hidupkan pengauditan

Anda (atau pentadbir lain) mesti menghidupkan pengelogan audit sebelum anda boleh mula mencari log audit.

• Pergi ke portal pematuhan Microsoft Purview .
• Dalam anak tetingkap navigasi kiri portal pematuhan, klik  Audit .
• Jika pengauditan tidak dihidupkan untuk organisasi anda, sepanduk dipaparkan yang menggesa anda mula merakam aktiviti pengguna dan pentadbir.

• Klik   sepanduk Mula merekod aktiviti pengguna dan pentadbir . Ia mungkin mengambil masa sehingga 60 minit untuk perubahan itu berkuat kuasa.

Gunakan PowerShell untuk menghidupkan pengauditan

• Sambung ke Exchange Online melalui PowerShell sebagai pentadbir .
• Pastikan penyewa Microsoft 365 anda bersedia untuk Log Audit Bersepadu dengan mendayakan Penyesuaian Organisasi:

Dayakan-Penyesuaian Organisasi

Jalankan arahan berikut untuk mendayakan Log Audit Bersepadu:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Dayakan pengauditan peti mel

Untuk mendayakan pengauditan untuk peti mel tunggal, gunakan arahan PowerShell:

Set-Mailbox -Identiti "Ujian 12" -AuditEnabled $true

Untuk mendayakan pengauditan untuk semua peti mel dalam organisasi anda, gunakan arahan PowerShell:

Get-Mailbox -ResultSize Unlimited -Filter{RecipientTypeDetails -eq “UserMailbox”} | Set-Mailbox -AuditEnabled$true

Untuk mengesahkan sama ada anda telah berjaya mendayakan audit atau tidak, anda perlu menjalankan perintah " Dapatkan Peti Mel " dalam Exchange Online. Nilai " True " sifat AuditEnabled mengesahkan bahawa anda telah berjaya mendayakan pengelogan audit peti mel.

Lumpuhkan pengauditan peti mel untuk peti mel tertentu

Pada masa ini, anda tidak boleh melumpuhkan pengauditan peti mel untuk peti mel tertentu apabila pengauditan peti mel dihidupkan secara lalai dihidupkan dalam organisasi anda. Contohnya, menetapkan  sifat peti mel AuditEnabled  kepada  False  diabaikan.

Walau bagaimanapun, anda masih boleh menggunakan  cmdlet Set-MailboxAuditBypassAssociation  dalam Exchange Online PowerShell untuk menghalang  mana-mana dan semua  tindakan peti mel oleh pengguna yang ditentukan daripada dilog, tidak kira di mana tindakan itu berlaku. Sebagai contoh:

• Tindakan pemilik peti mel yang dilakukan oleh pengguna yang dipintas tidak dilog.
• Tindakan mewakilkan yang dilakukan oleh pengguna yang dipintas pada peti mel pengguna lain (termasuk peti mel kongsi) tidak dilog.
• Tindakan pentadbir yang dilakukan oleh pengguna yang dipintas tidak dilog.

Untuk memintas pengelogan audit peti mel untuk pengguna tertentu:

Set-MailboxAuditBypassAssociation -Identiti “Mailbox” -AuditByPassEnabled $true

Untuk mengesahkan bahawa pengauditan dipintas untuk pengguna yang ditentukan, jalankan arahan berikut:

Get-MailboxAuditBypassAssociation “Mailbox” | fl auditb*

Nilai  Benar  menunjukkan bahawa pengelogan audit peti mel dipintas untuk pengguna.

Laporan Audit Dalam Talian

Laporan audit Exchange Online termasuk butiran tentang akses peti mel dan perubahan yang dibuat oleh pentadbir kepada penyewa Exchange Online organisasi.

• Jalankan laporan akses peti mel bukan pemilik : Memaparkan senarai peti mel yang telah diakses oleh seseorang selain daripada pemilik peti mel. Laporan itu mengandungi maklumat tentang siapa yang mengakses peti mel, tindakan yang mereka ambil dalam peti mel dan sama ada tindakan itu berjaya atau tidak.
• Eksport log audit peti mel : Log audit peti mel mengandungi maklumat tentang akses dan tindakan dalam peti mel yang diambil oleh pengguna selain daripada pemilik peti mel. Pentadbir boleh menentukan peti mel bersama-sama dengan julat tarikh untuk menjana laporan. Log dieksport dalam XML, dilampirkan pada mesej dan dihantar kepada pengguna tertentu seperti yang ditentukan oleh pentadbir.
• Jalankan laporan kumpulan peranan pentadbir : Kumpulan peranan pentadbir digunakan untuk memberikan keistimewaan pentadbiran kepada pengguna. Keistimewaan ini membolehkan pengguna melaksanakan tugas pentadbiran seperti menetapkan semula kata laluan, mencipta atau mengubah suai peti mel dan memberikan keistimewaan pentadbir kepada pengguna lain. Laporan kumpulan peranan pentadbir menunjukkan perubahan kepada kumpulan peranan, termasuk penambahan atau pengalihan keluar ahli.
• Lihat log audit pentadbir : Laporan log audit pentadbir menyenaraikan semua fungsi cipta, kemas kini dan padam yang dilakukan oleh pentadbir dalam Exchange Online. Entri log memberikan maklumat tentang cmdlet yang dijalankan, parameter yang digunakan, siapa yang menjalankan cmdlet dan objek yang terjejas.
• Eksport log audit pentadbir : Log audit pentadbir merekodkan tindakan pentadbiran tertentu seperti mencipta, mengemas kini dan memadam dalam Exchange Online. Hasil daripada log dieksport ke XML dan pentadbir boleh memilih untuk menghantar log ini kepada satu set pengguna.
• Lihat dan eksport log audit pentadbir luaran : Mengandungi butiran tindakan yang dilakukan oleh pentadbir luar. Entri memberikan maklumat tentang cmdlet yang dijalankan, parameter yang digunakan dan sebarang tindakan yang mencipta, mengubah suai atau memadam objek dalam Exchange Online.

O365 log audit powershell

Untuk mencari pengauditan peti mel:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

Untuk mengeksport hasil ke dalam fail csv:

Cari-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | Eksport-Csv C:\users\AuditLogs.csv -NoTypeInformation

Untuk melihat dan mengeksport log berdasarkan operasi :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate1S/021 -EndDate 1S/2021/3EtailDate | Eksport-Csv C:\AuditLogs.csv -NoTypeInformation

Untuk melihat dan mengeksport log berdasarkan jenis log masuk :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | Eksport-Csv C:\AuditLogs.csv -NoTypeInformation

Untuk mencari log audit bersatu:

Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

Untuk mengeksport sifat tertentu log pengauditan bersatu ke fail CSV:

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Untuk melihat perubahan peraturan pengangkutan :

Search-AdminAuditLog -Cmdlets Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021

Untuk melihat perubahan penapis spam :

Search-AdminAuditLog -Cmdlet Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-HostedContentFilterPolicy -StartTarikh 01/01/2021 -TarikhMula 01/01/2021 -Tarikh 1/2021

Untuk menyemak perubahan penapis sambungan :

Search-AdminAuditLog -Cmdlet Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -StartTarikh 01/01/2021

Bagaimana untuk melihat laporan log audit dalam SharePoint Online?

Mengaudit persekitaran SharePoint Online anda membantu anda kekal selamat dan memenuhi keperluan pematuhan peraturan. Untuk melihat laporan pengauditan yang disediakan oleh alat asli SharePoint Online anda:

• Log masuk ke SharePoint Online.
• Klik ikon tetapan tetapan, dan kemudian klik Tetapan tapak.
• Klik Laporan log audit dalam bahagian Pentadbiran Koleksi Tapak.
• Pilih laporan (seperti Pemadaman) yang anda inginkan daripada halaman Lihat Laporan Pengauditan.
• Taipkan URL atau Semak imbas ke pustaka tempat anda ingin menyimpan laporan dan kemudian klik OK.
• Pada halaman Operasi Selesai Berjaya, pilih Klik di sini untuk melihat laporan ini.

Laporan log audit SharePoint membolehkan anda menganalisis semua aktiviti dalam persekitaran SharePoint anda.

O365 log audit api

Microsoft menyediakan perkhidmatan pelaporan yang membolehkan pentadbir mendapatkan maklumat transaksi agregat tentang penyewa Microsoft 365 mereka. API Aktiviti Pengurusan Microsoft 365 menggunakan reka bentuk RESTful standard industri dan OAuth v2 untuk pengesahan, yang memudahkan anda mula bereksperimen dengan mendapatkan semula data dan memasukkannya ke dalam alat dan aplikasi visualisasi.

API menyediakan suapan data yang merangkumi maklumat tentang pengguna, pentadbir, operasi dan aktiviti keselamatan dalam Microsoft 365. Data boleh disimpan untuk tujuan kawal selia atau digabungkan dengan data log yang diperoleh daripada infrastruktur di premis atau sumber lain untuk membina penyelesaian pemantauan untuk operasi, keselamatan dan pematuhan di seluruh perusahaan.

API Aktiviti Pengurusan pada masa ini menyediakan paparan komprehensif bagi lebih 150 jenis transaksi daripada SharePoint Online, OneDrive for Business, Exchange Online dan Azure AD. API menyediakan skema audit yang konsisten dengan lebih 10 medan yang sama di semua perkhidmatan.

Ini membolehkan organisasi membuat perhubungan yang mudah antara acara, dan ia membolehkan cara baharu untuk membuat pertimbangan terhadap data. Berpuluh-puluh Vendor Perisian Bebas (ISV) telah bekerjasama dengan Microsoft dan membina penyelesaian berdasarkan API. Sesetengah penyelesaian tertumpu semata-mata pada data Microsoft 365, manakala yang lain menyediakan keupayaan untuk mengambil data daripada berbilang pembekal awan dan sistem di premis untuk mencipta pandangan bersatu bagi semua operasi, keselamatan dan aktiviti yang berkaitan dengan pematuhan. Untuk mendapatkan maklumat lanjut, lihat rujukan Microsoft 365 Management Activity API .

Baca Juga : Keselamatan Aplikasi Awan Microsoft: Panduan Definitif

Ringkasan

Log audit O365 termasuk beberapa ciri dalam Pusat Keselamatan dan kaedah pengaturcaraan untuk mendapatkan dan menganalisis data log menggunakan PowerShell jauh dan API REST Perkhidmatan Web. Pentadbir boleh menggunakan ciri pengauditan dalam Microsoft Microsoft 365 untuk menjejaki perubahan yang dibuat kepada penyewa utama dan item konfigurasi perkhidmatan, kepada dokumen dan item lain.