Nhật ký kiểm tra O365: 15 điều bạn cần biết

Bài viết này mô tả tổng quan về nhật ký kiểm tra O365 và các tính năng của nó để theo dõi hoạt động của người dùng và quản trị trong đối tượng thuê Microsoft 365, chẳng hạn như các thay đổi được thực hiện đối với cài đặt cấu hình đối tượng thuê Exchange Online và SharePoint Online của họ cũng như các thay đổi do người dùng thực hiện đối với tài liệu và các mục khác. Quản trị viên có thể sử dụng thông tin kiểm tra có sẵn trong Microsoft 365 để thực hiện các nghĩa vụ tuân thủ.

1 Kiểm tra hộp thư

1.1 Xác minh kiểm tra hộp thư được bật theo mặc định được bật

1.2 Tác vụ hộp thư cho hộp thư Microsoft 365 Group

1.3 Tắt kiểm tra hộp thư theo mặc định

1.4 Nhật ký kiểm tra

1.5 Bật kiểm tra

1.5.1 Sử dụng PowerShell để bật kiểm tra

1.6 Bật kiểm tra hộp thư

1.7 Tắt kiểm tra hộp thư cho các hộp thư cụ thể

2 Báo cáo Kiểm toán Trực tuyến Trao đổi

3 O365 Nhật ký kiểm tra quyền hạn

4 Làm cách nào để xem báo cáo nhật ký kiểm tra trong SharePoint Online?

5 nhật ký kiểm tra O365 api

6 Tóm tắt

Kiểm tra hộp thư

Microsoft sẽ bật tính năng ghi nhật ký kiểm tra hộp thư theo mặc định cho tất cả các tổ chức. Điều này có nghĩa là các hành động nhất định được thực hiện bởi chủ sở hữu hộp thư, người đại diện và quản trị viên sẽ tự động được ghi nhật ký và các bản ghi kiểm tra hộp thư tương ứng sẽ có sẵn khi bạn tìm kiếm chúng trong nhật ký kiểm tra hộp thư. Trước khi tính năng kiểm tra hộp thư được bật theo mặc định, bạn phải bật tính năng này theo cách thủ công cho mọi hộp thư người dùng trong tổ chức của mình.

Dưới đây là một số lợi ích của việc kiểm tra hộp thư được bật theo mặc định:

• Kiểm tra tự động được bật khi bạn tạo một hộp thư mới. Bạn không cần phải kích hoạt nó theo cách thủ công cho người dùng mới.
• Bạn không cần phải quản lý các hành động hộp thư được kiểm tra. Theo mặc định, một tập hợp các hành động hộp thư được xác định trước sẽ được kiểm tra cho từng loại đăng nhập (Quản trị viên, Người đại diện và Chủ sở hữu).
• Khi Microsoft phát hành một hành động hộp thư mới, hành động đó có thể tự động được thêm vào danh sách các hành động hộp thư được kiểm tra theo mặc định (tùy thuộc vào người dùng có giấy phép thích hợp). Điều này có nghĩa là bạn không cần phải theo dõi thêm các hành động mới trên hộp thư.
• Bạn có một chính sách kiểm tra hộp thư nhất quán trong toàn tổ chức của mình (vì bạn đang kiểm tra các hành động giống nhau cho tất cả các hộp thư).

Kiểm tra hộp thư xác minh được bật theo mặc định được bật

Để xác minh rằng tính năng kiểm tra hộp thư theo mặc định được bật cho tổ chức của bạn, hãy chạy lệnh sau trong  Exchange Online PowerShell :

Get-OrganizationConfig | FL AuditDisabled

Giá trị  False  chỉ ra rằng theo mặc định, tính năng kiểm tra hộp thư được bật cho tổ chức. Giá trị tổ chức được bật theo mặc định sẽ ghi đè cài đặt kiểm tra hộp thư trên các hộp thư cụ thể. Ví dụ: nếu tính năng kiểm tra hộp thư bị vô hiệu hóa đối với một hộp thư (thuộc tính  AuditEnabled  là  Sai  trên hộp thư), các tác vụ hộp thư mặc định sẽ vẫn được kiểm tra đối với hộp thư, vì tính năng kiểm tra hộp thư theo mặc định được bật cho tổ chức.

Để tắt tính năng kiểm tra hộp thư đối với các hộp thư cụ thể, bạn định cấu hình bỏ qua kiểm tra hộp thư cho chủ sở hữu hộp thư và những người dùng khác đã được cấp quyền truy cập vào hộp thư. Để biết thêm thông tin, hãy xem  Ghi nhật ký kiểm tra hộp thư Bỏ qua .

Tác vụ hộp thư cho hộp thư Microsoft 365 Group

Tính năng kiểm tra hộp thư được bật theo mặc định sẽ đưa nhật ký kiểm tra hộp thư đến hộp thư Microsoft 365 Group, nhưng bạn không thể tùy chỉnh những gì đang được ghi (bạn không thể thêm hoặc xóa các hành động hộp thư được ghi cho bất kỳ loại đăng nhập nào). Hãy nhớ rằng, quản trị viên có quyền Truy cập đầy đủ vào hộp thư Nhóm Microsoft 365 được coi là người được ủy quyền.

Tắt kiểm tra hộp thư theo mặc định

Bạn có thể tắt tính năng kiểm tra hộp thư theo mặc định cho toàn bộ tổ chức của mình bằng cách chạy lệnh sau trong Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $ true

Việc tắt kiểm tra hộp thư theo mặc định sẽ có các kết quả sau:

• Kiểm tra hộp thư bị tắt đối với tổ chức của bạn.
• Kể từ khi bạn tắt tính năng kiểm tra hộp thư theo mặc định, không có hành động hộp thư nào được kiểm tra, ngay cả khi tính năng kiểm tra được bật trên hộp thư (thuộc tính  AuditEnabled  trên hộp thư là  True ).
• Kiểm tra hộp thư không được bật cho các hộp thư mới và đặt thuộc tính  AuditEnabled  trên hộp thư mới hoặc hiện có thành  True  sẽ bị bỏ qua.
• Bất kỳ cài đặt liên kết bỏ qua kiểm tra hộp thư nào (được định cấu hình bằng cách sử dụng  lệnh ghép ngắn Set-MailboxAuditBypassAssosystem  ) đều bị bỏ qua.
• Hồ sơ kiểm tra hộp thư hiện có được giữ lại cho đến khi giới hạn tuổi của nhật ký kiểm tra cho bản ghi hết hạn.

Sổ ghi chép đánh giá

Để tuân thủ trong Microsoft 365, Nhật ký kiểm tra có lẽ là công cụ quan trọng nhất. Nó theo dõi mọi hành động của người dùng và tài khoản trên tất cả các dịch vụ Microsoft 365. Bạn có thể chạy các báo cáo về xóa, chia sẻ, tải xuống, chỉnh sửa, đọc, v.v. cho tất cả người dùng và tất cả các sản phẩm. Bạn cũng có thể thiết lập cảnh báo tùy chỉnh để nhận thông báo bất cứ khi nào các hoạt động cụ thể xảy ra.

Đối với tất cả tính hữu ích của nó, điều tuyệt vời nhất về nó là nó không được bật theo mặc định.

Có thể khó chịu khi bạn gặp một truy vấn hoặc vấn đề có thể dễ dàng được giải quyết nếu bạn có quyền truy cập vào nhật ký, chỉ để phát hiện ra chúng chưa bao giờ được bật ngay từ đầu. Đây là cách thiết lập nó trong tổ chức của riêng bạn.

Bật kiểm tra

Bạn (hoặc một quản trị viên khác) phải bật ghi nhật ký kiểm tra trước khi có thể bắt đầu tìm kiếm nhật ký kiểm tra.

• Truy cập cổng tuân thủ Microsoft Purview .
• Trong ngăn điều hướng bên trái của cổng tuân thủ, hãy nhấp vào  Kiểm tra .
• Nếu tổ chức của bạn không được bật tính năng kiểm tra, một biểu ngữ sẽ hiển thị nhắc bạn bắt đầu ghi lại hoạt động của người dùng và quản trị viên.

• Nhấp vào  biểu ngữ Bắt đầu ghi người dùng và hoạt động quản trị viên  . Có thể mất đến 60 phút để thay đổi có hiệu lực.

Sử dụng PowerShell để bật kiểm tra

• Kết nối với Exchange Online qua PowerShell với tư cách quản trị viên .
• Đảm bảo đối tượng thuê Microsoft 365 của bạn đã sẵn sàng cho Nhật ký kiểm tra hợp nhất bằng cách bật Tùy chỉnh tổ chức:

Enable-OrganizationCustomization

Chạy lệnh sau để bật Nhật ký kiểm tra hợp nhất:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $ true

Bật kiểm tra hộp thư

Để bật kiểm tra cho một hộp thư, hãy sử dụng lệnh PowerShell:

Set-Mailbox -Identity “Test 12” -AuditEnabled $ true

Để cho phép kiểm tra tất cả các hộp thư trong tổ chức của bạn, hãy sử dụng lệnh PowerShell:

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | Set-Mailbox -AuditEnabled $ true

Để xác nhận xem bạn đã bật kiểm tra thành công hay chưa, bạn phải chạy lệnh “ Get-Mailbox ” trong Exchange Online. Giá trị “ True ” của thuộc tính AuditEnabled xác nhận rằng bạn đã bật thành công ghi nhật ký kiểm tra hộp thư.

Tắt kiểm tra hộp thư cho các hộp thư cụ thể

Hiện tại, bạn không thể tắt tính năng kiểm tra hộp thư cho các hộp thư cụ thể khi tính năng kiểm tra hộp thư theo mặc định được bật trong tổ chức của bạn. Ví dụ: đặt thuộc  tính  hộp thư  AuditEnabled thành False  sẽ bị bỏ qua.

Tuy nhiên, bạn vẫn có thể sử dụng  lệnh ghép ngắn Set-MailboxAuditBypassAssosystem  trong Exchange Online PowerShell để ngăn  bất kỳ và tất cả các  hành động hộp thư của người dùng được chỉ định được ghi lại, bất kể hành động xảy ra ở đâu. Ví dụ:

• Các hành động của chủ sở hữu hộp thư do người dùng bỏ qua thực hiện không được ghi lại.
• Các hành động ủy quyền do người dùng bỏ qua thực hiện trên hộp thư của người dùng khác (bao gồm cả hộp thư dùng chung) không được ghi lại.
• Các tác vụ quản trị được thực hiện bởi những người dùng bỏ qua không được ghi lại.

Để bỏ qua việc ghi nhật ký kiểm tra hộp thư cho một người dùng cụ thể:

Set-MailboxAuditBypassAssosystem -Identity “Hộp thư” -AuditByPassEnabled $ true

Để xác minh rằng kiểm tra bị bỏ qua cho người dùng được chỉ định, hãy chạy lệnh sau:

Get-MailboxAuditBypassAssosystem “Hộp thư” | fl auditb *

Giá trị  True  chỉ ra rằng ghi nhật ký kiểm tra hộp thư bị bỏ qua cho người dùng.

Trao đổi báo cáo kiểm toán trực tuyến

Báo cáo kiểm tra Exchange Online bao gồm chi tiết về quyền truy cập hộp thư và các thay đổi do quản trị viên thực hiện đối với người thuê Exchange Online của tổ chức.

• Chạy báo cáo truy cập hộp thư không phải chủ sở hữu : Hiển thị danh sách các hộp thư đã được truy cập bởi người nào đó không phải là chủ sở hữu của hộp thư. Báo cáo chứa thông tin về ai đã truy cập hộp thư, các hành động họ đã thực hiện trong hộp thư và các hành động đó có thành công hay không.
• Xuất nhật ký kiểm tra hộp thư : Nhật ký kiểm tra hộp thư chứa thông tin về quyền truy cập và hành động trong hộp thư được thực hiện bởi người dùng không phải chủ sở hữu hộp thư. Quản trị viên có thể chỉ định hộp thư cùng với phạm vi ngày để tạo báo cáo. Nhật ký được xuất dưới dạng XML, được đính kèm với một tin nhắn và được gửi đến những người dùng cụ thể theo quyết định của quản trị viên.
• Chạy báo cáo nhóm vai trò quản trị viên : Nhóm vai trò quản trị viên được sử dụng để gán đặc quyền quản trị cho người dùng. Các đặc quyền này cho phép người dùng thực hiện các tác vụ quản trị như đặt lại mật khẩu, tạo hoặc sửa đổi hộp thư và gán đặc quyền quản trị cho những người dùng khác. Báo cáo nhóm vai trò quản trị hiển thị các thay đổi đối với nhóm vai trò, bao gồm cả việc thêm hoặc xóa thành viên.
• Xem nhật ký kiểm tra quản trị viên : Báo cáo nhật ký kiểm tra quản trị liệt kê tất cả các chức năng tạo, cập nhật và xóa do quản trị viên thực hiện trong Exchange Online. Các mục nhật ký cung cấp thông tin về lệnh ghép ngắn nào đã được chạy, những thông số nào đã được sử dụng, ai đã chạy lệnh ghép ngắn và những đối tượng nào bị ảnh hưởng.
• Xuất nhật ký kiểm tra quản trị viên : Nhật ký kiểm tra quản trị viên ghi lại các hành động quản trị cụ thể như tạo, cập nhật và xóa trong Exchange Online. Kết quả từ nhật ký được xuất sang XML và quản trị viên có thể chọn gửi nhật ký này đến một nhóm người dùng.
• Xem và xuất nhật ký kiểm tra quản trị viên bên ngoài : Chứa chi tiết về các hành động được thực hiện bởi quản trị viên bên ngoài. Các mục nhập cung cấp thông tin về lệnh ghép ngắn nào đã được chạy, những thông số nào đã được sử dụng và bất kỳ hành động nào tạo, sửa đổi hoặc xóa các đối tượng trong Exchange Online.

O365 Nhật ký kiểm tra quyền hạn

Để tìm kiếm kiểm tra hộp thư:

Tìm kiếm-Hộp thưAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

Để xuất kết quả thành tệp csv:

Tìm kiếm-Hộp thưAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | Export-Csv C: \ users \ AuditLogs.csv -NoTypeInformation

Để xem và xuất nhật ký dựa trên các thao tác :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete, Move, MoveToDeletedItems, SoftDelete -LogonTypes Admin, Delegate, Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | Export-Csv C: \ AuditLogs.csv -NoTypeInformation

Để xem và xuất nhật ký dựa trên các loại đăng nhập :

Tìm kiếm-Hộp thưAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 31/01/2021 -LogonTypes Owner, Delegate, Admin -ShowDetails | Export-Csv C: \ AuditLogs.csv -NoTypeInformation

Để tìm kiếm nhật ký kiểm tra hợp nhất:

Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

Để xuất các thuộc tính nhất định của nhật ký kiểm tra hợp nhất sang tệp CSV:

$ Auditlog | Select-Object -Property CreationDate, UserIds, RecordType, AuditData | Export-Csv -Append -Path c: \ AuditLogs \ PowerShellAuditlog.csv -NoTypeInformation

Để xem các thay đổi quy tắc vận tải :

Search-AdminAuditLog -Cmdlets Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021

Để xem các thay đổi của bộ lọc thư rác :

Search-AdminAuditLog -Cmdlets Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021

Để kiểm tra các thay đổi của bộ lọc kết nối :

Search-AdminAuditLog -Cmdlets Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021

Làm cách nào để xem báo cáo nhật ký kiểm tra trong SharePoint Online?

Kiểm tra môi trường SharePoint Online của bạn giúp bạn luôn an toàn và đáp ứng các yêu cầu của tuân thủ quy định. Để xem các báo cáo kiểm tra mà công cụ gốc SharePoint Online của bạn cung cấp:

• Đăng nhập vào SharePoint Online.
• Bấm vào biểu tượng cài đặt Cài đặt, sau đó bấm Cài đặt trang.
• Nhấp vào Báo cáo nhật ký kiểm tra trong phần Quản trị tuyển tập trang.
• Chọn báo cáo (chẳng hạn như Xóa) mà bạn muốn từ trang Xem Báo cáo Kiểm toán.
• Nhập URL hoặc Duyệt đến thư viện nơi bạn muốn lưu báo cáo, sau đó bấm OK.
• Trên trang Thao tác đã Hoàn thành Thành công, hãy chọn Nhấp vào đây để xem báo cáo này.

Báo cáo nhật ký kiểm tra SharePoint cho phép bạn phân tích tất cả các hoạt động trong môi trường SharePoint của bạn.

Api nhật ký kiểm tra O365

Microsoft cung cấp các dịch vụ báo cáo cho phép quản trị viên có được thông tin giao dịch tổng hợp về đối tượng thuê Microsoft 365 của họ. API hoạt động quản lý Microsoft 365 sử dụng thiết kế RESTful theo tiêu chuẩn ngành và OAuth v2 để xác thực, giúp dễ dàng bắt đầu thử nghiệm với việc truy xuất dữ liệu và nhập dữ liệu đó vào các công cụ và ứng dụng trực quan hóa.

API cung cấp nguồn cấp dữ liệu bao gồm thông tin về người dùng, quản trị viên, hoạt động và hoạt động bảo mật trong Microsoft 365. Dữ liệu có thể được lưu giữ cho các mục đích quy định hoặc kết hợp với dữ liệu nhật ký được mua từ cơ sở hạ tầng tại chỗ hoặc các nguồn khác để xây dựng giải pháp giám sát hoạt động, bảo mật và tuân thủ trong toàn doanh nghiệp.

API hoạt động quản lý hiện cung cấp một cái nhìn toàn diện về hơn 150 loại giao dịch từ SharePoint Online, OneDrive for Business, Exchange Online và Azure AD. API cung cấp một lược đồ kiểm tra nhất quán với hơn 10 trường chung trên tất cả các dịch vụ.

Điều này cho phép các tổ chức tạo kết nối dễ dàng giữa các sự kiện và nó cho phép các cách mới để lập luận về dữ liệu. Hàng chục nhà cung cấp phần mềm độc lập (ISV) đã hợp tác với Microsoft và xây dựng các giải pháp dựa trên API. Một số giải pháp chỉ tập trung vào dữ liệu Microsoft 365, trong khi các giải pháp khác cung cấp khả năng nhập dữ liệu từ nhiều nhà cung cấp đám mây và hệ thống tại chỗ để tạo ra một cái nhìn thống nhất về tất cả các hoạt động, bảo mật và hoạt động liên quan đến tuân thủ. Để biết thêm thông tin, hãy xem tham chiếu API hoạt động quản lý Microsoft 365 .

Cũng nên đọc : Bảo mật ứng dụng đám mây của Microsoft: Hướng dẫn cuối cùng

Bản tóm tắt

Nhật ký kiểm tra O365 bao gồm một số tính năng trong Trung tâm bảo mật và các phương pháp lập trình để truy xuất và phân tích dữ liệu nhật ký bằng cách sử dụng PowerShell từ xa và API REST Dịch vụ Web. Quản trị viên có thể sử dụng các tính năng kiểm tra trong Microsoft Microsoft 365 để theo dõi các thay đổi được thực hiện đối với các mục cấu hình dịch vụ và đối tượng thuê chính, đối với tài liệu và các mục khác.