O365 審核日誌：您需要知道的 15 件事

本文介紹 O365 審核日誌的概述及其用於跟踪 Microsoft 365 租戶內的用戶和管理活動的功能，例如對其 Exchange Online 和 SharePoint Online 租戶配置設置所做的更改，以及用戶對文檔和其他項目所做的更改。管理員可以使用 Microsoft 365 中提供的審核信息來履行合規義務。

1 郵箱審計

1.1 驗證郵箱審核默認開啟

1.2 Microsoft 365 組郵箱的郵箱操作

1.3 默認關閉郵箱審核

1.4 審核日誌

1.5 開啟審計

1.5.1 使用PowerShell開啟審計

1.6 啟用郵箱審核

1.7 禁用特定郵箱的郵箱審核

2 Exchange Online 審核報告

3 O365 審計日誌 powershell

4 如何在 SharePoint Online 中查看審核日誌報告？

5 O365 審計日誌 API

6 總結

郵箱審核

默認情況下，Microsoft 會為所有組織啟用郵箱審核日誌記錄。這意味著郵箱所有者、代理人和管理員執行的某些操作會被自動記錄，並且當您在郵箱審核日誌中搜索它們時，相應的郵箱審核記錄將可用。在默認情況下啟用郵箱審核之前，您必須為組織中的每個用戶郵箱手動啟用它。

以下是默認啟用郵箱審核的一些好處：

• 創建新郵箱時會自動啟用審核。您無需為新用戶手動啟用它。
• 您無需管理已審核的郵箱操作。默認情況下，會針對每種登錄類型（Admin、 Delegate和 Owner）審核一組預定義的郵箱操作。
• 當 Microsoft 發布新的郵箱操作時，該操作可能會自動添加到默認審核的郵箱操作列表中（取決於具有適當許可證的用戶）。這意味著您不需要監視在郵箱上添加新操作。
• 您在整個組織中擁有一致的郵箱審核策略（因為您正在審核所有郵箱的相同操作）。

驗證郵箱審核默認開啟

要驗證您的組織是否已默認啟用郵箱審核，請在 Exchange Online PowerShell中運行以下命令：

獲取組織配置 | FL AuditDisabled

值 False 表示默認情況下為組織啟用郵箱審核。默認情況下，此組織值會覆蓋特定郵箱上的郵箱審核設置。例如，如果為郵箱禁用郵箱審核（郵箱的 AuditEnabled 屬性為 False  ），仍將審核郵箱的默認郵箱操作，因為默認情況下為組織啟用郵箱審核。

若要為特定郵箱禁用郵箱審核，請為郵箱所有者和已被委派訪問郵箱的其他用戶配置郵箱審核繞過。有關詳細信息，請參閱 繞過郵箱審核日誌記錄。

Microsoft 365 組郵箱的郵箱操作

默認情況下啟用郵箱審核會將郵箱審核日誌記錄帶到 Microsoft 365 組郵箱，但您無法自定義記錄的內容（您無法添加或刪除為任何登錄類型記錄的郵箱操作）。請記住，對 Microsoft 365 組郵箱具有完全訪問權限的管理員被視為代理人。

默認關閉郵箱審核

通過在 Exchange Online PowerShell 中運行以下命令，您可以默認為整個組織關閉郵箱審核：

Set-OrganizationConfig -AuditDisabled $true

默認關閉郵箱審核有以下結果：

• 您的組織已禁用郵箱審核。
• 從默認情況下禁用郵箱審核開始，不會審核任何郵箱操作，即使在郵箱上啟用了審核（郵箱上的 AuditEnabled 屬性為 True）也是如此。
• 未為新郵箱啟用郵箱審核，將新郵箱  或現有郵箱上 的AuditEnabled屬性設置為True 將被忽略。
• 忽略任何郵箱審核繞過關聯設置（使用 Set-MailboxAuditBypassAssociation  cmdlet 配置）。
• 現有郵箱審核記錄會一直保留到記錄的審核日誌期限到期。

審核日誌

對於 Microsoft 365 中的合規性，審核日誌可能是最重要的工具。它跟踪所有 Microsoft 365 服務中的每個用戶和帳戶操作。您可以為所有用戶和所有產品運行有關刪除、共享、下載、編輯、讀取等的報告。您還可以設置自定義警報，以便在發生特定活動時接收通知。

儘管它很有用，但最令人驚奇的是它默認沒有打開。

當您遇到如果您可以訪問日誌就可以輕鬆解決的查詢或問題時，可能會感到沮喪，只是發現它們從未被首先啟用。以下是如何在您自己的組織中設置它。

開啟審核

您（或其他管理員）必須先打開審核日誌，然後才能開始搜索審核日誌。

• 轉到Microsoft Purview 合規門戶。
• 在合規性門戶的左側導航窗格中，單擊 Audit。
• 如果您的組織未啟用審核，則會顯示一個橫幅，提示您開始記錄用戶和管理員活動。

• 單擊 開始記錄用戶和管理員活動 橫幅。更改可能需要長達 60 分鐘才能生效。

使用 PowerShell 開啟審核

• 以管理員身份通過 PowerShell 連接到 Exchange Online 。
• 通過啟用組織自定義，確保您的 Microsoft 365 租戶已準備好使用統一審核日誌：

Enable-OrganizationCustomization

運行以下命令以啟用統一審計日誌：

設置-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

啟用郵箱審核

要為單個郵箱啟用審核，請使用 PowerShell 命令：

Set-Mailbox -Identity “Test 12” -AuditEnabled $true

要為組織中的所有郵箱啟用審核，請使用 PowerShell 命令：

Get-Mailbox -ResultSize Unlimited -Filter{RecipientTypeDetails -eq “UserMailbox”} | 設置郵箱 -AuditEnabled$true

要確認您是否已成功啟用審核，您必須在 Exchange Online中運行“ Get-Mailbox ”命令。AuditEnabled 屬性的“ True ”值確認您已成功啟用郵箱審核日誌記錄。

禁用特定郵箱的郵箱審核

目前，當您的組織中默認啟用郵箱審核時，您無法禁用特定郵箱的郵箱審核。例如，將 AuditEnabled 郵箱屬性設置為 False 將被忽略。

但是，您仍然可以使用 Exchange Online PowerShell 中的 Set-MailboxAuditBypassAssociation  cmdlet 來防止  記錄指定用戶的任何和所有郵箱操作，無論這些操作發生在何處。例如：

• 繞過用戶執行的郵箱所有者操作不會被記錄。
• 繞過用戶對其他用戶郵箱（包括共享郵箱）執行的委派操作不會被記錄。
• 繞過的用戶執行的管理操作不會被記錄。

要繞過特定用戶的郵箱審核日誌記錄：

Set-MailboxAuditBypassAssociation -Identity “郵箱” -AuditByPassEnabled $true

要驗證是否繞過了指定用戶的審核，請運行以下命令：

Get-MailboxAuditBypassAssociation “郵箱” | 佛羅里達州審計b*

值 True 表示為用戶繞過郵箱審核日誌記錄。

Exchange Online 審核報告

Exchange Online 審核報告包括有關郵箱訪問和管理員對組織的 Exchange Online 租戶所做更改的詳細信息。

• 運行非所有者郵箱訪問報告：顯示郵箱所有者以外的其他人訪問過的郵箱列表。該報告包含有關誰訪問了郵箱、他們在郵箱中執行的操作以及操作是否成功的信息。
• 導出郵箱審核日誌：郵箱審核日誌包含有關郵箱所有者以外的用戶在郵箱中執行的訪問和操作的信息。管理員可以指定郵箱以及日期範圍以生成報告。日誌以 XML 格式導出，附加到消息並發送給管理員確定的特定用戶。
• 運行管理員角色組報告：管理員角色組用於為用戶分配管理權限。這些權限允許用戶執行管理任務，例如重置密碼、創建或修改郵箱以及將管理員權限分配給其他用戶。管理員角色組報告顯示角色組的更改，包括添加或刪除成員。
• 查看管理員審核日誌：管理員審核日誌報告列出了管理員在 Exchange Online 中執行的所有創建、更新和刪除功能。日誌條目提供有關運行的 cmdlet、使用的參數、運行 cmdlet 的人員以及受影響的對象的信息。
• 導出管理員審核日誌：管理員審核日誌記錄特定的管理操作，例如在 Exchange Online 中的創建、更新和刪除。日誌的結果被導出為 XML，管理員可以選擇將此日誌發送給一組用戶。
• 查看和導出外部管理員審核日誌：包含外部管理員執行的操作的詳細信息。這些條目提供有關運行了哪些 cmdlet、使用了哪些參數以及在 Exchange Online 中創建、修改或刪除對象的任何操作的信息。

O365 審計日誌 powershell

要搜索郵箱審核：

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

要將結果導出到 csv 文件：

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | 導出 Csv C:\users\AuditLogs.csv -NoTypeInformation

根據操作查看和導出日誌：

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | 導出-CSV C:\AuditLogs.csv -NoTypeInformation

根據登錄類型查看和導出日誌：

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | 導出-CSV C:\AuditLogs.csv -NoTypeInformation

搜索統一審計日誌：

搜索-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

要將統一審計日誌的某些屬性導出到 CSV 文件：

$審計日誌 | Select-Object -Property CreationDate、UserIds、RecordType、AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

查看傳輸規則更改：

Search-AdminAuditLog -Cmdlets Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021

要查看垃圾郵件過濾器 更改：

Search-AdminAuditLog -Cmdlets Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021

要檢查連接過濾器 更改：

Search-AdminAuditLog -Cmdlets Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021

如何在 SharePoint Online 中查看審核日誌報告？

審核您的 SharePoint Online 環境可幫助您保持安全並滿足法規遵從性的要求。要查看您的 SharePoint Online 本機工具提供的審核報告：

• 登錄到 SharePoint Online。
• 單擊設置設置圖標，然後單擊站點設置。
• 單擊網站集管理部分中的審核日誌報告。
• 從查看審核報告頁面中選擇您想要的報告（例如刪除）。
• 鍵入 URL 或瀏覽到要保存報告的庫，然後單擊確定。
• 在“操作已成功完成”頁面上，選擇“單擊此處查看此報告”。

SharePoint 審核日誌報告可讓您分析 SharePoint 環境中的所有活動。

O365 審核日誌 API

Microsoft 提供報告服務，使管理員能夠獲取有關其 Microsoft 365 租戶的匯總交易信息。Microsoft 365 管理活動 API 使用行業標準的 RESTful 設計和 OAuth v2 進行身份驗證，從而可以輕鬆地開始嘗試檢索數據並將其攝取到可視化工具和應用程序中。

API 提供了一個數據源，其中包括有關 Microsoft 365 中的用戶、管理員、操作和安全活動的信息。這些數據可以出於監管目的而保留，或者與從本地基礎架構或其他來源獲取的日誌數據相結合，以構建一個整個企業的運營、安全和合規性監控解決方案。

管理活動 API 目前提供來自 SharePoint Online、OneDrive for Business、Exchange Online 和 Azure AD 的 150 多種事務類型的綜合視圖。API 提供了一致的審計架構，其中包含所有服務共有的 10 多個字段。

這使組織可以輕鬆地在事件之間建立聯繫，並提供對數據進行推理的新方法。數十家獨立軟件供應商 (ISV) 已與 Microsoft 合作，並基於 API 構建了解決方案。一些解決方案僅專注於 Microsoft 365 數據，而其他解決方案提供從多個雲提供商和本地系統提取數據的能力，以創建所有操作、安全性和合規性相關活動的統一視圖。有關詳細信息，請參閱Microsoft 365 管理活動 API 參考。

另請閱讀：Microsoft Cloud App Security：權威指南

概括

O365 審核日誌包括安全中心的多項功能，以及使用遠程 PowerShell 和 Web 服務 REST API 檢索和分析日誌數據的編程方法。管理員可以使用 Microsoft Microsoft 365 中的審核功能來跟踪對關鍵租戶和服務配置項目、文檔和其他項目所做的更改。