Effectuer une recherche dans le journal d’audit

La recherche dans Microsoft Purview Audit (Standard) et Audit (Premium) donne à votre organization accès aux données d’événements critiques du journal d’audit pour obtenir des insights et examiner plus en détail les activités des utilisateurs.

  • Les travaux de recherche lancés via le portail de conformité ne nécessitent plus que la fenêtre du navigateur web reste ouverte pour se terminer. Ces travaux continueront à s’exécuter même après la fermeture de la fenêtre du navigateur.
  • Les travaux de recherche terminés sont maintenant stockés pendant 30 jours, ce qui vous permet de référencer des recherches d’audit historiques.
  • Chaque utilisateur de compte d’audit administrateur peut avoir un maximum de 10 travaux de recherche simultanés en cours avec un maximum d’un travail de recherche non filtré.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant de rechercher dans le journal d’audit

Veillez à passer en revue les éléments suivants avant de commencer à rechercher dans le journal d’audit.

  • Nous activons par défaut la recherche dans le journal d’audit pour les organisations d’entreprise Microsoft 365 et Office 365. Pour vérifier que la recherche dans les journaux d’audit est activée, vous pouvez exécuter la commande suivante dans Exchange Online PowerShell :

    Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
    

    La valeur True de la propriété UnifiedAuditLogIn élémentsenabled indique que vous avez activé la recherche dans le journal d’audit. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Activer ou désactiver la recherche dans le journal d’audit.

    Importante

    Veillez à exécuter la commande précédente dans Exchange Online PowerShell. Bien que l’applet de commande Get-AdminAuditLogConfig soit également disponible dans Security & Compliance PowerShell, la propriété UnifiedAuditLogIngestionEnabled a toujours Falsela valeur , même lorsque la recherche dans le journal d’audit est activée.

  • Les rôles Journaux d’audit ou Journaux d’audit d’affichage uniquement doivent vous être attribués dans le portail Microsoft Purview ou portail de conformité Microsoft Purview pour effectuer une recherche dans le journal d’audit. Par défaut, ces rôles sont attribués aux groupes de rôles Gestionnaire d’audit et Lecteur d’audit sur la page Autorisations du portail de conformité. Pour plus d’informations, consultez Prise en main des solutions d’audit. Pour accéder aux applets de commande d’audit, les rôles Journaux d’audit ou Journaux d’audit d’affichage uniquement doivent vous être attribués dans le Centre d’administration Exchange. Vous pouvez également créer des groupes de rôles personnalisés avec la possibilité de rechercher dans le journal d’audit en ajoutant les rôles Afficher uniquement journaux d’audit ou Journaux d’audit à un groupe de rôles personnalisé.

    Pour plus d’informations, reportez-vous aux rubriques suivantes :

  • Lorsqu’une activité auditée est effectuée par un utilisateur ou un administrateur, un enregistrement d’audit est généré et stocké dans le journal d’audit pour votre organisation. La durée pendant laquelle un enregistrement d'audit est conservé (et consultable dans le journal d'audit) dépend de votre abonnement Office 365 ou Microsoft 365 Entreprise, et en particulier du type de licence attribuée à des utilisateurs spécifiques.

    • Pour les utilisateurs auxquels une licence Office 365 E5 ou Microsoft 365 E5 est attribuée (ou les utilisateurs disposant d’une licence d’extension Microsoft 365 E5 Conformité ou Microsoft 365 E5 eDiscovery et Audit), les enregistrements d’audit pour Microsoft Entra IDLes activités Exchange et SharePoint sont conservées pendant un an par défaut. Les organisations peuvent également créer des stratégies de rétention du journal d’audit pour conserver les enregistrements d’audit pour les activités dans d’autres services pendant un an. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.

      Remarque

      Si votre organisation a participé au programme d’aperçu privé pour la conservation d’un an de rapports d’audit, la durée de conservation des enregistrements d’audit générés avant la date de lancement générale de la disponibilité ne sera pas réinitialisée.

    • Pour les utilisateurs affectés à toute autre Office 365 (non E5) ou licence Microsoft 365, les enregistrements d’audit sont conservés pendant 180 jours. Pour obtenir la liste des abonnements Office 365 et Microsoft 365 qui prennent en charge la journalisation d’audit unifiée, consultez les conditions d’abonnement pour Audit (Standard) et Audit (Premium).

      Importante

      La période de rétention par défaut pour Audit (Standard) est passée de 90 jours à 180 jours. Les journaux d’audit (Standard) générés avant le 17 octobre 2023 sont conservés pendant 90 jours. Les journaux d’audit (Standard) générés à partir du 17 octobre 2023 suivent la nouvelle conservation par défaut de 180 jours.

      Remarque

      Même lorsque l’audit de boîte aux lettres activé par défaut est activé, vous remarquerez peut-être que les événements d’audit de boîte aux lettres pour certains utilisateurs ne sont pas trouvés dans les recherches dans les journaux d’audit dans le portail de conformité ou via l’API d’activité de gestion Office 365. Pour plus d’informations, consultez la rubrique Plus d’informations sur la journalisation d’audit de boîtes aux lettres.

  • Si vous souhaitez désactiver la recherche dans le journal d’audit pour votre organisation, vous pouvez exécuter la commande suivante dans le PowerShell Exchange Online :

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    

    Pour réactiver la recherche d’audit, vous pouvez exécuter la commande suivante dans Exchange Online PowerShell :

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Pour plus d’informations, consultez l’article Désactiver la recherche dans le journal d’audit.

  • L’applet de commande sous-jacente utilisée pour rechercher dans le journal d’audit est une applet de commande Exchange Online, qui est Search-UnifiedAuditLog. Cela signifie que vous pouvez utiliser cette cmdlet pour effectuer une recherche dans le journal d’audit au lieu d’utiliser l’outil de recherche sur la page Audit du portail de conformité. Vous devez exécuter cette cmdlet dans PowerShell distant connecté à votre organisation Exchange Online. Pour plus d’informations, voir Search-UnifiedAuditLog.

    Pour plus d’informations sur l’exportation des résultats de recherche renvoyés par l’applet de commande Search-UnifiedAuditLog vers un fichier CSV, voir la section «conseils pour l'exportation et l’affichage du journal d’audit» dans exporter, configurer et afficher les enregistrements du journal d’audit..

  • Si vous voulez télécharger par programme les données du journal d’audit, nous recommandons d’utiliser l’API Activité de gestion Office 365 au lieu d’un script PowerShell. L’API Activité de gestion Office 365 est un service web REST que vous pouvez utiliser pour développer des solutions de surveillance des opérations, de la sécurité et de la conformité pour votre organisation. Pour plus d’informations, consultez Référence de l’API d’activité de gestion d’Office 365.

  • Microsoft Entra ID est le service d’annuaire pour Microsoft 365. Le journal d’audit unifié contient les activités des utilisateurs, des groupes, des applications, des domaines et des annuaires effectuées dans le Centre d’administration Microsoft 365 ou le portail de gestion Azure. Pour obtenir la liste complète des événements Microsoft Entra, consultez Microsoft Entra auditer les événements de rapport.

  • Microsoft Corporation ne garantit pas un délai spécifique après la survenue d'un événement pour que l'enregistrement d'audit correspondant soit renvoyé dans les résultats d'une recherche dans le journal d'audit. Pour les services principaux (par exemple, Exchange, SharePoint, OneDrive et Teams), la disponibilité des enregistrements d’audit est généralement de 60 à 90 minutes après qu’un événement se produit. Pour d’autres services, la disponibilité des enregistrements d’audit peut être plus longue. Toutefois, certains problèmes inévitables (comme une panne de serveur) peuvent se produire en dehors du service d’audit, ce qui retarde la disponibilité des enregistrements d’audit. Pour cette raison, Microsoft Corporation ne s’engage pas à une heure spécifique.

  • Pour rechercher des activités Power BI dans le journal d’audit, vous devez activer l’audit dans le portail d’administration Power BI. Pour consulter des instructions, voir la section «journaux d’audit» du portail d’administration Power BI.

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Pour commencer à utiliser la recherche, procédez comme suit :

  1. Connectez-vous au portail Microsoft Purview.

  2. Sélectionnez le carte Solution d’audit. Si le carte de solution d’audit n’est pas affiché, sélectionnez Afficher toutes les solutions, puis auditer dans la section Core.

  3. Dans la page Recherche , configurez les critères de recherche suivants, le cas échéant :

    1. Plage de dates et d’heures (UTC) : les sept derniers jours sont sélectionnés par défaut. Sélectionnez une plage de dates et d’heures pour afficher les événements survenus pendant cette période. La date et l’heure sont présentées en temps universel coordonné (UTC). La plage de dates maximale que vous pouvez spécifier est de 180 jours. Une erreur s’affiche si la plage de dates sélectionnée est supérieure à 180 jours.

      Conseil

      Si vous utilisez la plage de dates maximale de 180 jours, sélectionnez l’heure actuelle pour la date de début. Dans le cas contraire, un message d’erreur indiquant que la date de début est antérieure à la date de fin apparaît. Si vous avez activé l’audit au cours des 180 derniers jours, la plage de dates maximale ne peut pas commencer avant la date à laquelle l’audit a été activé.

    2. Recherche par mot clé : entrez un mot clé ou une expression à rechercher dans le journal d’audit. La mot clé ou l’expression est recherchée dans le journal d’audit ou dans le fichier, le dossier ou les sites (si spécifié) pour la recherche. Pour rechercher du texte contenant des caractères spéciaux, remplacez les caractères spéciaux par un astérisque(*) dans votre recherche mot clé. Par exemple, pour rechercher test_search_document, utilisez test*search*document.

      Importante

      Les termes entrés dans le champ Recherche par mot clé sont recherchés uniquement dans le contenu indexé (contenu dans le schéma commun d’audit). Le contenu des données d’audit dans le journal d’audit n’est pas recherché pour ces mots clés.

    3. Administration Unités : sélectionnez la liste déroulante pour afficher les unités administratives auxquelles vous souhaitez que les activités auditées soient limitées à votre recherche. Vous pouvez sélectionner une ou plusieurs unités administratives pour définir l’étendue de votre recherche. Laissez cette case vide pour renvoyer les entrées de toutes les unités administratives de votre organization.

    4. Activités - noms conviviaux : sélectionnez la liste déroulante pour afficher les noms conviviaux des activités auditées que vous pouvez rechercher. Les noms conviviaux pour les activités utilisateur et administrateur sont organisés en groupes d’activités associées. À l’aide de noms conviviaux, vous pouvez sélectionner des activités auditées spécifiques ou vous pouvez sélectionner le nom du groupe d’activités pour sélectionner toutes les activités du groupe. Vous pouvez également sélectionner une activité sélectionnée pour effacer la sélection. Pour rechercher un nom convivial pour les activités de la liste, utilisez la zone de recherche au-dessus de la liste.

    5. Activités - noms des opérations : entrez les noms exacts des opérations à rechercher pour les activités auditées à inclure dans vos résultats de recherche. Vous pouvez entrer un ou plusieurs noms d’opération, séparés par des virgules. Ce critère de recherche est similaire aux recherches précédentes disponibles uniquement dans PowerShell et offre une plus grande flexibilité pour vous aider à trouver les données dont vous avez besoin.

      Importante

      Les noms des opérations doivent être entrés exactement tels qu’ils sont nommés. Si les noms des opérations sont entrés de manière incorrecte, aucun résultat n’est retourné.

      Par exemple, pour rechercher toutes les activités liées à l’activation et à la désactivation des obstacles à l’information pour un site SharePoint dans votre organization, vous devez :

      • Consultez l’article activités d’audit pour trouver le nom exact de l’opération pour les activités d’obstacles à l’information que vous souhaitez rechercher. Dans cet exemple, les noms des opérations sont SPOIBIsEnabled et SPOIBIsDisabled.
      • Entrez SPOIBIsEnabled,SPOIBIsDisabled dans le champ de recherche de l’opération. Nous vous recommandons de copier et coller les noms des opérations directement de l’article dans le champ de recherche d’opération pour vous assurer qu’ils sont entrés correctement et sans fautes de frappe.
    6. Types d’enregistrements : sélectionnez la liste déroulante pour afficher les types d’enregistrements pour les activités auditées que vous pouvez rechercher. Vous pouvez sélectionner un ou plusieurs types d’enregistrements à rechercher. Pour rechercher un type d’enregistrement dans la liste, utilisez la zone de recherche au-dessus de la liste.

      Des types d’enregistrements spécifiques sont associés à des applications et des services Microsoft spécifiques. Par exemple, si vous souhaitez limiter votre recherche de types d’enregistrements spécifiques associés aux étiquettes de confidentialité dans Protection des données Microsoft Purview (MIP), vous pouvez sélectionner les types d’enregistrements MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem et MipAutoLabelSharePointPolicyLocation dans la liste.

    7. Nom de la recherche : entrez un nom personnalisé pour votre travail de recherche. Ce nom est utilisé pour identifier votre travail de recherche dans l’historique des travaux de recherche. Si vous n’entrez pas de nom, le travail de recherche est automatiquement nommé à l’aide d’une combinaison de la date et de l’heure définies pour la recherche et d’autres valeurs de critères de recherche définies.

    8. Utilisateurs : sélectionnez ce champ et choisissez les noms d’un ou de plusieurs utilisateurs pour lesquels afficher les résultats de la recherche. Les entrées du journal d’audit pour l’activité sélectionnée effectuée par les utilisateurs que vous sélectionnez dans cette zone apparaissent dans la liste des résultats. Laissez cette zone vide pour renvoyer les entrées pour tous les utilisateurs (et les comptes de service) dans votre organisation.

    9. Fichier, dossier ou site : entrez tout ou partie d’un nom de fichier ou de dossier pour rechercher l’activité liée au fichier du dossier qui contient le mot clé spécifié. Ce critère de recherche renvoie tous les résultats associés pour les fichiers, dossiers et sites correspondants. Vous pouvez également spécifier l’URL d’un fichier ou d’un dossier. Si vous utilisez une URL, assurez-vous que le type du chemin d’accès complet de l’URL ou si vous tapez une partie de l’URL, n’incluez pas de caractères spéciaux ou d’espaces (toutefois, l’utilisation du caractère générique (*) est prise en charge). Laissez cette zone vide pour renvoyer les entrées correspondant à tous les fichiers et dossiers dans votre organisation.

    10. Charges de travail : entrez ou recherchez des services de charge de travail pour rechercher l’activité liée aux charges de travail sélectionnées. Entrez le nom d’une charge de travail pour accéder à la charge de travail dans la liste ou faites défiler jusqu’aux charges de travail que vous souhaitez sélectionner.

  4. Sélectionnez Rechercher pour démarrer votre travail de recherche. Un maximum de 10 travaux de recherche peuvent être exécutés en parallèle pour un compte d’utilisateur. Si un utilisateur a besoin de plus de 10 travaux de recherche, il doit attendre qu’un travail en cours se termine ou supprime un travail de recherche.

Tableau de bord du travail de recherche

Les travaux de recherche actifs et terminés sont affichés dans le tableau de bord des travaux de recherche. Le tableau de bord affiche les informations suivantes pour chaque travail de recherche :

  • Nom de la recherche : nom du travail de recherche. Le nom de recherche complet d’un travail peut être vu en pointant le curseur sur le nom du travail de recherche.
  • Status du travail : status du travail de recherche. Le status peut être mis en file d’attente, En cours ou Terminé.
  • Progression (%) : pourcentage de la tâche de recherche terminée.
  • Temps de recherche : temps d’exécution total qui s’est écoulé pour terminer le travail de recherche.
  • Total des résultats : nombre total de résultats retournés par le travail de recherche.
  • Heure de création : date et heure de création du travail de recherche au format UTC.
  • Recherche effectuée par : compte d’utilisateur qui a créé le travail de recherche.

Résultats d’une vue d’ensemble de la recherche d’audit dans Microsoft Purview.

Supprimez les travaux de recherche en sélectionnant le travail, puis en sélectionnant Supprimer dans la barre de commandes. La suppression d’un travail de recherche ne supprime pas les données back-end associées à la recherche. Il supprime uniquement la définition du travail de recherche et le résultat de recherche associé.

Pour copier les critères de recherche d’un travail de recherche existant, sélectionnez le travail, puis sélectionnez Copier cette recherche dans la barre de commandes. Les critères de recherche sont copiés dans la page de recherche et vous pouvez modifier les critères de recherche en fonction des besoins d’une nouvelle recherche.

Tableau de bord des détails de la tâche de recherche

Pour afficher les détails d’une tâche de recherche, sélectionnez la tâche de recherche. Le nombre total d’éléments dans le travail est inclus en haut du tableau de bord. Le nombre total de résultats déduit les doublons, c’est pourquoi il peut être inférieur au nombre d’éléments dans le tableau de bord du travail de recherche.

Tableau de bord des détails de l’élément de travail de recherche.

Le tableau de bord détails du travail de recherche affiche les informations suivantes sur les éléments individuels collectés dans les résultats de la tâche de recherche :

  • Date (UTC) : date et heure auxquelles l’activité s’est produite.
  • Adresse IP : adresse IP de l’appareil qui a été utilisé pour effectuer l’activité.
  • Utilisateur : compte d’utilisateur qui a effectué l’activité.
  • Type d’enregistrement : type d’enregistrement associé à l’activité.
  • Activité : nom convivial de l’activité qui a été effectuée.
  • Élément : nom du fichier, dossier ou site sur lequel l’activité a été traitée.
  • unités Administration : unité d’administration à laquelle appartient le compte d’utilisateur qui a effectué l’activité.
  • Détails : détails supplémentaires sur l’activité.

Vous pouvez trier les éléments du travail de recherche à l’aide des en-têtes de colonne ou créer un filtre personnalisé à l’aide du volet de filtre. Utilisez le filtre pour filtrer les éléments de travail de recherche pour des valeurs spécifiques pour l’un des critères de colonne du tableau de bord. Pour exporter tous les éléments de travail de recherche dans un fichier .csv, sélectionnez Exporter dans la barre de commandes. L’exportation prend en charge les résultats jusqu’à 50 Ko pour Audit (Standard) et jusqu’à 500 Ko (500 000 lignes) pour Audit (Premium).

Sélectionnez une activité spécifique pour afficher plus de détails sur l’activité dans une fenêtre volante. La fenêtre volante affiche les informations supplémentaires sur l’activité.

Détails de l’élément de recherche.

Accès d’étendue aux journaux d’audit à l’aide d’unités administratives

L’accès à la recherche dans le journal d’audit est limité en fonction des unités administratives affectées à l’utilisateur qui accède au journal d’audit dans le portail de conformité. Un administrateur restreint peut uniquement rechercher et exporter les journaux d’audit générés par l’utilisateur dans l’étendue de ses unités administratives. Un administrateur sans restriction a accès à tous les journaux d’audit, y compris aux journaux générés par les comptes système et non utilisateur. Pour accéder aux journaux d’activité délimités à partir de n’importe quel service Microsoft, y compris les journaux d’activité de boîte aux lettres Exchange, utilisez l’applet de commande Search-UnifiedAuditLog .

Administration unités attribuées aux administrateurs Administration unités disponibles pour effectuer une recherche délimitée Accès aux journaux d’audit de recherche et d’exportation
Aucun (par défaut) : Administrateur non restreint Toutes les unités administratives sont disponibles Accès à tous les journaux d’activité à partir d’un utilisateur, d’un non-utilisateur ou d’un compte système.
Une ou plusieurs unités administratives : Administrateur restreint Seules les unités administratives affectées à l’administrateur sont disponibles Accès aux journaux d’activité des utilisateurs avec une affectation d’unité administrative correspondante.

Les activités d’audit suivantes sont accessibles uniquement par les requêtes de recherche effectuées par un administrateur non restreint. Nous nous efforçons de garantir que ces journaux sont accessibles lorsqu’ils sont interrogés par un administrateur restreint. Pour afficher la liste complète des journaux d’audit de ces activités, envoyez une demande de recherche à l’aide d’un compte administrateur non restreint.

Service Opération
Azure Information Protection Découvrir
Dynamics 365 CrmDefaultActivity
Point de terminaison protection contre la perte de données FileCreated
FileCreatedOnNetworkShare
FileCreatedOnRemovableMedia
FileDeleted
Exchange Set-Mailbox
Set-MailboxPlan
SupervisionBulkEmailExclusion
Microsoft Forms ViewRuntimeForm

Pour plus d’informations sur les unités administratives, consultez Autorisations dans le portail de conformité Microsoft Purview.