Eseguire ricerche nel log di controllo

La ricerca in Microsoft Purview Audit (Standard) e Audit (Premium) consente all'organizzazione di accedere ai dati critici degli eventi del log di controllo per ottenere informazioni dettagliate e analizzare ulteriormente le attività degli utenti.

  • I processi di ricerca avviati tramite il portale di conformità non richiedono più che la finestra del Web browser rimanga aperta per il completamento. Questi processi continueranno a essere eseguiti anche dopo la chiusura della finestra del browser.
  • I processi di ricerca completati vengono ora archiviati per 30 giorni, consentendo di fare riferimento alle ricerche di controllo cronologico.
  • Ogni utente dell'account di controllo amministratore può avere un massimo di 10 processi di ricerca simultanei in corso con un massimo di un processo di ricerca non filtrato.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Prima di cercare il log di audit

Assicurarsi di esaminare gli elementi seguenti prima di iniziare la ricerca nel log di controllo.

  • La ricerca nel registro di controllo è attivata per impostazione predefinita per le organizzazioni aziendali di Microsoft 365 e Office 365. Per verificare che la ricerca nei log di controllo sia attivata, è possibile eseguire il comando seguente in Exchange Online PowerShell:

    Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
    

    Il valore True per la proprietà UnifiedAuditLogIngestionEnabled indica che la ricerca nel log di controllo è attivata. Per altre informazioni, vedere Attivare o disattivare la ricerca nel log di controllo.

    Importante

    Assicurarsi di eseguire il comando precedente in Exchange Online PowerShell. Anche se il cmdlet Get-AdminAuditLogConfig è disponibile anche in PowerShell sicurezza & conformità, la proprietà UnifiedAuditLogIngestionEnabled è sempre False, anche quando è attivata la ricerca nel log di controllo.

  • È necessario assegnare i ruoli Log di controllo o Log di controllo solo visualizzazione nel portale di Microsoft Purview o Portale di conformità di Microsoft Purview per eseguire ricerche nel log di controllo. Per impostazione predefinita, questi ruoli vengono assegnati ai gruppi di ruoli Audit Manager e Audit Reader nella pagina Autorizzazioni del portale di conformità. Per altre informazioni, vedere Introduzione alle soluzioni di controllo. Per accedere ai cmdlet di controllo, è necessario assegnare i ruoli Log di controllo o Log di controllo solo visualizzazione nell'interfaccia di amministrazione di Exchange. È anche possibile creare gruppi di ruoli personalizzati con la possibilità di eseguire ricerche nel log di controllo aggiungendo i ruoli Log di controllo di sola visualizzazione o Log di controllo a un gruppo di ruoli personalizzato.

    Per altre informazioni, vedere:

  • Quando un'attività di controllo viene eseguita da un utente o da un amministratore, viene generato un record di controllo che viene archiviato nel log di controllo per l'organizzazione. Il periodo di tempo per cui il record di controllo viene conservato (ed è disponibile per la ricerca nel log di controllo) varia in base all'abbonamento a Office 365 o Microsoft 365 Enterprise e, in particolare, al tipo di licenza assegnata a un utente specifico.

    • Per gli utenti a cui è stata assegnata una licenza Office 365 E5 o Microsoft 365 E5 (o gli utenti con una licenza di Microsoft 365 E5 Compliance o Microsoft 365 E5 eDiscovery e Audit add-on), controllare i record per Microsoft Entra ID, Exchange e l'attività di SharePoint vengono mantenute per un anno per impostazione predefinita. Le organizzazioni possono anche creare criteri di conservazione del log di controllo per conservare i record di controllo per le attività in altri servizi per un massimo di un anno. Per altre informazioni, vedere Gestire i criteri di conservazione dei log di controllo.

      Nota

      Se l'organizzazione ha partecipato al programma di anteprima privata per la conservazione dei record di controllo per un anno, la durata di conservazione per i record di controllo generati prima della data di implementazione della disponibilità generale non verrà reimpostata.

    • Per gli utenti assegnati a qualsiasi altra licenza (non E5) Office 365 o Microsoft 365, i record di controllo vengono conservati per 180 giorni. Per un elenco di sottoscrizioni di Office 365 e Microsoft 365 che supportano la registrazione di controllo unificata, vedere i requisiti di sottoscrizione per Audit (Standard) e Audit (Premium).

      Importante

      Il periodo di conservazione predefinito per Audit (Standard) è cambiato da 90 giorni a 180 giorni. I log di controllo (standard) generati prima del 17 ottobre 2023 vengono conservati per 90 giorni. I log di controllo (standard) generati il 17 ottobre 2023 o successivi seguono la nuova conservazione predefinita di 180 giorni.

      Nota

      Anche quando il controllo delle cassette postali è attivato per impostazione predefinita, è possibile notare che gli eventi di controllo delle cassette postali per alcuni utenti non vengono trovati nelle ricerche nei log di controllo nel portale di conformità o tramite l'API attività di gestione Office 365. Vedere la sezione Altre informazioni sulla registrazione di controllo delle cassette postali.

  • Se si desidera disabilitare la ricerca nel log di controllo per la propria organizzazione, è possibile eseguire il comando seguente in PowerShell di Exchange Online:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    

    Per attivare di nuovo la ricerca nel log di controllo, è possibile eseguire il comando seguente in PowerShell di Exchange Online:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Per altre informazioni, vedere Disabilitare la ricerca nel log di controllo.

  • Il cmdlet sottostante usato per eseguire ricerche nel log di controllo è un cmdlet Exchange Online, ovvero Search-UnifiedAuditLog. Ciò significa che è possibile usare questo cmdlet per eseguire ricerche nel log di controllo anziché usare lo strumento di ricerca nella pagina Audit del portale di conformità. È necessario eseguire questo cmdlet in PowerShell di Exchange Online. Per altre informazioni, vedere Search-UnifiedAuditLog.

    Per informazioni sull'esportazione dei risultati della ricerca restituiti dal cmdlet Search-UnifiedAuditLog in un file CSV, vedere la sezione "Suggerimenti per l'esportazione e la visualizzazione del log di controllo in Esportare, configurare e visualizzare i record del log di controllo .

  • Per scaricare i dati a livello di programmazione dal log di controllo, è consigliabile usare l'API Office 365 Management Activity, invece di uno script di PowerShell. L'API Office 365 Management Activity è un servizio Web REST che è possibile utilizzare per sviluppare operazioni e soluzioni per la sicurezza e il monitoraggio della conformità per l'organizzazione. Per altre informazioni, vedere Riferimento API Office 365 Management Activity.

  • Microsoft Entra ID è il servizio directory per Microsoft 365. Il log di controllo unificato contiene le attività di utenti, gruppi, applicazioni, domini e directory eseguite nell'interfaccia di amministrazione di Microsoft 365 o nel portale di gestione di Azure. Per un elenco completo degli eventi Microsoft Entra, vedere Microsoft Entra audit Report Events.

  • Microsoft non garantisce un tempo specifico dopo la generazione di un evento per la restituzione del record di controllo corrispondente nei risultati di una ricerca nel log di controllo. Per i servizi principali (ad esempio Exchange, SharePoint, OneDrive e Teams), la disponibilità dei record di controllo è in genere da 60 a 90 minuti dopo l'evento. Per altri servizi, la disponibilità dei record di controllo potrebbe essere più lunga. Tuttavia, alcuni problemi inevitabili, ad esempio un'interruzione del server, possono verificarsi al di fuori del servizio di controllo che ritarda la disponibilità dei record di controllo. Per questo motivo, Microsoft non esegue il commit a un orario specifico.

  • Per cercare le attività di Power BI nel log di controllo, è necessario abilitare il controllo nel portale di amministrazione di Power BI. Per le istruzioni, vedere la sezione "Log di controllo" nel portale di amministrazione di Power BI.

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Completare i passaggi seguenti per iniziare a usare la ricerca:

  1. Accedere al portale di Microsoft Purview.

  2. Selezionare la scheda Controlla soluzione. Se la scheda Controlla soluzione non è visualizzata, selezionare Visualizza tutte le soluzioni e quindi selezionare Controlla nella sezione Core .

  3. Nella pagina Ricerca configurare i criteri di ricerca seguenti in base alle esigenze:

    1. Intervallo di data e ora (UTC): gli ultimi sette giorni sono selezionati per impostazione predefinita. Selezionare un intervallo di date e ore per visualizzare gli eventi che si sono verificati in quel periodo. La data e l'ora vengono presentate in formato UTC (Coordinated Universal Time). L'intervallo di date massimo che è possibile specificare è 180 giorni. Viene visualizzato un errore se l'intervallo di date selezionato è maggiore di 180 giorni.

      Consiglio

      Se si usa l'intervallo di date massimo di 180 giorni, selezionare l'ora corrente per la data di inizio. In caso contrario, verrà visualizzato un errore che indica che la data di inizio è precedente alla data di fine. Se il controllo è stato attivato negli ultimi 180 giorni, l'intervallo di date massimo non può iniziare prima della data di attivazione del controllo.

    2. Ricerca parola chiave: immettere una parola chiave o una frase da cercare nel log di controllo. La parola chiave o la frase viene cercata nel log di controllo o nel file, nella cartella o nei siti (se specificato) per la ricerca. Per cercare testo contenente caratteri speciali, sostituire i caratteri speciali con un asterisco(*) nella ricerca di parole chiave. Ad esempio, per cercare test_search_document, usare test*search*document.

      Importante

      I termini immessi nel campo Ricerca parole chiave vengono cercati solo all'interno del contenuto indicizzato (contenuto all'interno dello schema comune Controlla). Il contenuto dei dati di controllo nel log di controllo non viene cercato per queste parole chiave.

    3. Amministrazione Unità: selezionare l'elenco a discesa per visualizzare le unità amministrative a cui si vuole applicare l'ambito delle attività controllate per la ricerca. È possibile selezionare una o più unità amministrative a cui definire l'ambito della ricerca. Lasciare vuota questa casella per restituire le voci per tutte le unità amministrative dell'organizzazione.

    4. Attività - nomi descrittivi: selezionare l'elenco a discesa per visualizzare i nomi descrittivi per le attività controllate che è possibile cercare. I nomi descrittivi per le attività utente e amministratore sono organizzati in gruppi di attività correlate. Usando nomi descrittivi, è possibile selezionare attività controllate specifiche oppure selezionare il nome del gruppo di attività per selezionare tutte le attività nel gruppo. È anche possibile selezionare un'attività selezionata per annullare la selezione. Per cercare un nome descrittivo per le attività nell'elenco, usare la casella di ricerca sopra l'elenco.

    5. Attività : nomi delle operazioni: immettere i nomi esatti delle operazioni per cercare le attività controllate da includere nei risultati della ricerca. È possibile immettere uno o più nomi di operazione, separati da virgole. Questo criterio di ricerca è simile alle ricerche precedenti disponibili solo in PowerShell e offre una maggiore flessibilità per trovare i dati necessari.

      Importante

      I nomi delle operazioni devono essere immessi esattamente come sono denominati. Se i nomi delle operazioni vengono immessi in modo errato, non vengono restituiti risultati.

      Ad esempio, per cercare tutte le attività correlate all'abilitazione e alla disabilitazione delle barriere informative per un sito di SharePoint nell'organizzazione, è necessario:

      • Esaminare l'articolo sulle attività di controllo per trovare il nome esatto dell'operazione per le attività sulle barriere informative che si desidera cercare. In questo esempio i nomi delle operazioni sono SPOIBIsEnabled e SPOIBIsDisabled.
      • Immettere SPOIBIsEnabled,SPOIBIsDisabled nel campo di ricerca dell'operazione. È consigliabile copiare e incollare i nomi delle operazioni direttamente dall'articolo al campo di ricerca dell'operazione per assicurarsi che vengano immessi correttamente e senza errori di digitazione.
    6. Tipi di record: selezionare l'elenco a discesa per visualizzare i tipi di record per le attività controllate che è possibile cercare. È possibile selezionare uno o più tipi di record da cercare. Per cercare un tipo di record nell'elenco, usare la casella di ricerca sopra l'elenco.

      Tipi di record specifici sono associati a specifici servizi e applicazioni Microsoft. Ad esempio, se si desidera definire l'ambito della ricerca per tipi di record specifici associati alle etichette di riservatezza in Microsoft Purview Information Protection (MIP), è possibile selezionare i tipi di record MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem e MipAutoLabelSharePointPolicyLocation dall'elenco.

    7. Nome ricerca: immettere un nome personalizzato per il processo di ricerca. Questo nome viene usato per identificare il processo di ricerca nella cronologia del processo di ricerca. Se non si immette un nome, il processo di ricerca viene denominato automaticamente usando una combinazione della data e dell'ora definite per la ricerca e altri valori dei criteri di ricerca definiti.

    8. Utenti: selezionare questo campo e scegliere i nomi di uno o più utenti per cui visualizzare i risultati della ricerca. Nell'elenco di risultati vengono visualizzate le voci del log di controllo per l'attività selezionata eseguita dagli utenti specificati in questa casella. Lasciare la casella vuota per restituire le voci per tutti gli utenti (e gli account del servizio) nell'organizzazione.

    9. File, cartella o sito: immettere parte o tutto il nome di un file o di una cartella per cercare l'attività correlata al file di cartella che contiene la parola chiave specificata. Questo criterio di ricerca restituisce tutti i risultati correlati per file, cartelle e siti corrispondenti. È anche possibile specificare un URL di un file o una cartella. Se si usa un URL, assicurarsi di digitare il percorso url completo o se si digita una parte dell'URL, non includere caratteri speciali o spazi (tuttavia, l'uso del carattere jolly (*) è supportato). Lasciare questa casella vuota per restituire le voci per tutti i file e le cartelle nell'organizzazione.

    10. Carichi di lavoro: immettere o cercare servizi del carico di lavoro per cercare l'attività correlata ai carichi di lavoro selezionati. Immettere il nome di un carico di lavoro per passare al carico di lavoro nell'elenco o scorrere fino ai carichi di lavoro da selezionare.

  4. Selezionare Cerca per avviare il processo di ricerca. È possibile eseguire in parallelo un massimo di 10 processi di ricerca per un account utente. Se un utente richiede più di 10 processi di ricerca, deve attendere il completamento o l'eliminazione di un processo di ricerca in corso .

Dashboard del processo di ricerca

I processi di ricerca attivi e completati vengono visualizzati nel dashboard del processo di ricerca. Il dashboard visualizza le informazioni seguenti per ogni processo di ricerca:

  • Nome ricerca: nome del processo di ricerca. Il nome di ricerca completo per un processo può essere visualizzato passando il cursore sul nome del processo di ricerca.
  • Stato processo: stato del processo di ricerca. Lo stato può essere In coda, In corso o Completato.
  • Stato (%): percentuale del processo di ricerca completato.
  • Tempo di ricerca: tempo di esecuzione totale trascorso per completare il processo di ricerca.
  • Risultati totali: numero totale di risultati restituiti dal processo di ricerca.
  • Ora di creazione: data e ora di creazione del processo di ricerca in formato UTC.
  • Ricerca eseguita da: account utente che ha creato il processo di ricerca.

Risultati di una panoramica della ricerca di controllo in Microsoft Purview.

Eliminare i processi di ricerca selezionando il processo e quindi selezionando Elimina sulla barra dei comandi. L'eliminazione di un processo di ricerca non elimina i dati back-end associati alla ricerca. Elimina solo la definizione del processo di ricerca e il risultato della ricerca associato.

Per copiare i criteri di ricerca per un processo di ricerca esistente, selezionare il processo e quindi selezionare Copia questa ricerca sulla barra dei comandi. I criteri di ricerca vengono copiati nella pagina di ricerca ed è possibile modificare i criteri di ricerca in base alle esigenze per una nuova ricerca.

Dashboard dei dettagli del processo di ricerca

Per visualizzare i dettagli su un processo di ricerca, selezionare il processo di ricerca. Il numero totale di elementi nel processo è incluso nella parte superiore del dashboard. Il numero totale dei risultati detrae i duplicati, motivo per cui potrebbe essere inferiore al numero di elementi nel dashboard del processo di ricerca.

Dashboard dei dettagli dell'elemento del processo di ricerca.

Il dashboard dei dettagli del processo di ricerca visualizza le informazioni seguenti sui singoli elementi raccolti nei risultati del processo di ricerca:

  • Data (UTC): data e ora in cui si è verificata l'attività.
  • Indirizzo IP: indirizzo IP del dispositivo usato per eseguire l'attività.
  • Utente: account utente che ha eseguito l'attività.
  • Tipo di record: tipo di record associato all'attività.
  • Attività: nome descrittivo dell'attività eseguita.
  • Elemento: nome del file, della cartella o del sito su cui è stata eseguita l'attività.
  • unità Amministrazione: unità di amministrazione a cui appartiene l'account utente che ha eseguito l'attività.
  • Dettagli: dettagli aggiuntivi sull'attività.

È possibile ordinare gli elementi del processo di ricerca usando le intestazioni di colonna o creare un filtro personalizzato usando il riquadro dei filtri. Usare il filtro per filtrare gli elementi del processo di ricerca in base a valori specifici per uno qualsiasi dei criteri della colonna del dashboard. Per esportare tutti gli elementi del processo di ricerca in un file di .csv, selezionare Esporta sulla barra dei comandi. Export supporta risultati fino a 50 KB per Audit (Standard) e fino a 500 KB (500.000 righe) per Audit (Premium).

Selezionare un'attività specifica per visualizzare altri dettagli sull'attività in una finestra a comparsa. Nella finestra a comparsa vengono visualizzate le informazioni aggiuntive sull'attività.

Cercare i dettagli dell'elemento del processo.

Definizione dell'ambito dell'accesso ai log di controllo tramite unità amministrative

L'ambito dell'accesso per la ricerca nel log di controllo è basato sulle unità amministrative assegnate all'utente che accede al log di controllo nel portale di conformità. Un amministratore con restrizioni può cercare ed esportare i log di controllo generati dall'utente solo nell'ambito delle proprie unità amministrative. Un amministratore senza restrizioni ha accesso a tutti i log di controllo, inclusi i log generati da account non utente e di sistema. Per accedere ai log attività con ambito da qualsiasi servizio Microsoft, inclusi i log attività delle cassette postali di Exchange, usare il cmdlet Search-UnifiedAuditLog .

Amministrazione unità assegnate agli amministratori Amministrazione unità disponibili per eseguire la ricerca con ambito in Accesso ai log di controllo di ricerca ed esportazione
Nessuno (impostazione predefinita): amministratore senza restrizioni Sono disponibili tutte le unità amministrative Accesso a tutti i log attività da qualsiasi account utente, non utente o di sistema.
Una o più unità amministrative: amministratore con restrizioni Sono disponibili solo le unità amministrative assegnate all'amministratore Accesso ai log attività dagli utenti con un'assegnazione di unità amministrativa corrispondente.

Le attività di controllo seguenti sono accessibili solo dalle query di ricerca eseguite da un amministratore senza restrizioni. Si sta lavorando per garantire che questi log siano accessibili quando viene eseguita una query da un amministratore con restrizioni. Per visualizzare un elenco completo dei log di controllo per queste attività, inviare una richiesta di ricerca usando un account amministratore senza restrizioni.

Servizio Operazione
Azure Information Protection Individuazione
Dynamics 365 CrmDefaultActivity
Prevenzione della perdita dei dati degli endpoint FileCreated
FileCreatedOnNetworkShare
FileCreatedOnRemovableMedia
FileDeleted
Exchange Set-Mailbox
Set-MailboxPlan
SupervisionBulkEmailExclusion
Microsoft Forms ViewRuntimeForm

Per altre informazioni sulle unità amministrative, vedere Autorizzazioni nel Portale di conformità di Microsoft Purview.