Включение и отключение аудита

Ведение журнала аудита включено по умолчанию для организаций Microsoft 365. Однако при настройке новой организации Microsoft 365 необходимо проверить состояние аудита вашей организации. Инструкции см. в разделе Проверка состояния аудита для вашей организации этой статьи.

Если аудит включен на портале Microsoft Purview или в Портал соответствия требованиям Microsoft Purview, действия пользователей и администраторов из вашей организации записываются в журнал аудита и автоматически сохраняются в течение 180 дней. Хранение (время существования) для данных аудита начинается, когда они добавляются в журнал аудита и хранятся на основе политик хранения журнала аудита и лицензии, назначенной пользователям.

Важно!

Срок хранения по умолчанию для аудита (стандартный) изменился с 90 до 180 дней. Журналы аудита (стандартный), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (стандартный), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.

Изменения в политиках лицензирования или хранения пользователей также изменяют дату окончания срока действия данных аудита.

У вашей организации могут быть причины, по которым не требуется записывать и хранить данные журнала аудита. В таких случаях глобальный администратор может отключить аудит в Microsoft 365 для вашей организации. Инструкции см. в разделе Отключение аудита этой статьи.

Важно!

Если вы отключите аудит в Microsoft 365, вы не сможете использовать API действий управления Office 365 или Microsoft Sentinel для доступа к данным аудита или журналам вашей организации. Отключение аудита, выполнив действия, описанные в этой статье, означает, что результаты не будут возвращены при поиске в журнале аудита с помощью портала Microsoft Purview или портала соответствия требованиям, а также при выполнении командлета Search-UnifiedAuditLog в Exchange Online PowerShell.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Перед включением или отключением аудита

Вам должна быть назначена роль Журналы аудита в Exchange Online, чтобы включить или отключить аудит. По умолчанию эта роль назначается группам ролей "Управление соответствием требованиям" и "Управление организацией " на странице "Разрешения" в Центре администрирования Exchange.

Проверка состояния аудита для организации

Чтобы убедиться, что аудит включен для вашей организации, можно выполнить следующую команду в Exchange Online PowerShell:

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Значение True свойства UnifiedAuditLogIngestionEnabled указывает, что аудит включен. Значение False указывает, что аудит не включен.

Важно!

Не забудьте выполнить предыдущую команду в Exchange Online PowerShell. Хотя командлет Get-AdminAuditLogConfig также доступен в PowerShell по обеспечению соответствия безопасности &, свойство UnifiedAuditLogIngestionEnabled всегда Falseимеет значение , даже если аудит включен.

Включение аудита

Если аудит не включен для вашей организации, его можно включить на портале Microsoft Purview или на портале соответствия требованиям, а также с помощью Exchange Online PowerShell. После включения аудита может потребоваться несколько часов, прежде чем вы сможете вернуть результаты при поиске в журнале аудита.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Чтобы включить аудит, выполните следующие действия.

  1. Войдите на портал Microsoft Purview.
  2. Выберите карта решение аудит. Если карта Решение аудита не отображается, выберите Просмотреть все решения, а затем выберите Аудит в разделе Основные.
  3. Если аудит не включен для вашей организации, отобразится баннер с предложением начать запись действий пользователей и администраторов.
  4. Выберите баннер Начать запись действий пользователей и администраторов .

На то, чтобы изменения вступают в силу, может потребоваться до 60 минут.

Включение аудита с помощью PowerShell

  1. Подключение к Exchange Online PowerShell.

  2. Выполните следующую команду PowerShell, чтобы включить аудит.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Появится сообщение о том, что изменение может ввести в силу до 60 минут.

Отключение аудита

Для отключения аудита необходимо использовать Exchange Online PowerShell.

  1. Подключение к Exchange Online PowerShell.

  2. Выполните следующую команду PowerShell, чтобы отключить аудит.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    
  3. Через некоторое время убедитесь, что аудит отключен (отключен). Это можно сделать двумя способами:

    • В Exchange Online PowerShell выполните следующую команду:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
      

      Значение False свойства UnifiedAuditLogIngestionEnabled указывает, что аудит отключен.

    • Перейдите на страницу Аудит на портале соответствия требованиям.

      Если аудит не включен для вашей организации, отобразится баннер с предложением начать запись действий пользователей и администраторов.

Записи аудита при изменении состояния аудита

Изменения состояния аудита в организации сами по себе проверяются. Это означает, что записи аудита регистрируются при включении или отключении аудита. Эти записи аудита можно найти в журнале аудита администратора Exchange.

Чтобы найти в журнале аудита администратора Exchange записи аудита, которые создаются при включении или отключении аудита, выполните следующую команду в Exchange Online PowerShell:

Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig

Записи аудита для этих событий содержат сведения о том, когда было изменено состояние аудита, администратор, который изменил его, и IP-адрес компьютера, который использовался для изменения. На следующих снимках экрана показаны записи аудита, соответствующие изменению состояния аудита в организации.

Запись аудита для включения аудита

Запись аудита для включения аудита

Значение Confirm в свойстве CmdletParameters указывает, что единое ведение журнала аудита было включено на портале Microsoft Purview или на портале соответствия требованиям, а также при выполнении командлета Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true .

Запись аудита для отключения аудита

Запись аудита для отключения аудита

Значение Confirm не включается в свойство CmdletParameters . Это означает, что единое ведение журнала аудита было отключено с помощью команды Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false .

Дополнительные сведения о поиске в журнале аудита администратора Exchange см. в разделе Search-UnifiedAuditLog.