如何配置 Office 365 审核日志

Microsoft Office 365 是一个强大且多样化的生态系统，涉及多种服务，例如 Microsoft Teams、Exchange Online、Azure AD、SharePoint Online 和 OneDrive for Business。需要密切关注的事情很多，全局管理员通常需要监督多个子管理员，有时甚至需要监督数千名用户。

Office 365 审核日志可帮助您跟踪管理员和用户活动，包括谁在访问、查看或移动特定文档以及资源的使用方式。这些日志对于调查安全事件和证明合规性至关重要。然而，本机日志有多种限制，因此通常需要额外的服务来有效监控活动、保持系统安全并确保法规遵从性。

如何设置 Office 365 审核日志记录

默认情况下不启用本机日志审核。要启用本机日志审核：

1. 前往 Office 365 安全与合规中心。
2. 转到“搜索”，然后选择“审核日志搜索”。
3. 单击“打开审核”。

或者，您可以使用以下 PowerShell 命令启用日志审核：

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

默认情况下也不启用 Power BI 和其他辅助应用程序的审核日志记录；您必须在单独的管理门户中启用它才能获取这些审核记录。

检查您的许可要求，了解日志数据可以存储多长时间。例如，目前 Office 365 E3 许可证的上限为 90 天，Office 365 E5 许可证的上限为一年。

如何运行审核日志搜索

先决条件

在运行审核日志搜索之前，管理员必须向您的帐户分配权限，“仅查看审核日志”或“审核日志”。

从启用日志审核之日起，您可能需要等待几个小时才能运行审核日志搜索。

请注意，统一审核日志搜索将多个 Office 365 服务的分析整合到一个日志报告中，这需要 30 分钟到 24 小时才能完成。

程序

要运行审核日志搜索，请执行以下步骤：

1. 登录。

登录 https://protection.office.com。

提示：要防止自动使用您当前的凭据，请打开隐私浏览会话：

• 在 Internet Explorer 或 Edge 中，按 CTRL+SHIFT+P。
• 对于大多数其他浏览器，请按 CTRL+SHIFT+N。

2. 开始新搜索。

在安全与合规中心中，单击左侧窗格中的“搜索”。然后选择“审核日志搜索”。

3. 配置您的搜索条件。

指定的主要标准是：

• 活动 - 查看 Microsoft 的审核活动列表。其数量超过 100 个，因此 Microsoft 将它们分组为相关活动。如果您不缩小范围，您的审计报告将包括在指定时间范围内执行的所有活动。
• 日期 - 默认时间范围是过去 7 天，但您可以配置过去 90 天内的任何时间段的搜索。
• 用户 - 指定您要在报告中包含的用户或用户组。
• 位置 — 如果您要将搜索限制为特定文件、文件夹或网站，请输入位置或关键字。

其他搜索条件包括：

• 与网站相关的活动 - 在 URL 后添加星号可返回该网站的所有条目。例如，“https://contoso-my.sharepoint.com/personal/*”。
• 与给定文件相关的活动 - 在文件名前添加星号可返回该文件的所有条目。例如，“*Customer_Profitability_Sample.csv”。

4. 过滤搜索结果。

搜索条件选项有助于概览，但过滤搜索结果将帮助您更有效地梳理数据。您可以输入关键字、具体日期、用户、项目或其他详细信息。

此外，请注意，搜索上限为 5,000 个最近事件。如果您的搜索正好返回 5,000 个项目，则您可能已经超出了搜索结果范围。进一步细化您的搜索，以确保您看到日期和时间范围内的所有相关数据，而不会遗漏关键信息。

或者，您可以通过将数据拉入 csv 来生成符合搜索条件的原始数据报告。这使您可以下载最多 50,000 个事件，而不是 5,000 个。要生成超过 50,000 个事件，请分批处理较小的日期范围并手动组合结果。

5. 保存您的结果。

要保存结果，请单击“导出结果”并选择“保存加载的结果”以生成包含数据的 CSV 文件。您可以使用 Microsoft Excel 访问文件或将结果作为报告共享。

您将看到一个名为“AuditData”的列，它由一个 JSON 对象组成，其中包含审核日志记录中的多个属性。要对这些属性启用排序和筛选，请使用 Excel 的 Power Query 编辑器中的 JSON 转换工具来拆分“AuditData”列，并为每个属性提供自己的列。

有关详细信息，请参阅导出、配置和查看审核日志记录。

Office 365 中本机审核日志搜索的限制

手动挖掘 Office 365 中的审核日志通常很困难且耗时。搜索工具很有用，但在决定如何在组织中处理审核时请考虑以下缺点：

• 发现异常活动很困难——需要训练有素的眼睛来解释数据，特别是如果您还没有意识到特定用户或文件的问题。
• 确保审计数据的安全非常困难——系统中每个事件的详细数据都是高度敏感的信息。虽然默认导出选项很方便，但它们使您的文件更容易受到攻击。
• 将人类可读的报告放在一起非常困难 - 要获得报告，您需要将特定的审计数据导出到 CSV 文件中，然后需要对该文件进行排序和解释，然后才能进行操作。
• 您的过滤选项有限 - 本机审核日志搜索不提供全面的过滤选项，这使得收集见解和找到您要查找的内容变得更加困难。
• 只有少数预定义的日志报告可用 - 如果您需要其他报告，则必须手动创建它们。此外，没有报告订阅选项或本机功能来保存自定义搜索。
• 大多数属性都集中到一个 JSON 中 - AuditData JSON 可以包含不同的属性，具体取决于审核事件。这会在您和您试图从审计数据中获取的重要细节之间产生大量不必要的噪音。
• 审核数据的存储时间有限 - 由于 Microsoft 的标准订阅仅允许审核日志保留 90 天的数据保留期，因此您必须定期下载并保存审核日志，然后尝试将它们合并在一起以查看活动的长期情况。如果您忘记保存日志，记录中就会出现空白。

访问审核日志数据的其他方法

Office 365 管理活动 API

Office 365 管理活动 API 允许您查看 Office 365 和 Azure AD 活动日志中有关管理系统、用户和策略事件的数据。该工具可帮助您监控、分析和可视化审计数据。

网络审计员

Netwrix Auditor 极大地简化了掌控 IT 环境中活动的任务，并使您能够主动预防问题并保持数据井井有条。该解决方案提高了 OneDrive for Business、SharePoint Online 和 Exchange Online 环境以及 Azure AD 中的活动和配置的可见性。