Microsoft 365：检索所有订阅超过 90 天且最长 1 年的审核日志

如何开始：

Microsoft 365 统一审核有助于跟踪用户和管理员在不同 Microsoft 365 服务中执行的活动。大多数 Microsoft 365 组织默认启用基本审核。在基本审核中，保留并可搜索最近 90 天的审核记录。要检索超过 90 天的审核日志，您需要采用高级审核，这需要 E5/A5/G5 订阅。默认情况下，高级审核会将所有 Azure Active Directory、Exchange、SharePoint 和 OneDrive 审核记录保留一年。

自 90 天起增加

大多数管理员希望在没有 E5/A5/G5 许可证或任何其他附加组件的情况下保留审核日志超过 90 天，以满足取证、内部和合规性调查的需要。如果没有 E5 许可证，是否可以将审核日志保留超过 90 天？是的。最近，当我使用 Search-UnifiedAuditLog cmdlet 时，它在没有任何 Microsoft 365 高级审核许可证的情况下检索了过去 365 天的审核数据。

在下面的屏幕截图中，我检索了 2020 年 7 月的审计数据，这是 365 天前的数据。

未经宣布但最受欢迎的功能：

Microsoft 尚未发布有关所有 Microsoft 365 许可证类型的长期审核日志可用性的任何官方公告。因此，您可以检查您的租户是否可以检索 365 天的审核日志。

要检查长期审核日志功能，请使用超过 90 天的日期运行以下 cmdlet。

Search-UnifiedAuditLog -StartDate <StartDate> -EndDate <EndDate>

2022 年 12 月更新：

我们不确定这是 Microsoft 的功能还是错误。尽管如此，它仍然适用于一些租户（幸运的是，我的就是其中之一！）。您也可以检查您的租户。

2023 年 7 月更新：

Microsoft 365 Purview（标准版）用户现在可以检索长达 180 天的 Microsoft 365 审核日志，无需任何额外费用。此外，标准许可证现在包括 30 多个高级审核事件的捕获。

如何保留审核日志超过 365 天？

大多数组织更愿意保留审核日志多年，以支持合规调查、响应监管和法律义务。如果您的组织采用 E5/A5/G5 许可证，那么您可以选择额外的附加组件（需额外付费）来保留审核日志长达 10 年。

审核日志中当前的挑战：

即使您使用高级审核许可证或加载项，本机 Office 365 审核日志记录也有更多限制。

• 没有预定义的报告。管理员每次想要查看相关数据时都必须手动设置过滤器。
• 有限的搜索选项。
• 缺乏以用户友好的方式提供审计数据。您需要单击每个审核事件才能获取更多详细信息。
• 审核日志搜索只能显示最近 90 天的数据。
• 任何活动每次搜索最多可返回 5000 条记录。如果活动计数超过，则仅显示最新活动。因此，您无法监控登录成功和失败等高频活动。

我们希望微软能够尽快解决这些问题。大多数管理员使用 AdminDroid 等 Microsoft 365 审核工具来应对审核日志挑战。您如何处理审核日志搜索？您可以通过评论部分与其他管理员和我们分享您的经验。