Exibir o log de auditoria de administrador no Exchange Online

Em organizações Exchange Online ou organizações EOP (Proteção do Exchange Online autônomas) sem caixas de correio Exchange Online, você pode usar o Centro de Administração do Exchange (EAC) ou o PowerShell para pesquisar e exibir entradas no log de auditoria do administrador.

O log de auditoria de administrador registra ações específicas, com base em cmdlets Exchange Online PowerShell ou autônomos Proteção do Exchange Online PowerShell, feitos por administradores e usuários que receberam privilégios administrativos. As entradas no log de auditoria de administrador fornecem informações sobre qual cmdlet foi executado, quais parâmetros foram usados, quem executou o cmdlet e quais objetos foram afetados.

Observações:

• Administração registro em log de auditoria está habilitado por padrão e você não pode desabilitá-lo.
• O log de auditoria de administrador não registra ações com base em cmdlets que começam com os verbos Get, Search ou Test.
• Quando uma alteração é feita na sua organização, pode demorar até 15 minutos para que ela apareça nos resultados de pesquisa do log de auditoria. Se uma alteração não aparecer no log de auditoria do administrador, aguarde alguns minutos e execute a pesquisa novamente.
• As entradas do log de auditoria são armazenadas por 90 dias. Quando uma entrada ultrapassa os 90 dias, ela é excluída.

Do que você precisa saber para começar?

• Para abrir o Centro de administração do Exchange (EAC), consulte Centro de administração do Exchange em Exchange Online.

• Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online. Para se conectar a Proteção do Exchange Online autônomos do PowerShell, consulte Conectar-se ao Proteção do Exchange Online PowerShell.

• Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada "Log de auditoria de administrador somente exibição" nas permissões de recurso no tópico Exchange Online.

• Para obter informações sobre atalhos de teclado que podem se aplicar aos procedimentos neste artigo, consulte Atalhos de teclado para o centro de administração do Exchange em Exchange Online.

Usar o EAC para exibir o log de auditoria de administrador

1. No EAC, acesse Auditoria de gerenciamento>de conformidade e escolha Executar o relatório de log de auditoria de administrador.

2. Na página Pesquisar alterações nos grupos de funções de administrador que é aberta, escolha uma data de início e data de término (o intervalo padrão é as duas últimas semanas) e escolha Pesquisar. Todas as alterações de configuração feitas durante o período especificado são exibidas e podem ser classificadas com as seguintes informações:

   • Data: a data e a hora em que a alteração de configuração foi feita. A data e a hora são armazenadas no formato UTC (Tempo Universal Coordenado).

   • Cmdlet: o nome do cmdlet que foi usado para fazer a alteração de configuração.

   • Usuário: o nome da conta de usuário do usuário que fez a alteração de configuração.

     Serão exibidas até 5 mil entradas em várias páginas. Especifique um intervalo de datas menor se precisar restringir os resultados. Se você selecionar um resultado de pesquisa individual, as informações a seguir serão exibidas no painel de detalhes:

   • Objeto modificado: o objeto que foi modificado pelo cmdlet.

   • Parâmetros (Parâmetro:Valor): os parâmetros de cmdlet que foram usados e qualquer valor especificado com o parâmetro.

3. Se quiser imprimir uma determinada entrada do log de auditoria, selecione o botão Imprimir no painel de detalhes.

Usar o PowerShell para exibir o log de auditoria de administrador

Você pode usar Exchange Online PowerShell ou o PowerShell Proteção do Exchange Online autônomo para pesquisar entradas de log de auditoria que atendam aos critérios especificados. Use a seguinte sintaxe:

Search-AdminAuditLog [-Cmdlets <Cmdlet1,Cmdlet2,...CmdletN>] [-Parameters <Parameter1,Parameter2,...ParameterN>] [-StartDate <UTCDateTime>] [-EndDate <UTCDateTime>] [-UserIds <"User1","User2",..."UserN">] [-ObjectIds <"Object1","Object2",..."ObjectN">] [-IsSuccess <$true | $false>]

Observações:

• Você só pode usar o parâmetro Parâmetros junto com o parâmetro Cmdlets .

• O parâmetro ObjectIds filtra os resultados pelo objeto modificado pelo cmdlet. Um valor válido depende de como o objeto é representado no log de auditoria. Por exemplo:

  • Nome
  • Nome distinto canônico (por exemplo, contoso.com/Users/Akia Al-Zuhairi)

  Você provavelmente precisará usar outros parâmetros de filtragem neste cmdlet para restringir os resultados e identificar os tipos de objetos nos quais você está interessado.

• O parâmetro UserIds filtra os resultados pelo usuário que fez a alteração (que executou o cmdlet).

• Para os parâmetros StartDate e EndDate , se você especificar um valor de data/hora sem um fuso horário, o valor estará em UTC (Tempo Universal Coordenado). Para especificar um valor de data/hora para este parâmetro, use uma das opções a seguir:

  • Especificar o valor de data/hora em UTC: por exemplo, "2016-05-06 14:30:00Z".
  • Especifique o valor de data/hora como uma fórmula que converte a data/hora no fuso horário local em UTC: Por exemplo, (Get-Date "5/6/2016 9:30 AM").ToUniversalTime(). Para mais informações, consulte Get-Date.

• O cmdlet retorna um máximo de 1.000 entradas de log por padrão. Use o parâmetro ResultSize para especificar até 250.000 entradas de log. Ou use o valor Unlimited para retornar todas as entradas.

Esse exemplo realiza uma pesquisa em todas as entradas de log de auditoria com os seguintes critérios:

• Data de início: 4 de agosto de 2019
• Data de término: 3 de outubro de 2019
• Cmdlets: Update-RoleGroupMember

Search-AdminAuditLog -Cmdlets Update-RoleGroupMember -StartDate (Get-Date "08/04/2019").ToUniversalTime() -EndDate (Get-Date "10/03/2019").ToUniversalTime()

Para informações detalhadas de sintaxes e de parâmetros, consulte Search-AdminAuditLog.

Exibir detalhes de entradas de log de auditoria

O cmdlet Search-AdminAuditLog retorna os campos descritos na seção Conteúdo de log de auditoria posteriormente neste artigo. Dos campos retornados pelo cmdlet, dois campos, CmdletParameters e ModifiedProperties, contêm informações adicionais que não são retornadas por padrão.

Para exibir o conteúdo dos campos CmdletParameters e ModifiedProperties, siga as etapas na sequência.

1. Decida quais critérios deseja pesquisa, execute o cmdlet Search-AdminAuditLog e armazene os resultados em uma variável usando o seguinte comando.

   $Results = Search-AdminAuditLog <search criteria>
   

2. Cada entrada de log de auditoria é armazenada como um elemento de matriz na variável $Results. Você pode selecionar um elemento de matriz especificando seu índice de elemento de matriz. Os índices de elemento de matriz começam em zero (0) para o primeiro elemento da matriz. Por exemplo, para recuperar o elemento da quinta matriz, que tem um índice de 4, use o comando a seguir.

   $Results[4]
   

3. O comando anterior retorna a entrada de log armazenada no elemento de matriz 4. Para ver o conteúdo dos campos CmdletParameters e ModifiedProperties referentes a essa entrada de log, use os seguintes comandos.

   $Results[4].CmdletParameters
   $Results[4].ModifiedProperties
   

4. Para exibir o conteúdo dos campos CmdletParameters ou ModifiedParameters em outra entrada de log, altere o índice do elemento de matriz.

Auditar o conteúdo do log

Cada entrada de log de auditoria contém as informações descritas na tabela a seguir. O log de auditoria contém uma ou mais entradas de log de auditoria.