Olá! Wellington Agápto por aqui. Neste artigo você vai aprender como ativar ou desativar a pesquisa de log de auditoria no Microsoft 365
O quê é o log de auditoria?
O log de Auditoria é ativado por padrão para organizações empresariais Microsoft 365 e Office 365. Isto inclui organizações com assinaturas E3/G3 ou E5/G5. Quando a pesquisa de log de auditoria no centro de conformidade é ativada, a atividade do usuário e do administrador da sua organização é registrada no log de auditoria e mantida por 90 dias e até um ano, dependendo da licença atribuída aos usuários. No entanto, sua organização pode ter motivos para não querer registrar e reter dados de log de auditoria. Nesses casos, um administrador global pode decidir desativar a auditoria no Microsoft 365.
Antes de ativar ou desativar a pesquisa de log de auditoria
Você precisa ter a função Logs de Auditoria no Exchange Online para ativar ou desativar a pesquisa de log de auditoria em sua organização do Microsoft 365. Por padrão, essa função é atribuída aos grupos de função Gerenciamento de Conformidade e Gerenciamento de Organização na página Permissões no Centro de administração do Exchange. Os administradores globais no Microsoft 365 são membros do grupo de função Gerenciamento da Organização no Exchange Online.
Os usuários devem ter permissões atribuídas no Exchange Online para ativar ou desativar a pesquisa de log de auditoria. Se você atribuir aos usuários a função & Logs de Auditoria na página Permissões no Centro de Conformidade e Segurança, eles não poderão ativar ou desativar a pesquisa de log de auditoria. Isso porque o cmdlet subjacente é um cmdlet do PowerShell do Exchange Online.
Como validar se o log de auditoria está ativo?
Para verificar se a pesquisa de log de auditoria está ativada conecte-se ao Microsoft 365 via PowerShell e execute o seguinte comando:
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
O valor da True
propriedade UnifiedAuditLogIngestionEnabled indica que a pesquisa de log de auditoria está ativa.
Como ativar a pesquisa de log de auditoria
Se a pesquisa de log de auditoria não estiver ativa, você poderá a ativar no centro de conformidade ou usando o PowerShell do Exchange Online. Pode levar várias horas depois de ativar a pesquisa de log de auditoria antes de poder retornar resultados ao pesquisar o log de auditoria.
Usar o centro de conformidade para ativar a pesquisa de log de auditoria
- Vá para o centro de conformidade e entre.
- No centro de conformidade, vá para Pesquisa > pesquisa de log de auditoria.Se a pesquisa de log de auditoria não estiver 100% 100%, será exibida uma faixa dizendo que a auditoria precisa ser 1ada para registrar a atividade do usuário e do administrador.
- Clique em Ativar auditoria.O banner é atualizado para dizer que o log de auditoria está sendo preparado e que você pode pesquisar atividades de usuário e administrador em algumas horas.
Usar o PowerShell para ativar a pesquisa de log de auditoria
- Conectar-se ao PowerShell do Exchange Online
- Execute o seguinte comando do PowerShell para ativar a pesquisa de log de auditoria no Office 365.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
Uma mensagem é exibida dizendo que pode levar até 60 minutos para que a alteração entre em vigor.
Como desativar a pesquisa de log de auditoria
Você precisa usar o PowerShell do Exchange Online para desativar a pesquisa de log de auditoria.
- Conectar-se ao PowerShell do Exchange Online
- Execute o seguinte comando do PowerShell para desativar a pesquisa de log de auditoria.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
- Depois de um tempo, verifique se a pesquisa de log de auditoria está desativada (desabilitada). Há duas maneiras de fazer isso:
- No PowerShell do Exchange Online, execute o seguinte comando:
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
O valor
False
na propriedade UnifiedAuditLogIngestionEnabled indica que a pesquisa de log de auditoria está desligada. - No centro de conformidade, vá para Pesquisa > pesquisa de log de auditoria. Uma faixa é exibida dizendo que a auditoria precisa ser usada para registrar a atividade do usuário e do administrador.
- No PowerShell do Exchange Online, execute o seguinte comando:
Já conhece a Uni Academy?
A Uni Academy é minha empresa de treinamentos online.
Clique AQUI e saiba mais.
Já conhece o meu Podcast?
Conheça o meu Podcast – Formata meu PC?