如何追蹤文件被開啟的行為(讀取、更改、複製、列印、下載)及地點 ?
使用 Audit New Search ( Classic Search 於 2023 10月淘汰):
- Unified Audit Log 可以紀錄所有文件操作的詳細信息,包括時間、用戶、IP 地址、操作類型等。
- 使用 Microsoft Purview Compliance Portal \ Solutions \ Audit \ New Search 功能來追蹤文件的讀取、更改、複製、列印和下載等行為。
- 預設已啟用。只需指派存取稽核紀錄搜尋工具所需權限即可。
- 數千個可搜尋的稽核事件,可透過 Microsoft Purview 合規性入口網站中的稽核紀錄搜尋工具搜尋,或使用 Search-UnifiedAuditLog cmdlet。
- 將稽核記錄可匯出至 CSV 檔案。
- 稽核 (標準) 的預設保留期限已從 90 天變更為 180 天。,可透過 Office 365 Management Activity API 讓稽核資料保留更久。
- License 要求:Business Basic 以上 。
- 在 Microsoft 365 中設定稽核 (標準)
- 基本稽核功能。
- 稽核記錄保留原則,較長的保留期。可自訂稽核紀錄保留原則讓稽核紀錄保留達一年。(具有10-Year Audit Log Retention add-on license 的使用者,上限為 10 年)
- 高價值、重要的稽核 (進階版) 事件。
- Office 365 管理活動 API 的更高頻寬。
- License 要求:需 M365 E5 或 E5 附加元件 License。
- 在 Microsoft 365 中設定稽核 (進階)
使用 Audit New Search ( Classic Search 於 2023 10月淘汰):
- 登入 https://compliance.microsoft.com/
- 到 Solutions > Audit > New Search
- 日期和時間範圍 (UTC) (Date and time range):預設是近期1天,最久是90天。時區是 UTC。
- 關鍵字搜尋 (Keyword Search):以 * 取代特殊符號。[關鍵字搜索]欄位中輸入的詞只在索引內容(Audit common schema中的內容)中搜索。這些關鍵字不會在audit log中搜索。
- 系統管理單位 (Admin Units):
- 活動 - 易記名稱 (Activities - friendly names):從下拉選單選取被稽核的活動。
- 活動 - 作業名稱 (Activities - operation names):需輸入正確的作業名稱,可多個。請查閱 作業名稱清單 一文。
- 記錄類型 (Record type):請查閱 紀錄類型清單 。
- 搜尋名稱 (Search name):預設會使用針對搜尋和其他定義的搜尋準則值所定義的日期和時間組合,自動命名搜尋作業。
- 使用者 (Users):要傳貴組織中所有使用者 (及服務帳戶) 的項目,將此方塊保留空白。
- 檔案、資料夾或網站 (File, folder, or site):要傳回組織中所有檔案和資料夾的項目,請將此方塊保留空白。
- 工作負載 (Workload):M365 service