Tusentals användar- och administratörsåtgärder som utförs i dussintals Microsoft 365-tjänster och -lösningar fångas upp, registreras och sparas i en enhetlig granskningslogg som finns tillgänglig i Microsoft Purview. Med hjälp av sökverktyget för granskningsloggen kan du söka efter, visa och exportera loggar för någon av dessa åtgärder. Typiska dokumenthanteringsaktiviteter som du kan söka efter i loggarna är
- Öppnade eller förhandsgranskade dokument
- Ändrade dokument
- Uppladdade dokument
- Raderade eller återställda dokument
- Nedladdade eller synkroniserade dokument
- Incheckade eller utcheckade dokument
- Kopierade eller flyttade dokument
Microsoft 365 tillhandahåller två lösningar:
- Grundläggande granskning
- För Microsoft 365-licenser (ej E5)
- 90 dagars bevarande av loggar
- Åtkomst via GUI, PowerShell och API
- Avancerad granskning
- För Microsoft 365 E5-licenser
- 1 års bevarande av loggar (kan förlängas till 10 år med ytterligare licenser)
- Anpassade policyer för lagring av loggar
- Kritiska händelser
- Högre bandbredd för åtkomst till API
Grundläggande granskning är aktiverat som standard för alla organisationer med rätt prenumeration (en lista över prenumerations- och licenskrav finns i Granskningslösningar i Microsoft 365). Den enda inställningen innan du och andra i din organisation kan söka i granskningsloggen är att tilldela de nödvändiga behörigheterna för att komma åt sökverktyget för granskningsloggen.
Tilldela behörigheter för sökning i granskningsloggen
Globala administratörer kan alltid söka i granskningsloggen. För att möjliggöra sökning med lägsta behörighet kan administratörer och medlemmar i utredningsgrupper tilldelas rollen ”Security Reader”. Se Tilldela administratörsroller i Microsoft 365 admin center.
Sök i granskningsloggen
Gör så här för att söka i granskningsloggen:
- Logga in på Microsoft Purview med ett konto som har tilldelats adekvata granskningsbehörigheter.
- In the left navigation pane click on “Audit“:
On the Audit page, configure the search using the following conditions:
- Datum- och tidsintervall – välj ett datum- och tidsintervall för att visa de händelser som inträffade inom den perioden. Datum och tid visas i lokal tid.
- Aktiviteter – välj de aktiviteter som du vill söka efter. Använd sökrutan för att söka efter aktiviteter att lägga till i listan. För en partiell förteckning över granskade aktiviteter, se granskade aktiviteter. Lämna denna ruta tom för att returnera poster för alla granskade aktiviteter.
- Användare – klicka i denna ruta och börja skriva in namnet på de användare som sökresultaten ska visas för. Loggposterna för de aktiviteter som utförts av de användare du väljer i den här rutan visas i resultatlistan. Lämna denna ruta tom för att visa poster för alla användare i din organisation.
- Fil, mapp eller webbplats – skriv en del av eller hela namnet på en fil eller mapp för att söka efter aktiviteter som är relaterade till den fil eller mapp som innehåller det angivna nyckelordet. Du kan också ange en URL för en fil eller mapp. Om du använder en URL för en fil eller mapp ska du ange hela URL-sökvägen eller, om du anger en del av URL:en, inte inkludera några specialtecken eller mellanslag. Lämna denna ruta tom för att returnera poster för alla filer och mappar i din organisation.
- Klicka på knappen ”Sök”. På sidan ser du nu att sökningen körs. När sökningen är klar visas granskningsposterna på sidan. Klicka på en post för att visa detaljerade egenskaper:
- Sökningen kan nu exporteras till en CSV-fil genom att klicka på ”Export”-funktionen längst upp i granskningsrapporten:
- Granskningsrapporten får också en unik URL, så att den kan delas med användare som har åtkomst till granskningsloggen.
Mer detaljerad information om granskningsloggarna finns i Granskningslösningar i Microsoft Purview.
Förlängning av lagringstiden för granskningsloggarna
Om du bara har den grundläggande 90-dagars lagring av granskningsloggar kan du regelbundet köra en granskningsrapport med PowerShell eller API:er och spara granskningsrapporterna i ett externt arkiv. Det finns också tredjepartsverktyg som levererar dessa funktioner, t.ex:
- Lepide Auditor for SharePoint
- ManageEngine SharePoint Manager Plus
- Solarwinds SharePoint Online Audit Log Tool
- Netwrix Auditor for SharePoint and Teams
- Splunk Add-on for Microsoft Office 365
- SysKit SPDocKit
- Intelex Audit Management Software
Säkra dina dokument med MetaShare
Säkerhetsincidenter kan drabba vem som helst. En bra struktur och lättanvända verktyg minskar dock riskerna avsevärt. Med MetaShare konfigureras dina arbetsytor automatiskt enligt bäst praxis, vilket gör att det är enkelt för dina kollegor att samarbeta på ett säkert sätt.