Office365 Audit Log Search
Office365 Audit Log Search özelliği, şirket yapınızda gerçekleştirilen hemen hemen tüm etkinliklerin kaydedilmesini sağlar. Örneğin, Dosyaların ne zaman teslim edildiğini görebilir, hangi dosyaların silindiğini veya geri yüklendiğini görebilir hatta dosyalar bilgisayara ne zaman indirildiğini ve daha fazlasını görebilme imkânı sunmaktadır. Bu, özellik sayesinde BT yöneticileri, son kullanıcı tarafında yaşanan sorunları incelerken, kimin ne zaman, nerede ve ne yaptığını analiz ederek sorun çözümlerinde yardımcı olacağını düşünüyorum.
Office365 kullanıcıları Audit Log Search özelliğini kullanabilmeleri için Office365 lisanslarına sahip olması gerekir ve 90 günlük etkinlik kayıtlarına erişebilirler.Office365 E5 ve Microsoft365 E5 lisansına sahip olan kullanıcılar 1 yıl içerisinde gerçekleştirilen etkinliklerin tamamına ulaşabilirler.
Office365 yapınızda kullandığınız lisans yapınıza göre etkinlik kaydı kullanıcıya atadığınız lisansa göre tutulmaktadır. Örneğin, Office365 lisansı hem de E5 lisanlarına sahipseniz kullanıcıya hangi lisansı atadıysanız lisans etkinlik süresine göre kaydı tutulmaktadır.
Office 365‘te aşağıdaki kullanıcı ve yönetici etkinliği türlerini erişebilirsiniz:
- SharePoint Online ve OneDrive İş’teki kullanıcı etkinliği
- Exchange Online’daki kullanıcı etkinliği (Exchange posta kutusu denetim günlüğü)
- SharePoint Online’daki yönetici etkinliği
- Azure Active Directory’deki yönetici etkinliği (Office 365 için dizin hizmeti)
- Exchange Online’daki yönetici etkinliği (Exchange yönetici denetim günlüğü)
- Sway’deki kullanıcı ve yönetici etkinliği
- Güvenlik ve uyum merkezinde e-Keşif faaliyetleri
- Power BI’da kullanıcı ve yönetici etkinliği
- Microsoft Teams’deki kullanıcı ve yönetici etkinliği
- Dynamics 365’teki kullanıcı ve yönetici etkinliği
- Yammer’daki kullanıcı ve yönetici etkinliği
- Microsoft Power Automate’deki kullanıcı ve yönetici etkinliği
- Microsoft Stream’deki kullanıcı ve yönetici etkinliği
- Microsoft Workplace Analytics’teki analist ve yönetici etkinliği
- Microsoft Power Apps’ta kullanıcı ve yönetici etkinliği
- Microsoft Forms’daki kullanıcı ve yönetici etkinliği
- SharePoint Online veya Microsoft Teams kullanan kullanıcı ve yönetici etkinliği
Exchange yönetim merkezinden Güvenlik ve Uyumluluk Merkezi’nde “Arama” ardından “Denetim günlüğü” açıyoruz.
Resim-1
Sayfanın üst bölümünde Kullanıcı ve yönetici etkinliğini kaydetmek için denetimin açılması gerektiğini belirten bir başlık görüntülenir. Denetimi açın” tıklayın. Banner, denetim günlüğünün hazırlandığını ve kullanıcı ve yönetici etkinliğini birkaç saat içinde arayabileceğinizi bildirmek üzere güncellenir.
Audit Log Search özelliği açmak için PowerShell’i kullanma:
- Office 365’te denetim günlüğü aramasını açmak için aşağıdaki PowerShell komutunu çalıştırın.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
- Office 365’te denetim günlüğü aramasını kapatmak için aşağıdaki PowerShell komutunu çalıştırın.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
Audit Log Search özelliğinin kapalı (devre dışı) olduğunu doğrulamak için aşağıdaki komutu kullanabilirsiniz.
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
Sorgu sonucunda değer “false” olarak yani pasif olarak döndüğünü göreceksiniz.
Diğer yöntem ise Güvenlik ve Uyumluluk Merkezi’nde “Arama” ardından “Denetim günlüğü aramasına” açın. Pencerenin üst kısmında kullanıcı ve yönetici etkinliğini kaydetmek için denetimin açılması gerektiğini belirten bir başlık görüntülenecektir.
Resim-2
Audit Log Search özelliği birkaç saat içerisinde aktif olacaktır. Şimdi örnek basit bir senaryo ile etkinlik araması yapalım.
Resim-3
Etkinlikler bölümüne bir kullanıcımın belirlediğim tarih aralığında posta kutusu oturum açma etkinliğini sorguladığımda hangi tarihte, hangi ip’den sorgu çıktısında görebilmekteyim. Sorgu çıktılarını üst bölümde bulunan “Filtrele” ile özelleştirip inceleyebilir aynı zamanda çıktı sonuçlarını .csv olarak indirebilirsiniz.