Audit Log Search organiasyon içerisinde bulunan etkinliklerin kayıt altına almasını sağlar. Örneğin bir kullanıcı maillerini silinmiş öğeler klasörüne taşımışsa veya oturum açmışsa gibi gibi uzatılabilir. Audit Log Search Özelliğini Default kpalı olarak gelmektedir. Bu özelliğin protection.office.com üzerinden ya da PowerShell ile açılması gerekmektedir. Bu özellik açıldığı tarihten itibaren etkinlikler kayıt altına alınacaktır. Bu durum göz önünde bulundurularak arama yapılması gerekir.
Office 365’te Hangi Yönetici ve Kullanıcı Etkinliklerini Arayabiliriz ?
- SharePoint Online ve OneDrive İş’teki kullanıcı etkinliği
- Exchange Online’daki kullanıcı etkinliği (Exchange posta kutusu denetim günlüğü)
- SharePoint Online’daki yönetici etkinliği
- Azure Active Directory’deki yönetici etkinliği (Office 365 için dizin hizmeti)
- Exchange Online’daki yönetici etkinliği (Exchange yönetici denetim günlüğü)
- Sway’deki kullanıcı ve yönetici etkinliği
- Güvenlik ve uyum merkezinde e-Keşif faaliyetleri
- Power BI’da kullanıcı ve yönetici etkinliği
- Microsoft Teams’deki kullanıcı ve yönetici etkinliği
- Dynamics 365’teki kullanıcı ve yönetici etkinliği
- Yammer’daki kullanıcı ve yönetici etkinliği
- Microsoft Power Automate’deki kullanıcı ve yönetici etkinliği
- Microsoft Stream’deki kullanıcı ve yönetici etkinliği
- Microsoft Workplace Analytics’teki analist ve yönetici etkinliği
- Microsoft Power Apps’ta kullanıcı ve yönetici etkinliği
- Microsoft Forms’daki kullanıcı ve yönetici etkinliği
- SharePoint Online veya Microsoft Teams kullanan siteler için duyarlılık etiketleri için kullanıcı ve yönetici etkinliği
Audit Log Search Özelliğini Hangi Lisansa sahip kullanıcılar kullanabilir ?
Audit Log Search özelliğini kullanabilmek için öncelikle kullanıcılarınızın Office 365 E3 veya Microsoft 365 E3 lisanslarına sahip olması gerekirler. Bu lisansa sahip kullanıcılar 90 gün içerisinde gerçekleştirilen etkinliklere ulaşabilirler. Yine Office 365 E5 ve Microsoft 365 E5 lisansına sahip olan kullanıcılar 1 yıl içerisinde gerçekleştirilen etkinliklere ulaşabilirler.
Eğer kullanıcılarınız Office 365 E5 ve Microsoft 365 E3lisanslarına sahipse bu kullanıcılarınız 1 yıllık etkinliğini görmek istiyorsanız; Microsoft 365 E5 Compliance add-on lisansı alarak etkinlik süresini uzatmış olursunuz.
Not: Burada kimi kullanıcınıza Office 365 E3 Atarken kimi kullanıcınıza Office 365 E5 atamış olabilirsiniz. Böyle bir karma sistemde kullanıcı hangi lisansa sahipse etkinlik geçmişini ona göre görecektir. Örneğin; Office 365 E3 lisansına sahip kullanıcının 90 günlük etkinliği görebilirken Office 365 E5 lisansına sahip kullanıcılarının 1 yıllık etkinliğini görebilirsiniz.
Audit Log Search Özelliğini aktif etmek için yukarıda ki görselde olduğu gibi denetimin açın butonuna tıklayarak açılması gerekmektedir. https://protection.office.com/unifiedauditlog
Audit Log Search birkaç saat içerisinde aktif olarak çalışmaya başlayacaktır.
Uyarıyı büyüttüğümüzde birkaç sat içerisinde denetim günlüğünün aktif olacağını görebiliriz.
PowerShell ile Audit Log Search Özelliğini Açıp kapatma
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
Sırasıyla adımları açıklayalım.
- Adımda Audit Log Search özelliğinin aktif mi yoksa pasif mi olduğunu sorguluyoruz. Audit Log Search özelliğini sorguladığımızda değerin false olarak yani pasif olarak döndüğünü görüyoruz.
- Adımda ise değeri True değere çekiyoruz. Yani Audit Log Search özelliğini etkinleştiriyoruz.
- Adımda ise değerin aktif olup olmadığını tekrar kontrol ediyoruz. Değerin true olduğunu yani aktif olarak görebiliriz.
Eğer Audit Log Search özelliğini kapatmak isterseniz aşağıda ki PowerShell komutunu kullanabiliriz.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
Şimdi örnek bir senaryo üzerinden gidelim
Şimdi bir kullanıcım tüm mailbox içerisinde bulunan öğeleri sildi. Buna uygun olarak ufak bir filtreleme yaparak çıkan sonuçları incelediğimde kullanıcının hangi öğeleri hangi hangi yöntemle sildiğini hangi ip adresinden sisteme eriştiğini hatta saat ve tarihine kadar görüntüleyebiliyorum.
Başka yazılarda görüşmek üzere…
Detaylı bilgi almak için bize bu link üzerinden form doldurarak ulaşabilirsiniz.
İlginizi çekebilecek diğer Microsoft de bu link üzerinden ulaşabilirsiniz.
Mehmet Parlakyiğit
Kıdemli Satış Mühendisi / Arena Bilgisayar