M365 Apps & Services MVP

Microsoft 365

Office 365 Audit Log Search Özelliğini Açmak

Mehmet PARLAKYİĞİT

Audit Log Search organiasyon içerisinde bulunan etkinliklerin kayıt altına almasını sağlar. Örneğin bir kullanıcı maillerini silinmiş öğeler klasörüne taşımışsa veya oturum açmışsa gibi gibi uzatılabilir. Audit Log Search Özelliğini Default kpalı olarak gelmektedir. Bu özelliğin protection.office.com üzerinden ya da PowerShell ile açılması gerekmektedir. Bu özellik açıldığı tarihten itibaren etkinlikler kayıt altına alınacaktır. Bu durum göz önünde bulundurularak arama yapılması gerekir.

Office 365’te Hangi Yönetici ve Kullanıcı Etkinliklerini Arayabiliriz ?

– SharePoint Online ve OneDrive İş’teki kullanıcı etkinliği

– Exchange Online’daki kullanıcı etkinliği (Exchange posta kutusu denetim günlüğü)

– SharePoint Online’daki yönetici etkinliği

– Azure Active Directory’deki yönetici etkinliği (Office 365 için dizin hizmeti)

– Exchange Online’daki yönetici etkinliği (Exchange yönetici denetim günlüğü)

– Sway’deki kullanıcı ve yönetici etkinliği

– Güvenlik ve uyum merkezinde e-Keşif faaliyetleri

– Power BI’da kullanıcı ve yönetici etkinliği

– Microsoft Teams’deki kullanıcı ve yönetici etkinliği

– Dynamics 365’teki kullanıcı ve yönetici etkinliği

– Yammer’daki kullanıcı ve yönetici etkinliği

– Microsoft Power Automate’deki kullanıcı ve yönetici etkinliği

– Microsoft Stream’deki kullanıcı ve yönetici etkinliği

– Microsoft Workplace Analytics’teki analist ve yönetici etkinliği

– Microsoft Power Apps’ta kullanıcı ve yönetici etkinliği

– Microsoft Forms’daki kullanıcı ve yönetici etkinliği

– SharePoint Online veya Microsoft Teams kullanan siteler için duyarlılık etiketleri için kullanıcı ve yönetici etkinliği

Audit Log Search Özelliğini Hangi Lisansa sahip kullanıcılar kullanabilir ?

Audit Log Search özelliğini kullanabilmek için öncelikle kullanıcılarınızın Office 365 E3 veya Microsoft 365 E3 lisanslarına sahip olması gerekirler. Bu lisansa sahip kullanıcılar 90 gün içerisinde gerçekleştirilen etkinliklere ulaşabilirler. Yine Office 365 E5 ve Microsoft 365 E5 lisansına sahip olan kullanıcılar 1 yıl içerisinde gerçekleştirilen etkinliklere ulaşabilirler.

Eğer kullanıcılarınız Office 365 E5 ve Microsoft 365 E3lisanslarına sahipse bu kullanıcılarınız 1 yıllık etkinliğini görmek istiyorsanız; Microsoft 365 E5 Compliance add-on lisansı alarak etkinlik süresini uzatmış olursunuz.

Not: Burada kimi kullanıcınıza Office 365 E3 Atarken kimi kullanıcınıza Office 365 E5 atamış olabilirsiniz. Böyle bir karma sistemde kullanıcı hangi lisansa sahipse etkinlik geçmişini ona göre görecektir. Örneğin; Office 365 E3 lisansına sahip kullanıcının 90 günlük etkinliği görebilirken Office 365 E5 lisansına sahip kullanıcılarının 1 yıllık etkinliğini görebilirsiniz.

Audit Log Search Özelliğini aktif etmek için yukarıda ki görselde olduğu gibi denetimin açın butonuna tıklayarak açılması gerekmektedir. https://protection.office.com/unifiedauditlog

Audit Log Search birkaç saat içerisinde aktif olarak çalışmaya başlayacaktır.

Uyarıyı büyüttüğümüzde birkaç sat içerisinde denetim günlüğünün aktif olacağını görebiliriz.

PowerShell ile Audit Log Search Özelliğini Açıp kapatma

 Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled


 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true


Sırasıyla adımları açıklayalım.

  1. Adımda Audit Log Search özelliğinin aktif mi yoksa pasif mi olduğunu sorguluyoruz. Audit Log Search özelliğini sorguladığımızda değerin false olarak yani pasif olarak döndüğünü görüyoruz.
  2. Adımda ise değeri True değere çekiyoruz. Yani Audit Log Search özelliğini etkinleştiriyoruz.
  3. Adımda ise değerin aktif olup olmadığını tekrar kontrol ediyoruz. Değerin true olduğunu yani aktif olarak görebiliriz.

Eğer Audit Log Search özelliğini kapatmak isterseniz aşağıda ki PowerShell komutunu kullanabiliriz.

 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false


Şimdi örnek bir senaryo üzerinden gidelim

Şimdi bir kullanıcım tüm mailbox içerisinde bulunan öğeleri sildi. Buna uygun olarak ufak bir filtreleme yaparak çıkan sonuçları incelediğimde kullanıcının hangi öğeleri hangi hangi yöntemle sildiğini hangi ip adresinden sisteme eriştiğini hatta saat ve tarihine kadar görüntüleyebiliyorum.

Başka yazılarda görüşmek üzere…

Mehmet PARLAKYİĞİT

Office Apps & Services MVP | Arena Bilgisayar A.Ş'de Microsoft Satış Mühendisi olarak çalışmakta.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.