Aktivieren oder Deaktivieren der Office 365-Überwachungsprotokollsuche

Die Überwachungsprotokollierung muss von Ihnen (oder einem anderen Administrator) aktiviert worden sein, um das Office 365-Überwachungsprotokoll durchsuchen zu können. Wenn die Überwachungsprotokollsuche im Office 365 Security & Compliance Center aktiviert ist, werden Benutzer- und Administratoraktivitäten in ihrer Organisation im Überwachungsprotokoll aufgezeichnet und 90 Tage lang aufbewahrt. Möglicherweise möchte Ihre Organisation jedoch keine Überwachungsprotokolldaten aufzeichnen und aufbewahren. Oder Sie verwenden eine Drittanbieteranwendung zum Verwalten von Sicherheitsinformationen und -ereignissen (Security Information and Event Management, SIEM) für den Zugriff auf Ihre Überwachungsdaten. In diesen Fällen kann ein globaler Administrator die Überwachungsprotokollsuche in Office 365 deaktivieren.

Erste Schritte

  • Ihnen muss in Exchange Online die Rolle "Überwachungsprotokolle" zugewiesen sein, damit Sie die Überwachungsprotokollsuche in Ihrer Office 365-Organisation aktivieren oder deaktivieren können. Standardmäßig ist diese Rolle den Rollengruppen "Complianceverwaltung" und "Organisationsverwaltung" auf der Seite Berechtigungen im Exchange Admin Center zugewiesen. Globale Administratoren in Office 365 sind Mitglieder der Rollengruppe "Organisationsverwaltung" in Exchange Online.

    Wichtig: Benutzern müssen in Exchange Online die entsprechenden Berechtigungen zugewiesen sein, um die Überwachungsprotokollsuche aktivieren oder deaktivieren zu können. Wenn Sie den Benutzern im Security & Compliance Center auf der Seite Berechtigungen die Rolle "Überwachungsprotokolle" zuweisen, können sie die Überwachungsprotokollsuche nicht aktivieren oder deaktivieren. Das liegt daran, dass das zugrunde liegende Cmdlet ein Exchange Online-Cmdlet ist.

  • Wenn Sie die Überwachungsprotokollsuche in Office 365 deaktivieren, können Sie trotzdem noch über die Office 365-Verwaltungsaktivitäts-API auf Überwachungsdaten für Ihre Organisation zugreifen. Das Deaktivieren der Überwachungsprotokollsuche durch Ausführen der in diesem Artikel beschriebenen Schritte bedeutet, dass beim Durchsuchen des Überwachungsprotokolls mithilfe von Security & Compliance Center oder das Ausführen des Search-UnifiedAuditLog-Cmdlets in Exchange Online PowerShell keine Ergebnisse zurückgegeben werden. Wenn Sie jedoch eine beliebige Anwendung autorisiert haben, über die Office 365-Verwaltungsaktivitäts-API auf die Überwachungsdaten Ihrer Organisation zuzugreifen, funktioniert diese Anwendung auch weiterhin.

  • Schritt-für-Schritt-Anweisungen zum Durchsuchen des Office 365-Überwachungsprotokolls finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center.

Aktivieren der Überwachungsprotokollsuche

Sie können das Security & Compliance Center oder PowerShell verwenden, um die Überwachungsprotokollsuche in Office 365 zu aktivieren. Es kann nach dem Aktivieren der Überwachungsprotokollsuche mehrere Stunden dauern, bis Sie beim Durchsuchen des Überwachungsprotokolls Ergebnisse zurückgeben können. Ihnen muss in Exchange Online die Rolle "Überwachungsprotokolle" zugewiesen sein, damit Sie die Überwachungsprotokollsuche aktivieren können.

Verwenden des Security & Compliance-Centers zum Aktivieren der Überwachungsprotokollsuche

  1. Gehen Sie im Security & Compliance Center zu Suche und Untersuchung > Überwachungsprotokollsuche.

  2. Klicken Sie auf Mit der Aufzeichnung von Benutzer- und Administratoraktivitäten beginnen.

    Klicken Sie auf "Mit der Aufzeichnung von Benutzer- und Administratoraktivitäten beginnen", um die Überwachung zu aktivieren.

    Es wird ein Dialogfeld angezeigt, das besagt, dass Benutzer- und Administratoraktivitäten in ihrer Organisation im Office 365-Überwachungsprotokoll aufgezeichnet werden und anschließend für die Anzeige in einem Bericht zur Verfügung stehen.

  3. Klicken Sie auf Aktivieren.

    Daraufhin teilt Ihnen eine Meldung mit, dass das Überwachungsprotokoll vorbereitet wird und Sie in ein paar Stunden nach Abschluss der Vorbereitung eine Suche durchführen können.

Verwenden von PowerShell zum Aktivieren der Überwachungsprotokollsuche

  1. Herstellen einer Verbindung mit Exchange Online PowerShell

  2. Führen Sie den folgenden PowerShell-Befehl aus, um die Überwachungsprotokollsuche in Office 365 zu aktivieren.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Es wird eine Meldung angezeigt, die besagt, dass es bis zu 60 Minuten dauern kann, bis die Änderung wirksam wird.

Seitenanfang

Deaktivieren der Überwachungsprotokollsuche

Sie müssen eine mit Ihrer Exchange Online-Organisation verbundene Remote-PowerShell verwenden, um die Überwachungsprotokollsuche zu deaktivieren. Wie für das Aktivieren der Überwachungsprotokollsuche muss ihnen in Exchange Online die Rolle "Überwachungsprotokolle" zugewiesen sein, um die Überwachungsprotokollsuche deaktivieren zu können.

  1. Herstellen einer Verbindung mit Exchange Online PowerShell

  2. Führen Sie den folgenden PowerShell-Befehl aus, um die Überwachungsprotokollsuche in Office 365 zu deaktivieren.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
  3. Überprüfen Sie nach einer gewissen Zeit, dass die Überwachungsprotokollsuche deaktiviert (ausgeschaltet) ist. Hierfür stehen Ihnen zwei Möglichkeiten zur Verfügung:

    • Führen Sie in PowerShell den folgenden Befehl aus:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

      Der Wert False für die UnifiedAuditLogIngestionEnabled-Eigenschaft gibt an, dass die Überwachungsprotokollsuche deaktiviert ist.

    • Gehen Sie im Security & Compliance Center zu Suche und Untersuchung > Überwachungsprotokollsuche, und klicken Sie dann auf Suchen.

      Es wird eine Meldung angezeigt, die besagt, dass die Überwachungsprotokollsuche nicht aktiviert ist.

      Es wird eine Meldung angezeigt, wenn die Überwachung deaktiviert wird.

Seitenanfang

Ihre Office-Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×