Activer ou désactiver la recherche dans un journal d’audit Office 365

Important :  Cet article a été traduit automatiquement, voir l’avertissement. Vous pouvez consulter la version en anglais de cet article ici.

Lors de la recherche des journaux d’audit dans le Centre de sécurité et conformité Office 365 est activé, activité utilisateur et d’administration à partir de votre organisation est enregistrée dans le journal d’audit et conservée pendant 90 jours. Toutefois, votre organisation peut voulez pas enregistrer et conserver les données du journal d’audit. Ou vous utilisez peut-être une application de gestion (SIEM) des informations et événements de sécurité tiers pour accéder à vos données d’audit. Dans ce cas, un administrateur général peut désactiver la recherche de journal d’audit dans Office 365.

Avant de commencer

  • Vous devez attribuer le rôle des journaux d’Audit dans Exchange Online pour désactiver la recherche des journaux d’audit de votre organisation Office 365. Par défaut, ce rôle est affecté à la gestion de la conformité et la gestion de l’organisation des groupes de rôles dans la page des autorisations dans le Centre d’administration Exchange. Les administrateurs généraux dans Office 365 sont membres du groupe de rôles gestion de l’organisation dans Exchange Online.

    Important : Les utilisateurs doivent avoir les autorisations dans Exchange Online pour désactiver la recherche dans un journal d’audit. Si vous affectez aux utilisateurs le rôle des journaux d’Audit dans la page des autorisations dans les Centre de sécurité et conformité, ils ne pourrez pas désactiver la recherche dans un journal d’audit. C’est parce que l’applet de commande sous-jacente est une applet de commande Exchange Online.

  • Si vous désactivez recherche des journaux d’audit dans Office 365, vous pouvez toujours utiliser le Office 365 API de gestion des activités pour accéder aux données d’audit pour votre organisation. La désactivation de recherche dans un journal d’audit en suivant les étapes décrites dans cette moyens de l’article qui ne sera retourné aucun résultat lorsque vous recherchez le journal d’audit à l’aide de la Centre de sécurité et conformité ou lorsque vous exécutez l’applet de commande Search-UnifiedAuditLog dans PowerShell distante connecté à Exchange Online. Toutefois, si vous avez autorisé n’importe quelle application pour accéder aux données d’audit de votre organisation via la Office 365 API de gestion des activités, ces applications continuent à fonctionner.

Désactiver la recherche dans un journal d’audit

Comme expliqué précédemment, vous devez utiliser PowerShell distant connecté à votre organisation Exchange Online pour désactiver la recherche dans un journal d’audit.

  1. Se connecter à Exchange Online PowerShell

  2. Exécutez la commande PowerShell suivante pour désactiver la recherche des journaux d’audit dans Office 365.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
  3. Après un certain temps, vérifiez que la recherche journal d’audit est activée (désactivé). Il existe deux manières de procéder :

    • Dans PowerShell, exécutez la commande suivante :

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

      La valeur de False pour la propriété UnifiedAuditLogIngestionEnabled indique que la recherche journal d’audit est désactivée.

    • Dans la Centre de sécurité et conformité, allez à la recherche et enquête > recherche dans un journal d’Audit, puis cliquez sur Rechercher.

      Un message s’affiche indiquant que la recherche journal d’audit n’est pas activée.

      Un message est dispayed si l’audit est désactivé

Revenir au début

Activer la recherche dans un journal d’audit

Vous pouvez utiliser la Centre de sécurité et conformité ou PowerShell pour activer la recherche dans un journal d’audit. Il peut prendre quelques heures après l’activation recherche dans un journal d’audit avant que vous pouvez renvoyer les résultats lorsque vous effectuez une recherche le journal d’audit. Similaire à la désactivation de recherche dans un journal d’audit, vous devez attribuer le rôle des journaux d’Audit dans Exchange Online pour activer la recherche dans un journal d’audit.

Utiliser le centre de conformité & sécurité pour activer la recherche dans un journal d’audit

  1. Dans la Centre de sécurité et conformité, allez à la recherche et enquête > recherche dans un journal d’Audit.

  2. Cliquez sur Démarrer l’enregistrement d’utilisateur et les activités d’administration.

    Cliquez sur Démarrer l’enregistrement d’utilisateur et les activités d’administration pour activer l’audit

    Une boîte de dialogue s’affiche indiquant qu’utilisateur et l’activité d’administration de votre organisation seront enregistrés dans le journal d’audit Office 365 et affichés dans un rapport.

  3. Cliquez sur Activer.

    Un message s’affiche indiquant que le journal d’audit est en cours de préparation et que vous pouvez effectuer une recherche en quelques heures avant que la préparation est terminée.

Utiliser PowerShell pour activer la recherche dans un journal d’audit

  1. Se connecter à Exchange Online PowerShell

  2. Exécuter la commande PowerShell suivante pour activer la recherche des journaux d’audit dans Office 365.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Un message s’affiche indiquant que peut prendre jusqu'à 60 minutes pour que la modification prenne effet.

Revenir au début

Remarque : Avertissement traduction automatique : cet article a été traduit par un ordinateur, sans intervention humaine. Microsoft propose cette traduction automatique pour offrir aux personnes ne maîtrisant pas l’anglais l’accès au contenu relatif aux produits, services et technologies Microsoft. Comme cet article a été traduit automatiquement, il risque de contenir des erreurs de grammaire, de syntaxe ou de terminologie.

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×