Pesquisar no log de auditoria no Centro de Conformidade e Segurança do Office 365

A seguir, veja o processo para pesquisar o log de auditoria no Office 365.

Etapa 1: executar uma pesquisa de logs de auditoria

Etapa 2: exibir os resultados da pesquisa

Etapa 3: filtrar os resultados da pesquisa

Etapa 4: exportar os resultados da pesquisa para um arquivo

Confira a seção Antes de começar para saber mais sobre os pré-requisitos necessários para pesquisar o log de auditoria do Office 365.

Etapa 1: executar uma pesquisa de logs de auditoria

  1. Acesse https://protection.office.com.

  2. Entre no Office 365 usando uma conta corporativa ou de estudante.

  3. No painel esquerdo, clique em Pesquisa e investigação e clique em Pesquisa de logs de auditoria.

    É exibida a página Pesquisa de logs de auditoria.

    Configure os critérios e clique em Pesquisar para executar o relatório

    Observação : Primeiro você precisa ativar o registro em log de auditoria para poder executar uma pesquisa de logs de auditoria. Se o link Iniciar gravação de atividade de usuários e administradores for exibido, clique nele para ativar a auditoria. Se você não vir esse link, isso indicará que a auditoria já está ativada na sua organização.

  4. Configure os seguintes critérios de pesquisa:

    1. Atividades Clique na lista suspensa para exibir as atividades que você pode procurar. As atividades de usuários e administradores são organizadas em grupos de atividades relacionadas. Você pode selecionar atividades específicas ou pode clicar no nome do grupo de atividades para selecionar todas as atividades que ele contém. Você também pode clicar em uma atividade selecionada para limpar a seleção. Após a execução da pesquisa, apenas as entradas do log de auditoria das atividades selecionadas são exibidas. Selecionar Mostrar resultados para todas as atividades exibirá resultados para todas as atividades realizadas pelo usuário ou grupo de usuários selecionado.

      Mais de 100 atividades de administração e usuário são registradas no log de auditoria do Office 365. Clique na guia Atividades auditadas na parte superior deste artigo para ver as descrições de cada atividade em cada um dos diferentes serviços do Office 365.

    2. Data de início e Data de término Os últimos sete dias são selecionados por padrão. Selecione um intervalo de tempo para exibir os eventos ocorridos durante esse período. A data e a hora são apresentadas no formato UTC (Tempo Universal Coordenado). O intervalo de datas máximo que você pode especificar é de 90 dias. Um erro será exibido se o período selecionado for superior a 90 dias.

      Dica : Se você estiver usando o intervalo máximo de datas de 90 dias, selecione a hora atual para a Data de início. Caso contrário, você receberá um erro afirmando que a data de início é anterior à data de término. Se você tiver ativado a auditoria nos últimos 90 dias, o intervalo máximo de datas não poderá começar antes da data em que a auditoria foi ativada.

    3. Usuários Clique nessa caixa e selecione um ou mais usuários para os quais exibir resultados. As entradas do log de auditoria para a atividade selecionada realizada pelos usuários que você seleciona nessa caixa são exibidas na lista de resultados. Deixe essa caixa em branco para retornar entradas para todos os usuários (e contas de serviço) na sua organização.

    4. Arquivo, pasta ou site   Digite uma parte de um nome de arquivo ou pasta, ou o nome completo, para pesquisar atividades sobre esse arquivo ou pasta que contenha a palavra-chave especificada. Você também pode especificar uma URL ou uma parte de uma URL para exibir entradas de atividades em qualquer objeto no caminho de URL especificado. Observe que caracteres especiais, como barras (/), barras invertidas (\), traços (-) e sublinhados (_) não terão suporte na consulta de pesquisa. Lembre-se de substituir os caracteres especiais por um espaço. Por exemplo, para procurar uma atividade em um site do OneDrive for Business, como https://contoso-mysharepoint.com/personal/saram_contoso_onmicrosoft_com, você poderia digitar o seguinte no campo de pesquisa: personal sarad contoso.

      Deixe essa caixa em branco para retornar entradas para todos os arquivos, pastas e URLs na sua organização.

  5. Clique em Pesquisar para executar a pesquisa usando seus critérios de pesquisa.

    Os resultados da pesquisa são carregados e, depois de alguns momentos, são exibidos em Resultados. Quando a pesquisa estiver concluída, o número de resultados encontrados será exibido. No máximo mil eventos serão exibidos. Se mais de mil eventos atenderem aos critérios de pesquisa, os mil eventos mais recentes serão exibidos.

    O número de resultados é exibido após a conclusão da pesquisa

Voltar ao início

Dicas para pesquisar o log de auditoria

  • É possível selecionar atividades específicas para procurar clicando no nome da atividade. Também é possível procurar todas as atividades em grupo (como Atividades de arquivos e pastas) clicando no nome do grupo. Se uma atividade estiver selecionada, você poderá clicar nela para cancelar a seleção. Você também pode usar a caixa de pesquisa para exibir as atividades que contêm a palavra-chave digitada.

    Clique no nome do grupo de atividade para selecionar todas as atividades
  • É necessário selecionar Mostrar resultados para todas as atividades, na lista Atividades para exibir entradas do log de auditoria de administradores do Exchange. Os eventos desse log de auditoria exibem um nome de cmdlet (por exemplo, Set-Mailbox) na coluna Atividade nos resultados. Para saber mais, clique na guia Atividades auditadas deste tópico e depois clique em Atividades de administradores do Exchange.

  • Clique em Limpar para limpar os critérios de pesquisa atuais. O intervalo de datas retorna para os últimos sete dias padrão. Você também pode clicar em Limpar tudo para mostrar resultados de todas as atividades para cancelar todas as atividades selecionadas.

  • Se mil resultados forem encontrados, você poderá supor que existam provavelmente mais de mil eventos que corresponderam aos critérios de pesquisa. É possível restringir os critérios de pesquisa e executar a pesquisa novamente para retornar menos resultados ou exportar todos os resultados da pesquisa selecionando Exportar resultados > Baixar todos os resultados.

Voltar ao início

Etapa 2: exibir os resultados da pesquisa

Os resultados de uma pesquisa de log de auditoria são exibidos em Resultados, na página Pesquisa de log de auditoria. No máximo mil eventos (os mais recentes) são exibidos. Os resultados contêm as seguintes informações sobre cada evento retornado pela pesquisa.

  • Data A data e a hora (no formato UTC) de ocorrência do evento.

  • Endereço IP O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido no formato de endereço IPv4 ou IPv6.

  • Usuário O usuário (ou a conta de serviço) que realizou a ação que disparou o evento.

  • Atividade A atividade realizada pelo usuário. Esse valor corresponde às atividades que você selecionou na lista suspensa Atividades. Para um evento do log de auditoria de administradores do Exchange, o valor nessa coluna é um cmdlet do Exchange.

  • Item O objeto que foi criado ou modificado como resultado da atividade correspondente. Por exemplo, o arquivo que foi exibido ou modificado ou a conta de usuário que foi atualizada. Nem todas as atividades têm um valor nessa coluna.

  • Detalhe Detalhes adicionais sobre uma atividade. Novamente, nem todas as atividades terão um valor.

Dica : Clique em um cabeçalho de coluna em Resultados para classificar os resultados. Você pode classificar os resultados da A até Z ou de Z até A. Clique no cabeçalho Data para classificar os resultados do mais antigo para o mais recente, ou vice-versa.

Exibir os detalhes de um evento específico

É possível exibir mais detalhes sobre o evento clicando no registro de evento na lista de resultados da pesquisa. É exibida uma página Detalhes que contém as propriedades detalhadas do registro de evento. As propriedades exibidas dependem do serviço do Office 365 em que o evento ocorre. Para exibir esses detalhes, clique em Mais informações. Para obter descrições, confira Propriedades detalhadas no log de auditoria do Office 365.

Clique em Mais informações para exibir as propriedades detalhadas do registro de eventos do log de auditoria

Voltar ao início

Etapa 3: filtrar os resultados da pesquisa

Além de classificar, você também pode filtrar os resultados de uma pesquisa de logs de auditoria. Este é um ótimo recurso que pode ajudá-lo a filtrar rapidamente os resultados para um usuário ou atividade específico. Você pode criar inicialmente uma pesquisa ampla e depois filtrar rapidamente os resultados para ver eventos específicos. Em seguida, pode restringir os critérios de pesquisa e executar a pesquisa novamente para retornar um conjunto de resultados menor e mais conciso.

Para filtrar os resultados:

  1. Execute uma pesquisa de logs de auditoria.

  2. Quando os resultados forem exibidos, clique em Filtrar resultados.

    Caixas de palavras-chave são exibidas em cada cabeçalho de coluna.

  3. Clique em uma das caixas sob um cabeçalho de coluna e digite uma palavra ou frase, dependendo da coluna na qual você está filtrando. Os resultados serão reajustados dinamicamente para exibir os eventos que correspondem ao seu filtro.

    Digite uma palavra no filtro para exibir os eventos que correspondam ao filtro
  4. Para limpar um filtro, clique no X na caixa de filtro ou simplesmente clique em Ocultar filtragem.

Dica : Para exibir eventos do log de auditoria de administradores do Exchange, digite um (traço) na caixa de filtro Atividade. Isto exibirá nomes de cmdlets, que aparecem na coluna Atividade para eventos de administrador do Exchange. Em seguida, você pode classificar os nomes de cmdlets em ordem alfabética.

Voltar ao início

Etapa 4: exportar os resultados da pesquisa para um arquivo

É possível exportar os resultados de uma pesquisa de logs de auditoria para um arquivo CSV (valores separados por vírgula) no computador local. Você pode abrir esse arquivo no Microsoft Excel e usar recursos como pesquisa, classificação, filtragem e divisão de uma única coluna (que contém células de vários valores) em várias colunas.

  1. Execute uma pesquisa de logs de auditoria e, em seguida, reveja os critérios de pesquisa até ter os resultados desejados.

  2. Clique em Exportar resultados e selecionar uma das seguintes opções:

    • Salvar resultados carregados Escolha essa opção para exportar somente as entradas exibidas em Resultados, na página Pesquisa de logs de auditoria. O arquivo CSV baixado contém as mesmas colunas (e dados) exibidos na página (Data, Usuário, Atividade, Item e Detalhes). Nesse arquivo CSV, está incluída uma coluna adicional (chamada Mais) que contém mais informações da entrada do log de auditoria. Como você está exportando os mesmos resultados que estão carregados (e visíveis) na página Pesquisa de logs de auditoria, no máximo mil entradas são exportadas.

    • Baixar todos os resultados Escolha essa opção para exportar todas as entradas do log de auditoria do Office 365 que correspondem aos critérios de pesquisa. Para um grande conjunto de resultados de pesquisa, escolha essa opção para baixar todas as entradas do log de auditoria, além dos mil resultados que são exibidos na página Pesquisa de logs de auditoria. Essa opção baixará os dados brutos do log de auditoria em um arquivo CSV e contém informações adicionais da entrada do log de auditoria em uma coluna denominada Detalhes. O download do arquivo poderá ser mais demorado se você escolher essa opção de exportação, pois o arquivo pode ser muito maior do que o baixado com a outra opção.

      Importante : É possível baixar no máximo 50 mil entradas para um arquivo CSV de uma única pesquisa de logs de auditoria. Se 50 mil entradas forem baixadas para o arquivo CSV, você poderá supor que existem provavelmente mais de 50 mil eventos que corresponderam aos critérios de pesquisa. Para exportar mais do que esse limite, tente usar um intervalo de datas para reduzir o número de entradas do log de auditoria. Talvez seja necessário executar várias pesquisas com intervalos de datas menores para exportar mais de 50 mil entradas.

  3. Após a seleção de uma opção de exportação, é exibida uma mensagem na parte inferior da janela solicitando que você abra o arquivo CSV, salve-o na pasta Downloads ou salve-o em uma pasta específica.

Voltar ao início

Informações adicionais sobre como exportar resultados de pesquisa de logs de auditoria

  • A opção Baixar todos os resultados baixa os dados brutos do log de auditoria do Office 365 em um arquivo CSV. Esse arquivo conterá nomes de colunas diferentes (Hora, Usuário, Ação, Detalhes) daqueles do arquivo baixado com a opção Salvar resultados carregados. Os valores nos dois arquivos CSV diferentes para a mesma atividade também podem ser diferentes. Por exemplo, a atividade na coluna Ação do arquivo CSV pode ter um valor diferente da versão "amigável" exibida na coluna Atividade da página Pesquisa de logs de auditoria, por MailboxLogin vs. Usuário entrou na caixa de correio.

  • Se você baixar todos os resultados, o arquivo CSV conterá uma coluna denominada Detalhes e que contém informações adicionais sobre cada evento. Como já foi dito, essa coluna contém uma propriedade de vários valores para várias propriedades do registro de log de auditoria. Cada um dos pares de property:value nessa propriedade de vários valores é separado por uma vírgula. É possível usar o Power Query no Excel para dividir essa coluna em várias, de forma que cada propriedade tenha sua própria coluna. Isso permitirá que você classifique e filtre em uma ou mais dessas propriedades. Para saber como fazer isso, veja a seção "Dividir uma coluna por delimitador" em Dividir uma coluna de texto (Power Query).

    Depois de dividir a coluna Detalhes, você pode filtrar a coluna Ação para exibir as propriedades detalhadas de um tipo específico de atividade.

  • Quando você baixa todos os resultados de uma consulta de pesquisa que contém eventos de diferentes serviços do Office 365, a coluna Detalhes no arquivo CSV contém propriedades diferentes, dependendo do serviço no qual a ação foi realizada. Por exemplo, as entradas de logs de auditoria do Exchange e do Azure AD incluem uma propriedade denominada ResultStatus que indica se a ação foi bem-sucedida ou não. Essa propriedade não está incluída para eventos no SharePoint. Da mesma forma, os eventos do SharePoint têm uma propriedade que identifica a URL do site atividades relacionadas a arquivos e pastas. Para atenuar esse comportamento, considere usar diferentes pesquisas para exportar os resultados de atividades de um único serviço.

    Para obter uma descrição das propriedades listadas na coluna Detalhes do arquivo CSV quando você baixa todos os resultados, bem como sobre o serviço ao qual cada uma se aplica, veja Propriedades detalhadas no log de auditoria do Office 365.

Voltar ao início

Leia os seguintes itens antes de começar a pesquisar o log de auditoria do Office 365.

  • Você (ou outro administrador) primeiro deve ativar o registro em log de auditoria antes de começar a pesquisar no log de auditoria do Office 365. Para ativá-lo, basta clicar em Iniciar a gravação da atividade do usuário e do administrador na página Pesquisa de logs de auditoria no Security & Compliance Center. (Se você não vir esse link, significa que a auditoria já está ativada na sua organização). Após a ativação, será exibida uma mensagem informando que o log de auditoria está sendo preparado e que você poderá executar uma pesquisa dentro algumas horas quando a preparação estiver concluída. Isso só precisa ser feito uma vez.

    Observação : Estamos em processo de ativar a auditoria por padrão. Até lá, ative-a conforme descrevemos anteriormente.

  • Você recebeu a função Logs de Auditoria Somente para Exibição ou Logs de Auditoria no Exchange Online para pesquisar o log de auditoria do Office 365. Por padrão, essas funções são atribuídas aos grupos de funções Gerenciamento de Conformidade e Gerenciamento de Organização na página Permissões do Exchange admin center. Para que um usuário tenha a capacidade de pesquisar o log de auditoria do Office 365 com o nível mínimo de privilégios, você pode criar um grupo de funções personalizados no Exchange Online, adicionar a função Logs de Auditoria Somente para Exibição ou Logs de Auditoria e depois adicionar o usuário como um membro do novo grupo de funções. Para saber mais, veja Gerenciar grupos de funções no Exchange Online.

    Importante : Se você atribuir a um usuário a função Logs de Auditoria Somente para Exibição ou Logs de Auditoria na página Permissões do Security & Compliance Center, ele não poderá pesquisar o log de auditoria do Office 365. Você deve atribuir as permissões no Exchange Online. Isso porque o cmdlet subjacente usado para pesquisar o log de auditoria é um cmdlet do Exchange Online.

  • Caso pretenda desativar a pesquisa de log de auditoria no Office 365 da organização, execute o comando a seguir no PowerShell Remoto conectado à sua organização do Exchange Online:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    Para ativar a pesquisa de auditoria novamente, execute o seguinte comando no PowerShell do Exchange Online:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Para saber mais, confira Desativar a pesquisa de log de auditoria no Office 365.

  • Como mencionado anteriormente, o cmdlet subjacente usado para pesquisar o log de auditoria é um cmdlet Exchange Online, que é Search-UnifiedAuditLog. Isso significa que você pode usar esse cmdlet para pesquisar o log de auditoria do Office 365 em vez de usar a página Pesquisa de log de auditoria no Security & Compliance Center. Você precisa executar esse cmdlet no PowerShell remoto conectado à sua organização do Exchange Online. Para saber mais, confira Search-UnifiedAuditLog.

  • Se quiser baixar dados programaticamente do log de auditoria do Office 365, recomendamos que você use a API de atividades de gerenciamento do Office 365 em vez de usar um script do PowerShell. A API de atividades de gerenciamento do Office 365 é um serviço Web REST que você pode usar para desenvolver soluções de monitoramento de operações, segurança e conformidade para a sua organização. Confira mais informações em Referência da API de atividades de gerenciamento do Office 365.

  • Você pode pesquisar o log de auditoria do Office 365 em busca de atividades que foram realizadas nos últimos 90 dias.

  • Pode levar de 30 minutos a 24 horas após a ocorrência de um evento para que a entrada do log de auditoria correspondente seja exibida nos resultados de pesquisa. A tabela a seguir mostra o tempo necessário para os vários serviços do Office 365.

    Serviço do Office 365

    30 minutos

    24 horas

    Azure Active Directory (eventos do administrador)

    Marca de seleção

    Azure Active Directory (eventos de logon do usuário)

    Marca de seleção

    Exchange Online

    Marca de seleção

    Microsoft Teams

    Marca de seleção

    Power BI

    Marca de seleção

    Security & Compliance Center

    Marca de seleção

    SharePoint Online e OneDrive for Business

    Marca de seleção

    Sway

    Marca de seleção

    Yammer

    Marca de seleção

  • Azure Active Directory (Azure AD) é o serviço de diretório do Office 365. O log de auditoria unificado contém atividades de usuários, grupos, aplicativos, domínios e diretórios realizadas no Office 365 admin center ou no portal de gerenciamento do Azure. Veja a lista completa de eventos do Azure AD em Eventos de relatório de auditoria do Azure Active Directory.

Voltar ao início

As tabelas nesta seção descrevem as atividades que são auditadas no Office 365. Você pode procurar esses eventos pesquisando o log de auditoria no Security & Compliance Center. Clique na guia Pesquisar o log de auditoria para obter instruções passo a passo.

Essas tabelas agrupam atividades relacionadas ou as atividades de um serviço do Office 365 específico. As tabelas incluem o nome amigável exibido na lista suspensa Atividades e o nome da operação correspondente exibido nas informações detalhadas de um registro de auditoria e no arquivo CSV, quando você exporta os resultados da pesquisa. Clique em um dos links a seguir para navegar até uma tabela específica.

Atividades de arquivo e página

Atividades de pasta

Atividades de compartilhamento e solicitação de acesso

Atividades de sincronização

Atividades de administração de site

Atividades de caixa de correio do Exchange

Atividades do Sway

Atividades de administração de usuários

Atividades de administração de grupos do Azure AD

Atividades de administração de aplicativos

Atividades de administração de funções

Atividades de administração de diretórios

Atividades de Descoberta Eletrônica

Atividades do Power BI

Atividades do Microsoft Teams

Atividades do Yammer

Atividades de administradores do Exchange

Atividades de arquivo e página

A tabela a seguir descreve as atividades de arquivo e página no SharePoint Online e no OneDrive for Business.

Nome amigável

Operação

Descrição

Arquivo acessado

FileAccessed

O usuário ou a conta do sistema acessa um arquivo.

(nenhuma)

FileAccessedExtended

Isso está relacionado à atividade "Arquivo acessado" (FileAccessed). Um evento FileAccessedExtended é registrado em log quando a mesma pessoa acessa constantemente um arquivo por um longo período (até 3 horas). O propósito de registrar eventos FileAccessedExtended em log é reduzir o número de eventos FileAccessed registrados quando um arquivo é acessado continuamente. Isso ajuda a reduzir o ruído de vários registros de FileAccessed para, basicamente, a mesma atividade do usuário e permite que você se concentre no evento FileAccessed inicial (e mais importante).

Arquivo em check-in

FileCheckedIn

O usuário faz check-in de um documento que estava em check-out em uma biblioteca de documentos.

Arquivo em check-out

FileCheckedOut

O usuário faz check-out de um documento localizado em uma biblioteca de documentos. Os usuários podem fazer check-out e efetuar alterações em documentos que foram compartilhados com eles.

Arquivo copiado

FileCopied

O usuário copia um documento de um site. O arquivo copiado pode ser salvo em outra pasta no site.

Arquivo excluído

FileDeleted

O usuário exclui um documento de um site.

Arquivo excluído da Lixeira

FileDeletedFirstStageRecycleBin

O usuário exclui um arquivo da Lixeira no site.

Arquivo excluído da Lixeira de segundo estágio

FileDeletedSecondStageRecycleBin

O usuário exclui um arquivo da Lixeira de segundo estágio no site.

Check-out de arquivo descartado

FileCheckOutDiscarded

O usuário descarta (ou desfaz) um arquivo em check-out. Isso significa que todas as alterações que ele tiver feito nesse arquivo durante o estado de check-out serão descartados, e não salvas na versão do documento localizada na biblioteca de documentos.

Arquivo baixado

FileDownloaded

O usuário baixa um documento de um site.

Arquivo modificado

FileModified

O usuário ou a conta do sistema modifica o conteúdo ou as propriedades de um documento localizado em um site.

(nenhuma)

FileModifiedExtended

Isso está relacionado à atividade "Arquivo modificado" (FileModified). Um evento FileAccessedExtended é registrado em log quando a mesma pessoa modifica constantemente um arquivo por um longo período (até 3 horas). O propósito de registrar eventos FileModifiedExtended em log é reduzir o número de eventos FileModified registrados quando um arquivo é modificado continuamente. Isso ajuda a reduzir o ruído de vários registros de FileModified para, basicamente, a mesma atividade do usuário e permite que você se concentre no evento FileModified inicial (e mais importante).

Arquivo movido

FileMoved

O usuário move um documento de sua localização atual em um site até uma nova localização.

Arquivo renomeado

FileRenamed

O usuário renomeia um documento em um site.

Arquivo restaurado

FileRestored

O usuário restaura um documento da lixeira de um site.

Arquivo carregado

FileUploaded

O usuário carrega um documento em uma pasta em um site.

Página exibida

PageViewed

O usuário exibe uma página no site. Isso não inclui usar um navegador da Web para exibir arquivos localizados em uma biblioteca de documentos.

(nenhuma)

PageViewedExtended

Isso está relacionado à atividade "Página exibida" (PageViewed). Um evento PageViewedExtended é registrado em log quando a mesma pessoa exibe continuamente uma página da Web por um longo período (até 3 horas). O propósito de registrar eventos PageViewedExtended em log é reduzir o número de eventos PageViewed registrados quando uma página é exibida continuamente. Isso ajuda a reduzir o ruído de vários registros de PageViewed para, basicamente, a mesma atividade do usuário e permite que você se concentre no evento PageViewed inicial (e mais importante).

Voltar ao início

Atividades de pasta

A tabela a seguir descreve as atividades de pasta no SharePoint Online e no OneDrive for Business.

Nome amigável

Operação

Descrição

Pasta copiada

FolderCopied

O usuário copia uma pasta de um site para outro local no SharePoint ou no OneDrive for Business.

Pasta criada

FolderCreated

O usuário cria uma pasta no site.

Pasta excluída

FolderDeleted

O usuário exclui uma pasta do site.

Pasta excluída da Lixeira

FolderDeletedFirstStageRecycleBin

O usuário exclui uma pasta da Lixeira no site.

Pasta excluída da Lixeira de segundo estágio

FolderDeletedSecondStageRecycleBin

O usuário exclui uma pasta da Lixeira de segundo estágio no site.

Pasta modificada

FolderModified

O usuário modifica uma pasta no site. Isso inclui alterar os metadados da pasta, como propriedades e marcas.

Pasta movida

FolderMoved

O usuário move uma pasta para um local diferente no site.

Pasta renomeada

FolderRenamed

O usuário renomeia uma pasta no site.

Pasta restaurada

FolderRestored

O usuário restaura uma pasta da Lixeira no site.

Voltar ao início

Atividades de compartilhamento e solicitação de acesso

A tabela a seguir descreve as atividades de compartilhamento e solicitação de acesso no SharePoint Online e no OneDrive for Business. Para eventos de compartilhamento, a coluna Detalhes em Resultados identifica o nome do usuário ou do grupo com o qual o item foi compartilhado e se esse usuário ou grupo é um membro ou convidado na sua organização. Para saber mais, veja Usar a auditoria de compartilhamento no log de auditoria do Office 365.

Observação : Os usuários podem ser membros ou convidados com base na propriedade UserType do objeto de usuário. Um membro é geralmente um funcionário, enquanto um convidado é geralmente um colaborador fora da sua organização. Quando um usuário aceita um convite de compartilhamento (e ainda não faz parte da sua organização), uma conta de convidado é criada para ele no diretório da sua organização. Quando esse usuário convidado tem uma conta no seu diretório, recursos podem ser compartilhados diretamente com ele (sem a necessidade de um convite).

Nome amigável

Operação

Descrição

Solicitação de acesso aceita

AccessRequestAccepted

Uma solicitação de acesso a um site, pasta ou documento foi aceita, e o usuário solicitante recebeu acesso.

Convite de compartilhamento aceito

SharingInvitationAccepted

O usuário (membro ou convidado) aceitou um convite de compartilhamento e recebeu acesso a um recurso. Esse evento inclui informações sobre o usuário que foi convidado e sobre o endereço de email que foi usado para aceitar o convite (eles podem ser diferentes). Com frequência, essa atividade é acompanhada por um segundo evento que descreve como o usuário obteve acesso ao recurso; por exemplo, a adição do usuário a um grupo com acesso ao recurso.

Convite de compartilhamento bloqueado

SharingInvitationBlocked

A ser determinado

Link compartilhável da empresa criado

CompanyLinkCreated

O usuário criou um link de empresa para um recurso. Links de empresa só podem ser usados pelos membros da sua organização. Eles não podem ser usados por convidados.

Solicitação de acesso criada

AccessRequestCreated

O usuário solicita acesso a um site, pasta ou documento que ele não tem permissões para acessar.

Link anônimo criado

AnonymousLinkCreated

O usuário criou um link anônimo para um recurso. Qualquer pessoa com esse link pode acessar o recurso sem ter que se autenticar.

Convite de compartilhamento criado

SharingInvitationCreated

O usuário compartilhou um recurso no SharePoint Online e no OneDrive for Business com outro usuário que não está no diretório da sua organização.

Solicitação de acesso negada

AccessRequestDenied

Uma solicitação de acesso a um site, pasta ou documento foi negada.

Link compartilhável da empresa removido

CompanyLinkRemoved

O usuário removeu um link de empresa para um recurso. O link não pode mais ser usado para acessar o recurso.

Link anônimo removido

AnonymousLinkRemoved

O usuário removeu um link anônimo para um recurso. O link não pode mais ser usado para acessar o recurso.

Arquivo, pasta ou site compartilhado

SharingSet

O usuário (membro ou convidado) compartilhou um arquivo, uma pasta ou um site no SharePoint ou no OneDrive for Business com um usuário no diretório da sua organização. O valor na coluna Detalhes dessa atividade identifica o nome do usuário com o qual o recurso foi compartilhado e se esse usuário é um membro ou convidado. Com frequência, essa atividade é acompanhada por um segundo evento que descreve como o usuário recebeu acesso ao recurso; por exemplo, a adição do usuário a um grupo com acesso ao recurso.

Link anônimo atualizado

AnonymousLinkUpdated

O usuário atualizou um link anônimo para um recurso. O campo atualizado é incluído na propriedade EventData quando você exporta os resultados da pesquisa.

Link anônimo usado

AnonymousLinkUsed

Um usuário anônimo acessou um recurso usando um link anônimo. A identidade do usuário pode ser desconhecida, mas você pode obter outros detalhes, como seu endereço IP.

Cancelamento de compartilhamento de arquivo, pasta ou site

SharingRevoked

O usuário (membro ou convidado) cancelou o compartilhamento de um arquivo, pasta ou site que havia sido compartilhado com outro usuário.

Link compartilhável da empresa usado

CompanyLinkUsed

O usuário acessou um recurso usando um link de empresa.

Convite de compartilhamento retirado

SharingInvitationRevoked

O usuário retirou um convite de compartilhamento para um recurso.

Voltar ao início

Atividades de sincronização

A tabela a seguir lista atividades de sincronização de arquivos no SharePoint Online e no OneDrive for Business.

Nome amigável

Operação

Descrição

Computador com permissão para sincronizar arquivos

ManagedSyncClientAllowed

O usuário estabelece com êxito uma relação de sincronização com um site. A relação de sincronização é bem-sucedida porque o computador do usuário é membro de um domínio que foi adicionado à lista de domínios (chamada de lista de destinatários seguros) que podem acessar bibliotecas de documentos na sua organização.

Para outras informações sobre esse recurso, veja Use cmdlets do Windows PowerShell para habilitar a sincronização do OneDrive para domínios que estão na lista de destinatários confiáveis.

Computador impedido de sincronizar arquivos

UnmanagedSyncClientBlocked

O usuário tenta estabelecer uma relação de sincronização com um site em um computador que não é membro do domínio da sua organização ou que é membro de um domínio que não foi adicionado à lista de domínios (chamada de lista de destinatários seguros) que podem acessar bibliotecas de documentos na sua organização. A relação de sincronização não é permitida, e o computador do usuário é impedido de sincronizar, baixar ou carregar arquivos em uma biblioteca de documentos.

Para saber mais sobre esse recurso, veja Use cmdlets do Windows PowerShell para habilitar a sincronização do OneDrive para domínios que estão na lista de destinatários confiáveis.

Arquivos baixados no computador

FileSyncDownloadedFull

O usuário estabelece uma relação de sincronização e baixa arquivos de uma biblioteca de documentos com êxito pela primeira vez em seu computador.

Alterações de arquivo baixadas no computador

FileSyncDownloadedPartial

O usuário baixa com êxito quaisquer alterações nos arquivos de uma biblioteca de documentos. Essa atividade indica que todas as alterações que foram feitas nos arquivos da biblioteca de documentos foram baixadas no computador do usuário. Apenas as alterações foram baixadas porque a biblioteca de documentos já foi baixada pelo usuário (conforme indicado pela atividade Arquivos baixados no computador).

Arquivos carregados na biblioteca de documentos

FileSyncUploadedFull

O usuário estabelece uma relação de sincronização e carrega arquivos em uma biblioteca de documentos com êxito pela primeira vez em seu computador.

Alterações de arquivo carregadas na biblioteca de documentos

FileSyncUploadedPartial

O usuário carrega com êxito em uma biblioteca de documentos as alterações feitas em arquivos. Esse evento indica que todas as alterações feitas na versão local de um arquivo proveniente de uma biblioteca de documentos são carregadas com êxito na biblioteca de documentos. Apenas alterações foram carregadas porque esses arquivos já foram carregados pelo usuário (conforme indicado pela atividade Arquivos carregados na biblioteca de documentos).

Voltar ao início

Atividades de administração de site

A tabela a seguir lista os eventos decorrentes de tarefas de administração de sites no SharePoint Online.

Nome amigável

Operação

Descrição

Agente de usuário isento adicionado

ExemptUserAgentSet

O administrador global adiciona um agente de usuário à lista de agentes de usuário isentos no centro de administração do SharePoint.

Administrador de conjunto de sites adicionado

SiteCollectionAdminAdded

O proprietário ou administrador do conjunto de sites adiciona uma pessoa como administrador de conjunto de sites para um site. Os administradores de conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites.

Usuário ou grupo adicionado ao grupo do SharePoint

AddedToGroup

Usuário adicionado a um membro ou convidado a um grupo do SharePoint. Esta pode ter sido uma ação intencional ou o resultado de outra atividade, como um evento de compartilhamento.

Usuário com permissão para criar grupos

AllowGroupCreationSet

O proprietário ou administrador do site adiciona um nível de permissão a um site, que permite que um usuário com essa permissão crie um grupo para esse site.

Agentes de usuário isentos alterados

CustomizeExemptUsers

O administrador global personalizou a lista de agentes de usuário isentos no centro de administração do SharePoint. Você pode especificar quais agentes de usuário devem ficar isentos de receber uma página da Web inteira para indexar. Isso significa que, quando um agente de usuário especificado como isento encontrar um formulário do InfoPath, esse formulário será retornado como um arquivo XML em vez de uma página da Web inteira. Isso agiliza a indexação de formulários do InfoPath.

Política de compartilhamento alterada

SharingPolicyChanged

Um administrador alterou uma política de compartilhamento do SharePoint usando o portal de administração do Office 365, o portal de administração do SharePoint ou o Shell de Gerenciamento do SharePoint Online. Qualquer alteração nas configurações da política de compartilhamento na sua organização será registrada. A política que foi alterado é identificada na propriedade do campo ModifiedProperty quando você exporta os resultados da pesquisa.

Grupo criado

GroupAdded

O proprietário ou administrador do site cria um grupo para um site ou realiza uma tarefa que resulta na criação de um grupo. Por exemplo, quando um usuário cria um link para compartilhar um arquivo pela primeira vez, um grupo do sistema é adicionado ao site do OneDrive for Business desse usuário. Esse evento também pode ser um resultado de um usuário ter criado um link com permissões de edição em um arquivo compartilhado.

Conexão Enviar para criada

SendToConnectionAdded

O administrador global cria uma nova conexão Enviar para na página de gerenciamento de Registros do centro de administração do SharePoint. Uma conexão Enviar para especifica configurações para um repositório de documentos ou um centro de registros. Quando você cria uma conexão Enviar para, um Organizador de Conteúdo pode enviar documentos à localização especificada.

Conjunto de sites criado

SiteCollectionCreated

Um administrador cria um novo conjunto de sites na sua organização do SharePoint Online ou um usuário fornece o site do OneDrive for Business.

Grupo excluído

GroupRemoved

O usuário exclui um grupo de um site.

Conexão Enviar para excluída

SendToConnectionRemoved

O administrador global exclui uma conexão Enviar para na página de gerenciamento de Registros do centro de administração do SharePoint.

Site excluído

SiteDeleted

O administrador do site exclui um arquivo.

Visualização de documentos habilitada

PreviewModeEnabledSet

O administrador do site habilita a visualização de documentos para um site.

Fluxo de trabalho legado habilitado

LegacyWorkflowEnabledSet

O proprietário ou administrador do site adiciona o tipo de conteúdo Tarefa de Fluxo de Trabalho do SharePoint 2013 ao site. Os administradores globais também podem habilitar fluxos de trabalho para toda a organização no centro de administração do SharePoint.

Office on Demand habilitado

OfficeOnDemandSet

O administrador do site habilita o Office on Demand, que permite aos usuários acessar a última versão de aplicativo de área de trabalho do Office. O Office on Demand está habilitado no centro de administração do SharePoint e requer uma assinatura do Office 365 que inclua todos os aplicativos do Office instalados.

RSS feeds habilitados

NewsFeedEnabledSet

O proprietário ou administrador do site habilita RSS feeds para um site. Os administradores globais podem habilitar RSS feeds para toda a organização no centro de administração do SharePoint.

Permissões de site modificadas

SitePermissionsModified

O proprietário ou administrador do site (ou a conta do sistema) altera o nível de permissão que é atribuído a um grupo em um site. Essa atividade também será registrada se todas as permissões forem removidas de um grupo.

Observação : Esta operação foi desaprovada no SharePoint Online. Para localizar os eventos relacionados, você pode procurar outras atividades relacionadas à permissão, como Administrador da coleção de sites adicionados, Usuário ou grupo adicionado ao grupo do SharePoint, Usuário permitido para criar grupos, Grupo criado e Grupo excluído.

Usuário ou grupo removido do SharePoint

RemovedFromGroup

O usuário removeu um membro ou convidado de um grupo do SharePoint. Essa pode ter sido uma ação intencional ou o resultado de outra atividade, como um evento de cancelamento de compartilhamento.

Site renomeado

SiteRenamed

O proprietário ou administrador do site renomeia um site

Permissões de administrador de site solicitadas

SiteAdminChangeRequest

O usuário solicita ser adicionado como administrador de conjunto de sites para um conjunto de sites. Administradores de conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites.

Definir site de host

HostSiteSet

O administrador global altera o site designado para hospedar sites pessoais ou do OneDrive for Business.

Grupo atualizado

GroupUpdated

O proprietário ou administrador do site altera as configurações de um grupo para um site. Isso pode incluir alterar o nome do grupo, quem pode visualizar ou editar a participação no grupo e como as solicitações de associação são manipuladas.

Voltar ao início

Atividades de caixa de correio do Exchange

A tabela a seguir lista as atividades que podem ser registradas pelo log de auditoria de caixa de correio. São registradas atividades de caixa de correio realizadas pelo proprietário da caixa de correio, por um usuário delegado ou por um administrador. Por padrão, a auditoria de caixas de correio no Office 365 não está ativada. O log de auditoria de caixas de correio deve ser ativado para cada caixa de correio antes que a atividade de caixas de correio seja registrada. Para saber mais, veja Habilitar a auditoria de caixas de correio no Office 365.

Nome amigável

Operação

Descrição

Permissões de caixa de correio do representante adicionadas

Add-MailboxPermission

Um administrador atribuiu a um usuário (conhecido como uma representante) a permissão de caixa de correio FullAccess para a caixa de correio de outra pessoa. A permissão FullAccess permite que o representante abra a caixa de correio de outra pessoa e leia e gerenciar o conteúdo da caixa de correio.

Mensagens copiadas para outra pasta

Copiar

Uma mensagem foi copiada para outra pasta.

Mensagens criadas ou recebidas

Criar

Um item é criado na pasta Calendário, Contatos, Anotações ou Tarefas da caixa de correio. Por exemplo, uma nova solicitação de reunião é criada. Observe que a criação de mensagens ou pastas não é auditada.

Mensagens excluídas da pasta Itens Excluídos

SoftDelete

Uma mensagem foi permanentemente excluída ou foi excluída da pasta Itens Excluídos. Esses itens são movidos para a pasta Itens Recuperáveis. As mensagens também são movidas para a pasta Itens Recuperáveis quando um usuário as seleciona e pressiona Shift+Delete.

Mensagens movidas para outra pasta

Mover

Uma mensagem foi movida para outra pasta.

Mensagens movidas para a pasta Itens Excluídos

MoveToDeletedItems

Uma mensagem foi excluída e movida para a pasta Itens Excluídos.

Mensagens limpas da caixa de correio

HardDelete

Uma mensagem foi limpa da pasta Itens Recuperáveis (permanentemente excluída da caixa de correio).

Permissões de caixa de correio do representante removidas

Remove-MailboxPermission

Um administrador removeu a permissão FullAccess (que foi atribuída a um representante) da caixa de correio de uma pessoa. Depois que a permissão FullAccess for removida, o representante não pode abrir a caixa de correio de outra pessoa ou acessar nenhum conteúdo nela.

Mensagem enviada com permissões SendAs

SendAs

Uma mensagem foi enviada usando a permissão SendAs. Isso significa que outro usuário enviou a mensagem como se fosse o proprietário da caixa de correio.

Mensagem enviada com permissões Enviar em nome de

SendOnBehalf

Uma mensagem foi enviada usando a permissão SendOnBehalf. Isso significa que outro usuário enviou a mensagem em nome do proprietário da caixa de correio. A mensagem indica ao destinatário em nome de quem a mensagem foi enviada e quem realmente a enviou.

Mensagem atualizada

Atualizar

Uma mensagem ou suas propriedades foram alteradas.

Usuário entrou na caixa de correio

MailboxLogin

O usuário entrou em sua caixa de correio.

Voltar ao início

Atividades do Sway

A tabela a seguir lista as atividades de usuários e administradores no Sway. O Sway é um aplicativo do Office 365 que ajuda os usuários a reunirem, formatarem e compartilharem ideias, histórias e apresentações em uma tela interativa com base na Web. Para saber mais, veja Perguntas frequentes sobre o Sway – Ajuda do administrador.

Nome amigável

Operação

Descrição

Nível de compartilhamento do Sway alterado

SwayChangeShareLevel

O usuário altera o nível da compartilhamento de um Sway. Esse evento captura o usuário alterando o escopo de compartilhamento associado a um Sway, por exemplo, público versus dentro da organização.

Sway criado

SwayCreate

O usuário cria um Sway.

Sway excluído

SwayDelete

O usuário exclui um Sway.

Duplicação de Sway desabilitada

SwayDisableDuplication

O usuário desabilita a duplicação de um Sway.

Sway duplicado

SwayDuplicate

O usuário duplica um Sway.

Sway editado

SwayEdit

O usuário edita um Sway.

Duplicação de Sway habilitada

EnableDuplication

O usuário habilita a duplicação de um Sway. A capacidade de um usuário habilitar a duplicação de um Sway está habilitada por padrão.

Compartilhamento do Sway revogado

SwayRevokeShare

O usuário para de compartilhar um Sway revogando o acesso a ele. A revogação do acesso muda os links associados a um Sway.

Sway compartilhado

SwayShare

O usuário pretende compartilhar um Sway. Esse evento captura a ação do usuário de clicar em um destino de compartilhamento no menu de compartilhamento do Sway. O evento não indica se o usuário concluiu a ação de compartilhamento.

Compartilhamento externo do Sway desativado

SwayExternalSharingOff

O administrador desabilita o compartilhamento externo do Sway para toda a organização usando o centro de administração do Office 365.

Compartilhamento externo do Sway ativado

SwayExternalSharingOn

O administrador habilita o compartilhamento externo do Sway para toda a organização usando o centro de administração do Office 365.

Serviço do Sway desativado

SwayServiceOff

O administrador desabilita o Sway para toda a organização usando o centro de administração do Office 365.

Serviço do Sway ativado

SwayServiceOn

O administrador habilita o Sway para toda a organização usando o centro de administração do Office 365 (o serviço do Sway está habilitado por padrão).

Sway exibido

SwayView

O usuário exibe um Sway.

Voltar ao início

Atividades de administração de usuários

A tabela a seguir lista as atividades de administração de usuários que são registradas quando um administrador adiciona ou altera uma conta de usuário usando o Office 365 admin center ou o portal de gerenciamento do Azure.

Atividade

Operação

Descrição

Usuário adicionado

Adicionar usuário

Uma conta de usuário do Office 365 foi criada.

Licença de usuário alterada

Alterar licença de usuário

A licença atribuída a um usuário foi alterada. Para ver quais licenças foram alteradas, veja a atividade Usuário atualizado correspondente.

Senha do usuário alterada

Alterar senha do usuário

O administrador alterou a senha de um usuário.

Usuário excluído

Excluir usuário

Uma conta de usuário do Office 365 foi excluída.

Redefinir senha do usuário

Redefinir senha do usuário

O administrador redefiniu a senha de um usuário.

Propriedade definida que força o usuário a alterar a senha

Definir alteração forçada de senha do usuário

O administrador definiu a propriedade que impõe ao usuário redefinir a respectiva senha da próxima vez que ele entrar no Office 365.

Definir propriedades de licenças

Definir propriedades de licenças

O administrador modifica as propriedades de uma licença atribuída a um usuário.

Usuário atualizado

Atualizar usuário

O administrador altera uma ou mais propriedades de uma conta de usuário. Para obter uma lista de propriedades do usuário que podem ser atualizadas, confira a seção "Atualizar atributos do usuário", no artigo Eventos de relatório de auditoria do Azure Active Directory.

Voltar ao início

Atividades de administração de grupos do Azure AD

A tabela a seguir lista as atividades de administração de grupos que são registradas quando um administrador ou um usuário cria ou altera um grupo do Office 365 ou quando um administrador cria um grupo de segurança usando o Office 365 admin center ou o portal de gerenciamento do Azure. Para saber mais sobre grupos no Office 365, confira Exibir, criar e excluir grupos no centro de administração do Office 365.

Nome amigável

Operação

Descrição

Grupo adicionado

Adicionar grupo

Um grupo foi criado.

Membro adicionado ao grupo

Adicionar membro ao grupo

Um membro foi adicionado a um grupo.

Grupo excluído

Excluir grupo

Um grupo foi excluído.

Membro removido do grupo

Remover membro do grupo

Um membro foi removido de um grupo.

Grupo atualizado

Atualizar grupo

Uma propriedade de um grupo foi alterada.

Voltar ao início

Atividades de administração de aplicativos

A tabela a seguir lista atividades de administração de aplicativos que são registradas quando um administrador adiciona ou altera um aplicativo que está registrado no Azure AD. Qualquer aplicativo que depende do Azure AD para autenticação deve ser registrado no diretório.

Nome amigável

Operação

Descrição

Entrada da delegação adicionada

Adicionar entrada de delegação

Uma permissão de autenticação foi criada/concedida a um aplicativo no Azure AD.

Entidade de serviço adicionada

Adicionar entidade de serviço

Um aplicativo foi registrado no Azure AD. Um aplicativo é representado por uma entidade de serviço no diretório.

Credenciais adicionadas a uma entidade de serviço

Adicionar credenciais de entidade de serviço

Credenciais foram adicionadas a uma entidade de serviço no Azure AD. Uma entidade de serviço representa um aplicativo no diretório.

Entrada de delegação removida

Remover entrada de delegação

Uma permissão de autenticação foi removida de um aplicativo no Azure AD.

Entidade de serviço removida do diretório

Remover entidade de serviço

Um aplicativo foi excluído/teve o registro cancelado do Azure AD. Um aplicativo é representado por uma entidade de serviço no diretório.

Credenciais removidas de uma entidade de serviço

Remover credenciais de entidade de serviço

Credenciais foram removidas de uma entidade de serviço no Azure AD. Uma entidade de serviço representa um aplicativo no diretório.

Definir entrada de delegação

Definir entrada de delegação

Uma permissão de autenticação foi atualizada para um aplicativo no Azure AD.

Voltar ao início

Atividades de administração de funções

A tabela a seguir lista as atividades de administração de funções do Azure AD registradas quando um administrador gerencia funções de administração no Office 365 admin center ou no portal de gerenciamento do Azure.

Nome amigável

Operação

Descrição

Adicionar membro à função

Adicionar membro de função à função

Usuário adicionado a uma função de administração no Office 365.

Usuário removido de uma função de diretório

Remover membro de função da função

Usuário removido de uma função de administração no Office 365.

Definir informações de contato da empresa

Definir informações de contato da empresa

Preferências de contato no nível da empresa atualizadas para a sua organização do Office 365. Isso inclui endereços de email para emails relacionados a assinaturas enviados pelo Office 365, bem como notificações técnicas sobre serviços do Office 365.

Voltar ao início

Atividades de administração de diretórios

A tabela a seguir lista atividades relacionadas a diretórios e domínios do Azure AD registradas quando um administrador gerencia sua organização do Office 365 no Office 365 admin center ou no portal de gerenciamento do Azure.

Nome amigável

Operação

Descrição

Domínio adicionado à empresa

Adicionar domínio à empresa

Domínio adicionado à sua organização do Office 365.

Parceiro adicionado ao diretório

Parceiro adicionado à empresa

Parceiro (administrador delegado) adicionado à sua Office 365 organização.

Domínio removido da empresa

Remover domínio da empresa

Domínio removido da sua organização do Office 365.

Parceiro removido do diretório

Remover parceiro da empresa

Parceiro (administrador delegado) removido da sua organização do Office 365.

Definir informações da empresa

Definir informações da empresa

Informações da empresa atualizadas para a sua organização do Office 365. Isso inclui endereços de email para emails relacionados a assinaturas enviados pelo Office 365, bem como notificações técnicas sobre serviços do Office 365.

Definir autenticação de domínio

Definir autenticação de domínio

Configuração de autenticação de domínio alterada para a sua organização do Office 365.

Configurações de federação atualizadas para um domínio

Definir configurações de federação no domínio

Configurações de federação (compartilhamento externo) alteradas para a sua organização do Office 365.

Definir política de senha

Definir política de senha

Restrições de comprimento e caracteres alteradas para senhas de usuário na sua organização do Office 365.

Sincronização do Azure AD ativada

Sinalizador DirSyncEnabled ativado na empresa

Definir a propriedade que habilita um diretório para sincronização do Azure AD.

Domínio atualizado

Atualizar domínio

Configurações de um domínio atualizadas na sua organização do Office 365.

Domínio verificado

Verificar domínio

Foi verificado que a sua organização é a proprietária de um domínio.

Domínio confirmado de email verificado

Verificar domínio confirmado de email

Verificação de email usada para confirmar que a sua organização é proprietária de um domínio.

Voltar ao início

Atividades de Descoberta Eletrônica

Atividades relacionadas a pesquisa de conteúdo e Descoberta Eletrônica automática que são realizadas no Office 365 Security & Compliance Center ou executando os cmdlets do Windows PowerShell são registradas no log de auditoria do Office 365. Isso inclui as seguintes atividades:

  • Criar e gerenciar casos de Descoberta Eletrônica

  • Criar, iniciar e editar pesquisas de conteúdo

  • Executar ações de pesquisa de conteúdo, como visualização, exportação e exclusão de resultados de pesquisa

  • Configurar a filtragem de permissões para pesquisa de conteúdo

  • Gerenciar a função de administrador de Descoberta Eletrônica

Para obter uma lista e uma descrição detalhada das atividades de Descoberta Eletrônica que são registradas, veja Procurar atividades de Descoberta Eletrônica no log de auditoria do Office 365.

Voltar ao início

Atividades do Power BI

A tabela a seguir lista as atividades de usuários e de administradores no Power BI, que estejam conectados ao log de auditoria do Office 365.

Nome amigável

Operação

Descrição

Membros de grupo do Power BI adicionados

AddGroupMembers

Um membro é adicionado a um espaço de trabalho de grupo do Power BI.

Conjunto de dados analisado do Power BI

AnalyzedByExternalApplication

Um conjunto de dados é analisado por um aplicativo externo.

Painel do Power BI criado

CreateDashboard

Um novo painel é criado.

Grupo do Power BI criado

CreateGroup

Um grupo é criado.

Pacote de conteúdo organizacional do Power BI criado

CreateOrgApp

Um pacote de conteúdo organizacional é criado.

Painel do Power BI excluído

DeleteDashboard

Um painel é excluído.

Conjuntos de dados do Power BI excluídos

DeleteDataset

Um conjunto de dados é excluído.

Relatório do Power BI excluído

DeleteReport

Um relatório é excluído.

Relatório do Power BI baixado

DownloadReport

Um usuário baixa um relatório do Power BI do serviço para seu computador.

Painel do Power BI editado

EditDashboard

Um painel é renomeado.

Dados visuais do relatório do Power BI excluídos

ExportReport

Os dados são exportados de um bloco de relatórios.

Dados de bloco do Power BI exportados

ExportTile

Os dados são exportados de um bloco do painel.

Painel do Power BI impresso

PrintDashboard

Um painel é impresso.

Página de relatório do Power BI impressa

PrintReport

Um relatório é impresso.

Relatório do Power BI publicado na Web

PublishToWebReport

Um relatório é publicado na Web.

Painel do Power BI compartilhado

ShareDashboard

Um painel é compartilhado.

Avaliação do Power BI iniciada

OptInForProTrial

Um usuário inicia uma assinatura de avaliação do Power BI Pro.

Configurações do Power BI da organização atualizados

UpdatedAdminFeatureSwitch

Um administrador alterou uma configuração organizacional no portal de administração do Power BI.

Painel do Power BI exibido

ViewDashboard

Um painel é exibido.

Relatório do Power BI exibido

ViewReport

Um relatório é exibido.

Voltar ao início

Atividades do Microsoft Teams

A tabela a seguir lista as atividades de usuários e administradores no Microsoft Teams que são registradas no log de auditoria do Office 365. O Microsoft Teams é um espaço de trabalho centralizado em chat no Office 365. Ele reúne as conversas, as reuniões, os arquivos e as anotações de uma equipe em um único lugar. Para obter mais informações e links para os tópicos da Ajuda, confira:

Nome amigável

Operação

Descrição

Bot adicionado à equipe

BotAddedToTeam

Um usuário adiciona um bot a uma equipe.

Canal adicionado

ChannelAdded

Um usuário adiciona um canal a uma equipe.

Conector adicionado

ConnectorAdded

Um usuário adiciona um conector a um canal.

Guia adicionada

TabAdded

Um usuário adiciona uma guia a um canal.

Configuração alterada (herdado)

SettingChanged

A operação SettingChanged será substituída em breve. Essa operação foi registrada em log quando as configurações da equipe, organização e canal foram alteradas.

Use as atividades Configuração de canal alterada, Configuração de organização alterada e Configuração de equipe alterada para pesquisar eventos que foram registrados anteriormente quando você pesquisou no log de auditoria da operação SettingChanged.

Configuração de canal alterada

ChannelSettingChanged

A operação ChannelSettingChanged é registrada em log quando as seguintes atividades são realizadas por um membro da equipe. Para cada uma dessas atividades, uma descrição da configuração que foi alterada (exibida entre parênteses abaixo) é exibida na coluna Item dos resultados da pesquisa do log de auditoria.

  • Altera o nome de um canal de equipe (Nome do canal).

  • Altera a descrição de um canal de equipe (Descrição do canal).

Configuração da organização alterada

OrganizationSettingChanged

A operação OrganizationSettingChanged é registrada em log quando as seguintes atividades são executadas por um administrador global (usando o Office 365 admin center). Essas atividades afetam as configurações do Microsoft Teams em toda a organização. Confira mais informações em Configurações do administrador para Microsoft Teams.

Para cada uma dessas atividades, uma descrição da configuração que foi alterada (exibida entre parênteses abaixo) é exibida na coluna Item dos resultados da pesquisa do log de auditoria.

  • Habilita ou desabilita o Microsoft Teams para a organização (Microsoft Teams).

  • Habilita ou desabilita a interoperabilidade entre o Microsoft Teams e o Skype for Business para a organização (interoperabilidade do Skype for Business).

  • Habilita ou desabilita o modo de exibição de organograma em clientes do Microsoft Teams (modo de exibição de organograma).

  • Habilita ou desabilita a capacidade dos membros da equipe de agendar reuniões particulares (Agendamento de reunião particular).

  • Habilita ou desabilita a capacidade dos membros da equipe de agendar reuniões de canal (Agendamento de reunião de canal).

  • Habilita ou desabilita a chamada de vídeo em reuniões de equipes (Vídeo de reuniões do Skype).

  • Habilita ou desabilita o compartilhamento de tela em reuniões do Microsoft Teams na organização (Compartilhamento para reuniões do Skype de tela).

  • Habilita ou desabilita a capacidade de adicionar imagens animadas (chamadas Giphys) a conversas do Teams (Imagens animadas).

  • Altera a configuração de classificação de conteúdo da organização (Classificação de conteúdo).

    A classificação de conteúdo restringe o tipo de imagem animada que pode ser exibido em conversas.

  • Habilita ou desabilita a capacidade dos membros da equipe de adicionar imagens personalizáveis (chamadas memes personalizados) da Internet a conversas da equipe (Imagens personalizáveis da Internet).

  • Habilita ou desabilita a capacidade dos membros da equipa de adicionar imagens editáveis (chamadas adesivos) a conversas da equipe (Imagens editáveis).

  • Habilita ou desabilita a capacidade dos membros da equipe de usar bots em chats e canais do Microsoft Teams (bots de toda a organização).

  • Habilita bots específicos para Microsoft Teams; isso não inclui o T-Bot, que é o bot de ajuda do Teams que está disponível quando os bots estão habilitados na organização (Bots individuais).

  • Habilita ou desabilita a capacidade dos membros da equipe de adicionar extensões ou guias (Extensões ou guias).

  • Habilita ou desabilita o sideloading de bots proprietários para Microsoft Teams (Sideloading de bots).

  • Habilita ou desabilita a capacidade dos usuários de enviar mensagens de email para um canal do Microsoft Teams (Email de canal).

Configuração da equipe alterada

TeamSettingChanged

A operação TeamSettingChanged é registrada em log quando as seguintes atividades são realizadas por um administrador de equipe. Para cada uma dessas atividades, é exibida uma descrição da configuração que foi alterada (exibida entre parêntesis abaixo) na coluna Item nos resultados de pesquisa do log de auditoria.

  • Altera o tipo de acesso para uma equipe. As equipes podem ser definidas como Públicas ou Particulares (Tipo de acesso de equipe).

    Quando uma equipe é particular (a configuração padrão), os usuários podem acessá-la apenas por convite. Quando uma equipe é pública, ela fica visível para qualquer pessoa.

  • Altera a classificação das informações de uma equipe (Classificação da equipe).

    Por exemplo, os dados de equipes podem ser classificados como alto impacto sobre os negócios, médio impacto sobre os negócios ou baixo impacto sobre os negócios.

  • Altera o nome de uma equipe (Nome da equipe).

  • Altera a descrição da equipe (Descrição da equipe).

Equipe criada

TeamCreated

O usuário cria uma nova equipe.

Canal excluído

ChannelDeleted

Um usuário exclui um canal de uma equipe.

Equipe excluída

TeamDeleted 

Um administrador de equipe exclui uma equipe.

Bot removido da equipe

BotRemovedFromTeam

Um usuário remove um bot de uma equipe.

Conector removido

ConnectorRemoved

Um usuário remove um conector de um canal.

Guia removida

TabRemoved

Um usuário remove uma guia de um canal.

Usuário entrou nas Equipes

TeamsSessionStarted

Um usuário entra em um cliente do Microsoft Teams.

Voltar ao início

Atividades do Yammer

A tabela a seguir lista as atividades de usuários e de administradores no Yammer que estejam conectados ao log de auditoria do Office 365. Para retornar atividades relacionadas ao Yammer no log de auditoria do Office 365, escolha Mostrar resultados para todas as atividades na lista Atividades. Use as caixas de intervalo de datas e a lista de Usuários para restringir os resultados da pesquisa.

Nome amigável

Operação

Descrição

Política de retenção de dados alterada

SoftDeleteSettingsUpdated

O administrador verificado atualiza a configuração da política de retenção de dados da rede para "exclusão irreversível" ou "exclusão temporária". Somente administradores verificados podem realizar essa operação.

Configuração de rede alterada

NetworkConfigurationUpdated

O administrador de rede ou administrador verificado altera as configurações da rede do Yammer. Isso inclui a definição do intervalo de exportação de dados e de habilitação do chat.

Configurações de perfil de rede alteradas

ProcessProfileFields

O administrador de rede ou verificado altera as informações que aparecem em perfis de membro para a rede de usuários da rede.

Modo de Conteúdo Particular modificado

SupervisorAdminToggled

O administrador verificado ativa ou desativa o Modo de Conteúdo Particular. Esse modo permite a um administrador exibir postagens em grupos particulares e exibir mensagens particulares entre usuários individuais (ou grupos de usuários). Somente administradores verificados podem realizar essa operação.

Configurações de segurança alteradas

NetworkSecurityConfigurationUpdated

O administrador verificado atualiza as configurações de segurança da rede do Yammer. Isso inclui a definição de políticas de expiração de senha e restrições de endereços IP. Somente administradores verificados podem realizar essa operação.

Arquivo criado

FileCreated

O usuário carrega um arquivo.

Grupo criado

GroupCreation

O usuário cria um grupo novo.

Grupo excluído

GroupDeletion

Um grupo é excluído do Yammer.

Mensagem excluída

MessageDeleted

O usuário exclui uma mensagem.

Arquivo baixado

FileDownloaded

O usuário baixa um arquivo.

Dados exportados

DataExport

O administrador verificado exporta dados de rede do Yammer. Somente administradores verificados podem realizar essa operação.

Arquivo compartilhado

FileShared

O usuário compartilha um arquivo com outros usuários.

Usuário de rede suspenso

NetworkUserSuspended

O administrador de rede ou verificado suspende ou desativa um usuário no Yammer.

Usuário suspenso

UserSuspension

A conta de usuário é suspensa ou desativada.

Descrição de arquivo atualizada

FileUpdateDescription

O usuário modifica a descrição de um arquivo.

Nome de arquivo atualizado

FileUpdateName

O usuário modifica o nome de um arquivo.

Arquivo exibido

FileVisited

O usuário exibe um arquivo.

Voltar ao início

Log de auditoria de administradores do Exchange

O log de auditoria do administrador do Exchange, que está habilitado por padrão no Office 365, registra um evento no log de auditoria do Office 365 quando um administrador (ou um usuário que recebeu permissões administrativas) faz uma mudança na sua organização do Exchange Online. As alterações feitas usando o centro de administração do Exchange ou executando um cmdlet no Windows PowerShell são registradas no log de auditoria de administradores do Exchange. Para obter mais detalhes sobre o registro em log de auditoria de administradores no Exchange, veja Registro em log de auditoria de administradores. Veja a seguir algumas dicas para procurar atividades no log de auditoria de administradores do Exchange:

  • Para retornar entradas do log de auditoria de administradores do Exchange, você precisa selecionar Mostrar resultados para todas as atividades na lista Atividades. Use as caixas de intervalo de datas e a lista Usuários para restringir os resultados da pesquisa para cmdlets executados por um administrador específico do Exchange dentro de um intervalo de datas específico.

  • Para exibir eventos do log de auditoria de administradores do Exchange, filtre os resultados da pesquisa e digite um (traço) na caixa de filtro Atividade. Isto exibirá nomes de cmdlets, que aparecem na coluna Atividade para eventos de administrador do Exchange. Em seguida, você pode classificar os nomes de cmdlets em ordem alfabética.

    Digite um traço na caixa Atividades para filtrar os eventos de administração do Exchange
  • Para saber mais sobre qual cmdlet foi executado, quais parâmetros e valores de parâmetros foram usados e quais objetos foram afetados, será necessário exportar os resultados da pesquisa e selecionar a opção Baixar todos os resultados.

Voltar ao início

Precisa descobrir se um usuário visualizou um documento específico ou apagou um item de sua caixa de correio? Se a resposta é sim, você pode usar o Office 365 Security & Compliance Center para pesquisar o log de auditoria unificado para visualizar a atividade de usuários e administradores na sua organização do Office 365. Por que um log de auditoria unificado? Porque você pode procurar os seguintes tipos de atividades de usuários e administradores no Office 365:

  • Atividade de usuários no SharePoint Online e no OneDrive for Business

  • Atividade de usuários no Exchange Online (log de auditoria da caixa de correio do Exchange)

    Importante : O log de auditoria de caixas de correio deve ser ativado para cada caixa de correio de usuário antes que a atividade do usuário no Exchange Online seja registrada. Para saber mais, veja Habilitar a auditoria de caixas de correio no Office 365.

  • Atividade de administradores no SharePoint Online

  • Atividade de administradores no Azure Active Directory (o serviço de diretório para o Office 365)

  • Atividade de administradores no Exchange Online (log de auditoria da caixa de correio do Exchange)

  • Atividade de usuários e administradores no Sway

  • Atividade de usuários e administradores no Power BI for Office 365

  • Atividade de usuários e administradores no Microsoft Teams

  • Atividade de usuários e administradores no Yammer

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×