Pesquisar no log de auditoria no Centro de Conformidade e Segurança do Office 365

Observação:  Desejamos fornecer o conteúdo da Ajuda mais recente no seu idioma da forma mais rápida possível. Esta página foi traduzida de forma automatizada e pode conter imprecisões ou erros gramaticais. Nosso objetivo é que este conteúdo seja útil para você. As informações foram úteis? Dê sua opinião no final desta página. Aqui está o artigo em inglês para facilitar a referência.

Precisa descobrir se um usuário visualizou um documento específico ou apagou um item de sua caixa de correio? Se a resposta é sim, você pode usar o Centro de Conformidade e Segurança do Office 365 para pesquisar o log de auditoria unificado para visualizar a atividade de usuários e administradores na sua organização do Office 365. Por que um log de auditoria unificado? Porque você pode procurar os seguintes tipos de atividades de usuários e administradores no Office 365:

  • Atividade de usuários no SharePoint Online e no OneDrive for Business

  • Atividade de usuários no Exchange Online (log de auditoria da caixa de correio do Exchange)

    Importante: O log de auditoria de caixas de correio deve ser ativado para cada caixa de correio de usuário antes que a atividade do usuário no Exchange Online seja registrada. Para saber mais, veja Habilitar a auditoria de caixas de correio no Office 365.

  • Atividade de administradores no SharePoint Online

  • Atividade de administradores no Azure Active Directory (o serviço de diretório para o Office 365)

  • Atividade de administradores no Exchange Online (log de auditoria da caixa de correio do Exchange)

  • Atividade de usuários e administradores no Sway

  • atividades de descoberta eletrônica na Centro de Conformidade e Segurança do Office 365

  • Atividade de usuários e administradores no Power BI do Office 365

  • Atividade de usuários e administradores no Microsoft Teams

  • Atividade de usuários e administradores no Yammer

  • Atividade de usuário e administrador no Microsoft Stream

Sumário

Antes de começar

Pesquisar o log de auditoria

Atividades auditadas

Antes de começar

Leia os seguintes itens antes de começar a pesquisar o log de auditoria do Office 365.

  • Você (ou outro administrador) primeiro deve ativar o registro em log de auditoria antes de começar a pesquisar no log de auditoria do Office 365. Para ativá-lo, basta clicar em Iniciar a gravação da atividade do usuário e do administrador na página Pesquisa de logs de auditoria no Centro de Conformidade e Segurança. (Se você não vir esse link, significa que a auditoria já está ativada na sua organização). Após a ativação, será exibida uma mensagem informando que o log de auditoria está sendo preparado e que você poderá executar uma pesquisa dentro algumas horas quando a preparação estiver concluída. Isso só precisa ser feito uma vez.

    Observação: Estamos em processo de ativar a auditoria por padrão. Até lá, ative-a conforme descrevemos anteriormente.

  • Você recebeu a função Logs de Auditoria Somente para Exibição ou Logs de Auditoria no Exchange Online para pesquisar o log de auditoria do Office 365. Por padrão, essas funções são atribuídas aos grupos de funções Gerenciamento de Conformidade e Gerenciamento de Organização na página Permissões do Centro de administração do Exchange. Para que um usuário tenha a capacidade de pesquisar o log de auditoria do Office 365 com o nível mínimo de privilégios, você pode criar um grupo de funções personalizados no Exchange Online, adicionar a função Logs de Auditoria Somente para Exibição ou Logs de Auditoria e depois adicionar o usuário como um membro do novo grupo de funções. Para saber mais, veja Gerenciar grupos de funções no Exchange Online.

    Importante: Se você atribuir a um usuário a função Logs de Auditoria Somente para Exibição ou Logs de Auditoria na página Permissões do Centro de Conformidade e Segurança, ele não poderá pesquisar o log de auditoria do Office 365. Você deve atribuir as permissões no Exchange Online. Isso porque o cmdlet subjacente usado para pesquisar o log de auditoria é um cmdlet do Exchange Online.

  • Caso pretenda desativar a pesquisa de log de auditoria no Office 365 da organização, execute o comando a seguir no PowerShell Remoto conectado à sua organização do Exchange Online:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    Para ativar a pesquisa de auditoria novamente, execute o seguinte comando no PowerShell do Exchange Online:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Para saber mais, confira Desativar a pesquisa de log de auditoria no Office 365.

  • Como mencionado anteriormente, o cmdlet subjacente usado para pesquisar o log de auditoria é um cmdlet Exchange Online, que é Search-UnifiedAuditLog. Isso significa que você pode usar esse cmdlet para pesquisar o log de auditoria do Office 365 em vez de usar a página Pesquisa de log de auditoria no Centro de Conformidade e Segurança. Você precisa executar esse cmdlet no PowerShell remoto conectado à sua organização do Exchange Online. Para saber mais, confira Search-UnifiedAuditLog.

  • Se quiser baixar dados programaticamente do log de auditoria do Office 365, recomendamos que você use a API de atividades de gerenciamento do Office 365 em vez de usar um script do PowerShell. A API de atividades de gerenciamento do Office 365 é um serviço Web REST que você pode usar para desenvolver soluções de monitoramento de operações, segurança e conformidade para a sua organização. Confira mais informações em Referência da API de atividades de gerenciamento do Office 365.

  • Você pode pesquisar o log de auditoria do Office 365 em busca de atividades que foram realizadas nos últimos 90 dias.

  • Pode levar de 30 minutos a 24 horas após a ocorrência de um evento para que a entrada do log de auditoria correspondente seja exibida nos resultados de pesquisa. A tabela a seguir mostra o tempo necessário para os vários serviços do Office 365.

    Serviço do Office 365

    30 minutos

    24 horas

    Azure Active Directory (eventos do administrador)

    Marca de seleção

    Azure Active Directory (eventos de logon do usuário)

    Marca de seleção

    Exchange Online

    Marca de seleção

    Microsoft Teams

    Marca de seleção

    Power BI

    Marca de seleção

    Centro de Conformidade e Segurança

    Marca de seleção

    SharePoint Online e OneDrive for Business

    Marca de seleção

    Sway

    Marca de seleção

    Yammer

    Marca de seleção

  • Azure Active Directory (Azure AD) é o serviço de diretório do Office 365. O log de auditoria unificado contém atividades de usuários, grupos, aplicativos, domínios e diretórios realizadas no Centro de administração do Office 365 ou no portal de gerenciamento do Azure. Veja a lista completa de eventos do Azure AD em Eventos de relatório de auditoria do Azure Active Directory.

  • Os logs de auditoria do Exchange Online consistem de dois tipos de eventos: eventos administrativos (ações realizadas por administradores) e eventos de caixa de correio (ações realizadas por usuários em caixas de correios) do Exchange. A auditoria de caixa de correio não é habilitada por padrão. É necessário habilitá-la para cada caixa de correio de usuário de modo que os eventos da caixa de correio possam ser pesquisados no log de auditoria do Office 365. Para saber mais sobre auditoria e ações de auditoria de caixa de correio registradas em log, confira o artigo Habilitar a auditoria de caixa de correio no Office 365.

  • O log de auditoria para o Power BI não está ativado por padrão. Para pesquisar as atividades do Power BI no log de auditoria do Office 365, habilite o recurso de auditoria no Portal de Administração do Power BI. Para ver instruções, confira a seção Habilitando a funcionalidade de auditoria no portal de administração do Power BI.

    Voltar ao início

Pesquisar o log de auditoria

A seguir, veja o processo para pesquisar o log de auditoria no Office 365.

Etapa 1: executar uma pesquisa de logs de auditoria

Etapa 2: exibir os resultados da pesquisa

Etapa 3: filtrar os resultados da pesquisa

Etapa 4: Exportar os resultados da pesquisa para um arquivo

Etapa 1: Executar uma pesquisa de logs de auditoria

  1. Acesse https://protection.office.com.

    Dica: Use uma sessão de navegação privada (não uma sessão normal) para acessar a Centro de Conformidade e Segurança do Office 365 porque isso impedirá que seja usada a credencial com a qual você efetuou logon. Para abrir uma sessão de Navegação InPrivate no Internet Explorer ou Microsoft Edge, basta pressionar Ctrl+Shift+P. Para abrir uma sessão de navegação particular no Google Chrome (chamada de janela incógnito), pressione Ctrl+Shift+N.

  2. Entre no Office 365 usando uma conta corporativa ou de estudante.

  3. No painel esquerdo do Centro de Conformidade e Segurança, clique em Pesquisa e investigação e clique em Pesquisa de logs de auditoria.

    É exibida a página Pesquisa de logs de auditoria.

    Configure os critérios e clique em Pesquisar para executar o relatório

    Observação: Primeiro você precisa ativar o registro em log de auditoria para poder executar uma pesquisa de logs de auditoria. Se o link Iniciar gravação de atividade de usuários e administradores for exibido, clique nele para ativar a auditoria. Se você não vir esse link, isso indicará que a auditoria já está ativada na sua organização.

  4. Configure os seguintes critérios de pesquisa:

    1. Atividades Clique na lista suspensa para exibir as atividades que você pode procurar. As atividades de usuários e administradores são organizadas em grupos de atividades relacionadas. Você pode selecionar atividades específicas ou pode clicar no nome do grupo de atividades para selecionar todas as atividades que ele contém. Você também pode clicar em uma atividade selecionada para limpar a seleção. Após a execução da pesquisa, apenas as entradas do log de auditoria das atividades selecionadas são exibidas. Selecionar Mostrar resultados para todas as atividades exibirá resultados para todas as atividades realizadas pelo usuário ou grupo de usuários selecionado.

      Mais de 100 atividades de administração e usuário são registradas no log de auditoria do Office 365. Clique na guia Atividades auditadas na parte superior deste artigo para ver as descrições de cada atividade em cada um dos diferentes serviços do Office 365.

    2. Data de início e Data de término Os últimos sete dias são selecionados por padrão. Selecione um intervalo de tempo para exibir os eventos ocorridos durante esse período. A data e a hora são apresentadas no formato UTC (Tempo Universal Coordenado). O intervalo de datas máximo que você pode especificar é de 90 dias. Um erro será exibido se o período selecionado for superior a 90 dias.

      Dica: Se você estiver usando o intervalo máximo de datas de 90 dias, selecione a hora atual para a Data de início. Caso contrário, você receberá um erro afirmando que a data de início é anterior à data de término. Se você tiver ativado a auditoria nos últimos 90 dias, o intervalo máximo de datas não poderá começar antes da data em que a auditoria foi ativada.

    3. Usuários Clique nessa caixa e selecione um ou mais usuários para os quais exibir resultados. As entradas do log de auditoria para a atividade selecionada realizada pelos usuários que você seleciona nessa caixa são exibidas na lista de resultados. Deixe essa caixa em branco para retornar entradas para todos os usuários (e contas de serviço) na sua organização.

    4. Arquivo ou pasta   Digite uma parte de um nome de arquivo ou pasta, ou o nome completo, para pesquisar atividades sobre esse arquivo ou pasta que contenha a palavra-chave especificada. Se preferir, especifique a URL de um arquivo ou pasta. Se usar uma URL, não se esqueça de inserir o caminho completo da URL. Se digitar apenas uma parte da URL, não inclua espaços nem caracteres especiais.

      Deixe essa caixa em branco para retornar entradas para todos os arquivos e pastas na sua organização.

  5. Clique em Pesquisar para executar a pesquisa usando seus critérios de pesquisa.

    Os resultados da pesquisa são carregados, e depois de alguns momentos eles são exibidos em Resultados. Quando a pesquisa for concluída, o número de resultados encontrados será exibido. Observe que um máximo de 5.000 eventos serão exibidos no painel Resultados em incrementos de 150 eventos; se mais de 5.000 eventos atenderem aos critérios de pesquisa, os 5.000 eventos mais recentes serão exibidos.

    O número de resultados é exibido após a conclusão da pesquisa

Voltar ao início

Dicas para pesquisar o log de auditoria

  • É possível selecionar atividades específicas para procurar clicando no nome da atividade. Também é possível procurar todas as atividades em grupo (como Atividades de arquivos e pastas) clicando no nome do grupo. Se uma atividade estiver selecionada, você poderá clicar nela para cancelar a seleção. Você também pode usar a caixa de pesquisa para exibir as atividades que contêm a palavra-chave digitada.

    Clique no nome do grupo de atividade para selecionar todas as atividades
  • É necessário selecionar Mostrar resultados para todas as atividades, na lista Atividades para exibir eventos do log de auditoria de administradores do Exchange. Os eventos desse log de auditoria exibem um nome de cmdlet (por exemplo, Set-Mailbox) na coluna Atividade nos resultados. Para saber mais, clique na guia Atividades auditadas deste tópico e depois clique em Atividades de administradores do Exchange.

    Da mesma forma, existem algumas atividades de auditoria que não possuem um item correspondente na lista Atividades. Se souber o nome da operação dessas atividades, você poderá procurar todas as atividades e filtrar os resultados. Para isso, digite o nome da operação na caixa da coluna Atividade. Para saber mais sobre como filtrar resultados, confira a Etapa 3.

  • Clique em Limpar para limpar os critérios de pesquisa atuais. O intervalo de datas retorna para os últimos sete dias padrão. Você também pode clicar em Limpar tudo para mostrar resultados de todas as atividades para cancelar todas as atividades selecionadas.

  • Se 5000 resultados forem encontrados, você poderá supor que existam provavelmente mais de 5000 eventos que corresponderam aos critérios de pesquisa. É possível restringir os critérios de pesquisa e executar a pesquisa novamente para retornar menos resultados ou exportar todos os resultados da pesquisa, selecionando Exportar resultados > Baixar todos os resultados.

Voltar ao início

Etapa 2: exibir os resultados da pesquisa

Os resultados de uma pesquisa de log de auditoria são exibidos em Resultados, na página Pesquisa de log de auditoria. Conforme mencionado anteriormente, um máximo de 5.000 eventos (mais recentes) é exibido em incrementos de 150 eventos. Para exibir mais eventos, você pode usar a barra de rolagem no painel Resultados ou pode pressionar Shift+End para exibir os próximos 150 eventos.

Os resultados contêm as seguintes informações sobre cada evento retornado pela pesquisa.

  • Data A data e a hora (no formato UTC) de ocorrência do evento.

  • Endereço IP O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido no formato de endereço IPv4 ou IPv6.

  • Usuário O usuário (ou a conta de serviço) que realizou a ação que disparou o evento.

  • Atividade A atividade realizada pelo usuário. Esse valor corresponde às atividades que você selecionou na lista suspensa Atividades. Para um evento do log de auditoria de administradores do Exchange, o valor nessa coluna é um cmdlet do Exchange.

  • Item O objeto que foi criado ou modificado como resultado da atividade correspondente. Por exemplo, o arquivo que foi exibido ou modificado ou a conta de usuário que foi atualizada. Nem todas as atividades têm um valor nessa coluna.

  • Detalhe Detalhes adicionais sobre uma atividade. Novamente, nem todas as atividades terão um valor.

Dica: Clique em um cabeçalho de coluna em Resultados para classificar os resultados. Você pode classificar os resultados da A até Z ou de Z até A. Clique no cabeçalho Data para classificar os resultados do mais antigo para o mais recente, ou vice-versa.

Exibir os detalhes de um evento específico

É possível exibir mais detalhes sobre o evento clicando no registro de evento na lista de resultados da pesquisa. É exibida uma página Detalhes que contém as propriedades detalhadas do registro de evento. As propriedades exibidas dependem do serviço do Office 365 em que o evento ocorre. Para exibir esses detalhes, clique em Mais informações. Para obter descrições, confira Propriedades detalhadas no log de auditoria do Office 365.

Clique em Mais informações para exibir as propriedades detalhadas do registro de eventos do log de auditoria

Voltar ao início

Etapa 3: filtrar os resultados da pesquisa

Além de classificar, você também pode filtrar os resultados de uma pesquisa de logs de auditoria. Este é um ótimo recurso que pode ajudá-lo a filtrar rapidamente os resultados para um usuário ou atividade específico. Você pode criar inicialmente uma pesquisa ampla e depois filtrar rapidamente os resultados para ver eventos específicos. Em seguida, pode restringir os critérios de pesquisa e executar a pesquisa novamente para retornar um conjunto de resultados menor e mais conciso.

Para filtrar os resultados:

  1. Execute uma pesquisa de logs de auditoria.

  2. Quando os resultados forem exibidos, clique em Filtrar resultados.

    Caixas de palavras-chave são exibidas em cada cabeçalho de coluna.

  3. Clique em uma das caixas em um cabeçalho de coluna e digite uma palavra ou frase, dependendo da coluna que você está filtrando. Os resultados serão reajustar dinamicamente para exibir os eventos que correspondem ao seu filtro.

    Digite uma palavra no filtro para exibir os eventos que correspondam ao filtro
  4. Para limpar um filtro, clique no X na caixa de filtro ou simplesmente clique em Ocultar filtragem.

Dica: Para exibir eventos do log de auditoria de administradores do Exchange, digite um (traço) na caixa de filtro Atividade. Isto exibirá nomes de cmdlets, que aparecem na coluna Atividade para eventos de administrador do Exchange. Em seguida, você pode classificar os nomes de cmdlets em ordem alfabética.

Voltar ao início

Etapa 4: exportar os resultados da pesquisa para um arquivo

É possível exportar os resultados de uma pesquisa de logs de auditoria para um arquivo CSV (valores separados por vírgula) no computador local. Você pode abrir esse arquivo no Microsoft Excel e usar recursos como pesquisa, classificação, filtragem e divisão de uma única coluna (que contém células de vários valores) em várias colunas.

  1. Execute uma pesquisa de logs de auditoria e, em seguida, reveja os critérios de pesquisa até ter os resultados desejados.

  2. Clique em Exportar resultados e selecionar uma das seguintes opções:

    • Salvar resultados carregados Escolha essa opção para exportar somente as entradas exibidas em Resultados, na página Pesquisa de logs de auditoria. O arquivo CSV baixado contém as mesmas colunas (e dados) exibidos na página (Data, Usuário, Atividade, Item e Detalhes). Nesse arquivo CSV, está incluída uma coluna adicional (chamada Mais) que contém mais informações da entrada do log de auditoria. Como você está exportando os mesmos resultados que estão carregados (e visíveis) na página Pesquisa de logs de auditoria, no máximo 5000 entradas são exportadas.

    • Baixar todos os resultados     Escolha esta opção para exportar todas as entradas do log de auditoria Office 365 que atendem os critérios de pesquisa. Para um grande conjunto de resultados de pesquisa, escolha esta opção para fazer o download de todas as entradas do log de auditoria, além de 5.000 resultados que podem ser exibidos na página de pesquisa de log de auditoria. Esta opção baixar os dados processados do log de auditoria para um arquivo CSV e contém informações adicionais da entrada de log de auditoria em uma coluna chamada AuditData. Pode levar mais tempo para baixar o arquivo se você escolher essa opção de exportação porque o arquivo pode ser muito maior do que é baixado se você escolher a outra opção.

      Importante: É possível baixar no máximo 50 mil entradas para um arquivo CSV de uma única pesquisa de logs de auditoria. Se 50 mil entradas forem baixadas para o arquivo CSV, você poderá supor que existem provavelmente mais de 50 mil eventos que corresponderam aos critérios de pesquisa. Para exportar mais do que esse limite, tente usar um intervalo de datas para reduzir o número de entradas do log de auditoria. Talvez seja necessário executar várias pesquisas com intervalos de datas menores para exportar mais de 50 mil entradas.

  3. Após a seleção de uma opção de exportação, é exibida uma mensagem na parte inferior da janela solicitando que você abra o arquivo CSV, salve-o na pasta Downloads ou salve-o em uma pasta específica.

Voltar ao início

Informações adicionais sobre como exportar resultados de pesquisa de logs de auditoria

  • A opção Baixar todos os resultados baixa os dados processados do log de auditoria Office 365 para um arquivo CSV. Este arquivo contém os nomes de coluna diferente (CreationDate, UserIds, operação, AuditData) que o arquivo é baixado se você selecionar a opção Salvar resultados carregados. Os valores nos dois arquivos CSV diferentes para a mesma atividade também podem ser diferentes. Por exemplo, a atividade na coluna ação de CSV de arquivo e pode ter um valor diferente de versão "amigável" que é exibido na coluna atividade na página de pesquisa de log de auditoria; Por exemplo, MailboxLogin versus usuário conectado à caixa de correio.

  • Se você baixar todos os resultados, o arquivo CSV contém uma coluna chamada AuditData, que contém informações adicionais sobre cada evento. Como mencionado anteriormente, esta coluna contenha uma propriedade de múltiplos valores de várias propriedades do registro de log de auditoria. Cada um dos pares property:value nesta propriedade de múltiplos valores separados por vírgula. Você pode usar o Power Query no Excel para dividir esta coluna em várias colunas para que cada propriedade terá sua própria coluna. Isso permitirá que você classificar e filtrar em uma ou mais dessas propriedades. Para saber como fazer isso, consulte a seção "Dividir uma coluna por delimitador" Dividir uma coluna de texto (Power Query).

    Após dividir a coluna AuditData, você pode filtrar a coluna de operações para exibir as propriedades detalhadas para um tipo específico de atividade.

  • Há um limite de caracteres 3,060 para os dados que são exibidos no campo AuditData para um registro de auditoria. Se for excedido o limite de caracteres 3,060, os dados neste campo serão truncados.

  • Quando você baixar todos os resultados de uma consulta de pesquisa que contém eventos de serviços diferente Office 365, a coluna de AuditData no arquivo CSV contém propriedades diferentes, dependendo de qual serviço a ação foi executado em. Por exemplo, entradas de logs de auditoria Exchange e Azure AD incluir uma propriedade chamada ResultStatus que indica se a ação foi bem-sucedida ou não. Essa propriedade não está incluída para eventos no SharePoint. Da mesma forma, eventos de SharePoint têm uma propriedade que identifica o site atividades relacionadas à URL para o arquivo e pasta. Para atenuar esse comportamento, considere usar pesquisas diferentes para exportar os resultados para atividades de um único serviço.

    Para obter uma descrição das propriedades que estão listadas na coluna AuditData no arquivo CSV ao baixar todos os resultados e o serviço de cada um se aplica a, consulte log de auditoria de propriedades detalhadas no Office 365.

Retornar ao início do artigo

Atividades auditadas

As tabelas nesta seção descrevem as atividades que são auditadas no Office 365. Você pode procurar esses eventos pesquisando o log de auditoria no Centro de Conformidade e Segurança. Clique na guia Pesquisar o log de auditoria para obter instruções passo a passo.

Essas tabelas agrupam atividades relacionadas ou as atividades de um serviço do Office 365 específico. As tabelas incluem o nome amigável exibido na lista suspensa Atividades e o nome da operação correspondente exibido nas informações detalhadas de um registro de auditoria e no arquivo CSV, quando você exporta os resultados da pesquisa. Para saber mais, confira Propriedades detalhadas no log de auditoria do Office 365.

Clique em um dos links a seguir para ir até uma tabela específica.

Atividades de arquivo e página

Atividades de pasta

Atividades de compartilhamento e solicitação de acesso

Atividades de sincronização

Atividades de administração de site

Atividades de caixa de correio do Exchange

Atividades do Sway

Atividades de administração de usuários

Atividades de administração de grupos do Azure AD

Atividades de administração de aplicativos

Atividades de administração de funções

Atividades de administração de diretórios

Atividades de Descoberta Eletrônica

Atividades do Power BI

Atividades do Microsoft Teams

Atividades do Yammer

Microsoft Stream

Atividades de administradores do Exchange

Retornar à lista de atividades

Atividades de arquivo e página

A tabela a seguir descreve as atividades de arquivo e página no SharePoint Online e no OneDrive for Business.

Nome amigável

Operação

Descrição

Arquivo acessado

FileAccessed

O usuário ou a conta do sistema acessa um arquivo.

(nenhuma)

FileAccessedExtended

Isso está relacionado à atividade "Arquivo acessado" (FileAccessed). Um evento FileAccessedExtended é registrado em log quando a mesma pessoa acessa constantemente um arquivo por um longo período (até 3 horas). O propósito de registrar eventos FileAccessedExtended em log é reduzir o número de eventos FileAccessed registrados quando um arquivo é acessado continuamente. Isso ajuda a reduzir o ruído de vários registros de FileAccessed para, basicamente, a mesma atividade do usuário e permite que você se concentre no evento FileAccessed inicial (e mais importante).

Arquivo em check-in

FileCheckedIn

O usuário faz check-in de um documento que estava em check-out em uma biblioteca de documentos.

Arquivo em check-out

FileCheckedOut

O usuário faz check-out de um documento localizado em uma biblioteca de documentos. Os usuários podem fazer check-out e efetuar alterações em documentos que foram compartilhados com eles.

Arquivo copiado

FileCopied

O usuário copia um documento de um site. O arquivo copiado pode ser salvo em outra pasta no site.

Arquivo excluído

FileDeleted

O usuário exclui um documento de um site.

Arquivo excluído da Lixeira

FileDeletedFirstStageRecycleBin

O usuário exclui um arquivo da lixeira de um site.

Arquivo excluído da Lixeira de segundo estágio

FileDeletedSecondStageRecycleBin

O usuário exclui um arquivo da lixeira de segundo estágio de um site.

Malware detectado no arquivo

FileMalwareDetected

O mecanismo de antivírus SharePoint detecta malwares em um arquivo.

Check-out de arquivo descartado

FileCheckOutDiscarded

O usuário descarta (ou desfaz) um arquivo em check-out. Isso significa que todas as alterações que ele tiver feito nesse arquivo durante o estado de check-out serão descartados, e não salvas na versão do documento localizada na biblioteca de documentos.

Arquivo baixado

FileDownloaded

O usuário baixa um documento de um site.

Arquivo modificado

FileModified

O usuário ou a conta do sistema modifica o conteúdo ou as propriedades de um documento localizado em um site.

(nenhuma)

FileModifiedExtended

Isso está relacionado à atividade "Arquivo modificado" (FileModified). Um evento FileModifiedExtended é registrado em log quando a mesma pessoa modifica constantemente um arquivo por um longo período (até 3 horas). O propósito de registrar eventos FileModifiedExtended em log é reduzir o número de eventos FileModified registrados quando um arquivo é modificado continuamente. Isso ajuda a reduzir o ruído de vários registros de FileModified para, basicamente, a mesma atividade do usuário e permite que você se concentre no evento FileModified inicial (e mais importante).

Arquivo movido

FileMoved

O usuário move um documento de sua localização atual em um site até uma nova localização.

Todas as versões secundárias do arquivo foram recicladas

FileVersionsAllMinorsRecycled

O usuário exclui todas as versões secundárias do histórico de versões de um arquivo. As versões excluídas são movidas para a lixeira do site.

Todas as versões do arquivo foram recicladas

FileVersionsAllRecycled

O usuário exclui todas as versões do histórico de versões de um arquivo. As versões excluídas são movidas para a lixeira do site.

Versão do arquivo reciclada

FileVersionRecycled

O usuário exclui uma versão do histórico de versões de um arquivo. A versão excluída é movida para a lixeira do site.

Arquivo renomeado

FileRenamed

O usuário renomeia um documento em um site.

Arquivo restaurado

FileRestored

O usuário restaura um documento da lixeira de um site.

Arquivo carregado

FileUploaded

O usuário carrega um documento em uma pasta em um site.

Página exibida

PageViewed

O usuário exibe uma página no site. Isso não inclui usar um navegador da Web para exibir arquivos localizados em uma biblioteca de documentos.

(nenhuma)

PageViewedExtended

Isso está relacionado à atividade "Página exibida" (PageViewed). Um evento PageViewedExtended é registrado em log quando a mesma pessoa exibe continuamente uma página da Web por um longo período (até 3 horas). O propósito de registrar eventos PageViewedExtended em log é reduzir o número de eventos PageViewed registrados quando uma página é exibida continuamente. Isso ajuda a reduzir o ruído de vários registros de PageViewed para, basicamente, a mesma atividade do usuário e permite que você se concentre no evento PageViewed inicial (e mais importante).

Retornar à lista de atividades

Atividades de pasta

A tabela a seguir descreve as atividades de pasta no SharePoint Online e no OneDrive for Business.

Nome amigável

Operação

Descrição

Pasta copiada

FolderCopied

O usuário copia uma pasta de um site para outro local no SharePoint ou no OneDrive for Business.

Pasta criada

FolderCreated

O usuário cria uma pasta no site.

Pasta excluída

FolderDeleted

O usuário exclui uma pasta do site.

Pasta excluída da Lixeira

FolderDeletedFirstStageRecycleBin

O usuário exclui uma pasta da Lixeira no site.

Pasta excluída da Lixeira de segundo estágio

FolderDeletedSecondStageRecycleBin

O usuário exclui uma pasta da Lixeira de segundo estágio no site.

Pasta modificada

FolderModified

O usuário modifica uma pasta no site. Isso inclui alterar os metadados da pasta, como propriedades e marcas.

Pasta movida

FolderMoved

O usuário move uma pasta para um local diferente no site.

Pasta renomeada

FolderRenamed

O usuário renomeia uma pasta no site.

Pasta restaurada

FolderRestored

O usuário restaura uma pasta da Lixeira no site.

Retornar à lista de atividades

Atividades de compartilhamento e solicitação de acesso

A tabela a seguir descreve as atividades de compartilhamento e solicitação de acesso no SharePoint Online e no OneDrive for Business. Para eventos de compartilhamento, a coluna Detalhes em Resultados identifica o nome do usuário ou do grupo com o qual o item foi compartilhado e se esse usuário ou grupo é um membro ou convidado na sua organização. Para saber mais, veja Usar a auditoria de compartilhamento no log de auditoria do Office 365.

Observação: Os usuários podem ser membros ou convidados com base na propriedade UserType do objeto de usuário. Um membro é geralmente um funcionário, enquanto um convidado é geralmente um colaborador fora da sua organização. Quando um usuário aceita um convite de compartilhamento (e ainda não faz parte da sua organização), uma conta de convidado é criada para ele no diretório da sua organização. Quando esse usuário convidado tem uma conta no seu diretório, recursos podem ser compartilhados diretamente com ele (sem a necessidade de um convite).

Nome amigável

Operação

Descrição

Solicitação de acesso aceita

AccessRequestAccepted

Uma solicitação de acesso a um site, pasta ou documento foi aceita, e o usuário solicitante recebeu acesso.

Convite de compartilhamento aceito

SharingInvitationAccepted

O usuário (membro ou convidado) aceitou um convite de compartilhamento e recebeu acesso a um recurso. Esse evento inclui informações sobre o usuário que foi convidado e sobre o endereço de email que foi usado para aceitar o convite (eles podem ser diferentes). Com frequência, essa atividade é acompanhada por um segundo evento que descreve como o usuário obteve acesso ao recurso; por exemplo, a adição do usuário a um grupo com acesso ao recurso.

Nível de permissão adicionado no conjunto de sites

PermissionLevelAdded

Um nível de permissão foi adicionado no conjunto de sites.

Usuário adicionado ao link seguro

AddedToSecureLink

Um usuário foi adicionado à lista de entidades quem pode usar este link de compartilhamento seguro.

Convite de compartilhamento bloqueado

SharingInvitationBlocked

Um convite de compartilhamento enviado por um usuário em sua organização é bloqueado devido a uma política de compartilhamento externo que permite ou nega o compartilhamento externo com base no domínio do usuário de destino. Nesse caso, o convite de compartilhamento foi bloqueado porque:

  • O domínio do usuário de destino não está incluído na lista de domínios permitidos.

    Ou

  • O domínio do usuário de destino está incluído na lista de domínios bloqueados.

Confira mais informações sobre como permitir ou bloquear o compartilhamento externo com base em domínios em Compartilhamento de domínios restritos no SharePoint Online e no OneDrive for Business.

Herança de nível de permissão interrompida

PermissionLevelsInheritanceBroken

Um item foi alterado para que ele não mais herde os níveis de permissão de seu pai.

Compartilhamento de herança interrompido

SharingInheritanceBroken

Um item foi alterado para que não herde mais as permissões de compartilhamento de seu pai.

Link compartilhável da empresa criado

CompanyLinkCreated

O usuário criou um link de empresa para um recurso. Links de empresa só podem ser usados pelos membros da sua organização. Eles não podem ser usados por convidados.

Solicitação de acesso criada

AccessRequestCreated

O usuário solicita acesso a um site, pasta ou documento que ele não tem permissões para acessar.

Link anônimo criado

AnonymousLinkCreated

O usuário criou um link anônimo para um recurso. Qualquer pessoa com esse link pode acessar o recurso sem ter que se autenticar.

Link de seguro criado

SecureLinkCreated

Um link de compartilhamento seguro foi criado para este item.

Convite de compartilhamento criado

SharingInvitationCreated

O usuário compartilhou um recurso no SharePoint Online e no OneDrive for Business com outro usuário que não está no diretório da sua organização.

Link de seguro excluído

SecureLinkDeleted

Um link de compartilhamento seguro foi excluído.

Solicitação de acesso negada

AccessRequestDenied

Uma solicitação de acesso a um site, pasta ou documento foi negada.

Nível de permissão modificado no conjunto de sites

PermissionLevelModified

Um nível de permissão foi alterado em um conjunto de sites.

Link compartilhável da empresa removido

CompanyLinkRemoved

O usuário removeu um link de empresa para um recurso. O link não pode mais ser usado para acessar o recurso.

Link anônimo removido

AnonymousLinkRemoved

O usuário removeu um link anônimo para um recurso. O link não pode mais ser usado para acessar o recurso.

Nível de permissão removido do conjunto de sites

PermissionLevelRemoved

Um nível de permissão foi removido de um conjunto de sites.

Herança de compartilhamento restaurada

SharingInheritanceReset

Uma alteração foi feita para que um item herde permissões de compartilhamento de seu pai.

Arquivo, pasta ou site compartilhado

SharingSet

O usuário (membro ou convidado) compartilhou um arquivo, uma pasta ou um site no SharePoint ou no OneDrive for Business com um usuário no diretório da sua organização. O valor na coluna Detalhes dessa atividade identifica o nome do usuário com o qual o recurso foi compartilhado e se esse usuário é um membro ou convidado. Com frequência, essa atividade é acompanhada por um segundo evento que descreve como o usuário recebeu acesso ao recurso; por exemplo, a adição do usuário a um grupo com acesso ao recurso.

Solicitação de acesso atualizada

AccessRequestUpdated

Uma solicitação de acesso a um item foi atualizada.

Link anônimo atualizado

AnonymousLinkUpdated

O usuário atualizou um link anônimo para um recurso. O campo atualizado é incluído na propriedade EventData quando você exporta os resultados da pesquisa.

Convite de compartilhamento atualizado

SharingInvitationUpdated

Um convite de compartilhamento externo foi atualizado.

Link anônimo usado

AnonymousLinkUsed

Um usuário anônimo acessou um recurso usando um link anônimo. A identidade do usuário pode ser desconhecida, mas você pode obter outros detalhes, como seu endereço IP.

Cancelamento de compartilhamento de arquivo, pasta ou site

SharingRevoked

O usuário (membro ou convidado) cancelou o compartilhamento de um arquivo, pasta ou site que havia sido compartilhado com outro usuário.

Link compartilhável da empresa usado

CompanyLinkUsed

O usuário acessou um recurso usando um link de empresa.

Usado o link seguro

SecureLinkUsed

Um usuário usado um link seguro.

Usuário adicionado ao link seguro

AddedToSecureLink

Um usuário foi adicionado à lista de entidades quem pode usar um link de compartilhamento seguro.

Usuário removido do link seguro

RemovedFromSecureLink

Um usuário foi removido da lista de entidades quem pode usar um link de compartilhamento seguro.

Convite de compartilhamento retirado

SharingInvitationRevoked

O usuário retirou um convite de compartilhamento para um recurso.

Retornar à lista de atividades

Atividades de sincronização

A tabela a seguir lista atividades de sincronização de arquivos no SharePoint Online e no OneDrive for Business.

Nome amigável

Operação

Descrição

Computador com permissão para sincronizar arquivos

ManagedSyncClientAllowed

O usuário estabelece com êxito uma relação de sincronização com um site. A relação de sincronização é bem-sucedida porque o computador do usuário é membro de um domínio que foi adicionado à lista de domínios (chamada de lista de destinatários seguros) que podem acessar bibliotecas de documentos na sua organização.

Para outras informações sobre esse recurso, veja Use cmdlets do Windows PowerShell para habilitar a sincronização do OneDrive para domínios que estão na lista de destinatários confiáveis.

Computador impedido de sincronizar arquivos

UnmanagedSyncClientBlocked

O usuário tenta estabelecer uma relação de sincronização com um site em um computador que não é membro do domínio da sua organização ou que é membro de um domínio que não foi adicionado à lista de domínios (chamada de lista de destinatários seguros) que podem acessar bibliotecas de documentos na sua organização. A relação de sincronização não é permitida, e o computador do usuário é impedido de sincronizar, baixar ou carregar arquivos em uma biblioteca de documentos.

Para saber mais sobre esse recurso, veja Use cmdlets do Windows PowerShell para habilitar a sincronização do OneDrive para domínios que estão na lista de destinatários confiáveis.

Arquivos baixados no computador

FileSyncDownloadedFull

O usuário estabelece uma relação de sincronização e baixa arquivos de uma biblioteca de documentos com êxito pela primeira vez em seu computador.

Alterações de arquivo baixadas no computador

FileSyncDownloadedPartial

O usuário baixa com êxito quaisquer alterações nos arquivos de uma biblioteca de documentos. Essa atividade indica que todas as alterações que foram feitas nos arquivos da biblioteca de documentos foram baixadas no computador do usuário. Apenas as alterações foram baixadas porque a biblioteca de documentos já foi baixada pelo usuário (conforme indicado pela atividade Arquivos baixados no computador).

Arquivos carregados na biblioteca de documentos

FileSyncUploadedFull

O usuário estabelece uma relação de sincronização e carrega arquivos em uma biblioteca de documentos com êxito pela primeira vez em seu computador.

Alterações de arquivo carregadas na biblioteca de documentos

FileSyncUploadedPartial

O usuário carrega com êxito em uma biblioteca de documentos as alterações feitas em arquivos. Esse evento indica que todas as alterações feitas na versão local de um arquivo proveniente de uma biblioteca de documentos são carregadas com êxito na biblioteca de documentos. Apenas alterações foram carregadas porque esses arquivos já foram carregados pelo usuário (conforme indicado pela atividade Arquivos carregados na biblioteca de documentos).

Retornar à lista de atividades

Atividades de administração de site

A tabela a seguir lista os eventos decorrentes de tarefas de administração de sites no SharePoint Online.

Nome amigável

Operação

Descrição

Agente de usuário isento adicionado

ExemptUserAgentSet

Um administrador do SharePoint ou global adiciona um agente de usuário à lista de agentes de usuários isentos no centro de administração do SharePoint.

Administrador de conjunto de sites adicionado

SiteCollectionAdminAdded

O proprietário ou administrador do conjunto de sites adiciona uma pessoa como administrador de conjunto de sites para um site. Os administradores de conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites.

Usuário ou grupo adicionado ao grupo do SharePoint

AddedToGroup

Usuário adicionado a um membro ou convidado a um grupo do SharePoint. Esta pode ter sido uma ação intencional ou o resultado de outra atividade, como um evento de compartilhamento.

Usuário com permissão para criar grupos

AllowGroupCreationSet

O proprietário ou administrador do site adiciona um nível de permissão a um site, que permite que um usuário com essa permissão crie um grupo para esse site.

Movimento geográfico do site cancelado

SiteGeoMoveCancelled

Um administrador do SharePoint ou global cancela com sucesso um movimento geográfico do site do SharePoint ou OneDrive. As Multi-Geo Capabilities permitem que uma organização do Office 365 abranja várias regiões geográficas de datacenter do Office 365, as quais são chamadas de áreas geográficas. Confira mais informações em Multi-Geo Capabilities no OneDrive e no SharePoint Online no Office 365.

Política de compartilhamento alterada

SharingPolicyChanged

Um administrador do SharePoint ou global mudou uma política de compartilhamento do SharePoint usando o portal de administração do Office 365, o portal de administração do SharePoint ou o Shell de Gerenciamento do SharePoint Online. Qualquer alteração nas configurações na política de compartilhamento em sua organização será registrada. A política que foi alterada é identificada no campo ModifiedProperties nas propriedades detalhadas do registro de eventos.

Política de acesso a dispositivo alterada

DeviceAccessPolicyChanged

Um administrador do SharePoint ou global alterou a política de dispositivos não gerenciados para sua organização. Esta política controla o acesso ao SharePoint, OneDrive e Office 365 de dispositivos que não estão associados à sua organização. Configurar esta política requer uma assinatura do Enterprise Mobility + Security. Confira mais informações em Controlar o acesso de dispositivos gerenciados.

Agentes de usuário isentos alterados

CustomizeExemptUsers

Um administrador do SharePoint ou global personalizou a lista de agentes de usuário isentos no centro de administração do SharePoint. Você pode especificar quais agentes de usuário devem ficar isentos de receber uma página da Web inteira para indexar. Isso significa que, quando um agente de usuário especificado como isento encontrar um formulário do InfoPath, esse formulário será retornado como um arquivo XML em vez de uma página da Web inteira. Isso agiliza a indexação de formulários do InfoPath.

Política de acesso à rede alterada

NetworkAccessPolicyChanged

Um administrador do SharePoint ou global alterou a política de acesso baseada em localização (também chamada de limite de rede confiável) no centro de administração do SharePoint ou ao usar o PowerShell do SharePoint Online. Esse tipo de política controla quem pode acessar os recursos do SharePoint e OneDrive na sua organização com base em intervalos de endereços IP autorizados que você especifica. Confira mais informações em Controlar o acesso aos dados do SharePoint Online e do OneDrive com base em locais de rede definidos.

Movimento geográfico do site concluído

SiteGeoMoveCompleted

Um movimento geográfico do site que foi agendado por um administrador global em sua organização foi concluído com sucesso. As Multi-Geo Capabilities permitem que uma organização do Office 365 abranja várias regiões geográficas de datacenter do Office 365, as quais são chamadas de áreas geográficas. Confira mais informações em Multi-Geo Capabilities no OneDrive e no SharePoint Online no Office 365.

Grupo criado

GroupAdded

O proprietário ou administrador do site cria um grupo para um site ou realiza uma tarefa que resulta na criação de um grupo. Por exemplo, quando um usuário cria um link para compartilhar um arquivo pela primeira vez, um grupo do sistema é adicionado ao site do OneDrive for Business desse usuário. Esse evento também pode ser um resultado de um usuário ter criado um link com permissões de edição em um arquivo compartilhado.

Conexão Enviar para criada

SendToConnectionAdded

Um administrador do SharePoint ou global cria uma nova conexão Enviar para na página de gerenciamento de Registros do centro de administração do SharePoint. Uma conexão Enviar para especifica configurações de um repositório de documentos ou um centro de registros. Quando você cria uma conexão Enviar para, um Organizador de Conteúdo pode enviar documentos à localização especificada.

Conjunto de sites criado

SiteCollectionCreated

Um administrador do SharePoint ou global cria um novo conjunto de sites em sua organização do SharePoint Online ou um usuário fornece seu site do OneDrive for Business.

Grupo excluído

GroupRemoved

O usuário exclui um grupo de um site.

Conexão Enviar para excluída

SendToConnectionRemoved

Um administrador do SharePoint ou global exclui uma conexão Enviar para na página de gerenciamento de Registros no centro de administração do SharePoint.

Site excluído

SiteDeleted

O administrador do site exclui um arquivo.

Visualização de documentos habilitada

PreviewModeEnabledSet

O administrador do site habilita a visualização de documentos para um site.

Fluxo de trabalho legado habilitado

LegacyWorkflowEnabledSet

O proprietário ou administrador do site adiciona o tipo de conteúdo Tarefa de Fluxo de Trabalho do SharePoint 2013 ao site. Os administradores globais também podem habilitar fluxos de trabalho para toda a organização no centro de administração do SharePoint.

Office on Demand habilitado

OfficeOnDemandSet

O administrador do site habilita o Office on Demand, que permite aos usuários acessar a última versão de aplicativo de área de trabalho do Office. O Office on Demand está habilitado no centro de administração do SharePoint e requer uma assinatura do Office 365 que inclua todos os aplicativos do Office instalados.

RSS feeds habilitados

NewsFeedEnabledSet

O proprietário ou administrador do site habilita RSS feeds para um site. Os administradores globais podem habilitar RSS feeds para toda a organização no centro de administração do SharePoint.

Configuração de solicitação de acesso modificado

WebRequestAccessModified

As configurações de solicitação de acesso foram modificadas em um site.

Configuração de membros podem compartilhar modificada

WebMembersCanShareModified

A configuração de Membros podem compartilhar foi modificada em um site.

Permissões de site modificadas

SitePermissionsModified

O proprietário ou administrador do site (ou a conta do sistema) altera o nível de permissão que é atribuído a um grupo em um site. Essa atividade também será registrada se todas as permissões forem removidas de um grupo.

Observação: Esta operação foi desaprovada no SharePoint Online. Para localizar os eventos relacionados, você pode procurar outras atividades relacionadas à permissão, como Administrador da coleção de sites adicionados, Usuário ou grupo adicionado ao grupo do SharePoint, Usuário permitido para criar grupos, Grupo criado e Grupo excluído.

Usuário ou grupo removido do SharePoint

RemovedFromGroup

O usuário removeu um membro ou convidado de um grupo do SharePoint. Essa pode ter sido uma ação intencional ou o resultado de outra atividade, como um evento de cancelamento de compartilhamento.

Site renomeado

SiteRenamed

O proprietário ou administrador do site renomeia um site

Permissões de administrador de site solicitadas

SiteAdminChangeRequest

O usuário solicita ser adicionado como administrador de conjunto de sites para um conjunto de sites. Administradores de conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites.

Movimento geográfico do site agendado

SiteGeoMoveScheduled

Um administrador do SharePoint ou global agenda com sucesso um movimento geográfico do site do SharePoint ou OneDrive. As Multi-Geo Capabilities permitem que uma organização do Office 365 abranja várias regiões geográficas de datacenter do Office 365, as quais são chamadas de áreas geográficas. Confira mais informações em Multi-Geo Capabilities no OneDrive e no SharePoint Online no Office 365.

Definir site de host

HostSiteSet

Um administrador do SharePoint ou global altera o site designado para hospedar sites pessoais ou do OneDrive for Business.

Grupo atualizado

GroupUpdated

O proprietário ou administrador do site altera as configurações de um grupo para um site. Isso pode incluir alterar o nome do grupo, quem pode visualizar ou editar a participação no grupo e como as solicitações de associação são manipuladas.

Retornar à lista de atividades

Atividades de caixa de correio do Exchange

A tabela a seguir lista as atividades que podem ser registradas pelo log de auditoria de caixa de correio. São registradas atividades de caixa de correio realizadas pelo proprietário da caixa de correio, por um usuário delegado ou por um administrador. Por padrão, a auditoria de caixas de correio no Office 365 não está ativada. O log de auditoria de caixas de correio deve ser ativado para cada caixa de correio antes que a atividade de caixas de correio seja registrada. Para saber mais, veja Habilitar a auditoria de caixas de correio no Office 365.

Nome amigável

Operação

Descrição

Permissões de caixa de correio do representante adicionadas

Add-MailboxPermission

Um administrador atribuiu a um usuário (conhecido como uma representante) a permissão de caixa de correio FullAccess para a caixa de correio de outra pessoa. A permissão FullAccess permite que o representante abra a caixa de correio de outra pessoa e leia e gerenciar o conteúdo da caixa de correio.

Mensagens copiadas para outra pasta

Copiar

Uma mensagem foi copiada para outra pasta.

Criação de item de caixa de correio

Criar

Um item é criado na pasta Calendário, Contatos, Anotações ou Tarefas da caixa de correio. Por exemplo, uma nova solicitação de reunião é criada. Observe que as ações de criar, enviar e receber mensagens não são auditadas. Criar pastas de caixa de correio também não é uma ação auditada.

Mensagens excluídas da pasta Itens Excluídos

SoftDelete

Uma mensagem foi permanentemente excluída ou foi excluída da pasta Itens Excluídos. Esses itens são movidos para a pasta Itens Recuperáveis. As mensagens também são movidas para a pasta Itens Recuperáveis quando um usuário as seleciona e pressiona Shift+Delete.

Mensagens movidas para outra pasta

Mover

Uma mensagem foi movida para outra pasta.

Mensagens movidas para a pasta Itens Excluídos

MoveToDeletedItems

Uma mensagem foi excluída e movida para a pasta Itens Excluídos.

Permissão de pasta modificada

UpdateFolderPermissions

Uma permissão da pasta foi alterada. As permissões de pasta controlam quais usuários da organização podem acessar as pastas de uma caixa de correio e as mensagens incluídas nessas pastas.

Mensagens limpas da caixa de correio

HardDelete

Uma mensagem foi limpa da pasta Itens Recuperáveis (permanentemente excluída da caixa de correio).

Permissões de caixa de correio do representante removidas

Remove-MailboxPermission

Um administrador removeu a permissão FullAccess (que foi atribuída a um representante) da caixa de correio de uma pessoa. Depois que a permissão FullAccess for removida, o representante não pode abrir a caixa de correio de outra pessoa ou acessar nenhum conteúdo nela.

Mensagem enviada com permissões SendAs

SendAs

Uma mensagem foi enviada usando a permissão SendAs. Isso significa que outro usuário enviou a mensagem como se fosse o proprietário da caixa de correio.

Mensagem enviada com permissões Enviar em nome de

SendOnBehalf

Uma mensagem foi enviada usando a permissão SendOnBehalf. Isso significa que outro usuário enviou a mensagem em nome do proprietário da caixa de correio. A mensagem indica ao destinatário em nome de quem a mensagem foi enviada e quem realmente a enviou.

Acesso de representante atualizados a pasta de calendário

UpdateCalendarDelegation

Uma delegação de calendários foi atribuída a uma caixa de correio. Delegação de calendários dá alguém nas mesmas permissões de organização para gerenciar o calendário do proprietário da caixa de correio.

Mensagem atualizada

Atualizar

Uma mensagem ou suas propriedades foram alteradas.

Usuário entrou na caixa de correio

MailboxLogin

O usuário entrou em sua caixa de correio.

(nenhuma)

UpdateInboxRules

Uma regra de caixa de entrada foram adicionada, removida ou alterada. As regras são usadas para processar mensagens na caixa de entrada do usuário com base nas condições especificadas e realizar ações quando as condições de uma regra são atendidas, como mover uma mensagem para uma pasta especificada ou excluir uma mensagem.

Para retornar entradas para atividades de regra de caixa de entrada, é necessário selecionar Mostrar resultados para todas as atividades na lista atividades. Use as caixas de intervalo de data e a lista de usuários para restringir os resultados da pesquisa.

Retornar à lista de atividades

Atividades do Sway

A tabela a seguir lista as atividades de usuários e administradores no Sway. O Sway é um aplicativo do Office 365 que ajuda os usuários a reunirem, formatarem e compartilharem ideias, histórias e apresentações em uma tela interativa com base na Web. Para saber mais, veja Perguntas frequentes sobre o Sway – Ajuda do administrador.

Nome amigável

Operação

Descrição

Nível de compartilhamento do Sway alterado

SwayChangeShareLevel

O usuário altera o nível da compartilhamento de um Sway. Esse evento captura o usuário alterando o escopo de compartilhamento associado a um Sway, por exemplo, público versus dentro da organização.

Sway criado

SwayCreate

O usuário cria um Sway.

Sway excluído

SwayDelete

O usuário exclui um Sway.

Duplicação de Sway desabilitada

SwayDisableDuplication

O usuário desabilita a duplicação de um Sway.

Sway duplicado

SwayDuplicate

O usuário duplica um Sway.

Sway editado

SwayEdit

O usuário edita um Sway.

Duplicação de Sway habilitada

EnableDuplication

O usuário habilita a duplicação de um Sway. A capacidade de um usuário habilitar a duplicação de um Sway está habilitada por padrão.

Compartilhamento do Sway revogado

SwayRevokeShare

O usuário para de compartilhar um Sway revogando o acesso a ele. A revogação do acesso muda os links associados a um Sway.

Sway compartilhado

SwayShare

O usuário pretende compartilhar um Sway. Esse evento captura a ação do usuário de clicar em um destino de compartilhamento no menu de compartilhamento do Sway. O evento não indica se o usuário concluiu a ação de compartilhamento.

Compartilhamento externo do Sway desativado

SwayExternalSharingOff

O administrador desabilita o compartilhamento externo do Sway para toda a organização usando o centro de administração do Office 365.

Compartilhamento externo do Sway ativado

SwayExternalSharingOn

O administrador habilita o compartilhamento externo do Sway para toda a organização usando o centro de administração do Office 365.

Serviço do Sway desativado

SwayServiceOff

O administrador desabilita o Sway para toda a organização usando o centro de administração do Office 365.

Serviço do Sway ativado

SwayServiceOn

O administrador habilita o Sway para toda a organização usando o centro de administração do Office 365 (o serviço do Sway está habilitado por padrão).

Sway exibido

SwayView

O usuário exibe um Sway.

Retornar à lista de atividades

Atividades de administração de usuários

A tabela a seguir lista as atividades de administração de usuários que são registradas quando um administrador adiciona ou altera uma conta de usuário usando o Centro de administração do Office 365 ou o portal de gerenciamento do Azure.

Atividade

Operação

Descrição

Usuário adicionado

Adicionar usuário

Uma conta de usuário do Office 365 foi criada.

Licença de usuário alterada

Alterar licença de usuário

A licença atribuída a um usuário foi alterada. Para ver quais licenças foram alteradas, veja a atividade Usuário atualizado correspondente.

Senha do usuário alterada

Alterar senha do usuário

O administrador alterou a senha de um usuário.

Usuário excluído

Excluir usuário

Uma conta de usuário do Office 365 foi excluída.

Redefinir senha do usuário

Redefinir senha do usuário

O administrador redefiniu a senha de um usuário.

Propriedade definida que força o usuário a alterar a senha

Definir alteração forçada de senha do usuário

O administrador definiu a propriedade que impõe ao usuário redefinir a respectiva senha da próxima vez que ele entrar no Office 365.

Definir propriedades de licenças

Definir propriedades de licenças

O administrador modifica as propriedades de uma licença atribuída a um usuário.

Usuário atualizado

Atualizar usuário

O administrador altera uma ou mais propriedades de uma conta de usuário. Para obter uma lista de propriedades do usuário que podem ser atualizadas, confira a seção "Atualizar atributos do usuário", no artigo Eventos de relatório de auditoria do Azure Active Directory.

Retornar à lista de atividades

Atividades de administração de grupos do Azure AD

A tabela a seguir lista as atividades de administração de grupos que são registradas quando um administrador ou um usuário cria ou altera um grupo do Office 365 ou quando um administrador cria um grupo de segurança usando o Centro de administração do Office 365 ou o portal de gerenciamento do Azure. Para saber mais sobre grupos no Office 365, confira Exibir, criar e excluir grupos no centro de administração do Office 365.

Nome amigável

Operação

Descrição

Grupo adicionado

Adicionar grupo

Um grupo foi criado.

Membro adicionado ao grupo

Adicionar membro ao grupo

Um membro foi adicionado a um grupo.

Grupo excluído

Excluir grupo

Um grupo foi excluído.

Membro removido do grupo

Remover membro do grupo

Um membro foi removido de um grupo.

Grupo atualizado

Atualizar grupo

Uma propriedade de um grupo foi alterada.

Retornar à lista de atividades

Atividades de administração de aplicativos

A tabela a seguir lista atividades de administração de aplicativos que são registradas quando um administrador adiciona ou altera um aplicativo que está registrado no Azure AD. Qualquer aplicativo que depende do Azure AD para autenticação deve ser registrado no diretório.

Nome amigável

Operação

Descrição

Entrada da delegação adicionada

Adicionar entrada de delegação

Uma permissão de autenticação foi criada/concedida a um aplicativo no Azure AD.

Entidade de serviço adicionada

Adicionar entidade de serviço

Um aplicativo foi registrado no Azure AD. Um aplicativo é representado por uma entidade de serviço no diretório.

Credenciais adicionadas a uma entidade de serviço

Adicionar credenciais de entidade de serviço

Credenciais foram adicionadas a uma entidade de serviço no Azure AD. Uma entidade de serviço representa um aplicativo no diretório.

Entrada de delegação removida

Remover entrada de delegação

Uma permissão de autenticação foi removida de um aplicativo no Azure AD.

Entidade de serviço removida do diretório

Remover entidade de serviço

Um aplicativo foi excluído/teve o registro cancelado do Azure AD. Um aplicativo é representado por uma entidade de serviço no diretório.

Credenciais removidas de uma entidade de serviço

Remover credenciais de entidade de serviço

Credenciais foram removidas de uma entidade de serviço no Azure AD. Uma entidade de serviço representa um aplicativo no diretório.

Definir entrada de delegação

Definir entrada de delegação

Uma permissão de autenticação foi atualizada para um aplicativo no Azure AD.

Retornar à lista de atividades

Atividades de administração de funções

A tabela a seguir lista as atividades de administração de funções do Azure AD registradas quando um administrador gerencia funções de administração no Centro de administração do Office 365 ou no portal de gerenciamento do Azure.

Nome amigável

Operação

Descrição

Adicionar membro à função

Adicionar membro de função à função

Usuário adicionado a uma função de administração no Office 365.

Usuário removido de uma função de diretório

Remover membro de função da função

Usuário removido de uma função de administração no Office 365.

Definir informações de contato da empresa

Definir informações de contato da empresa

Preferências de contato no nível da empresa atualizadas para a sua organização do Office 365. Isso inclui endereços de email para emails relacionados a assinaturas enviados pelo Office 365, bem como notificações técnicas sobre serviços do Office 365.

Retornar à lista de atividades

Atividades de administração de diretórios

A tabela a seguir lista atividades relacionadas a diretórios e domínios do Azure AD registradas quando um administrador gerencia sua organização do Office 365 no Centro de administração do Office 365 ou no portal de gerenciamento do Azure.

Nome amigável

Operação

Descrição

Domínio adicionado à empresa

Adicionar domínio à empresa

Domínio adicionado à sua organização do Office 365.

Parceiro adicionado ao diretório

Parceiro adicionado à empresa

Parceiro (administrador delegado) adicionado à sua Office 365 organização.

Domínio removido da empresa

Remover domínio da empresa

Domínio removido da sua organização do Office 365.

Parceiro removido do diretório

Remover parceiro da empresa

Parceiro (administrador delegado) removido da sua organização do Office 365.

Definir informações da empresa

Definir informações da empresa

Informações da empresa atualizadas para a sua organização do Office 365. Isso inclui endereços de email para emails relacionados a assinaturas enviados pelo Office 365, bem como notificações técnicas sobre serviços do Office 365.

Definir autenticação de domínio

Definir autenticação de domínio

Configuração de autenticação de domínio alterada para a sua organização do Office 365.

Configurações de federação atualizadas para um domínio

Definir configurações de federação no domínio

Configurações de federação (compartilhamento externo) alteradas para a sua organização do Office 365.

Definir política de senha

Definir política de senha

Restrições de comprimento e caracteres alteradas para senhas de usuário na sua organização do Office 365.

Sincronização do Azure AD ativada

Sinalizador DirSyncEnabled ativado na empresa

Definir a propriedade que habilita um diretório para sincronização do Azure AD.

Domínio atualizado

Atualizar domínio

Configurações de um domínio atualizadas na sua organização do Office 365.

Domínio verificado

Verificar domínio

Foi verificado que a sua organização é a proprietária de um domínio.

Domínio confirmado de email verificado

Verificar domínio confirmado de email

Verificação de email usada para confirmar que a sua organização é proprietária de um domínio.

Retornar à lista de atividades

Atividades de Descoberta Eletrônica

Atividades relacionadas a pesquisa de conteúdo e Descoberta Eletrônica automática que são realizadas no Centro de Conformidade e Segurança do Office 365 ou executando os cmdlets do Windows PowerShell são registradas no log de auditoria do Office 365. Isso inclui as seguintes atividades:

  • Criar e gerenciar casos de Descoberta Eletrônica

  • Criar, iniciar e editar pesquisas de conteúdo

  • Executar ações de pesquisa de conteúdo, como visualização, exportação e exclusão de resultados de pesquisa

  • Configurar a filtragem de permissões para pesquisa de conteúdo

  • Gerenciar a função de administrador de Descoberta Eletrônica

Para obter uma lista e uma descrição detalhada das atividades de Descoberta Eletrônica que são registradas, veja Procurar atividades de Descoberta Eletrônica no log de auditoria do Office 365.

Observação: Demora até 30 minutos para os eventos resultantes das atividades listadas em Atividades de Descoberta Eletrônica na lista suspensa das Atividades serem exibidos nos resultados da pesquisa. Por outro lado, leva até 24 horas para que os eventos correspondentes das atividades de cmdlet de Descoberta Eletrônica apareçam nos resultados da pesquisa.

Retornar à lista de atividades

Atividades do Power BI

A tabela a seguir lista as atividades de usuários e de administradores no Power BI, que estejam conectados ao log de auditoria do Office 365.

Importante: o log de auditoria para o Power BI não está ativado por padrão. Para pesquisar as atividades do Power BI no log de auditoria doOffice 365, habilite o recurso de auditoria no Portal de Administração do Power BI. Para ver instruções, confira a seção Habilitando a funcionalidade de auditoria no portal de administração do Power BI.

Nome amigável

Operação

Descrição

Membros de grupo do Power BI adicionados

AddGroupMembers

Um membro é adicionado a um espaço de trabalho de grupo do Power BI.

Conjunto de dados analisado do Power BI

AnalyzedByExternalApplication

Um conjunto de dados é analisado por um aplicativo externo.

Painel do Power BI criado

CreateDashboard

Um novo painel é criado.

Grupo do Power BI criado

CreateGroup

Um grupo é criado.

Pacote de conteúdo organizacional do Power BI criado

CreateOrgApp

Um pacote de conteúdo organizacional é criado.

Painel do Power BI excluído

DeleteDashboard

Um painel é excluído.

Conjunto de dados do Power BI excluído

DeleteDataset

Um conjunto de dados é excluído.

Relatório do Power BI excluído

DeleteReport

Um relatório é excluído.

Relatório do Power BI baixado

DownloadReport

Um usuário baixa um relatório do Power BI do serviço para seu computador.

Painel do Power BI editado

EditDashboard

Um painel é renomeado.

Dados visuais do relatório do Power BI excluídos

ExportReport

Os dados são exportados de um bloco de relatórios.

Dados de bloco do Power BI exportados

ExportTile

Os dados são exportados de um bloco do painel.

Painel do Power BI impresso

PrintDashboard

Um painel é impresso.

Página de relatório do Power BI impressa

PrintReport

Um relatório é impresso.

Relatório do Power BI publicado na Web

PublishToWebReport

Um relatório é publicado na Web.

Painel do Power BI compartilhado

ShareDashboard

Um painel é compartilhado.

Avaliação do Power BI iniciada

OptInForProTrial

Um usuário inicia uma assinatura de avaliação do Power BI Pro.

Configurações do Power BI da organização atualizados

UpdatedAdminFeatureSwitch

Um administrador alterou uma configuração organizacional no portal de administração do Power BI.

Painel do Power BI exibido

ViewDashboard

Um painel é exibido.

Relatório do Power BI exibido

ViewReport

Um relatório é exibido.

Retornar à lista de atividades

Atividades do Microsoft Teams

A tabela a seguir lista as atividades de usuários e administradores no Microsoft Teams que são registradas no log de auditoria do Office 365. O Microsoft Teams é um espaço de trabalho centralizado em chat no Office 365. Ele reúne as conversas, as reuniões, os arquivos e as anotações de uma equipe em um único lugar. Para obter mais informações e links para os tópicos da Ajuda, confira:

Nome amigável

Operação

Descrição

Bot adicionado à equipe

BotAddedToTeam

Um usuário adiciona um bot a uma equipe.

Canal adicionado

ChannelAdded

Um usuário adiciona um canal a uma equipe.

Conector adicionado

ConnectorAdded

Um usuário adiciona um conector a um canal.

Membros adicionados à equipe

MemberAdded

Um proprietário adiciona membros à equipe.

Guia adicionada

TabAdded

Um usuário adiciona uma guia a um canal.

Configuração de canal alterada

ChannelSettingChanged

A operação ChannelSettingChanged é registrada em log quando as seguintes atividades são realizadas por um membro da equipe. Para cada uma dessas atividades, uma descrição da configuração que foi alterada (exibida entre parênteses abaixo) é exibida na coluna Item dos resultados da pesquisa do log de auditoria.

  • Altera o nome de um canal de equipe (Nome do canal).

  • Altera a descrição de um canal de equipe (Descrição do canal).

Configuração da organização alterada

OrganizationSettingChanged

A operação OrganizationSettingChanged é registrada em log quando as seguintes atividades são executadas por um administrador global (usando o Centro de administração do Office 365). Essas atividades afetam as configurações do Microsoft Teams em toda a organização. Confira mais informações em Configurações do administrador para Microsoft Teams.

Para cada uma dessas atividades, uma descrição da configuração que foi alterada (mostrada entre parênteses abaixo) é exibida na coluna Item dos resultados da pesquisa do log de auditoria.

  • Habilita ou desabilita o Microsoft Teams para a organização (Microsoft Teams).

  • Habilita ou desabilita a interoperabilidade entre o Microsoft Teams e o Skype for Business para a organização (interoperabilidade do Skype for Business).

  • Habilita ou desabilita o modo de exibição de organograma em clientes do Microsoft Teams (modo de exibição de organograma).

  • Habilita ou desabilita a capacidade dos membros da equipe de agendar reuniões particulares (Agendamento de reunião particular).

  • Habilita ou desabilita a capacidade dos membros da equipe de agendar reuniões de canal (Agendamento de reunião de canal).

  • Habilita ou desabilita a chamada de vídeo em reuniões de equipes (Vídeo de reuniões do Skype).

  • Habilita ou desabilita o compartilhamento de tela em reuniões do Microsoft Teams na organização (Compartilhamento para reuniões do Skype de tela).

  • Habilita ou desabilita a capacidade de adicionar imagens animadas (chamadas Giphys) a conversas do Teams (Imagens animadas).

  • Altera a configuração de classificação de conteúdo da organização (Classificação de conteúdo).

    A classificação de conteúdo restringe o tipo de imagem animada que pode ser exibido em conversas.

  • Habilita ou desabilita a capacidade dos membros da equipe de adicionar imagens personalizáveis (chamadas memes personalizados) da Internet a conversas da equipe (Imagens personalizáveis da Internet).

  • Habilita ou desabilita a capacidade dos membros da equipe de adicionar imagens editáveis (chamadas adesivos) a conversas da equipe (Imagens editáveis).

  • Habilita ou desabilita a capacidade dos membros da equipe de usar bots em chats e canais do Microsoft Teams (bots de toda a organização).

  • Habilita bots específicos para Microsoft Teams; isso não inclui o T-Bot, que é o bot de ajuda do Teams que está disponível quando os bots estão habilitados na organização (Bots individuais).

  • Habilita ou desabilita a capacidade dos membros da equipe de adicionar extensões ou guias (Extensões ou guias).

  • Habilita ou desabilita o sideloading de bots proprietários para Microsoft Teams (Sideloading de bots).

  • Habilita ou desabilita a capacidade dos usuários de enviar mensagens de email para um canal do Microsoft Teams (Email de canal).

Função de membros alterada na equipe

MemberRoleChanged

Um proprietário altera a função dos membros na equipe. Os valores a seguir indicam o tipo de função atribuída ao usuário.

1    Indica a função Proprietário.

2    Indica a função Membro.

3    Indica a função Convidado.

A propriedade Members inclui também o nome da organização e o endereço de email do membro.

Configuração da equipe alterada

TeamSettingChanged

A operação TeamSettingChanged é registrada em log quando as seguintes atividades são realizadas por um proprietário de equipe. Para cada uma dessas atividades, é exibida uma descrição da configuração que foi alterada (exibida entre parêntesis abaixo) na coluna Item nos resultados de pesquisa do log de auditoria.

  • Altera o tipo de acesso para uma equipe. As equipes podem ser definidas como Públicas ou Particulares (Tipo de acesso de equipe).

    Quando uma equipe é particular (a configuração padrão), os usuários podem acessá-la apenas por convite. Quando uma equipe é pública, ela fica visível para qualquer pessoa.

  • Altera a classificação das informações de uma equipe (Classificação da equipe).

    Por exemplo, os dados de equipes podem ser classificados como alto impacto sobre os negócios, médio impacto sobre os negócios ou baixo impacto sobre os negócios.

  • Altera o nome de uma equipe (Nome da equipe).

  • Altera a descrição da equipe (Descrição da equipe).

  • Alterações feitas em qualquer uma das configurações de equipe. Um proprietário de equipe pode acessar essas configurações no cliente de Equipes clicando com o botão direito na equipe e clicando em Gerenciar equipe e na guia Configurações. Para essas atividades, o nome da configuração que foi alterado é exibido na coluna Item nos resultados da pesquisa de log de auditoria.

Equipe criada

TeamCreated

O usuário cria uma nova equipe.

Canal excluído

ChannelDeleted

Um usuário exclui um canal de uma equipe.

Equipe excluída

TeamDeleted 

Um proprietário de equipe exclui uma equipe.

Bot removido da equipe

BotRemovedFromTeam

Um usuário remove um bot de uma equipe.

Conector removido

ConnectorRemoved

Um usuário remove um conector de um canal.

Membros removidos da equipe

MemberRemoved

Um proprietário remove membros da equipe.

Guia removida

TabRemoved

Um usuário remove uma guia de um canal.

Conector atualizado

ConnectorUpdated

Um usuário modificou um conector em um canal.

Guia atualizada

TabUpdated

Usuário modificou uma guia no canal.

Usuário entrou nas Equipes

TeamsSessionStarted

Um usuário entra em um cliente do Microsoft Teams.

Retornar à lista de atividades

Atividades do Yammer

A tabela a seguir lista as atividades de usuários e de administradores no Yammer que estejam conectados ao log de auditoria do Office 365. Para retornar atividades relacionadas ao Yammer no log de auditoria do Office 365, escolha Mostrar resultados para todas as atividades na lista Atividades. Use as caixas de intervalo de datas e a lista de Usuários para restringir os resultados da pesquisa.

Nome amigável

Operação

Descrição

Política de retenção de dados alterada

SoftDeleteSettingsUpdated

O administrador verificado atualiza a configuração da política de retenção de dados da rede para "exclusão irreversível" ou "exclusão temporária". Somente administradores verificados podem realizar essa operação.

Configuração de rede alterada

NetworkConfigurationUpdated

O administrador de rede ou administrador verificado altera as configurações da rede do Yammer. Isso inclui a definição do intervalo de exportação de dados e de habilitação do chat.

Configurações de perfil de rede alteradas

ProcessProfileFields

O administrador de rede ou verificado altera as informações que aparecem em perfis de membro para a rede de usuários da rede.

Modo de Conteúdo Particular modificado

SupervisorAdminToggled

O administrador verificado ativa ou desativa o Modo de Conteúdo Particular. Esse modo permite a um administrador exibir postagens em grupos particulares e exibir mensagens particulares entre usuários individuais (ou grupos de usuários). Somente administradores verificados podem realizar essa operação.

Configurações de segurança alteradas

NetworkSecurityConfigurationUpdated

O administrador verificado atualiza as configurações de segurança da rede do Yammer. Isso inclui a definição de políticas de expiração de senha e restrições de endereços IP. Somente administradores verificados podem realizar essa operação.

Arquivo criado

FileCreated

O usuário carrega um arquivo.

Grupo criado

GroupCreation

O usuário cria um grupo novo.

Grupo excluído

GroupDeletion

Um grupo é excluído do Yammer.

Mensagem excluída

MessageDeleted

O usuário exclui uma mensagem.

Arquivo baixado

FileDownloaded

O usuário baixa um arquivo.

Dados exportados

DataExport

O administrador verificado exporta dados de rede do Yammer. Somente administradores verificados podem realizar essa operação.

Arquivo compartilhado

FileShared

O usuário compartilha um arquivo com outros usuários.

Usuário de rede suspenso

NetworkUserSuspended

O administrador de rede ou verificado suspende ou desativa um usuário no Yammer.

Usuário suspenso

UserSuspension

A conta de usuário é suspensa ou desativada.

Descrição de arquivo atualizada

FileUpdateDescription

O usuário modifica a descrição de um arquivo.

Nome de arquivo atualizado

FileUpdateName

O usuário modifica o nome de um arquivo.

Arquivo exibido

FileVisited

O usuário exibe um arquivo.

Retornar à lista de atividades

Microsoft Stream

Você pode pesquisar o log de auditoria para atividades no Microsoft Stream. Essas atividades incluem vídeo atividades realizadas por usuários, atividades de canal de grupo e atividades de administração como gerenciar usuários, gerenciar configurações de organização e exportar relatórios. Para obter uma descrição dessas atividades, consulte a seção "Atividades registradas no Microsoft Stream" nos Logs de auditoria no Microsoft fluxo.

Log de auditoria de administradores do Exchange

O log de auditoria do administrador do Exchange, que está habilitado por padrão no Office 365, registra um evento no log de auditoria do Office 365 quando um administrador (ou um usuário que recebeu permissões administrativas) faz uma mudança na sua organização do Exchange Online. As alterações feitas usando o centro de administração do Exchange ou executando um cmdlet no Windows PowerShell são registradas no log de auditoria de administradores do Exchange. Veja mais detalhes sobre o registro em log de auditoria de administradores no Exchange em Registro em log de auditoria de administradores.

Veja a seguir algumas dicas para procurar atividades no log de auditoria de administradores do Exchange:

  • Para retornar entradas do log de auditoria de administradores do Exchange, você precisa selecionar Mostrar resultados para todas as atividades na lista Atividades. Use as caixas de intervalo de datas e a lista Usuários para restringir os resultados da pesquisa para cmdlets executados por um administrador específico do Exchange dentro de um intervalo de datas específico.

  • Para exibir eventos do log de auditoria de administradores do Exchange, filtre os resultados da pesquisa e digite um (traço) na caixa de filtro Atividade. Isto exibirá nomes de cmdlets, que aparecem na coluna Atividade para eventos de administrador do Exchange. Em seguida, você pode classificar os nomes de cmdlets em ordem alfabética.

    Digite um traço na caixa Atividades para filtrar os eventos de administração do Exchange
  • Para saber mais sobre qual cmdlet foi executado, quais parâmetros e valores de parâmetros foram usados e quais objetos foram afetados, será necessário exportar os resultados da pesquisa e selecionar a opção Baixar todos os resultados.

  • Também é possível exibir eventos no log de auditoria de administradores do Exchange usando o centro de administração do Exchange. Confira as instruções em Exibir o log de auditoria de administradores.

Retornar à lista de atividades

Retornar ao início do artigo

Expanda suas habilidades no Office
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×