Audit log là gì? Cách bật hoặc tắt Audit log trên Microsoft Purview

Trong môi trường doanh nghiệp hiện đại, việc theo dõi và ghi lại các hoạt động trên hệ thống là vô cùng quan trọng để đảm bảo tính bảo mật và tuân thủ quy định. Audit log (Nhật ký kiểm tra) là một công cụ quan trọng giúp quản trị viên theo dõi, giám sát các hành động của người dùng, từ đó phát hiện và xử lý các sự cố bảo mật kịp thời. Trên nền tảng Microsoft Purview, Audit log cho phép ghi lại mọi hoạt động diễn ra trong Microsoft 365, giúp doanh nghiệp kiểm soát dữ liệu hiệu quả hơn.

Bài viết này sẽ hướng dẫn bạn cách bật hoặc tắt Audit log trên Microsoft Purview, đảm bảo rằng hệ thống của bạn luôn được quản lý chặt chẽ theo nhu cầu.

Audit log là gì?

Audit log trong Microsoft 365 là một tính năng ghi lại các hoạt động của người dùng và quản trị viên trong tổ chức của bạn. Nó giúp bạn theo dõi và kiểm tra các hành động như đăng nhập, truy cập tài liệu, thay đổi cài đặt và nhiều hoạt động khác. Dưới đây là một số điểm chính về Audit log:

  • Theo dõi hoạt động: Ghi lại các hành động của người dùng và quản trị viên để giúp bạn hiểu rõ hơn về cách dữ liệu và tài nguyên được sử dụng.
  • Bảo mật và tuân thủ: Giúp đảm bảo rằng tổ chức của bạn tuân thủ các quy định bảo mật và tuân thủ pháp luật bằng cách cung cấp bằng chứng về các hoạt động đã diễn ra.
  • Phân tích và điều tra: Hỗ trợ trong việc điều tra các sự cố bảo mật hoặc vi phạm chính sách bằng cách cung cấp thông tin chi tiết về các hoạt động đã diễn ra.

Bạn có thể truy cập và phân tích các Audit log thông qua Microsoft 365 Compliance Center hoặc sử dụng PowerShell để truy vấn dữ liệu chi tiết hơn.

Khi Audit log được bật trong cổng thông tin Microsoft Purview hoặc cổng thông tin Microsoft Purview compliance, hoạt động của người dùng và quản trị viên từ tổ chức của bạn được ghi lại trong nhật ký kiểm toán và tự động được lưu giữ trong 180 ngày. Việc lưu giữ (trọn đời) đối với dữ liệu kiểm toán bắt đầu khi dữ liệu được thêm vào nhật ký kiểm toán và được lưu giữ dựa trên chính sách lưu giữ nhật ký kiểm toán và giấy phép được cấp cho người dùng.

Các giải pháp Audit log Microsoft Purview

Microsoft Purview Audit cung cấp các giải pháp toàn diện để giúp tổ chức của bạn quản lý và đáp ứng các yêu cầu về bảo mật, điều tra pháp lý, và tuân thủ. Dưới đây là một số giải pháp chính:

Audit (Standard)

  • Ghi lại và tìm kiếm hoạt động: Cho phép bạn ghi lại và tìm kiếm các hoạt động của người dùng và quản trị viên trong các dịch vụ Microsoft.
  • Thời gian lưu trữ: Các bản ghi audit được lưu trữ trong 180 ngày.
  • Tìm kiếm và xuất dữ liệu: Bạn có thể tìm kiếm các sự kiện audit và xuất dữ liệu ra file CSV.

Audit (Premium)

  • Thời gian lưu trữ mở rộng: Lưu trữ bản ghi audit lên đến 1 năm, và có tùy chọn lưu trữ lên đến 10 năm với giấy phép bổ sung.
  • Truy cập nhanh hơn: Cung cấp băng thông cao hơn để truy cập dữ liệu audit thông qua Office 365 Management Activity API.
  • Thông tin thông minh: Cung cấp các thông tin chi tiết thông minh để hỗ trợ điều tra và phân tích.

Yêu cầu

  • Đối với các tính năng Audit (Standard), người dùng phải có giấy phép Microsoft 365 Business hoặc Office 365 Enterprise hoặc Microsoft 365 Enterprise.
  • Đối với các tính năng Audit (Premium), người dùng phải có giấy phép Microsoft 365 E5 hoặc giấy phép Microsoft 365 E3 hoặc Office 365 E3 với giấy phép bổ trợ Microsoft 365 E5 Compliance hoặc Microsoft 365 E5 eDiscovery và Audit.

Quyền

Để bật hoặc tắt audit log trong tổ chức Microsoft 365 của bạn, bạn phải được chỉ định vai trò Audit Logs role in Exchange Online.

Để tìm kiếm Audit log, bạn phải được chỉ định vai trò View-Only Audit Logs hoặc Audit Logs role in Exchange Online.Theo mặc định, vai trò View-Only Audit Logs và Audit Logs roles được chỉ định cho nhóm Compliance Management và Organization Management trên trang Permissions trong Exchange admin center. Global Admin trong Microsoft 365 là thành viên của nhóm vai trò Organization Management trong Exchange Online.

So sánh tính năng Audit (Standard) và Audit (Premium).

Bảng sau đây so sánh các khả năng chính có trong Audit (Standard) và Audit (Premium). Tất cả chức năng Audit (Standard) đều có trong Audit (Premium).

1 Audit (Premium) bao gồm quyền truy cập băng thông cao hơn vào Office 365 Management Activity API, cung cấp quyền truy cập nhanh hơn vào dữ liệu kiểm tra.
2 Ngoài giấy phép bắt buộc cho Audit (Premium), người dùng phải được cấp giấy phép bổ sung 10-Year Audit Log Retention add-on để lưu giữ hồ sơ kiểm tra của họ trong 10 năm.

Lưu ý:

Thời gian lưu giữ mặc định cho Audit (Standard) đã thay đổi từ 90 ngày thành 180 ngày. Nhật ký Audit (Standard) được tạo trước ngày 17 tháng 10 năm 2023 sẽ được lưu giữ trong 90 ngày. Nhật ký Audit (Standard) được tạo vào hoặc sau ngày 17 tháng 10 năm 2023 sẽ tuân theo thời gian lưu giữ mặc định mới là 180 ngày.

Xác minh trạng thái auditing cho tổ chức

Để xác minh rằng tính năng kiểm tra đã được bật cho tổ chức của bạn, bạn có thể chạy lệnh sau trong Exchange Online PowerShell:

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Nếu giá trị của True của thuộc tính UnifiedAuditLogIngestionEnabled cho biết Audit đã được bật. Giá trị của Falsecho biết Audit chưa được bật.

Bật Audit log

Bạn có thể bật Audit log trong Microsoft Purview portal hoặc Compliance portal hoặc bằng cách sử dụng Exchange Online PowerShell. Có thể mất vài giờ sau khi bạn bật kiểm toán trước khi bạn có thể trả về kết quả khi tìm kiếm nhật ký kiểm toán.

 Microsoft Purview portal

  • Login Microsoft Purview tại https://purview.microsoft.com/
  • Chọn Audit > Nếu mục Audit không hiển thị > click chọn View all solutions >chọn Audit bên dưới mục Core.
  • Nếu tính năng Audit chưa được bật cho tổ chức của bạn, một biểu ngữ thông báo sẽ hiển thị nhắc bạn bắt đầu ghi lại hoạt động của người dùng và quản trị viên.
  • Chọn Start recording user and admin activity.

Có thể mất 60 phút để thay đổi có hiệu lực.

Compliance portal

  1. Truy cập Microsoft Purview compliance portal tại https://compliance.microsoft.com > Solutions > Audit. Hoặc truy cập trực tiếp từ https://compliance.microsoft.com/auditlogsearch.
  2. Nếu tính năng Audit chưa được bật cho tổ chức của bạn, một biểu ngữ thông báo sẽ hiển thị nhắc bạn bắt đầu ghi lại hoạt động của người dùng và quản trị viên.
  3. Chọn Start recording user and admin activity.

Có thể mất 60 phút để thay đổi có hiệu lực.

Sử dụng PowerShell để bật Audit

  1. Kết nối với Exchange Online PowerShell.
  2. Chạy lệnh PowerShell sau để bật tính năng kiểm tra. 
    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Một thông báo sẽ hiển thị cho biết có thể mất 60 phút để thay đổi có hiệu lực.

Tắt Audit

Bạn phải sử dụng Exchange Online PowerShell để tắt chức năng kiểm tra.

  1. Kết nối với Exchange Online PowerShell.
  2. Chạy lệnh PowerShell sau để tắt chức năng kiểm tra. 
    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
  3. Sau một thời gian, kiểm tra xem Audit đã được tắt chưa (vô hiệu hóa). Có hai cách để thực hiện việc này:
    • Trong Exchange Online PowerShell, hãy chạy lệnh sau: 
      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

      Giá trị của Falsethuộc tính UnifiedAuditLogIngestionEnabled cho biết tính năng kiểm tra đã bị tắt.

    • Đi tới trang Audit trong Compliance portal.Nếu tính năng kiểm tra chưa được bật cho tổ chức của bạn, một biểu ngữ sẽ hiển thị nhắc bạn bắt đầu ghi lại hoạt động của người dùng và quản trị viên.

Ghi lại trạng thái khi Audit thay đổi

Các thay đổi đối với trạng thái Audit trong tổ chức của bạn cũng được Audit log ghi lại. Điều này có nghĩa là các bản ghi (record) Audit cũng được ghi lại khi Audit log được bật hoặc tắt. Bạn có thể tìm kiếm nhật ký Audit log của quản trị viên Exchange để tìm các bản ghi kiểm toán này.

Để tìm kiếm nhật ký kiểm tra quản trị Exchange cho các bản ghi kiểm tra được tạo khi bật hoặc tắt kiểm tra, hãy chạy lệnh sau trong Exchange Online PowerShell:

Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig

Hồ sơ Audit log cho các sự kiện này chứa thông tin về thời điểm trạng thái kiểm toán được thay đổi, người quản trị đã thay đổi và địa chỉ IP của máy tính được sử dụng để thực hiện thay đổi.

Bản ghi kiểm tra cho Set-AdminAuditLogConfig

Giá trị kết quả của UnifiedAuditLogIngestionEnabledtrong thuộc tính AuditData, cho biết liệu tính năng ghi nhật ký kiểm tra hợp nhất đã được bật hay tắt trong cổng thông tin Microsoft Purview hoặc cổng thông tin Compliance portal hay bằng cách chạy lệnh: Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true/false.

Tổng kết

Audit log đóng vai trò quan trọng trong việc giám sát, bảo vệ dữ liệu và đảm bảo tuân thủ các quy định bảo mật trong doanh nghiệp. Việc bật Audit log trên Microsoft Purview giúp quản trị viên theo dõi chi tiết các hoạt động trong hệ thống, từ đó phát hiện kịp thời các hành vi đáng ngờ và nâng cao khả năng bảo mật. Ngược lại, trong một số trường hợp nhất định, quản trị viên cũng có thể tắt Audit log để tối ưu hiệu suất hệ thống. Dù bạn chọn bật hay tắt, việc hiểu rõ cách quản lý Audit log sẽ giúp doanh nghiệp kiểm soát tốt hơn dữ liệu và hoạt động trong Microsoft 365, đảm bảo an toàn thông tin một cách hiệu quả.

Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ Tri Thức Software để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.

Bài viết liên quan

zalo-icon
phone-icon