감사 켜기 또는 끄기

  • 아티클
  • 읽는 데 4분 걸림

감사 로깅은 Microsoft 365 및 Office 365 엔터프라이즈 조직에 대해 기본적으로 설정됩니다. 그러나 새 Microsoft 365 또는 Office 365 조직을 설정할 때 조직의 감사 상태를 확인해야 합니다. 자세한 내용은 이 문서의 조직 감사 상태 확인 섹션을 참조하세요.

Microsoft Purview 규정 준수 포털 감사를 켜면 조직의 사용자 및 관리자 활동이 감사 로그에 기록되고 사용자에게 할당된 라이선스에 따라 최대 90일 동안 유지됩니다. 그러나 조직에서 감사 로그 데이터를 기록하고 보존하지 않으려는 이유가 있을 수 있습니다. 이러한 경우 전역 관리자는 Microsoft 365에서 감사를 해제하기로 결정할 수 있습니다.

중요

Microsoft 365에서 감사를 해제하는 경우 Office 365 관리 활동 API 또는 Microsoft Sentinel을 사용하여 조직의 감사 데이터에 액세스할 수 없습니다. 이 문서의 단계에 따라 감사를 해제하면 규정 준수 포털을 사용하여 감사 로그를 검색하거나 Exchange Online PowerShell에서 Search-UnifiedAuditLog cmdlet을 실행할 때 결과가 반환되지 않습니다. 이는 또한 Office 365 관리 활동 API 또는 Microsoft Sentinel을 통해 감사 로그를 사용할 수 없음을 의미합니다.

감사를 켜거나 끄기 전에

  • Microsoft 365 조직에서 감사를 설정하거나 해제하려면 Exchange Online 감사 로그 역할이 할당되어야 합니다. 기본적으로 이 역할은 Exchange 관리 센터의 사용 권한 페이지에 있는 준수 관리 및 조직 관리 역할 그룹에 할당됩니다. Microsoft 365의 전역 관리자는 Exchange Online 조직 관리 역할 그룹의 구성원입니다.

    참고

    감사를 설정하거나 해제하려면 Exchange Online 사용자에게 권한을 할당해야 합니다. 준수 포털의 사용 권한 페이지에서 사용자에게 감사 로그 역할을 할당하는 경우 감사를 켜거나 끌 수 없습니다. 이는 기본 cmdlet이 Exchange Online PowerShell cmdlet이기 때문입니다.

  • 감사 로그 검색에 대한 단계별 지침은 감사 로그 검색을 참조하세요. Microsoft 365 관리 활동 API에 대한 자세한 내용은 Microsoft 365 관리 API 시작(Get started with Microsoft 365 Management API)을 참조하세요.

조직의 감사 상태 확인

조직에 대해 감사가 설정되어 있는지 확인하려면 Exchange Online PowerShell에서 다음 명령을 실행할 수 있습니다.

Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

UnifiedAuditLogIngestionEnabled 속성의 True 값은 감사가 켜져 있음을 나타냅니다. 값은 False 감사가 켜져 있지 않음을 나타냅니다.

참고

Exchange Online PowerShell에서 이전 명령을 실행해야 합니다. Security & Compliance PowerShell을 사용하여 이 명령을 실행할 수 없습니다.

감사 켜기

조직에 대해 감사를 설정하지 않은 경우 규정 준수 포털에서 또는 Exchange Online PowerShell을 사용하여 감사를 켤 수 있습니다. 감사 로그를 검색할 때 결과를 반환하려면 감사를 켠 후 몇 시간이 걸릴 수 있습니다.

규정 준수 센터를 사용하여 감사 켜기

  1. https://compliance.microsoft.com으로 이동하여 로그인합니다.

  2. 준수 포털의 왼쪽 탐색 창에서 감사를 클릭합니다.

    조직에 대한 감사가 설정되지 않은 경우 사용자 및 관리자 활동 기록을 시작하라는 배너가 표시됩니다.

    감사 페이지의 배너입니다.

  3. 기록 시작 사용자 및 관리자 활동 배너를 클릭합니다.

    변경 내용이 적용되는 데 최대 60분이 걸릴 수 있습니다.

PowerShell을 사용하여 감사 켜기

  1. Exchange Online PowerShell에 연결합니다.

  2. 다음 PowerShell 명령을 실행하여 감사를 켭니다.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    변경 내용이 적용되는 데 최대 60분이 걸릴 수 있다는 메시지가 표시됩니다.

감사 끄기

감사를 해제하려면 Exchange Online PowerShell을 사용해야 합니다.

  1. Exchange Online PowerShell에 연결합니다.

  2. 다음 PowerShell 명령을 실행하여 감사를 해제합니다.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

  3. 잠시 후 감사가 해제되었는지 확인합니다(사용 안 함). 이 작업을 수행하는 방법은 다음 두 가지입니다.

    • Exchange Online PowerShell에서 다음 명령을 실행합니다.

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

      UnifiedAuditLogIngestionEnabled 속성의 False 값은 감사가 꺼져 있음을 나타냅니다.

    • 규정 준수 포털의 감사 페이지로 이동합니다.

      조직에 대한 감사가 설정되지 않은 경우 사용자 및 관리자 활동 기록을 시작하라는 배너가 표시됩니다.

감사 상태가 변경되면 레코드 감사

조직의 감사 상태에 대한 변경 내용은 자체 감사됩니다. 즉, 감사가 설정되거나 해제될 때 감사 레코드가 기록됩니다. Exchange 관리자 감사 로그에서 이러한 감사 레코드를 검색할 수 있습니다.

Exchange 관리자 감사 로그에서 감사를 켜거나 끌 때 생성되는 감사 레코드를 검색하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

이러한 이벤트에 대한 감사 레코드에는 감사 상태가 변경된 시기, 변경한 관리자 및 변경에 사용된 컴퓨터의 IP 주소에 대한 정보가 포함됩니다. 다음 스크린샷은 조직의 감사 상태 변경에 해당하는 감사 레코드를 보여 줍니다.

감사 켜기 감사 레코드

감사 켜기 감사 레코드

CmdletParameters 속성의 Confirm 값은 통합 감사 로깅이 규정 준수 센터에서 또는 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true cmdlet을 실행하여 켜져 있음을 나타냅니다.

감사 해제에 대한 감사 레코드

감사 해제에 대한 감사 레코드

Confirm 값은 CmdletParameters 속성에 포함되지 않습니다. 이는 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false 명령을 실행하여 통합 감사 로깅이 해제되었음을 나타냅니다.

Exchange 관리자 감사 로그를 검색하는 방법에 대한 자세한 내용은 Search-AdminAuditLog를 참조하세요.