Gerenciar políticas de retenção de log de auditoriaManage audit log retention policies

Você pode criar e gerenciar políticas de retenção de log de auditoria no Centro de Conformidade e Segurança.You can create and manage audit log retention policies in the Security & Compliance Center. As políticas de retenção de log de auditoria fazem parte dos novos recursos Avançados de Auditoria no Microsoft 365.Audit log retention policies are part of the new Advanced Audit capabilities in Microsoft 365. Uma política de retenção de log de auditoria permite especificar por quanto tempo reter os logs de auditoria em sua organização.An audit log retention policy lets you specify how long to retain audit logs in your organization. Você pode manter os logs de auditoria por até dez anos.You can retain audit logs for up to 10 years. Você pode criar políticas com base nos critérios a seguir:You can create policies based on the following criteria:

  • Todas as atividades em um ou mais serviços do Microsoft 365All activities in one or more Microsoft 365 services
  • As atividades específicas (em um serviço do Microsoft 365) executadas por todos os usuários ou por usuários específicosSpecific activities (in a Microsoft 365 service) performed by all users or by specific users
  • Um nível de prioridade que especifica qual política tem precedência se você tiver várias políticas em sua organizaçãoA priority level that specifies which policy takes precedence in you have multiple policies in your organization

Política de retenção de log de auditoria padrãoDefault audit log retention policy

A Auditoria Avançada no Microsoft 365 fornece uma política de retenção de log de auditoria padrão para todas as organizações.Advanced Audit in Microsoft 365 provides a default audit log retention policy for all organizations. Essa política mantém todos os registros de auditoria do Exchange Online, do OneDrive for Business e do Azure Active Directory por um ano.This policy retains all Exchange Online, SharePoint Online, OneDrive for Business, and Azure Active Directory audit records for one year. Essa política padrão mantém registros de auditoria que contêm o valor do Exchange, SharePoint, OneDrive, AzureActiveDirectory para a propriedade Carga de trabalho (que é o serviço em que a atividade ocorreu).This default policy retains audit records that contain the value of Exchange, SharePoint, OneDrive, AzureActiveDirectory for the Workload property (which is the service in which the activity occurred). A política padrão não pode ser modificada.The default policy can't be modified. Confira a seção Mais informações neste artigo para obter uma lista de tipos de registro para cada carga de trabalho inclusa na política padrão.See the More information section in this article for a list of record types for each workload that are included in the default policy.

Observação

A política de retenção do log de auditoria padrão aplica-se somente a registros de auditoria para atividades executadas por usuários que receberam uma licença do Office 365 ou Microsoft 365 E5 ou têm uma licença complementar do Microsoft 365 E5 Compliance ou E5 Descoberta Eletrônica e licença complementar de Auditoria.The default audit log retention policy only applies to audit records for activity performed by users who are assigned an Office 365 or Microsoft 365 E5 license or have a Microsoft 365 E5 Compliance or E5 eDiscovery and Audit add-on license. Se você tiver usuários não E5 ou usuários convidados em sua organização, seus registros de auditoria correspondentes serão retidos por 90 dias.If you have non-E5 users or guest users in your organization, their corresponding audit records are retained for 90 days.

Antes de você criar uma política de retenção de log de auditoriaBefore you create an audit log retention policy

  • É preciso estar na função de Configuração da Organização no Centro de Conformidade e Segurança para criar ou modificar uma política de retenção de auditoria.You have to be assigned the Organization Configuration role in the Security & Compliance Center to create or modify an audit retention policy.

  • Você pode ter até 50 políticas de retenção de log de auditoria em sua organização.You can have a maximum of 50 audit log retention policies in your organization.

  • Para reter um log de auditoria por mais de 90 dias (e até 1 ano), o usuário que gera o log de auditoria (realizando uma atividade auditada) deve ser atribuído uma licença Office 365 E5 ou Microsoft 365 E5 ou ter um Microsoft 365 E5 Compliance ou E5 eDiscovery e complemento de licença de Auditoria.To retain an audit log for longer than 90 days (and up to 1 year), the user who generates the audit log (by performing an audited activity) must be assigned an Office 365 E5 or Microsoft 365 E5 license or have a Microsoft 365 E5 Compliance or E5 eDiscovery and Audit add-on license. Para reter logs de auditoria por 10 anos, o usuário que gera o log de auditoria também deve receber uma licença complementar de retenção de log de auditoria de 10 anos, além de uma licença E5.To retain audit logs for 10 years, the user who generates the audit log must also be assigned a 10-year audit log retention add-on license in addition to an E5 license.

  • Todas as políticas de retenção de log de auditoria personalizadas (criadas por sua organização) têm prioridade sobre a política de retenção padrão.All custom audit log retention policies (created by your organization) take priority over the default retention policy. Por exemplo, se você criar uma política de retenção de log de auditoria para a atividade de caixa de correio do Exchange que tenha um período de retenção menor que um ano, os registros de auditoria para as atividades de caixa de correio serão mantidos por um período menor especificado pela política personalizada.For example, if you create an audit log retention policy for Exchange mailbox activity that has a retention period that's shorter than one year, audit records for Exchange mailbox activities will be retained for the shorter duration specified by the custom policy.

Criar uma política de retenção de log de auditoriaCreate an audit log retention policy

  1. Vá para https://compliance.microsoft.com e entre com uma conta de usuário que tenha atribuído a função de Configuração da Organização na página Permissões do Centro de Conformidade e Segurança.Go to https://compliance.microsoft.com and sign in with a user account that's assigned the Organization Configuration role on the Permissions page in the Security & Compliance Center.

  2. No painel esquerdo do Centro de Conformidade do Microsoft 365, clique em Mostrar todos e, em seguida, clique em Auditoria.In the left pane of the Microsoft 365 compliance center, click Show all, and then click Audit.

  3. Clique na guia Políticas de retenção de Auditoria.Click the Audit retention policies tab.

  4. Clique em Criar política de retenção de auditoria e preencha os seguintes campos na página submenu:Click Create audit retention policy, and then complete the following fields on the flyout page:

    Nova página de submenu da política de retenção de auditoria

    1. Nome da política: O nome da política de retenção do log de auditoria.Policy name: The name of the audit log retention policy. Esse nome deve ser exclusivo em sua organização e não pode ser alterado após a criação da política.This name must be unique in your organization, and it can't be change after the policy is created.

    2. Descrição: opcional, mas útil para fornecer informações sobre a política, como o tipo de registro ou a carga de trabalho, os usuários especificados na política e a duração.Description: Optional, but helpful to provide information about the policy, such as the record type or workload, users specified in the policy, and the duration.

    3. Usuários: selecione um ou mais usuários aos quais aplicar a política.Users: Select one or more users to apply the policy to. Se você deixar essa caixa em branco, a política será aplicada a todos os usuários.If you leave this box blank, then the policy will apply to all users. Se você deixar os Tipos de registro em branco, você deve selecionar um usuário.If you leave the Record type blank, then you must select a user.

    4. Tipos de registro: O tipo de registro de auditoria ao qual a política se aplica.Record type: The audit record type the policy applies to. Além disso, se você deixar essa propriedade em branco, deve selecionar um usuário na caixa Usuários. If you leave this property blank, you must select a user in the Users box. Você pode selecionar um único tipo de registro ou vários tipos de registro:You can select a single record type or multiple record types:

      • Se você selecionar um único tipo de registro, o campo Atividades será exibido dinamicamente.If you select a single record type, the Activities field is dynamically displayed. Você pode usar a lista suspensa para selecionar atividades do tipo de registro selecionado para a qual aplicar a política.You can use the drop-down list to select activities from the selected record type to apply the policy to. Se você não consegue selecionar atividades especificas, a política será aplicada a todas as atividades do tipo de registro selecionado.If you don't choose specific activities, the policy will apply to all activities of the selected record type.
      • Se você selecionar vários tipos de registro, não será possível selecionar atividades.If you select multiple record types, you don't have the ability to select activities. A política será aplicada a todas as atividades dos tipos de registro selecionados.The policy will apply to all activities of the selected record types.
    5. Duração: O tempo necessário para manter os logs de auditoria que atendam aos critérios da política.Duration: The amount of time to retain the audit logs that meet the criteria of the policy.

    6. Prioridade: esse valor determinar a ordem na qual as políticas de retenção de log de auditoria são processadas na sua organização.Priority: This value determines the order in which audit log retention policies in your organization are processed. Um valor mais baixo indica uma prioridade mais alta.A lower value indicates a higher priority. As prioridades válidas são valores numéricos entre 1 e 10.000.Valid priorities are numerical values between 1 and 10000. Um valor de 1 é a prioridade mais alta e um valor de 10000 é a prioridade mais baixa.A value of 1 is the highest priority, and a value of 10000 is the lowest priority. Por exemplo, uma política com valor 5 tem prioridade sobre uma política com valor 10.For example, a policy with a value of 5 takes priority over a policy with a value of 10. Como explicado anteriormente, qualquer política de retenção de log de auditoria personalizada tem prioridade sobre a política padrão da sua organização.As previously explained, any custom audit log retention policy takes priority over the default policy for your organization.

  5. Clique em Salvar para criar a nova política de retenção.Click Save to create the new audit log retention policy.

A nova política é exibida na lista da guia Políticas de retenção de Auditoria.The new policy is displayed in the list on the Audit retention policies tab.

Gerenciar as políticas de retenção de log de auditoria no Centro de conformidade do Microsoft 365Manage audit log retention policies in the Microsoft 365 compliance center

As políticas de retenção de log de auditoria estão listadas na guia Políticas de retenção de Auditoria (também chamado de painel).Audit log retention policies are listed on the Audit retention policies tab (also called the dashboard). Você pode usar o painel para exibir, editar e excluir políticas de retenção de auditoria.You can use the dashboard to view, edit, and delete audit retention policies.

Exibir políticas no painelView policies in the dashboard

As políticas de retenção de log de Auditoria são listadas no painel.Audit log retention policies are listed in the dashboard. Uma vantagem de visualizar as políticas no painel é que você pode clicar na coluna Prioridade para listar as políticas na prioridade em que são aplicadas.One advantage of viewing policies in the dashboard is that you can click the Priority column to list the policies in the priority in which they are applied. Conforme explicado anteriormente, um valor mais alto indica uma prioridade mais alta.As previously explained, a higher value indicates a higher priority.

Coluna de prioridade no painel de políticas de retenção de Auditoria

Você também pode selecionar uma política para exibir suas configurações na página de submenu.You can also select a policy to display its settings on the flyout page.

Observação

A política de retenção de log de auditoria padrão para sua organização não é exibida no painel.The default audit log retention policy for your organization isn't displayed in the dashboard.

Editar políticas no painelEdit policies in the dashboard

Para editar uma política, selecione-a para exibir a página de submenu.To edit a policy, select it to display the flyout page. Você pode modificar uma ou mais configurações e salvar suas alterações.You can modify one or more setting and then save your changes.

Importante

Se você usar o cmdlet New-UnifiedAuditLogRetentionPolicy, é possível criar uma política de retenção de log de auditoria para tipos de registro ou atividades que não estão disponíveis na ferramenta Criar política de retenção de auditoria no painel.If you use the New-UnifiedAuditLogRetentionPolicy cmdlet, it's possible to create an audit log retention policy for record types or activities that aren't available in the Create audit retention policy tool in the dashboard. Nesse caso, você não poderá editar a política (por exemplo, alterar a duração da retenção ou adicionar e remover atividades) no painel Políticas de retenção de Auditoria.In this case, you won't be able to edit the policy (for example, change the retention duration or add and remove activities) from the Audit retention policies dashboard. Você só poderá exibir e excluir a política na central de conformidade.You'll only be able to view and delete the policy in the compliance center. Para editar a política, você terá que usar o cmdlet Set-UnifiedAuditLogRetentionPolicy no Centro de Conformidade e Segurança do Windows PowerShell.>To edit the policy, you'll have to use the Set-UnifiedAuditLogRetentionPolicy cmdlet in Security & Compliance Center PowerShell.>

Dica: Uma mensagem é exibida na parte superior da página de submenu para políticas que devem ser editadas usando o Windows PowerShell.Tip: A message is displayed at the top of the flyout page for policies that have to be edited using PowerShell.

Excluir políticas no painelDelete policies in the dashboard

Para excluir uma política, clique no ícone Excluirícone Excluir e confirme que deseja excluir a política.To delete a policy, click the Delete Delete icon icon and then confirm that you want to delete the policy. A política é removida do painel, mas pode demorar até 30 minutos para que a política seja removida de sua organização.The policy is removed from the dashboard, but it might take up to 30 minutes for the policy to be removed from your organization.

Criar e gerenciar políticas de retenção de log de auditoria no Windows PowerShellCreate and manage audit log retention policies in PowerShell

Você também pode usar o Centro de Conformidade e Segurança do Windows PowerShell para criar e gerenciar políticas de retenção de log de auditoria.You can also use Security & Compliance Center PowerShell to create and manage audit log retention policies. Um motivo para usar o Windows PowerShell é criar uma política para um tipo de registro ou atividade que não está disponível na interface do usuário.One reason to use PowerShell is to create a policy for a record type or activity that isn't available in the UI.

Criar uma política de retenção de log de auditoria no Windows PowerShellCreate an audit log retention policy in PowerShell

Siga estas etapas para criar uma política de retenção de log de auditoria no Windows PowerShell:Follow these steps to create an audit log retention policy in PowerShell:

  1. Conectar-se ao PowerShell do Centro de Conformidade e Segurança.Connect to Security & Compliance Center PowerShell.

  2. Execute o seguinte comando para criar uma política de retenção de log de auditoria:Run the following command to create an audit log retention policy:

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100
    

    Este exemplo cria uma política de retenção de log de auditoria chamada “Política de Auditoria do Microsoft Teams” com as seguintes configurações:This example creates an audit log retention policy named "Microsoft Teams Audit Policy" with these settings:

    • Uma descrição da política.A description of the policy.
    • Retém todas as atividades do Microsoft Teams (conforme definido pelo parâmetro RecordType).Retains all Microsoft Teams activities (as defined by the RecordType parameter).
    • Retém os logs de auditoria do Microsoft Teams por dez anos.Retains Microsoft Teams audit logs for 10 years.
    • Prioridade de 100.A priority of 100.

Veja outro exemplo de como criar uma política de retenção de log de auditoria.Here's another example of creating an audit log retention policy. Essa política mantém os logs de auditoria para a atividade “Usuário conectado” por seis meses para o usuário admin@contoso.onmicrosoft.com.This policy retains audit logs for the "User logged in" activity for six months for the user admin@contoso.onmicrosoft.com.

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

Para saber mais, confira New-UnifiedAuditLogRetentionPolicy.For more information, see New-UnifiedAuditLogRetentionPolicy.

Exibir políticas no Windows PowerShellView policies in PowerShell

Use o cmdlet Get-UnifiedAuditLogRetentionPolicy no Centro de Conformidade e Segurança do Windows PowerShell para exibir as políticas de retenção de log de auditoria.Use the Get-UnifiedAuditLogRetentionPolicy cmdlet in Security & Compliance Center PowerShell to view audit log retention policies.

Este é um exemplo de comando para exibir as configurações de todas as políticas de retenção de log de auditoria em sua organização.Here's a sample command to display the settings for all audit log retention policies in your organization. Este comando classifica as políticas da prioridade mais alta para a mais baixa.This command sorts the policies from the highest to lowest priority.

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

Observação

O cmdlet Get-UnifiedAuditLogRetentionPolicy não retorna a política de retenção de log de auditoria padrão para sua organização.The Get-UnifiedAuditLogRetentionPolicy cmdlet doesn't return the default audit log retention policy for your organization.

Editar políticas no Windows PowerShellEdit policies in PowerShell

Use o cmdlet Set-UnifiedAuditLogRetentionPolicy no Centro de Conformidade e Segurança do Windows PowerShell para editar uma política de retenção de log de auditoria existente.Use the Set-UnifiedAuditLogRetentionPolicy cmdlet in Security & Compliance Center PowerShell to edit an existing audit log retention policy.

Excluir políticas no Windows PowerShellDelete policies in PowerShell

Use o cmdlet Remove-UnifiedAuditLogRetentionPolicy no Centro de Conformidade e Segurança do Windows PowerShell para excluir uma política de retenção de log de auditoria.Use the Remove-UnifiedAuditLogRetentionPolicy cmdlet in Security & Compliance Center PowerShell to delete an audit log retention policy. Pode levar até 30 minutos para que a política seja removida de sua organização.It might take up to 30 minutes for the policy to be removed from your organization.

Mais InformaçõesMore information

Conforme declarado anteriormente, os registros de auditoria para operações no Azure Active Directory, Exchange Online, SharePoint Online e OneDrive for Business são retidos por um ano por padrão.As previously stated, audit records for operations in Azure Active Directory, Exchange Online, SharePoint Online, and OneDrive for Business, are retained for one year by default. A seguinte tabela lista todos os tipos de registro (para cada um desses serviços) incluídos na política de retenção de log de auditoria padrão.The following table lists all the record types (for each of these services) included in the default audit log retention policy. Isso significa que os logs de auditoria para qualquer operação com esse tipo de registro são mantidos por um ano, a menos que uma política de retenção de log de auditoria personalizada tenha precedência sobre um tipo específico de registro, uma operação ou usuário.This means that audit logs for any operation with this record type are retained for one year unless a custom audit log retention policy takes precedence for a specific record type, operation, or user. O valor de enumeração (que é exibido como o valor da propriedade RecordType em um registro de auditoria) para cada tipo de registro é mostrado entre parênteses.The Enum value (which is displayed as the value for the RecordType property in an audit record) for each record type is shown in parentheses.



AzureActiveDirectoryAzureActiveDirectory ExchangeExchange SharePoint ou OneDriveSharePoint or OneDrive
AzureActiveDirectory (8)AzureActiveDirectory (8) ExchangeAdmin (1)ExchangeAdmin (1) ComplianceDLPSharePoint (11)ComplianceDLPSharePoint (11)
AzureActiveDirectoryAccountLogon (9)AzureActiveDirectoryAccountLogon (9) ExchangeItem (2)ExchangeItem (2) ComplianceDLPSharePointClassification (33)ComplianceDLPSharePointClassification (33)
AzureActiveDirectoryStsLogon (15)AzureActiveDirectoryStsLogon (15) Campaign (62)Campaign (62) Project (35)Project (35)
ComplianceDLPExchange (13)ComplianceDLPExchange (13) SharePoint (4)SharePoint (4)
ComplianceSupervisionExchange (68)ComplianceSupervisionExchange (68) SharePointCommentOperation (37)SharePointCommentOperation (37)
CustomerKeyServiceEncryption (69)CustomerKeyServiceEncryption (69) SharePointContentTypeOperation (55)SharePointContentTypeOperation (55)
ExchangeAggregatedOperation (19)ExchangeAggregatedOperation (19) SharePointFieldOperation (56)SharePointFieldOperation (56)
ExchangeItemAggregated (50)ExchangeItemAggregated (50) SharePointFileOperation (6)SharePointFileOperation (6)
ExchangeItemGroup (3)ExchangeItemGroup (3) SharePointListOperation (36)SharePointListOperation (36)
InformationBarrierPolicyApplication (53)InformationBarrierPolicyApplication (53) SharePointSharingOperation (14)SharePointSharingOperation (14)