Ao executar uma pesquisa de auditoria no portal de conformidade do Microsoft 365 Purview, você espera ver todas as atividades do usuário, incluindo eventos de visualização de arquivos do OneDrive. No entanto, muitos administradores descobrem que eventos como FilePreviewed ou Preview estão ausentes nos resultados do log de auditoria. Isso acontece porque a Microsoft não registra atividades de visualização de arquivos no log de auditoria unificado por padrão. Este artigo explica por que os eventos de visualização estão ausentes, como confirmar sua configuração de auditoria e quais métodos alternativos você pode usar para rastrear o comportamento de visualização.
Principais Conclusões: Pesquisa de Auditoria do OneDrive e Eventos de Visualização de Arquivos
- Portal de conformidade do Microsoft 365 Purview > Auditoria > Pesquisa de log de auditoria: Eventos de visualização de arquivos como FilePreviewed não são registrados no log de auditoria unificado para arquivos do OneDrive.
- Centro de administração do Microsoft 365 > Configurações > Configurações da organização > Segurança e Privacidade > Log de auditoria: O log de auditoria deve estar ativado para que qualquer atividade do usuário seja capturada, mas os eventos de visualização permanecem excluídos independentemente dessa configuração.
- Microsoft Graph API > auditLog.query: Você pode usar a Graph API para consultar logs de auditoria do SharePoint Online, mas os eventos de visualização ainda não são incluídos na resposta.
Por que a Pesquisa de Auditoria do OneDrive Não Mostra Eventos de Visualização de Arquivos
O log de auditoria unificado no Microsoft 365 captura uma ampla gama de atividades de usuários e administradores no Exchange Online, SharePoint Online, OneDrive, Azure Active Directory e outros serviços. No entanto, a Microsoft exclui intencionalmente certos eventos de baixo valor ou alto volume do log de auditoria para reduzir ruído e custos de armazenamento. Eventos de visualização de arquivos se enquadram nessa categoria. Quando um usuário abre um arquivo no aplicativo web do OneDrive ou no cliente de sincronização do OneDrive sem baixá-lo ou editá-lo, o sistema não gera um evento de visualização que apareça no log de auditoria. A causa raiz técnica é que o esquema de auditoria para OneDrive e SharePoint Online não inclui uma operação FilePreviewed. A única maneira de ver a atividade de visualização é por meio de telemetria do lado do cliente ou ferramentas de monitoramento de terceiros que capturam requisições de rede.
O que o Log de Auditoria Realmente Registra para Arquivos do OneDrive
O log de auditoria unificado registra os seguintes eventos do OneDrive: FileUploaded, FileDownloaded, FileDeleted, FileModified, FileRenamed, FileMoved, FileCopied, FileCheckedIn, FileCheckedOut, FileVersionRestored e eventos de compartilhamento como SharingInvitationCreated e SharingLinkCreated. Nenhum desses eventos indica que um usuário apenas visualizou um arquivo sem realizar uma ação. Se você pesquisar por “Preview” na lista de Atividades da ferramenta de pesquisa de log de auditoria, verá opções para visualizações de caixa de correio do Exchange Online e visualizações de página do SharePoint Online, mas não para visualizações de arquivos do OneDrive.
Passos para Verificar a Configuração do Log de Auditoria para o OneDrive
Antes de concluir que os eventos de visualização estão ausentes, confirme se o log de auditoria está ativado e se seus parâmetros de pesquisa estão corretos. Siga estes passos.
- Ativar o log de auditoria no centro de administração do Microsoft 365
Entre no centro de administração do Microsoft 365 em admin.microsoft.com. Vá para Configurações > Configurações da organização > Segurança e Privacidade. Em Log de auditoria, certifique-se de que a alternância para Ativar auditoria no Microsoft 365 esteja ativada. Essa configuração deve estar ativada para que qualquer evento de auditoria seja capturado. - Executar uma pesquisa de log de auditoria para eventos conhecidos do OneDrive
No portal de conformidade do Microsoft 365 Purview em compliance.microsoft.com, vá para Auditoria > Pesquisa de log de auditoria. Defina o intervalo de datas para os últimos 7 dias. No campo Atividades, selecione Atividades de arquivo e página e depois escolha Arquivo baixado. Insira um nome de usuário e uma URL de site do OneDrive nos campos de pesquisa. Clique em Pesquisar. Se resultados aparecerem, o log de auditoria funciona para o OneDrive. Se nenhum resultado aparecer, o log de auditoria pode estar desativado ou o usuário não realizou nenhuma atividade registrada. - Pesquisar especificamente por atividades relacionadas à visualização
Na mesma ferramenta de pesquisa de log de auditoria, no campo Atividades, digite a palavra “preview” para ver as opções de atividade de visualização disponíveis. A lista mostrará Item visualizado na caixa de correio do Exchange, Página visualizada (para páginas modernas do SharePoint) e Documento visualizado (para visualizações de documentos do SharePoint Online no navegador). Não há opção para visualização de arquivos do OneDrive. Selecione Documento visualizado e execute a pesquisa. Quaisquer resultados serão do SharePoint Online, não do OneDrive for Business. - Verificar o log de auditoria para um arquivo específico do OneDrive usando PowerShell
Abra o módulo PowerShell do Exchange Online. Conecte-se comConnect-ExchangeOnline. Execute o seguinte comando para pesquisar todas as atividades de arquivo para um usuário específico nas últimas 24 horas:Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-1) -EndDate (Get-Date) -Operations FileDownloaded,FileUploaded -UserIds user@domain.com. Revise a saída. Nenhum evento de visualização aparecerá porque eles não são registrados.
Se Você Precisar Rastrear a Atividade de Visualização de Arquivos
Como o log de auditoria unificado não captura eventos de visualização de arquivos do OneDrive, você deve usar métodos alternativos para rastrear essa atividade. As abordagens a seguir fornecem níveis variados de detalhes.
Usar Análises e Relatórios de Uso do Microsoft 365
O centro de administração do Microsoft 365 fornece relatórios de uso que mostram contagens de visualização de arquivos em nível agregado. Vá para Relatórios > Uso > OneDrive > Arquivos. O relatório mostra o número de arquivos visualizados ou editados, mas não distingue entre visualizações e aberturas completas. Esses dados são baseados em telemetria do cliente, não em logs de auditoria.
Ativar Eventos de Visualização de Página do SharePoint Online (Não Visualização de Arquivos)
Se você precisar rastrear visualizações de páginas modernas do SharePoint Online, pode ativar a auditoria de visualização de página no centro de administração do SharePoint. Vá para Centro de administração do SharePoint > Políticas > Controle de acesso > Visualização de página. Essa configuração registra quando os usuários visualizam uma página moderna do SharePoint, não um arquivo do OneDrive. Isso não ajuda no rastreamento de visualização de arquivos do OneDrive.
Usar uma Ferramenta de Monitoramento de Terceiros
Ferramentas de segurança e conformidade de terceiros, como Varonis, Proofpoint ou Microsoft Sentinel com conectores de dados personalizados, podem capturar eventos de visualização de arquivos monitorando o tráfego de rede ou a telemetria do lado do cliente. Essas ferramentas podem analisar as requisições HTTP que ocorrem quando um usuário visualiza um arquivo no navegador. Este é o único método confiável para obter dados de auditoria de visualização por usuário e por arquivo para o OneDrive.
Considerar Logs de Acesso a Arquivos via Microsoft Graph API
A Microsoft Graph API para SharePoint Online fornece acesso a logs de acesso a arquivos por meio do endpoint sites/{site-id}/lists/{list-id}/items/{item-id}/activities. Esse endpoint retorna atividades como view, edit, delete e move. A atividade view inclui tanto visualizações quanto aberturas completas no navegador. No entanto, essa API cobre apenas sites do SharePoint Online, não sites pessoais do OneDrive. Para o OneDrive, você deve usar o endpoint /users/{user-id}/drive/items/{item-id}/activities, que também retorna atividades view. Teste este endpoint com um usuário que visualizou recentemente um arquivo. A resposta pode incluir uma atividade view, mas a Microsoft não garante que todas as visualizações sejam capturadas, e a API possui limites de limitação.
Eventos de Auditoria do OneDrive vs Eventos de Auditoria do SharePoint: O Que é Registrado
| Item | OneDrive for Business | SharePoint Online |
|---|---|---|
| Upload de arquivo | Registrado como FileUploaded | Registrado como FileUploaded |
| Download de arquivo | Registrado como FileDownloaded | Registrado como FileDownloaded |
| Visualização de arquivo no navegador | Não registrado | Não registrado para documentos; registrado para páginas modernas como PreviewedPage |
| Edição de arquivo | Registrado como FileModified | Registrado como FileModified |
| Exclusão de arquivo | Registrado como FileDeleted | Registrado como FileDeleted |
| Compartilhamento de arquivo | Registrado como SharingInvitationCreated ou SharingLinkCreated | Registrado como SharingInvitationCreated ou SharingLinkCreated |
| Sincronização de arquivo | Não registrado no log de auditoria unificado | Não registrado no log de auditoria unificado |
Agora você pode confirmar que a pesquisa de auditoria do OneDrive não mostra eventos de visualização de arquivos porque a Microsoft os exclui do log de auditoria unificado. Para rastrear a atividade de visualização, use o endpoint de atividade view da Microsoft Graph API para itens do OneDrive ou implante uma ferramenta de monitoramento de terceiros. Uma dica avançada: configure o Microsoft Sentinel com o conector do Office 365 e crie uma regra de análise personalizada que analise a atividade view da Graph API para gerar alertas quando arquivos confidenciais forem visualizados.