Você percebe que eventos de auditoria do OneDrive, como acesso, compartilhamento ou exclusão de arquivos, levam horas ou até dias para aparecer no portal de conformidade do Microsoft Purview. Esse atraso impede o monitoramento em tempo real e a resposta rápida a comportamentos suspeitos. A causa raiz quase sempre é uma combinação de latência de replicação de dados, limitação do log de auditoria ou configurações incorretas de retenção e licenciamento. Este artigo explica por que os eventos de auditoria do OneDrive chegam atrasados no Purview e fornece as etapas exatas para reduzir ou eliminar o atraso.
Principais Conclusões: Reduza a Latência dos Eventos de Auditoria do OneDrive no Purview
- Central de administração do Microsoft 365 > Auditoria > Log de auditoria: Verifique as políticas atuais de retenção e limitação de auditoria que afetam a velocidade de ingestão de eventos do OneDrive.
- Portal de conformidade do Purview > Soluções de auditoria > Políticas de auditoria: Confirme se o log de auditoria do OneDrive está ativado e configurado para registrar todos os tipos de atividade sem filtragem.
- Cmdlet PowerShell Search-UnifiedAuditLog -StartDate: Consulte os eventos de auditoria diretamente para comparar os carimbos de data/hora e identificar o período real de atraso.
Por que os Eventos de Auditoria do OneDrive Chegam Atrasados no Purview
O Microsoft Purview ingere eventos de auditoria do OneDrive por meio de um pipeline de vários estágios. Quando um usuário realiza uma ação no OneDrive, o evento é registrado nos logs de serviço do OneDrive. Esses logs são então replicados para a infraestrutura de log de auditoria unificada, que aplica indexação, deduplicação e enriquecimento antes de disponibilizar os eventos no portal do Purview. Esse pipeline introduz um atraso base de 30 a 60 minutos para a maioria dos eventos. No entanto, atrasos de várias horas ou dias indicam uma das seguintes causas raiz:
Limitação do Log de Auditoria
A Microsoft aplica limitação na ingestão do log de auditoria para evitar abusos e manter a estabilidade do serviço. A limitação é acionada quando um locatário gera um grande volume de eventos de auditoria em um curto período. Isso ocorre comumente durante migrações em massa de arquivos, operações de compartilhamento em lote ou processos de backup automatizados que varrem milhares de arquivos. Quando a limitação está ativa, os eventos são enfileirados e processados em lotes, o que pode atrasar sua aparição no Purview em até 24 horas.
Latência de Replicação de Dados entre Regiões
Se o seu locatário está hospedado em uma região geográfica, mas a instância do Purview está em uma região diferente, os eventos de auditoria precisam percorrer pipelines de replicação entre regiões. Isso adiciona latência significativa. Por exemplo, um locatário na Europa com Purview na América do Norte experimentará atrasos maiores do que um locatário onde ambos os serviços estão na mesma região.
Retenção ou Licenciamento Incorreto do Log de Auditoria
A retenção do log de auditoria do Purview está vinculada ao tipo de licença. As licenças E3 retêm logs de auditoria por 90 dias, enquanto as licenças E5 oferecem 365 dias de retenção. Se sua licença não incluir o período de retenção necessário, os eventos podem ser descartados ou atrasados durante o processamento. Além disso, se o log de auditoria não estiver ativado especificamente para a carga de trabalho do OneDrive, os eventos não aparecerão, mas atrasos também podem ocorrer se a carga de trabalho estiver configurada incorretamente na política de auditoria.
Etapas para Diagnosticar e Corrigir a Latência dos Eventos de Auditoria do OneDrive
Siga estas etapas para identificar a origem do atraso e aplicar a correção adequada. As etapas estão ordenadas da mais simples à mais avançada.
Etapa 1: Verifique se o Log de Auditoria está Ativado para o OneDrive
- Abra o portal de conformidade do Microsoft Purview
Acesse https://compliance.microsoft.com e faça login com uma conta que tenha a função de Log de Auditoria ou Administrador de Conformidade. - Navegue até Soluções de auditoria > Políticas de auditoria
Na navegação à esquerda, selecione Auditoria em Soluções e clique em Políticas de auditoria. - Verifique o status da carga de trabalho do OneDrive
Na seção Cargas de trabalho, confirme se OneDrive está listado e o status mostra Ativado. Se não estiver ativado, clique em Ativar e aguarde 10 minutos antes de testar novamente.
Etapa 2: Verifique o Status Atual de Limitação
- Conecte-se ao Exchange Online PowerShell
Abra o Windows PowerShell como administrador e executeConnect-ExchangeOnline. Faça login com suas credenciais de administrador do locatário. - Execute o cmdlet de diagnóstico de limitação
ExecuteGet-ThrottlingPolicye procure pela propriedade AuditLogIngestThrottle. O valor padrão é 1000 eventos por minuto. Se o valor for menor, a limitação está sendo aplicada agressivamente. - Verifique se há limitação ativa
ExecuteGet-ThrottlingPolicy | fl throttlee examine os valores de AuditLogIngestThrottle e AuditLogIngestMaxBurst. Se esses valores estiverem abaixo do padrão, entre em contato com o Suporte da Microsoft para solicitar um aumento de limite.
Etapa 3: Consulte os Eventos de Auditoria Diretamente para Medir a Latência
- Realize uma ação de teste no OneDrive
Crie um novo arquivo no OneDrive e anote o horário exato. Por exemplo, crie um arquivo chamado TestAuditDelay.txt às 10:00. - Pesquise o log de auditoria unificado com PowerShell
ExecuteSearch-UnifiedAuditLog -StartDate (Get-Date).AddHours(-2) -EndDate (Get-Date) -Operations FileCreated. Isso recupera todos os eventos de criação de arquivo das últimas duas horas. - Compare o carimbo de data/hora do evento com o horário real da ação
Na saída, procure pela propriedade CreationTime. Se o evento aparecer às 10:45 para um arquivo criado às 10:00, o atraso é de 45 minutos. Atrasos acima de 60 minutos exigem investigação adicional.
Etapa 4: Ajuste as Configurações de Retenção do Log de Auditoria
- Abra as configurações de retenção de auditoria do Purview
No portal do Purview, vá para Auditoria > Retenção de auditoria. - Verifique o período de retenção
Se sua licença suportar retenção de 365 dias, defina a retenção para 365. Se sua licença suportar apenas 90 dias, considere atualizar para uma licença E5 para retenção mais longa e processamento mais rápido de eventos. - Salve as alterações
Clique em Salvar e aguarde 30 minutos para a configuração se propagar.
Se os Eventos de Auditoria do OneDrive Ainda Chegarem Atrasados
Eventos de Auditoria Estão Totalmente Ausentes
Se os eventos nunca aparecerem, verifique o filtro RecordType na Pesquisa de log de auditoria do Purview. Defina como SharePoint, pois os eventos de auditoria do OneDrive são classificados sob o tipo de registro do SharePoint. Verifique também se o usuário que realizou a ação possui uma licença adequada que inclua o log de auditoria.
Eventos Chegam, mas Estão Incompletos
Quando os eventos chegam, mas faltam detalhes como o nome do usuário ou o caminho do arquivo, o problema geralmente é uma política de auditoria mal configurada. Vá para Auditoria > Políticas de auditoria > Cargas de trabalho e certifique-se de que OneDrive está configurado para registrar Todos os tipos de atividade, em vez de um subconjunto. Se você tiver políticas de auditoria personalizadas, remova quaisquer filtros que possam excluir operações específicas.
Limitação Persiste Após Solicitar um Aumento
Se você solicitou um aumento de limite ao Suporte da Microsoft, mas os atrasos continuam, o problema pode ser um backlog no pipeline do log de auditoria em todo o locatário. Peça ao Suporte para executar uma verificação de integridade no serviço de ingestão do log de auditoria para seu locatário. Eles podem identificar se há uma interrupção regional ou uma degradação conhecida do serviço que afeta o processamento de eventos.
Atraso do Evento de Auditoria do OneDrive vs. Alertas em Tempo Real: Principais Diferenças
| Item | Evento de Auditoria Padrão no Purview | Política de Alerta em Tempo Real |
|---|---|---|
| Descrição | Registra todas as ações do OneDrive e as disponibiliza no log de auditoria | Dispara um e-mail ou notificação imediatamente quando uma ação específica ocorre |
| Atraso típico | 30 a 60 minutos como base; até 24 horas sob limitação | Dentro de 5 minutos após a ação |
| Local de configuração | Purview > Auditoria > Pesquisa de log de auditoria | Purview > Alertas > Políticas de alerta |
| Melhor para | Investigação forense, relatórios de conformidade e análise histórica | Resposta imediata a ações sensíveis, como exclusão de arquivos ou compartilhamento externo |
Se você precisa de visibilidade quase instantânea de eventos críticos do OneDrive, crie políticas de alerta no Purview em vez de depender apenas do log de auditoria. As políticas de alerta ignoram o pipeline de ingestão padrão e enviam notificações em minutos após a ação de acionamento. Essa abordagem não substitui o log de auditoria para fins de conformidade, mas fornece a velocidade necessária para resposta a incidentes.
Para criar uma política de alerta, vá para Purview > Alertas > Políticas de alerta e clique em + Nova política de alerta. Selecione OneDrive como a carga de trabalho, escolha a atividade específica, como Arquivo excluído, e defina o método de notificação como e-mail. Isso fornece uma notificação em tempo real enquanto o log de auditoria atualiza com os detalhes completos do evento.