Quando você precisa provar quem acessou, compartilhou ou excluiu um arquivo no OneDrive for Business, é necessário exportar evidências de auditoria que atendam aos padrões legais ou de conformidade. O Microsoft 365 registra cada ação no log de auditoria unificado, mas encontrar e exportar os dados corretos requer etapas específicas no portal Microsoft 365 Defender. Este artigo explica como pesquisar o log de auditoria para eventos do OneDrive, exportar os resultados para um arquivo CSV e preparar as evidências para revisão por investigadores ou equipes jurídicas.
Principais Conclusões: Como Exportar Evidências de Auditoria do OneDrive
- Portal Microsoft 365 Defender > Auditoria: O local único para pesquisar todos os eventos do OneDrive, incluindo acesso a arquivos, compartilhamento, exclusão e alterações de permissão.
- Critérios de pesquisa — Intervalo de datas, usuário, atividade e caminho do arquivo: Restrinja o log de auditoria a eventos relevantes antes de exportar para evitar sobrecarga de dados.
- Exportar > Baixar todos os resultados: Gera um arquivo CSV com todos os registros correspondentes, pronto para análise no Excel ou importação em ferramentas de eDiscovery.
O que o Log de Auditoria Unificado Captura para o OneDrive
O Microsoft 365 registra todas as atividades do OneDrive for Business no log de auditoria unificado. Esse log faz parte do Microsoft 365 Purview e armazena dados por 90 dias por padrão para usuários com licença E3 e 365 dias para licenças E5 ou complementares. Cada registro de auditoria contém o usuário que realizou a ação, o horário exato em UTC, o arquivo ou pasta afetado, o tipo de ação e o dispositivo cliente ou endereço IP.
O log de auditoria captura estes eventos do OneDrive:
Operações com Arquivos e Pastas
Todo upload, download, exclusão, renomeação, movimentação, cópia e alteração de versão é registrado. Por exemplo, FileDeletedFirstStageRecycleBin registra quando um usuário exclui um arquivo para a lixeira, e FileDeletedSecondStageRecycleBin registra a exclusão permanente da lixeira.
Alterações de Compartilhamento e Permissão
As ações de compartilhamento incluem SharingInvitationCreated quando um usuário envia um link de compartilhamento, AnonymousLinkCreated para compartilhamentos com qualquer pessoa que tenha o link, e PermissionChange quando alguém modifica os níveis de acesso. O log registra o usuário ou grupo de destino e o tipo de permissão.
Atividade de Sincronização e Cliente
Eventos como FileSyncUploadedFull e FileSyncDownloadedFull mostram quando arquivos são sincronizados a partir do cliente do OneDrive. Esses dados ajudam a verificar se um arquivo foi acessado de um dispositivo específico.
Para exportar evidências, você precisa ter a função de Logs de Auditoria no Microsoft 365 Purview. Administradores globais, administradores de conformidade e administradores de log de auditoria têm essa permissão por padrão. Usuários sem essas funções não podem pesquisar ou exportar dados de auditoria.
Etapas para Exportar Evidências de Auditoria do OneDrive no Portal Microsoft 365 Defender
Siga estas etapas para pesquisar o log de auditoria para eventos do OneDrive e exportar os resultados para um arquivo CSV. O processo leva cerca de 10 minutos para uma investigação padrão.
- Faça login no portal Microsoft 365 Defender
Abra seu navegador e acesse https://security.microsoft.com. Faça login com uma conta que tenha a função de Logs de Auditoria ou privilégios de administrador global. - Abra a página de pesquisa de Auditoria
Na navegação à esquerda, selecione Auditoria na seção Soluções. Se você não vir Auditoria, clique em Mostrar tudo na parte inferior do painel de navegação. - Defina o intervalo de datas para a investigação
No menu suspenso Intervalo de data e hora, selecione um intervalo personalizado. Para a maioria das investigações, escolha um período que cubra a janela do incidente mais um dia antes e depois. O intervalo máximo é de 90 dias para licenças padrão. - Selecione atividades específicas do OneDrive
Em Atividades, clique no menu suspenso e pesquise por Arquivo ou Compartilhamento. Marque as caixas para atividades relevantes, como FileAccessed, FileDeleted, FileModified, SharingInvitationCreated e AnonymousLinkCreated. Você pode selecionar várias atividades de uma vez. - Especifique o usuário ou caminho do arquivo
No campo Usuários, insira o endereço de email do usuário cujo OneDrive você está investigando. Para restringir a um arquivo específico, insira o caminho completo da URL no campo Arquivo, pasta ou site. O formato do caminho é https://tenant-my.sharepoint.com/personal/user_domain_com/Documents/nomedoarquivo.docx. - Execute a pesquisa
Clique em Pesquisar. O portal exibe os resultados em uma tabela abaixo do formulário de pesquisa. Os resultados podem levar até 30 minutos para aparecer para eventos recentes. - Revise os resultados da pesquisa
Examine as colunas Data, Usuário, Atividade e Item para confirmar se os registros correspondem ao escopo da sua investigação. Clique em qualquer linha para ver os detalhes completos do evento, incluindo endereço IP e aplicativo cliente. - Exporte todos os resultados para CSV
Clique no botão Exportar na parte superior do painel de resultados. Selecione Baixar todos os resultados. O portal gera um arquivo CSV chamado AuditLogSearch_yyyy-MM-dd_HHmmss.csv e o baixa para a pasta de download padrão do seu navegador. - Verifique o arquivo exportado
Abra o CSV no Excel. O arquivo contém colunas para CreationDate, UserIds, Operations, AuditData e Item. A coluna AuditData inclui detalhes em formato JSON. Use os filtros do Excel para classificar por usuário ou tipo de atividade.
Se a Exportação de Auditoria Não Contiver os Eventos Esperados
Nenhum Resultado Aparece para o Intervalo de Datas Selecionado
O log de auditoria tem um atraso de processamento de até 30 minutos para a maioria dos eventos do OneDrive. Se você estiver pesquisando eventos da última hora, aguarde 30 minutos e execute a pesquisa novamente. Para eventos com mais de 90 dias, você precisa de uma licença Microsoft 365 E5 ou de um complemento Purview Audit (Standard). Sem a retenção estendida, eventos com mais de 90 dias não estão disponíveis.
Eventos de Compartilhamento ou Permissão Ausentes
O log de auditoria registra eventos de compartilhamento apenas quando o link de compartilhamento é criado ou modificado. Se um usuário copiou um link de compartilhamento e o enviou fora do sistema, essa ação não é registrada. Para evidências completas de compartilhamento, revise também o relatório de Links de compartilhamento no centro de administração do OneDrive, em Compartilhamento > Gerenciar links de compartilhamento.
O Arquivo de Exportação Contém Muitos Eventos Irrelevantes
Use filtros mais específicos antes de exportar. Adicione o caminho exato do arquivo no campo Arquivo, pasta ou site e selecione apenas alguns tipos de atividade. Você também pode filtrar por Usuário para limitar os resultados a uma única pessoa. Executar uma pesquisa ampla e depois filtrar no Excel é mais lento e pode perder registros críticos se o tamanho da exportação exceder o limite de 50.000 linhas.
Log de Auditoria Unificado vs Relatório de Atividades do Centro de Administração do OneDrive: Comparação para Coleta de Evidências
| Item | Log de Auditoria Unificado (Microsoft 365 Defender) | Relatório de Atividades do Centro de Administração do OneDrive |
|---|---|---|
| Retenção de dados | 90 dias padrão, 365 dias com E5 ou complemento | 30 dias |
| Formato de exportação | CSV com JSON completo em AuditData | CSV com colunas limitadas |
| Tipos de atividade cobertos | Todos os eventos de arquivo, pasta, compartilhamento, sincronização e administrador | Apenas visualizações, edições, compartilhamentos e exclusões de arquivos |
| Pesquisa por usuário | Sim, por endereço de email | Sim, por nome de usuário |
| Pesquisa por caminho de arquivo | Sim, URL exata | Não |
| Endereço IP nos resultados | Incluído no JSON AuditData | Não incluído |
| Adequado para evidências legais | Sim, inclui todos os metadados | Não, detalhes insuficientes |
Para investigações que exigem evidências legalmente admissíveis, use sempre o log de auditoria unificado no portal Microsoft 365 Defender. O relatório do centro de administração do OneDrive é útil para revisões operacionais rápidas, mas não contém os metadados detalhados que auditores e equipes jurídicas exigem.
Após exportar o arquivo CSV, abra-o no Excel e use filtros para isolar eventos por usuário, data ou tipo de atividade. Converta a coluna JSON AuditData para um formato legível usando o Power Query do Excel ou o visualizador JSON em um editor de texto. Salve o arquivo limpo como uma pasta de trabalho do Excel protegida por senha para envio à equipe de investigação.
Para se preparar para investigações futuras, habilite o log de auditoria para todos os usuários no portal Microsoft 365 Defender, em Auditoria > Configurações. Verifique se pelo menos um administrador tem a função de Logs de Auditoria atribuída. Para retenção estendida, atualize para uma licença Microsoft 365 E5 ou adquira o complemento Purview Audit (Standard) para seu locatário.