Log de Auditoria do SharePoint Não Mostra Eventos de Download de Arquivos: O que os Proprietários de Site Devem Verificar
🔍 WiseChecker

Log de Auditoria do SharePoint Não Mostra Eventos de Download de Arquivos: O que os Proprietários de Site Devem Verificar

Você verifica o log de auditoria do SharePoint para ver quem baixou um arquivo confidencial, mas nenhum evento aparece. Esse problema geralmente ocorre porque a configuração de auditoria padrão do SharePoint não registra eventos de download de arquivos. A auditoria do Microsoft 365 deve estar habilitada e configurada para registrar a operação específica chamada FileDownloaded. Este artigo explica por que os eventos de download estão ausentes e mostra aos proprietários de site exatamente quais configurações verificar e alterar.

Principais Conclusões: Restaurando Eventos de Download de Arquivos Ausentes

  • Portal de conformidade do Microsoft Purview > Auditoria > Auditoria (Premium): Ative a auditoria para o locatário para começar a registrar todos os eventos auditáveis, incluindo downloads de arquivos.
  • Cmdlet PowerShell Search-UnifiedAuditLog: Use este comando com o parâmetro Operations definido como FileDownloaded para pesquisar eventos de download que podem não aparecer na interface web.
  • Central de administração do SharePoint > Políticas > Controle de acesso > Políticas de acesso a dispositivos: Verifique se as políticas de Acesso Condicional bloqueiam o registro de downloads para dispositivos não gerenciados.

ADVERTISEMENT

Por que os Eventos de Download de Arquivos Estão Ausentes do Log de Auditoria

O log de auditoria do SharePoint registra muitas ações do usuário, mas os eventos de download de arquivos não são capturados por padrão. A causa raiz é que a operação FileDownloaded é considerada um evento de alto volume. A Microsoft a desabilita por padrão no log de auditoria padrão (Auditoria (Padrão)) para reduzir ruído e custos de armazenamento. Apenas a Auditoria (Premium) inclui eventos FileDownloaded imediatamente.

Outra causa é que a pesquisa do log de auditoria no portal de conformidade do Microsoft Purview mostra apenas resultados dos últimos 90 dias por padrão. Se o download ocorreu fora desse período, o evento não está mais disponível. Além disso, algumas ferramentas de sincronização de terceiros ou aplicativos personalizados podem baixar arquivos usando contas de serviço que não são auditadas a menos que explicitamente configuradas.

Auditoria (Padrão) vs Auditoria (Premium)

O Microsoft 365 oferece dois níveis de auditoria. A Auditoria (Padrão) está incluída na maioria das assinaturas comerciais e registra mais de 100 tipos de eventos, mas não o FileDownloaded. A Auditoria (Premium) adiciona FileDownloaded e outros eventos de alto volume, retenção mais longa e recursos de pesquisa mais inteligentes. Proprietários de site com licença E5 ou A5 têm a Auditoria (Premium) incluída. Outros precisam adquirir uma licença complementar.

Passos para Habilitar e Verificar a Auditoria de Download de Arquivos

  1. Ative a auditoria para o locatário
    Acesse o portal de conformidade do Microsoft Purview em compliance.microsoft.com. Selecione Auditoria na navegação à esquerda. Se a auditoria ainda não estiver ativada, você verá um banner dizendo Iniciar gravação de atividade de usuário e administrador. Clique no botão Iniciar gravação. Isso ativa a Auditoria (Padrão) para todo o locatário. Aguarde até 24 horas para a configuração ser aplicada.
  2. Verifique se a Auditoria (Premium) está disponível
    Na mesma seção Auditoria, procure pela guia Auditoria (Premium). Se você não a vir, sua assinatura pode não incluí-la. Vá em Configurações > Assinatura no portal de conformidade para verificar sua licença. Apenas licenças E5, A5 e G5 incluem Auditoria (Premium) sem custo extra.
  3. Habilite o registro de FileDownloaded com PowerShell
    Abra o Exchange Online PowerShell como administrador. Execute o comando: Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true. Em seguida, execute: Set-AdminAuditLogConfig -OperationsToLog FileDownloaded. Isso garante que a operação FileDownloaded seja incluída no fluxo de auditoria. Observe que essa configuração pode levar até 30 minutos para fazer efeito.
  4. Pesquise eventos de download de arquivos
    No portal de conformidade do Microsoft Purview, vá em Auditoria > Pesquisar. Defina o filtro Atividades como Atividades de arquivo e página e selecione Arquivo baixado. Insira o intervalo de datas e o nome do usuário, se conhecido. Clique em Pesquisar. Se os eventos ainda não aparecerem, use o PowerShell: Search-UnifiedAuditLog -Operations FileDownloaded -StartDate (Get-Date).AddDays(-30) -EndDate (Get-Date).
  5. Verifique se o arquivo foi baixado de um navegador ou cliente de sincronização
    Downloads de arquivos da interface web do SharePoint são registrados como FileDownloaded. Downloads do cliente de sincronização do OneDrive são registrados como FileSyncDownloadedFull. Se você estiver pesquisando apenas por FileDownloaded, perderá eventos do cliente de sincronização. Inclua ambos os tipos de operação em sua pesquisa.

ADVERTISEMENT

Se o SharePoint Ainda Não Mostrar Eventos de Download de Arquivos

Pesquisa do log de auditoria retorna zero resultados para FileDownloaded

Se você habilitou todas as configurações, mas ainda não vê eventos, confirme se o usuário que realizou o download possui uma licença ativa do Microsoft 365. Usuários sem licença não são auditados. Verifique também se o arquivo foi baixado de um site do SharePoint configurado como Somente leitura ou Sem acesso para esse usuário. Se o download não foi bem-sucedido, o evento não é registrado.

Eventos de download de arquivos aparecem no PowerShell, mas não na interface web

A pesquisa da interface web tem um limite de 5.000 resultados por consulta. Se seu locatário tiver muitos eventos de download, a interface web pode exibir apenas um subconjunto. Use o cmdlet PowerShell Search-UnifiedAuditLog com o parâmetro -ResultSize definido como 5000 para recuperar todos os eventos correspondentes. Em seguida, filtre os resultados no Excel ou em um script.

Eventos de download de links de compartilhamento externo estão ausentes

Quando um usuário anônimo baixa um arquivo por meio de um link de compartilhamento, o evento é registrado sob a operação AnonymousLinkUsed. Não é registrado como FileDownloaded. Para capturar esses downloads, pesquise por AnonymousLinkUsed além de FileDownloaded. Eventos de link anônimo incluem o nome do arquivo e o horário do acesso.

Item Auditoria (Padrão) Auditoria (Premium)
Requisito de licença E1, E3, Business Basic, Business Standard ou equivalente E5, A5, G5 ou licença complementar
Eventos de download de arquivos (FileDownloaded) Não incluído Incluído por padrão
Período de retenção 90 dias 1 ano (até 10 anos com complemento)
Suporte a pesquisa PowerShell Sim Sim
Eventos de download de link anônimo Registrado como AnonymousLinkUsed Registrado como AnonymousLinkUsed

Agora você pode verificar a configuração de auditoria do seu locatário e ativar as configurações corretas para capturar eventos de download de arquivos. Comece verificando seu nível de licença e ativando a Auditoria (Premium), se disponível. Em seguida, use os comandos PowerShell para habilitar o registro de FileDownloaded e pesquisar eventos passados. Para downloads anônimos, lembre-se de pesquisar também pela operação AnonymousLinkUsed.

ADVERTISEMENT