Log de Auditoria Não Mostra Eventos de Download de Arquivos: Causa e Solução
🔍 WiseChecker

Log de Auditoria Não Mostra Eventos de Download de Arquivos: Causa e Solução

Você está procurando eventos de download de arquivos no log de auditoria do Microsoft 365, mas não os encontra. A pesquisa retorna resultados para uploads, exclusões e edições, mas as ações de download estão ausentes. Isso acontece porque a configuração padrão do log de auditoria não inclui as operações específicas necessárias para registrar downloads de arquivos. Este artigo explica por que os eventos de download estão ocultos e fornece as etapas exatas para habilitá-los e localizá-los.

Principais Conclusões: Eventos de Download no Log de Auditoria

  • Log de Auditoria Unificado no Microsoft 365 Defender: Os downloads de arquivos são registrados apenas se a operação FileAccessed estiver incluída na pesquisa de auditoria. Por padrão, essa operação é filtrada em algumas visualizações de pesquisa.
  • Pesquise com a operação FileAccessed: Você deve adicionar explicitamente a operação FileAccessed à sua consulta de pesquisa do log de auditoria. Pesquisas padrão por FileDownloaded não retornam resultados porque esse nome de operação não existe.
  • Habilite a auditoria para SharePoint e OneDrive: A configuração AuditLog no centro de administração do SharePoint deve estar ativada para que os eventos de download sejam capturados. Essa configuração está habilitada por padrão na maioria dos locatários, mas pode ter sido desabilitada por um administrador anterior.

ADVERTISEMENT

Por que os Eventos de Download de Arquivos Estão Ausentes do Log de Auditoria

A causa raiz é uma incompatibilidade de nomenclatura. Muitos administradores presumem que os downloads de arquivos são registrados sob uma operação chamada FileDownloaded. O Microsoft 365 não usa esse nome. Em vez disso, o log de auditoria registra downloads de arquivos sob a operação FileAccessed. A operação FileAccessed é acionada sempre que um usuário abre, visualiza ou baixa um arquivo do SharePoint ou OneDrive. Se você pesquisar por FileDownloaded, o log de auditoria retorna zero resultados porque essa operação não existe.

Uma segunda causa é o escopo da pesquisa do log de auditoria. A pesquisa padrão no portal do Microsoft 365 Defender pode não incluir FileAccessed na lista pré-populada de atividades. Os usuários devem adicionar manualmente essa operação à consulta de pesquisa. Sem ela, os eventos de download permanecem ocultos, mesmo que estejam sendo registrados.

Uma terceira causa é a configuração de auditoria no lado do SharePoint. O centro de administração do SharePoint possui uma configuração chamada Audit log trimming e uma alternância separada para Audit log nas configurações do locatário. Se a auditoria estiver desabilitada para o SharePoint, nenhum evento de acesso a arquivos é enviado ao log de auditoria unificado. Essa configuração está habilitada por padrão, mas um administrador do locatário pode tê-la desligado durante uma limpeza de segurança.

Etapas para Habilitar e Encontrar Eventos de Download de Arquivos

  1. Verifique se a auditoria está habilitada para o SharePoint
    Abra o centro de administração do SharePoint em https://admin.microsoft.com/SharePoint. Vá para Políticas > Compartilhamento e clique em Log de auditoria na navegação à esquerda. Certifique-se de que a alternância para Log de auditoria esteja definida como Ativado. Se estiver desativado, ative-o e clique em Salvar.
  2. Acesse o log de auditoria do Microsoft 365 Defender
    Navegue até https://security.microsoft.com/auditlogsearch. Faça login com uma conta que tenha a função Log de Auditoria ou Administrador Global.
  3. Selecione o intervalo de datas correto
    No campo Data, escolha o intervalo que cobre o período em que o download do arquivo ocorreu. Os logs de auditoria retêm dados por 90 dias para licenças Microsoft 365 E3 e até um ano para licenças E5.
  4. Adicione a operação FileAccessed
    Clique no menu suspenso Atividades. Na caixa de pesquisa dentro do menu suspenso, digite FileAccessed. Marque a caixa de seleção ao lado de FileAccessed na lista. Não pesquise por FileDownloaded porque ele não existe.
  5. Filtre por usuários ou arquivos específicos (opcional)
    No campo Usuários, insira o nome de usuário da pessoa que realizou o download. No campo Arquivo, insira o nome do arquivo ou parte dele. Esses filtros restringem os resultados.
  6. Execute a pesquisa
    Clique em Pesquisar. A lista de resultados mostra cada evento FileAccessed. Para ver os detalhes, clique na entrada do evento. No painel de detalhes, procure por Tipo de item e Operação. A operação será FileAccessed. O Tipo de item será Arquivo. Role para baixo até Itens afetados para ver o caminho exato do arquivo.

ADVERTISEMENT

Se o Log de Auditoria Ainda Não Mostrar Eventos de Download

A pesquisa não retorna nenhum evento FileAccessed

Se a pesquisa retornar zero resultados para FileAccessed, a auditoria pode estar completamente desabilitada no nível do locatário. Vá para Microsoft 365 Defender > Auditoria > Log de auditoria. Procure por um banner que diga A auditoria está desativada. Se você o vir, clique em Começar a gravar atividade de usuário e administrador. Isso ativa a auditoria para todo o locatário. As alterações entram em vigor em até 30 minutos.

Eventos de download de arquivos aparecem, mas faltam detalhes

Alguns eventos de download mostram apenas um GUID no caminho do arquivo em vez do nome real do arquivo. Isso ocorre quando o arquivo é baixado de um site do SharePoint que usa Controle de versão com Exigir check-out habilitado. O GUID é o identificador interno da versão do arquivo. Para ver o nome real do arquivo, abra os detalhes do evento e procure por SourceFileName na seção Propriedades adicionais.

Downloads em massa do cliente de sincronização do SharePoint não são registrados

Quando um usuário sincroniza uma biblioteca do SharePoint com o cliente de sincronização do OneDrive, a sincronização inicial gera muitos eventos FileAccessed. No entanto, as operações de sincronização subsequentes que baixam apenas alterações de metadados não acionam FileAccessed. Isso é proposital. Apenas os downloads reais de conteúdo de arquivo são registrados. Para verificar um download de sincronização, verifique os eventos de Sincronização no log de auditoria sob a operação FileSyncDownloadedFull.

FileAccessed vs FileDownloaded: Comparação de Nomes de Operação

Item FileAccessed FileDownloaded
Existe no log de auditoria Sim Não
Registra downloads de arquivos Sim N/A
Registra visualizações de arquivos Sim N/A
Registra aberturas de arquivos Sim N/A
Pesquisável no Defender Sim, se adicionado manualmente Nenhum resultado retornado

Use FileAccessed em todas as pesquisas do log de auditoria para capturar eventos de download. Não use FileDownloaded porque nunca retornará resultados.

Conclusão

Agora você pode encontrar eventos de download de arquivos pesquisando o log de auditoria pela operação FileAccessed. Verifique se a auditoria está habilitada no centro de administração do SharePoint em Políticas > Log de auditoria. Se as pesquisas não retornarem resultados, ative a auditoria em todo o locatário no Microsoft 365 Defender. Para filtragem avançada, use o campo SourceFileName nos detalhes do evento para identificar arquivos baixados de bibliotecas com controle de versão. Essa abordagem oferece visibilidade completa sobre a atividade de acesso e download de arquivos no SharePoint e OneDrive.

ADVERTISEMENT