Como administrador do OneDrive for Business, você precisa rastrear acesso a arquivos, eventos de compartilhamento e ações de usuários em todo o locatário. O Microsoft Purview fornece um log de auditoria unificado que captura toda a atividade do OneDrive, mas encontrar os eventos certos entre milhares de registros pode ser demorado. Este artigo explica como usar o portal de conformidade do Microsoft Purview para pesquisar, filtrar e exportar logs de atividade do OneDrive. Você aprenderá as etapas exatas para localizar operações específicas de arquivos, eventos de compartilhamento e atividade de sincronização sem sair da interface do Purview.
Principais Conclusões: Auditoria de Ações do OneDrive no Microsoft Purview
- Portal de conformidade do Microsoft Purview > Auditoria > Pesquisar: Local central para pesquisar todas as atividades de arquivos e pastas do OneDrive em todo o locatário.
- Filtrar por Carga de Trabalho = OneDrive: Restringir os resultados da auditoria apenas a eventos do OneDrive, excluindo registros do SharePoint e Exchange.
- Exportar resultados da auditoria para CSV: Baixar os resultados da pesquisa para análise offline, relatórios ou retenção de longo prazo.
O que os Logs de Auditoria do Microsoft Purview Capturam para o OneDrive
O Microsoft Purview Audit (Standard) e Audit (Premium) registram cada ação do usuário realizada em arquivos e pastas armazenados no OneDrive for Business. O log de auditoria captura eventos como arquivo visualizado, arquivo modificado, arquivo excluído, arquivo compartilhado externamente, link criado, link usado e atividade de sincronização. Cada evento inclui o usuário que executou a ação, o carimbo de data/hora exato, o caminho do arquivo, o endereço IP do dispositivo cliente e o nome detalhado da operação.
Antes de pesquisar logs de auditoria, verifique se a auditoria está habilitada para seu locatário do Microsoft 365. O log de auditoria é ativado por padrão para todas as organizações com uma licença elegível. Você precisa da função Audit Log no Microsoft Purview ou da função View-Only Audit Logs para acessar a página de pesquisa de auditoria. Usuários com licenças do Exchange Online, SharePoint Online ou OneDrive for Business podem ser auditados. Os registros de auditoria são retidos por 90 dias para Audit (Standard) e até um ano para Audit (Premium).
Licenças e Permissões Necessárias
Para revisar a atividade do OneDrive no Microsoft Purview, você deve ter uma das seguintes assinaturas do Microsoft 365: E3, E5, A3, A5, G3, G5 ou Business Premium. Os recursos do Audit (Premium) exigem uma licença E5 ou A5. Você também precisa da função Audit Log atribuída no portal de conformidade do Microsoft Purview. Os Administradores Globais têm essa função por padrão.
Etapas para Pesquisar Atividade do OneDrive no Microsoft Purview
Estas etapas mostram como executar uma pesquisa de auditoria direcionada para eventos do OneDrive. O processo leva cerca de cinco minutos.
- Abra o portal de conformidade do Microsoft Purview
Entre em https://compliance.microsoft.com com suas credenciais de administrador. Na navegação à esquerda, selecione Auditoria na seção Soluções. A página de pesquisa de auditoria é aberta. - Defina o intervalo de datas
Na guia Pesquisar, clique no campo Intervalo de data e hora. Selecione uma data de início e término. Os registros de auditoria estão disponíveis por até 90 dias para Audit (Standard) ou até um ano para Audit (Premium). Para um teste rápido, defina o intervalo para as últimas 24 horas. - Filtre por carga de trabalho
Clique em Carga de trabalho e selecione OneDrive no menu suspenso. Isso exclui SharePoint, Exchange, Azure AD e outras cargas de trabalho. Você também pode deixar o padrão Mostrar resultados para todas as cargas de trabalho se quiser uma visão mais ampla. - Adicione filtros de atividade específicos
Clique em Atividades para restringir a pesquisa. Digite uma palavra-chave como FileModified, FileDeleted, Sharing ou Sync. Selecione uma ou mais atividades na lista. Por exemplo, escolha Arquivo modificado para ver todas as edições feitas em arquivos no OneDrive. - Insira um usuário ou caminho de arquivo
No campo Usuários, digite o endereço de email do usuário cuja atividade você deseja revisar. Deixe em branco para ver atividades de todos os usuários. No campo Arquivo, pasta ou site, você pode inserir um nome de arquivo parcial ou URL do OneDrive para filtrar os resultados para um local específico. - Execute a pesquisa
Clique em Pesquisar na parte inferior da página. O Purview exibe uma lista de registros de auditoria correspondentes. Cada linha mostra a data, o usuário, a atividade, o item e a carga de trabalho. Clique em qualquer linha para ver os detalhes completos do evento no painel de detalhes. - Exporte os resultados
Para baixar os resultados da pesquisa como um arquivo CSV, clique em Exportar no topo da página de resultados. Escolha Exportar todos os resultados ou Exportar resultados exibidos. O arquivo CSV inclui todas as colunas visíveis nos resultados da pesquisa, além de campos adicionais como ClientIPAddress, CreationTime, Operation e ObjectId.
Erros Comuns ao Revisar a Atividade do OneDrive
Mesmo com as permissões corretas, os administradores frequentemente perdem eventos relevantes ou produzem relatórios incompletos. Aqui estão os erros mais frequentes e como evitá-los.
Pesquisar sem um Filtro de Carga de Trabalho
Se você não selecionar OneDrive como a carga de trabalho, a pesquisa de auditoria retorna registros do SharePoint, Exchange e Teams. Os eventos do OneDrive são misturados com outros dados, dificultando o isolamento de ações em nível de arquivo. Sempre aplique o filtro de Carga de trabalho para OneDrive quando precisar apenas da atividade do OneDrive.
Usar Nomes de Atividade Incorretos
O menu suspenso Atividades usa nomes de operação internos como FileModified, FileDeleted e SharingInvitationCreated. Digitar um termo genérico como edit ou share não retorna correspondências. Use a caixa de pesquisa dentro do campo Atividades para encontrar o nome exato da operação. Como alternativa, deixe o campo Atividades em branco para ver todos os eventos do OneDrive.
Não Especificar um Usuário ou Caminho de Arquivo
Uma pesquisa sem usuário e sem caminho de arquivo retorna todos os eventos do OneDrive no intervalo de datas. Para um locatário com muitos usuários, isso pode produzir milhares de registros. Para reduzir o ruído, sempre insira pelo menos um email de usuário ou um nome de arquivo parcial. Você pode combinar ambos os filtros para obter os resultados mais precisos.
Exportar Apenas os Resultados Exibidos
A página de pesquisa de auditoria mostra até 5000 registros por página. Se você clicar em Exportar resultados exibidos, baixa apenas a página atual. Para uma exportação completa, escolha Exportar todos os resultados. Esta opção baixa todos os registros correspondentes até o limite de retenção.
Audit (Standard) vs Audit (Premium): Principais Diferenças para Atividade do OneDrive
| Item | Audit (Standard) | Audit (Premium) |
|---|---|---|
| Período de retenção | 90 dias | 1 ano (até 10 anos com complemento) |
| Tipos de evento | Operações CRUD principais (visualizar, editar, excluir, compartilhar) | Todos os eventos Standard mais pesquisa de conteúdo, atividade de sincronização e uso de link de compartilhamento |
| Largura de banda por registro | Detalhes básicos do evento (usuário, hora, operação, ID do arquivo) | Detalhes completos do evento, incluindo dispositivo cliente, navegador e versão do arquivo |
| Formato de exportação | CSV com colunas padrão | CSV com colunas estendidas (ClientIPAddress, ClientDevice, etc.) |
Após concluir sua pesquisa de auditoria, você pode baixar o arquivo CSV e abri-lo no Excel para análise adicional. Use filtros no Excel para agrupar eventos por usuário, data ou tipo de operação. Por exemplo, você pode criar uma tabela dinâmica para mostrar quantos arquivos cada usuário modificou nos últimos 30 dias.
Para automatizar auditorias recorrentes, salve sua consulta de pesquisa no Purview clicando no botão Salvar na página de pesquisa de auditoria. Você pode então executar a pesquisa salva sob demanda ou agendá-la através do centro de administração do Microsoft 365. Isso economiza tempo quando você precisa revisar a atividade do OneDrive semanalmente ou mensalmente.
Uma dica avançada é usar a Audit Log Search Graph API para recuperar programaticamente registros de auditoria do OneDrive. Isso permite integrar dados de auditoria em seus próprios painéis de relatórios ou ferramentas SIEM sem exportar CSVs manualmente cada vez.