Microsoft 365 Denetim Logları ve Saklama Süreleri

Denetim (Audit), Uyumluluk merkezinde bulunan ve kullanıcıların Microsoft 365 servisleri üzerinde gerçekleşen aktivitelerinin loglarını tutan bir hizmettir.

Bu servis, Standard M365 aboneliklerinde kapalı olarak gelir. Fakat Enterprise bir aboneliğiniz varsa Denetim, varsayılan olarak açık gelmektedir. Eğer Denetim kapalı ise aşağıdaki adımları izleyerek aktif hale getirebilirsiniz.

Microsoft 365 Yönetim panelinde Yönetim merkezleri başlığı altında Uyumluluk menüsüne tıklayın. Açılan pencerede Denetim seçeneğine tıklayın. Alternatif olarak https://compliance.microsoft.com/auditlogsearch adresinden de direkt olarak ulaşabilirsiniz.

Denetim’i aktif etmek için Genel yönetici olmanız yeterlidir. Fakat Genel yönetici değilseniz Uyumluluk merkezinde İzinler menüsünden hesabınıza Kuruluş yöneticisi veya Uyumluluk yöneticisi rolünü atamanız gerekir.

Gerekli izinleri atadıktan sonra eğer kuruluşunuzda Denetim aktif değilse karşınıza aşağıdaki gibi bir seçenek çıkacaktır. “Start recording user and admin activity.” / “Kullanıcı ve yönetici etkinliklerini kayıt etmeye başla”

Bu seçeneğe tıklayarak kullanıcı ve yöneticilerin desteklenen M365 servislerinde gerçekleştirdiği tüm aktiviteleri kaydedebilir ve CSV dosyası olarak dışarıya aktarabilirsiniz. Buraya tıklayarak Denetim tarafından desteklenen M365 servislerine göz atabilirsiniz. 

Not: Sisteme düşmüş bir denetim logunun silinmesi mümkün değildir.


Eğer E3, E5 gibi bir enterprise aboneliğiniz yoksa Denetim logları varsayılan saklama ilkesi olan 90 gün boyunca saklanır. Ardından yeni gelen loglar eskilerin üzerine yazılarak devam eder. Buna Temel Denetim diyebilirsiniz. Fakat E3, E5 gibi bir enterprise paketiniz varsa logları özel bir saklama ilkesi oluşturarak 1 yıl kadar saklayabilirsiniz. Buna ek olarak hali hazırda enterprise lisansı olan kullanıcıya bir uzantı lisans daha atayarak oluşturacağınız bir özel saklama ilkesi ile bu logları 10 yıla kadar saklayabilirsiniz. Bu da Gelişmiş Denetim olarak adlandırılır.

NASIL ÖZEL SAKLAMA ILKESI OLUŞTURURUM?

Uyumluluk merkezi altında Denetim menüsüne giriş yapın. Burada Denetim saklama ilkeleri başlığını göreceksiniz. Denetim saklama ilkesi oluşturma seçeneği ile devam edin.

Açılan pencerede aşağıdaki başlıkları doldurarak yeni bir saklama ilkesi oluşturabilirsiniz.

İlke Adı: İlkenin saklayacağı kayıt türleri veya süresini belirten bir isim verebilirsiniz.

Açıklama: Zorunlu olmamakla birlikte bir açıklama girebilirsiniz.

Kullanıcılar: Bu kısımda ilkenin uygulanacağı kullanıcıları seçmelisiniz. Eğer bu kutucuğu boş bırakırsanız oluşturacağınız ilke tüm kullanıcıları kapsar.

Kayıt türü: Hangi tür kayıtları saklamak istediğinize dair bir veya birden çok seçim yapmalısınız. Aşağıdaki örnekte Exchange’e dair bir kaç tür seçtim. Eğer bu kutucuğu boş bırakırsanız kullanıcılar kutucuğunu boş geçemezsiniz. İlkenin uygulanacağı kullanıcıları seçmek zorundasınız.

Süre: Denetim loglarını ne kadar süre saklayacağımıza dair seçim yapıyoruz.

Öncelik: Oluşturduğunuz ilkeye 1 daha öncelikli olmak üzere 1’den 1000’e kadar bir öncelik tanıyorsunuz. Özel olarak oluşturulmuş herhangi bir ilke her zaman varsayılan ilkeye göre öncelik olarak daha öndedir.

Aşağıda görebileceğiniz üzere özel olarak oluşturmuş olduğunuz saklama ilkelerini görebiliyoruz. Varsayılan saklama ilkesi ise denetim merkezinde görünmez.


Son olarak eğer Denetim’i kapatmak isterseniz Exchange Online Powershell’e bağlanarak aşağıdaki komutunu çalıştırmalısınız.

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

Exit mobile version