Il registro di controllo (Audit Log) aiuta a tenere traccia delle operazioni eseguite dagli amministratori e dagli utenti registrandone gli accessi, i documenti visualizzati/spostati dagli utenti e l'utilizzo delle risorse. Tale registro può essere fondamentale per indagare su incident di sicurezza o raccogliere informazioni su operazioni che vengono effettuate all'interno del sistem- L'Audit Log non è abilitato di default, per abilitarlo si può procedere tramite GUI:
- Dal Centro sicurezza e conformità di Office 365 cliccare su Ricerca quindi su Ricerca dei log di controllo;
- Un banner indica che è necessario che il controllo sia attivato per registrare l'attività dell'utente e dell'amministratore. Per attivarlo cliccare sul pulsante Attiva controllo.
In alternativa è possibile abilitare l'Audit Log mediante il seguente comando da PowerShell
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
Un messaggio ci avviserà che potrebbe essere necessario attendere fino a 60 minuti affinché le modifiche diventino effettive.
Per verificare lo stato di attivazione del Audit Log da PowerShell eseguire il comando
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled