จะเข้าผ่าน security.microsoft.com/auditlogsearch หรือ purview.microsoft.com/audit ก็ได้ หน้าเดียวกัน ทำงานแบบเดียวกัน ทำหน้านึง ข้อมูลโผล่อีกหน้านึงเหมือนกันค่ะ 55
ฟีเจอร์แสนรู้ ไว้เผือกยูสอื่น โดยเฉพาะเพื่อนแอดมินด้วยกันว่านางทำอะไรกันบ้าง ฟีลเหมือนชั้นเล่นซ่อนแอบจ๊ะเอ๋กับอาจารย์เคน เห็นช่วงนี้เทสอินซิเดนท์มัลติสเตจแอคแทคบ่อยเชียวนะคะพี่ชาย ไม่ชวนกันเลย 555555
ประเด็น ชั้นจำได้ตอนเคยทำสไลด์ติว SC-900 ว่าฟีเจอร์ออดิทไม่ได้เปิดโดยดีฟอลต์ ต้องเข้าไปเสิร์ชกระตุ้นมันครั้งแรกก่อน แต่ไม่รู้ตอนไหนเข้ามาอีกที ทุกดอกในเลิร์นไมโครซอฟท์บอกชั้นออน Audit Standard ให้เธอเผือกชาวบ้านได้ตั้งแต่คลอดเทนแนนท์ M365 วันแรกแล้วนะคะ
แถมขยายเวลารีเทนดีฟอลต์ขึ้นเป็น 6 เดือนให้จากเดิมสามเดือน อ้างอิงจาก Turn auditing on or off | Microsoft Learn (แต่ทำไมใน Get-AdminAuditLogConfig ยังขึ้น AgeLimit 90 วันคร้าาา 55555)
เห็นว่าถ้ายัง Retention Policy บางออดิทล็อกตามต้องการได้ยาวสุดถึง 10 ปี ต้องไลเซนส์คนรวย E5 เท่านั้นค่ะคุณ
เวลาเผือก ต้องสร้างงาน Search ก่อน เลือกเงื่อนไขช่วงเวลา ยูส ตัวกรองสารพัด โดยเฉพาะแอคทิวิตี้ละลานตา สร้างยูส ลบข้อมูลบลาๆ ตามต้องการ กด Search แล้วจะรองานละประมาณ 5–10 นาที ระหว่างนั้นถ้าใจร้อนก็ดับเบิ้ลคลิกที่เสิร์ชเนมเข้าไปดูผลการค้นหาที่ขึ้นระหว่างนั้นก่อนได้
แต่ถ้า (อาจารย์) อยากปิดฟังก์ชั่นเผือกนี้ ไม่มีปุ่มปิดบนหน้าเว็บนะคะสาว! ต้องใช้พาวเวอร์เชลล์โมดูล ExchangeOnlineManagement คอนเนกต์ Connect-ExchangeOnline แล้วสั่ง Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false เอา
(ชั้นลองแล้ว กดปิดมันขึ้น False ให้เลย แต่เซ็ตกลับเป็นทรู มันไม่เปลี่ยนกลับค่ะ ตายแหล่ว 55 แต่น่าจะรอดีเลย์ชั่วโมงอย่างว่า)
