The Search-UnifiedAuditLog cmdlet gives administrators in your organization access to critical audit log event data to gain insights and further investigate user activities. Microsoft had introduced a new HighCompleteness parameter in this cmdlet in April 2024 that allowed customers to toggle between prioritizing completeness of search results and performance. When the HighCompleteness parameter is set to true, the search query returns a more complete set of search results, but the query may take a longer time to finish. When set to false, the query runs faster but only returns a subset of results. We recommended setting the parameter to true in scenarios where a complete list of search results was required. 

To improve our customers’ visibility into their security logging and reduce instances of customers missing out on important audit records in their search results, we are now changing the behavior of the HighCompleteness parameter. Previously, customers could toggle the parameter between true or false. With this change, the HighCompleteness parameter will always be set to true. 

[When this will happen:]

General Availability (Worldwide, GCC, GCC-High, DoD): Starting late January 2025, for all search queries submitted via the Search-UnifiedAuditLog cmdlet, the value of the HighCompleteness parameter will be set to true. 

[How this will affect your organization:]

The HighCompleteness parameter in the Search-UnifiedAuditLog cmdlet will now be set to true for all queries. With this change, the cmdlet will now prioritize completeness of search results over performance. As a result, search queries may take longer to finish. 

[What you can do to prepare:]

You could also consider using our new Audit Search Graph API for programmatic access to audit logs. This API is now Generally Available to all our Worldwide and Gov customers.

Learn more about Purview Audit: Learn about auditing solutions in Microsoft Purview | Microsoft Learn

Learn more about the Search-UnifiedAuditLog cmdlet: Search-UnifiedAuditLog (ExchangePowerShell) | Microsoft Learn

Search-UnifiedAuditLog コマンドレットを使用すると、組織内の管理者は重要な監査ログ イベント データにアクセスして、分析情報を取得し、ユーザー アクティビティをさらに調査できます。Microsoft は 2024 年 4 月にこのコマンドレットに新しい HighCompleteness パラメーターを導入し、お客様が検索結果の完全性とパフォーマンスの優先順位を切り替えられるようにしました。HighCompleteness パラメーターを true に設定すると、検索クエリはより完全な検索結果のセットを返しますが、クエリの完了に時間がかかる場合があります。false に設定すると、クエリの実行速度は速くなりますが、結果のサブセットのみが返されます。検索結果の完全なリストが必要なシナリオでは、パラメーターを true に設定することをお勧めします。 

お客様のセキュリティ ログの可視性を向上させ、検索結果で重要な監査レコードを見逃すお客様の事例を減らすために、HighCompleteness パラメーターの動作を変更しています。以前は、お客様はパラメーターを true または false の間で切り替えることができました。この変更により、HighCompleteness パラメータは常に true に設定されます。 

[これがいつ起こるか:]

一般提供 (全世界、GCC、GCC-High、DoD): 2025 年 1 月下旬以降、Search-UnifiedAuditLog コマンドレットを介して送信されたすべての検索クエリについて、HighCompleteness パラメーターの値が true に設定されます。 

[これがあなたの組織にどのように影響しますか:]

Search-UnifiedAuditLog コマンドレットの HighCompleteness パラメーターが、すべてのクエリで true に設定されるようになりました。この変更により、コマンドレットはパフォーマンスよりも検索結果の完全性を優先するようになりました。その結果、検索クエリの完了に時間がかかる場合があります。 

【準備するためにできること:】

また、新しい 監査検索グラフ API を使用して、監査ログにプログラムでアクセスすることも検討できます。この API は、世界中のすべてのお客様と Gov のお客様に一般提供されました。

Purview 監査の詳細: Microsoft Purview の監査ソリューションについて |マイクロソフト ラーン

Search-UnifiedAuditLog コマンドレットの詳細については、 Search-UnifiedAuditLog (ExchangePowerShell) |マイクロソフト ラーン