Prohledejte protokol auditu a prošetřete běžné problémy s podporou.
Tento článek popisuje, jak používat nástroj pro vyhledávání protokolu auditu, který vám pomůže prozkoumat běžné problémy s podporou. To zahrnuje použití protokolu auditu k:
- Vyhledání IP adresy počítače používaného pro přístup k napadenému účtu
- Určení, kdo nastavil přeposílání e-mailů pro poštovní schránku
- Určení, jestli uživatel odstranil e-mailové položky ve své poštovní schránce
- Určení, jestli uživatel vytvořil pravidlo doručené pošty
- Prozkoumejte, proč se uživatel mimo vaši organizaci úspěšně přihlásil.
- Hledání aktivit poštovních schránek prováděných uživateli s licencemi bez E5
- Hledání aktivit poštovních schránek prováděných delegováním uživatelů
Tip
Pokud nejste zákazníkem E5, využijte 90denní zkušební verzi řešení Microsoft Purview a zjistěte, jak můžou další funkce purview pomoci vaší organizaci spravovat požadavky na zabezpečení dat a dodržování předpisů. Začněte hned v centru zkušebních verzí Portál dodržování předpisů Microsoft Purview. Přečtěte si podrobnosti o podmínkách registrace a zkušebních verzích.
Použití nástroje pro vyhledávání protokolu auditu
Každý ze scénářů řešení potíží popsaných v tomto článku je založený na použití nástroje pro vyhledávání protokolu auditu v Portál dodržování předpisů Microsoft Purview. Tato část obsahuje seznam oprávnění potřebných k prohledávání protokolu auditování a popisuje kroky pro přístup k prohledávání protokolu auditu a jejich spouštění. Každá část scénáře vysvětluje, jak nakonfigurovat vyhledávací dotaz protokolu auditu a co hledat v podrobných informacích v záznamech auditu, které splňují kritéria hledání.
Oprávnění požadovaná k použití nástroje pro vyhledávání protokolu auditu
Pokud chcete prohledávat protokol auditu, musíte mít v Exchange Online přiřazenou roli Protokoly auditu jen pro zobrazení nebo Protokoly auditu. Ve výchozím nastavení se tyto role přiřazují skupinám rolí Správa dodržování předpisů a Správa organizace na stránce Oprávnění v Centru pro správu Exchange. Globální správci v Office 365 a Microsoft 365 se automaticky přidají jako členové skupiny rolí Správa organizace v Exchange Online. Další informace najdete v tématu Správa skupin rolí v Exchange Online.
Spouštění hledání v protokolu auditování
Tato část popisuje základy vytváření a spouštění vyhledávání v protokolu auditování. Jako výchozí bod pro každý scénář řešení potíží v tomto článku použijte tyto pokyny. Podrobnější pokyny najdete v tématu Prohledávání protokolu auditování.
Přejděte na https://compliance.microsoft.com/auditlogsearch a přihlaste se pomocí svého pracovního nebo školního účtu.
Můžete nakonfigurovat následující kritéria hledání. Každý scénář řešení potíží v tomto článku doporučuje konkrétní pokyny ke konfiguraci těchto polí.
a. Počáteční datum a Koncové datum: Výběrem data a časového rozsahu zobrazíte události, ke kterým došlo během tohoto období. Ve výchozím nastavení je vybráno posledních sedm dní. Datum a čas jsou uvedeny ve formátu UTC (Coordinated Universal Time). Maximální rozsah dat, který můžete zadat, je 90 dní.
b. Činnosti: Výběrem rozevíracího seznamu zobrazte aktivity, které můžete hledat. Po spuštění hledání se zobrazí pouze záznamy auditu pro vybrané aktivity. Když vyberete Zobrazit výsledky pro všechny aktivity , zobrazí se výsledky pro všechny aktivity, které splňují ostatní kritéria hledání. V některých scénářích řešení potíží budete muset toto pole ponechat prázdné.
c. Uživatelé: V tomto poli vyberte a pak vyberte jednoho nebo více uživatelů, pro které chcete zobrazit výsledky hledání. Záznamy auditu pro vybranou aktivitu prováděné uživateli, které vyberete v tomto poli, se zobrazí v seznamu výsledků. Toto pole ponechte prázdné, pokud chcete vrátit položky pro všechny uživatele (a účty služeb) ve vaší organizaci.
d. Soubor, složka nebo web: Zadejte část nebo celý název souboru nebo složky a vyhledejte aktivitu související se souborem složky, který obsahuje zadané klíčové slovo. Můžete také zadat adresu URL souboru nebo složky. Pokud používáte adresu URL, nezapomeňte zadat úplnou cestu url nebo pokud zadáte jenom část adresy URL, nezahrnujte žádné speciální znaky ani mezery. Pokud chcete vrátit položky pro všechny soubory a složky ve vaší organizaci, nechte toto pole prázdné. Ve všech scénářích řešení potíží v tomto článku zůstane toto pole prázdné.
Vyberte Hledat a spusťte hledání podle kritérií hledání.
Výsledky hledání se načtou a po chvíli se zobrazí na stránce v nástroji pro vyhledávání protokolu auditu. Každá část tohoto článku obsahuje pokyny týkající se věcí, které je třeba hledat v kontextu konkrétního scénáře řešení potíží.
Další informace o zobrazení a exportu výsledků hledání v protokolu auditování najdete tady:
Vyhledání IP adresy počítače používaného pro přístup k napadenému účtu
IP adresa odpovídající aktivitě prováděné libovolným uživatelem je součástí většiny záznamů auditu. Informace o použitém klientovi jsou také součástí záznamu auditu.
Tady je postup konfigurace vyhledávacího dotazu protokolu auditování pro tento scénář:
Činnosti: Pokud je to pro váš případ relevantní, vyberte konkrétní aktivitu, která se má vyhledat. Při řešení potíží s ohroženými účty zvažte výběr aktivity Uživatel přihlášený k poštovní schránce v části Aktivity poštovní schránky Exchange. Vrátí záznamy auditování zobrazující IP adresu, která byla použitá při přihlašování k poštovní schránce. V opačném případě nechte toto pole prázdné, aby se vrátily záznamy auditu pro všechny aktivity.
Tip
Pokud toto pole ponecháte prázdné, vrátí se aktivity UserLoggedIn , což je aktivita Azure Active Directory, která označuje, že se někdo přihlásil k uživatelskému účtu. Pomocí filtrování ve výsledcích hledání zobrazte záznamy auditu UserLoggedIn .
Počáteční datum a Koncové datum: Vyberte rozsah dat, který se vztahuje na vaše šetření.
Uživatelé: Pokud prověřujete ohrožený účet, vyberte uživatele, jehož účet byl napaden. Tím se vrátí záznamy auditu pro aktivity prováděné tímto uživatelským účtem.
Soubor, složka nebo web: Toto pole nechte prázdné.
Po spuštění vyhledávání se IP adresa pro každou aktivitu zobrazí ve výsledcích hledání ve sloupci IP adresa . Výběrem záznamu ve výsledcích hledání zobrazíte podrobnější informace na stránce informačního rámečku.
Určení, kdo nastavil přeposílání e-mailů pro poštovní schránku
Pokud je pro poštovní schránku nakonfigurované přeposílání e-mailů, jsou e-mailové zprávy odeslané do poštovní schránky přeposílané do jiné poštovní schránky. Zprávy je možné předávat uživatelům ve vaší organizaci nebo mimo ni. Pokud je pro poštovní schránku nastavené přeposílání e-mailů, je použitá základní rutina Exchange Online Set-Mailbox.
Tady je postup konfigurace vyhledávacího dotazu protokolu auditování pro tento scénář:
Činnosti: Toto pole nechte prázdné, aby hledání vrátilo záznamy auditu pro všechny aktivity. To je nutné k vrácení všech záznamů auditu souvisejících s rutinou Set-Mailbox .
Počáteční datum a Koncové datum: Vyberte rozsah dat, který se vztahuje na vaše šetření.
Uživatelé: Pokud nešetřujete problém s přeposílání e-mailů pro konkrétního uživatele, nechte toto pole prázdné. To vám pomůže zjistit, jestli bylo pro některého uživatele nastavené přeposílání e-mailů.
Soubor, složka nebo web: Toto pole nechte prázdné.
Po spuštění hledání vyberte na stránce výsledků hledání filtrovat výsledky . Do pole v části Záhlaví sloupce Aktivita zadejte Set-Mailbox tak, aby se zobrazily jenom záznamy auditu související s rutinou Set-Mailbox .
V tomto okamžiku se musíte podívat na podrobnosti jednotlivých záznamů auditu, abyste zjistili, jestli aktivita souvisí s přeposílání e-mailů. Výběrem záznamu auditu zobrazte stránku s vysouvacím rámečkem Podrobnosti a pak vyberte Další informace. Následující snímek obrazovky a popisy zvýrazňují informace, které označují, že u poštovní schránky bylo nastavené přeposílání e-mailů.
a. V poli ObjectId se zobrazí alias poštovní schránky, pro kterou bylo přeposílání e-mailů nastaveno. Tato poštovní schránka se také zobrazí ve sloupci Položka na stránce výsledků hledání.
b. V poli Parametry hodnota ForwardingSmtpAddress označuje, že u poštovní schránky bylo nastavené přeposílání e-mailů. V tomto příkladu se pošta přeposílají na e-mailovou adresu mike@contoso.com, která je mimo alpinehouse.onmicrosoft.com organizaci.
c. Hodnota True parametru DeliverToMailboxAndForward označuje, že kopie zprávy je doručena na sarad@alpinehouse.onmicrosoft.comadresu určenou parametrem ForwardingSmtpAddress , která je mike@contoso.comv tomto příkladu . Pokud je hodnota parametru DeliverToMailboxAndForward nastavená na False, e-mail se přepošle pouze na adresu určenou parametrem ForwardingSmtpAddress . Do poštovní schránky zadané v poli ObjectId se nedoručí.
d. Pole UserId označuje uživatele, který u poštovní schránky zadané v poli ObjectId nastavil přeposílání e-mailů. Tento uživatel se také zobrazí ve sloupci Uživatel na stránce výsledků hledání. V tomto případě se zdá, že vlastník poštovní schránky nastavil u své poštovní schránky přeposílání e-mailů.
Pokud zjistíte, že v poštovní schránce nemá být nastavené přeposílání e-mailů, můžete ho odebrat spuštěním následujícího příkazu v Exchange Online PowerShellu:
Set-Mailbox <mailbox alias> -ForwardingSmtpAddress $null
Další informace o parametrech souvisejících s přeposílání e-mailů najdete v článku Set-Mailbox .
Určení, jestli uživatel odstranil e-mailové položky
Od ledna 2019 Microsoft ve výchozím nastavení zapíná protokolování auditu poštovní schránky pro všechny organizace Office 365 a Microsoft. To znamená, že určité akce provedené vlastníky poštovní schránky se automaticky protokolují a odpovídající záznamy auditu poštovní schránky jsou k dispozici, když je vyhledáte v protokolu auditování poštovní schránky. Než bylo auditování poštovní schránky ve výchozím nastavení zapnuté, museli jste ho ručně povolit pro každou poštovní schránku uživatelů ve vaší organizaci.
Akce poštovní schránky, které se protokolují ve výchozím nastavení, zahrnují akce Obnovitelné odstranění a Odstranění pevné poštovní schránky prováděné vlastníky poštovní schránky. To znamená, že pomocí následujícího postupu můžete v protokolu auditu vyhledat události související s odstraněnými e-mailovými položkami. Další informace o výchozím nastavení auditování poštovní schránky najdete v tématu Správa auditování poštovní schránky.
Tady je postup konfigurace vyhledávacího dotazu protokolu auditování pro tento scénář:
Činnosti: V části Aktivity poštovní schránky Exchange vyberte jednu nebo obě z následujících aktivit:
Odstraněné zprávy ze složky Odstraněná pošta: Tato aktivita odpovídá akci auditování poštovní schránky SoftDelete . Tato aktivita se také protokoluje, když uživatel trvale odstraní položku tak, že ji vybere a stisknete Shift+Delete. Po trvalém odstranění může uživatel položku obnovit, dokud nevyprší doba uchovávání odstraněných položek.
Vyprázdněné zprávy z poštovní schránky: Tato aktivita odpovídá akci auditování poštovní schránky HardDelete . To se zaprotokoluje, když uživatel vymaže položku ze složky Obnovitelné položky. Správci můžou pomocí nástroje Vyhledávání obsahu na portálu pro dodržování předpisů vyhledávat a obnovovat vymazané položky, dokud nevyprší doba uchovávání odstraněných položek nebo delší, pokud je poštovní schránka uživatele blokovaná.
Počáteční datum a Koncové datum: Vyberte rozsah dat, který se vztahuje na vaše šetření.
Uživatelé: Pokud vyberete uživatele v tomto poli, nástroj pro vyhledávání protokolu auditu vrátí záznamy auditu pro e-mailové položky, které byly odstraněny (SoftDeleted nebo HardDeleted) zadaným uživatelem. Někdy nemusí být vlastníkem poštovní schránky uživatel, který e-mail odstraní.
Soubor, složka nebo web: Toto pole nechte prázdné.
Po spuštění hledání můžete filtrovat výsledky hledání a zobrazit záznamy auditu pro obnovitelné nebo pevně odstraněné položky. Výběrem záznamu auditu zobrazte stránku s vysouvacím rámečkem Podrobnosti a pak vyberte Další informace. Další informace o odstraněné položce, jako je řádek předmětu a umístění položky při odstranění, se zobrazí v poli AffectedItems . Následující snímky obrazovky ukazují příklad pole AffectedItems z obnovitelně odstraněné položky a pevně odstraněné položky.
Příklad pole AffectedItems pro obnovitelně odstraněnou položku
Příklad pole AffectedItems pro pevně odstraněnou položku
Obnovení odstraněných e-mailových položek
Uživatelé můžou obnovitelně odstraněné položky, pokud nevypršela doba uchovávání odstraněných položek. V Exchange Online je výchozí doba uchovávání odstraněných položek 14 dnů, ale správci můžou toto nastavení prodloužit až na 30 dnů. Pokyny k obnovení odstraněných položek najdete v článku Obnovení odstraněných položek nebo e-mailu v Outlook na webu.
Jak už bylo vysvětleno dříve, správci můžou obnovit pevně odstraněné položky, pokud nevypršela doba uchovávání odstraněných položek nebo pokud je poštovní schránka blokovaná. V tomto případě se položky uchovávají až do vypršení doby blokování. Když spustíte hledání obsahu, vrátí se obnovitelné a pevně odstraněné položky ve složce Obnovitelné položky ve výsledcích hledání, pokud odpovídají vyhledávacímu dotazu. Další informace o spouštění hledání obsahu najdete v tématu Hledání obsahu v Office 365.
Tip
Pokud chcete vyhledat odstraněné e-mailové položky, vyhledejte celý řádek předmětu zobrazený v poli AffectedItems v záznamu auditu nebo jeho část.
Určení, jestli uživatel vytvořil pravidlo doručené pošty
Když uživatelé pro svoji poštovní schránku Exchange Online vytvoří pravidlo doručené pošty, uloží se do protokolu auditu odpovídající záznam auditu. Další informace o pravidlech doručené pošty najdete tady:
- Použití pravidel doručené pošty v Outlook na webu
- Správa e-mailových zpráv v Outlooku pomocí pravidel
Tady je postup konfigurace vyhledávacího dotazu protokolu auditování pro tento scénář:
Činnosti: V části Aktivity poštovní schránky Exchange vyberte jednu nebo obě z následujících aktivit:
New-InboxRule Vytvoří nové pravidlo doručené pošty z Outlook Web App. Tato aktivita vrací záznamy auditu při vytváření pravidel doručené pošty pomocí Outlook Web Appu nebo Exchange Online PowerShellu.
Aktualizovali jsme pravidla doručené pošty z klienta Outlooku. Tato aktivita vrací záznamy auditu při vytvoření, úpravě nebo odebrání pravidel doručené pošty pomocí desktopového klienta Outlooku.
Počáteční datum a Koncové datum: Vyberte rozsah dat, který se vztahuje na vaše šetření.
Uživatelé: Pokud nevyšetřujete konkrétního uživatele, nechte toto pole prázdné. To vám pomůže identifikovat nová pravidla doručené pošty nastavená libovolným uživatelem.
Soubor, složka nebo web: Toto pole nechte prázdné.
Po spuštění hledání se ve výsledcích hledání zobrazí všechny záznamy auditu pro tuto aktivitu. Výběrem záznamu auditu zobrazte stránku informačního rámečku Podrobnosti a pak vyberte Další informace. Informace o nastavení pravidla doručené pošty se zobrazí v poli Parametry . Následující snímek obrazovky a popisy zvýrazňují informace o pravidlech doručené pošty.
a. V poli ObjectId se zobrazí úplný název pravidla doručené pošty. Tento název zahrnuje alias poštovní schránky uživatele (například SaraD) a název pravidla doručené pošty (například "Přesunout zprávy od správce").
b. V poli Parametry se zobrazí podmínka pravidla doručené pošty. V tomto příkladu je podmínka určena parametrem From . Hodnota definovaná parametrem From označuje, že pravidlo doručené pošty funguje na e-mail odeslaný uživatelem admin@alpinehouse.onmicrosoft.com. Úplný seznam parametrů, které lze použít k definování podmínek pravidel doručené pošty, najdete v článku New-InboxRule .
c. Parametr MoveToFolder určuje akci pravidla doručené pošty. V tomto příkladu se zprávy přijaté od admin@alpinehouse.onmicrosoft.com přesunou do složky s názvem AdminSearch. Úplný seznam parametrů, které lze použít k definování akce pravidla doručené pošty, najdete také v článku New-InboxRule .
d. Pole UserId označuje uživatele, který vytvořil pravidlo doručené pošty zadané v poli ObjectId . Tento uživatel se také zobrazí ve sloupci Uživatel na stránce výsledků hledání.
Prozkoumejte, proč se uživatel mimo vaši organizaci úspěšně přihlásil.
Při kontrole záznamů auditu v protokolu auditu se můžou zobrazit záznamy, které značí, že externí uživatel byl ověřen službou Azure Active Directory a úspěšně přihlášen k vaší organizaci. Například správce v contoso.onmicrosoft.com může vidět záznam auditu, který ukazuje, že uživatel z jiné organizace (například fabrikam.onmicrosoft.com) se úspěšně přihlásil k contoso.onmicrosoft.com. Podobně se můžou zobrazit záznamy auditu, které označují, že uživatelé s účtem Microsoft (MSA), jako je Outlook.com nebo Live.com, se úspěšně přihlásili k vaší organizaci. V těchto situacích je auditovanou aktivitou uživatel přihlášen.
Toto chování je záměrné. Adresářová služba Azure Active Directory (Azure AD) umožňuje něco, co se označuje jako předávací ověřování, když se externí uživatel pokusí o přístup k sharepointovému webu nebo umístění na OneDrivu ve vaší organizaci. Když se o to externí uživatel pokusí, zobrazí se mu výzva k zadání přihlašovacích údajů. Azure AD používá přihlašovací údaje k ověření uživatele, což znamená, že pouze Azure AD ověří, že uživatel je tím, za koho se o nich hlásí. Označení úspěšného přihlášení v záznamu auditu je výsledkem Azure AD ověření uživatele. Úspěšné přihlášení neznamená, že měl uživatel ve vaší organizaci přístup k jakýmkoli prostředkům nebo mohl provádět jiné akce. Označuje pouze, že uživatel byl ověřen pomocí Azure AD. Aby měl předávací uživatel přístup k prostředkům SharePointu nebo OneDrivu, musí uživatel ve vaší organizaci explicitně sdílet prostředek s externím uživatelem tak, že mu pošle pozvánku ke sdílení nebo anonymní odkaz ke sdílení.
Poznámka
Azure AD povoluje předávací ověřování jenom pro aplikace od první strany, jako je SharePoint Online a OneDrive pro firmy. Není povolená pro jiné aplikace třetích stran.
Tady je příklad a popisy relevantních vlastností v záznamu auditu pro událost Přihlášený uživatel , která je výsledkem předávacího ověřování. Výběrem záznamu auditu zobrazte stránku s vysouvacím rámečkem Podrobnosti a pak vyberte Další informace.
a. Toto pole označuje, že uživatel, který se pokusil o přístup k prostředku ve vaší organizaci, nebyl nalezen v Azure AD vaší organizace.
b. Toto pole zobrazuje hlavní název uživatele (UPN) externího uživatele, který se pokusil o přístup k prostředku ve vaší organizaci. Toto ID uživatele je také identifikováno ve vlastnostech User a UserId v záznamu auditu.
c. Vlastnost ApplicationId identifikuje aplikaci, která aktivovala žádost o přihlášení. Hodnota 000000003-0000-0ff1-ce00-0000000000000 zobrazená ve vlastnosti ApplicationId v tomto záznamu auditu označuje SharePoint Online. OneDrive pro firmy má také stejné ApplicationId.
d. To znamená, že předávací ověřování bylo úspěšné. Jinými slovy, uživatel byl úspěšně ověřen pomocí Azure AD.
e. Hodnota RecordType15 označuje, že auditovaná aktivita (UserLoggedIn) je událost přihlášení službou tokenů zabezpečení (STS) v Azure AD.
Další informace o dalších vlastnostech zobrazených v záznamu auditu UserLoggedIn najdete v tématu Informace o schématu související s Azure AD ve schématu rozhraní API aktivit Office 365 Management.
Tady jsou dva příklady scénářů, které by kvůli předávacímu ověřování můžou vést k úspěšné aktivitě auditu přihlášeného uživatelem :
Uživatel s účtem Microsoft (například SaraD@outlook.com) se pokusil získat přístup k dokumentu v OneDrive pro firmy účtu v fourthcoffee.onmicrosoft.com a v fourthcoffee.onmicrosoft.com neexistuje odpovídající uživatelský účet SaraD@outlook.com typu host.
Uživatel s pracovním nebo školním účtem v organizaci (například pilarp@fabrikam.onmicrosoft.com) se pokusil o přístup k sharepointovým webům v contoso.onmicrosoft.com a v contoso.onmicrosoft.com neexistuje odpovídající uživatelský účet pilarp@fabrikam.com typu host.
Tipy pro zkoumání úspěšných přihlášení vyplývajících z předávacího ověřování
Vyhledejte v protokolu auditu aktivity prováděné externím uživatelem identifikovaným v záznamu auditu přihlášeného uživatele . Do pole Uživatelé zadejte hlavní název uživatele (UPN) externího uživatele a v případě potřeby pro váš scénář použijte rozsah dat. Můžete například vytvořit hledání pomocí následujících kritérií hledání:
Kromě aktivit přihlášených uživatelem se můžou vrátit další záznamy auditu, například ty, které označují, že uživatel ve vaší organizaci sdílel prostředky s externím uživatelem a jestli externí uživatel přistupoval, upravil nebo stáhl dokument, který s ním někdo sdílí.
Vyhledejte aktivity sdílení SharePointu, které by indikovaly sdílení souboru s externím uživatelem identifikovaným záznamem auditu přihlášeným uživatelem . Další informace najdete v tématu Použití auditování sdílení v protokolu auditování.
Exportujte výsledky hledání v protokolu auditování, které obsahují záznamy relevantní pro vaše šetření, abyste mohli v Excelu hledat další aktivity související s externím uživatelem. Další informace najdete v tématu Export, konfigurace a zobrazení záznamů protokolu auditu.
Hledání aktivit poštovních schránek prováděných uživateli s licencemi bez E5
I když je auditování poštovních schránek ve vaší organizaci ve výchozím nastavení zapnuté, můžete si všimnout, že události auditu poštovní schránky u některých uživatelů se při vyhledávání v protokolu auditování nenacházejí pomocí portálu pro dodržování předpisů, rutiny Search-UnifiedAuditLog nebo rozhraní API aktivit Office 365 Management. Důvodem je to, že události auditování poštovní schránky se vrátí jenom uživatelům s licencemi E5, pokud použijete některou z předchozích metod prohledávání jednotného protokolu auditu.
Pokud chcete načíst záznamy protokolu auditování poštovní schránky pro uživatele, kteří nejsou uživateli E5, můžete provést jedno z následujících alternativních řešení:
Ručně povolte auditování poštovních schránek u jednotlivých poštovních schránek (spusťte
Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $truepříkaz v Exchange Online PowerShellu). Až to uděláte, vyhledejte aktivity auditování poštovní schránky pomocí portálu pro dodržování předpisů, rutiny Search-UnifiedAuditLog nebo rozhraní API aktivity služby Office 365 Management.Poznámka
Pokud se zdá, že auditování poštovní schránky už je v poštovní schránce povolené, ale hledání nevrátí žádné výsledky, změňte hodnotu parametru AuditEnabled na
$falsea pak zpět na$true.V Exchange Online PowerShellu použijte následující rutiny:
Search-MailboxAuditLog pro vyhledání konkrétních uživatelů v protokolu auditování poštovní schránky.
New-MailboxAuditLogSearch prohledat v protokolu auditování poštovní schránky konkrétní uživatele a nechat si výsledky poslat e-mailem určeným příjemcům.
Hledání aktivit poštovních schránek prováděných v konkrétní poštovní schránce (včetně sdílených poštovních schránek)
Pokud použijete rozevírací seznam Uživatelé v nástroji pro vyhledávání protokolu auditu na portálu pro dodržování předpisů nebo příkaz Search-UnifiedAuditLog -UserIds v Exchange Online PowerShellu, můžete vyhledat aktivity prováděné konkrétním uživatelem. V případě aktivit auditu poštovní schránky bude tento typ hledání hledat aktivity prováděné zadaným uživatelem. Nezaručuje, že se ve výsledcích hledání vrátí všechny aktivity provedené ve stejné poštovní schránce. Hledání v protokolu auditu například nevrátí záznamy auditu pro aktivity prováděné delegátem, protože hledání aktivit poštovní schránky prováděné konkrétním uživatelem nevrátí aktivity provedené delegátem, kterému byla přiřazena oprávnění pro přístup k poštovní schránce jiného uživatele. (Uživatel delegáta je někdo, kdo má přiřazené oprávnění Poštovní schránka SendAs, SendOnBehalf nebo FullAccess k poštovní schránce jiného uživatele.)
Také použití rozevíracího seznamu Uživatel v nástroji pro vyhledávání protokolu auditování nebo Search-UnifiedAuditLog -UserIds nevrátí výsledky pro aktivity prováděné ve sdílené poštovní schránce.
Pokud chcete vyhledat aktivity prováděné v konkrétní poštovní schránce nebo aktivity prováděné ve sdílené poštovní schránce, použijte při spuštění rutiny Search-UnifiedAuditLog následující syntaxi:
Search-UnifiedAuditLog -StartDate <date> -EndDate <date> -FreeText (Get-Mailbox <mailbox identity).ExchangeGuid
Například následující příkaz vrátí záznamy auditu pro aktivity prováděné ve sdílené poštovní schránce týmu dodržování předpisů Společnosti Contoso mezi srpnem 2020 a říjnem 2020:
Search-UnifiedAuditLog -StartDate 08/01/2020 -EndDate 10/31/2020 -FreeText (Get-Mailbox complianceteam@contoso.onmicrosoft.com).ExchangeGuid
Případně můžete použít rutinu Search-MailboxAuditLog k vyhledání záznamů auditu pro aktivity prováděné v konkrétní poštovní schránce. To zahrnuje vyhledávání aktivit prováděných ve sdílené poštovní schránce.
Následující příklad vrátí záznamy protokolu auditování poštovní schránky pro aktivity prováděné ve sdílené poštovní schránce týmu dodržování předpisů Společnosti Contoso:
Search-MailboxAuditLog -Identity complianceteam@contoso.onmicrosoft.com -StartDate 08/01/2020 -EndDate 10/31/2020 -ShowDetails
Následující příklad vrátí záznamy protokolu auditování poštovní schránky pro aktivity prováděné v zadané poštovní schránce delegovanými uživateli:
Search-MailboxAuditLog -Identity <mailbox identity> -StartDate <date> -EndDate <date> -LogonTypes Delegate -ShowDetails
Můžete také použít rutinu New-MailboxAuditLogSearch k vyhledání konkrétní poštovní schránky v protokolu auditu a odeslání výsledků e-mailem určeným příjemcům.