Jak používat protokoly auditu poštovní schránky v Microsoftu 365
Původní číslo KB: 4021960
Souhrn
V Microsoft 365 můžete spustit protokoly auditu poštovní schránky a zjistit, kdy se poštovní schránka neočekávaně aktualizovala nebo jestli v poštovní schránce chybí položky. To může být nutné udělat například v případě, že se položky přesunou nebo se neočekávaně nebo nesprávně odstraní.
Pro prostředí vNext mějte na paměti, že protokoly auditu poštovní schránky nejsou ve výchozím nastavení povolené a před zahájením hledání je potřeba zapnout pro uživatele.
Jak spouštět a kontrolovat protokoly auditu poštovní schránky
Protokolování auditu poštovní schránky umožňuje uživatelům získat informace o akcích, které provádějí ne vlastníci a správci. Protokolování auditu poštovní schránky je k dispozici členům samoobslužné skupiny poštovních schránek zasílání zpráv o auditu pouze pomocí vzdáleného prostředí Windows PowerShell.
Poznámka
- Ve výchozím nastavení je povolené jenom protokolování auditu poštovní schránky bez vlastníka a protokolování auditu poštovní schránky vlastníka je zakázané. Pokud potřebujete provést protokolování auditu poštovní schránky vlastníka, abyste prošetřili konkrétní problém, můžete tento proces dočasně povolit po dobu dvou týdnů.
- Některé organizace vám nemusí povolit použití protokolování auditu poštovní schránky, a proto tuto funkci vypnuly.
Pokud chcete tento problém prozkoumat, vytvořte a použijte skript Windows PowerShell pomocí ukázkového skriptu, který je uvedený v kroku 1 v této části, a pak přizpůsobte hledání. Ve výchozím nastavení můžete prozkoumat akce, které provádějí ne vlastníci ani správci. Tento skript exportuje obsah ve zjednodušeném souboru hodnot oddělených čárkami (.csv), který vám pomůže při řešení potíží se sestavami položek, které chybí nebo byly neočekávaně aktualizovány.
Důležité
Zákazníkům se doporučuje, aby při určitých šetřeních použili skript poskytovaný službami Microsoft Online Services. Skripty služeb Microsoft Online Services jsou obecné a měly by být použitelné ve všech prostředích zákazníků. Pokud při spuštění skriptu dojde k chybám, měl by se obsah skriptu použít jako příklad k vytvoření přizpůsobeného skriptu pro konkrétní prostředí zákazníka. Služby Microsoft Online Services poskytují tento skript pro usnadnění zákazníkům Microsoftu 365 bez záruky, vyjádřené nebo předpokládané.
Krok 1: Spuštění skriptu
Skript spustíte takto:
Spusťte Poznámkový blok a zkopírujte do souboru následující kód. Kód používá
search-mailboxAuditLog
příkaz, který je součástí Microsoft Exchange Server.param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult') } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green 'Searching Mailbox Audit Logs...' $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green '$($SearchREsults.Count) Total entries Found' if (-not $IncludeFolderBind) { write-host -fore green 'Removing FolderBind operations.' $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'}) write-host -fore green 'Filtered to $($SearchREsults.Count) Entries' } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}}, @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}})) $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp') If ($Subject -ne '' -and $Subject -ne $null) { write-host -fore green 'Searching for Subject: $Subject' $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green 'Filtered to $($SearchREsults.Count) Entries' } $SearchResults = @($SearchResults | select $LogParameters) }
V nabídce Soubor klikněte na Uložit jako.
V poli Uložit jako typ klikněte na Všechny soubory.
Do pole Název souboru zadejte Run-MailboxAuditLogSearcher.ps1a klikněte na Uložit.
Spusťte Windows PowerShell a pak se připojte ke vzdálenému prostředí Windows PowerShell.
Vyhledejte adresář, do kterého jste skript uložili, a spusťte skript.
.\Run-MailboxAuditLogSearcher.ps1
Poznámka
- Pokud skript spustíte bez parametrů, zobrazí se výzva k zadání následujících výchozích parametrů:
- Poštovní schránky
- Datum_spuštění
- Enddate
- Pokud chcete vyhledat položky z aktuálního dne, přidejte jeden den do hodnoty koncového data v okně výzvy. Pokud je například aktuální datum 14. 3. 2017 a chcete do hledání zahrnout aktuální den, zadejte jako koncové datum 15. 3. 2017 .
- Pokud skript spustíte bez parametrů, zobrazí se výzva k zadání následujících výchozích parametrů:
Krok 2: Přizpůsobení prohledávání protokolu auditování poštovní schránky
V Microsoftu 365 se položky protokolování auditu poštovní schránky uchovávají v poštovní schránce po dobu 90 dnů. Zobrazí se výzva k zadání počátečního a koncového data hledání. K přizpůsobení vyhledávání můžete použít několik volitelných parametrů. Popis těchto parametrů najdete v části Další informace.
Pokud se položky najdou po spuštění skriptu, zobrazí se zpráva podobná následující:
Tato ukázková zpráva označuje, že proces hledání našel 11 položek. Ve výchozím nastavení jsou položky FolderBind odfiltrovány a zůstávají následující typy operací:
- Kopírovat
- Vytvoření
- Pevné odstranění
- MessageBind
- Přesunout
- MoveToDeletedItems
- SendAs
- SendOnBehalf
- SoftDelete
- Aktualizovat
Poznámka
Operace FolderBind označuje časy, kdy je poštovní schránka přístupná pro uživatele, který není vlastníkem. Toto je nejběžnější operace. Při zkoumání položky, která je aktualizována nebo odstraněna, nemusíte zobrazovat operace FolderBind.
Zkontrolujte výstup souboru .csv. Exportují se nejužitečnější sloupce a některé z nich se sloučí, aby se výstup snadněji kontroloval. Další informace o exportovaných sloupcích najdete v části Další informace.
Protokolování auditu poštovní schránky vlastníka
Ve výchozím nastavení. Protokolování auditování vlastníka není zapnuté. Měla by se použít jenom v případě, že musíte prozkoumat akci vlastníka poštovní schránky. Měl by se používat po omezenou dobu, přibližně dva týdny. Je to proto, že položky protokolu auditu jsou uložené v poštovní schránce, což může způsobit, že dumpster poštovní schránky překročí limit velikosti.
Pokud chcete povolit protokolování auditování vlastníka, postupujte takto:
Zjistěte, jestli je povolené protokolování auditu poštovní schránky. Provedete to spuštěním následující rutiny:
Get-Mailbox <useridentity> | ft AuditEnabled
Pokud je výsledek True, přeskočte tento krok. Pokud je výsledek nepravda, spusťte v Windows PowerShell následující rutinu:
Set-Mailbox <useridentity> -AuditEnabled $true
Povolte protokolování auditování vlastníka. Provedete to spuštěním následující rutiny:
Set-Mailbox <useridentity> -AuditOwner "Create,HardDelete,Move,MoveToDeletedItems,SoftDelete,Update"
Spusťte znovuRun-MailboxAuditLogSearcher.ps1a zkontrolujte data.
Po dokončení řešení potíží zakažte protokolování auditování vlastníka. Provedete to spuštěním následující rutiny:
Set-Mailbox <useridentity> -AuditOwner $none
Další informace
Volitelné parametry skriptu
Následující seznam popisuje volitelné parametry, které při použití společně se skriptem Run-MailboxAuditLogSearcher
generují různé výsledky:
IncludeFolderBind: Při použití tohoto přepínače se operace FolderBind nefiltruje z výstupu. Informace o složce FolderBind můžete použít k prozkoumání problému s přístupem k poštovní schránce.
Například následující rutina vyhledá poštovní schránku Test User 1 a zahrne všechny operace:
.\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"
Předmět: Když použijete tento přepínač, můžete určit předmět položky, aby se omezilo vyhledávání operací, které se s touto položkou provádějí.
Následující rutina například vyfiltruje všechny výstupy s výjimkou položek, u kterých je předmět nastavený na "Dobré zprávy":
.\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"
ReturnObject: Při použití tohoto přepínače se výsledek zobrazí na obrazovce, ale neexportuje se do souboru .csv.
Například následující rutina zobrazí výstup na obrazovce:
.\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"
Export sloupců ze souboru .csv
Exportují se nejužitečnější sloupce souboru .csv. Některé z těchto sloupců se sloučí, aby se výstup snadněji kontroloval. Následující tabulka uvádí sloupce, které se exportují.
Sloupec | Popis |
---|---|
Předmět | Předmět položky |
Operace | Akce, které se provádějí s položkou |
LogonUserDisplayName | Zobrazované jméno přihlášeného uživatele o |
LastAccessed | Čas provedení operace |
DestFolderPathName | Cílová složka pro operaci přesunutí |
FolderPathName | Cesta ke složce |
ClientInfoString | Podrobnosti o klientovi, který provádí operaci |
LastAccessed | IP adresa klientského počítače |
ClientMachineName | Název klientského počítače |
ClientProcessName | Název procesu klientské aplikace |
ClientVersion | Verze klientské aplikace |
Typ přihlášení | Typ přihlášení uživatele, který provádí operaciPoznámka Typy přihlášení zahrnují následující: – Delegování pro uživatele bez vlastníka – Správce – Vlastník poštovní schránky (ve výchozím nastavení se nezaprotokoluje) |
MailboxResolvedOwnerName | Vyřešený název uživatele poštovní schránkyPoznámka Přeložené jméno je v následujícím formátu:Domain\SamAccountName |
OperaceResult | Stav operacePoznámka: Mezi výsledky operace patří: - Failed - PartiallySucceeded - Succeeded |
CrossMailboxOperation | Informace o tom, jestli je zaprotokolovaná operace operace mezi poštovními schránkami (například kopírování nebo přesouvání zpráv mezi poštovními schránkami) |
Další informace o protokolování auditu poštovní schránky
Rutina Search-MailboxAuditLog se používá v ukázkovém skriptu v kroku 1 k synchronnímu hledání jedné poštovní schránky. Můžete to také provést spuštěním rutiny ve Windows Remote PowerShellu.
Další informace o rutině najdete v následujícím článku na webu TechNet:
Jednu nebo více poštovních schránek můžete prohledávat asynchronně. Uděláte to tak, že ve Windows Remote PowerShellu spustíte následující rutinu:
New-MailboxAuditLogSearch
Další informace o této rutině najdete v následujícím článku na webu TechNet:
Další informace o výchozích položkách protokolování auditu poštovní schránky najdete v části Položky protokolu auditování poštovní schránky v následujícím článku na TechNetu:
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro