Jak používat protokoly auditu poštovní schránky v Microsoftu 365

Článek
04/21/2023
Platí pro:

Exchange Online, Microsoft Exchange Online Dedicated

Původní číslo KB: 4021960

Souhrn

V Microsoft 365 můžete spustit protokoly auditu poštovní schránky a zjistit, kdy se poštovní schránka neočekávaně aktualizovala nebo jestli v poštovní schránce chybí položky. To může být nutné udělat například v případě, že se položky přesunou nebo se neočekávaně nebo nesprávně odstraní.

Pro prostředí vNext mějte na paměti, že protokoly auditu poštovní schránky nejsou ve výchozím nastavení povolené a před zahájením hledání je potřeba zapnout pro uživatele.

Jak spouštět a kontrolovat protokoly auditu poštovní schránky

Protokolování auditu poštovní schránky umožňuje uživatelům získat informace o akcích, které provádějí ne vlastníci a správci. Protokolování auditu poštovní schránky je k dispozici členům samoobslužné skupiny poštovních schránek zasílání zpráv o auditu pouze pomocí vzdáleného prostředí Windows PowerShell.

Poznámka

Ve výchozím nastavení je povolené jenom protokolování auditu poštovní schránky bez vlastníka a protokolování auditu poštovní schránky vlastníka je zakázané. Pokud potřebujete provést protokolování auditu poštovní schránky vlastníka, abyste prošetřili konkrétní problém, můžete tento proces dočasně povolit po dobu dvou týdnů.
Některé organizace vám nemusí povolit použití protokolování auditu poštovní schránky, a proto tuto funkci vypnuly.

Pokud chcete tento problém prozkoumat, vytvořte a použijte skript Windows PowerShell pomocí ukázkového skriptu, který je uvedený v kroku 1 v této části, a pak přizpůsobte hledání. Ve výchozím nastavení můžete prozkoumat akce, které provádějí ne vlastníci ani správci. Tento skript exportuje obsah ve zjednodušeném souboru hodnot oddělených čárkami (.csv), který vám pomůže při řešení potíží se sestavami položek, které chybí nebo byly neočekávaně aktualizovány.

Důležité

Zákazníkům se doporučuje, aby při určitých šetřeních použili skript poskytovaný službami Microsoft Online Services. Skripty služeb Microsoft Online Services jsou obecné a měly by být použitelné ve všech prostředích zákazníků. Pokud při spuštění skriptu dojde k chybám, měl by se obsah skriptu použít jako příklad k vytvoření přizpůsobeného skriptu pro konkrétní prostředí zákazníka. Služby Microsoft Online Services poskytují tento skript pro usnadnění zákazníkům Microsoftu 365 bez záruky, vyjádřené nebo předpokládané.

Krok 1: Spuštění skriptu

Skript spustíte takto:

Spusťte Poznámkový blok a zkopírujte do souboru následující kód. Kód používá search-mailboxAuditLog příkaz, který je součástí Microsoft Exchange Server.

 param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$Mailbox,
[PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$StartDate,
[PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$EndDate,
[PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)]
[string]$Subject,
[PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
[switch]$IncludeFolderBind,
[PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
[switch]$ReturnObject)
BEGIN {
  [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult')
  }
  END {
    if ($ReturnObject)
    {return $SearchResults}
    elseif ($SearchResults.count -gt 0)
    {
    $Date = get-date -Format yyMMdd_HHmmss
    $OutFileName = "AuditLogResults$Date.csv"
    write-host
    write-host -fore green "Posting results to file: $OutfileName"
    $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8
    }
    }
    PROCESS
    {
    write-host -fore green 'Searching Mailbox Audit Logs...'
    $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000)
    write-host -fore green '$($SearchREsults.Count) Total entries Found'
    if (-not $IncludeFolderBind)
    {
    write-host -fore green 'Removing FolderBind operations.'
    $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'})
    write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
    }
    $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}},
    @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}}))
    $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp')
    If ($Subject -ne '' -and $Subject -ne $null)
    {
    write-host -fore green 'Searching for Subject: $Subject'
    $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject})
    write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
    }
    $SearchResults = @($SearchResults | select $LogParameters)
    }

V nabídce Soubor klikněte na Uložit jako.
V poli Uložit jako typ klikněte na Všechny soubory.
Do pole Název souboru zadejte Run-MailboxAuditLogSearcher.ps1a klikněte na Uložit.
Spusťte Windows PowerShell a pak se připojte ke vzdálenému prostředí Windows PowerShell.
Vyhledejte adresář, do kterého jste skript uložili, a spusťte skript.
```
.\Run-MailboxAuditLogSearcher.ps1
```
Poznámka
- Pokud skript spustíte bez parametrů, zobrazí se výzva k zadání následujících výchozích parametrů:
  - Poštovní schránky
  - Datum_spuštění
  - Enddate
- Pokud chcete vyhledat položky z aktuálního dne, přidejte jeden den do hodnoty koncového data v okně výzvy. Pokud je například aktuální datum 14. 3. 2017 a chcete do hledání zahrnout aktuální den, zadejte jako koncové datum 15. 3. 2017 .

Krok 2: Přizpůsobení prohledávání protokolu auditování poštovní schránky

V Microsoftu 365 se položky protokolování auditu poštovní schránky uchovávají v poštovní schránce po dobu 90 dnů. Zobrazí se výzva k zadání počátečního a koncového data hledání. K přizpůsobení vyhledávání můžete použít několik volitelných parametrů. Popis těchto parametrů najdete v části Další informace.

Pokud se položky najdou po spuštění skriptu, zobrazí se zpráva podobná následující:

Snímek obrazovky se zprávou po spuštění skriptu

Tato ukázková zpráva označuje, že proces hledání našel 11 položek. Ve výchozím nastavení jsou položky FolderBind odfiltrovány a zůstávají následující typy operací:

Kopírovat
Vytvoření
Pevné odstranění
MessageBind
Přesunout
MoveToDeletedItems
SendAs
SendOnBehalf
SoftDelete
Aktualizovat

Poznámka

Operace FolderBind označuje časy, kdy je poštovní schránka přístupná pro uživatele, který není vlastníkem. Toto je nejběžnější operace. Při zkoumání položky, která je aktualizována nebo odstraněna, nemusíte zobrazovat operace FolderBind.

Zkontrolujte výstup souboru .csv. Exportují se nejužitečnější sloupce a některé z nich se sloučí, aby se výstup snadněji kontroloval. Další informace o exportovaných sloupcích najdete v části Další informace.

Protokolování auditu poštovní schránky vlastníka

Ve výchozím nastavení. Protokolování auditování vlastníka není zapnuté. Měla by se použít jenom v případě, že musíte prozkoumat akci vlastníka poštovní schránky. Měl by se používat po omezenou dobu, přibližně dva týdny. Je to proto, že položky protokolu auditu jsou uložené v poštovní schránce, což může způsobit, že dumpster poštovní schránky překročí limit velikosti.

Pokud chcete povolit protokolování auditování vlastníka, postupujte takto:

Zjistěte, jestli je povolené protokolování auditu poštovní schránky. Provedete to spuštěním následující rutiny:
```
Get-Mailbox <useridentity> | ft AuditEnabled
```
Pokud je výsledek True, přeskočte tento krok. Pokud je výsledek nepravda, spusťte v Windows PowerShell následující rutinu:
```
Set-Mailbox <useridentity> -AuditEnabled $true
```

Povolte protokolování auditování vlastníka. Provedete to spuštěním následující rutiny:

Set-Mailbox <useridentity> -AuditOwner "Create,HardDelete,Move,MoveToDeletedItems,SoftDelete,Update"

Spusťte znovuRun-MailboxAuditLogSearcher.ps1a zkontrolujte data.
Po dokončení řešení potíží zakažte protokolování auditování vlastníka. Provedete to spuštěním následující rutiny:
```
Set-Mailbox <useridentity> -AuditOwner $none
```

Další informace

Volitelné parametry skriptu

Následující seznam popisuje volitelné parametry, které při použití společně se skriptem Run-MailboxAuditLogSearcher generují různé výsledky:

IncludeFolderBind: Při použití tohoto přepínače se operace FolderBind nefiltruje z výstupu. Informace o složce FolderBind můžete použít k prozkoumání problému s přístupem k poštovní schránce.

Například následující rutina vyhledá poštovní schránku Test User 1 a zahrne všechny operace:
```
.\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
```
Předmět: Když použijete tento přepínač, můžete určit předmět položky, aby se omezilo vyhledávání operací, které se s touto položkou provádějí.

Následující rutina například vyfiltruje všechny výstupy s výjimkou položek, u kterých je předmět nastavený na "Dobré zprávy":
```
.\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
```
ReturnObject: Při použití tohoto přepínače se výsledek zobrazí na obrazovce, ale neexportuje se do souboru .csv.

Například následující rutina zobrazí výstup na obrazovce:
```
.\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
```

Export sloupců ze souboru .csv

Exportují se nejužitečnější sloupce souboru .csv. Některé z těchto sloupců se sloučí, aby se výstup snadněji kontroloval. Následující tabulka uvádí sloupce, které se exportují.

Sloupec	Popis
Předmět	Předmět položky
Operace	Akce, které se provádějí s položkou
LogonUserDisplayName	Zobrazované jméno přihlášeného uživatele o
LastAccessed	Čas provedení operace
DestFolderPathName	Cílová složka pro operaci přesunutí
FolderPathName	Cesta ke složce
ClientInfoString	Podrobnosti o klientovi, který provádí operaci
LastAccessed	IP adresa klientského počítače
ClientMachineName	Název klientského počítače
ClientProcessName	Název procesu klientské aplikace
ClientVersion	Verze klientské aplikace
Typ přihlášení	Typ přihlášení uživatele, který provádí operaci Poznámka Typy přihlášení zahrnují následující: – Delegování pro uživatele bez vlastníka – Správce – Vlastník poštovní schránky (ve výchozím nastavení se nezaprotokoluje)
MailboxResolvedOwnerName	Vyřešený název uživatele poštovní schránkyPoznámka Přeložené jméno je v následujícím formátu: Domain\SamAccountName
OperaceResult	Stav operace Poznámka: Mezi výsledky operace patří: - Failed - PartiallySucceeded - Succeeded
CrossMailboxOperation	Informace o tom, jestli je zaprotokolovaná operace operace mezi poštovními schránkami (například kopírování nebo přesouvání zpráv mezi poštovními schránkami)

Další informace o protokolování auditu poštovní schránky

Rutina Search-MailboxAuditLog se používá v ukázkovém skriptu v kroku 1 k synchronnímu hledání jedné poštovní schránky. Můžete to také provést spuštěním rutiny ve Windows Remote PowerShellu.

Další informace o rutině najdete v následujícím článku na webu TechNet:

Search-MailboxAuditLog
Jednu nebo více poštovních schránek můžete prohledávat asynchronně. Uděláte to tak, že ve Windows Remote PowerShellu spustíte následující rutinu:
```
New-MailboxAuditLogSearch
```
Další informace o této rutině najdete v následujícím článku na webu TechNet:

New-MailboxAuditLogSearch

Další informace o výchozích položkách protokolování auditu poštovní schránky najdete v části Položky protokolu auditování poštovní schránky v následujícím článku na TechNetu:

Protokolování auditu poštovní schránky v Exchange 2016