Exportieren von Postfachüberwachungsprotokollen in Exchange Online
Hinweis
Das klassische Exchange Admin Center wird derzeit in der weltweiten Bereitstellung als veraltet gekennzeichnet. Es wird empfohlen, das Überwachungsprotokoll im Microsoft Purview-Complianceportal zu durchsuchen. Weitere Informationen finden Sie unter Veraltetkeit des klassischen Exchange Admin Centers im WW-Dienst und Durchsuchen des Überwachungsprotokolls im Complianceportal.
Wenn die Postfachüberwachung für ein Postfach aktiviert ist, protokolliert Exchange Online Informationen im Postfachüberwachungsprotokoll, wenn ein anderer Benutzer als der Besitzer auf das Postfach zugreift. Jeder Protokolleintrag enthält Informationen darüber, wer wann auf das Postfach zugegriffen hat, welche Aktionen vom Nichtbesitzer ausgeführt wurden und ob die Aktion erfolgreich war. Einträge im Postfachüberwachungsprotokoll werden standardmäßig für 90 Tage beibehalten. Sie können das Postfachüberwachungsprotokoll verwenden, um zu bestimmen, ob ein anderer Benutzer als der Besitzer auf ein Postfach zugreift.
Wenn Sie Einträge aus Postfachüberwachungsprotokollen exportieren, speichert Exchange Online die Einträge in einer XML-Datei und fügt sie an eine E-Mail-Nachricht an, die an die angegebenen Empfänger gesendet wird.
Bevor Sie beginnen
Geschätzte Zeit bis zum Abschließen der einzelnen Prozeduren: variiert. Das Postfachüberwachungsprotokoll wird innerhalb weniger Tage nach dem Export gesendet.
Ab Januar 2019 ist die Postfachüberwachungsanmeldung standardmäßig für alle Exchange Online Organisationen aktiviert. Weitere Informationen finden Sie unter Postfachüberwachungen verwalten.
Wenn Sie Outlook im Web (früher als Outlook Web App bezeichnet) verwenden, um die exportierten Einträge anzuzeigen, müssen Sie .xml Anlagen in Outlook im Web aktivieren. Weitere Informationen finden Sie unter Konfigurieren Outlook im Web zum Zulassen von XML-Anlagen.
Informationen zum Suchen und Öffnen des Exchange Admin Centers (EAC) finden Sie unter Exchange Admin Center in Exchange Online.
Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen dazu, welche Berechtigungen Sie benötigen, finden Sie unter dem Eintrag "Berichte anzeigen" im Thema Featureberechtigungen in Exchange Online.
Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen für das Exchange Admin Center.
Tipp
Liegt ein Problem vor? Bitten Sie im Exchange Online-Forum um Hilfe.
Exportieren des Postfachüberwachungsprotokolls
Navigieren Sie im EAC zu Überwachung der Complianceverwaltung>.
Klicken Sie auf Postfachüberwachungsprotokolle exportieren.
Konfigurieren Sie die folgenden Suchkriterien zum Exportieren der Einträge aus dem Postfachüberwachungsprotokoll:
- Start- und Enddatum: Wählen Sie den Datumsbereich für die Einträge aus, die in die exportierte Datei eingeschlossen werden sollen.
- Postfächer zum Durchsuchen des Überwachungsprotokolls: Wählen Sie die Postfächer aus, für die Überwachungsprotokolleinträge abgerufen werden sollen.
- Typ des Zugriffs ohne Besitzer: Wählen Sie eine der folgenden Optionen aus, um den Typ des Zugriffs ohne Besitzer zu definieren, für den Einträge abgerufen werden sollen:
- Alle Nicht-Besitzer: Suchen Sie nach Zugriff durch Administratoren und delegierte Benutzer innerhalb Ihres organization und nach Microsoft-Rechenzentrumsadministratoren in Exchange Online.
- Externe Benutzer: Suchen Sie nach Zugriff durch Microsoft-Rechenzentrumsadministratoren.
- Administratoren und delegierte Benutzer: Suchen Sie in Ihrem organization nach Zugriff durch Administratoren und delegierte Benutzer.
- Administratoren: Suchen Sie nach Zugriff durch Administratoren in Ihrem organization.
- Empfänger: Wählen Sie die Benutzer aus, an die das Postfachüberwachungsprotokoll gesendet werden soll.
Klicken Sie auf Exportieren.
Exchange Online ruft Einträge im Postfachüberwachungsprotokoll ab, die Ihren Suchkriterien entsprechen, speichert sie in einer Datei namens SearchResult.xml und fügt die XML-Datei dann an eine E-Mail-Nachricht an, die an die von Ihnen angegebenen Empfänger gesendet wird.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Melden Sie sich an dem Postfach an, an das das Postfachüberwachungsprotokoll gesendet wurde. Wenn Sie das Überwachungsprotokoll erfolgreich exportiert haben, erhalten Sie eine von Exchange gesendete Nachricht. Es kann einige Tage dauern, bis diese Nachricht empfangen wird. Das Postfachüberwachungsprotokoll "SearchResult.xml" wird an diese Nachricht angefügt. Wenn Sie Outlook im Web ordnungsgemäß konfiguriert haben, um XML-Anlagen zuzulassen, können Sie die angefügte XML-Datei herunterladen.
Anzeigen des Postfachüberwachungsprotokolls
So speichern Sie die Datei "SearchResult.xml" und zeigen sie an
- Melden Sie sich an dem Postfach an, an das das Postfachüberwachungsprotokoll gesendet wurde.
- Öffnen Sie im Posteingang die Nachricht mit der XML-Dateianlage, die von Exchange Online gesendet wurde. Der Text der E-Mail enthält die Suchkriterien.
- Klicken Sie auf die Anlage, und laden Sie die XML-Datei herunter.
- Öffnen Sie die Datei "SearchResult.xml" in Microsoft Excel.
Weitere Informationen
Einträge im Postfachüberwachungsprotokoll
Das folgende Beispiel zeigt einen Eintrag aus dem Postfachüberwachungsprotokoll, das in der SearchResult.xml-Datei enthalten ist. Jedem Eintrag wird das <Ereignis-XML-Tag> vorangestellt und endet mit dem <XML-Tag /Event> . Dieser Eintrag zeigt, dass der Administrator die Nachricht mit dem Betreff "Benachrichtigung über Beweissicherungsverfahren" aus dem Ordner "Wiederherstellbare Elemente" in Davids Postfach am 30. April 2021 gelöscht hat.
<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939"
Owner="PPLNSL-dom\david50001-1363917750"
LastAccessed="2021-04-30T11:01:55.140625-07:00"
Operation="HardDelete"
OperationResult="Succeeded"
LogonType="Admin"
FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
FolderPathName="\Recoverable Items\Deletions"
ClientInfoString="Client=OWA;Action=ViaProxy"
ClientIPAddress="10.196.241.168"
InternalLogonType="Owner"
MailboxOwnerUPN="david@contoso.com"
MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151"
CrossMailboxOperation="false"
LogonUserDN="Administraor"
LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
<SourceItems>
<ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
Subject="Notification of litigation hold"
FolderPathName="\Recoverable Items\Deletions" />
</SourceItems>
</Event>
Hilfreiche Felder im Postfachüberwachungsprotokoll
Hier finden Sie eine Beschreibung der nützlichen Felder im Postfachüberwachungsprotokoll. Sie können Ihnen helfen, spezifische Informationen zu jedem instance des Nichtbesitzerzugriffs auf ein Postfach zu identifizieren.
| Feld | Beschreibung |
|---|---|
| Besitzer | Der Besitzer des Postfachs, auf das von einem Nichtbesitzer zugegriffen wurde. |
| LastAccessed | Das Datum und die Uhrzeit des Postfachzugriffs. |
| Vorgang | Die Aktion, die vom Nichtbesitzer ausgeführt wurde. Weitere Informationen finden Sie im Abschnitt "Was wird im Postfachüberwachungsprotokoll protokolliert?" unter Ausführen eines Nichtbesitzer-Postfachzugriffsberichts in Exchange Online. |
| OperationResult | Gibt an, ob die vom Nichtbesitzer ausgeführte Aktion erfolgreich war oder fehlgeschlagen ist. |
| LogonType | Der Typ des Zugriffs ohne Besitzer. Dazu gehören Administrator, Stellvertretung und extern. |
| FolderPathName | Der Name des Ordners, der die Nachricht enthielt, die vom Nichtbesitzer betroffen war. |
| ClientInfoString | Informationen zum E-Mail-Client, der vom Nichtbesitzer für den Zugriff auf das Postfach verwendet wird. |
| ClientIPAddress | Die IP-Adresse des Computers, der vom Nichtbesitzer für den Zugriff auf das Postfach verwendet wird. |
| InternalLogonType | Der Anmeldetyp des Kontos, das vom Nichtbesitzer für den Zugriff auf dieses Postfach verwendet wird. |
| MailboxOwnerUPN | Die E-Mail-Adresse des Postfachbesitzers. |
| LogonUserDN | Der Anzeigename des Nichtbesitzers. |
| Betreff | Die Betreffzeile der E-Mail-Nachricht, die vom Nichtbesitzer betroffen war. |