Exportieren von Postfachüberwachungsprotokollen in Exchange Online

Hinweis

Das klassische Exchange Admin Center wird derzeit in der weltweiten Bereitstellung als veraltet gekennzeichnet. Es wird empfohlen, das Überwachungsprotokoll im Microsoft Purview-Complianceportal zu durchsuchen. Weitere Informationen finden Sie unter Veraltetkeit des klassischen Exchange Admin Centers im WW-Dienst und Durchsuchen des Überwachungsprotokolls im Complianceportal.

Wenn die Postfachüberwachung für ein Postfach aktiviert ist, protokolliert Exchange Online Informationen im Postfachüberwachungsprotokoll, wenn ein anderer Benutzer als der Besitzer auf das Postfach zugreift. Jeder Protokolleintrag enthält Angaben zur zugreifenden Person und zur Zugriffszeit, zu den Aktionen, die der Nicht-Besitzer ausgeführt hat, sowie zum Status der Aktion. Einträge im Postfachüberwachungsprotokoll werden standardmäßig für 90 Tage beibehalten. Mithilfe des Postfachüberwachungsprotokolls können Sie feststellen, ob auf ein Postfach von einer Person zugegriffen wurde, bei der es sich nicht um den Besitzer des Postfachs handelt.

Wenn Sie Einträge aus Postfachüberwachungsprotokollen exportieren, speichert Exchange Online die Einträge in einer XML-Datei und fügt sie an eine E-Mail-Nachricht an, die an die angegebenen Empfänger gesendet wird.

Bevor Sie beginnen

Tipp

Liegt ein Problem vor? Bitten Sie im Exchange Online-Forum um Hilfe.

Exportieren des Postfachüberwachungsprotokolls

  1. Navigieren Sie im EAC zu Überwachung der Complianceverwaltung>.

  2. Klicken Sie auf Postfachüberwachungsprotokolle exportieren.

  3. Konfigurieren Sie die folgenden Suchkriterien zum Exportieren der Einträge aus dem Postfachüberwachungsprotokoll:

    • Start- und Enddatum: Wählen Sie den Datumsbereich für die Einträge aus, die in die exportierte Datei eingeschlossen werden sollen.
    • Postfächer zum Durchsuchen des Überwachungsprotokolls: Wählen Sie die Postfächer aus, für die Überwachungsprotokolleinträge abgerufen werden sollen.
    • Typ des Zugriffs ohne Besitzer: Wählen Sie eine der folgenden Optionen aus, um den Typ des Zugriffs ohne Besitzer zu definieren, für den Einträge abgerufen werden sollen:
      • Alle Nicht-Besitzer: Suchen Sie nach Zugriff durch Administratoren und delegierte Benutzer innerhalb Ihrer Organisation sowie nach Microsoft-Rechenzentrumsadministratoren in Exchange Online.
      • Externe Benutzer: Suchen Sie nach Zugriff durch Microsoft-Rechenzentrumsadministratoren.
      • Administratoren und delegierte Benutzer: Suchen Sie nach Zugriff durch Administratoren und delegierte Benutzer innerhalb Ihrer Organisation.
      • Administratoren: Suchen Sie nach Zugriff durch Administratoren in Ihrer Organisation.
    • Empfänger: Wählen Sie die Benutzer aus, an die das Postfachüberwachungsprotokoll gesendet werden soll.
  4. Klicken Sie auf Exportieren.

Exchange Online ruft Einträge im Postfachüberwachungsprotokoll ab, die Ihren Suchkriterien entsprechen, speichert sie in einer Datei mit dem Namen SearchResult.xml und fügt die XML-Datei dann an eine E-Mail-Nachricht an, die an die von Ihnen angegebenen Empfänger gesendet wird.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Melden Sie sich an dem Postfach an, an das das Postfachüberwachungsprotokoll gesendet wurde. Wenn das Überwachungsprotokoll erfolgreich exportiert wurde, erhalten Sie eine von Exchange gesendete Nachricht. Es kann einige Tage dauern, bis diese Nachricht empfangen wird. Das Postfachüberwachungsprotokoll "SearchResult.xml" wird an diese Nachricht angefügt. Wenn Sie Outlook im Web ordnungsgemäß konfiguriert haben, um XML-Anlagen zuzulassen, können Sie die angefügte XML-Datei herunterladen.

Anzeigen des Postfachüberwachungsprotokolls

So speichern Sie die Datei "SearchResult.xml" und zeigen sie an

  1. Melden Sie sich an dem Postfach an, an das das Postfachüberwachungsprotokoll gesendet wurde.
  2. Öffnen Sie im Posteingang die Nachricht mit der XML-Dateianlage, die von Exchange Online gesendet wurde. Der Text der E-Mail enthält die Suchkriterien.
  3. Klicken Sie auf die Anlage, und laden Sie die XML-Datei herunter.
  4. Öffnen Sie die Datei "SearchResult.xml" in Microsoft Excel.

Weitere Informationen

Einträge im Postfachüberwachungsprotokoll

Das folgende Beispiel zeigt einen Eintrag aus dem Postfachüberwachungsprotokoll, das in der SearchResult.xml-Datei enthalten ist. Jedem Eintrag wird das <Ereignis-XML-Tag> vorangestellt und endet mit dem <XML-Tag /Event> . Dieser Eintrag zeigt, dass der Administrator die Nachricht mit dem Betreff "Benachrichtigung über Beweissicherungsverfahren" aus dem Ordner "Wiederherstellbare Elemente" in Davids Postfach am 30. April 2021 gelöscht hat.

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939"
  Owner="PPLNSL-dom\david50001-1363917750"
  LastAccessed="2021-04-30T11:01:55.140625-07:00"
  Operation="HardDelete"
  OperationResult="Succeeded"
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy"
  ClientIPAddress="10.196.241.168"
  InternalLogonType="Owner"
  MailboxOwnerUPN="david@contoso.com"
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151"
  CrossMailboxOperation="false"
  LogonUserDN="Administraor"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
<SourceItems>
<ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
   Subject="Notification of litigation hold"
   FolderPathName="\Recoverable Items\Deletions" />
</SourceItems>
</Event>

Hilfreiche Felder im Postfachüberwachungsprotokoll

Hier finden Sie eine Beschreibung der nützlichen Felder im Postfachüberwachungsprotokoll. Diese Felder enthalten spezifische Informationen zu den einzelnen Instanzen von Nicht-Besitzer-Zugriffen eines Postfachs.

Feld Beschreibung
Besitzer Der Besitzer des Postfachs, auf das von einem Nicht-Besitzer zugegriffen wurde.
LastAccessed Das Datum und die Uhrzeit des Postfachzugriffs.
Operation Die vom Nicht-Besitzer ausgeführte Aktion. Weitere Informationen finden Sie im Abschnitt "Was wird im Postfachüberwachungsprotokoll protokolliert?" unter Ausführen eines Postfachzugriffsberichts ohne Besitzer in Exchange Online.
OperationResult Gibt an, ob die vom Nicht-Besitzer ausgeführte Aktion erfolgreich war.
LogonType Der Typ des Nicht-Besitzer-Zugriffs. Dazu gehören Administrator, Stellvertretung und extern.
FolderPathName Der Name des Ordners mit der Nachricht, die von der Aktion des Nicht-Besitzers betroffen war.
ClientInfoString Informationen zum E-Mail-Client, mit dem der Nicht-Besitzer auf das Postfach zugegriffen hat.
ClientIPAddress Die IP-Adresse des Computers, mit dem der Nicht-Besitzer auf das Postfach zugegriffen hat.
InternalLogonType Der Anmeldetyp des Kontos, mit dem der Nicht-Besitzer auf das Postfach zugegriffen hat.
MailboxOwnerUPN Die E-Mail-Adresse des Postfachbesitzers.
LogonUserDN Der Anzeigename des Nicht-Besitzers.
Subject Die Betreffzeile der E-Mail, die von der Aktion des Nicht-Besitzers betroffen war.