Suchen nach Rollengruppenänderungen oder Administratorüberwachungsprotokollen in Exchange Online

Hinweis

Das klassische Exchange Admin Center wird derzeit in der weltweiten Bereitstellung als veraltet gekennzeichnet. Es wird empfohlen, das Überwachungsprotokoll im Microsoft Purview-Complianceportal zu durchsuchen. Weitere Informationen finden Sie unter Veraltetkeit des klassischen Exchange Admin Centers im WW-Dienst und Durchsuchen des Überwachungsprotokolls im Complianceportal.

In Exchange Online Organisationen oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer können Sie die folgenden Optionen verwenden, um die Administratorüberwachungsprotokolle zu durchsuchen, um zu ermitteln, wer Änderungen an der Organisation und der Empfängerkonfiguration vorgenommen hat:

  • Führen Sie einen Administratorrollengruppenbericht im Exchange Admin Center (EAC) aus.
  • Verwenden Sie PowerShell, um nach Administratorüberwachungsprotokolleinträgen zu suchen und die Ergebnisse an einen Empfänger zu senden.

Diese Optionen können hilfreich sein, wenn Sie versuchen, die Ursache für unerwartetes Verhalten nachzuverfolgen, einen böswilligen Administrator zu identifizieren oder zu überprüfen, ob die Complianceanforderungen erfüllt sind. Beide Optionen werden in diesem Artikel beschrieben.

Tipp

Sie können auch das EAC verwenden, um Einträge im Administratorüberwachungsprotokoll anzuzeigen. Weitere Informationen finden Sie unter Anzeigen des Administratorüberwachungsprotokolls.

Was sollten Sie wissen, bevor Sie beginnen?

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter Exchange Online oder Exchange Online Protection.

Ausführen eines Administrator-Rollengruppenberichts mithilfe der Exchange-Verwaltungskonsole

Verwenden Sie den Bericht "Administratorrollengruppe", um die Änderungen an der Mitgliedschaft anzuzeigen, die an Verwaltungsrollen vorgenommen wurden.

  1. Wechseln Sie im Exchange-Verwaltungskonsole zu Überwachung der Complianceverwaltung>, und wählen Sie dann Bericht einer Administratorrollengruppe ausführen aus.

  2. Konfigurieren Sie auf der geöffneten Seite Nach Änderungen an Administratorrollengruppen suchen die folgenden Einstellungen:

    • Startdatum und Enddatum: Geben Sie einen Datumsbereich ein. Standardmäßig sucht der Bericht nach Änderungen, die innerhalb der letzten zwei Wochen an Administratorrollengruppen vorgenommen wurden.

    • Rollengruppen auswählen: Standardmäßig werden alle Rollengruppen durchsucht. Klicken Sie auf Rollengruppen auswählen, um die Ergebnisse nach bestimmten Rollengruppen zu filtern. Wählen Sie im angezeigten Dialogfeld eine Rollengruppe aus, und klicken Sie auf Hinzufügen ->. Wiederholen Sie diesen Schritt so oft wie nötig, und klicken Sie dann auf OK , wenn Sie fertig sind.

  3. Wenn Sie den Vorgang abgeschlossen haben, klicken Sie auf Suchen.

Wenn Änderungen mithilfe der angegebenen Kriterien gefunden werden, werden sie im Ergebnisbereich angezeigt. Klicken Sie auf eine Rollengruppe in den Suchergebnissen, um die Änderungen im Detailbereich anzuzeigen.

Überwachen von Änderungen an der Rollengruppenmitgliedschaft

Wenn einer Rollengruppe Mitglieder hinzugefügt oder daraus entfernt werden, wird in den im Detailbereich angezeigten Suchergebnissen angegeben, dass die Rollengruppenmitgliedschaft aktualisiert wurde, und die aktuellen Mitglieder werden aufgelistet. In den Ergebnissen ist nicht angegeben, welcher Benutzer hinzugefügt oder entfernt wurde.

Wenn Sie ermitteln möchten, ob ein Benutzer hinzugefügt oder entfernt wurde, müssen zwei separate Einträge im Bericht verglichen werden. Sehen Sie sich beispielsweise die folgenden Protokolleinträge für die Rollengruppe HelpDesk an:

27.1.2021 16:43 Uhr
Administrator
Aktualisierte Mitglieder: Administrator;annb,florencef;pilarp
06.02.2018 10:09 Uhr
Administrator
Aktualisierte Mitglieder: Administrator;annb;florencef;pilarp;tonip
19.02.2021 14:12 Uhr
Administrator
Aktualisierte Mitglieder: Administrator;annb;florencef;tonip

In diesem Beispiel wurden mit dem Administratorbenutzerkonto folgende Änderungen vorgenommen:

  • Am 06.02.2021 wurde der Benutzer-Tonip hinzugefügt.
  • Am 19.02.2021 wurde das Benutzer-Pilarp entfernt.

Verwenden des EAC zum Exportieren des Administratorüberwachungsprotokolls

Hinweis

In eigenständigem EOP können Sie das Administratorüberwachungsprotokoll nicht aus dem EAC exportieren. Sie können jedoch PowerShell verwenden, um nach Überwachungsprotokolleinträgen zu suchen und Ergebnisse an einen Empfänger zu senden.

Wenn Sie Outlook im Web (früher als Outlook Web App bezeichnet) verwenden, um die exportierten Einträge anzuzeigen, müssen Sie .xml Anlagen in Outlook im Web aktivieren. Weitere Informationen finden Sie unter Konfigurieren Outlook im Web zum Zulassen von XML-Anlagen.

Beim Exportieren des Administratorüberwachungsprotokolls werden die Informationen in eine XML-Datei geschrieben und als Anlage in einer E-Mail-Nachricht an Sie gesendet. Die maximale Größe der XML-Datei beträgt 10 MB.

  1. Wählen Sie im Exchange-Verwaltungskonsole die Option Überwachung der Complianceverwaltung>aus, und klicken Sie dann auf Administratorüberwachungsprotokoll exportieren.
  2. Wählen Sie über die Felder Startdatum und Enddatum einen Datumsbereich aus.
  3. Klicken Sie im Feld Überwachungsbericht senden an auf Benutzer auswählen, und wählen Sie anschließend den Empfänger aus, an den der Bericht gesendet werden soll.
  4. Klicken Sie auf Exportieren.

Wenn anhand der angegebenen Kriterien Protokolleinträge ermittelt werden, wird eine XML-Datei erstellt und als E-Mail-Anlage an den angegebenen Empfänger gesendet.

Verwenden von PowerShell zum Suchen nach Überwachungsprotokolleinträgen

Sie können Exchange Online PowerShell oder eigenständige Exchange Online Protection PowerShell verwenden, um nach Überwachungsprotokolleinträgen zu suchen, die den von Ihnen angegebenen Kriterien entsprechen. Eine Liste der Suchkriterien finden Sie unter Cmdlet Search-AdminAuditLog. Dieses Verfahren verwendet das Cmdlet Search-AdminAuditLog und zeigt Suchergebnisse in PowerShell an. Sie können dieses Cmdlet verwenden, wenn Sie eine Reihe von Ergebnissen zurückgeben müssen, die die im Cmdlet New-AdminAuditLogSearch oder in den EAC-Überwachungsberichten definierten Grenzwerte überschreiten.

Verwenden Sie die folgende Syntax, um das Überwachungsprotokoll anhand angegebener Kriterien zu durchsuchen.

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >

Hinweis

Das Cmdlet Search-AdminAuditLog gibt standardmäßig maximal 1.000 Protokolleinträge zurück. Verwenden Sie den ResultSize-Parameter , um bis zu 250.000 Protokolleinträge anzugeben. Oder verwenden Sie den -Wert Unlimited , um alle Einträge zurückzugeben.

In diesem Beispiel wird eine Suche nach allen Überwachungsprotokolleinträgen ausgeführt, welche die folgenden Kriterien erfüllen:

  • Startdatum: 04.08.2020
  • Enddatum: 03.10.2020
  • Benutzer-IDs: davids, chrisd, kima
  • Cmdlets: Set-Mailbox
  • Parameter: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima

In diesem Beispiel werden Änderungen an einem bestimmten Postfach ermittelt. Dies ist bei der Problembehebung nützlich, oder wenn Sie Informationen für eine Untersuchung bereitstellen müssen. Die folgenden Kriterien werden verwendet:

  • Startdatum: 01.05.2020
  • Enddatum: 03.10.2020
  • Objekt-ID: contoso.com/Users/DavidS
Search-AdminAuditLog -StartDate 05/01/2020 -EndDate 10/03/2020 -ObjectID contoso.com/Users/DavidS

Wenn Ihre Suchvorgänge viele Protokolleinträge zurückgeben, empfiehlt es sich, das unter Verwenden von PowerShell beschriebene Verfahren zu verwenden, um nach Überwachungsprotokolleinträgen zu suchen und Ergebnisse an einen Empfänger weiter unten in diesem Artikel zu senden. Bei dieser Vorgehensweise wird eine XML-Datei als E-Mail-Anlage an die angegebenen Empfänger gesendet, sodass die relevanten Daten einfacher extrahiert werden können.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Search-AdminAuditLog.

Anzeigen der Details von Überwachungsprotokolleinträgen

Das Cmdlet Search-AdminAuditLog gibt die unter Inhalt des Überwachungsprotokolls beschriebenen Felder zurück. Zwei der zurückgegebenen Felder, CmdletParameters und ModifiedProperties, enthalten zusätzliche Informationen, die standardmäßig nicht angezeigt werden.

Führen Sie die folgenden Schritte aus, um die Inhalte der Felder CmdletParameters und ModifiedProperties anzuzeigen. Alternativ können Sie das Verfahren unter Verwenden von PowerShell verwenden, um nach Überwachungsprotokolleinträgen zu suchen und Ergebnisse an einen Empfänger weiter unten in diesem Artikel zu senden, um eine XML-Datei zu erstellen.

In dieser Vorgehensweise werden die folgenden Konzepte verwendet:

  1. Legen Sie die Suchkriterien fest, führen Sie das Cmdlet Search-AdminAuditLog aus, und speichern Sie die Ergebnisse über den folgenden Befehl in einer Variablen.

    $Results = Search-AdminAuditLog <search criteria>
    
  2. Jeder Überwachungsprotokolleintrag wird als Arrayelement in der Variablen $Resultsgespeichert. Zur Auswahl eines Arrayelements geben Sie den Arrayelementindex an. Arrayelementindizes beginnen für das erste Arrayelement bei 0. Verwenden Sie beispielsweise den folgenden Befehl, um das fünfte Arrayelement (mit dem Index 4) abzurufen.

    $Results[4]
    
  3. Der oben stehende Befehl gibt den im Arrayelement 4 gespeicherten Protokolleintrag zurück. Zum Anzeigen der Felder CmdletParameters und ModifiedProperties für diesen Protokolleintrag verwenden Sie die folgenden Befehle.

    $Results[4].CmdletParameters
    $Results[4].ModifiedProperties
    
  4. Um die Inhalte der Felder CmdletParameters und ModifiedParameters in einem anderen Protokolleintrag anzuzeigen, ändern Sie den Arrayelementindex.

Verwenden von PowerShell zum Suchen nach Überwachungsprotokolleinträgen und Senden von Ergebnissen an einen Empfänger

Hinweis

Für den vom Cmdlet New-AdminAuditLogSearch generierten Bericht gilt eine Höchstgröße von 10 MB. Wenn ihre Suche einen Bericht zurückgibt, der größer als 10 MB ist, ändern Sie die von Ihnen angegebenen Suchkriterien. Reduzieren Sie beispielsweise den Datumsbereich, und führen Sie mehrere Berichte aus, um den ursprünglichen Datumsbereich abzudecken.

Wenn Sie Outlook im Web (früher als Outlook Web App bezeichnet) verwenden, um die exportierten Einträge anzuzeigen, müssen Sie .xml Anlagen in Outlook im Web aktivieren. Weitere Informationen finden Sie unter Konfigurieren Outlook im Web zum Zulassen von XML-Anlagen.

Sie können Exchange Online PowerShell oder eigenständige Exchange Online Protection PowerShell verwenden, um nach Überwachungsprotokolleinträgen zu suchen, die den von Ihnen angegebenen Kriterien entsprechen, und diese Ergebnisse dann an einen Empfänger senden, den Sie als XML-Dateianlage angeben. Die Ergebnisse werden innerhalb von 15 Minuten an den Empfänger gesendet. Eine Liste der Suchkriterien finden Sie unter Search-AdminAuditLog cmdlet criteria( Search-AdminAuditLog cmdlet criteria).

Verwenden Sie die folgende Syntax, um das Überwachungsprotokoll anhand angegebener Kriterien zu durchsuchen.

New-AdminAuditLogSearch -Cmdlets <cmdlet1, cmdlet2, ...> -Parameters <parameter1, parameter2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$true | $false > -StatusMailRecipients <recipient1, recipient2, ...> -Name <string to include in subject>

In diesem Beispiel wird eine Suche nach allen Überwachungsprotokolleinträgen ausgeführt, welche die folgenden Kriterien erfüllen:

  • Startdatum: 04.08.2020
  • Enddatum: 03.10.2020
  • Benutzer-IDs davids, chrisd, kima
  • Cmdlets: Set-Mailbox
  • Parameter: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

Der Befehl sendet die Ergebnisse an die davids@contoso.com SMTP-Adresse mit "Postfachlimitänderungen", die in der Betreffzeile der Nachricht enthalten sind.

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"

Weitere Informationen zum Format der XML-Datei finden Sie unter Struktur des Administratorüberwachungsprotokolls.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-AdminAuditLogSearch.