Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Eigenschaften und Felder erläutert, die in Exchange-Überwachungsdatensätzen angezeigt werden, die von Search-UnifiedAuditLog zurückgegeben werden. Es wurde für Exchange- und Microsoft 365-Administratoren geschrieben, die Postfachaktivitäten untersuchen oder Skripts zum Analysieren der Überwachungsausgabe erstellen. Sie finden eine kurze Beschreibung der primären Eigenschaften, repräsentativen AuditData-JSON-Code für allgemeine Vorgänge, PowerShell-Extraktionsbeispiele und eine Kurzübersicht zu allgemeinen Eigenschaftswerten und Untersuchungsszenarien.
Verwenden Sie diesen Verweis, um Folgendes zu verstehen:
- Wichtige Eigenschaften in Überwachungsdatensatzergebnissen
- Was jedes Feld darstellt und enthält
- Allgemeine Eigenschaftswerte und ihre Bedeutungen
- Extrahieren grundlegender Informationen aus Überwachungsdaten
Referenz zur Überwachungsdatensatzstruktur
Exchange-Überwachungsdatensätze enthalten mehrere wichtige Eigenschaften, die unterschiedliche Arten von Informationen über die überwachte Aktivität bereitstellen.
Eigenschaften des primären Überwachungsdatensatzes
Wenn Sie Search-UnifiedAuditLog ausführen, enthält jedes Ergebnis die folgenden Haupteigenschaften:
| Eigenschaft | Datentyp | Beschreibung | Beispielwert |
|---|---|---|---|
| Auditdata | JSON-Zeichenfolge | Detaillierte JSON-Daten zur Aktivität | Komplexe JSON-Struktur |
| CreationDate | DateTime | Zeitpunkt des Auftretens der Aktivität | 17.11.2025 14:30:15 |
| Identität | GUID | Eindeutiger Bezeichner für den Überwachungsdatensatz | 00aa00aa-bb11-cc22-dd33-44ee44ee4e4ee4e |
| Vorgänge | Zeichenfolge | Welche Art von Aktivität aufgetreten ist | SoftDelete, HardDelete, Move |
| ResultCount | Integer | Verfügbare Gesamtergebnisse | 150 |
| ResultIndex | Integer | Position in Suchergebnissen | 1, 2, 3... |
| UserIds | Zeichenfolge | Wer die Aktivität ausgeführt hat | <user@domain.com> |
Referenz zur JSON-Struktur von AuditData
Die AuditData-Eigenschaft enthält ausführliche Informationen im JSON-Format. Hier sind einige typische JSON-Antwortstrukturen für allgemeine Vorgänge:
- Email Löschen (SoftDelete/HardDelete)
{
"CreationTime": "2025-11-17T14:30:15",
"Id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"Operation": "SoftDelete",
"OrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"RecordType": 2,
"ResultStatus": "Success",
"UserKey": "user@domain.com",
"UserType": 0,
"Version": 1,
"Workload": "Exchange",
"ClientIP": "192.168.1.100",
"ObjectId": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwBGAAAAAAC7...",
"UserId": "user@domain.com",
"ClientInfoString": "Client=OWA;Mozilla/5.0...",
"ExternalAccess": false,
"InternalLogonType": 0,
"MailboxGuid": "87654321-4321-4321-4321-210987654321",
"MailboxOwnerUPN": "mailboxowner@domain.com",
"LogonType": 0,
"Item": {
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwBGAAAAAAC7...",
"Subject": "Meeting Request - Q4 Planning",
"ParentFolder": {
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwAuAAAAAAC7...",
"Name": "Inbox",
"Path": "[\\Inbox](file:///\\inbox\)"
}
},
"SessionId": "11111111-2222-3333-4444-555555555555"
}
- Erstellen von Postfachregeln (New-InboxRule)
{
"CreationTime": "2025-11-17T14:45:22",
"Id": "98765432-8765-8765-8765-876543218765",
"Operation": "New-InboxRule",
"OrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"RecordType": 1,
"ResultStatus": "Success",
"UserKey": "user@domain.com",
"UserType": 0,
"Version": 1,
"Workload": "Exchange",
"ClientIP": "10.0.0.50",
"ObjectId": "InboxRule:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"UserId": "user@domain.com",
"ClientInfoString": "Client=WebServices;ExchangeWebServices",
"MailboxGuid": "87654321-4321-4321-4321-210987654321",
"MailboxOwnerUPN": "mailboxowner@domain.com",
"Parameters": \[
{
"Name": "Name",
"Value": "Move Microsoft Security Emails"
},
{
"Name": "MoveToFolder",
"Value": "[\\Inbox\\Security](file:///\\inbox\Security)"
},
{
"Name": "From",
"Value": "security-noreply@microsoft.com"
}
\],
"SessionId": "22222222-3333-4444-5555-666666666666"
}
- Postfachzugriff (MailItemsAccessed)
{
"CreationTime": "2025-11-17T15:00:10",
"Id": "13579246-1357-1357-1357-135792468135",
"Operation": "MailItemsAccessed",
"OrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"RecordType": 50,
"ResultStatus": "Success",
"UserKey": "user@domain.com",
"UserType": 0,
"Version": 1,
"Workload": "Exchange",
"ClientIP": "203.0.113.45",
"UserId": "user@domain.com",
"ClientInfoString": "Client=ActiveSync;Apple-iPhone/1309.63",
"MailboxGuid": "87654321-4321-4321-4321-210987654321",
"MailboxOwnerUPN": "mailboxowner@domain.com",
"ClientAppId": "00000002-0000-0ff1-ce00-000000000000",
"Folders": \[
{
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwAuAAAAAAC7...",
"Path": "[\\Inbox](file:///\\inbox\)",
"FolderItems": \[
{
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwBGAAAAAAC7...",
"Subject": "Weekly Status Report"
}
\]
}
\],
"OperationCount": 5,
"SessionId": "33333333-4444-5555-6666-777777777777"
}
Hier sind die Schlüsselfelder nach Kategorie geordnet:
Benutzer- und Sitzungsinformationen
| Feld | Datentyp | Beschreibung | Beispielwert |
|---|---|---|---|
| ClientInfoString | Zeichenfolge | Clientanwendungsinformationen | Client=OWA, Client=WebServices |
| ClientIP | Zeichenfolge | IP-Adresse des Clients | 192.168.1.100 |
| SessionId | GUID | Eindeutiger Sitzungsbezeichner | 00aa00aa-bb11-cc22-dd33-44ee44ee4e4ee4e |
| UserId | Zeichenfolge | Benutzer, der die Aktion ausgeführt hat | user@domain.com |
| UserKey | Zeichenfolge | Benutzer-ID-Schlüssel | user@domain.com |
| UserType | Zeichenfolge | Typ des Benutzerkontos | Normal, Admin, System, Anwendung |
Aktivitätsdetails
| Feld | Datentyp | Beschreibung | Beispielwert |
|---|---|---|---|
| CreationTime | DateTime | Zeitpunkt der Aktivität (UTC) | 2025-11-17T14:30:15Z |
| Vorgang | Zeichenfolge | Bestimmter ausgeführter Vorgang | SoftDelete, New-InboxRule, MailItemsAccessed |
| OrganizationId | GUID | Organisationsbezeichner | 00aa00aa-bb11-cc22-dd33-44ee44ee4e4ee4e |
| RecordType | Zeichenfolge | Typ des Überwachungsdatensatzes | ExchangeItem, ExchangeAdmin |
| Arbeitslast | Zeichenfolge | Microsoft 365-Dienst | Exchange, SharePoint, OneDrive |
Zielinformationen
| Feld | Datentyp | Beschreibung | Beispielwert |
|---|---|---|---|
| Item.Id | Zeichenfolge | Exchange-Elementbezeichner | AAMkADM2... |
| Item.ParentFolder.Name | Zeichenfolge | Ordnername, in dem sich das Element befand | Posteingang, Gesendete Elemente, gelöschte Elemente |
| Item.ParentFolder.Path | Zeichenfolge | Vollständiger Ordnerpfad | \Posteingang, \Gelöschte Elemente |
| Item.Subject | Zeichenfolge | Betreffzeile der E-Mail | Besprechungsanfrage |
| MailboxGuid | GUID | Zielpostfachbezeichner | 00aa00aa-bb11-cc22-dd33-44ee44ee4e4ee4e |
| MailboxOwnerUPN | Zeichenfolge | E-Mail-Adresse des Postfachbesitzers | mailboxowner@domain.com |
Grundlegende Datenextraktionstechniken
Konvertieren von JSON-Daten
Verwenden Sie die folgenden Befehle, um Informationen aus dem AuditData JSON-Code zu extrahieren:
\$AuditData = ConvertFrom-Json \$Results[0].AuditData
\$AuditData.UserId
\$AuditData.ClientIP
\$AuditData.MailboxOwnerUPN
Anzeigen von Schlüsseleigenschaften
Verwenden Sie den folgenden Befehl, um die Haupteigenschaften in einem lesbaren Format anzuzeigen:
\$Results \| Select CreationDate, UserIds, Operations, @{Name="MailboxOwner";Expression={(ConvertFrom-Json \$\_.AuditData).MailboxOwnerUPN}} \| Format-Table -AutoSize
Grundlegendes zu allgemeinen Eigenschaftswerten
Die folgenden Tabellen helfen Ihnen, allgemeine Werte in Überwachungsdatensatzeigenschaften zu verstehen.
Vorgangstypen
| Vorgang | Beschreibung | Untersuchungsschwerpunkt |
|---|---|---|
| HardDelete | Element endgültig entfernt | Dauerhafte Löschungen |
| MailItemsAccessed | Zugriff auf Postfachelemente | Untersuchung nicht autorisierter Zugriffe |
| Move | Zwischen Ordnern verschobenes Element | Änderungen an ordner organization |
| New-InboxRule | Neue Postfachregel erstellt | Untersuchung der Regelerstellung |
| Senden | Email wurde gesendet | Email Kommunikationsnachverfolgung |
| Set-InboxRule | Postfachregel geändert | Nachverfolgung von Regeländerungen |
| SoftDelete | Element wurde in gelöschte Elemente verschoben | Vom Benutzer initiierte Löschungen |
RecordType-Werte
| RecordType | Arbeitslast | Typische Vorgänge |
|---|---|---|
| ExchangeAdmin | Exchange | New-InboxRule, Set-InboxRule, Set-Mailbox |
| ExchangeAggregatedOperation | Exchange | MailItemsAccessed (Massenvorgänge) |
| ExchangeItem | Exchange | SoftDelete, HardDelete, Move, Send |
UserType-Werte
| UserType | Beschreibung | Untersuchungshinweise |
|---|---|---|
| Administrator | Administratorkonto | Administrative Aktionen |
| Application | Anwendungsdienstprinzipal | App-basierter Zugriff |
| Regular | Standard Benutzerkonto | Normale Benutzeraktivität |
| System | System- oder Dienstkonto | Automatisierte Prozesse |
ClientInfoString-Beispiele
| ClientInfoString | Beschreibung | Access-Methode |
|---|---|---|
| Client=ActiveSync | Exchange ActiveSync | Synchronisierung mobiler Geräte |
| Client=IMAP4 | IMAP-Protokoll | IMAP-Clientzugriff |
| Client=OWA | Outlook Web App | Webbrowserzugriff |
| Client=POP3 | POP3-Protokoll | POP3-Clientzugriff |
| Client=WebServices | Exchange-Webdienste (Exchange-Webdienste, EWS) | Programmgesteuerter Zugriff |
Kurzübersicht
Wesentliche Eigenschaften für Untersuchungen
| Untersuchungstyp | Wichtige Eigenschaften, auf die sie sich konzentrieren müssen |
|---|---|
| Massenvorgänge | SessionId, ItemCount, ClientIP, UserIds, Operations |
| Email Löschungen | CreationDate, UserIds, Operations, Item.Subject, Item.ParentFolder.Name |
| Regeländerungen | UserIds, Operations, Parameters, ClientIP, MailboxOwnerUPN |
| Nicht autorisierter Zugriff | UserIds, ClientIP, ClientInfoString, MailboxOwnerUPN, SessionId |
Nützliche PowerShell-Techniken
| Technik | Befehlsbeispiel | Zweck |
|---|---|---|
| Konvertieren von JSON | ConvertFrom-Json \$\_.AuditData |
Extrahieren detaillierter Überwachungsinformationen |
| Filterdaten | Where-Object {\$\_.ClientIP -like "192.168.\*"} |
Konzentrieren Sie sich auf bestimmte Kriterien |
| Ausgabe formatieren | Format-Table -Wrap -AutoSize |
Ergebnisse deutlich anzeigen |
| Gruppenergebnisse | Group-Object ClientIP |
Identifizieren von Mustern und Anomalien |
| „Eigenschaften“ auswählen | Wählen Sie CreationDate, UserIds, Operations aus. | Nur relevante Informationen anzeigen |
Nächste Schritte
- Durchsuchen des Überwachungsprotokolls nach Postfachaktivitäten in bestimmten Postfächern: Wenden Sie Ihre Kenntnisse über Exchange-Überwachungseigenschaften an, um nach bestimmten Postfachaktivitäten zu suchen.
- Verwenden eines PowerShell-Skripts zum Durchsuchen des Überwachungsprotokolls: Verwenden Sie die PowerShell-Techniken aus diesem Artikel bei automatisierten Überwachungsprotokollsuchen.
- Verwenden von MailItemsAccessed zum Untersuchen von kompromittierten Konten: Untersuchen Sie die Zugriffsmuster für Exchange-Postfächer mithilfe der MailItemsAccessed-Überwachungsaktion.