Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les propriétés et les champs que vous voyez dans les enregistrements d’audit Exchange retournés par Search-UnifiedAuditLog. Il est écrit pour les administrateurs Exchange et Microsoft 365 qui examinent l’activité des boîtes aux lettres ou créent des scripts pour analyser la sortie d’audit. Vous trouverez une description concise des propriétés principales, un JSON AuditData représentatif pour les opérations courantes, des exemples d’extraction PowerShell et une référence rapide pour les valeurs de propriété courantes et les scénarios d’investigation.
Utilisez cette référence pour comprendre :
- Propriétés clés dans les résultats de l’enregistrement d’audit
- Ce que chaque champ représente et contient
- Valeurs de propriété courantes et leur signification
- Comment extraire des informations de base à partir de données d’audit
Informations de référence sur la structure d’enregistrement d’audit
Les enregistrements d’audit Exchange contiennent plusieurs propriétés clés qui fournissent différents types d’informations sur l’activité auditée.
Propriétés de l’enregistrement d’audit principal
Lorsque vous exécutez Search-UnifiedAuditLog, chaque résultat contient les propriétés principales suivantes :
| Propriété | Type de données | Description | Exemple de valeur |
|---|---|---|---|
| AuditData | Chaîne JSON | Données JSON détaillées sur l’activité | Structure JSON complexe |
| CreationDate | DateTime | Quand l’activité s’est produite | 17/11/2025 14:30:15 PM |
| Identité | GUID | Identificateur unique de l’enregistrement d’audit | 00aa00aa-bb11-cc22-dd33-44ee44ee4ee44ee |
| Opérations | String | Quel type d’activité s’est produit | SoftDelete, HardDelete, Move |
| ResultCount | Entier | Total des résultats disponibles | 150 |
| ResultIndex | Entier | Position dans les résultats de la recherche | 1, 2, 3... |
| ID utilisateur | String | Qui a effectué l’activité | <user@domain.com> |
Informations de référence sur la structure JSON AuditData
La propriété AuditData contient des informations détaillées au format JSON. Voici quelques structures de réponse JSON classiques pour les opérations courantes :
- suppression Email (SoftDelete/HardDelete)
{
"CreationTime": "2025-11-17T14:30:15",
"Id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"Operation": "SoftDelete",
"OrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"RecordType": 2,
"ResultStatus": "Success",
"UserKey": "user@domain.com",
"UserType": 0,
"Version": 1,
"Workload": "Exchange",
"ClientIP": "192.168.1.100",
"ObjectId": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwBGAAAAAAC7...",
"UserId": "user@domain.com",
"ClientInfoString": "Client=OWA;Mozilla/5.0...",
"ExternalAccess": false,
"InternalLogonType": 0,
"MailboxGuid": "87654321-4321-4321-4321-210987654321",
"MailboxOwnerUPN": "mailboxowner@domain.com",
"LogonType": 0,
"Item": {
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwBGAAAAAAC7...",
"Subject": "Meeting Request - Q4 Planning",
"ParentFolder": {
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwAuAAAAAAC7...",
"Name": "Inbox",
"Path": "[\\Inbox](file:///\\inbox\)"
}
},
"SessionId": "11111111-2222-3333-4444-555555555555"
}
- Création de règles de boîte aux lettres (New-InboxRule)
{
"CreationTime": "2025-11-17T14:45:22",
"Id": "98765432-8765-8765-8765-876543218765",
"Operation": "New-InboxRule",
"OrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"RecordType": 1,
"ResultStatus": "Success",
"UserKey": "user@domain.com",
"UserType": 0,
"Version": 1,
"Workload": "Exchange",
"ClientIP": "10.0.0.50",
"ObjectId": "InboxRule:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"UserId": "user@domain.com",
"ClientInfoString": "Client=WebServices;ExchangeWebServices",
"MailboxGuid": "87654321-4321-4321-4321-210987654321",
"MailboxOwnerUPN": "mailboxowner@domain.com",
"Parameters": \[
{
"Name": "Name",
"Value": "Move Microsoft Security Emails"
},
{
"Name": "MoveToFolder",
"Value": "[\\Inbox\\Security](file:///\\inbox\Security)"
},
{
"Name": "From",
"Value": "security-noreply@microsoft.com"
}
\],
"SessionId": "22222222-3333-4444-5555-666666666666"
}
- Accès aux boîtes aux lettres (MailItemsAccessed)
{
"CreationTime": "2025-11-17T15:00:10",
"Id": "13579246-1357-1357-1357-135792468135",
"Operation": "MailItemsAccessed",
"OrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"RecordType": 50,
"ResultStatus": "Success",
"UserKey": "user@domain.com",
"UserType": 0,
"Version": 1,
"Workload": "Exchange",
"ClientIP": "203.0.113.45",
"UserId": "user@domain.com",
"ClientInfoString": "Client=ActiveSync;Apple-iPhone/1309.63",
"MailboxGuid": "87654321-4321-4321-4321-210987654321",
"MailboxOwnerUPN": "mailboxowner@domain.com",
"ClientAppId": "00000002-0000-0ff1-ce00-000000000000",
"Folders": \[
{
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwAuAAAAAAC7...",
"Path": "[\\Inbox](file:///\\inbox\)",
"FolderItems": \[
{
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwBGAAAAAAC7...",
"Subject": "Weekly Status Report"
}
\]
}
\],
"OperationCount": 5,
"SessionId": "33333333-4444-5555-6666-777777777777"
}
Voici les champs clés organisés par catégorie :
Informations sur l’utilisateur et la session
| Field | Type de données | Description | Exemple de valeur |
|---|---|---|---|
| ClientInfoString | String | Informations sur l’application cliente | Client=OWA, Client=WebServices |
| ClientIP | String | Adresse IP du client | 192.168.1.100 |
| SessionId | GUID | Identificateur de session unique | 00aa00aa-bb11-cc22-dd33-44ee44ee4ee44ee |
| UserId | String | Utilisateur qui a effectué l’action | user@domain.com |
| UserKey | String | Clé d’identificateur d’utilisateur | user@domain.com |
| UserType | String | Type de compte d’utilisateur | Standard, Administration, Système, Application |
Détails de l’activité
| Field | Type de données | Description | Exemple de valeur |
|---|---|---|---|
| CreationTime | DateTime | Quand l’activité s’est produite (UTC) | 2025-11-17T14:30:15Z |
| Opération | String | Opération spécifique effectuée | SoftDelete, New-InboxRule, MailItemsAccessed |
| OrganizationId | GUID | Identificateur de l’organisation | 00aa00aa-bb11-cc22-dd33-44ee44ee4ee44ee |
| RecordType | String | Type d’enregistrement d’audit | ExchangeItem, ExchangeAdmin |
| Charge de travail | String | Service Microsoft 365 | Exchange, SharePoint, OneDrive |
Informations sur la cible
| Field | Type de données | Description | Exemple de valeur |
|---|---|---|---|
| Item.Id | String | Identificateur d’élément Exchange | AAMkADM2... |
| Item.ParentFolder.Name | String | Nom du dossier où se trouvait l’élément | Boîte de réception, Éléments envoyés, Éléments supprimés |
| Item.ParentFolder.Path | String | Chemin d’accès complet au dossier | \Inbox, \Deleted Items |
| Item.Subject | String | Ligne d’objet de l’e-mail | Demande de réunion |
| MailboxGuid | GUID | Identificateur de boîte aux lettres cible | 00aa00aa-bb11-cc22-dd33-44ee44ee4ee44ee |
| MailboxOwnerUPN | String | Adresse e-mail du propriétaire de la boîte aux lettres | mailboxowner@domain.com |
Techniques d’extraction de données de base
Convertir des données JSON
Pour extraire des informations du AuditData json, utilisez les commandes suivantes :
\$AuditData = ConvertFrom-Json \$Results[0].AuditData
\$AuditData.UserId
\$AuditData.ClientIP
\$AuditData.MailboxOwnerUPN
Afficher les propriétés de la clé
Pour afficher les propriétés principales dans un format lisible, utilisez la commande suivante :
\$Results \| Select CreationDate, UserIds, Operations, @{Name="MailboxOwner";Expression={(ConvertFrom-Json \$\_.AuditData).MailboxOwnerUPN}} \| Format-Table -AutoSize
Présentation des valeurs de propriété courantes
Les tableaux suivants vous aident à comprendre les valeurs courantes trouvées dans les propriétés d’enregistrement d’audit.
Types d’opérations
| Opération | Description | Focus sur l’investigation |
|---|---|---|
| HardDelete | Élément supprimé définitivement | Suppressions définitives |
| MailItemsAccessed | Accès aux éléments de boîte aux lettres | Investigation d’accès non autorisé |
| Déplacer | Élément déplacé entre les dossiers | Modifications apportées organization dossier |
| New-InboxRule | Nouvelle règle de boîte aux lettres créée | Investigation de création de règle |
| Envoyer | Email a été envoyé | Email le suivi des communications |
| Set-InboxRule | Règle de boîte aux lettres modifiée | Suivi des modifications de règle |
| SoftDelete | Élément déplacé vers Éléments supprimés | Suppressions lancées par l’utilisateur |
Valeurs RecordType
| RecordType | Charge de travail | Opérations classiques |
|---|---|---|
| ExchangeAdmin | Exchange | New-InboxRule, Set-InboxRule, Set-Mailbox |
| ExchangeAggregatedOperation | Exchange | MailItemsAccessed (opérations en bloc) |
| ExchangeItem | Exchange | SoftDelete, HardDelete, Move, Send |
Valeurs UserType
| UserType | Description | Notes d’enquête |
|---|---|---|
| Administrateur | Compte d’administrateur | Actions administratives |
| Application | Principal du service d’application | Accès basé sur l’application |
| Regular | Standard compte d’utilisateur | Activité normale de l’utilisateur |
| Système | Compte système ou de service | Processus automatisés |
Exemples ClientInfoString
| ClientInfoString | Description | Méthode Access |
|---|---|---|
| Client=ActiveSync | Exchange ActiveSync | Synchronisation des appareils mobiles |
| Client=IMAP4 | Protocole IMAP | Accès au client IMAP |
| Client=OWA | Outlook Web App | Accès au navigateur web |
| Client=POP3 | Protocole POP3 | Accès au client POP3 |
| Client=WebServices | Services Web Exchange (EWS) | Accès par programmation |
Informations de référence rapides
Propriétés essentielles pour les investigations
| Type d’investigation | Propriétés clés sur laquelle se concentrer |
|---|---|
| Opérations en bloc | SessionId, ItemCount, ClientIP, UserIds, Operations |
| suppressions de Email | CreationDate, UserIds, Operations, Item.Subject, Item.ParentFolder.Name |
| Modifications de règle | UserIds, Operations, Parameters, ClientIP, MailboxOwnerUPN |
| Accès non autorisé | UserIds, ClientIP, ClientInfoString, MailboxOwnerUPN, SessionId |
Techniques PowerShell utiles
| Technique | Exemple de commande | Objectif |
|---|---|---|
| Convertir JSON | ConvertFrom-Json \$\_.AuditData |
Extraire des informations d’audit détaillées |
| Filtrer des données | Where-Object {\$\_.ClientIP -like "192.168.\*"} |
Mettre l’accent sur des critères spécifiques |
| Mettre en forme la sortie | Format-Table -Wrap -AutoSize |
Afficher les résultats clairement |
| Résultats du groupe | Group-Object ClientIP |
Identifier les modèles et les anomalies |
| Sélectionner des propriétés | Sélectionnez CreationDate, UserIds, Operations | Afficher uniquement les informations pertinentes |
Étapes suivantes
- Rechercher dans le journal d’audit des activités de boîte aux lettres dans des boîtes aux lettres spécifiques : appliquez vos connaissances des propriétés d’audit Exchange pour rechercher des activités de boîte aux lettres spécifiques.
- Utiliser un script PowerShell pour rechercher dans le journal d’audit : utilisez les techniques PowerShell de cet article dans les recherches automatisées dans les journaux d’audit.
- Utilisez MailItemsAccessed pour examiner les comptes compromis : examinez les modèles d’accès aux boîtes aux lettres Exchange à l’aide de l’action d’audit MailItemsAccessed.