Exchange Online 역할 그룹 변경 내용 또는 관리자 감사 로그 검색

아티클
04/04/2023

참고

클래식 Exchange 관리 센터는 전 세계 배포에서 더 이상 사용되지 않습니다. Microsoft Purview 규정 준수 포털 감사 로그를 검색하는 것이 좋습니다. 자세한 내용은 WW 서비스의 클래식 Exchange 관리 센터 사용 중단 및 규정 준수 포털에서 감사 로그 검색을 참조하세요.

Exchange Online 사서함이 없는 Exchange Online 조직 또는 EOP(독립 실행형 Exchange Online Protection) 조직에서는 다음 옵션을 사용하여 관리자 감사 로그를 검색하여 조직 및 받는 사람 구성을 변경한 사람을 검색할 수 있습니다.

EAC(Exchange 관리 센터)에서 관리자 역할 그룹 보고서를 실행합니다.
PowerShell을 사용하여 관리자 감사 로그 항목을 검색하고 결과를 받는 사람에게 보냅니다.

이러한 옵션은 예기치 않은 동작의 원인을 추적하거나, 악의적인 관리자를 식별하거나, 규정 준수 요구 사항이 충족되고 있는지 확인하려고 할 때 유용할 수 있습니다. 이 두 옵션은 모두 이 문서에 설명되어 있습니다.

팁

EAC를 사용하여 관리자 감사 로그에서 항목을 볼 수도 있습니다. 자세한 내용은 관리자 감사 로그 보기를 참조하세요.

시작하기 전에 알아야 할 사항은 무엇인가요?

각 절차의 예상 완료 시간: 5분 미만
이러한 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다. 필요한 권한을 확인하려면 Exchange Online 항목의 기능 권한에서 "보기 전용 관리자 감사 로깅" 항목을 참조하세요.
EAC(Exchange 관리 센터)를 열려면 Exchange Online Exchange 관리 센터를 참조하세요.
Exchange Online PowerShell에 연결하려면 Exchange Online PowerShell에 연결을 참조하세요. 독립 실행형 Exchange Online Protection PowerShell에 연결하려면 Exchange Online Protection PowerShell에 연결을 참조하세요.
이 항목의 절차에 적용될 수 있는 바로 가기 키에 대한 자세한 내용은 Exchange 관리 센터의 바로 가기 키를 참조하세요.

팁

문제가 있습니까? Exchange 포럼에서 도움을 요청하세요. Exchange Online 또는 Exchange Online Protection 포럼을 방문하세요.

EAC를 사용하여 관리자 역할 그룹 보고서 실행

관리자 역할 그룹 보고서를 사용하여 관리 역할에 대한 멤버 자격 변경 내용을 확인합니다.

EAC에서 규정 준수 관리>감사로 이동한 다음 관리자 역할 그룹 보고서 실행을 선택합니다.
열리는 관리자 역할 그룹 변경 내용 검색 페이지에서 다음 설정을 구성합니다.
- 시작 날짜 및 종료 날짜: 날짜 범위를 입력합니다. 기본적으로 보고서는 지난 2주 동안의 관리자 역할 그룹 변경 내용을 검색합니다.
- 역할 그룹 선택: 기본적으로 모든 역할 그룹이 검색됩니다. 특정 역할 그룹별로 결과를 필터링하려면 역할 그룹 선택을 클릭합니다. 표시되는 대화 상자에서 역할 그룹을 선택하고 추가를> 클릭합니다. 필요에 따라 이 단계를 여러 번 반복한 다음 완료되면 확인을 클릭합니다.
마쳤으면 검색을 클릭합니다.

지정된 조건을 사용하여 변경 내용을 발견하면 결과 창에 표시됩니다. 검색 결과에서 역할 그룹을 클릭하여 세부 정보 창에서 변경 내용을 확인합니다.

역할 그룹 구성원의 변경 모니터링

구성원이 역할 그룹에서 추가되거나 제거되면 세부 정보 창에 표시되는 검색 결과에서 역할 그룹 구성원이 업데이트되었음이 표시되고 현재 구성원이 표시됩니다. 이 결과에서는 추가되거나 제거된 사용자가 명시적으로 나타나지 않습니다.

사용자가 추가되었거나 제거되었는지 확인하려면 보고서에서 두 가지 항목을 비교해야 합니다. 예를 들어 HelpDesk 역할 그룹에 대한 다음 로그 항목을 살펴보겠습니다.

2021년 1월 27일 오후 4:43
관리자
업데이트된 구성원: Administrator;annb,florencef;pilarp
2018/2/06 오전 10:09
관리자
업데이트된 구성원: Administrator;annb;florencef;pilarp;tonip
2021년 2월 19일 오후 2:12
관리자
업데이트된 구성원: Administrator;annb;florencef;tonip

이 예에서 관리자 사용자 계정은 다음과 같이 변경되었습니다.

2021년 2월 6일에 사용자 토니핑을 추가했습니다.
2021년 2월 19일에 사용자 pilarp을 제거했습니다.

EAC를 사용하여 관리자 감사 로그 내보내기

참고

독립 실행형 EOP에서는 EAC에서 관리자 감사 로그를 내보낼 수 없습니다. 그러나 PowerShell을 사용하여 감사 로그 항목을 검색하고 받는 사람에게 결과를 보낼 수 있습니다.

웹용 Outlook(이전의 Outlook Web App)를 사용하여 내보낸 항목을 보려면 웹용 Outlook .xml 첨부 파일을 사용하도록 설정해야 합니다. 자세한 내용은 XML 첨부 파일을 허용하도록 웹용 Outlook 구성을 참조하세요.

관리자 감사 로그를 내보내면 XML 파일에 정보가 기록되고 전자 메일 메시지의 첨부 파일로 전송됩니다. XML 파일의 최대 크기는 10MB(메가바이트)입니다.

EAC에서 준수 관리>감사를 선택한 다음 관리자 감사 로그 내보내기를 클릭합니다.
시작 날짜와 끝 날짜 필드를 사용하여 날짜 범위를 선택합니다.
다음 사람에게 감사 보고서 보내기 필드에서 사용자 선택을 클릭한 후 보고서를 받을 사람을 선택합니다.
내보내기를 클릭합니다.

지정한 기준을 사용하여 로그 항목을 찾은 경우 XML 파일이 생성되어 지정한 받는 사람에게 전자 메일 첨부 파일로 전송됩니다.

PowerShell을 사용하여 감사 로그 항목 검색

Exchange Online PowerShell 또는 독립 실행형 Exchange Online Protection PowerShell을 사용하여 지정한 조건에 맞는 감사 로그 항목을 검색할 수 있습니다. 검색 조건 목록은 Search-AdminAuditLog cmdlet을 참조하세요. 이 절차에서는 Search-AdminAuditLog cmdlet을 사용하고 PowerShell에 검색 결과를 표시합니다. New-AdminAuditLogSearch cmdlet 또는 EAC 감사 보고서에 정의된 제한을 초과하는 결과 집합을 반환해야 하는 경우 이 cmdlet을 사용할 수 있습니다.

지정한 기준을 충족하는 감사 로그를 검색하려면 다음 구문을 사용합니다.

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >

참고

Search-AdminAuditLog cmdlet은 기본적으로 최대 1,000개의 로그 항목을 반환합니다. ResultSize 매개 변수를 사용하여 최대 250,000개의 로그 항목을 지정합니다. 또는 값을 Unlimited 사용하여 모든 항목을 반환합니다.

이 예에서는 다음 기준을 사용하여 모든 감사 로그 항목을 검색합니다.

시작 날짜: 2020/08/04
종료 날짜: 2020/10/03
사용자 ID: davids, , chrisdkima
Cmdlet: Set-Mailbox
매개 변수: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima

이 예에서는 특정 사서함에 대한 변경 내용을 검색합니다. 문제를 해결하거나 조사에 필요한 정보를 제공해야 할 경우에 유용합니다. 다음과 같은 기준이 사용됩니다.

시작 날짜: 2020/05/01
종료 날짜: 2020/10/03
개체 ID: contoso.com/Users/DavidS

Search-AdminAuditLog -StartDate 05/01/2020 -EndDate 10/03/2020 -ObjectID contoso.com/Users/DavidS

검색에서 많은 로그 항목을 반환하는 경우 PowerShell을 사용하여 감사 로그 항목을 검색하고 이 문서의 뒷부분에 있는 받는 사람에게 결과를 보내는 데 제공된 절차를 사용하는 것이 좋습니다. 해당 섹션의 절차는 지정한 받는 사람에게 XML 파일을 전자 메일 첨부 파일로 전송하므로 관심 있는 데이터를 더 쉽게 추출할 수 있습니다.

구문과 매개 변수에 대한 자세한 내용은 Search-AdminAuditLog를 참조하십시오.

감사 로그 항목의 상세 정보 보기

Search-AdminAuditLog cmdlet은 감사 로그 내용에 설명된 필드를 반환합니다. cmdlet에 의해 반환된 필드 중에서 CmdletParameters 및 ModifiedProperties 의 두 필드에는 기본적으로 볼 수 없는 추가 정보가 포함됩니다.

CmdletParameters 및 ModifiedProperties 필드의 콘텐츠를 보려면 다음 단계를 수행합니다. 또는 PowerShell 사용의 절차를 사용하여 감사 로그 항목을 검색하고 이 문서의 뒷부분에 있는 받는 사람에게 결과를 보내 XML 파일을 만들 수 있습니다.

이 절차에서는 다음 개념을 사용합니다.

검색할 기준을 정하고 Search-AdminAuditLog cmdlet을 실행한 후 다음 명령을 사용하여 변수에 결과를 저장합니다.
```
$Results = Search-AdminAuditLog <search criteria>
```
각 감사 로그 항목은 변수 $Results에 배열 요소로 저장됩니다. 배열 요소 인덱스를 지정하여 배열 요소를 선택할 수 있습니다. 배열 요소 인덱스는 첫 번째 배열 요소에 대해 0에서 시작합니다. 예를 들어, 인덱스가 4인 5번째 배열 요소를 검색하려면 다음 명령을 사용합니다.
```
$Results[4]
```
이전 명령이 배열 요소 4에 저장된 로그 항목을 반환합니다. 이 로그 항목의 CmdletParameters 및 ModifiedProperties 필드의 콘텐츠를 보려면 다음 명령을 사용합니다.
```
$Results[4].CmdletParameters
$Results[4].ModifiedProperties
```
다른 로그 항목의 CmdletParameters 또는 ModifiedParameters 필드의 콘텐츠를 보려면 배열 요소 인덱스를 변경합니다.

PowerShell을 사용하여 감사 로그 항목을 검색하고 받는 사람에게 결과 보내기

참고

New-AdminAuditLogSearch cmdlet이 생성할 수 있는 보고서의 최대 크기는 10MB입니다. 검색에서 10MB보다 큰 보고서를 반환하는 경우 지정한 검색 조건을 변경합니다. 예를 들어 날짜 범위를 줄이고 여러 보고서를 실행하여 원래 날짜 범위를 다룹니다.

Exchange Online PowerShell 또는 독립 실행형 Exchange Online Protection PowerShell을 사용하여 지정한 조건을 충족하는 감사 로그 항목을 검색한 다음 XML 파일 첨부 파일로 지정한 받는 사람에게 해당 결과를 보낼 수 있습니다. 결과가 15분 내에 받는 사람에게 전송됩니다. 검색 조건 목록은 Search-AdminAuditLog cmdlet 조건을 참조하세요.