사서함 감사 관리
사서함 감사 로깅은 기본적으로 모든 조직에서 켜져 있습니다. 즉, 사서함 소유자, 대리인 및 관리자가 수행한 특정 작업이 자동으로 기록됩니다. 관리자가 사서함 감사 로그에서 검색할 수 있도록 해당 사서함 감사 레코드를 사용할 수 있습니다.
기본적으로 사서함 감사의 몇 가지 이점은 다음과 같습니다.
- 새 사서함을 만들 때 감사가 자동으로 설정됩니다. 새 사용자에 대해 사서함 감사를 수동으로 사용하도록 설정할 필요가 없습니다.
- 감사되는 사서함 작업을 관리할 필요가 없습니다. 미리 정의된 사서함 작업 집합은 각 로그인 유형(관리자, 대리자 및 소유자)에 대해 기본적으로 감사됩니다.
- Microsoft에서 새 사서함 작업을 릴리스하면 작업이 기본적으로 감사되는 사서함 작업 목록에 자동으로 추가될 수 있습니다(적절한 라이선스가 있는 사용자에 따라). 이 결과는 사서함이 릴리스될 때 새 작업을 추가할 필요가 없다는 것을 의미합니다.
- 조직 전체에 일관된 사서함 감사 정책이 있습니다(모든 사서함에 대해 동일한 작업을 감사하고 있기 때문).
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
사서함 감사 기본 사용이 켜져 있는지 확인
조직에 대해 기본적으로 사서함 감사가 켜져 있는지 확인하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.
Get-OrganizationConfig | Format-List AuditDisabled
False 값은 기본적으로 조직에 대해 사서함 감사가 켜져 있음을 나타냅니다. 조직에서 기본적으로 사서함 감사는 개별 사서함의 사서함 감사 설정을 재정의합니다. 예를 들어 사서함에 대해 사서함 감사가 꺼져 있는 경우(사서함의 AuditEnabled 속성이 False인 경우) 기본적으로 조직에 대해 사서함 감사가 켜져 있기 때문에 사서함에 대한 기본 사서함 작업이 계속 감사됩니다.
특정 사서함에 대해 사서함 감사를 사용하지 않도록 설정하려면 사서함 소유자 및 사서함에 대한 위임된 액세스 권한이 있는 다른 사용자에 대한 사서함 감사 바이패 스를 구성합니다. 자세한 내용은 이 문서의 뒷부분에 있는 사서함 감사 로깅 무시 섹션을 참조하세요.
참고
조직에 대해 기본적으로 사서함 감사를 켜면 영향을 받는 사서함에 대한 AuditEnabled 속성이 False 에서 True로 변경되지 않습니다. 즉, 기본적으로 에 대한 사서함 감사는 사서함의 AuditEnabled 속성을 무시합니다.
지원되는 사서함 유형
기본적으로 사서함 감사에서 지원되는 사서함 유형은 다음 표에 설명되어 있습니다.
사서함 유형 | 지원되는 감사 | 기본적으로 지원되는 켜기 |
---|---|---|
사용자 사서함 | ✔ | ✔ |
공유 사서함 | ✔ | ✔ |
Microsoft 365 그룹 사서함 | ✔ | ✔ |
리소스 사서함 | ✔ | |
공용 폴더 사서함 |
로그인 유형 및 사서함 작업
로그인 유형은 사서함에서 감사된 작업을 담당하는 사용자를 분류합니다. 다음 목록에서는 사서함 감사 로깅에 사용되는 로그인 유형에 대해 설명합니다.
- 소유자: 사서함 소유자(사서함과 연결된 계정)입니다.
-
대리자:
- 다른 사서함에 SendAs, SendOnBehalf 또는 FullAccess 권한이 할당된 사용자입니다.
- 사용자의 사서함에 FullAccess 권한이 할당된 관리자입니다.
-
관리자:
- 사서함은 다음 Microsoft eDiscovery 도구 중 하나를 사용하여 검색됩니다.
- Microsoft Purview 포털 또는 규정 준수 포털의 eDiscovery.
- exchange Online에서 eDiscovery를 In-Place.
- 사서함은 Microsoft Exchange Server MAPI 편집기를 사용하여 액세스합니다.
- 사서함은 다른 사용자를 가장하는 계정에서 액세스합니다. 이는 ApplicationImpersonation 역할이 현재 데이터에 적극적으로 액세스하는 애플리케이션과 같은 계정에 할당된 경우에 발생합니다. 자세한 내용은 가장 구성을 참조하세요.
- 사서함은 다음 Microsoft eDiscovery 도구 중 하나를 사용하여 검색됩니다.
사용자 사서함 및 공유 사서함에 대한 사서함 작업
다음 표에서는 사용자 사서함 및 공유 사서함에 대한 사서함 감사 로깅에서 사용할 수 있는 사서함 작업에 대해 설명합니다.
- 확인 표시(✔)는 로그인 유형에 대해 사서함 작업을 기록할 수 있음을 나타냅니다(모든 로그인 유형에 대해 모든 작업을 사용할 수 있는 것은 아님).
- 확인 표시 뒤의 별표( * )는 로그인 유형에 대해 사서함 작업이 기본적으로 기록됨을 나타냅니다.
- 사서함에 대한 모든 권한이 있는 관리자는 대리인으로 간주됩니다.
사서함 작업 | 설명 | 관리자 | 대리인 | 소유자 |
---|---|---|---|---|
AddFolderPermissions | 이 값은 사서함 작업으로 허용되지만 UpdateFolderPermissions 작업에 이미 포함되어 있으며 별도로 감사되지 않습니다. 즉, 이 값을 사용하지 마세요. | |||
ApplyRecord | 항목은 레코드로 레이블이 지정됩니다. | ✔* | ✔* | ✔* |
복사 | 메시지가 다른 폴더에 복사되었습니다. | ✔ | ||
만들기 | 사서함의 일정, 연락처, 초안, 메모 또는 작업 폴더에 항목이 만들어졌습니다(예: 새 모임 요청이 생성됨). 메시지 작성, 보내기 또는 받기는 감사되지 않습니다. 또한 사서함 폴더 만들기는 감사되지 않습니다. | ✔* | ✔* | ✔ |
FolderBind | 사서함 폴더에 액세스했습니다. 관리자 또는 대리인이 사서함을 열 때에도 작업이 기록됩니다. 참고: 대리자에서 수행하는 폴더 바인딩 작업에 대한 감사 레코드가 통합됩니다. 24시간 내에 개별 폴더 액세스에 대해 하나의 감사 레코드가 생성됩니다. |
✔ | ✔ | |
HardDelete | 메시지가 복구 가능한 항목 폴더에서 제거되었습니다. | ✔* | ✔* | ✔* |
MailboxLogin | 사용자가 사서함에 로그인했습니다. | ✔ | ||
MailItemsAccessed | 메일 프로토콜 및 클라이언트에서 메일 데이터에 액세스할 때 발생합니다. | ✔* | ✔* | ✔* |
MessageBind |
참고: 이 값은 E5/A5/G5 라이선스 가 없는 사용자만 사용할 수 있습니다. 미리 보기 창에서 메시지를 보거나 관리자가 열었습니다. |
✔ | ||
ModifyFolderPermissions | 이 값은 사서함 작업으로 허용되지만 UpdateFolderPermissions 작업에 이미 포함되어 있으며 별도로 감사되지 않습니다. 즉, 이 값을 사용하지 마세요. | |||
이동 | 메시지가 다른 폴더로 이동되었습니다. | ✔ | ✔ | ✔ |
MoveToDeletedItems | 메시지가 삭제되어 지운 편지함 폴더로 이동되었습니다. | ✔* | ✔* | ✔* |
RecordDelete | 레코드로 레이블이 지정된 항목이 일시 삭제되었습니다(복구 가능한 항목 폴더로 이동). 레코드로 레이블이 지정된 항목은 영구적으로 삭제할 수 없습니다(복구 가능한 항목 폴더에서 제거됨). | ✔ | ✔ | ✔ |
RemoveFolderPermissions | 이 값은 사서함 작업으로 허용되지만 UpdateFolderPermissions 작업에 이미 포함되어 있으며 별도로 감사되지 않습니다. 즉, 이 값을 사용하지 마세요. | |||
SearchQueryInitiated | 사용자는 Outlook(Windows, Mac, iOS, Android 또는 웹용 Outlook) 또는 Windows 10용 메일 앱을 사용하여 사서함에서 항목을 검색합니다. | ✔ | ||
보내기 | 사용자가 전자 메일 메시지를 보내거나, 전자 메일 메시지에 회신하거나, 전자 메일 메시지를 전달합니다. | ✔* | ✔* | |
SendAs | SendAs 권한을 사용하여 메시지가 전송되었습니다. 이 권한을 사용하면 다른 사용자가 사서함 소유자로부터 온 것처럼 메시지를 보낼 수 있습니다. | ✔* | ✔* | |
SendOnBehalf | SendOnBehalf 권한을 사용하여 메시지가 전송되었습니다. 이 권한을 사용하면 다른 사용자가 사서함 소유자를 대신하여 메시지를 보낼 수 있습니다. 이 메시지는 메시지가 대신 전송된 사람과 실제로 메시지를 보낸 사람을 받는 사람에게 알립니다. | ✔* | ✔* | |
SoftDelete | 지운 편지함 폴더에서 메시지가 영구적으로 삭제 또는 삭제되었습니다. 소프트 삭제된 항목이 복구 가능한 항목 폴더로 이동됩니다. | ✔* | ✔* | ✔* |
업데이트 | 메시지 또는 해당 속성이 변경되었습니다. | ✔* | ✔* | ✔* |
UpdateCalendarDelegation | 일정 위임이 사서함에 할당되었습니다. 일정 위임 기능을 사용하여 같은 조직의 다른 사용자가 사서함 소유자의 일정을 관리할 수 있습니다. | ✔* | ✔* | |
UpdateFolderPermissions | 폴더 권한이 변경되었습니다. 폴더 사용 권한은 사서함의 폴더와 해당 폴더에 있는 메시지에 액세스할 수 있는 조직의 사용자를 제어합니다. | ✔* | ✔* | ✔* |
UpdateInboxRules | 받은 편지함 규칙이 추가, 제거 또는 변경되었습니다. 받은 편지함 규칙은 조건에 따라 사용자의 받은 편지함에서 메시지를 처리합니다. 작업은 규칙의 조건과 일치하는 메시지에 수행할 작업을 지정합니다. 예를 들어 메시지를 지정된 폴더로 이동하거나 메시지를 삭제합니다. | ✔* | ✔* | ✔* |
중요
조직에서 기본적으로 사서함 감사를 켜기 전에 감사할 사서함 작업을 사용자 지정한 경우 사용자 지정된 사서함 감사 설정은 사서함에 유지되며 이 섹션에 설명된 대로 기본 사서함 작업으로 덮어쓰지 않습니다. 감사 사서함 작업을 기본값(언제든지 수행할 수 있음)으로 되돌리려면 이 문서의 뒷부 분에 있는 기본 사서함 작업 복원 섹션을 참조하세요.
Microsoft 365 그룹 사서함에 대한 사서함 작업
기본적으로 사서함 감사는 Microsoft 365 그룹 사서함에 사서함 감사 로깅을 제공하지만 기록되는 항목을 사용자 지정할 수 없습니다(로그인 유형에 대해 기록된 사서함 작업을 추가하거나 제거할 수 없음).
다음 표에서는 각 로그인 유형에 대한 Microsoft 365 그룹 사서함에 기본적으로 기록되는 사서함 작업에 대해 설명합니다.
Microsoft 365 그룹 사서함에 대한 모든 권한이 있는 관리자는 대리인으로 간주됩니다.
사서함 작업 | 설명 | 관리자 | 대리인 | 소유자 |
---|---|---|---|---|
만들기 | 일정 항목 만들기 메시지 작성, 보내기 또는 받기는 감사되지 않습니다. | ✔* | ✔* | |
HardDelete | 메시지가 복구 가능한 항목 폴더에서 제거되었습니다. | ✔* | ✔* | ✔* |
MoveToDeletedItems | 메시지가 삭제되어 지운 편지함 폴더로 이동되었습니다. | ✔* | ✔* | ✔* |
SendAs | SendAs 권한을 사용하여 메시지가 전송되었습니다. | ✔* | ✔* | |
SendOnBehalf | SendOnBehalf 권한을 사용하여 메시지가 전송되었습니다. | ✔* | ✔* | |
SoftDelete | 지운 편지함 폴더에서 메시지가 영구적으로 삭제 또는 삭제되었습니다. 소프트 삭제된 항목이 복구 가능한 항목 폴더로 이동됩니다. | ✔* | ✔* | ✔* |
업데이트 | 메시지 또는 해당 속성이 변경되었습니다. | ✔* | ✔* | ✔* |
각 로그인 유형에 대해 기본 사서함 작업이 기록되고 있는지 확인합니다.
기본적으로 에 대한 사서함 감사는 모든 사서함에 새 DefaultAuditSet 속성을 추가합니다. 이 속성의 값은 기본 사서함 작업(Microsoft에서 관리)이 사서함에서 감사되는지 여부를 나타냅니다.
사용자 사서함 또는 공유 사서함에 값을 표시하려면 MailboxIdentity>를 사서함의 이름, 별칭, 전자 메일 주소 또는 사용자 계정 이름(사용자 이름)으로 바꾸고 <Exchange Online PowerShell에서 다음 명령을 실행합니다.
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
Microsoft 365 그룹 사서함에 값을 표시하려면 MailboxIdentity>를 공유 사서함의 이름, 별칭 또는 전자 메일 주소로 바꾸고 <Exchange Online PowerShell에서 다음 명령을 실행합니다.
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
값 Admin, Delegate, Owner
은 다음을 나타냅니다.
- 세 가지 로그인 유형 모두에 대한 기본 사서함 작업이 감사되고 있습니다. 이 값은 Microsoft 365 그룹 사서함에 표시되는 유일한 값입니다.
- 관리자는 사용자 사서함 또는 공유 사서함의 로그인 유형에 대해 감사된 사서함 작업을 변경하지 않았습니다 .
관리자가 로그인 유형에 대해 감사되는 사서함 작업을 변경한 적이 있는 경우(Set-Mailbox cmdlet에서 AuditAdmin, AuditDelegate 또는 AuditOwner 매개 변수 사용) 속성 값이 다릅니다.
예를 들어 사용자 사서함 또는 공유 사서함의 DefaultAuditSet 속성 값 Owner
은 다음을 나타냅니다.
- 사서함 소유자에 대한 기본 사서함 작업이 감사되고 있습니다.
- 및
Admin
로그인 유형에Delegate
대한 감사된 사서함 작업이 기본 작업에서 변경되었습니다.
DefaultAuditSet 속성의 빈 값은 사용자 사서함 또는 공유 사서함에서 세 가지 로그인 유형 모두에 대한 사서함 작업이 변경되었음을 나타냅니다.
자세한 내용은 이 문서의 기본값으로 기록된 사서함 작업 변경 또는 복원 섹션을 참조하세요.
사서함에 로그온 중인 사서함 작업 표시
현재 사용자 사서함 또는 공유 사서함 <에 로그온 중인 사서함 작업을 보려면 MailboxIdentity> 를 사서함의 이름, 별칭, 전자 메일 주소 또는 사용자 계정 이름(사용자 이름)으로 바꾸고 Exchange Online PowerShell에서 다음 명령 중 하나 이상을 실행합니다.
참고
Microsoft 365 그룹 사서함에 대한 다음 Get-Mailbox 명령에 스위치를 추가할 -GroupMailbox
수 있지만 반환되는 값은 믿지 않습니다. Microsoft 365 그룹 사서함에 대해 감사되는 기본 및 정적 사서함 작업은 이 문서의 앞부분에 있는 Microsoft 365 그룹 사서함에 대한 사서함 작업 섹션에 설명되어 있습니다.
소유자 작업
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
대리자 작업
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
관리자 작업
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
기본적으로 기록된 사서함 작업 변경 또는 복원
앞에서 설명한 것처럼 기본적으로 사서함 감사를 수행할 때의 주요 이점 중 하나는 감사되는 사서함 작업을 관리할 필요가 없다는 것입니다. Microsoft는 사용자를 위한 작업을 관리하며, 새 사서함 작업이 릴리스될 때 기본적으로 감사할 새 사서함 작업을 자동으로 추가합니다.
그러나 조직에서 사용자 사서함 및 공유 사서함에 대한 다른 사서함 작업 집합을 감사해야 할 수 있습니다. 이 섹션의 절차에서는 각 로그인 유형에 대해 감사되는 사서함 작업을 변경하는 방법과 Microsoft 관리 기본 작업으로 되돌리는 방법을 보여 줍니다.
중요
다음 절차를 사용하여 사용자 사서함 또는 공유 사서함에 로그온된 사서함 작업을 사용자 지정하는 경우 Microsoft에서 릴리스한 모든 새 기본 사서함 작업은 해당 사서함에 대해 자동으로 감사되지 않습니다. 사용자 지정된 작업 목록에 새 사서함 작업을 수동으로 추가해야 합니다.
감사하도록 사서함 작업 변경
Set-Mailbox cmdlet에서 AuditAdmin, AuditDelegate 또는 AuditOwner 매개 변수를 사용하여 사용자 사서함 및 공유 사서함에 대해 감사되는 사서함 작업을 변경할 수 있습니다(Microsoft 365 그룹 사서함에 대한 감사 작업은 사용자 지정할 수 없음).
두 가지 방법을 사용하여 사서함 작업을 지정할 수 있습니다.
- 구문을
action1,action2,...actionN
사용하여 기존 사서함 작업을 대체(덮어쓰기)합니다. - 또는 구문을
@{Add="action1","action2",..."actionN"}
사용하여 다른 기존 값에 영향을 주지 않고 사서함 작업을 추가하거나@{Remove="action1","action2",..."actionN"}
제거합니다.
다음은 SoftDelete 및 HardDelete를 사용하여 기본 작업을 덮어쓰어 "Gabriela Laureano"라는 사서함의 관리자 사서함 작업을 변경하는 예제입니다.
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
다음은 MailboxLogin 소유자 작업을 사서함 laura@contoso.onmicrosoft.com에 추가하는 예제입니다.
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
다음은 팀 토론 사서함에 대한 MoveToDeletedItems 대리자 작업을 제거하는 예제입니다.
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
사용하는 방법에 관계없이 사용자 사서함 또는 공유 사서함에서 감사된 사서함 작업을 사용자 지정하면 다음과 같은 결과가 발생합니다.
- 사용자 지정한 로그인 유형의 경우 감사된 사서함 작업은 더 이상 Microsoft에서 관리되지 않습니다.
- 사용자 지정한 로그인 유형은 이전에 설명한 대로 사서함의 DefaultAuditSet 속성 값에 더 이상 표시되지 않습니다.
기본 사서함 작업 복원
참고
다음 절차는 Microsoft 365 그룹 사서함에 적용되지 않습니다( 여기에 설명된 대로 기본 작업으로 제한됨).
사용자 사서함 또는 공유 사서함에서 감사되는 사서함 작업을 사용자 지정한 경우 다음 구문을 사용하여 하나 또는 모든 로그인 유형에 대한 기본 사서함 작업을 복원할 수 있습니다.
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
여러 DefaultAuditSet 값을 쉼표로 구분하여 지정할 수 있습니다.
다음은 사서함의 모든 로그인 유형에 대해 감사된 기본 사서함 작업을 복원하는 예제입니다 mark@contoso.onmicrosoft.com.
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
다음은 사서함 chris@contoso.onmicrosoft.com의 관리자 로그인 유형에 대해 감사된 기본 사서함 작업을 복원하는 예제이지만 위임 및 소유자 로그인 유형에 대해 사용자 지정된 감사 사서함 작업을 그대로 둡니다.
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
로그인 유형에 대한 기본 감사 사서함 작업을 복원하면 다음과 같은 결과가 발생합니다.
- 현재 사서함 작업 목록은 로그인 유형에 대한 기본 사서함 작업으로 대체됩니다.
- Microsoft에서 릴리스한 모든 새 사서함 작업은 로그인 유형에 대한 감사된 작업 목록에 자동으로 추가됩니다.
- 복원된 로그인 유형을 포함하도록 사서함의 DefaultAuditSet 속성 값이 업데이트됩니다.
조직에 대해 기본적으로 사서함 감사 끄기
Exchange Online PowerShell에서 다음 명령을 실행하여 전체 조직에 대해 기본적으로 사서함 감사를 해제할 수 있습니다.
Set-OrganizationConfig -AuditDisabled $true
기본적으로 사서함 감사를 해제하면 다음과 같은 결과가 발생합니다.
- 조직에 대해 사서함 감사가 꺼져 있습니다.
- 사서함 감사를 기본적으로 해제할 때부터 사서함 감사가 사서함에서 사용하도록 설정된 경우에도 사서함 작업이 감사되지 않습니다(사서함의 AuditEnabled 속성은 True임).
- 새 사서함에 대해 사서함 감사가 켜져 있지 않으며 새 사서함 또는 기존 사서함의 AuditEnabled 속성을 True 로 설정하는 것은 무시됩니다.
- 모든 사서함 감사 바이패스 연결 설정( Set-MailboxAuditBypassAssociation cmdlet을 사용하여 구성됨)은 무시됩니다.
- 기존 사서함 감사 레코드는 레코드에 대한 감사 로그 기간 제한이 만료될 때까지 유지됩니다.
기본적으로 사서함 감사 켜기
조직에 대한 사서함 감사를 다시 설정하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.
Set-OrganizationConfig -AuditDisabled $false
사서함 감사 로깅 우회
현재 조직의 사서함 감사 기본 사용이 켜져 있으면 특정 사서함에 대한 사서함 감사를 사용하지 않도록 설정할 수 없습니다. 예를 들어 AuditEnabled 사서함 속성을 False 로 설정하면 무시됩니다.
그러나 Exchange Online PowerShell에서 Set-MailboxAuditBypassAssociation cmdlet을 사용하여 작업이 발생하는 위치에 관계없이 지정된 사용자의 모든 사서함 작업이 기록되지 않도록 할 수 있습니다. 예:
- 바이패스된 사용자가 수행한 사서함 소유자 작업은 기록되지 않습니다.
- 다른 사용자의 사서함(공유 사서함 포함)에서 바이패스된 사용자가 수행한 대리자 작업은 기록되지 않습니다.
- 바이패스된 사용자가 수행한 관리자 작업은 기록되지 않습니다.
특정 사용자에 대한 사서함 감사 로깅을 우회하려면 <MailboxIdentity>를 사용자의 이름, 전자 메일 주소, 별칭 또는 사용자 계정 이름(사용자 이름)으로 바꾸고 다음 명령을 실행합니다.
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
지정된 사용자에 대해 감사가 우회되었는지 확인하려면 다음 명령을 실행합니다.
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
True 값은 사서함 감사 로깅이 사용자에 대해 무시됨을 나타냅니다.
추가 정보
기본적으로 사서함 감사 로그 레코드는 삭제되기 전에 90일 동안 보존됩니다. Exchange Online PowerShell의 Set-Mailbox cmdlet에서 AuditLogAgeLimit 매개 변수를 사용하여 감사 로그 레코드의 연령 제한을 변경할 수 있습니다. 그러나 이 값을 늘리면 감사 로그에서 90일보다 오래된 이벤트를 검색할 수 없습니다.
연령 제한을 늘리면 Exchange Online PowerShell의 Search-MailboxAuditLog cmdlet을 사용하여 사용자의 사서함 감사 로그에서 90일 이전 레코드를 검색해야 합니다.
기본적으로 조직에 대해 사서함 감사를 켜기 전에 사서함에 대한 AuditLogAgeLimit 속성을 변경한 경우 사서함의 기존 감사 로그 기간 제한은 변경되지 않습니다. 즉, 기본적으로 에 대한 사서함 감사는 사서함 감사 레코드의 현재 연령 제한에 영향을 주지 않습니다.
Microsoft 365 그룹 사서함에서 AuditLogAgeLimit 값을 변경하려면 Set-Mailbox 명령에 스위치를 포함
-GroupMailbox
해야 합니다.사서함 감사 로그 레코드는 각 사용자의 사서함에 있는 복구 가능한 항목 폴더의 하위 폴더( Audits)에 저장됩니다. 사서함 감사 레코드 및 복구 가능한 항목 폴더에 대해 다음 사항에 유의하세요.
사서함 감사 레코드는 기본적으로 30GB(경고 할당량은 20GB)인 복구 가능한 항목 폴더의 스토리지 할당량에 대한 수입니다. 스토리지 할당량은 다음과 같은 경우 자동으로 100GB(90GB 경고 할당량 포함)로 증가합니다.
- 사서함에 보류가 배치됩니다.
- 사서함은 Microsoft Purview 포털 또는 규정 준수 포털의 보존 정책에 할당됩니다.
사서함 감사 레코드는 복구 가능한 항목 폴더의 폴더 제한에 대해서도 계산됩니다. 감사 하위 폴더에 최대 300만 개의 항목(감사 레코드)을 저장할 수 있습니다.
참고
기본적으로 에 대한 사서함 감사는 복구 가능한 항목 폴더의 스토리지 할당량 또는 폴더 제한에 영향을 주지 않을 수 있습니다.
Exchange Online PowerShell에서 다음 명령을 실행하여 복구 가능한 항목 폴더의 Audits 하위 폴더에 있는 항목의 크기와 수를 표시할 수 있습니다.
Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
복구 가능한 항목 폴더의 감사 로그 레코드에 직접 액세스할 수 없습니다. 대신 Search-MailboxAuditLog cmdlet을 사용하거나 감사 로그를 검색하여 사서함 감사 레코드를 찾아 봅니다.
사서함이 보류 중이거나 보존 정책에 할당된 경우 감사 로그 레코드는 사서함의 AuditLogAgeLimit 속성(기본적으로 90일)에 정의된 기간 동안 계속 유지됩니다. 보류 중인 사서함에 대한 감사 로그 레코드를 더 오래 유지하려면 사서함의 AuditLogAgeLimit 값을 늘려야 합니다.
다중 지역 환경에서는 지역 간 사서함 감사가 지원되지 않습니다. 예를 들어 사용자에게 다른 지리적 위치의 공유 사서함에 액세스할 수 있는 권한이 할당된 경우 해당 사용자가 수행한 사서함 작업은 공유 사서함의 사서함 감사 로그에 기록되지 않습니다. Exchange 관리자 감사 이벤트는 Microsoft Purview 및 Search-UnifiedAuditLog cmdlet을 통해 모든 위치에 사용할 수 있습니다.