Como usar logs de auditoria de caixa de correio no Microsoft 365
No Microsoft 365, você pode executar logs de auditoria de caixa de correio para determinar quando uma caixa de correio foi atualizada inesperadamente ou se os itens estão ausentes de uma caixa de correio. Por exemplo, talvez seja necessário fazer isso se os itens forem movidos ou se forem excluídos inesperadamente ou incorretamente.
Observação: Para o ambiente vNext, por padrão, os logs de auditoria de caixa de correio não estão habilitados. O recurso deve ser ativado para que um usuário inicie uma pesquisa.
Como executar e verificar logs de auditoria de caixa de correio
O log de auditoria de caixa de correio permite que os usuários obtenham informações sobre ações executadas por não proprietários e administradores. O log de auditoria de caixa de correio está disponível para membros do grupo de autoatendimento Caixa de Correio de Relatório de Auditoria somente usando o Windows PowerShell Remoto.
Observação
- Por padrão, somente o log de auditoria de caixa de correio de não proprietário está habilitado e o log de auditoria de caixa de correio de proprietário está desabilitado. Se você precisar executar o log de auditoria da caixa de correio do proprietário para investigar um problema específico, poderá habilitar temporariamente o processo por duas semanas.
- Algumas organizações podem não permitir que você use o log de auditoria de caixa de correio. Nesse caso, o recurso será desativado para você.
Para investigar esse problema, crie e use um script do Windows PowerShell usando o script de exemplo fornecido na Etapa 1 desta seção e, em seguida, personalize uma pesquisa. Por padrão, você pode investigar ações executadas por não proprietários e administradores. Esse script exporta conteúdo em um arquivo simplificado de valores separados por vírgula (.csv) para ajudá-lo a solucionar problemas de relatórios sobre itens ausentes ou que foram atualizados inesperadamente.
Importante
Os clientes são incentivados a usar este script de exemplo. O script é fornecido pelo Microsoft Online Services para ajudar em determinadas investigações. Os scripts do Microsoft Online Services são genéricos e devem ser utilizáveis em todos os ambientes do cliente. Se ocorrerem erros quando um script for executado, o conteúdo do script deverá ser usado como exemplo para criar um script personalizado para um ambiente de cliente específico. O Microsoft Online Services fornece o script como uma conveniência para clientes do Microsoft 365 sem garantia, expressa ou implícita.
Etapa 1: Executar o script
Para executar o script, siga estas etapas:
Abra um editor de texto, como o Bloco de Notas, e copie o código a seguir para o arquivo. O código usa o
search-mailboxAuditLogcomando que faz parte do Microsoft Exchange Server.param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult') } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green 'Searching Mailbox Audit Logs...' $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green '$($SearchREsults.Count) Total entries Found' if (-not $IncludeFolderBind) { write-host -fore green 'Removing FolderBind operations.' $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'}) write-host -fore green 'Filtered to $($SearchREsults.Count) Entries' } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}}, @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}})) $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp') If ($Subject -ne '' -and $Subject -ne $null) { write-host -fore green 'Searching for Subject: $Subject' $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green 'Filtered to $($SearchREsults.Count) Entries' } $SearchResults = @($SearchResults | select $LogParameters) }No menu Arquivo, clique em Salvar Como.
Na caixa Salvar como tipo , selecione Todos os arquivos.
Na caixa Nome do arquivo , insira Run-MailboxAuditLogSearcher.ps1 e selecione Salvar.
Abra o Windows PowerShell e conecte-se ao Windows PowerShell Remoto.
Localize a pasta na qual você salvou o script e execute-o:
.\Run-MailboxAuditLogSearcher.ps1Observação
- Se você executar o script sem parâmetros, será solicitado os seguintes parâmetros padrão:
- Caixa de Correio
- StartDate
- EndDate
- Para pesquisar entradas do dia atual, adicione um dia ao valor da data de término na janela de prompt. Por exemplo, se a data atual for 14/03/2017 e você quiser incluir o dia atual em sua pesquisa, insira 15/03/2017 como a data de término.
- Se você executar o script sem parâmetros, será solicitado os seguintes parâmetros padrão:
Etapa 2: Personalizar uma pesquisa de log de auditoria de caixa de correio
No Microsoft 365, as entradas de log de auditoria de caixa de correio são mantidas na caixa de correio por 90 dias. Você será solicitado a indicar uma data de início e uma data de término para a pesquisa. Você pode usar vários parâmetros opcionais para personalizar a pesquisa. Para obter uma descrição desses parâmetros, consulte a seção "Mais informações".
Se os itens forem encontrados após a execução do script, você receberá uma mensagem semelhante à seguinte mensagem:
Pesquisando logs de auditoria de caixa de correio...
11 Total de entradas encontradas
Removendo operações FolderBind.
Filtrado para 1 entradasLançamento de resultados no arquivo: AuditLogResults121024_142419.csv
Esta mensagem de exemplo indica que o processo de pesquisa encontrou 11 entradas. Por padrão, as entradas FolderBind são filtradas e os seguintes tipos de operação permanecem:
- Copiar
- Criar
- Exclusão Definitiva
- Ligação de mensagem
- Mover
- MoveToDeletedItems
- Enviar como
- Enviar em nome
- SoftDelete
- Atualizar
Observação
A operação FolderBind indica os horários em que a caixa de correio é acessada por um não proprietário. Esta é a operação mais comum. Você não precisa exibir as operações FolderBind ao investigar um item que é atualizado ou excluído.
Revise a saída do arquivo .csv. As colunas mais úteis são exportadas e algumas dessas colunas são mescladas para facilitar a revisão da saída. Para obter mais informações sobre as colunas exportadas, consulte a seção "Mais informações".
Log de auditoria de caixa de correio do proprietário
O log de auditoria de caixa de correio é ativado por padrão para todas as organizações. Um dos principais benefícios de habilitar a auditoria de caixa de correio por padrão é que você não precisa gerenciar ações de caixa de correio auditadas. A Microsoft gerencia essas ações para você e adicionamos automaticamente novas ações de caixa de correio a serem auditadas por padrão à medida que as liberamos.
No entanto, sua organização pode ter que auditar um conjunto diferente de ações de caixa de correio para caixas de correio de usuário e caixas de correio compartilhadas. Para obter mais informações sobre como alterar as ações de caixa de correio auditadas para cada tipo de entrada e como reverter para as ações padrão gerenciadas pela Microsoft, consulte Alterar ou restaurar ações de caixa de correio registradas por padrão.
Mais informações
Parâmetros de script opcionais
A lista a seguir descreve os parâmetros opcionais que geram resultados diferentes quando são usados junto com o Run-MailboxAuditLogSearcher script:
IncludeFolderBind: impede que a operação FolderBind seja filtrada da saída. Você pode usar as informações do FolderBind para investigar o problema de acesso à caixa de correio.
Por exemplo, o cmdlet a seguir pesquisa a caixa de correio "Usuário de Teste 1" e inclui todas as operações:
.\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"Assunto: Permite especificar o assunto de um item para limitar a pesquisa de operações executadas nesse item.
Por exemplo, o cmdlet a seguir filtra todas as saídas, exceto itens que têm o assunto definido como 'Boas Notícias':
.\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"ReturnObject: faz com que os resultados sejam exibidos na tela (mas não sejam exportados para um arquivo .csv).
Por exemplo, o cmdlet a seguir exibe a saída na tela:
.\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"
Colunas exportadas do arquivo .csv
As colunas mais úteis do arquivo .csv são exportadas. Algumas dessas colunas são mescladas para facilitar a revisão da saída. A tabela a seguir lista as colunas exportadas.
| Coluna | descrição |
|---|---|
| Assunto | Assunto do item |
| Operação | Ações que são executadas no item |
| LogonUserDisplayName | Nome de exibição do usuário que está conectado |
| LastAccessed | Hora em que a operação foi realizada |
| DestFolderPathName | Pasta de destino para a operação de movimentação |
| Nome_do_caminho_da_pasta | Caminho da pasta |
| ClientInfoString | Detalhes sobre o cliente que executa a operação |
| LastAccessed | Endereço IP do computador cliente |
| ClientMachineName | Nome do computador cliente |
| ClientProcessName | Nome do processo de inscrição do cliente |
| ClientVersion | Versão do aplicativo cliente |
| Tipo de Logon | Tipo de logon do usuário que executa a operação Observação Os tipos de logon incluem o seguinte: - Representante para não proprietário - Administrador - Proprietário da caixa de correio (não registrado por padrão) |
| MailboxResolvedOwnerName | Nome resolvido do usuário da caixa de correio Observação O nome resolvido está no seguinte formato: Domínio\SamAccountName |
| OperationResult | Status da operação Observação Os resultados da operação incluem o seguinte: - Falha - ParcialmenteBem-sucedido - Bem-sucedido |
| CrossMailboxOperation | Informações sobre se a operação registrada é uma operação entre caixas de correio (por exemplo, copiar ou mover mensagens entre caixas de correio) |
Mais informações sobre o log de auditoria de caixa de correio
O cmdlet Search-MailboxAuditLog é usado no script de exemplo na Etapa 1 para pesquisar uma única caixa de correio de forma síncrona. Você também pode fazer isso executando o cmdlet no Windows Remote PowerShell.
Para obter mais informações sobre o cmdlet, acesse o seguinte artigo do TechNet:
Você pode pesquisar uma ou mais caixas de correio de forma assíncrona. Para fazer isso, execute o seguinte cmdlet no Windows Remote PowerShell:
New-MailboxAuditLogSearchPara obter mais informações sobre esse cmdlet, acesse o seguinte artigo:
Nova caixa de correioAuditLogSearch
Para obter mais informações sobre as entradas de log de auditoria de caixa de correio padrão, vá para a seção "Entradas de log de auditoria de caixa de correio" do seguinte artigo: