Como usar logs de auditoria de caixa de correio no Microsoft 365
No Microsoft 365, você pode executar logs de auditoria de caixa de correio para determinar quando uma caixa de correio foi atualizada inesperadamente ou se itens estão faltando em uma caixa de correio. Por exemplo, talvez seja necessário fazer isso se os itens forem movidos ou se forem excluídos inesperadamente ou incorretamente.
Nota: Para o ambiente vNext, por padrão, os logs de auditoria de caixa de correio não estão habilitados. O recurso deve estar ativado para que o usuário inicie uma pesquisa.
Como executar e verificar logs de auditoria de caixa de correio
O log de auditoria de caixa de correio permite que os usuários obtenham informações sobre ações executadas por não proprietários e administradores. O log de auditoria de caixa de correio está disponível para membros do grupo de autoatendimento Caixa de Correio de Relatório de Auditoria somente usando o Windows Remote PowerShell.
Nota
- Por padrão, apenas o log de auditoria de caixa de correio de não proprietário está habilitado e o log de auditoria de caixa de correio de proprietário está desabilitado. Se você precisar executar o log de auditoria da caixa de correio do proprietário para investigar um problema específico, poderá habilitar temporariamente o processo por duas semanas.
- Algumas organizações podem não permitir que você use o log de auditoria de caixa de correio. Neste caso, o recurso será desativado para você.
Para investigar esse problema, crie e use um script do Windows PowerShell usando o script de exemplo fornecido na Etapa 1 desta seção e personalize uma pesquisa. Por padrão, você pode investigar ações executadas por não proprietários e administradores. Esse script exporta conteúdo em um arquivo simplificado de valores separados por vírgulas (.csv) para ajudá-lo a solucionar problemas de relatórios sobre itens que estão faltando ou que foram atualizados inesperadamente.
Importante
Os clientes são incentivados a usar este script de exemplo. O script é fornecido pelo Microsoft Online Services para ajudar em determinadas investigações. Os scripts do Microsoft Online Services são genéricos e devem ser utilizáveis em todos os ambientes do cliente. Se ocorrerem erros quando um script é executado, o conteúdo do script deve ser usado como exemplo para criar um script personalizado para um ambiente de cliente específico. O Microsoft Online Services fornece o script como uma conveniência para os clientes do Microsoft 365 sem garantia, expressa ou implícita.
Etapa 1: Executar o script
Para executar o script, siga estes passos:
Abra um editor de texto, como o bloco de notas, e copie o código a seguir para o arquivo. O código usa o
search-mailboxAuditLogcomando que faz parte do Microsoft Exchange Server.param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult') } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green 'Searching Mailbox Audit Logs...' $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green '$($SearchREsults.Count) Total entries Found' if (-not $IncludeFolderBind) { write-host -fore green 'Removing FolderBind operations.' $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'}) write-host -fore green 'Filtered to $($SearchREsults.Count) Entries' } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}}, @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}})) $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp') If ($Subject -ne '' -and $Subject -ne $null) { write-host -fore green 'Searching for Subject: $Subject' $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green 'Filtered to $($SearchREsults.Count) Entries' } $SearchResults = @($SearchResults | select $LogParameters) }No menu File (Ficheiro), selecione Save As (Guardar Como).
Na caixa Salvar como tipo, selecione Todo o arquivo.
Na caixa Nome do arquivo , digite Run-MailboxAuditLogSearcher.ps1 e selecione Salvar.
Abra o Windows PowerShell e conecte-se ao Windows Remote PowerShell.
Localize a pasta na qual você salvou o script e, em seguida, execute o script:
.\Run-MailboxAuditLogSearcher.ps1Nota
- Se você executar o script sem parâmetros, serão solicitados os seguintes parâmetros padrão:
- Mailbox
- StartDate
- EndDate
- Para pesquisar entradas do dia atual, adicione um dia ao valor da data final na janela do prompt. Por exemplo, se a data atual for 14/03/2017 e você quiser incluir o dia atual na sua pesquisa, digite 15/03/2017 como a data final.
- Se você executar o script sem parâmetros, serão solicitados os seguintes parâmetros padrão:
Etapa 2: Personalizar uma pesquisa de log de auditoria de caixa de correio
No Microsoft 365, as entradas de log de auditoria de caixa de correio são mantidas na caixa de correio por 90 dias. Você será solicitado a indicar uma data de início e uma data de término para a pesquisa. Você pode usar vários parâmetros opcionais para personalizar a pesquisa. Para obter uma descrição desses parâmetros, consulte a seção "Mais informações".
Se os itens forem encontrados após a execução do script, você receberá uma mensagem semelhante à seguinte mensagem:
Pesquisando logs de auditoria de caixa de correio...
11 Total de entradas encontradas
Removendo operações FolderBind.
Filtrado para 1 entradasLançamento dos resultados no arquivo: AuditLogResults121024_142419.csv
Esta mensagem de exemplo indica que o processo de pesquisa encontrou 11 entradas. Por padrão, as entradas FolderBind são filtradas e os seguintes tipos de operação permanecem:
- Copiar
- Criar
- Exclusão Rígida
- MessageBind
- Mover
- MoveToDeletedItems
- SendAs
- SendOnBehalf
- SoftDelete
- Atualizar
Nota
A operação FolderBind indica os horários em que a caixa de correio é acessada por um não proprietário. Esta é a operação mais comum. Não é necessário exibir as operações FolderBind quando você investiga um item que é atualizado ou excluído.
Revise a saída do arquivo .csv. As colunas mais úteis são exportadas e algumas dessas colunas são mescladas para facilitar a revisão da saída. Para obter mais informações sobre as colunas que são exportadas, consulte a seção 'Mais informações'.
Log de auditoria de caixa de correio do proprietário
O log de auditoria de caixa de correio é ativado por padrão para todas as organizações. Um dos principais benefícios de habilitar a auditoria de caixa de correio por padrão é que você não precisa gerenciar ações de caixa de correio auditadas. A Microsoft gerencia essas ações para você e adicionamos automaticamente novas ações de caixa de correio para serem auditadas por padrão à medida que as lançamos.
No entanto, sua organização pode ter que auditar um conjunto diferente de ações de caixa de correio para caixas de correio de usuário e caixas de correio compartilhadas. Para obter mais informações sobre como alterar as ações de caixa de correio auditadas para cada tipo de entrada e como reverter para as ações padrão gerenciadas pela Microsoft, consulte Alterar ou restaurar ações de caixa de correio registradas por padrão.
Mais informações
Parâmetros de script opcionais
A lista a seguir descreve parâmetros opcionais que geram resultados diferentes quando são usados em conjunto com o Run-MailboxAuditLogSearcher script:
IncludeFolderBind: Impede que a operação FolderBind seja filtrada da saída. Você pode usar as informações de FolderBind para investigar o problema de acesso à caixa de correio.
Por exemplo, o cmdlet a seguir pesquisa a caixa de correio "Test User 1" e inclui todas as operações:
.\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"Assunto: Permite especificar o assunto de um item para limitar a pesquisa de operações que são executadas nesse item.
Por exemplo, o cmdlet a seguir filtra todas as saídas, exceto os itens que têm o assunto definido como 'Boas notícias':
.\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"ReturnObject: Faz com que os resultados sejam exibidos na tela (mas não exportados para um arquivo .csv).
Por exemplo, o cmdlet a seguir exibe a saída na tela:
.\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"
Colunas exportadas do arquivo .csv
As colunas mais úteis do arquivo .csv são exportadas. Algumas dessas colunas são mescladas para facilitar a revisão da saída. A tabela a seguir lista as colunas que são exportadas.
| Column | Description |
|---|---|
| Assunto | Assunto do item |
| Operação | Ações executadas no item |
| LogonUserDisplayName | Nome para exibição do usuário que está conectado |
| LastAccessed | Momento em que a operação foi realizada |
| DestFolderPathName | Pasta de destino para a operação de movimentação |
| FolderPathName | Caminho da pasta |
| ClientInfoString | Detalhes sobre o cliente que executa a operação |
| LastAccessed | Endereço IP do computador cliente |
| ClientMachineName | Nome do computador cliente |
| ClientProcessName | Nome do processo de aplicação do cliente |
| ClientVersion | Versão do aplicativo cliente |
| LogonType | Tipo de logon do usuário que executa a operação Observação Os tipos de logon incluem o seguinte: - Delegar para não proprietário - Administrador - Proprietário da caixa de correio (não registrado por padrão) |
| MailboxResolvedOwnerName | Nome resolvido do usuário da caixa de correio Observação O nome resolvido está no seguinte formato: Domain\SamAccountName |
| OperationResult | Estado da operação Observação Os resultados da operação incluem o seguinte: - Falhou - Parcialmente bem-sucedido - Sucedido |
| CrossMailboxOperation | Informações sobre se a operação registrada é uma operação entre caixas de correio (por exemplo, copiar ou mover mensagens entre caixas de correio) |
Mais informações sobre o log de auditoria de caixa de correio
O cmdlet Search-MailboxAuditLog é usado no script de exemplo na Etapa 1 para pesquisar uma única caixa de correio de forma síncrona. Você também pode fazer isso executando o cmdlet no Windows Remote PowerShell.
Para obter mais informações sobre o cmdlet, consulte o seguinte artigo do TechNet:
Você pode pesquisar uma ou mais caixas de correio de forma assíncrona. Para fazer isso, execute o seguinte cmdlet no Windows Remote PowerShell:
New-MailboxAuditLogSearchPara obter mais informações sobre esse cmdlet, consulte o seguinte artigo:
Para obter mais informações sobre as entradas de log de auditoria de caixa de correio padrão, vá para a seção "Entradas de log de auditoria de caixa de correio" do seguinte artigo: