Sök i granskningsloggen för att undersöka vanliga supportproblem

Den här artikeln beskriver hur du använder sökverktyget för granskningsloggar för att undersöka vanliga supportproblem. Detta inkluderar att använda granskningsloggen för att:

  • Hitta IP-adressen för den dator som används för att komma åt ett komprometterat konto
  • Avgöra vem som konfigurerar vidarebefordran av e-post för en postlåda
  • Kontrollera om en användare har tagit bort e-postobjekt i sin postlåda
  • Kontrollera om en användare har skapat en inkorgsregel
  • Undersöka varför en användare utanför organisationen har loggat in
  • Sök efter postlådeaktiviteter som utförs av användare med icke-E5-licenser
  • Sök efter postlådeaktiviteter som utförs av delegerade användare

Tips

Om du inte är en E5-kund kan du prova alla premiumfunktioner i Microsoft Purview kostnadsfritt. Använd den 90 dagar långa utvärderingsversionen av Purview-lösningar för att utforska hur robusta Purview-funktioner kan hjälpa din organisation att hantera datasäkerhets- och efterlevnadsbehov. Börja nu på efterlevnadsportal i Microsoft Purview utvärderingshubben. Läs mer om registrering och utvärderingsvillkor.

Använda sökverktyget för granskningsloggar

Var och en av de felsökningsscenarier som beskrivs i den här artikeln baseras på hur du använder sökverktyget för granskningsloggar i efterlevnadsportal i Microsoft Purview. Det här avsnittet visar de behörigheter som krävs för att söka i granskningsloggen och beskriver stegen för att komma åt och köra granskningsloggsökningar. Varje scenarioavsnitt beskriver hur du konfigurerar en sökfråga för granskningsloggar och vad du ska söka efter i den detaljerade informationen i granskningsposterna som matchar sökvillkoren.

Behörigheter som krävs för att använda sökverktyget för granskningsloggar

Du måste tilldelas rollen Skrivskyddade granskningsloggar eller Granskningsloggar i Exchange Online för att söka i granskningsloggen. Som standard tilldelas dessa roller rollgrupperna Efterlevnadshantering och Organisationshantering på sidan Behörigheter i administrationscentret för Exchange. Globala administratörer i Office 365 och Microsoft 365 läggs automatiskt till som medlemmar i rollgruppen Organisationshantering i Exchange Online. Mer information finns i Hantera rollgrupper i Exchange Online.

Köra granskningsloggsökningar

I det här avsnittet beskrivs grunderna för att skapa och köra granskningsloggsökningar. Använd de här anvisningarna som utgångspunkt för varje felsökningsscenario i den här artikeln. Mer detaljerade stegvisa instruktioner finns i Sök i granskningsloggen.

  1. Gå till https://compliance.microsoft.com/auditlogsearch och logga in med ditt arbets- eller skolkonto.

    Sidan Granskning visas.

    Konfigurera villkor och välj sedan Sök för att köra sökningen.

  2. Du kan konfigurera följande sökvillkor. Varje felsökningsscenario i den här artikeln rekommenderar specifik vägledning för att konfigurera dessa fält.

    a. Startdatum och Slutdatum: Välj ett datum- och tidsintervall för att visa de händelser som inträffat inom den perioden. De senaste sju dagarna har valts som standard. Datum och tid visas i UTC-format (Coordinated Universal Time). Det maximala datumintervall som du kan ange är 90 dagar.

    b. Aktiviteter: Välj listrutan för att visa de aktiviteter som du kan söka efter. När du har kört sökningen visas endast granskningsposterna för de valda aktiviteterna. Om du väljer Visa resultat för alla aktiviteter visas resultat för alla aktiviteter som uppfyller de andra sökvillkoren. Du måste också lämna det här fältet tomt i några av felsökningsscenarierna.

    c. Användare: Markera i den här rutan och välj sedan en eller flera användare att visa sökresultat för. Granskningsposter för den valda aktiviteten som utförs av de användare som du väljer i den här rutan visas i resultatlistan. Lämna rutan tom för att returnera poster för alla användare (och tjänstkonton) i organisationen.

    d. Fil, mapp eller webbplats: Skriv en del av eller alla av ett fil- eller mappnamn för att söka efter aktivitet relaterad till den mappfil som innehåller det angivna nyckelordet. Du kan också ange en URL-adress till en fil eller mapp. Om du använder en URL ska du se till att ange den fullständiga URL-sökvägen eller om du bara skriver en del av URL:en, inte innehåller några specialtecken eller blanksteg. Lämna rutan tom för att returnera poster för alla filer eller mappar i organisationen. Det här fältet lämnas tomt i alla felsökningsscenarier i den här artikeln.

  3. Välj Sök för att köra sökningen med hjälp av dina sökvillkor.

    Sökresultaten läses in och efter en liten stund visas de på en sida i sökverktyget för granskningsloggar. Vart och ett av avsnitten i den här artikeln innehåller vägledning om saker att leta efter i samband med det specifika felsökningsscenariot.

    Mer information om hur du visar och exporterar sökresultat för granskningsloggar finns i:

Hitta IP-adressen för den dator som används för att komma åt ett komprometterat konto

IP-adressen som motsvarar en aktivitet som utförs av en användare ingår i de flesta granskningsposter. Information om klienten som används ingår också i granskningsposten.

Så här konfigurerar du en granskningsloggsökningsfråga för det här scenariot:

Aktiviteter: Om det är relevant för ditt fall väljer du en specifik aktivitet att söka efter. Om du vill felsöka komprometterade konton kan du välja aktiviteten Användare inloggad i postlådan under Exchange-postlådeaktiviteter. Detta returnerar granskningsposter som visar DEN IP-adress som användes vid inloggning till postlådan. Annars lämnar du fältet tomt för att returnera granskningsposter för alla aktiviteter.

Tips

Om du lämnar det här fältet tomt returneras UserLoggedIn-aktiviteter , vilket är en Azure Active Directory-aktivitet som anger att någon har loggat in på ett användarkonto. Använd filtrering i sökresultaten för att visa userLoggedIn-granskningsposterna .

Startdatum och Slutdatum: Välj ett datumintervall som gäller för din undersökning.

Användare: Om du undersöker ett komprometterat konto väljer du den användare vars konto har komprometterats. Detta returnerar granskningsposter för aktiviteter som utförs av det användarkontot.

Fil, mapp eller webbplats: Lämna fältet tomt.

När du har kört sökningen visas IP-adressen för varje aktivitet i kolumnen IP-adress i sökresultatet. Välj posten i sökresultatet om du vill visa mer detaljerad information på den utfällbara sidan.

Avgöra vem som konfigurerar vidarebefordran av e-post för en postlåda

När e-postvidarebefordring har konfigurerats för en postlåda vidarebefordras e-postmeddelanden som skickas till postlådan till en annan postlåda. Meddelanden kan vidarebefordras till användare inom eller utanför organisationen. När vidarebefordran av e-post har konfigurerats för en postlåda är den underliggande Exchange Online cmdlet som används Set-Mailbox.

Så här konfigurerar du en granskningsloggsökningsfråga för det här scenariot:

Aktiviteter: Lämna fältet tomt så att sökningen returnerar granskningsposter för alla aktiviteter. Detta är nödvändigt för att returnera granskningsposter som är relaterade till cmdleten Set-Mailbox .

Startdatum och Slutdatum: Välj ett datumintervall som gäller för din undersökning.

Användare: Om du inte undersöker ett problem med vidarebefordran av e-post för en viss användare lämnar du fältet tomt. Detta hjälper dig att identifiera om vidarebefordran av e-post har konfigurerats för någon användare.

Fil, mapp eller webbplats: Lämna fältet tomt.

När du har kört sökningen väljer du Filtrera resultat på sökresultatsidan. I rutan under kolumnrubriken Aktivitet skriver du Set-Mailbox så att endast granskningsposter relaterade till cmdleten Set-Mailbox visas.

Filtrera resultatet av en granskningsloggsökning.

Nu måste du titta på informationen i varje granskningspost för att avgöra om aktiviteten är relaterad till vidarebefordran av e-post. Välj granskningsposten för att visa den utfällbara sidan Information och välj sedan Mer information. Följande skärmbild och beskrivningar visar den information som anger att vidarebefordran av e-post har angetts i postlådan.

Detaljerad information från granskningsposten.

a. I fältet ObjectId visas aliaset för postlådan som e-postvidarebefordring har angetts för. Den här postlådan visas också i kolumnen Objekt på sökresultatsidan.

b. I fältet Parametrar anger värdet ForwardingSmtpAddress att vidarebefordran av e-post har angetts i postlådan. I det här exemplet vidarebefordras e-post till e-postadressen mike@contoso.com, som ligger utanför alpinehouse.onmicrosoft.com organisation.

c. Värdet True för parametern DeliverToMailboxAndForward anger att en kopia av meddelandet levereras till sarad@alpinehouse.onmicrosoft.comoch vidarebefordras till den e-postadress som anges av parametern ForwardingSmtpAddress , som i det här exemplet är mike@contoso.com. Om värdet för parametern DeliverToMailboxAndForward är inställt på False vidarebefordras e-post endast till den adress som anges av parametern ForwardingSmtpAddress . Den levereras inte till postlådan som anges i fältet ObjectId .

d. Fältet UserId anger den användare som anger vidarebefordran av e-post i postlådan som anges i fältet ObjectId . Den här användaren visas också i kolumnen Användare på sökresultatsidan. I det här fallet verkar det som om ägaren till postlådan anger vidarebefordran av e-post i sin postlåda.

Om du anser att vidarebefordran av e-post inte ska anges i postlådan kan du ta bort den genom att köra följande kommando i Exchange Online PowerShell:

Set-Mailbox <mailbox alias> -ForwardingSmtpAddress $null 

Mer information om parametrarna som rör vidarebefordran av e-post finns i artikeln Set-Mailbox (Ange postlåda ).

Kontrollera om en användare har tagit bort e-postobjekt

Från och med januari 2019 aktiverar Microsoft granskningsloggning för postlådor som standard för alla Office 365 och Microsoft-organisationer. Det innebär att vissa åtgärder som utförs av postlådeägare loggas automatiskt och att motsvarande granskningsposter för postlådor är tillgängliga när du söker efter dem i granskningsloggen för postlådan. Innan granskning av postlådor aktiverades som standard var du tvungen att aktivera den manuellt för varje användarpostlåda i organisationen.

Postlådeåtgärderna som loggas som standard omfattar åtgärderna SoftDelete och HardDelete-postlåda som utförs av postlådeägare. Det innebär att du kan använda följande steg för att söka i granskningsloggen efter händelser relaterade till borttagna e-postobjekt. Mer information om granskning av postlådor finns som standard i Hantera granskning av postlådor.

Så här konfigurerar du en granskningsloggsökningsfråga för det här scenariot:

Aktiviteter: Under Exchange-postlådeaktiviteter väljer du en eller båda av följande aktiviteter:

  • Borttagna meddelanden från mappen Borttaget: Den här aktiviteten motsvarar granskningsåtgärden för SoftDelete-postlådan . Den här aktiviteten loggas också när en användare permanent tar bort ett objekt genom att markera det och trycka på Skift+Ta bort. När ett objekt har tagits bort permanent kan användaren återställa det tills kvarhållningsperioden för borttagna objekt upphör att gälla.

  • Rensade meddelanden från postlådan: Den här aktiviteten motsvarar granskningsåtgärden för HardDelete-postlådan . Detta loggas när en användare rensar ett objekt från mappen Återställningsbara objekt. Administratörer kan använda verktyget Innehållssökning i efterlevnadsportalen för att söka efter och återställa rensade objekt tills kvarhållningsperioden för borttagna objekt upphör att gälla eller längre om användarens postlåda är undantagen.

Startdatum och Slutdatum: Välj ett datumintervall som gäller för din undersökning.

Användare: Om du väljer en användare i det här fältet returnerar granskningsloggsökningsverktyget granskningsposter för e-postobjekt som har tagits bort (SoftDeleted eller HardDeleted) av den användare som du anger. Ibland kanske användaren som tar bort ett e-postmeddelande inte är postlådans ägare.

Fil, mapp eller webbplats: Lämna fältet tomt.

När du har kört sökningen kan du filtrera sökresultaten för att visa granskningsposterna för mjukt borttagna objekt eller för hårt borttagna objekt. Välj granskningsposten för att visa den utfällbara sidan Information och välj sedan Mer information. Ytterligare information om det borttagna objektet, till exempel ämnesraden och platsen för objektet när det togs bort, visas i fältet AffectedItems . Följande skärmbilder visar ett exempel på fältet AffectedItems från ett mjukt borttaget objekt och ett hårt borttaget objekt.

Exempel på AffectedItems-fält för mjukt borttaget objekt

Granskningspost för mjukt borttaget objekt.

Exempel på AffectedItems-fält för hårt borttaget objekt

Granskningspost för hårt borttaget e-postobjekt.

Återställa borttagna e-postobjekt

Användare kan återställa mjukt borttagna objekt om kvarhållningsperioden för borttagna objekt inte har upphört att gälla. I Exchange Online är standardkvarhållningsperioden för borttagna objekt 14 dagar, men administratörer kan öka den här inställningen till högst 30 dagar. Peka användarna på artikeln Återställa borttagna objekt eller e-post i Outlook på webben för instruktioner om hur du återställer borttagna objekt.

Som tidigare beskrivits kan administratörer återställa hårt borttagna objekt om kvarhållningsperioden för borttagna objekt inte har upphört att gälla eller om postlådan är undantagen, i vilket fall objekt behålls tills bevarandetiden upphör att gälla. När du kör en innehållssökning returneras mjukt borttagna och hårt borttagna objekt i mappen Återställningsbara objekt i sökresultaten om de matchar sökfrågan. Mer information om hur du kör innehållssökningar finns i Innehållssökning i Office 365.

Tips

Om du vill söka efter borttagna e-postobjekt söker du efter hela eller delar av ämnesraden som visas i fältet AffectedItems i granskningsposten.

Kontrollera om en användare har skapat en inkorgsregel

När användare skapar en inkorgsregel för sin Exchange Online postlåda sparas en motsvarande granskningspost i granskningsloggen. Mer information om inkorgsregler finns i:

Så här konfigurerar du en granskningsloggsökningsfråga för det här scenariot:

Aktiviteter: Under Exchange-postlådeaktiviteter väljer du en eller båda av följande aktiviteter:

  • New-InboxRule Skapa ny inkorgsregel från Outlook Web App. Den här aktiviteten returnerar granskningsposter när inkorgsregler skapas med hjälp av Outlook-webbappen eller Exchange Online PowerShell.

  • Inkorgsregler har uppdaterats från Outlook-klienten. Den här aktiviteten returnerar granskningsposter när inkorgsregler skapas, ändras eller tas bort med outlook-skrivbordsklienten.

Startdatum och Slutdatum: Välj ett datumintervall som gäller för din undersökning.

Användare: Om du inte undersöker en viss användare lämnar du fältet tomt. På så sätt kan du identifiera nya inkorgsregler som konfigurerats av alla användare.

Fil, mapp eller webbplats: Lämna fältet tomt.

När du har kört sökningen visas alla granskningsposter för den här aktiviteten i sökresultaten. Välj en granskningspost för att visa den utfällbara sidan Information och välj sedan Mer information. Information om inkorgsregelinställningarna visas i fältet Parametrar . Följande skärmbild och beskrivningar belyser informationen om inkorgsregler.

Granska post för ny inkorgsregel.

a. I fältet ObjectId visas det fullständiga namnet på inkorgsregeln. Det här namnet innehåller aliaset för användarens postlåda (till exempel SaraD) och namnet på inkorgsregeln (till exempel "Flytta meddelanden från administratör").

b. I fältet Parametrar visas villkoret för inkorgsregeln. I det här exemplet anges villkoret av parametern Från . Värdet som definierats för parametern Från anger att inkorgsregeln agerar på e-post som skickas av admin@alpinehouse.onmicrosoft.com. En fullständig lista över de parametrar som kan användas för att definiera villkor för inkorgsregler finns i artikeln New-InboxRule .

c. Parametern MoveToFolder anger åtgärden för inkorgsregeln. I det här exemplet flyttas meddelanden som tas emot från admin@alpinehouse.onmicrosoft.com till mappen AdminSearch. Se även artikeln New-InboxRule för en fullständig lista över parametrar som kan användas för att definiera åtgärden för en inkorgsregel.

d. Fältet UserId anger den användare som skapade inkorgsregeln som anges i fältet ObjectId . Den här användaren visas också i kolumnen Användare på sökresultatsidan.

Undersöka varför en användare utanför organisationen har loggat in

När du granskar granskningsposter i granskningsloggen kan du se poster som anger att en extern användare har autentiserats av Azure Active Directory och loggat in i din organisation. En administratör i contoso.onmicrosoft.com kan till exempel se en granskningspost som visar att en användare från en annan organisation (till exempel fabrikam.onmicrosoft.com) har loggat in på contoso.onmicrosoft.com. På samma sätt kan du se granskningsposter som anger att användare med ett Microsoft-konto (MSA), till exempel en Outlook.com eller Live.com, har loggat in i din organisation. I sådana fall är den granskade aktiviteten Användarloggad.

Detta är avsiktligt. Azure Active Directory (Azure AD), katalogtjänsten, tillåter något som kallas direktautentisering när en extern användare försöker komma åt en SharePoint-webbplats eller en OneDrive-plats i din organisation. När den externa användaren försöker göra detta uppmanas de att ange sina autentiseringsuppgifter. Azure AD använder autentiseringsuppgifterna för att autentisera användaren, vilket innebär att endast Azure AD verifierar att användaren är den användaren säger sig vara. Indikeringen av den lyckade inloggningen i granskningsposten är resultatet av Azure AD att användaren autentiseras. Den lyckade inloggningen innebär inte att användaren kunde komma åt några resurser eller utföra andra åtgärder i din organisation. Det anger bara att användaren autentiserades av Azure AD. För att en direktanvändare ska få åtkomst till SharePoint- eller OneDrive-resurser måste en användare i din organisation uttryckligen dela en resurs med den externa användaren genom att skicka en delningsinbjudan eller en anonym delningslänk till dem.

Obs!

Azure AD tillåter direktautentisering endast för program från första part, till exempel SharePoint Online och OneDrive för företag. Det är inte tillåtet för andra program från tredje part.

Här är ett exempel och beskrivningar av relevanta egenskaper i en granskningspost för en användare som loggas i händelse av direktautentisering. Välj granskningsposten för att visa den utfällbara sidan Information och välj sedan Mer information.

Exempel på granskningspost för lyckad direktautentisering.

a. Det här fältet anger att användaren som försökte komma åt en resurs i din organisation inte hittades i organisationens Azure AD.

b. Det här fältet visar UPN för den externa användare som försökte komma åt en resurs i din organisation. Det här användar-ID:t identifieras också i egenskaperna Användare och UserId i granskningsposten.

c. Egenskapen ApplicationId identifierar programmet som utlöste inloggningsbegäran. Värdet 000000003-0000-0ff1-ce00-000000000000 som visas i egenskapen ApplicationId i den här granskningsposten anger SharePoint Online. OneDrive för företag har också samma ApplicationId.

d. Detta indikerar att direktautentiseringen lyckades. Användaren autentiserades med andra ord av Azure AD.

e. RecordType-värdet15 anger att den granskade aktiviteten (UserLoggedIn) är en STS-inloggningshändelse (Secure Token Service) i Azure AD.

Mer information om de andra egenskaperna som visas i en UserLoggedIn-granskningspost finns i Azure AD-relaterad schemainformation i Office 365 API-schema för hanteringsaktivitet.

Här är två exempelscenarier som skulle resultera i att en användare loggades in i granskningsaktiviteten på grund av direktautentisering:

  • En användare med ett Microsoft-konto (till exempel SaraD@outlook.com) har försökt komma åt ett dokument i ett OneDrive för företag konto i fourthcoffee.onmicrosoft.com och det finns inget motsvarande gästanvändarkonto för SaraD@outlook.com i fourthcoffee.onmicrosoft.com.

  • En användare med ett arbets- eller skolkonto i en organisation (till exempel pilarp@fabrikam.onmicrosoft.com) har försökt komma åt en SharePoint-webbplats i contoso.onmicrosoft.com och det finns inget motsvarande gästanvändarkonto för pilarp@fabrikam.com i contoso.onmicrosoft.com.

Tips för att undersöka lyckade inloggningar till följd av direktautentisering

  • Sök i granskningsloggen efter aktiviteter som utförts av den externa användaren som identifierats i granskningsposten Användare inloggad . Skriv UPN för den externa användaren i rutan Användare och använd ett datumintervall om det är relevant för ditt scenario. Du kan till exempel skapa en sökning med följande sökvillkor:

    Sök efter alla aktiviteter som utförs av den externa användaren.

    Förutom de användare som är inloggade i aktiviteter kan andra granskningsposter returneras, till exempel sådana som anger att en användare i din organisation har delat resurser med den externa användaren och om den externa användaren har använt, ändrat eller laddat ned ett dokument som delats med dem.

  • Sök efter SharePoint-delningsaktiviteter som anger att en fil har delats med den externa användare som identifierats av en användare som är inloggad i granskningsposten . Mer information finns i Använda delningsgranskning i granskningsloggen.

  • Exportera sökresultatet för granskningsloggen som innehåller poster som är relevanta för din undersökning så att du kan använda Excel för att söka efter andra aktiviteter som är relaterade till den externa användaren. Mer information finns i Exportera, konfigurera och visa granskningsloggposter.

Sök efter postlådeaktiviteter som utförs av användare med icke-E5-licenser

Även om granskning av postlådor är aktiverat som standard för din organisation kan du märka att granskningshändelser för postlådor för vissa användare inte hittas i granskningsloggsökningar med hjälp av efterlevnadsportalen, cmdleten Search-UnifiedAuditLog eller api:et Office 365 Management Activity. Anledningen till detta är att granskningshändelser för postlådor endast returneras för användare med E5-licenser när du en av de tidigare metoderna för att söka i den enhetliga granskningsloggen.

Om du vill hämta postlådans granskningsloggposter för icke-E5-användare kan du utföra någon av följande lösningar:

  • Aktivera granskning av postlådor manuellt för enskilda postlådor (kör Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true kommandot i Exchange Online PowerShell). När du har slutfört detta söker du efter granskningsaktiviteter för postlådor med hjälp av efterlevnadsportalen, cmdleten Search-UnifiedAuditLog eller API:et Office 365 Management Activity.

    Obs!

    Om granskning av postlådor redan verkar vara aktiverat i postlådan, men dina sökningar inte returnerar några resultat, ändrar du värdet för parametern AuditEnabled till $false och sedan tillbaka till $true.

  • Använd följande cmdletar i Exchange Online PowerShell:

    • Search-MailboxAuditLog för att söka i granskningsloggen för postlådan efter specifika användare.

    • New-MailboxAuditLogSearch för att söka i granskningsloggen för postlådan efter specifika användare och för att få resultaten skickade via e-post till angivna mottagare.

Sök efter postlådeaktiviteter som utförs i en specifik postlåda (inklusive delade postlådor)

När du använder listrutan Användare i sökverktyget för granskningsloggar i efterlevnadsportalen eller kommandot Search-UnifiedAuditLog -UserIds i Exchange Online PowerShell kan du söka efter aktiviteter som utförs av en viss användare. För granskningsaktiviteter för postlådor söker den här typen av sökning efter aktiviteter som utförs av den angivna användaren. Det garanterar inte att alla aktiviteter som utförs i samma postlåda returneras i sökresultaten. En granskningsloggsökning returnerar till exempel inte granskningsposter för aktiviteter som utförs av en delegerad användare eftersom sökning efter postlådeaktiviteter som utförs av en viss användare inte returnerar aktiviteter som utförts av en delegerad användare som har tilldelats behörighet att komma åt en annan användares postlåda. (En delegerad användare är någon som har tilldelats behörigheten SendAs, SendOnBehalf eller FullAccess-postlåda till en annan användares postlåda.)

Om du använder listrutan Användare i sökverktyget för granskningsloggar eller Search-UnifiedAuditLog -UserIds returneras inte resultat för aktiviteter som utförs i en delad postlåda.

Om du vill söka efter aktiviteter som utförs i en specifik postlåda eller söka efter aktiviteter som utförs i en delad postlåda använder du följande syntax när du kör cmdleten Search-UnifiedAuditLog :

Search-UnifiedAuditLog  -StartDate <date> -EndDate <date> -FreeText (Get-Mailbox <mailbox identity).ExchangeGuid

Följande kommando returnerar till exempel granskningsposter för aktiviteter som utförs i den delade postlådan för Contosos efterlevnadsteam mellan augusti 2020 och oktober 2020:

Search-UnifiedAuditLog  -StartDate 08/01/2020 -EndDate 10/31/2020 -FreeText (Get-Mailbox complianceteam@contoso.onmicrosoft.com).ExchangeGuid

Du kan också använda cmdleten Search-MailboxAuditLog för att söka efter granskningsposter för aktiviteter som utförs i en specifik postlåda. Detta inkluderar sökning efter aktiviteter som utförs i en delad postlåda.

I följande exempel returneras postlådans granskningsloggposter för aktiviteter som utförs i den delade postlådan i Contosos efterlevnadsteam:

Search-MailboxAuditLog -Identity complianceteam@contoso.onmicrosoft.com -StartDate 08/01/2020 -EndDate 10/31/2020 -ShowDetails

I följande exempel returneras granskningsloggposter för postlådor för aktiviteter som utförs i den angivna postlådan av delegerade användare:

Search-MailboxAuditLog -Identity <mailbox identity> -StartDate <date> -EndDate <date> -LogonTypes Delegate -ShowDetails

Du kan också använda cmdleten New-MailboxAuditLogSearch för att söka i granskningsloggen efter en specifik postlåda och för att få resultaten skickade via e-post till angivna mottagare.