Microsoft 365'te posta kutusu denetim günlüklerini kullanma
Özgün KB numarası: 4021960
Özet
Microsoft 365'te, posta kutusunun beklenmedik bir şekilde ne zaman güncelleştirildiğini veya posta kutusunda öğelerin eksik olup olmadığını belirlemek için posta kutusu denetim günlüklerini çalıştırabilirsiniz. Örneğin, öğeler taşınırsa veya beklenmedik veya yanlış bir şekilde silinirse, bunu yapmanız gerekebilir.
vNext ortamı için, posta kutusu denetim günlüklerinin varsayılan olarak etkinleştirilmediğini ve aramaya başlamadan önce bir kullanıcı için açılması gerektiğini unutmayın.
Posta kutusu denetim günlüklerini çalıştırma ve denetleme
Posta kutusu denetim günlüğü, kullanıcıların sahip olmayanlar ve yöneticiler tarafından gerçekleştirilen eylemler hakkında bilgi almasını sağlar. Posta kutusu denetim günlüğü yalnızca Windows Uzak PowerShell kullanılarak Denetim Raporlama Posta Kutusu self servis grubu üyeleri tarafından kullanılabilir.
Not
- Varsayılan olarak, yalnızca sahip olmayan posta kutusu denetim günlüğü etkinleştirilir ve sahip posta kutusu denetim günlüğü devre dışı bırakılır. Belirli bir sorunu araştırmak için sahip posta kutusu denetim günlüğü gerçekleştirmeniz gerekiyorsa, işlemi iki haftalık bir süre için geçici olarak etkinleştirebilirsiniz.
- Bazı kuruluşlar posta kutusu denetim günlüğünü kullanmanıza izin vermeyebilir ve bu nedenle özelliği kapatmış olabilir.
Bu sorunu araştırmak için, bu bölümdeki 1. Adımda sağlanan örnek betiği kullanarak bir Windows PowerShell betiği oluşturun ve kullanın ve ardından bir aramayı özelleştirin. Varsayılan olarak, sahip olmayanlar ve yöneticiler tarafından gerçekleştirilen eylemleri araştırabilirsiniz. Bu betik, eksik olan veya beklenmedik şekilde güncelleştirilen öğelerle ilgili raporlarda sorun gidermenize yardımcı olmak için basitleştirilmiş, virgülle ayrılmış değerler (.csv) dosyasındaki içeriği dışarı aktarır.
Önemli
Müşterilerin belirli araştırmalarda yardımcı olması için Microsoft Online Services tarafından sağlanan betiği kullanmaları teşvik edilir. Microsoft Online Services betikleri geneldir ve tüm müşteri ortamlarında kullanılabilir olmalıdır. Betik çalıştırıldığında hatalar oluşursa, betiğin içeriği belirli bir müşteri ortamı için özelleştirilmiş bir betik oluşturmak için örnek olarak kullanılmalıdır. Microsoft Online Services, betiği Microsoft 365 müşterilerine garanti olmadan, açık veya zımni bir kolaylık olarak sağlar.
1. Adım: Betiği çalıştırma
Betiği çalıştırmak için şu adımları izleyin:
Not Defteri'ni başlatın ve aşağıdaki kodu dosyaya kopyalayın. Kod, Microsoft Exchange Server parçası olan komutu kullanır
search-mailboxAuditLog
.param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult') } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green 'Searching Mailbox Audit Logs...' $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green '$($SearchREsults.Count) Total entries Found' if (-not $IncludeFolderBind) { write-host -fore green 'Removing FolderBind operations.' $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'}) write-host -fore green 'Filtered to $($SearchREsults.Count) Entries' } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}}, @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}})) $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp') If ($Subject -ne '' -and $Subject -ne $null) { write-host -fore green 'Searching for Subject: $Subject' $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green 'Filtered to $($SearchREsults.Count) Entries' } $SearchResults = @($SearchResults | select $LogParameters) }
Dosya menüsünde, Farklı Kaydet'i tıklatın.
Kayıt türü kutusunda Tüm Dosya'ya tıklayın.
Dosya adı kutusuna Run-MailboxAuditLogSearcher.ps1yazın ve Kaydet'e tıklayın.
Windows PowerShell başlatın ve Ardından Windows Uzak PowerShell'e bağlanın.
Betiği kaydettiğiniz dizini bulun ve betiği çalıştırın.
.\Run-MailboxAuditLogSearcher.ps1
Not
- Betiği parametresiz çalıştırırsanız, aşağıdaki varsayılan parametreleri girmeniz istenir:
- Posta kutusu
- Startdate
- Bitiştarihi
- Geçerli günün girdilerini aramak için, istem penceresindeki bitiş tarihi değerine bir gün ekleyin. Örneğin, geçerli tarih 14.03.2017 ise ve geçerli günü aramanıza eklemek istiyorsanız, bitiş tarihi olarak 15.03.2017 yazın.
- Betiği parametresiz çalıştırırsanız, aşağıdaki varsayılan parametreleri girmeniz istenir:
2. Adım: Posta kutusu denetim günlüğü aramalarını özelleştirme
Microsoft 365'te, posta kutusu denetim günlüğü girişleri 90 gün boyunca posta kutusunda tutulur. Arama için bir başlangıç tarihi ve bitiş tarihi belirtmeniz istenir. Aramayı özelleştirmek için birkaç isteğe bağlı parametre kullanabilirsiniz. Bu parametrelerin açıklaması için 'Daha Fazla Bilgi' bölümüne bakın.
Betik çalıştırıldıktan sonra öğeler bulunursa, aşağıdakine benzer bir ileti alırsınız:
Bu örnek ileti, arama işleminin 11 giriş bulduğunu gösterir. Varsayılan olarak, FolderBind girişleri filtrelenir ve aşağıdaki işlem türleri kalır:
- Kopya
- Oluşturma
- HardDelete
- MessageBind
- Hareket
- MoveToDeletedItems
- GöndermeLer
- SendOnBehalf
- SoftDelete
- Güncelleştirme
Not
FolderBind işlemi, posta kutusuna sahip olmayan bir tarafından erişildiği saatleri gösterir. Bu en yaygın işlemdir. Güncelleştirilen veya silinen bir öğeyi araştırırken FolderBind işlemlerini görüntülemeniz gerekmez.
.csv dosyasının çıkışını gözden geçirin. En kullanışlı sütunlar dışarı aktarılır ve çıkışın gözden geçirilmesini kolaylaştırmak için bu sütunlardan bazıları birleştirilir. Dışarı aktarılan sütunlar hakkında daha fazla bilgi için 'Daha Fazla Bilgi' bölümüne bakın.
Sahip posta kutusu denetim günlüğü
Varsayılan olarak. sahip denetim günlüğü açık değil. Yalnızca posta kutusunun sahibi tarafından gerçekleştirilen bir eylemi araştırmanız gerekiyorsa kullanılmalıdır. Yaklaşık iki hafta olmak üzere sınırlı bir süre için kullanılmalıdır. Bunun nedeni, denetim günlüğü girdilerinin posta kutusunda depolanması ve bunun posta kutusu döküm kutusunun boyut sınırını aşmasına neden olmasıdır.
Sahip denetim günlüğünü etkinleştirmek için şu adımları izleyin:
Posta kutusu denetim günlüğünün etkinleştirilip etkinleştirilmediğini belirleyin. Bunu yapmak için aşağıdaki cmdlet'i çalıştırın:
Get-Mailbox <useridentity> | ft AuditEnabled
Sonuç True ise bu adımı atlayın. Sonuç False ise, Windows PowerShell aşağıdaki cmdlet'i çalıştırın:
Set-Mailbox <useridentity> -AuditEnabled $true
Sahip denetim günlüğünü etkinleştirin. Bunu yapmak için aşağıdaki cmdlet'i çalıştırın:
Set-Mailbox <useridentity> -AuditOwner "Create,HardDelete,Move,MoveToDeletedItems,SoftDelete,Update"
Run-MailboxAuditLogSearcher.ps1yeniden çalıştırın ve verileri gözden geçirin.
Sorun giderme tamamlandıktan sonra sahip denetim günlüğünü devre dışı bırakın. Bunu yapmak için aşağıdaki cmdlet'i çalıştırın:
Set-Mailbox <useridentity> -AuditOwner $none
Ek Bilgi
İsteğe bağlı betik parametreleri
Aşağıdaki listede, betikle Run-MailboxAuditLogSearcher
birlikte kullanıldığında farklı sonuçlar oluşturan isteğe bağlı parametreler açıklanmaktadır:
IncludeFolderBind: Bu anahtarı kullandığınızda, FolderBind işlemi çıkıştan filtrelenmez. Posta kutusu erişim sorununu araştırmak için FolderBind bilgilerini kullanabilirsiniz.
Örneğin, aşağıdaki cmdlet "Test Kullanıcısı 1" posta kutusunu arar ve tüm işlemleri içerir:
.\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"
Konu: Bu anahtarı kullandığınızda, söz konusu öğe üzerinde gerçekleştirilen işlemlerin aramasını sınırlamak için öğenin konusunu belirtebilirsiniz.
Örneğin, aşağıdaki cmdlet konu 'İyi Haber' olarak ayarlanmış öğeler dışında tüm çıkışı filtreler:
.\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"
ReturnObject: Bu anahtarı kullandığınızda, sonuç ekranda görüntülenir, ancak .csv bir dosyaya dışarı aktarılmaz.
Örneğin, aşağıdaki cmdlet çıktıyı ekranda görüntüler:
.\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"
.csv dosyasından dışarı aktarılan sütunlar
.csv dosyasının en kullanışlı sütunları dışarı aktarılır. Bu sütunlardan bazıları, çıkışın gözden geçirilmesini kolaylaştırmak için birleştirilir. Aşağıdaki tabloda dışarı aktarılan sütunlar listelenmiştir.
Sütun | Açıklama |
---|---|
Konu | Öğenin konusu |
Işlem | Öğe üzerinde gerçekleştirilen eylemler |
LogonUserDisplayName | Günlüğe kaydedilen kullanıcının görünen adı |
LastAccessed | İşlemin gerçekleştirildiği saat |
DestFolderPathName | Taşıma işlemi için hedef klasör |
FolderPathName | Klasörün yolu |
ClientInfoString | İşlemi gerçekleştiren istemci hakkındaki ayrıntılar |
LastAccessed | İstemci bilgisayar için IP adresi |
ClientMachineName | İstemci bilgisayarın adı |
ClientProcessName | İstemci uygulama işleminin adı |
ClientVersion | İstemci uygulamasının sürümü |
LogonType | İşlemi gerçekleştiren kullanıcının oturum açma türüNot Oturum açma türleri şunları içerir: - Sahip olmayanlar için temsilci - Yönetici - Posta kutusu sahibi (varsayılan olarak günlüğe kaydedilmez) |
MailboxResolvedOwnerName | Posta kutusu kullanıcısının çözümlenen adıNot Çözümlenen ad şu biçimdedir:Domain\SamAccountName |
OperationResult | İşlemin durumuNot İşlemi sonuçları şunları içerir: - Başarısız - Kısmen Başarılı - Başarılı |
CrossMailboxOperation | Günlüğe kaydedilen işlemin posta kutuları arası bir işlem olup olmadığı hakkında bilgi (örneğin, iletileri posta kutuları arasında kopyalama veya taşıma) |
Posta kutusu denetim günlüğü hakkında daha fazla bilgi
Search-MailboxAuditLog cmdlet'i, tek bir posta kutusunu zaman uyumlu bir şekilde aramak için 1. Adım'daki örnek betikte kullanılır. Windows Uzak PowerShell'de cmdlet'ini çalıştırarak da bunu yapabilirsiniz.
Cmdlet hakkında daha fazla bilgi için aşağıdaki TechNet makalesine gidin:
Bir veya daha fazla posta kutusunda zaman uyumsuz olarak arama yapabilirsiniz. Bunu yapmak için Windows Uzak PowerShell'de aşağıdaki cmdlet'i çalıştırın:
New-MailboxAuditLogSearch
Bu cmdlet hakkında daha fazla bilgi için aşağıdaki TechNet makalesine gidin:
Varsayılan posta kutusu denetim günlüğü girişleri hakkında daha fazla bilgi için, aşağıdaki TechNet makalesinin 'Posta kutusu denetim günlüğü girişleri' bölümüne gidin:
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin