Microsoft 365'te posta kutusu denetim günlüklerini kullanma

Makale
07/30/2024
Şunlara uygulanır:

Exchange Online, Microsoft Exchange Online Dedicated

Microsoft 365'te, posta kutusunun beklenmedik bir şekilde ne zaman güncelleştirildiğini veya posta kutusunda öğelerin eksik olup olmadığını belirlemek için posta kutusu denetim günlüklerini çalıştırabilirsiniz. Örneğin, öğeler taşınırsa veya beklenmedik veya yanlış bir şekilde silinirse bunu yapmanız gerekebilir.

Not: vNext ortamı için, varsayılan olarak posta kutusu denetim günlükleri etkinleştirilmez. Kullanıcının aramaya başlayabilmesi için özelliğin açık olması gerekir.

Posta kutusu denetim günlüklerini çalıştırma ve denetleme

Posta kutusu denetim günlüğü, kullanıcıların sahip olmayanlar ve yöneticiler tarafından gerçekleştirilen eylemler hakkında bilgi almasını sağlar. Posta kutusu denetim günlüğü yalnızca Windows Uzak PowerShell kullanılarak Denetim Raporlama Posta Kutusu self servis grubu üyeleri tarafından kullanılabilir.

Not

Varsayılan olarak, yalnızca sahip olmayan posta kutusu denetim günlüğü etkinleştirilir ve sahip posta kutusu denetim günlüğü devre dışı bırakılır. Belirli bir sorunu araştırmak için sahip posta kutusu denetim günlüğü gerçekleştirmeniz gerekiyorsa, işlemi iki hafta boyunca geçici olarak etkinleştirebilirsiniz.
Bazı kuruluşlar posta kutusu denetim günlüğünü kullanmanıza izin vermeyebilir. Bu durumda özellik sizin için kapatılır.

Bu sorunu araştırmak için, bu bölümdeki 1. Adımda sağlanan örnek betiği kullanarak bir Windows PowerShell betiği oluşturun ve kullanın ve ardından bir aramayı özelleştirin. Varsayılan olarak, sahip olmayanlar ve yöneticiler tarafından gerçekleştirilen eylemleri araştırabilirsiniz. Bu betik, eksik veya beklenmedik şekilde güncelleştirilen öğelerle ilgili raporlarda sorun gidermenize yardımcı olmak için basitleştirilmiş, virgülle ayrılmış değerler (.csv) dosyasındaki içeriği dışarı aktarır.

Önemli

Müşterilerin bu örnek betiği kullanması tavsiye edilir. Betik, belirli araştırmalara yardımcı olmak için Microsoft Online Services tarafından sağlanır. Microsoft Online Services betikleri geneldir ve tüm müşteri ortamlarında kullanılabilir olmalıdır. Betik çalıştırıldığında hatalar oluşursa, betiğin içeriği belirli bir müşteri ortamı için özelleştirilmiş bir betik oluşturmak için örnek olarak kullanılmalıdır. Microsoft Online Services, betiği Microsoft 365 müşterilerine garanti olmadan, açık veya zımni olmadan kolaylık olarak sağlar.

1. Adım: Betiği çalıştırma

Betiği çalıştırmak için şu adımları izleyin:

Not Defteri gibi bir metin düzenleyicisi açın ve aşağıdaki kodu dosyaya kopyalayın. Kod, Microsoft Exchange Server'ın parçası olan komutu kullanır search-mailboxAuditLog .

 param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$Mailbox,
[PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$StartDate,
[PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$EndDate,
[PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)]
[string]$Subject,
[PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
[switch]$IncludeFolderBind,
[PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
[switch]$ReturnObject)
BEGIN {
  [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult')
  }
  END {
    if ($ReturnObject)
    {return $SearchResults}
    elseif ($SearchResults.count -gt 0)
    {
    $Date = get-date -Format yyMMdd_HHmmss
    $OutFileName = "AuditLogResults$Date.csv"
    write-host
    write-host -fore green "Posting results to file: $OutfileName"
    $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8
    }
    }
    PROCESS
    {
    write-host -fore green 'Searching Mailbox Audit Logs...'
    $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000)
    write-host -fore green '$($SearchREsults.Count) Total entries Found'
    if (-not $IncludeFolderBind)
    {
    write-host -fore green 'Removing FolderBind operations.'
    $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'})
    write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
    }
    $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}},
    @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}}))
    $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp')
    If ($Subject -ne '' -and $Subject -ne $null)
    {
    write-host -fore green 'Searching for Subject: $Subject'
    $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject})
    write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
    }
    $SearchResults = @($SearchResults | select $LogParameters)
    }

Dosya menüsünde Farklı Kaydet’i seçin.
Kayıt türü kutusunda Tüm Dosya'yı seçin.
Dosya adı kutusuna Run-MailboxAuditLogSearcher.ps1 yazın ve Kaydet'i seçin.
Windows PowerShell'i açın ve ardından Windows Uzak PowerShell'e bağlanın.
Betiği kaydettiğiniz klasörü bulun ve betiği çalıştırın:
```
.\Run-MailboxAuditLogSearcher.ps1
```
Not
- Betiği parametresiz çalıştırırsanız aşağıdaki varsayılan parametreler istenir:
  - Mailbox
  - StartDate
  - EndDate
- Geçerli günün girdilerini aramak için, istem penceresindeki bitiş tarihi değerine bir gün ekleyin. Örneğin, geçerli tarih 14.03.2017 ise ve aramanıza geçerli günü eklemek istiyorsanız, bitiş tarihi olarak 15/3/2017 girin.

2. Adım: Posta kutusu denetim günlüğü aramalarını özelleştirme

Microsoft 365'te, posta kutusu denetim günlüğü girişleri 90 gün boyunca posta kutusunda tutulur. Arama için bir başlangıç tarihi ve bitiş tarihi belirtmeniz istenir. Aramayı özelleştirmek için birkaç isteğe bağlı parametre kullanabilirsiniz. Bu parametrelerin açıklaması için "Daha fazla bilgi" bölümüne bakın.

Betik çalıştırıldıktan sonra öğeler bulunursa, aşağıdaki iletiye benzer bir ileti alırsınız:

Posta Kutusu Denetim Günlükleri Aranıyor...
11 Toplam girdi Bulundu
FolderBind işlemleri kaldırılıyor.
1 Girdiye Filtrelenmiş

Sonuçları dosyaya gönderme: AuditLogResults121024_142419.csv

Betiği çalıştırdıktan sonra iletinin ekran görüntüsü.

Bu örnek ileti, arama işleminin 11 girdi bulduğunu gösterir. Varsayılan olarak, FolderBind girdileri filtrelenir ve aşağıdaki işlem türleri kalır:

Kopyala
Oluşturma
HardDelete
MessageBind
Taşı
MoveToDeletedItems
GöndermeLer
SendOnBehalf
SoftDelete
Güncelleştir

Not

FolderBind işlemi, posta kutusuna sahip olmayan bir kullanıcı tarafından erişildiği saatleri gösterir. Bu en yaygın işlemdir. Güncelleştirilen veya silinen bir öğeyi araştırırken FolderBind işlemlerini görüntülemeniz gerekmez.

.csv dosyasının çıkışını gözden geçirin. En kullanışlı sütunlar dışarı aktarılır ve çıkışın gözden geçirilmesini kolaylaştırmak için bu sütunlardan bazıları birleştirilir. Dışarı aktarılan sütunlar hakkında daha fazla bilgi için 'Daha fazla bilgi' bölümüne bakın.

Sahip posta kutusu denetim günlüğü

Posta kutusu denetim günlüğü tüm kuruluşlar için varsayılan olarak açıktır. Posta kutusu denetimini varsayılan olarak etkinleştirmenin temel avantajlarından biri, denetlenen posta kutusu eylemlerini yönetmeniz gerekmeyecek olmasıdır. Microsoft bu eylemleri sizin için yönetir ve biz bunları serbest bırakırken varsayılan olarak denetlenecek yeni posta kutusu eylemlerini otomatik olarak ekleriz.

Ancak, kuruluşunuzun kullanıcı posta kutuları ve paylaşılan posta kutuları için farklı bir posta kutusu eylemleri kümesini denetlemesi gerekebilir. Her oturum açma türü için denetlenen posta kutusu eylemlerini değiştirme ve Microsoft tarafından yönetilen varsayılan eylemlere geri dönme hakkında daha fazla bilgi için bkz . Varsayılan olarak günlüğe kaydedilen posta kutusu eylemlerini değiştirme veya geri yükleme.

Daha Fazla Bilgi

İsteğe bağlı betik parametreleri

Aşağıdaki listede, betikle Run-MailboxAuditLogSearcher birlikte kullanıldığında farklı sonuçlar oluşturan isteğe bağlı parametreler açıklanmaktadır:

IncludeFolderBind: FolderBind işleminin çıkıştan filtrelenmesini engeller. Posta kutusu erişim sorununu araştırmak için FolderBind bilgilerini kullanabilirsiniz.

Örneğin, aşağıdaki cmdlet "Test Kullanıcısı 1" posta kutusunda arama yapar ve tüm işlemleri içerir:
```
.\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
```
Konu: Bu öğede gerçekleştirilen işlemlerin aramasını sınırlamak için öğenin konusunu belirtmenizi sağlar.

Örneğin, aşağıdaki cmdlet konu 'İyi Haber' olarak ayarlanmış öğeler dışındaki tüm çıktıları filtreler:
```
.\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
```
ReturnObject: Sonuçların ekranda görüntülenmesine neden olur (ancak bir .csv dosyasına dışarı aktarılmaz).

Örneğin, aşağıdaki cmdlet çıktıyı ekranda görüntüler:
```
.\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
```

.csv dosyasından dışarı aktarılan sütunlar

.csv dosyasının en kullanışlı sütunları dışarı aktarılır. Çıkışın gözden geçirilmesini kolaylaştırmak için bu sütunlardan bazıları birleştirilir. Aşağıdaki tabloda dışarı aktarılan sütunlar listelenmiştir.

Sütun	Açıklama
Konu	Öğenin konusu
İşlem	Öğe üzerinde gerçekleştirilen eylemler
LogonUserDisplayName	Oturum açmış olan kullanıcının görünen adı
LastAccessed	İşlemin gerçekleştirildiği saat
DestFolderPathName	Taşıma işlemi için hedef klasör
FolderPathName	Klasörün yolu
ClientInfoString	İşlemi gerçekleştiren istemci hakkındaki ayrıntılar
LastAccessed	İstemci bilgisayar için IP adresi
ClientMachineName	İstemci bilgisayarın adı
ClientProcessName	İstemci uygulama işleminin adı
ClientVersion	İstemci uygulamasının sürümü
LogonType	İşlemi gerçekleştiren kullanıcının oturum açma türü Not Oturum açma türleri şunları içerir: - Sahip olmayanlar için temsilci - Yönetici - Posta kutusu sahibi (varsayılan olarak günlüğe kaydedilmez)
MailboxResolvedOwnerName	Posta kutusu kullanıcısının çözümlenen adı Not Çözümlenen ad şu biçimdedir: Domain\SamAccountName
OperationResult	İşlem Not İşlemi sonuçlarının durumu şunlardır: - Başarısız - Kısmen Başarılı - Başarılı
CrossMailboxOperation	Günlüğe kaydedilen işlemin posta kutuları arası bir işlem olup olmadığı hakkında bilgi (örneğin, iletileri posta kutuları arasında kopyalama veya taşıma)

Posta kutusu denetim günlüğü hakkında daha fazla bilgi

Search-MailboxAuditLog cmdlet'i, tek bir posta kutusunu zaman uyumlu bir şekilde aramak için 1. Adım'daki örnek betikte kullanılır. Windows Uzak PowerShell'de cmdlet'ini çalıştırarak da bunu yapabilirsiniz.

Cmdlet hakkında daha fazla bilgi için aşağıdaki TechNet makalesine gidin:

Search-MailboxAuditLog
Bir veya daha fazla posta kutusunu zaman uyumsuz olarak arayabilirsiniz. Bunu yapmak için Windows Uzak PowerShell'de aşağıdaki cmdlet'i çalıştırın:
```
New-MailboxAuditLogSearch
```
Bu cmdlet hakkında daha fazla bilgi için aşağıdaki makaleye gidin:

New-MailboxAuditLogSearch

Varsayılan posta kutusu denetim günlüğü girişleri hakkında daha fazla bilgi için aşağıdaki makalenin "Posta kutusu denetim günlüğü girişleri" bölümüne gidin:

Exchange 2016'da Posta Kutusu Denetim Günlüğü

Aracılığıyla paylaş