导出 Exchange Online 中的邮箱审核日志

注意

经典 Exchange 管理中心正在全球部署中弃用。 建议在Microsoft Purview 合规门户中搜索审核日志。 有关详细信息，请参阅 在 WW 服务中弃用经典 Exchange 管理中心 和 在合规性门户中搜索审核日志。

为邮箱启用邮箱审核后，每当所有者以外的用户访问邮箱时，Exchange Online在邮箱审核日志中记录信息。 每个日志条目包括有关访问邮箱的人员、访问时间、非所有者执行的操作以及操作是否成功的信息。 默认情况下，邮箱审核日志中的条目将保留 90 天。 可以使用邮箱审核日志来确定所有者以外的用户是否访问邮箱。

从邮箱审核日志导出条目时，Exchange Online将条目保存在 XML 文件中，并将其附加到发送给指定收件人的电子邮件。

开始之前

• 完成每个过程的估计时间：不同。 邮箱审核日志在导出后的几天内发送。

• 从 2019 年 1 月起，默认情况下，所有Exchange Online组织都启用了邮箱审核日志记录。 有关详细信息，请参阅管理邮箱审核。

• 如果要使用以前称为 Outlook Web App) 的 Outlook 网页版 (来查看导出的条目，则需要在 Outlook 网页版 中启用 .xml 附件。 有关详细信息，请参阅配置Outlook 网页版以允许 XML 附件。

• 若要 (EAC) 查找和打开 Exchange 管理中心，请参阅 Exchange Online 中的 Exchange 管理中心。

• You need to be assigned permissions before you can perform this procedure. 若要查看所需的权限，请参阅 Exchange Online 中的功能权限主题中的“查看报表”条目。

• 有关可能适用于本主题中的过程的键盘快捷方式的信息，请参阅 Exchange 管理中心的键盘快捷方式。

提示

是否有任何疑问？ 在Exchange Online论坛中寻求帮助。

导出邮箱审核日志

1. 在 EAC 中，转到 “合规性管理>审核”。

2. Click Export mailbox audit logs.

3. 配置以下搜索条件以导出邮箱审核日志中的条目：

   • 开始日期和结束日期：选择要包含在导出文件中的条目的日期范围。
   • 要为其搜索审核日志的邮箱：选择要为其检索审核日志条目的邮箱。
   • 非所有者访问类型：选择以下选项之一来定义非所有者访问的类型，以便检索其条目：
     • 所有非所有者：搜索组织内的管理员和委派用户以及 Exchange Online 中的 Microsoft 数据中心管理员的访问权限。
     • 外部用户：搜索 Microsoft 数据中心管理员的访问权限。
     • 管理员和委派用户：搜索组织内的管理员和委派用户的访问权限。
     • 管理员：搜索组织中的管理员的访问权限。
   • 收件人：选择要向其发送邮箱审核日志的用户。

4. 单击“导出”。

Exchange Online检索邮箱审核日志中满足搜索条件的条目，将它们保存到名为 SearchResult.xml 的文件中，然后将 XML 文件附加到发送给指定收件人的电子邮件。

如何知道操作成功？

登录到已将邮箱审核日志发送到的邮箱。 如果已成功导出审核日志，则会收到从 Exchange 发送的消息。 可能需要几天时间才能收到此消息。 邮箱审核日志（名为 SearchResult.xml）将附加到此邮件。 如果已正确配置 Outlook 网页版 以允许 XML 附件，则可以下载附加的 XML 文件。

查看邮箱审核日志

要保存并查看 SearchResult.xml 文件，请执行以下操作：

1. 登录到已将邮箱审核日志发送到的邮箱。
2. 在“收件箱”中，打开包含Exchange Online发送的 XML 文件附件的邮件。 请注意，此电子邮件的正文包含搜索条件。
3. 单击附件，并选择以下载该 XML 文件。
4. 在 Microsoft Excel 中打开 SearchResult.xml。

更多信息

邮箱审核日志中的条目

以下示例显示 SearchResult.xml 文件中包含的邮箱审核日志中的条目。 每个条目以 <Event> XML 标记开头，并以 </Event> XML 标记结尾。 此条目显示管理员已于 2021 年 4 月 30 日从 David 邮箱中的“可恢复邮件”文件夹中清除了主题为“诉讼保留通知”的邮件。

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939"
  Owner="PPLNSL-dom\david50001-1363917750"
  LastAccessed="2021-04-30T11:01:55.140625-07:00"
  Operation="HardDelete"
  OperationResult="Succeeded"
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy"
  ClientIPAddress="10.196.241.168"
  InternalLogonType="Owner"
  MailboxOwnerUPN="david@contoso.com"
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151"
  CrossMailboxOperation="false"
  LogonUserDN="Administraor"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
<SourceItems>
<ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
   Subject="Notification of litigation hold"
   FolderPathName="\Recoverable Items\Deletions" />
</SourceItems>
</Event>

邮箱审核日志中的有用字段

下面是邮箱审核日志中有用字段的说明。 它们可帮助你识别有关邮箱的每个非所有者访问实例的特定信息。

字段	说明
所有者	非所有者访问的邮箱的所有者。
LastAccessed	访问邮箱的日期和时间。
操作	由非所有者执行的操作。 有关详细信息，请参阅在 Exchange Online 中运行非所有者邮箱访问报告中的“邮箱审核日志中记录的内容？”部分。
OperationResult	非所有者执行的操作是成功还是失败。
LogonType	非所有者访问的类型。 其中包括管理员、委托和外部。
FolderPathName	包含受非所有者影响的邮件的文件夹的名称。
ClientInfoString	有关非所有者用于访问邮箱的邮件客户端的信息。
ClientIPAddress	非所有者用于访问邮箱的计算机的 IP 地址。
InternalLogonType	非所有者用于访问此邮箱的帐户的登录类型。
MailboxOwnerUPN	邮箱所有者的电子邮件地址。
LogonUserDN	非所有者的显示名称。
主题	受非所有者影响的电子邮件的主题行。