搜索审核日志以调查常见的支持问题
本文介绍如何使用审核日志搜索工具来帮助你调查常见的支持问题。 这包括使用审核日志来:
- 查找用于访问已泄露帐户的计算机的 IP 地址
- 确定为邮箱设置电子邮件转发的人员
- 确定用户是否删除了邮箱中的电子邮件项目
- 确定用户是否创建了收件箱规则
- 调查组织外部用户成功登录的原因
- 搜索具有非 E5 许可证的用户执行的邮箱活动
- 搜索委托用户执行的邮箱活动
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
使用审核日志搜索工具
本文所述的每个故障排除方案都基于使用Microsoft Purview 合规门户中的审核日志搜索工具。 本部分列出了搜索审核日志所需的权限,并介绍了访问和运行审核日志搜索的步骤。 每个方案部分说明如何配置审核日志搜索查询,以及如何在与搜索条件匹配的审核记录中的详细信息中查找哪些内容。
使用审核日志搜索工具所需的权限
必须在 Exchange Online 中分配“仅查看审核日志”或“审核日志”角色才能搜索审核日志。 默认情况下,这些角色分配给 Exchange 管理中心“权限”页上的“合规性管理和组织管理”角色组。 Office 365 和 Microsoft 365 中的全局管理员会自动添加为 Exchange Online 中的组织管理角色组的成员。 有关详细信息,请参阅在 Exchange Online 中管理角色组。
运行审核日志搜索
本部分介绍创建和运行审核日志搜索的基础知识。 使用这些说明作为本文中每个故障排除方案的起点。 有关更详细的分步说明,请参阅 搜索审核日志。
转到 https://compliance.microsoft.com/auditlogsearch,使用工作或学校帐户登录。
可以配置以下搜索条件。 本文中的每个故障排除方案都推荐了有关配置这些字段的具体指南。
a. 开始日期 和 结束日期: 选择日期和时间范围以显示在该时间段内发生的事件。 默认情况下,选择过去七天。 日期和时间将以协调世界时 (UTC) 格式显示。 可指定的最大日期范围为 90 天。
b. 活动: 选择下拉列表以显示可搜索的活动。 运行搜索后,仅将显示所选活动的审核日志项目。 选择“ 显示所有活动的结果” 将显示满足其他搜索条件的所有活动的结果。 在某些故障排除方案中,还必须将此字段留空。
c. 用户: 在此框中选择,然后选择要显示其搜索结果的一个或多个用户。 你在此框中选择的用户执行的所选活动的审核记录将显示在结果列表中。 将此框留空以返回组织中所有用户(和服务帐户)的条目。
d. 文件、文件夹或站点: 键入部分或全部文件或文件夹名称,以搜索与包含指定关键字的文件夹文件相关的活动。 你还可以指定文件或文件夹的 URL。 如果使用 URL,请确保键入完整的 URL 路径,或者如果只键入 URL 的一部分,则不包含任何特殊字符或空格。 将此框留空以返回组织中所有文件和文件夹的条目。 此字段在本文的所有故障排除方案中都留空。
选择“ 搜索 ”以使用搜索条件运行搜索。
搜索结果将加载,几分钟后,它们将显示在审核日志搜索工具中的页面上。 本文中的每个部分都提供有关在特定故障排除方案上下文中查找的内容的指导。
有关查看和导出审核日志搜索结果的详细信息,请参阅:
查找用于访问已泄露帐户的计算机的 IP 地址
与任何用户执行的活动对应的 IP 地址包含在大多数审核记录中。 有关所用客户端的信息也包含在审核记录中。
下面介绍如何为此方案配置审核日志搜索查询:
活动: 如果与案例相关,请选择要搜索的特定活动。 若要排查帐户泄露问题,请考虑在“Exchange 邮箱活动”下选择“用户登录到邮箱”活动。 这将返回审核记录,其中显示了登录邮箱时使用的 IP 地址。 否则,将此字段留空以返回所有活动的审核记录。
提示
将此字段留空将返回 UserLoggedIn 活动,这是一个 Azure Active Directory 活动,指示有人已登录到用户帐户。 在搜索结果中使用筛选来显示 UserLoggedIn 审核记录。
开始日期 和 结束日期: 选择适用于调查的日期范围。
用户: 如果要调查已泄露的帐户,请选择帐户已泄露的用户。 这将返回该用户帐户所执行活动的审核记录。
文件、文件夹或站点: 将此字段留空。
运行搜索后,每个活动的 IP 地址将显示在搜索结果的 “IP 地址 ”列中。 选择搜索结果中的记录,以查看浮出控件页面上的更多详细信息。
确定为邮箱设置电子邮件转发的人员
为邮箱配置电子邮件转发时,发送到邮箱的电子邮件将转发到另一个邮箱。 邮件可以转发给组织内部或外部的用户。 在邮箱上设置电子邮件转发时,使用的基础Exchange Online cmdlet 为 Set-Mailbox。
下面介绍如何为此方案配置审核日志搜索查询:
活动: 将此字段留空,以便搜索返回所有活动的审核记录。 这是返回与 Set-Mailbox cmdlet 相关的任何审核记录所必需的。
开始日期 和 结束日期: 选择适用于调查的日期范围。
用户: 除非你正在调查特定用户的电子邮件转发问题,否则请将此字段留空。 这有助于确定是否为任何用户设置了电子邮件转发。
文件、文件夹或站点: 将此字段留空。
运行搜索后,在搜索结果页上选择“ 筛选 结果”。 在“ 活动 ”列标题下的框中,键入 “Set-Mailbox ”,以便仅显示与 Set-Mailbox cmdlet 相关的审核记录。
此时,必须查看每个审核记录的详细信息,以确定活动是否与电子邮件转发相关。 选择审核记录以显示 “详细信息 ”浮出控件页,然后选择“ 详细信息”。 以下屏幕截图和说明突出显示了在邮箱上设置电子邮件转发的信息。
a. 在 ObjectId 字段中,显示设置了电子邮件转发的邮箱的别名。 此邮箱还会显示在搜索结果页的 “项目” 列上。
b. 在 “参数” 字段中,值 ForwardingSmtpAddress 指示已对邮箱设置了电子邮件转发。 在此示例中,将邮件转发到电子邮件地址 ,该地址 mike@contoso.com位于 alpinehouse.onmicrosoft.com 组织之外。
c. DeliverToMailboxAndForward 参数的 True 值指示邮件的副本已sarad@alpinehouse.onmicrosoft.com传递到,并转发到 ForwardingSmtpAddress 参数指定的电子邮件地址,在此示例中为 mike@contoso.com。 如果 DeliverToMailboxAndForward 参数的值设置为 False,则电子邮件仅转发到 ForwardingSmtpAddress 参数指定的地址。 它不会传递到 ObjectId 字段中指定的邮箱。
d. UserId 字段指示在 ObjectId 字段中指定的邮箱上设置电子邮件转发的用户。 此用户也会显示在搜索结果页上的 “用户 ”列中。 在这种情况下,邮箱的所有者似乎在邮箱上设置了电子邮件转发。
如果确定不应在邮箱上设置电子邮件转发,可以通过在 PowerShell Exchange Online 运行以下命令将其删除:
Set-Mailbox <mailbox alias> -ForwardingSmtpAddress $null
有关与电子邮件转发相关的参数的详细信息,请参阅 Set-Mailbox 一文。
确定用户是否删除了电子邮件项目
从 2019 年 1 月开始,Microsoft 默认为所有Office 365和 Microsoft 组织启用邮箱审核日志记录。 这意味着,邮箱所有者执行的某些操作会自动记录,并且相应的邮箱审核记录在邮箱审核日志中搜索时可用。 在默认情况下启用邮箱审核之前,必须手动为组织中的每个用户邮箱启用它。
默认情况下记录的邮箱操作包括邮箱所有者执行的 SoftDelete 和 HardDelete 邮箱操作。 这意味着可以使用以下步骤在审核日志中搜索与已删除电子邮件项目相关的事件。 有关默认启用的邮箱审核的详细信息,请参阅 管理邮箱审核。
下面介绍如何为此方案配置审核日志搜索查询:
活动: 在 “Exchange 邮箱活动”下,选择下列一项或两项活动:
从“已删除邮件”文件夹中删除的邮件: 此活动对应于 SoftDelete 邮箱审核操作。 当用户通过选择并按 Shift+Delete 永久删除某个项时,也会记录此活动。 永久删除项目后,用户可以将其恢复,直到已删除项目的保留期到期。
从邮箱中清除的邮件: 此活动对应于 HardDelete 邮箱审核操作。 当用户从“可恢复的项目”文件夹中清除某个项目时,会记录此项。 管理员可以使用合规性门户中的内容搜索工具搜索和恢复已清除的项目,直到已删除邮件的保留期到期或更长时间(如果用户的邮箱处于保留状态)。
开始日期 和 结束日期: 选择适用于调查的日期范围。
用户: 如果在此字段中选择用户,审核日志搜索工具将返回你指定的用户 (SoftDeleted 或 HardDeleted) 删除的电子邮件项目的审核记录。 有时,删除电子邮件的用户可能不是邮箱所有者。
文件、文件夹或站点: 将此字段留空。
运行搜索后,可以筛选搜索结果,以显示软删除项或硬删除项目的审核记录。 选择审核记录以显示 “详细信息 ”浮出控件页,然后选择“ 详细信息”。 有关已删除项目的其他信息(如主题行和项目删除时的位置)将显示在 AffectedItems 字段中。 以下屏幕截图显示了软删除项和硬删除项中的 AffectedItems 字段的示例。
软删除项的 AffectedItems 字段示例
硬删除项的 AffectedItems 字段示例
恢复已删除的电子邮件项目
如果已删除邮件的保留期未过期,用户可以恢复软删除的项目。 在 Exchange Online,已删除邮件的默认保留期为 14 天,但管理员可以将此设置增加到最多 30 天。 将用户指向Outlook 网页版恢复已删除项目或电子邮件一文中有关恢复已删除邮件的说明。
如前所述,如果已删除项目保留期未过期或邮箱处于保留状态,则管理员可能能够恢复硬删除的项目,在这种情况下,邮件将保留到保留期到期。 运行内容搜索时,如果与搜索查询匹配,则搜索结果中将返回“可恢复的项目”文件夹中的软删除项和硬删除项。 有关运行内容搜索的详细信息,请参阅Office 365中的内容搜索。
提示
若要搜索已删除的电子邮件项,请搜索审核记录的 AffectedItems 字段中显示的全部或部分主题行。
确定用户是否创建了收件箱规则
当用户为其Exchange Online邮箱创建收件箱规则时,相应的审核记录将保存到审核日志中。 有关收件箱规则的详细信息,请参阅:
下面介绍如何为此方案配置审核日志搜索查询:
活动: 在 “Exchange 邮箱活动”下,选择下列一项或两项活动:
New-InboxRule 从 Outlook Web App 创建新的收件箱规则。 使用 Outlook Web 应用或 Exchange Online PowerShell 创建收件箱规则时,此活动将返回审核记录。
从 Outlook 客户端更新了收件箱规则。 使用 Outlook 桌面客户端创建、修改或删除收件箱规则时,此活动返回审核记录。
开始日期 和 结束日期: 选择适用于调查的日期范围。
用户: 除非你正在调查特定用户,否则请将此字段留空。 这有助于识别任何用户设置的新收件箱规则。
文件、文件夹或站点: 将此字段留空。
运行搜索后,此活动的任何审核记录将显示在搜索结果中。 选择审核记录以显示 “详细信息 ”浮出控件页,然后选择“ 详细信息”。 有关收件箱规则设置的信息显示在 “参数” 字段中。 以下屏幕截图和说明突出显示了有关收件箱规则的信息。
a. 在 ObjectId 字段中,显示收件箱规则的全名。 此名称包括用户邮箱的别名 (例如 SaraD) ,收件箱规则的名称 (例如“从管理员移动邮件”) 。
b. 在 “参数” 字段中,将显示收件箱规则的条件。 在此示例中,条件由 From 参数指定。 为 From 参数定义的值指示收件箱规则作用于 发送 admin@alpinehouse.onmicrosoft.com的电子邮件。 有关可用于定义收件箱规则条件的参数的完整列表,请参阅 New-InboxRule 一文。
c. MoveToFolder 参数指定收件箱规则的操作。 在此示例中,从 admin@alpinehouse.onmicrosoft.com 接收的邮件将移动到名为 AdminSearch 的文件夹。 另请参阅 New-InboxRule 一文,了解可用于定义收件箱规则操作的参数的完整列表。
d. UserId 字段指示创建 ObjectId 字段中指定的收件箱规则的用户。 此用户也会显示在搜索结果页上的 “用户 ”列中。
调查组织外部用户成功登录的原因
查看审核日志中的审核记录时,可能会看到指示外部用户已通过 Azure Active Directory 进行身份验证并成功登录到组织的记录。 例如,contoso.onmicrosoft.com 中的管理员可能会看到一条审核记录,显示来自不同组织的用户 (例如,fabrikam.onmicrosoft.com) 成功登录到 contoso.onmicrosoft.com。 同样,你可能会看到审核记录,这些记录指示具有 Microsoft 帐户 (MSA) 的用户(如 Outlook.com 或 Live.com)已成功登录到你的组织。 在这些情况下,审核的活动为 “用户登录”。
此行为是设计使然。 Azure Active Directory (Azure AD) (目录服务)允许在外部用户尝试访问组织中的 SharePoint 网站或 OneDrive 位置时进行传递 身份验证 。 当外部用户尝试执行此操作时,系统会提示他们输入其凭据。 Azure AD 使用凭据对用户进行身份验证,这意味着只有 Azure AD 验证用户是否是他们所说的用户。 审核记录中成功登录的指示是 Azure AD 对用户进行身份验证的结果。 成功登录并不意味着用户能够访问组织中的任何资源或执行任何其他操作。 它仅指示用户已通过 Azure AD 进行身份验证。 为了使直通用户访问 SharePoint 或 OneDrive 资源,组织中的用户必须通过向外部用户发送共享邀请或匿名共享链接来显式共享资源。
注意
Azure AD 仅允许对第一方应用程序(如 SharePoint Online 和 OneDrive for Business)进行直通身份验证。 不允许用于其他第三方应用程序。
下面是用户 登录 事件审核记录中相关属性的示例和说明,该事件是直通身份验证的结果。 选择审核记录以显示 “详细信息 ”浮出控件页,然后选择“ 详细信息”。
a. 此字段指示尝试访问组织中的资源的用户未在组织的 Azure AD 中找到。
b. 此字段显示尝试访问组织中的资源的外部用户的 UPN。 此用户 ID 也在审核记录的 User 和 UserId 属性中标识。
c. ApplicationId 属性标识触发登录请求的应用程序。 此审核记录的 ApplicationId 属性中显示的值 000000003-0000-0ff1-ce00-0000000000000000000,指示 SharePoint Online。 OneDrive for Business也具有相同的 ApplicationId。
d. 这表示直通身份验证已成功。 换句话说,Azure AD 已成功对用户进行身份验证。
e. RecordType 值 15 指示 UserLoggedIn () 审核的活动是 Azure AD 中安全令牌服务 (STS) 登录事件。
有关 UserLoggedIn 审核记录中显示的其他属性的详细信息,请参阅 Office 365 管理活动 API 架构中的 Azure AD 相关架构信息。
下面是两个示例方案,它们将导致 用户成功登录 审核活动,因为直通身份验证:
具有 Microsoft 帐户 ((如 SaraD@outlook.com) )的用户尝试访问 fourthcoffee.onmicrosoft.com OneDrive for Business 帐户中的文档,但在 fourthcoffee.onmicrosoft.com 中没有相应的来宾用户帐户SaraD@outlook.com。
在组织 ((例如 pilarp@fabrikam.onmicrosoft.com) )中具有工作或学校帐户的用户尝试访问 contoso.onmicrosoft.com 中的 SharePoint 网站,但在 contoso.onmicrosoft.com 中没有相应的来宾用户帐户 pilarp@fabrikam.com 。
有关调查直通身份验证导致的成功登录的提示
在审核日志中搜索“用户登录审核记录”中标识的外部 用户 执行的活动。 在“ 用户 ”框中键入外部用户的 UPN,并使用与方案相关的日期范围。 例如,可以使用以下搜索条件创建搜索:
除了 “用户登录” 活动外,还可能返回其他审核记录,例如,指示组织中的用户与外部用户共享资源,以及外部用户是否访问、修改或下载了与其共享的文档。
搜索 SharePoint 共享活动,这些活动指示文件已与登录审核记录用户标识的外部 用户 共享。 有关详细信息,请参阅在审核日志中使用共享审核。
导出包含与调查相关的记录的审核日志搜索结果,以便您可以使用 Excel 搜索与外部用户相关的其他活动。 有关详细信息,请参阅导出、配置和查看审核日志记录。
搜索具有非 E5 许可证的用户执行的邮箱活动
即使组织默认启用邮箱审核,你也可能注意到,使用合规性门户、Search-UnifiedAuditLog cmdlet 或 Office 365 管理活动 API 在审核日志搜索中找不到某些用户的邮箱审核事件。 这样做的原因是,当你使用上述方法之一搜索统一审核日志时,仅针对具有 E5 许可证的用户返回邮箱审核事件。
若要检索非 E5 用户的邮箱审核日志记录,可以执行以下解决方法之一:
(PowerShell) Exchange Online 中运行
Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true命令,手动启用单个邮箱的邮箱审核。 执行此操作后,请使用合规性门户、Search-UnifiedAuditLog cmdlet 或 Office 365 管理活动 API 搜索邮箱审核活动。注意
如果邮箱审核似乎已在邮箱上启用,但搜索未返回任何结果,请将 AuditEnabled 参数的值更改为
$false,然后返回$true。Exchange Online PowerShell 中使用以下 cmdlet:
Search-MailboxAuditLog 用于搜索特定用户的邮箱审核日志。
New-MailboxAuditLogSearch 用于搜索特定用户的邮箱审核日志,并通过电子邮件将结果发送给指定的收件人。
搜索在特定邮箱中执行的邮箱活动 (包括共享邮箱)
在合规性门户的审核日志搜索工具中使用“用户”下拉列表或 Exchange Online PowerShell 中的 Search-UnifiedAuditLog -UserIds 命令时,可以搜索特定用户执行的活动。 对于邮箱审核活动,这种类型的搜索将搜索指定用户执行的活动。 它不保证在同一邮箱中执行的所有活动都会在搜索结果中返回。 例如,审核日志搜索不会返回委托用户所执行活动的审核记录,因为搜索由特定用户执行的邮箱活动不会返回被分配有权访问其他用户邮箱的委托用户执行的活动。 (委托用户是已获得对其他用户邮箱的 SendAs、SendOnBehalf 或 FullAccess 邮箱权限的人员。)
此外,使用审核日志搜索工具中的 “用户 ”下拉列表或 Search-UnifiedAuditLog -UserIds 不会返回在共享邮箱中执行的活动的结果。
若要搜索在特定邮箱中执行的活动或搜索在共享邮箱中执行的活动,请在运行 Search-UnifiedAuditLog cmdlet 时使用以下语法:
Search-UnifiedAuditLog -StartDate <date> -EndDate <date> -FreeText (Get-Mailbox <mailbox identity).ExchangeGuid
例如,以下命令返回 2020 年 8 月至 2020 年 10 月期间在 Contoso 合规性团队共享邮箱中执行的活动的审核记录:
Search-UnifiedAuditLog -StartDate 08/01/2020 -EndDate 10/31/2020 -FreeText (Get-Mailbox complianceteam@contoso.onmicrosoft.com).ExchangeGuid
或者,可以使用 Search-MailboxAuditLog cmdlet 搜索在特定邮箱中执行的活动的审核记录。 这包括搜索在共享邮箱中执行的活动。
以下示例返回在 Contoso 合规性团队共享邮箱中执行的活动的邮箱审核日志记录:
Search-MailboxAuditLog -Identity complianceteam@contoso.onmicrosoft.com -StartDate 08/01/2020 -EndDate 10/31/2020 -ShowDetails
以下示例返回委托用户在指定邮箱中执行的活动的邮箱审核日志记录:
Search-MailboxAuditLog -Identity <mailbox identity> -StartDate <date> -EndDate <date> -LogonTypes Delegate -ShowDetails
还可以使用 New-MailboxAuditLogSearch cmdlet 在审核日志中搜索特定邮箱,并通过电子邮件将结果发送给指定的收件人。