搜索审核日志以调查常见的支持问题

本文介绍如何使用审核日志搜索工具来帮助你调查常见的支持问题。 这包括使用审核日志来：

• 查找用于访问已泄露帐户的计算机的 IP 地址
• 确定为邮箱设置电子邮件转发的人员
• 确定用户是否删除了邮箱中的电子邮件项目
• 确定用户是否创建了收件箱规则
• 调查组织外部用户成功登录的原因
• 搜索具有非 E5 许可证的用户执行的邮箱活动
• 委托用户执行的邮箱活动的搜索

提示

如果你不是 E5 客户，请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

使用审核日志搜索工具

本文所述的每个故障排除方案都基于使用 Microsoft Purview 门户或Microsoft Purview 合规门户中的审核日志搜索工具。 本部分列出了搜索审核日志所需的权限，并介绍了访问和运行审核日志搜索的步骤。 每个方案部分说明如何配置审核日志搜索查询，以及如何在与搜索条件匹配的审核记录中的详细信息中查找哪些内容。

使用审核日志搜索工具所需的权限

必须在 Purview 或合规性门户中分配“审核日志”或“仅查看审核日志”角色才能搜索审核日志。 默认情况下，这些角色将分配给 Microsoft Purview 门户中“角色组”页上的“审核读取者”和“审核管理器”角色组，以及合规性门户.portal 中的“权限”页。

若要访问审核 cmdlet，必须在 Exchange 管理中心中为你分配“ 审核日志 ”和 “仅查看审核日志” 角色。 默认情况下，这些角色分配给 Exchange 管理中心“权限”页上的“合规性管理和组织管理”角色组。

有关详细信息，请参阅 审核解决方案入门。

正在运行审核日志搜索

有关如何运行审核日志搜索的详细指南，请参阅搜索审核日志。

查找用于访问已泄露帐户的计算机的 IP 地址

大多数审核记录中包含与任何用户执行的活动对应的 IP 地址。 有关所使用客户端的信息也包含在审核记录中。

下面介绍如何为此方案配置审核日志搜索查询：

活动： 如果与案例相关，请选择要搜索的特定活动。 若要排查帐户泄露问题，请考虑在“Exchange 邮箱活动”下选择“用户登录到邮箱”活动。 这会返回审核记录，其中显示了登录到邮箱时使用的 IP 地址。 否则，请将此字段留空以返回所有活动的审核记录。

提示

将此字段留空将返回 UserLoggedIn 活动，这是一个Microsoft Entra活动，指示有人已登录到用户帐户。 在搜索结果中使用筛选来显示 UserLoggedIn 审核记录。

开始日期 和 结束日期： 选择适用于调查的日期范围。

用户： 如果要调查已泄露的帐户，请选择帐户已泄露的用户。 这会返回该用户帐户执行的活动的审核记录。

文件、文件夹或站点： 将此字段留空。

运行搜索后，每个活动的 IP 地址将显示在搜索结果的 “IP 地址 ”列中。 选择搜索结果中的记录以在浮出控件页上查看更详细的信息。

确定为邮箱设置电子邮件转发的人员

为邮箱配置电子邮件转发时，发送到邮箱的电子邮件将转发到另一个邮箱。 邮件可以转发给组织内部或外部的用户。 在邮箱上设置电子邮件转发时，使用的基础 Exchange Online cmdlet 是 Set-Mailbox。

下面介绍如何为此方案配置审核日志搜索查询：

活动： 将此字段留空，以便搜索返回所有活动的审核记录。 这是返回与 Set-Mailbox cmdlet 相关的任何审核记录所必需的。

开始日期 和 结束日期： 选择适用于调查的日期范围。

用户： 除非你正在调查特定用户的电子邮件转发问题，否则请将此字段留空。 这有助于确定是否为任何用户设置了电子邮件转发。

文件、文件夹或站点： 将此字段留空。

运行搜索后，在搜索结果页上选择 “筛选结果 ”。 在“ 活动 ”列标题下的框中，键入 “Set-Mailbox ”，以便仅显示与 Set-Mailbox cmdlet 相关的审核记录。

此时，必须查看每个审核记录的详细信息，以确定活动是否与电子邮件转发相关。 选择审核记录以显示 “详细信息 ”浮出控件页，然后选择 “详细信息”。 以下屏幕截图和说明突出显示了在邮箱上设置电子邮件转发的信息。

a. 在 ObjectId 字段中，显示设置了电子邮件转发的邮箱的别名。 此邮箱也显示在 搜索结果页的“项 ”列上。

b. 在 “参数” 字段中，值 ForwardingSmtpAddress 指示已对邮箱设置了电子邮件转发。 在此示例中，邮件将转发到电子邮件地址，该地址 mike@contoso.com在 alpinehouse.onmicrosoft.com 组织外部。

c. DeliverToMailboxAndForward 参数的 True 值指示邮件的副本已sarad@alpinehouse.onmicrosoft.com传递到，并转发到 ForwardingSmtpAddress 参数指定的电子邮件地址，在此示例中为 mike@contoso.com。 如果 DeliverToMailboxAndForward 参数的值设置为 False，则仅将电子邮件转发到 ForwardingSmtpAddress 参数指定的地址。 它不会传递到 ObjectId 字段中指定的邮箱。

d. UserId 字段指示在 ObjectId 字段中指定的邮箱上设置电子邮件转发的用户。 此用户还会显示在 搜索结果页上的“用户 ”列中。 在这种情况下，邮箱的所有者似乎在邮箱上设置了电子邮件转发。

如果确定不应在邮箱上设置电子邮件转发，可以通过在 Exchange Online PowerShell 中运行以下命令将其删除：

Set-Mailbox <mailbox alias> -ForwardingSmtpAddress $null 

有关与电子邮件转发相关的参数的详细信息，请参阅 Set-Mailbox 一文。

确定用户是否删除了电子邮件项目

从 2019 年 1 月开始，Microsoft 默认为所有Office 365和 Microsoft 组织启用邮箱审核日志记录。 这意味着，邮箱所有者执行的某些操作会自动记录，并且相应的邮箱审核记录在邮箱审核日志中搜索时可用。 在默认情况下启用邮箱审核之前，必须手动为组织中的每个用户邮箱启用它。

默认记录的邮箱操作包括邮箱所有者执行的 SoftDelete 和 HardDelete 邮箱操作。 这意味着可以使用以下步骤在审核日志中搜索与已删除电子邮件项目相关的事件。 有关邮箱审核日志的详细信息，参见“管理邮箱审核”。

下面介绍如何为此方案配置审核日志搜索查询：

活动： 在 “Exchange 邮箱活动”下，选择下列一项或两项活动：

• 从“已删除邮件”文件夹中删除的邮件： 此活动对应于 SoftDelete 邮箱审核操作。 当用户通过选择项目并按 Shift+Delete永久删除项目时，也会记录此活动。 永久删除项目后，用户可以恢复它，直到已删除的项目保留期过期。

• 从邮箱中清除的邮件： 此活动对应于 HardDelete 邮箱审核操作。 当用户从“可恢复的项目”文件夹中清除某个项目时，会记录此项。 管理员可以使用 Microsoft Purview 门户或合规性门户中的搜索工具搜索和恢复已清除的项目，直到已删除项目保留期到期或更长（如果用户的邮箱处于保留状态）。

开始日期 和 结束日期： 选择适用于调查的日期范围。

用户： 如果在此字段中选择用户，审核日志搜索工具将返回你指定的用户 (SoftDeleted 或 HardDeleted) 删除的电子邮件项目的审核记录。 有时，删除电子邮件的用户可能不是邮箱所有者。

文件、文件夹或站点： 将此字段留空。

运行搜索后，可以筛选搜索结果，以显示软删除项目或硬删除项目的审核记录。 选择审核记录以显示 “详细信息 ”浮出控件页，然后选择 “详细信息”。 有关已删除项的其他信息（如主题行和项目在删除时的位置）显示在 AffectedItems字段中。 以下屏幕截图显示了来自软删除项和硬删除项的 AffectedItems 字段的示例。

软删除项的 AffectedItems 字段示例

硬删除项的 AffectedItems 字段示例

恢复已删除的电子邮件项

如果已删除的项目保留期尚未过期，则用户可以恢复软删除的项目。 在 Exchange Online，已删除邮件的默认保留期为 14 天，但管理员可以将此设置增加到最多 30 天。 将用户指向 Outlook 网页 版文章中的“恢复已删除的项目或电子邮件”，以获取有关恢复已删除项目的说明。

如前所述，如果已删除项目保留期未过期或邮箱处于保留状态，则管理员可能能够恢复硬删除的项目，在这种情况下，邮件将保留到保留期到期。 运行内容搜索时，“可恢复的项目”文件夹中的软删除和硬删除项目将在搜索结果中返回（如果它们与搜索查询匹配）。 有关运行内容搜索的详细信息，请参阅 Office 365 中的内容搜索。

提示

若要搜索已删除的电子邮件项目，请搜索审核记录的 AffectedItems 字段中显示的全部或部分主题行。

确定用户是否创建了收件箱规则

当用户为其 Exchange Online 邮箱创建收件箱规则时，相应的审核记录将保存到审核日志中。 有关收件箱规则的详细信息，请参阅：

• 在 Outlook 网页版 中使用收件箱规则
• 使用规则在 Outlook 中管理电子邮件

下面介绍如何为此方案配置审核日志搜索查询：

活动： 在 “Exchange 邮箱活动”下，选择下列一项或两项活动：

• New-InboxRule 从 Outlook Web App创建新的收件箱规则。 使用 Outlook Web 应用或 Exchange Online PowerShell 创建收件箱规则时，此活动将返回审核记录。

• 已从 Outlook 客户端更新收件箱规则。 使用 Outlook 桌面客户端创建、修改或删除收件箱规则时，此活动将返回审核记录。

开始日期 和 结束日期： 选择适用于调查的日期范围。

用户： 除非你正在调查特定用户，否则请将此字段留空。 这有助于识别任何用户设置的新收件箱规则。

文件、文件夹或站点： 将此字段留空。

运行搜索后，此活动的任何审核记录将显示在搜索结果中。 选择审核记录以显示“详细信息”浮出控件页，然后选择“详细信息”。 有关收件箱规则设置的信息显示在“参数”字段中。 以下屏幕截图和说明突出显示了有关收件箱规则的信息。

a. 在 ObjectId 字段中，显示收件箱规则的全名。 此名称包括用户邮箱的别名（例如 SaraD）和收件箱规则的名称（例如，“从管理员处移动邮件”）。

b. 在 “参数” 字段中，将显示收件箱规则的条件。 在此示例中，条件由 From 参数指定。 为 From 参数定义的值指示收件箱规则作用于 发送 admin@alpinehouse.onmicrosoft.com的电子邮件。 有关可用于定义收件箱规则条件的参数的完整列表，请参阅 New-InboxRule 一文。

c. MoveToFolder 参数指定收件箱规则的操作。 在此示例中，接收到的 admin@alpinehouse.onmicrosoft.com 邮件将移动到名为 AdminSearch的文件夹。 另请参阅 New-InboxRule 一文，了解可用于定义收件箱规则操作的参数的完整列表。

d. UserId 字段指示创建 ObjectId 字段中指定的收件箱规则的用户。 此用户还会显示在 搜索结果页上的“用户 ”列中。

调查组织外部用户成功登录的原因

查看审核日志中的审核记录时，可能会看到指示外部用户已通过Microsoft Entra ID进行身份验证并成功登录到组织的记录。 例如，contoso.onmicrosoft.com 中的管理员可能会看到一条审核记录，显示来自不同组织的用户 (例如，fabrikam.onmicrosoft.com) 成功登录到 contoso.onmicrosoft.com。 同样，你可能会看到审核记录，这些记录指示具有 Microsoft 帐户 (MSA) 的用户（如 Outlook.com 或 Live.com）已成功登录到你的组织。 在这些情况下，审核的活动是 “用户登录”。

此行为是设计使然。 Microsoft Entra ID（目录服务）允许在外部用户尝试访问组织中的 SharePoint 网站或 OneDrive 位置时进行传递身份验证。 当外部用户尝试执行此操作时，系统会提示他们输入其凭据。 Microsoft Entra ID使用凭据对用户进行身份验证，这意味着只有Microsoft Entra ID验证用户是否是他们所说的用户。 审核记录中成功登录的指示是Microsoft Entra对用户进行身份验证的结果。 成功登录并不意味着用户能够访问组织中的任何资源或执行任何其他操作。 它仅指示用户已通过 Microsoft Entra ID 进行身份验证。 为了使直通用户访问 SharePoint 或 OneDrive 资源，组织中的用户必须通过向其发送共享邀请或匿名共享链接来显式与外部用户共享资源。

注意

Microsoft Entra ID仅允许第一方应用程序（如 SharePoint Online 和 OneDrive for Business）进行直通身份验证。 其他第三方应用程序不允许使用它。

下面是用户 登录 事件审核记录中相关属性的示例和说明，该事件是直通身份验证的结果。 选择审核记录以显示“详细信息”浮出控件页，然后选择“详细信息”。

a. 此字段指示未在组织的Microsoft Entra ID中找到尝试访问组织中的资源的用户。

b. 此字段显示尝试访问组织中的资源的外部用户的 UPN。 此用户 ID 也在审核记录的 User 和 UserId 属性中标识。

c. ApplicationId 属性标识触发登录请求的应用程序。 此审核记录的 ApplicationId 属性中显示的值 00000003-0000-0ff1-ce00-000000000000 表示 SharePoint Online。 OneDrive for Business也具有相同的 ApplicationId。

d. 这表示直通身份验证已成功。 换句话说，用户已通过Microsoft Entra ID成功进行身份验证。

e. RecordType 值 15 指示 UserLoggedIn) (审核的活动是Microsoft Entra ID中 STS) 登录事件 (安全令牌服务。

有关 UserLoggedIn 审核记录中显示的其他属性的详细信息，请参阅 Office 365 管理活动 API 架构中的Microsoft Entra相关架构信息。

下面是两个示例方案，它们将导致 用户成功登录 审核活动，因为直通身份验证：

• 具有 Microsoft 帐户 (（如 SaraD@outlook.com) ）的用户尝试访问 fourthcoffee.onmicrosoft.com OneDrive for Business 帐户中的文档，但在 fourthcoffee.onmicrosoft.com 中没有相应的来宾用户帐户SaraD@outlook.com。

• 在组织 (（例如 pilarp@fabrikam.onmicrosoft.com) ）中具有工作或学校帐户的用户尝试访问 contoso.onmicrosoft.com 中的 SharePoint 网站，但在 contoso.onmicrosoft.com 中没有相应的来宾用户帐户 pilarp@fabrikam.com 。

有关调查直通身份验证导致的成功登录的提示

• 在审核日志中搜索由用户登录审核记录中标识的外部用户执行的活动。 在“用户”框中键入外部用户的 UPN，并使用日期范围（如果与方案相关）。 例如，可以使用以下搜索条件创建搜索：

  

  除了 “用户登录 ”活动外，还可能会返回其他审核记录，例如，指示组织中的用户与外部用户共享资源，以及外部用户是否访问、修改或下载了与其共享的文档。

• 搜索 SharePoint 共享活动，这些活动指示文件已与登录 审核记录的 用户标识的外部用户共享。 有关详细信息，请参阅在审核日志中使用共享审核。

• 导出包含与调查相关的记录的审核日志搜索结果，以便您可以使用 Excel 搜索与外部用户相关的其他活动。 有关详细信息，请参阅导出、配置和查看审核日志记录。

搜索具有非 E5 许可证的用户执行的邮箱活动

即使组织默认启用邮箱审核，你也可能注意到，使用 Microsoft Purview 门户或合规性门户、搜索-UnifiedAuditLog cmdlet 或 Office 365 管理活动 API 在审核日志搜索中找不到某些用户的邮箱审核事件。 原因是，使用上述方法之一搜索统一审核日志时，仅返回具有 E5 许可证的用户的邮箱审核事件。

若要检索非 E5 用户的邮箱审核日志记录，可以执行以下解决方法之一：

• (PowerShell) Exchange Online 中运行Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true命令，手动启用单个邮箱的邮箱审核。 执行此操作后，请使用 Microsoft Purview 门户、合规性门户、搜索-UnifiedAuditLog cmdlet 或 Office 365 管理活动 API 搜索邮箱审核活动。

  注意

  如果邮箱审核似乎已在邮箱上启用，但搜索未返回任何结果，请将 AuditEnabled 参数的值更改为 $false ，然后返回 $true。

• 在Exchange Online PowerShell中运行以下cmdlet：

  • Search-MailboxAuditLog 以搜索特定用户的邮箱审核日志。

  • New-MailboxAuditLogSearch 用于在邮箱审核日志中搜索特定用户，并将结果通过电子邮件发送给指定的收件人。

在特定邮箱 (（包括共享邮箱) ）中执行的邮箱活动的搜索

在 Microsoft Purview 门户的审核日志搜索工具、合规性门户或 Exchange Online PowerShell 中的 搜索-UnifiedAuditLog -UserIds 命令中使用“用户”下拉列表时，可以搜索特定用户执行的活动。 对于邮箱审核活动，这种类型的搜索将查找指定用户执行的活动。 它不保证在同一邮箱中执行的所有活动都会在搜索结果中返回。 例如，审核日志搜索不会返回委托用户所执行活动的审核记录，因为搜索由特定用户执行的邮箱活动不会返回被分配有权访问其他用户邮箱的委托用户执行的活动。 (委托用户是已获得对其他用户邮箱的 SendAs、SendOnBehalf 或 FullAccess 邮箱权限的人员。)

此外，使用审核日志搜索工具中的用户下拉列表或 搜索-UnifiedAuditLog -UserIds 不会返回在共享邮箱中执行的活动的结果。

若要搜索在特定邮箱中执行的活动或搜索在共享邮箱中执行的活动，请在运行 搜索-UnifiedAuditLog cmdlet 时使用以下语法：

Search-UnifiedAuditLog -StartDate <date> -EndDate <date> -FreeText (Get-Mailbox <mailbox identity).ExchangeGuid

例如，以下命令返回在 2020 年 8 月到 2020 年 10 月间 Contoso 合规性团队共享邮箱中执行的活动审核记录：

Search-UnifiedAuditLog -StartDate 08/01/2020 -EndDate 10/31/2020 -FreeText (Get-Mailbox complianceteam@contoso.onmicrosoft.com).ExchangeGuid

或者，可以使用 搜索-MailboxAuditLog cmdlet 搜索在特定邮箱中执行的活动的审核记录。 这包括搜索在共享邮箱中执行的活动。

以下示例返回 Contoso 合规性团队共享邮箱中执行活动的邮箱审核日志记录：

Search-MailboxAuditLog -Identity complianceteam@contoso.onmicrosoft.com -StartDate 08/01/2020 -EndDate 10/31/2020 -ShowDetails

以下示例返回代理用户在指定邮箱中执行的活动邮箱审核日志记录：

Search-MailboxAuditLog -Identity <mailbox identity> -StartDate <date> -EndDate <date> -LogonTypes Delegate -ShowDetails

还可以使用 New-MailboxAuditLogSearch cmdlet 在审核日志中搜索特定邮箱，并通过电子邮件将结果发送给指定的收件人。