共用方式為


Exchange Online 中的日誌記錄

重要事項

如需 Exchange 安全性與合規性功能,請參閱 Microsoft 365 安全性中心Microsoft Purview 合規性入口網站 。 新的 Exchange 系統管理中心已不再提供它們。

可能的話,建議您使用 Microsoft 365 保留 期就地封存和管理數據,以符合您的合規性需求。 不過,某些組織可能需要使用第三方解決方案來接收記憶體或其他案例的電子郵件複本。 設定日誌以將該數據儲存在 Exchange 外部。

日誌記錄的考慮

日誌記錄是 Exchange 中較舊的功能,可將數據移出 Microsoft 365,因此您必須採取額外的預防措施來保護它,並解決此解決方案可能造成的任何重複。 您必須負責監視和追蹤因外部和相依服務而可能發生之日誌信箱的任何未傳遞收據。

當您使用 Microsoft 365 保留和其他將數據保留在租使用者內的 Microsoft Purview 合規性解決方案 時,不會有這些額外的系統管理額外負荷。 作為更現代化的合規性解決方案,它們不限於電子郵件,也可以管理現今的通訊和生產力應用程式數位,例如 Microsoft Teams。

日誌規則

以下是日誌規則的關鍵要素:

  • 日誌規則範圍:定義哪些訊息是由日誌代理程序記錄。
  • 日誌收件者:指定您要日誌記錄之收件者的 SMTP 位址。
  • 日誌信箱:指定用來收集日誌報表的一或多個信箱。

在 Exchange Online 中,您可以建立的日誌規則數目有限制。 如需詳細資訊,請參閱 日誌、傳輸和收件匣規則限制

日誌規則範圍

您可以使用日誌規則只記錄內部訊息、僅限外部訊息或兩者。 下列清單描述這些範圍:

  • 僅限內部訊息:將範圍設定為日誌內部訊息的日誌規則,這些訊息會在 Exchange 組織內的收件者之間傳送。
  • 僅限外部郵件1:將範圍設定為日誌外部郵件的日誌規則,這些外部郵件會傳送給收件者或從 Exchange 組織外部的寄件者接收。
  • 所有訊息:日誌規則,範圍設定為日誌所有通過貴組織的訊息,不論來源或目的地為何。 其中包括內部和外部範圍中的日誌規則可能已經處理過的訊息。

1如果寄件人和收件者都位於相同組織的可接受網域中,則即使郵件中的標頭具有 值anonymous,訊息也不會接受為外部x-ms-exchange-crosstenant-authas。 因此,這些訊息不會記錄為外部。

日誌收件者

您可以藉由指定要日誌記錄之收件者的 SMTP 位址來實作目標日誌規則。 收件者可以是信箱、通訊群組、動態通訊群組、郵件用戶或聯繫人。 這些收件者可能受限於法規需求,或是參與收集電子郵件訊息或其他通訊做為辨識項的法律訴訟。 藉由以特定收件者或收件者群組為目標,您可以輕鬆地設定符合貴組織程式且符合法規和法律需求的日誌環境。 僅以需要日誌記錄的特定收件者為目標,也會將記憶體和其他與保留大量數據相關聯的成本降到最低。

您在紀錄規則中指定的紀錄收件者所傳送或傳送的所有訊息都會以記錄紀錄記錄。 如果您將通訊群組指定為日誌收件者,則所有傳送至通訊群組成員或來自通訊群組成員的郵件都會記錄日誌。 如果您未指定日誌收件者,則會記錄所有與日誌規則範圍相符收件者來回傳送的郵件。

注意事項

為日誌收件者指定的 SMTP 位址不能包含通配符。 例如,SMTP 位址不能列為 *@contoso.com

日誌記錄信箱

日誌信箱用於收集日誌報告。 您設定日誌信箱的方式取決於組織的原則、法規要求及法律要求。 您可指定一個日誌信箱收集組織內設定之所有日誌規則適用的郵件,也可以針對不同日誌規則或日誌規則集,使用不同的日誌信箱。

您無法將 Exchange Online 信箱指定為紀錄信箱。 您可以將日誌報告傳遞至內部部署封存系統或協力廠商封存服務。 如果您正在執行 Exchange 混合式部署,且信箱在內部部署伺服器和 Exchange Online 之間分割,您可以將內部部署信箱指定為 Exchange Online 和內部部署信箱的日誌信箱。

日誌信箱包含敏感性資訊。 您必須保護日誌信箱的安全,因為日誌信箱會收集組織中收件者寄出或收到的郵件。 這些郵件可能會是法律訴訟的一部分,或受到法規要求所管制。 多種法律都要求這些郵件在送到調查單位前,需未經過竄改。 建議您建立原則來管理可存取組織內日誌信箱的人員,限制僅有直接存取需求的個人才能存取日誌信箱。 與您的法律代表諮詢,確定您的日誌解決方案遵守所有您組織應當遵守的法律及法規。

重要事項

如果您已設定日誌規則,將日誌報表傳送至不存在或是無效目的地的日誌信箱,則日誌報表會保留在 Microsoft 資料中心伺服器上的傳輸佇列中。 如果發生這種情況將會嘗試 Microsoft 資料中心人員連絡您的組織並要求您修正此問題,讓日誌報告可以成功傳遞至日誌記錄信箱。 如果您會在未解決問題後兩天的正在連絡,Microsoft 會停用之問題的日誌規則。

替代日誌記錄信箱

當日志信箱無法使用時,您可能不希望無法傳遞的日誌報表在信箱伺服器的郵件佇列中收集。 您可以改設定替代日誌信箱來存儲這些日誌報告。 替代日誌信箱會將日誌報告接收為非傳遞報表中的附件, (也稱為 NDR 或退回的郵件,) 在日誌信箱或其所在的伺服器拒絕日誌報告傳遞或無法使用時產生。 如同日誌信箱,您無法將 Exchange Online 信箱指定為替代日誌信箱。

當日志信箱再次可用時,您可以使用 Outlook 中的 [ 再次傳送 ] 功能來提交日誌報告,以傳遞至日誌信箱。

當您設定替代日誌信箱時,所有被拒絕或無法在整個 Exchange 組織中傳遞的日誌報告都會傳遞至替代日誌信箱。 因此,請務必確定替代日誌信箱及其所在的信箱伺服器可以支援許多日誌報表。

注意

如果您設定替代日誌信箱,則必須監視信箱,以確保信箱不會與日誌信箱同時變成無法使用。 如果替代日誌信箱也變得無法使用,或同時拒絕日誌報告,則會遺失拒絕的日誌報告,而且無法擷取。 由於 現有接收 Exchange Online 信箱電子郵件的限制,因此不支援將替代日誌信箱設定為 Exchange Online 信箱。

因為替代日誌信箱會收集整個 Exchange Online 組織所有遭拒絕的日誌報告,所以您必須確定這不會違反任何適用於貴組織的法律或法規。 如果法律或法規禁止貴組織允許傳送至不同日誌信箱的日誌報表儲存在相同的替代日誌信箱中,您可能無法設定替代日誌信箱。 請與您的法律代表討論,以判斷您是否可以使用替代日誌信箱。

當您設定替代日誌信箱時,應該使用設定日誌信箱時所使用的相同準則。

重要事項

替代的日誌信箱應被視為一個特殊的專用信箱。 任何直接定址到替代日誌信箱的郵件都不會受到記錄。

日誌報告

日誌報告是日誌代理程式在郵件符合日誌規則,且要提交到日誌記錄信箱時所產生的訊息。 符合日誌規則的原始郵件會原封不動的作為附件,附加到日誌報告中。 日誌報告的內文包含原始郵件的資訊,包括寄件者電子郵件地址、郵件主旨、郵件識別碼以及收件者電子郵件地址。 這也稱為信封日誌記錄,也是 Microsoft 365 和 Office 365 唯一支援的日誌方法。

日誌報告和受 IRM 保護的郵件

執行日誌記錄時,您必須考量日誌報告和受 IRM 保護的郵件。 受 IRM 保護的訊息會影響沒有內建 RMS 支援的第三方封存系統的搜尋和探索功能。 在 Microsoft 365 和 Office 365 中,您可以設定日誌報表解密,以將郵件的純文字複本儲存在日誌報表中。 如果加密源自組織,則會解密訊息和附件。 日誌記錄不會解密外部組織加密的專案。

若要為組織啟用日誌報表解密,請完成下列步驟。

  1. 在本機計算機上,使用組織中具有合規性系統管理員許可權的公司或學校帳戶, 連線到 Exchange Online PowerShell

  2. 執行 Cmdlet Set-IRMConfiguration 以啟用日誌報表解密。

 Set-IRMConfiguration -JournalReportDecryptionEnabled $true

JournalReportDecryptionEnabled將參數設定為 true 以啟用解密。 將參數設定為 false 以停用解密。

重要事項

日誌報表解密目前不支持明確使用 OME 商標範本。 如果您使用郵件流程規則 (也稱為傳輸規則) 來套用 OME 商標範本,則日誌報表不會包含郵件的解密複本。 目前,日誌報表解密僅適用於 Exchange Online 在未使用郵件流程規則的情況下套用的預設 OME 商標範本。 換句話說,OME 在訊息上隱含套用的商標範本。

疑難排解

當訊息符合多個日誌規則的範圍時,將會觸發所有相符的規則。

  • 如果使用不同的日誌信箱來設定比對規則,則會將日誌報表傳送至每個日誌信箱。
  • 如果比對規則全都使用相同的日誌信箱進行設定,則只會將一份日誌報表傳送至日誌信箱。

如果 SMTP MAIL FROM 命令中的電子郵件地址位於 Exchange Online 中設定為可接受網域的網域,則日誌記錄一律會將訊息識別為內部。 這些訊息包括來自外部來源的詐騙訊息 (訊息,其中 X-MS-Exchange-Organization-AuthAs 標頭值也是匿名) 。 因此,範圍為外部訊息的日誌規則不會由在已接受網域中使用 SMTPMAIL FROM 電子郵件地址的詐騙郵件觸發。

混合式 Exchange 環境中的重複日誌報告案例

在混合式 Exchange 環境中,已知下列案例會產生重複的日誌報表,並根據設計考慮這些報告:

  1. 雲端到雲端:任何電子郵件分派的情況都會導致重複的日誌記錄,例如:

    • 郵件) 上的傳輸 (太多收件者。
    • 內部和外部收件者存在於相同的訊息上 – 兩個分叉是針對垃圾郵件/網路釣魚用途而建立的, (一個內部收件者存在,另一個外部收件者存在) 。
    • 雲端未來需要分叉訊息的任何未來需求。
  2. 內部部署到雲端:一次當內部部署日誌,一次當雲端日誌時。 您可以在 Exchange Online 租用戶中實作 PreventDupJournaling 正式發行前小眾測試版來避免這種情況。 若要啟用此正式發行前小眾測試版,您必須向 Microsoft 開啟支援票證。

有問題嗎? 在 Exchange 論壇中尋求協助。 請造訪論壇:Exchange OnlineExchange Online Protection

如果您無法使用 JournalingReportDNRTo 信箱,請參閱 Exchange Online 中的傳輸和信箱規則未按照預期的方式運作