使用稽核記錄調查常見支援問題

  • 10 分鐘

本單元說明組織如何使用稽核記錄搜尋工具來協助他們調查下列常見的支援問題:

  • 尋找用來存取遭入侵帳戶的電腦 IP 位址。
  • 判斷誰設定信箱的電子郵件轉寄。
  • 判斷使用者是否已刪除其信箱中的電子郵件項目。
  • 判斷使用者是否已建立收件匣規則。
  • 調查組織外部使用者成功登入的原因。
  • 搜尋具有非 E5 授權的使用者所執行的信箱活動。
  • 搜尋委派使用者所執行的信箱活動。

本單元所述的每個疑難排解案例都是以在 Microsoft Purview 合規性入口網站中使用稽核記錄搜尋工具為基礎。 每個案例都會說明如何設定對應問題的稽核記錄搜尋查詢。 也會描述在符合搜尋準則的稽核記錄詳細資訊中要尋找的項目。

使用稽核記錄搜尋工具所需的權限

使用者必須在 Exchange Online 中獲指派 [僅限檢視稽核記錄][稽核記錄] 角色,才能搜尋稽核記錄。 根據預設,這些角色會在 Exchange 系統管理員中心的 [權限] 頁面上,指派給 [合規性管理] [組織管理] 角色群組。 系統會將 Office 365 和 Microsoft 365 中的全域系統管理員自動新增為 Exchange Online 中 [組織管理] 角色群組的成員。

執行稽核記錄搜尋

本節說明建立和執行稽核記錄搜尋的基本概念。 請使用這些指示作為本單元中每個疑難排解案例的起點。 如需更詳細的逐步指示,請參閱 搜尋稽核記錄

  1. 登入 Microsoft Purview 合規性入口網站。

  2. Microsoft Purview 合規性入口網站的左側功能窗格中,選取 [稽核]

  3. [稽核] 頁面上,預設會顯示 [搜尋] 索引標籤。

    顯示 Microsoft Purview 合規性入口網站中 [稽核] 頁面的螢幕擷取畫面,其中已醒目提示每個設定。

    您可以設定下列搜尋準則。 本文中的每個疑難排解案例都建議設定這些欄位的特定指引。

    • 答: 開始日期和結束日期. 選取日期和時間範圍,以顯示該期間內已發生的事件。 根據預設會選取過去七天。 日期和時間以國際標準時間 (UTC) 格式表示。 您可以指定的最大日期範圍是 180 天。
    • B. 活動. 選取下拉式清單以顯示您可以搜尋的活動。 執行搜尋後,系統只會顯示所選活動的稽核記錄。 如果您選取 [顯示所有活動的結果],則會顯示符合其他搜尋準則之所有活動的結果。 在某些疑難排解案例中,您必須將此欄位保留空白。
    • C. 使用者. 在此方塊中選取,然後選取要顯示搜尋結果的一或多個使用者。 結果清單會顯示您在此方塊中選取的使用者所執行的選定活動之稽核記錄。 若要傳回貴組織中所有使用者 (及服務帳戶) 的項目,請將此方塊保留空白。
    • D. 檔案、資料夾或網站. 輸入檔案或資料夾名稱的部分或全部,以搜尋含有特定關鍵字之資料夾的檔案相關活動。 您也可以指定檔案或資料夾的 URL。 如果您使用 URL,請確定您輸入了完整的 URL 路徑,或者,如果您只輸入部分 URL,請不要包括任何特殊字元或空格。 若要傳回貴組織中所有檔案和資料夾的項目,請將此方塊保留空白。 在本單元的所有疑難排解案例中,此欄位會保留空白。

  4. 按一下 [搜尋] 以使用您的搜尋準則執行搜尋。

搜尋結果會載入,並在幾分鐘後顯示在稽核記錄搜尋工具的頁面上。 本單元中的每個區段都提供有關特定疑難排解案例內容中要尋找之項目的指引。

問題:尋找用來存取遭入侵帳戶的電腦 IP 位址

對應至任何使用者所執行之活動的 IP 位址會包含在大部分的稽核記錄中。 稽核記錄中也會包含所使用用戶端的相關資訊。

以下說明如何設定此案例的稽核記錄搜尋查詢:

  • 活動。 如果與您的案例相關,請選取要搜尋的特定活動。 若要針對遭入侵的帳戶進行疑難排解,請考慮選取 [Exchange 信箱活動] 下的 [使用者登入信箱] 活動。 這會傳回稽核記錄,其中顯示登入信箱時所使用的 IP 位址。 否則,請將此欄位保留空白,以傳回所有活動的稽核記錄。

    提示

    將此欄位保留空白會傳回 UserLoggedIn 活動,這是指出有人已登入使用者帳戶的 Microsoft Entra 活動。 在搜尋結果中使用篩選來顯示 UserLoggedIn 稽核記錄。

  • 選擇 [開始日期] 和 [結束日期]。 選取適用於您調查的日期範圍。

  • 使用者。 如果您正在調查遭入侵的帳戶,請選取帳戶遭入侵的使用者。 這會傳回該使用者帳戶所執行活動的稽核記錄。

  • 檔案、資料夾或網站。 將此欄位保留空白。

執行搜尋之後,每個活動的 IP 位址會顯示在搜尋結果的 [IP 位址] 欄位中。 選取搜尋結果中的記錄,以在飛出視窗頁面上檢視更詳細的資訊。

問題:判斷誰設定信箱的電子郵件轉寄

針對信箱設定電子郵件轉寄時,傳送至信箱的電子郵件訊息會轉寄至另一個信箱。 訊息可以轉寄給組織內部或外部的使用者。 在信箱上設定電子郵件轉寄時,所使用的基礎 Exchange Online Cmdlet 是 Set-Mailbox

以下說明如何設定此案例的稽核記錄搜尋查詢:

  • 活動。 將此欄位保留空白,讓搜尋傳回所有活動的稽核記錄。 若要傳回與 Set-Mailbox Cmdlet 相關的任何稽核記錄,這個動作是必須的。
  • 選擇 [開始日期] 和 [結束日期]。 選取適用於調查的日期範圍。
  • 使用者。 除非您正在調查特定使用者的電子郵件轉寄問題,否則請將此欄位保留空白。 這樣做可協助您識別是否已為任何使用者設定電子郵件轉寄。
  • 檔案、資料夾或網站。 將此欄位保留空白。

執行搜尋之後,選取 [搜尋結果] 頁面上的 [篩選結果]。 在 [活動] 欄位標頭下的方塊中,輸入 Set-Mailbox,以只顯示與 Set-Mailbox Cmdlet 相關的稽核記錄。

顯示搜尋結果頁面的螢幕擷取畫面,其中已醒目提示 [設定信箱] 活動以篩選結果。

此時,您必須查看每個稽核記錄的詳細資料,以判斷活動是否與電子郵件轉寄相關。 選取稽核記錄以顯示 [詳細資料] 飛出視窗頁面,然後選取 [更多資訊]。 下列螢幕擷取畫面和描述會醒目提示指出已在信箱上設定電子郵件轉寄的資訊。

選取 [更多資訊] 選項之後的搜尋結果頁面螢幕擷取畫面,其中已醒目提示稽核記錄中的欄位。

  • 答: ObjectId. 即顯示已設定電子郵件轉寄的信箱別名。 此信箱也會顯示在搜尋結果頁面的 [項目] 欄位上。
  • B. 參數. ForwardingSmtpAddress 值表示已在信箱上設定電子郵件轉寄。 在此範例中,郵件會轉寄至 alpinehouse.onmicrosoft.com 組織外部的電子郵件地址 mike@contoso.com。
  • C. True. DeliverToMailboxAndForward 參數的這個值表示郵件複本已傳遞至 sarad@alpinehouse.onmicrosoft.com 而且轉寄到 ForwardingSmtpAddress 參數所指定的電子郵件地址,在此範例中為 mike@contoso.com。 如果 DeliverToMailboxAndForward 參數的值設定為 False,則電子郵件只會轉寄至 ForwardingSmtpAddress 參數所指定的位址。 它不會傳遞至 ObjectId 欄位中指定的信箱。
  • D. UserId. 指出在 ObjectId 欄位中指定的信箱上設定電子郵件轉寄的使用者。 此使用者也會顯示在搜尋結果頁面的 [使用者] 欄位中。 在此案例中,信箱的擁有者似乎已在其信箱上設定電子郵件轉寄。

如果您判斷不應該在信箱上設定電子郵件轉寄,您可以在 Exchange Online PowerShell 中執行下列命令加以移除:

Set-Mailbox <mailbox alias> -ForwardingSmtpAddress $null

問題:判斷使用者是否已刪除電子郵件項目

從 2019 年開始,預設會針對所有 Microsoft 365 組織啟用信箱稽核記錄。 因此:

  • 會自動記錄信箱擁有者執行的特定動作。
  • 當您在信箱稽核記錄中搜尋對應的信箱稽核記錄時,即可使用。

預設開啟信箱稽核記錄之前,組織必須為其每個使用者信箱手動啟用此功能。

預設記錄的信箱動作包括信箱擁有者所執行的 SoftDeleteHardDelete 信箱動作。 因此,組織可以使用下列步驟來搜尋稽核記錄檔,以尋找與已刪除電子郵件項目相關的事件。 如需有關信箱稽核的詳細資訊,請參閱 管理信箱稽核

以下說明如何設定此案例的稽核記錄搜尋查詢:

  • 活動。 在 [Exchange 信箱活動] 下,選取下列其中一個或兩個活動:
    • 來自刪除的郵件資料夾的已刪除郵件。 此活動對應至 SoftDelete 信箱稽核動作。 當使用者選取一個項目並按 Shift+Delete 永久刪除時,此活動也會記錄。 永久刪除項目之後,使用者可以復原該項目,直到刪除的項目保留期間到期為止。
    • 已從信箱清除郵件。 此活動對應於 HardDelete 信箱稽核動作。 當使用者從 [可復原的項目] 資料夾中清除項目時,會記錄此活動。 系統管理員可以使用 Microsoft Purview 合規性入口網站中的 [內容搜尋] 工具來搜尋和復原已清除的項目,直到刪除的項目保留期間到期,或者使用者的信箱處於保留狀態時則更久。
  • 選擇 [開始日期] 和 [結束日期]。 選取適用於調查的日期範圍。
  • 使用者。 如果您在此欄位中選取使用者,稽核記錄搜尋工具會傳回您指定之使用者虛刪除或實刪除之電子郵件項目的稽核記錄。 有時候刪除電子郵件的使用者可能不是信箱擁有者。
  • 檔案、資料夾或網站。 將此欄位保留空白。

執行搜尋之後,您可以篩選搜尋結果,以顯示虛刪除項目或實刪除項目的稽核記錄。 選取稽核記錄以顯示 [詳細資料] 飛出視窗頁面,然後選取 [更多資訊]。 關於已刪除項目的其他資訊,例如主旨列和項目刪除時的位置,會顯示在 AffectedItems 欄位中。

下列螢幕擷取畫面顯示虛刪除項目和實刪除項目中 AffectedItems 欄位的範例。

虛刪除項目的 AffectedItems 欄位範例:

虛刪除電子郵件項目的稽核記錄螢幕擷取畫面。

實刪除項目的 AffectedItems 欄位範例:

實刪除電子郵件項目的稽核記錄螢幕擷取畫面。

復原已刪除的郵件

如果刪除的郵件保留期間尚未過期,使用者可以復原虛刪除的郵件。 根據預設,在 Exchange Online 中,已刪除郵件的保留期間為 14 天。 不過,系統管理員可以將此設定增加到最多 30 天。 將使用者指向 復原已刪除的郵件或 Outlook 網頁版中的電子郵件 一文,以取得復原已刪除郵件的指示。

如先前所述,如果已刪除的項目保留期間尚未過期,或信箱處於保留狀態,則系統管理員可以復原實刪除的項目,在此情況下,項目會保留到保留期間到期為止。 當您執行內容搜尋時,如果搜尋結果符合搜尋查詢,則會在搜尋結果中傳回 可復原項目 資料夾中的虛刪除和實刪除項目。

提示

若要搜尋已刪除的電子郵件項目,請搜尋稽核記錄中 AffectedItems 欄位中顯示的所有或部分主旨列 。

問題:判斷使用者是否已建立收件匣規則

當使用者為其 Exchange Online 信箱建立收件匣規則時,會將對應的稽核記錄儲存至稽核記錄。

以下說明如何設定此案例的稽核記錄搜尋查詢:

  • 活動。 在 [Exchange 信箱活動] 下,選取下列其中一個或兩個活動:
    • New-InboxRule 從 Outlook Web 應用程式建立新的收件匣規則。 此活動會在使用 Outlook Web 應用程式或 Exchange Online PowerShell 建立收件匣規則時傳回稽核記錄。
    • 已從 Outlook 用戶端更新收件匣規則。 使用 Outlook 桌面用戶端建立、修改或移除收件匣規則時,此活動會傳回稽核記錄。
  • 選擇 [開始日期] 和 [結束日期]。 選取適用於調查的日期範圍。
  • 使用者。 除非您要調查特定使用者,否則請將此欄位保留空白。 如此一來,您就可以識別任何使用者所設定的新收件匣規則。
  • 檔案、資料夾或網站。 將此欄位保留空白。

執行搜尋之後,此活動的任何稽核記錄都會顯示在搜尋結果中。 選取稽核記錄以顯示 [詳細資料] 飛出視窗頁面,然後選取 [更多資訊]。 收件匣規則設定的相關資訊會顯示在 [參數] 欄位中。 下列螢幕擷取畫面和描述醒目提示收件匣規則的相關資訊。

新收件匣規則的稽核記錄螢幕擷取畫面,其中顯示醒目提示的已選取欄位。

  • 答: ObjectId. 顯示收件匣規則的完整名稱。 此名稱包含使用者信箱的別名 (例如,AraD) 和收件匣規則名稱 (例如,「從系統管理員移動郵件」)。
  • B. 參數. 顯示收件匣規則的條件。 在此範例中,條件是由 From 參數指定。 為 From 參數定義的值表示收件匣規則會對 admin@alpineskihouse.onmicrosoft.com 所傳送的電子郵件採取動作。
  • C. MoveToFolder. 此參數會指定收件匣規則的動作。 在此範例中,接收自 admin@alpineskihouse.onmicrosoft.com 的訊息會移至名為 AdminSearch的資料夾。 A
  • D. UserId. 指出建立 ObjectId 欄位中所指定收件匣規則的使用者。 此使用者也會顯示在搜尋結果頁面的 [使用者] 欄位中。

問題:調查組織外部使用者成功登入的原因

當組織檢閱稽核記錄中的稽核記錄時,可能會看到記錄,指出外部使用者已由 Microsoft Entra ID 驗證並成功登入其 Microsoft 365 租使用者。 例如:

  • contoso.onmicrosoft.com 中的系統管理員可能會看到稽核記錄,顯示來自不同組織的使用者 (例如,fabrikam.onmicrosoft.com) 已成功登入 contoso.onmicrosoft.com。
  • 同樣地,系統管理員可能會看到稽核記錄,指出具有 Microsoft 帳戶 (MSA) 的使用者,例如 Outlook.com 或 Live.com,已成功登入 contoso.onmicrosoft.com。

注意事項

在這些情況下,稽核的活動是 使用者已登入

產生此錯誤是系統刻意為之。 當外部用戶嘗試存取組織中的 SharePoint 網站或 OneDrive 位置時,目錄服務 Microsoft Entra ID 允許稱為 傳遞驗證 的專案。 當外部使用者嘗試登入時,系統會提示他們輸入其認證。 Microsoft Entra ID 會使用認證來驗證使用者,這表示只有 Microsoft Entra ID 會驗證使用者的身分。

稽核記錄中成功登入的指示是 Microsoft Entra 驗證用戶的結果。 成功登入並不表示使用者能夠存取任何資源,或完成組織中的任何其他動作。 它只會指出使用者已由 Microsoft Entra ID 驗證。 若要讓傳遞使用者存取 SharePoint 或 OneDrive 資源,組織中的內部使用者必須透過傳送共用邀請或匿名共用連結,明確地與外部使用者共用資源。

注意事項

Microsoft Entra ID 只允許第 一方應用程式的傳遞驗證,例如 SharePoint Online 和商務用 OneDrive。 不允許其他第三方應用程式使用。

下列螢幕擷取畫面顯示使用者已登入事件的稽核記錄中相關屬性的範例和描述,其為傳遞驗證的結果。 選取稽核記錄以顯示 [詳細資料] 飛出視窗頁面,然後選取 [更多資訊]

螢幕擷取畫面顯示已成功通過傳遞驗證的稽核記錄,且已醒目提示選取的欄位。

  • 答: 執行者識別碼. 此欄位指出在組織的 Microsoft Entra ID 中找不到嘗試存取您組織中資源的使用者。
  • B. 執行者 UPN. 此欄位會顯示嘗試存取組織中資源之外部使用者的 UPN。 此使用者識別碼也會在稽核記錄中的使用者使用者識別碼屬性中識別。
  • C. ApplicationID. 此屬性會識別觸發登入要求的應用程式。 此稽核記錄中 ApplicationId 屬性中顯示的值 00000003-0000-0ff1-ce00-000000000000 表示 SharePoint Online。 商務用 OneDrive 也有相同的 ApplicationId
  • D. ExtendedProperties. 此欄位表示傳遞驗證已成功。 換句話說,Microsoft Entra ID 已成功驗證使用者。
  • E. RecordType. 值為 15 表示 UserLoggedIn) (稽核的活動是 Microsoft Entra ID 中的安全令牌服務 (STS) 登入事件。

下列範例是會導致因為傳遞驗證而成功的使用者已登入稽核活動的案例:

  • 具有 Microsoft 帳戶 (例如 SaraD@outlook.com) 的使用者嘗試存取 fourthcoffee.onmicrosoft.com 中商務用 OneDrive 帳戶中的文件。 不過,fourthcoffee.onmicrosoft.com 中沒有針對 SaraD@outlook.com 的對應來賓使用者帳戶。
  • 組織 (例如 pilarp@fabrikam.onmicrosoft.com) 中具有公司或學校帳戶的使用者嘗試存取 contoso.onmicrosoft.com 中的 SharePoint 網站。 不過,contoso.onmicrosoft.com 中沒有針對 pilarp@fabrikam.com 的對應來賓使用者帳戶。

調查因傳遞驗證而嘗試登入成功的秘訣

組織在調查因傳遞驗證而嘗試登入成功時,應記住下列事項:

  • 在稽核記錄中搜尋外部使用者所執行的活動,該使用者是在使用者已登入稽核記錄中所識別的。 在 [使用者] 方塊中輸入外部使用者的 UPN,如果與您的案例相關,請使用日期範圍。 例如,您可以使用下列搜尋準則來建立搜尋:

    內容搜尋視窗的螢幕擷取畫面,其中顯示要輸入的欄位,以搜尋外部使用者完成的所有活動。

    除了使用者已登入活動之外,可能會傳回其他稽核記錄。 例如,指出組織中的使用者與外部使用者共用資源,以及外部使用者是否存取、修改或下載與他們共用的文件的記錄。

  • 搜尋 SharePoint 共用活動,其活動指出檔案已與使用者已登入稽核記錄所識別的外部使用者共用。 如需詳細資訊,請參閱在稽核記錄中使用共用稽核

  • 匯出包含與您的調查記錄相關的稽核記錄搜尋結果。 如此一來,您可以使用 Excel 來搜尋與外部使用者相關的其他活動。

問題:搜尋具有非 E5 授權的使用者所執行的信箱活動

即使組織預設會開啟信箱稽核,當組織使用下列任一方法時,在稽核記錄搜尋中仍找不到某些使用者的信箱稽核事件:

  • Microsoft Purview 合規性入口網站
  • Search-UnifiedAuditLog Cmdlet
  • Office 365 管理活動 API。

為什麼? 因為當您使用上述其中一種方法來搜尋統一稽核記錄時,只會針對具有 E5 授權的使用者傳回信箱稽核事件。

若要擷取非 E5 使用者的信箱稽核記錄,您可以完成下列其中一個因應措施:

  • 在個別信箱上手動啟用信箱稽核。 若要進行此動作,請在 Exchange Online PowerShell 中執行下列命令:

    Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true

    執行此命令之後,請使用 Microsoft Purview 合規性入口網站、Search-UnifiedAuditLog Cmdlet 或 Office 365 管理活動 API 來搜尋信箱稽核活動。

    提示

    如果信箱稽核似乎已在信箱上啟用,但您的搜尋未傳回任何結果,請將 AuditEnabled 參數的值變更為 $false,然後再改回 $true

  • 在 Exchange Online PowerShell 中執行下列 Cmdlet:

問題:搜尋在特定信箱 (包括共用信箱) 中執行的信箱活動

當您在Microsoft Purview 合規性入口網站的稽核記錄搜尋工具中使用 [使用者] 下拉式清單,或在 Exchange Online PowerShell 中使用 Search-UnifiedAuditLog -UserIds 命令時,您可以搜尋特定使用者所執行的活動。

針對信箱稽核活動,這種類型的搜尋會搜尋指定之使用者所執行的活動。 不過,不保證在搜尋結果中會傳回在相同信箱中執行的所有活動。

例如,稽核記錄搜尋不會傳回委派使用者所執行活動的稽核記錄。 為什麼? 因為搜尋特定使用者所執行的信箱活動,並不會傳回已獲指派具其他使用者信箱存取權限的委派使用者所執行的活動。

注意事項

委派使用者是針對其他使用者信箱已獲指派 SendAsSendOnBehalfFullAccess 信箱使用權限的人員。

此外,使用稽核記錄搜尋工具中的 [使用者] 下拉式清單或 Search-UnifiedAuditLog -UserIds 不會傳回共用信箱中已完成之活動的結果。

若要搜尋在特定信箱中執行的活動,或搜尋在共用信箱中執行的活動,請在執行 Search-UnifiedAuditLog Cmdlet 時使用下列語法:

Search-UnifiedAuditLog -StartDate <date> -EndDate <date> -FreeText (Get-Mailbox <mailbox identity).ExchangeGuid

例如,下列命令傳回在 2020 年 8 月到 2020 年 10 月之間,Contoso 合規性小組共用信箱中執行之活動的稽核記錄:

Search-UnifiedAuditLog -StartDate 08/01/2020 -EndDate 10/31/2020 -FreeText (Get-Mailbox complianceteam@contoso.onmicrosoft.com).ExchangeGuid

或者,您可以使用 Search-MailboxAuditLog Cmdlet 來搜尋在特定信箱中執行之活動的稽核記錄。 這個程序包括搜尋在共用信箱中執行的活動。

下列範例傳回 Contoso 合規性小組共用信箱中所執行活動的信箱稽核記錄:

Search-MailboxAuditLog -Identity complianceteam@contoso.onmicrosoft.com -StartDate 08/01/2020 -EndDate 10/31/2020 -ShowDetails

下列範例傳回委派使用者在指定信箱中所執行活動的信箱稽核記錄:

Search-MailboxAuditLog -Identity <mailbox identity> -StartDate <date> -EndDate <date> -LogonTypes Delegate -ShowDetails

您也可以使用 New-MailboxAuditLogSearch Cmdlet 來搜尋特定信箱的稽核記錄,並透過電子郵件將結果傳送給指定的收件者。

知識檢查

為以下每個問題選擇最佳的回應。 然後選取「檢查您的答案」。

檢定您的知識

1.

身為 Lucerne Publishing 的企業系統管理員,Pati Analyticz 注意到在稽核記錄搜尋中找不到某些使用者的信箱稽核事件。 當 Lucerne 的合規性小組使用 Microsoft Purview 合規性入口網站或 Office 365 管理活動 API 來執行搜尋時,就會發生這種情況。 這種情況的可能原因為何?