Jak používat protokoly auditu poštovní schránky v Microsoftu 365
V Microsoftu 365 můžete spouštět protokoly auditu poštovní schránky, abyste zjistili, kdy byla poštovní schránka neočekávaně aktualizována nebo jestli v poštovní schránce chybí položky. To můžete udělat například v případě, že se položky přesunou nebo pokud jsou odstraněny neočekávaně nebo nesprávně.
Poznámka: Ve výchozím nastavení nejsou protokoly auditu poštovní schránky pro prostředí vNext povolené. Aby uživatel mohl zahájit hledání, musí být tato funkce zapnutá.
Spuštění a kontrola protokolů auditu poštovní schránky
Protokolování auditu poštovní schránky umožňuje uživatelům získat informace o akcích, které provádějí vlastníci a správci. Protokolování auditu poštovní schránky je k dispozici členům samoobslužné skupiny Poštovní schránka vytváření sestav auditu pouze pomocí vzdáleného PowerShellu pro Windows.
Poznámka:
- Ve výchozím nastavení je povolené pouze protokolování auditu poštovní schránky bez vlastníka a protokolování auditu poštovní schránky vlastníka je zakázané. Pokud k prošetření konkrétního problému potřebujete protokolování auditu poštovní schránky vlastníka, můžete proces dočasně povolit po dobu dvou týdnů.
- Některé organizace vám nemusí povolit protokolování auditu poštovní schránky. V takovém případě bude funkce vypnutá.
Pokud chcete tento problém prošetřit, vytvořte a použijte skript Prostředí Windows PowerShell pomocí ukázkového skriptu, který je uvedený v kroku 1 v této části, a pak přizpůsobte hledání. Ve výchozím nastavení můžete prozkoumat akce prováděné nesprávci a správci. Tento skript exportuje obsah ve zjednodušeném souboru hodnot oddělených čárkami (.csv), který vám pomůže řešit potíže se sestavami o chybějících položkách nebo neočekávaně aktualizovaných.
Důležité
Zákazníkům doporučujeme používat tento ukázkový skript. Skript poskytuje služba Microsoft Online Services, která vám pomůže v určitých šetřeních. Skripty služeb Microsoft Online Services jsou obecné a měly by být použitelné ve všech zákaznických prostředích. Pokud při spuštění skriptu dojde k chybám, měl by se obsah skriptu použít jako příklad k vytvoření přizpůsobeného skriptu pro konkrétní prostředí zákazníka. Microsoft Online Services poskytuje skript jako pohodlí pro zákazníky Microsoftu 365 bez záruky, vyjádřené nebo předpokládané.
Krok 1: Spuštění skriptu
Pokud chcete skript spustit, postupujte takto:
Otevřete textový editor, například Poznámkový blok, a zkopírujte do souboru následující kód. Kód používá
search-mailboxAuditLogpříkaz, který je součástí serveru Microsoft Exchange Server.param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult') } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green 'Searching Mailbox Audit Logs...' $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green '$($SearchREsults.Count) Total entries Found' if (-not $IncludeFolderBind) { write-host -fore green 'Removing FolderBind operations.' $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'}) write-host -fore green 'Filtered to $($SearchREsults.Count) Entries' } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}}, @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}})) $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp') If ($Subject -ne '' -and $Subject -ne $null) { write-host -fore green 'Searching for Subject: $Subject' $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green 'Filtered to $($SearchREsults.Count) Entries' } $SearchResults = @($SearchResults | select $LogParameters) }V nabídce File (Soubor) vyberte Save As (Uložit jako).
V poli Uložit jako typ vyberte Všechny soubory.
Do pole Název souboru zadejte Run-MailboxAuditLogSearcher.ps1 a pak vyberte Uložit.
Otevřete Windows PowerShell a pak se připojte ke vzdálenému Prostředí PowerShell pro Windows.
Vyhledejte složku, do které jste skript uložili, a spusťte skript:
.\Run-MailboxAuditLogSearcher.ps1Poznámka:
- Pokud skript spustíte bez parametrů, zobrazí se výzva k zadání následujících výchozích parametrů:
- Poštovní schránka
- StartDate
- EndDate
- Pokud chcete vyhledat položky z aktuálního dne, přidejte jeden den do hodnoty koncového data v okně výzvy. Pokud je například aktuální datum 14. 3. 2017 a chcete do hledání zahrnout aktuální den, zadejte jako koncové datum 15. 3. 2017 .
- Pokud skript spustíte bez parametrů, zobrazí se výzva k zadání následujících výchozích parametrů:
Krok 2: Přizpůsobení prohledávání protokolu auditování poštovní schránky
V Microsoftu 365 se položky protokolování auditu poštovní schránky uchovávají v poštovní schránce po dobu 90 dnů. Zobrazí se výzva k označení počátečního a koncového data hledání. K přizpůsobení hledání můžete použít několik volitelných parametrů. Popis těchto parametrů najdete v části Další informace.
Pokud se po spuštění skriptu najdou položky, zobrazí se zpráva podobná následující zprávě:
Prohledávání protokolů auditu poštovní schránky...
11 Celkový počet nalezených položek
Odebírání operací FolderBind.
Filtrováno na 1 položkyPublikování výsledků do souboru: AuditLogResults121024_142419.csv
Tato ukázková zpráva označuje, že proces hledání našel 11 položek. Ve výchozím nastavení jsou položky FolderBind filtrovány a následující typy operací zůstávají:
- Kopírovat
- Vytvoření
- Pevné odstranění
- MessageBind
- Přesunout
- MoveToDeletedItems
- SendAs
- SendOnBehalf
- SoftDelete
- Aktualizovat
Poznámka:
Operace FolderBind označuje časy, kdy je poštovní schránka přístupná jiným vlastníkem. Toto je nejběžnější operace. Operace FolderBind nemusíte zobrazovat při zkoumání položky, která je aktualizována nebo odstraněna.
Zkontrolujte výstup souboru .csv. Nejužitečnější sloupce se exportují a některé z těchto sloupců se sloučí, aby se výstup snadněji kontroloval. Další informace o exportovaných sloupcích najdete v části Další informace.
Protokolování auditu poštovní schránky vlastníka
Protokolování auditu poštovní schránky je ve výchozím nastavení zapnuté pro všechny organizace. Jednou z hlavních výhod povolení auditování poštovních schránek ve výchozím nastavení je, že nemusíte spravovat auditované akce poštovní schránky. Microsoft tyto akce spravuje za vás a automaticky přidáváme nové akce poštovní schránky, které se mají ve výchozím nastavení auditovat při jejich vydání.
Vaše organizace ale může muset auditovat jinou sadu akcí poštovní schránky pro poštovní schránky uživatelů a sdílené poštovní schránky. Další informace o tom, jak změnit akce poštovní schránky auditované pro každý typ přihlášení a jak se vrátit k výchozím akcím spravovaným Microsoftem, najdete v tématu Změna nebo obnovení akcí poštovní schránky protokolovaných ve výchozím nastavení.
Více informací
Volitelné parametry skriptu
Následující seznam popisuje volitelné parametry, které generují různé výsledky při jejich použití společně se skriptem Run-MailboxAuditLogSearcher :
IncludeFolderBind: Zabraňuje filtrování operace FolderBind z výstupu. Informace o složce FolderBind můžete použít ke zkoumání problému s přístupem k poštovní schránce.
Například následující rutina prohledá poštovní schránku Test User 1 a zahrne všechny operace:
.\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"Předmět: Umožňuje určit předmět položky, aby bylo možné omezit hledání operací prováděných s danou položkou.
Například následující rutina vyfiltruje všechny výstupy s výjimkou položek, které mají předmět nastavený jako "Dobrá zpráva":
.\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"ReturnObject: Způsobí, že se výsledky zobrazí na obrazovce (ale nebudou exportovány do souboru .csv).
Například následující rutina zobrazí výstup na obrazovce:
.\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"
Export sloupců ze souboru .csv
Nejužitečnější sloupce .csv souboru se exportují. Některé z těchto sloupců se sloučí, aby byl výstup přehlednější. Následující tabulka uvádí sloupce, které jsou exportovány.
| Sloupec | Popis |
|---|---|
| Předmět | Předmět položky |
| Operace | Akce prováděné u položky |
| LogonUserDisplayName | Zobrazované jméno uživatele, který je přihlášený |
| LastAccessed | Čas provedení operace |
| DestFolderPathName | Cílová složka operace přesunutí |
| FolderPathName | Cesta ke složce |
| ClientInfoString | Podrobnosti o klientovi, který provádí operaci |
| LastAccessed | IP adresa klientského počítače |
| Název_klienta | Název klientského počítače |
| ClientProcessName | Název procesu klientské aplikace |
| ClientVersion | Verze klientské aplikace |
| LogonType | Typ přihlášení uživatele, který provádí operaci Přihlášení k poznámce typy obsahuje následující: – Delegování pro jiného vlastníka – Správce – Vlastník poštovní schránky (ve výchozím nastavení není přihlášený) |
| MailboxResolvedOwnerName | Přeložený název uživatele poštovní schránky Poznámka : Přeložené jméno je v následujícím formátu: Domain\SamAccountName |
| OperationResult | Stav operace Poznámka: Výsledky operace zahrnují následující: – Selhání – Částečněcceeded – Úspěch |
| CrossMailboxOperation | Informace o tom, jestli je zaprotokolovaná operace mezi poštovními schránkami (například kopírování nebo přesouvání zpráv mezi poštovními schránkami) |
Další informace o protokolování auditu poštovní schránky
Rutina Search-MailboxAuditLog se používá v ukázkovém skriptu v kroku 1 k synchronnímu prohledávání jedné poštovní schránky. Můžete to provést také spuštěním rutiny ve Vzdáleném powerShellu pro Windows.
Další informace o rutině najdete v následujícím článku technetu:
Asynchronně můžete prohledávat jednu nebo více poštovních schránek. Provedete to spuštěním následující rutiny ve Vzdáleném prostředí PowerShell pro Windows:
New-MailboxAuditLogSearchDalší informace o této rutině najdete v následujícím článku:
Další informace o výchozích položkách protokolování auditu poštovní schránky najdete v následujícím článku v části Položky protokolu auditu poštovní schránky: