Verwenden von Postfachüberwachungsprotokollen in Microsoft 365

• Gilt für::

  Exchange Online, Microsoft Exchange Online Dedicated

In Microsoft 365 können Sie Postfachüberwachungsprotokolle ausführen, um festzustellen, wann ein Postfach unerwartet aktualisiert wurde oder ob Elemente in einem Postfach fehlen. Möglicherweise müssen Sie dies beispielsweise tun, wenn Elemente verschoben werden oder wenn sie unerwartet oder falsch gelöscht werden.

Hinweis: Für die vNext-Umgebung sind postfachüberwachungsprotokolle standardmäßig nicht aktiviert. Das Feature muss aktiviert sein, damit ein Benutzer eine Suche starten kann.

Ausführen und Überprüfen von Postfachüberwachungsprotokollen

Mit der Postfachüberwachungsprotokollierung können Benutzer Informationen zu Aktionen abrufen, die von Nichtbesitzern und Administratoren ausgeführt werden. Die Postfachüberwachungsprotokollierung ist nur mithilfe von Windows Remote PowerShell für Mitglieder der Self-Service-Gruppe für Überwachungsberichtepostfach verfügbar.

Notiz

• Standardmäßig ist nur die Postfachüberwachungsprotokollierung ohne Besitzer aktiviert, und die Postfachüberwachungsprotokollierung des Besitzers ist deaktiviert. Wenn Sie die Postfachüberwachungsprotokollierung des Besitzers ausführen müssen, um ein bestimmtes Problem zu untersuchen, können Sie den Prozess vorübergehend zwei Wochen lang aktivieren.
• Einige Organisationen erlauben möglicherweise nicht die Verwendung der Postfachüberwachungsprotokollierung. In diesem Fall wird das Feature für Sie deaktiviert.

Um dieses Problem zu untersuchen, erstellen und verwenden Sie ein Windows PowerShell-Skript mithilfe des Beispielskripts, das in Schritt 1 in diesem Abschnitt bereitgestellt wird, und passen Sie dann eine Suche an. Standardmäßig können Sie Aktionen untersuchen, die von Nichtbesitzern und Administratoren ausgeführt werden. Dieses Skript exportiert Inhalte in einer vereinfachten, durch Trennzeichen getrennten Wertedatei (.csv), um Ihnen bei der Problembehandlung von Berichten zu fehlenden Elementen oder unerwarteten Aktualisierungen zu helfen.

Wichtig

Kunden werden ermutigt, dieses Beispielskript zu verwenden. Das Skript wird von Microsoft Online Services bereitgestellt, um bei bestimmten Untersuchungen zu helfen. Microsoft Online Services-Skripts sind generisch und sollten in allen Kundenumgebungen verwendet werden. Wenn Beim Ausführen eines Skripts Fehler auftreten, sollte der Inhalt des Skripts als Beispiel zum Erstellen eines angepassten Skripts für eine bestimmte Kundenumgebung verwendet werden. Microsoft Online Services bietet das Skript als Komfort für Microsoft 365-Kunden ohne Garantie, ausgedrückt oder impliziert.

Schritt 1: Ausführen des Skripts

Gehen Sie folgendermaßen vor, um das Skript auszuführen:

1. Öffnen Sie einen Text-Editor, z. B. Editor, und kopieren Sie dann den folgenden Code in die Datei. Der Code verwendet den Befehl, der search-mailboxAuditLog Teil von Microsoft Exchange Server ist.

    param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
   [string]$Mailbox,
   [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
   [string]$StartDate,
   [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
   [string]$EndDate,
   [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)]
   [string]$Subject,
   [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
   [switch]$IncludeFolderBind,
   [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
   [switch]$ReturnObject)
   BEGIN {
     [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult')
     }
     END {
       if ($ReturnObject)
       {return $SearchResults}
       elseif ($SearchResults.count -gt 0)
       {
       $Date = get-date -Format yyMMdd_HHmmss
       $OutFileName = "AuditLogResults$Date.csv"
       write-host
       write-host -fore green "Posting results to file: $OutfileName"
       $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8
       }
       }
       PROCESS
       {
       write-host -fore green 'Searching Mailbox Audit Logs...'
       $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000)
       write-host -fore green '$($SearchREsults.Count) Total entries Found'
       if (-not $IncludeFolderBind)
       {
       write-host -fore green 'Removing FolderBind operations.'
       $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'})
       write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
       }
       $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}},
       @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}}))
       $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp')
       If ($Subject -ne '' -and $Subject -ne $null)
       {
       write-host -fore green 'Searching for Subject: $Subject'
       $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject})
       write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
       }
       $SearchResults = @($SearchResults | select $LogParameters)
       }
   

2. Klicken Sie im Menü Datei auf Speichern unter.

3. Wählen Sie im Feld "Dateityp" die Option "Alle Datei" aus.

4. Geben Sie im Feld "Dateiname" "Run-MailboxAuditLogSearcher.ps1" ein, und wählen Sie dann "Speichern" aus.

5. Öffnen Sie Windows PowerShell, und stellen Sie dann eine Verbindung mit Windows Remote PowerShell her.

6. Suchen Sie den Ordner, in dem Sie das Skript gespeichert haben, und führen Sie dann das Skript aus:

   .\Run-MailboxAuditLogSearcher.ps1
   

   Notiz

   • Wenn Sie das Skript ohne Parameter ausführen, werden Sie zur Eingabe der folgenden Standardparameter aufgefordert:
     • Postfach
     • StartDate
     • Enddatum
   • Um nach Einträgen vom aktuellen Tag zu suchen, fügen Sie im Eingabeaufforderungsfenster einen Tag zum Enddatumswert hinzu. Wenn das aktuelle Datum z. B. 14.03.2017 ist und Sie den aktuellen Tag in die Suche aufnehmen möchten, geben Sie den 03.015.2017 als Enddatum ein.

Schritt 2: Anpassen einer Postfachüberwachungsprotokollsuche

In Microsoft 365 werden Postfachüberwachungsprotokollierungseinträge 90 Tage lang im Postfach aufbewahrt. Sie werden aufgefordert, ein Anfangs- und Enddatum für die Suche anzugeben. Sie können mehrere optionale Parameter verwenden, um die Suche anzupassen. Eine Beschreibung dieser Parameter finden Sie im Abschnitt "Weitere Informationen".

Wenn Elemente nach der Ausführung des Skripts gefunden werden, erhalten Sie eine Meldung, die der folgenden Meldung ähnelt:

Postfachüberwachungsprotokolle werden durchsucht...
11 Gesamteinträge gefunden
Entfernen von FolderBind-Vorgängen.
Gefiltert nach 1 Einträgen

Veröffentlichen von Ergebnissen in datei: AuditLogResults121024_142419.csv

Diese Beispielmeldung gibt an, dass der Suchvorgang 11 Einträge gefunden hat. Standardmäßig werden die FolderBind-Einträge herausgefiltert, und die folgenden Vorgangstypen bleiben erhalten:

• Kopieren
• Erstellen
• HardDelete
• MessageBind
• Move
• MoveToDeletedItems
• SendAs
• SendOnBehalf
• SoftDelete
• Aktualisieren

Notiz

Der FolderBind-Vorgang gibt die Zeiten an, zu denen das Postfach von einem Nichtbesitzer zugegriffen wird. Dies ist der am häufigsten verwendete Vorgang. Sie müssen die FolderBind-Vorgänge nicht anzeigen, wenn Sie ein Element untersuchen, das aktualisiert oder gelöscht wird.

Überprüfen Sie die Ausgabe der .csv-Datei. Die nützlichsten Spalten werden exportiert, und einige dieser Spalten werden zusammengeführt, um die Ausgabe einfacher zu überprüfen. Weitere Informationen zu den exportierten Spalten finden Sie im Abschnitt "Weitere Informationen".

Postfachüberwachungsprotokollierung des Besitzers

Die Postfachüberwachungsprotokollierung ist für alle Organisationen standardmäßig aktiviert. Einer der Hauptvorteile der Standardmäßigen Aktivierung der Postfachüberwachung besteht darin, dass Sie keine überwachten Postfachaktionen verwalten müssen. Microsoft verwaltet diese Aktionen für Sie, und wir fügen automatisch neue Postfachaktionen hinzu, die standardmäßig überwacht werden, während wir sie freigeben.

Möglicherweise muss Ihre Organisation jedoch eine andere Gruppe von Postfachaktionen für Benutzerpostfächer und freigegebene Postfächer überwachen. Weitere Informationen zum Ändern der Postfachaktionen, die für jeden Anmeldetyp überwacht werden, und wie Sie die von Microsoft verwalteten Standardaktionen wiederherstellen, finden Sie unter "Ändern oder Wiederherstellen von Standardmäßig protokollierten Postfachaktionen".

Weitere Informationen

Optionale Skriptparameter

In der folgenden Liste werden optionale Parameter beschrieben, die unterschiedliche Ergebnisse generieren, wenn sie zusammen mit dem Run-MailboxAuditLogSearcher Skript verwendet werden:

• IncludeFolderBind: Verhindert, dass der FolderBind-Vorgang aus der Ausgabe gefiltert wird. Sie können FolderBind-Informationen verwenden, um postfachzugriffsproblem zu untersuchen.

  Das folgende Cmdlet durchsucht beispielsweise das Postfach "TestBenutzer 1" und umfasst alle Vorgänge:

  .\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
  

• Betreff: Ermöglicht es Ihnen, den Betreff eines Elements anzugeben, um die Suche nach Vorgängen zu beschränken, die für dieses Element ausgeführt werden.

  Das folgende Cmdlet filtert z. B. alle Ausgaben mit Ausnahme von Elementen, die den Betreff als "Gute Nachricht" festgelegt haben:

  .\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
  

• ReturnObject: Bewirkt, dass die Ergebnisse auf dem Bildschirm angezeigt werden (aber nicht in eine .csv Datei exportiert werden).

  Das folgende Cmdlet zeigt beispielsweise die Ausgabe auf dem Bildschirm an:

  .\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
  

Exportierte Spalten aus der datei .csv

Die nützlichsten Spalten der .csv Datei werden exportiert. Einige dieser Spalten werden zusammengeführt, um die Ausgabe einfacher zu überprüfen. In der folgenden Tabelle sind die exportierten Spalten aufgeführt.

Spalte	Beschreibung
Betreff	Betreff des Elements
Vorgang	Aktionen, die für das Element ausgeführt werden
LogonUserDisplayName	Anzeigename des Benutzers, der angemeldet ist
LastAccessed	Zeitpunkt, zu dem der Vorgang ausgeführt wurde
DestFolderPathName	Zielordner für den Verschiebungsvorgang
FolderPathName	Pfad des Ordners
ClientInfoString	Details zum Client, der den Vorgang ausführt
LastAccessed	IP-Adresse für den Clientcomputer
ClientMachineName	Name des Clientcomputers
ClientProcessName	Name des Clientanwendungsprozesses
ClientVersion	Version der Clientanwendung
LogonType	Der Anmeldetyp des Benutzers, der den Vorgang "Anmeldetypen beachten " ausführt, umfasst Folgendes: - Stellvertretung für Nichtbesitzer - Administrator - Postfachbesitzer (nicht standardmäßig protokolliert)
MailboxResolvedOwnerName	Der aufgelöste Name der Postfachbenutzernotiz hat das folgende Format: Domäne\SamAccountName
OperationResult	Der Status des Vorgangs "Note Operation"-Ergebnisse umfasst Folgendes: - Failed - PartiallySucceeded - Succeeded
CrossMailboxOperation	Informationen dazu, ob der protokollierte Vorgang ein Postfachübergreifender Vorgang ist (z. B. Kopieren oder Verschieben von Nachrichten zwischen Postfächern)

Weitere Informationen zur Postfachüberwachungsprotokollierung

• Das Cmdlet Search-MailboxAuditLog wird im Beispielskript in Schritt 1 verwendet, um ein einzelnes Postfach synchron zu durchsuchen. Sie können dies auch tun, indem Sie das Cmdlet in Windows Remote PowerShell ausführen.

  Weitere Informationen zum Cmdlet finden Sie im folgenden TechNet-Artikel:

  Search-MailboxAuditLog

• Sie können ein oder mehrere Postfächer asynchron durchsuchen. Führen Sie dazu das folgende Cmdlet in Windows Remote PowerShell aus:

  New-MailboxAuditLogSearch
  

  Weitere Informationen zu diesem Cmdlet finden Sie im folgenden Artikel:

  New-MailboxAuditLogSearch

  Weitere Informationen zu den Standardmäßigen Postfachüberwachungsprotokolleinträgen finden Sie im Abschnitt "Postfachüberwachungsprotokolleinträge" des folgenden Artikels:

  Postfachüberwachungsprotokollierung in Exchange 2016