Jaa

Postilaatikon valvontalokien käyttäminen Microsoft 365:ssä

  • Artikkeli
  • Koskee seuraavia::
    Exchange Online, Microsoft Exchange Online Dedicated

Microsoft 365:ssä voit suorittaa postilaatikon valvontalokeja määrittääksesi, milloin postilaatikko päivitettiin odottamattomasti tai puuttuuko kohteita postilaatikosta. Saatat esimerkiksi joutua tekemään näin, jos kohteita siirretään tai jos ne poistetaan odottamattomasti tai virheellisesti.

Huomautus: vNext-ympäristössä postilaatikon valvontalokit eivät ole oletusarvoisesti käytössä. Ominaisuus on otettava käyttöön, jotta käyttäjä voi aloittaa haun.

Postilaatikon valvontalokien suorittaminen ja valitseminen

Postilaatikon valvonnan lokitietojen avulla käyttäjät saavat tietoja toiminnoista, joita muut kuin omistajat ja järjestelmänvalvojat suorittavat. Postilaatikon valvontaloki on itsepalveluryhmän Audit Reporting Mailbox -jäsenten käytettävissä vain Windowsin Etä PowerShellin avulla.

Huomautus

  • Oletusarvoisesti vain muu kuin omistaja -postilaatikon valvontaloki on käytössä ja omistajan postilaatikon valvontaloki on poistettu käytöstä. Jos sinun täytyy suorittaa omistajan postilaatikon valvonnan kirjaus tietyn ongelman tutkimiseksi, voit tilapäisesti ottaa prosessin käyttöön kahdeksi viikoksi.
  • Jotkin organisaatiot eivät ehkä salli postilaatikon valvontalokikirjauksen käyttämistä. Tässä tapauksessa ominaisuus on pois käytöstä puolestasi.

Voit tutkia tätä ongelmaa luomalla Windows PowerShell -komentosarjan ja käyttämällä sitä tämän osion vaiheessa 1 annettua mallikomentosarjaa ja mukauttamalla sitten hakua. Oletusarvoisesti voit tutkia muiden kuin omistajien ja järjestelmänvalvojien suorittamia toimintoja. Tämä komentosarja vie sisällön yksinkertaistetussa, pilkuin eroteltujen arvojen (.csv) tiedostossa, jonka avulla voit tehdä vianmäärityksen kohteista, jotka puuttuvat tai jotka päivitettiin odottamattomasti.

Tärkeä

Asiakkaita kehotetaan käyttämään tätä mallikomentosarjaa. Microsoft Online Services tarjoaa komentosarjan apuna tietyissä tutkimuksissa. Microsoft Online Services -komentosarjat ovat yleisiä, ja niiden tulee olla käyttökelpoisia kaikissa asiakasympäristöissä. Jos virheitä esiintyy komentosarjan suorittamisen yhteydessä, komentosarjan sisältöä tulee käyttää esimerkkinä mukautetun komentosarjan luomiseen tietylle asiakasympäristölle. Microsoft Online Services tarjoaa komentosarjan Microsoft 365 -asiakkaille osana takuuta, ilmaistua tai implisiittistä.

Vaihe 1: Suorita komentosarja

Suorita komentosarja seuraavasti:

  1. Avaa tekstieditori, kuten Muistio, ja kopioi sitten seuraava koodi tiedostoon. Koodi käyttää komentoa search-mailboxAuditLog , joka on osa Microsoft Exchange Server -palvelinta.

     param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$Mailbox,
[PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$StartDate,
[PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$EndDate,
[PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)]
[string]$Subject,
[PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
[switch]$IncludeFolderBind,
[PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
[switch]$ReturnObject)
BEGIN {
  [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult')
  }
  END {
    if ($ReturnObject)
    {return $SearchResults}
    elseif ($SearchResults.count -gt 0)
    {
    $Date = get-date -Format yyMMdd_HHmmss
    $OutFileName = "AuditLogResults$Date.csv"
    write-host
    write-host -fore green "Posting results to file: $OutfileName"
    $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8
    }
    }
    PROCESS
    {
    write-host -fore green 'Searching Mailbox Audit Logs...'
    $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000)
    write-host -fore green '$($SearchREsults.Count) Total entries Found'
    if (-not $IncludeFolderBind)
    {
    write-host -fore green 'Removing FolderBind operations.'
    $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'})
    write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
    }
    $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}},
    @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}}))
    $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp')
    If ($Subject -ne '' -and $Subject -ne $null)
    {
    write-host -fore green 'Searching for Subject: $Subject'
    $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject})
    write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
    }
    $SearchResults = @($SearchResults | select $LogParameters)
    }

  2. Valitse Tiedosto-valikosta Tallenna nimellä.

  3. Valitse Tallenna tyyppinä -ruudussa Kaikki tiedosto.

  4. Kirjoita Tiedostonimi-ruutuun Run-MailboxAuditLogSearcher.ps1 ja valitse sitten Tallenna.

  5. Avaa Windows PowerShell ja muodosta sitten yhteys Windowsin Etä PowerShelliin.

  6. Etsi kansio, johon tallensit komentosarjan, ja suorita komentosarja:

    .\Run-MailboxAuditLogSearcher.ps1

    Huomautus

    • Jos suoritat komentosarjan ilman parametreja, sinulta pyydetään seuraavia oletusparametreja:
      • Mailbox
      • StartDate
      • EndDate
    • Jos haluat hakea syöttejä nykyisestä päivästä, lisää yksi päivä kehote-ikkunan päättymispäivämäärän arvoon. Jos nykyinen päivämäärä on esimerkiksi 14.3.2017 ja haluat sisällyttää haun nykyisen päivän, kirjoita päättymispäiväksi 15.3.2017 .

Microsoft 365:ssä postilaatikon valvontalokimerkinnät säilytetään postilaatikossa 90 päivän ajan. Sinua kehotetaan ilmoittamaan haun alkamis- ja päättymispäivämäärä. Voit mukauttaa hakua useiden valinnaisten parametrien avulla. Katso näiden parametrien kuvaus lisätietoja-osasta.

Jos kohteet löytyvät komentosarjan suoritusten jälkeen, näyttöön tulee seuraavankaltainen sanoma:

Haetaan postilaatikon valvontalokeja...
11 merkintää yhteensä löytyi
Poistetaan FolderBind-toimintoja.
Suodatettu 1 merkintään

Tulosten kirjaaminen tiedostoon: AuditLogResults121024_142419.csv

Näyttökuva sanomasta komentosarjan suorittamisen jälkeen.

Tästä esimerkkiviestistä ilmenee, että hakuprosessi on löytänyt 11 merkintää. Oletusarvon mukaan FolderBind-merkinnät suodatetaan pois, ja seuraavat toimintotyypit säilyvät:

  • Kopioi
  • Create
  • HardDelete
  • MessageBind
  • Siirrä
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Päivitä

Huomautus

FolderBind-toiminto ilmaisee ajat, jolloin muu kuin omistaja voi käyttää postilaatikkoa. Tämä on yleisin toiminto. Sinun ei tarvitse tarkastella FolderBind-toimintoja, kun tutkit päivitettävää tai poistettua kohdetta.

Tarkista .csv tiedoston tuloste. Hyödyllisimmät sarakkeet viedään, ja jotkin näistä sarakkeista yhdistetään, jotta tulosta on helpompi tarkastella. Lisätietoja viedyistä sarakkeista on Lisätietoja-osassa.

Omistajan postilaatikon valvontaloki

Postilaatikon valvonnan kirjaus on oletusarvoisesti käytössä kaikissa organisaatioissa. Yksi postilaatikon valvonnan oletusarvoisen käyttöönoton tärkeimmistä eduista on se, että valvotun postilaatikon toimintoja ei tarvitse hallita. Microsoft hallitsee näitä toimintoja puolestasi, ja lisäämme automaattisesti uusia postilaatikkotoimintoja, joita valvotaan oletusarvoisesti julkaistaessa niitä.

Organisaatiosi on kuitenkin ehkä valvottava eri postilaatikon toimintoja käyttäjien postilaatikoissa ja jaetuissa postilaatikoissa. Lisätietoja kustakin kirjautumistyypistä valvottavan postilaatikon toimintojen muuttamisesta ja Microsoftin hallitsemien oletustoimintojen palauttamisesta on artikkelissa Vaihda tai palauta oletusarvoisesti kirjatut postilaatikkotoiminnot.

Lisätietoja

Valinnaiset komentosarjaparametrit

Seuraavassa luettelossa kuvataan valinnaiset parametrit, jotka luovat erilaisia tuloksia, kun niitä käytetään yhdessä komentosarjan kanssa Run-MailboxAuditLogSearcher :

  • IncludeFolderBind: estää FolderBind-toiminnon suodattamisen tuloksen mukaan. Voit tutkia postilaatikon käyttöongelmaa FolderBind-tietojen avulla.

    Esimerkiksi seuraava cmdlet-komento hakee Testikäyttäjä 1 -postilaatikosta ja sisältää kaikki toiminnot:

    .\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot

  • Aihe: Voit määrittää kohteen kohteen, jotta kyseiselle kohteelle suoritettavien toimintojen hakua voidaan rajoittaa.

    Esimerkiksi seuraava cmdlet-komento suodattaa kaikki tulokset pois paitsi kohteet, joiden aiheeksi on asetettu "Good News":

    .\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot

  • ReturnObject: Tämä aiheuttaa sen, että tulokset näytetään näytössä (mutta ei viedä .csv tiedostoon).

    Esimerkiksi seuraava cmdlet-komento näyttää tuloksen näytössä:

    .\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot

Viedyt sarakkeet .csv-tiedostosta

.csv-tiedoston hyödyllisimmät sarakkeet viedään. Jotkin näistä sarakkeista yhdistetään, jotta tulos on helpompi tarkistaa. Seuraavassa taulukossa luetellaan vietävät sarakkeet.

Column Kuvaus
Aihe Kohteen aihe
Toiminto Kohteelle suoritettavat toiminnot
LogonUserDisplayName Sisäänkirjautuneen käyttäjän näyttönimi
LastAccessed Toiminnon suorittamisen aika
DestFolderPathName Kohdekansio siirtotoiminnolle
FolderPathName Kansion polku
ClientInfoString Toiminnon suorittavan asiakkaan tiedot
LastAccessed Asiakastietokoneen IP-osoite
Asiakaskoneen nimi Asiakastietokoneen nimi
ClientProcessName Asiakassovellusprosessin nimi
ClientVersion Asiakassovelluksen versio
LogonType Kirjautumistyypin käyttäjälle, joka suorittaa toiminnon

Huomautuskirjautumistyypit , on seuraava:
- Edustaja muille kuin omistajille
– Järjestelmänvalvoja
– Postilaatikon omistaja (ei oletusarvoisesti kirjattu)
MailboxResolvedOwnerName Ratkaistu postilaatikon käyttäjän

nimi Huomautus Ratkaistu nimi on seuraavassa muodossa:
Toimialue\SamAccountName
OperationResult ToimintoHuomautustoiminnon

tulosten tila sisältää seuraavat:
- Failed
- PartiallySucceeded
– Succeeded
CrossMailboxOperation Tiedot siitä, onko kirjattava toiminto postilaatikoiden välinen toiminto (esimerkiksi viestien kopioiminen tai siirtäminen postilaatikoiden välillä)

Lisätietoja postilaatikon valvontalokista

  • Search-MailboxAuditLog-cmdlet-komentoa käytetään vaiheen 1 esimerkkikomentosarjassa yhden postilaatikon hakemiseksi synkronisesti. Voit tehdä tämän myös suorittamalla cmdlet-komennon Windowsin PowerShell-etäyhteydessä.

    Lisätietoja cmdlet-komennosta saat seuraavasta TechNet-artikkelista:

    Search-MailboxAuditLog

  • Voit hakea yhdestä tai useammasta postilaatikosta asynkronisesti. Voit tehdä tämän suorittamalla seuraavan cmdlet-komennon Windowsin PowerShell-etäyhteydessä:

    New-MailboxAuditLogSearch

    Lisätietoja tästä cmdlet-komennosta on seuraavassa artikkelissa:

    New-MailboxAuditLogSearch

    Lisätietoja oletusarvoisten postilaatikon valvontalokimerkintöjen käytöstä saat seuraavan artikkelin Postilaatikon valvontalokimerkinnät -osiosta:

    Postilaatikon valvontaloki Exchange 2016:ssa