Slik bruker du overvåkingslogger for postboksen i Microsoft 365

• Gjelder for:

  Exchange Online, Microsoft Exchange Online Dedicated

I Microsoft 365 kan du kjøre overvåkingslogger for postboksen for å finne ut når en postboks ble oppdatert uventet, eller om elementer mangler i en postboks. Du må for eksempel kanskje gjøre dette hvis elementer flyttes, eller hvis de slettes uventet eller feil.

Obs! For vNext-miljøet er ikke overvåkingslogger for postboksen aktivert som standard. Funksjonen må være aktivert for at en bruker skal kunne starte et søk.

Slik kjører og merker du av for overvåkingslogger for postboksen

Med overvåkingslogging for postboks kan brukere få informasjon om handlinger som utføres av ikke-eiere og administratorer. Overvåkingslogging for postboks er bare tilgjengelig for medlemmer av den selvbetjente overvåkingsgruppen for overvåkingsrapporteringspostboksen ved hjelp av Windows Remote PowerShell.

Obs!

• Som standard er bare overvåkingslogging for postboksen som ikke eier aktivert, og overvåkingslogging for eierpostboksen er deaktivert. Hvis du må utføre overvåkingslogging for eierpostboksen for å undersøke et bestemt problem, kan du midlertidig aktivere prosessen i to uker.
• Noen organisasjoner tillater deg kanskje ikke å bruke overvåkingslogging for postboks. I dette tilfellet blir funksjonen deaktivert for deg.

Hvis du vil undersøke dette problemet, kan du opprette og bruke et Windows PowerShell-skript ved hjelp av eksempelskriptet som er angitt i trinn 1 i denne delen, og deretter tilpasse et søk. Som standard kan du undersøke handlinger som utføres av ikke-eiere og administratorer. Dette skriptet eksporterer innhold i en forenklet kommadelt fil (.csv) for å hjelpe deg med å feilsøke rapporter om elementer som mangler, eller som ble oppdatert uventet.

Viktig

Kunder oppfordres til å bruke dette eksempelskriptet. Skriptet leveres av Microsoft Online Services for å hjelpe til i visse undersøkelser. Microsoft Online Services-skript er generiske, og de skal kunne brukes i alle kundemiljøer. Hvis det oppstår feil når et skript kjøres, bør innholdet i skriptet brukes som et eksempel for å opprette et tilpasset skript for et bestemt kundemiljø. Microsoft Online Services gir skriptet som en bekvemmelighet for Microsoft 365-kunder uten garanti, uttrykt eller underforstått.

Trinn 1: Kjøre skriptet

Følg disse trinnene for å kjøre skriptet:

1. Åpne et tekstredigeringsprogram, for eksempel Notisblokk, og kopier deretter følgende kode til filen. Koden bruker search-mailboxAuditLog kommandoen som er en del av Microsoft Exchange Server.

    param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
   [string]$Mailbox,
   [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
   [string]$StartDate,
   [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
   [string]$EndDate,
   [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)]
   [string]$Subject,
   [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
   [switch]$IncludeFolderBind,
   [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
   [switch]$ReturnObject)
   BEGIN {
     [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult')
     }
     END {
       if ($ReturnObject)
       {return $SearchResults}
       elseif ($SearchResults.count -gt 0)
       {
       $Date = get-date -Format yyMMdd_HHmmss
       $OutFileName = "AuditLogResults$Date.csv"
       write-host
       write-host -fore green "Posting results to file: $OutfileName"
       $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8
       }
       }
       PROCESS
       {
       write-host -fore green 'Searching Mailbox Audit Logs...'
       $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000)
       write-host -fore green '$($SearchREsults.Count) Total entries Found'
       if (-not $IncludeFolderBind)
       {
       write-host -fore green 'Removing FolderBind operations.'
       $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'})
       write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
       }
       $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}},
       @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}}))
       $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp')
       If ($Subject -ne '' -and $Subject -ne $null)
       {
       write-host -fore green 'Searching for Subject: $Subject'
       $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject})
       write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
       }
       $SearchResults = @($SearchResults | select $LogParameters)
       }
   

2. På Fil-menyen, velg Lagre Som.

3. Velg Alle filer i Filtype-boksen.

4. Skriv inn Run-MailboxAuditLogSearcher.ps1 i Filnavn-boksen, og velg deretter Lagre.

5. Åpne Windows PowerShell, og koble deretter til Windows Remote PowerShell.

6. Finn mappen der du lagret skriptet, og kjør deretter skriptet:

   .\Run-MailboxAuditLogSearcher.ps1
   

   Obs!

   • Hvis du kjører skriptet uten parametere, blir du bedt om følgende standardparametere:
     • Mailbox
     • StartDate
     • EndDate
   • Hvis du vil søke etter oppføringer fra gjeldende dag, legger du til én dag i sluttdatoverdien i ledetekstvinduet. Hvis for eksempel gjeldende dato er 14.03.2017, og du vil inkludere gjeldende dag i søket, skriver du inn 15.03.2017 som sluttdato.

Trinn 2: Tilpasse et søk i overvåkingsloggen i postboksen

I Microsoft 365 beholdes oppføringer for overvåkingslogging i postboksen i 90 dager. Du blir bedt om å angi en startdato og sluttdato for søket. Du kan bruke flere valgfrie parametere til å tilpasse søket. Hvis du vil ha en beskrivelse av disse parameterne, kan du se delen Mer informasjon.

Hvis elementer blir funnet etter at skriptet kjøres, får du en melding som ligner på følgende melding:

Søker i overvåkingslogger for postboks...
11 Totalt antall oppføringer funnet
Fjerner FolderBind-operasjoner.
Filtrert til 1 oppføringer

Publisere resultater i filen: AuditLogResults121024_142419.csv

Denne eksempelmeldingen angir at søkeprosessen har funnet 11 oppføringer. Som standard filtreres FolderBind-oppføringene ut, og følgende operasjonstyper forblir:

• Kopier
• Create
• HardDelete
• MessageBind
• Flytt
• MoveToDeletedItems
• SendAs
• SendOnBehalf
• SoftDelete
• Oppdatering

Obs!

FolderBind-operasjonen angir tidspunktene da postboksen åpnes av en ikke-eier. Dette er den vanligste operasjonen. Du trenger ikke å vise FolderBind-operasjonene når du undersøker et element som er oppdatert eller slettet.

Se gjennom utdataene for .csv-filen. De mest nyttige kolonnene eksporteres, og noen av disse kolonnene slås sammen for å gjøre utdataene enklere å se gjennom. Hvis du vil ha mer informasjon om kolonnene som eksporteres, kan du se delen Mer informasjon.

Overvåkingslogging for eierpostboks

Overvåkingslogging for postboks er aktivert som standard for alle organisasjoner. En av de viktigste fordelene med å aktivere postboksrevisjon som standard, er at du ikke trenger å behandle overvåkede postbokshandlinger. Microsoft administrerer disse handlingene for deg, og vi legger automatisk til nye postbokshandlinger som skal overvåkes som standard når vi utgir dem.

Det kan imidlertid hende at organisasjonen må overvåke et annet sett med postbokshandlinger for brukerpostbokser og delte postbokser. Hvis du vil ha mer informasjon om hvordan du endrer postbokshandlingene som overvåkes for hver påloggingstype, og hvordan du går tilbake til de Microsoft-administrerte standardhandlingene, kan du se Endre eller gjenopprette postbokshandlinger som er logget som standard.

Mer informasjon

Valgfrie skriptparametere

Listen nedenfor beskriver valgfrie parametere som genererer ulike resultater når de brukes sammen med skriptet Run-MailboxAuditLogSearcher :

• IncludeFolderBind: Hindrer at FolderBind-operasjonen filtreres fra utdataene. Du kan bruke FolderBind-informasjon til å undersøke tilgangsproblemet for postboksen.

  Følgende cmdlet søker for eksempel i postboksen Test bruker 1 og inkluderer alle operasjoner:

  .\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
  

• Emne: Lar deg angi emnet for et element for å begrense søket etter operasjoner som utføres på elementet.

  Følgende cmdlet filtrerer for eksempel ut alle utdata bortsett fra elementer som har emnet angitt som Gode nyheter:

  .\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
  

• ReturnObject: Fører til at resultatene vises på skjermen (men ikke eksporteres til en .csv fil).

  Følgende cmdlet viser for eksempel utdataene på skjermen:

  .\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
  

Eksporterte kolonner fra .csv-filen

De mest nyttige kolonnene i .csv filen eksporteres. Noen av disse kolonnene slås sammen for å gjøre utdataene enklere å se gjennom. Tabellen nedenfor viser kolonnene som eksporteres.

Kolonne	Beskrivelse
Emne	Emne for element
Operasjon	Handlinger som utføres på elementet
LogonUserDisplayName	Visningsnavn for brukeren som er logget på
LastAccessed	Tidspunktet da operasjonen ble utført
DestFolderPathName	Målmappe for flyttingsoperasjonen
FolderPathName	Bane til mappe
ClientInfoString	Detaljer om klienten som utfører operasjonen
LastAccessed	IP-adresse for klientdatamaskinen
ClientMachineName	Navnet på klientdatamaskinen
ClientProcessName	Navnet på klientprogramprosessen
ClientVersion	Versjon av klientprogrammet
LogonType	Påloggingstype for brukeren som utfører operasjonen Notatpåloggingstyper inkluderer følgende: - Representant for ikke-eier - Administrator - Postbokseier (ikke logget som standard)
MailboxResolvedOwnerName	Løst navn på postboksbruker Obs! Løst navn er i følgende format: Domene\SamAccountName
OperationResult	Statusen for operasjonsresultatene for notatoperasjonen inkluderer følgende: - Mislyktes - Delvis vellykket
CrossMailboxOperation	Informasjon om hvorvidt operasjonen som er logget, er en operasjon på tvers av postbokser (for eksempel kopiering eller flytting av meldinger mellom postbokser)

Mer informasjon om overvåkingslogging for postboks

• Cmdleten Search-MailboxAuditLog brukes i eksempelskriptet i trinn 1 til å søke i én enkelt postboks synkront. Du kan også gjøre dette ved å kjøre cmdleten i Windows Remote PowerShell.

  Hvis du vil ha mer informasjon om cmdleten, kan du gå til følgende TechNet-artikkel:

  Søk-postboksauditLog

• Du kan søke i én eller flere postbokser asynkront. Hvis du vil gjøre dette, kjører du følgende cmdlet i Windows Remote PowerShell:

  New-MailboxAuditLogSearch
  

  Hvis du vil ha mer informasjon om denne cmdleten, kan du gå til følgende artikkel:

  New-MailboxAuditLogSearch

  Hvis du vil ha mer informasjon om standard oppføringer for overvåkingslogg for postboks, kan du gå til delen Oppføringer i overvåkingsloggen for postboksen i følgende artikkel:

  Overvåkingslogging for postboks i Exchange 2016