Auditlogboeken voor postvakken gebruiken in Microsoft 365
In Microsoft 365 kunt u auditlogboeken voor postvakken uitvoeren om te bepalen wanneer een postvak onverwacht is bijgewerkt of of items ontbreken in een postvak. U moet dit bijvoorbeeld doen als items worden verplaatst of als ze onverwacht of onjuist worden verwijderd.
Opmerking: Voor de vNext-omgeving zijn standaard auditlogboeken voor postvakken niet ingeschakeld. De functie moet zijn ingeschakeld om een gebruiker een zoekopdracht te laten starten.
Auditlogboeken voor postvakken uitvoeren en controleren
Met logboekregistratie voor postvakcontrole kunnen gebruikers informatie verkrijgen over acties die worden uitgevoerd door niet-eigenaren en beheerders. Logboekregistratie van postvakcontrole is alleen beschikbaar voor leden van de selfservicegroep Controlepostvak met behulp van Windows Remote PowerShell.
Notitie
- Standaard is alleen auditlogboekregistratie van niet-eigenaarpostvakken ingeschakeld en logboekregistratie van postvakcontrole van eigenaar is uitgeschakeld. Als u controlelogboekregistratie van eigenaarspostvakken moet uitvoeren om een specifiek probleem te onderzoeken, kunt u het proces gedurende twee weken tijdelijk inschakelen.
- In sommige organisaties kunt u mogelijk geen logboekregistratie voor postvakcontrole gebruiken. In dit geval wordt de functie voor u uitgeschakeld.
Als u dit probleem wilt onderzoeken, maakt en gebruikt u een Windows PowerShell-script met behulp van het voorbeeldscript dat is opgegeven in stap 1 in deze sectie en past u vervolgens een zoekopdracht aan. Standaard kunt u acties onderzoeken die worden uitgevoerd door niet-eigenaren en beheerders. Met dit script wordt inhoud geëxporteerd in een vereenvoudigd bestand met door komma's gescheiden waarden (.csv) om u te helpen bij het oplossen van problemen met rapporten over ontbrekende items of die onverwacht zijn bijgewerkt.
Belangrijk
Klanten worden aangemoedigd om dit voorbeeldscript te gebruiken. Het script wordt geleverd door Microsoft Online Services om u te helpen bij bepaalde onderzoeken. Microsoft Online Services-scripts zijn algemeen en moeten bruikbaar zijn in alle klantomgevingen. Als er fouten optreden wanneer een script wordt uitgevoerd, moet de inhoud van het script worden gebruikt als voorbeeld voor het maken van een aangepast script voor een bepaalde klantomgeving. Microsoft Online Services biedt het script als gemak voor Microsoft 365-klanten zonder garantie, uitgedrukt of impliciet.
Stap 1: Het script uitvoeren
Voer de volgende stappen uit om het script uit te voeren:
Open een teksteditor, zoals Kladblok, en kopieer de volgende code naar het bestand. De code maakt gebruik van de
search-mailboxAuditLogopdracht die deel uitmaakt van Microsoft Exchange Server.param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult') } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green 'Searching Mailbox Audit Logs...' $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green '$($SearchREsults.Count) Total entries Found' if (-not $IncludeFolderBind) { write-host -fore green 'Removing FolderBind operations.' $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'}) write-host -fore green 'Filtered to $($SearchREsults.Count) Entries' } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}}, @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}})) $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp') If ($Subject -ne '' -and $Subject -ne $null) { write-host -fore green 'Searching for Subject: $Subject' $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green 'Filtered to $($SearchREsults.Count) Entries' } $SearchResults = @($SearchResults | select $LogParameters) }Selecteer in het menu BestandOpslaan als.
Selecteer Alle bestanden in het vak Opslaan als.
Voer Run-MailboxAuditLogSearcher.ps1 in het vak Bestandsnaam in en selecteer Opslaan.
Open Windows PowerShell en maak vervolgens verbinding met Windows Remote PowerShell.
Zoek de map waarin u het script hebt opgeslagen en voer het script uit:
.\Run-MailboxAuditLogSearcher.ps1Notitie
- Als u het script zonder parameters uitvoert, wordt u gevraagd om de volgende standaardparameters:
- Mailbox
- StartDate
- EndDate
- Als u wilt zoeken naar vermeldingen van de huidige dag, voegt u een dag toe aan de waarde voor de einddatum in het promptvenster. Als de huidige datum bijvoorbeeld 14-3-2017 is en u de huidige dag in uw zoekopdracht wilt opnemen, voert u 3-15-2017 in als de einddatum.
- Als u het script zonder parameters uitvoert, wordt u gevraagd om de volgende standaardparameters:
Stap 2: Een zoekopdracht in het auditlogboek van een postvak aanpassen
In Microsoft 365 worden vermeldingen in logboekregistratie van postvakken gedurende 90 dagen bewaard in het postvak. U wordt gevraagd om een begin- en einddatum voor de zoekopdracht aan te geven. U kunt verschillende optionele parameters gebruiken om de zoekopdracht aan te passen. Zie de sectie Meer informatie voor een beschrijving van deze parameters.
Als items worden gevonden nadat het script is uitgevoerd, ontvangt u een bericht dat lijkt op het volgende bericht:
Zoeken in auditlogboeken voor postvakken...
11 Totaal aantal gevonden items
MapBind-bewerkingen verwijderen.
Gefilterd op 1 vermeldingenResultaten posten in bestand: AuditLogResults121024_142419.csv
Dit voorbeeldbericht geeft aan dat het zoekproces 11 vermeldingen heeft gevonden. De MapBind-vermeldingen worden standaard uitgefilterd en de volgende bewerkingstypen blijven behouden:
- Kopiëren
- Maken
- HardDelete
- MessageBind
- Verplaatsen
- MoveToDeletedItems
- SendAs
- SendOnBehalf
- SoftDelete
- Bijwerken
Notitie
De bewerking FolderBind geeft de tijdstippen aan waarop het postvak wordt geopend door een niet-eigenaar. Dit is de meest voorkomende bewerking. U hoeft de MapBind-bewerkingen niet weer te geven wanneer u een item onderzoekt dat is bijgewerkt of verwijderd.
Controleer de uitvoer van het .csv-bestand. De nuttigste kolommen worden geëxporteerd en sommige van deze kolommen worden samengevoegd om de uitvoer gemakkelijker te controleren. Zie de sectie Meer informatie voor meer informatie over de kolommen die worden geëxporteerd.
Auditlogboekregistratie van eigenaarpostvak
Logboekregistratie van postvakcontrole is standaard ingeschakeld voor alle organisaties. Een van de belangrijkste voordelen van het standaard inschakelen van postvakcontrole is dat u geen gecontroleerde postvakacties hoeft te beheren. Microsoft beheert deze acties voor u en we voegen automatisch nieuwe postvakacties toe die standaard moeten worden gecontroleerd wanneer we ze vrijgeven.
Uw organisatie moet echter mogelijk een andere set postvakacties controleren voor gebruikerspostvakken en gedeelde postvakken. Voor meer informatie over het wijzigen van de postvakacties die worden gecontroleerd voor elk aanmeldingstype en het herstellen van de door Microsoft beheerde standaardacties, raadpleegt u Postvakacties wijzigen of herstellen die standaard zijn geregistreerd.
Meer informatie
Optionele scriptparameters
In de volgende lijst worden optionele parameters beschreven die verschillende resultaten genereren wanneer ze samen met het Run-MailboxAuditLogSearcher script worden gebruikt:
IncludeFolderBind: Hiermee voorkomt u dat de MapBind-bewerking wordt gefilterd vanuit de uitvoer. U kunt FolderBind-informatie gebruiken om het toegangsprobleem met postvakken te onderzoeken.
Met de volgende cmdlet wordt bijvoorbeeld gezocht in het postvak Testgebruiker 1 en worden alle bewerkingen opgenomen:
.\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"Onderwerp: Hiermee kunt u het onderwerp van een item opgeven om de zoekbewerkingen te beperken die op dat item worden uitgevoerd.
Met de volgende cmdlet worden bijvoorbeeld alle uitvoer gefilterd, behalve items waarvoor het onderwerp is ingesteld als 'Goed nieuws':
.\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"ReturnObject: zorgt ervoor dat de resultaten op het scherm worden weergegeven (maar niet worden geëxporteerd naar een .csv bestand).
Met de volgende cmdlet wordt bijvoorbeeld de uitvoer op het scherm weergegeven:
.\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"
Kolommen geëxporteerd uit het .csv-bestand
De nuttigste kolommen van het bestand .csv worden geëxporteerd. Sommige van deze kolommen worden samengevoegd om de uitvoer gemakkelijker te controleren. De volgende tabel bevat de kolommen die worden geëxporteerd.
| Kolom | Beschrijving |
|---|---|
| Onderwerp | Onderwerp van item |
| Bediening | Acties die worden uitgevoerd op item |
| LogonUserDisplayName | Weergavenaam van gebruiker die is aangemeld |
| LastAccessed | Tijdstip waarop de bewerking is uitgevoerd |
| DestFolderPathName | Doelmap voor de verplaatsingsbewerking |
| FolderPathName | Pad van map |
| ClientInfoString | Details over de client die de bewerking uitvoert |
| LastAccessed | IP-adres voor de clientcomputer |
| ClientMachineName | Naam van de clientcomputer |
| ClientProcessName | Naam van het clienttoepassingsproces |
| ClientVersion | Versie van de clienttoepassing |
| LogonType | Het aanmeldingstype van de gebruiker die de bewerking noteert, omvat het volgende: - Gemachtigde voor niet-eigenaar - Beheerder - Postvakeigenaar (niet standaard geregistreerd) |
| MailboxResolvedOwnerName | De opgeloste naam van de naam van de postvakgebruiker Opmerking Opgelost heeft de volgende indeling: Domain\SamAccountName |
| OperationResult | De status van de bewerking Note Operation-resultaten zijn onder andere: - Mislukt - Gedeeltelijk geslaagd - Geslaagd |
| CrossMailboxOperation | Informatie over of de bewerking die is geregistreerd een bewerking tussen postvakken is (bijvoorbeeld het kopiëren of verplaatsen van berichten tussen postvakken) |
Meer informatie over logboekregistratie van postvakcontrole
De cmdlet Search-MailboxAuditLog wordt gebruikt in het voorbeeldscript in stap 1 om één postvak synchroon te doorzoeken. U kunt dit ook doen door de cmdlet uit te voeren in Windows Remote PowerShell.
Ga naar het volgende TechNet-artikel voor meer informatie over de cmdlet:
U kunt een of meer postvakken asynchroon doorzoeken. Voer hiervoor de volgende cmdlet uit in Windows Remote PowerShell:
New-MailboxAuditLogSearchGa naar het volgende artikel voor meer informatie over deze cmdlet:
Ga naar de sectie Postvakcontrolelogboekvermeldingen in het volgende artikel voor meer informatie over de standaardvermeldingen voor postvakcontrolelogboeken: