Jak używać dzienników inspekcji skrzynki pocztowej na platformie Microsoft 365

Artykuł
07/30/2024
Dotyczy:

Exchange Online, Microsoft Exchange Online Dedicated

W usłudze Microsoft 365 można uruchamiać dzienniki inspekcji skrzynki pocztowej, aby określić, kiedy skrzynka pocztowa została nieoczekiwanie zaktualizowana lub czy brakuje elementów w skrzynce pocztowej. Na przykład może być konieczne wykonanie tej czynności w przypadku przeniesienia elementów lub usunięcia ich nieoczekiwanie lub niepoprawnie.

Uwaga: w przypadku środowiska vNext domyślnie dzienniki inspekcji skrzynki pocztowej nie są włączone. Aby użytkownik mógł rozpocząć wyszukiwanie, należy włączyć tę funkcję.

Jak uruchamiać i sprawdzać dzienniki inspekcji skrzynki pocztowej

Rejestrowanie inspekcji skrzynki pocztowej umożliwia użytkownikom uzyskiwanie informacji o akcjach wykonywanych przez niewłaścicieli i administratorów. Rejestrowanie inspekcji skrzynki pocztowej jest dostępne dla członków grupy samoobsługowej skrzynki pocztowej raportowania inspekcji tylko przy użyciu zdalnego programu Windows PowerShell.

Uwaga 16.

Domyślnie włączono tylko rejestrowanie inspekcji skrzynki pocztowej innej niż właściciel, a rejestrowanie inspekcji skrzynki pocztowej właściciela jest wyłączone. Jeśli musisz przeprowadzić rejestrowanie inspekcji skrzynki pocztowej właściciela w celu zbadania konkretnego problemu, możesz tymczasowo włączyć proces przez dwa tygodnie.
Niektóre organizacje mogą nie zezwalać na używanie rejestrowania inspekcji skrzynki pocztowej. W takim przypadku funkcja zostanie wyłączona.

Aby zbadać ten problem, utwórz skrypt programu Windows PowerShell i użyj go przy użyciu przykładowego skryptu podanego w kroku 1 w tej sekcji, a następnie dostosuj wyszukiwanie. Domyślnie można badać akcje wykonywane przez niewłaścicieli i administratorów. Ten skrypt eksportuje zawartość w uproszczonym pliku wartości rozdzielanych przecinkami (.csv), aby ułatwić rozwiązywanie problemów z raportami dotyczącymi brakujących elementów lub które zostały nieoczekiwanie zaktualizowane.

Ważne

Zachęcamy klientów do korzystania z tego przykładowego skryptu. Skrypt jest dostarczany przez usługi Microsoft Online Services, aby pomóc w niektórych badaniach. Skrypty usług Online Services firmy Microsoft są ogólne i powinny być używane we wszystkich środowiskach klientów. Jeśli podczas uruchamiania skryptu wystąpią błędy, zawartość skryptu powinna być używana jako przykład do utworzenia dostosowanego skryptu dla określonego środowiska klienta. Usługi Microsoft Online Services udostępniają skrypt jako wygodę dla klientów platformy Microsoft 365 bez gwarancji, wyrażonych lub domniemanych.

Krok 1. Uruchamianie skryptu

Aby uruchomić skrypt, wykonaj następujące kroki:

Otwórz edytor tekstów, taki jak Notatnik, a następnie skopiuj następujący kod do pliku. Kod używa search-mailboxAuditLog polecenia będącego częścią programu Microsoft Exchange Server.

 param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$Mailbox,
[PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$StartDate,
[PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$EndDate,
[PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)]
[string]$Subject,
[PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
[switch]$IncludeFolderBind,
[PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
[switch]$ReturnObject)
BEGIN {
  [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult')
  }
  END {
    if ($ReturnObject)
    {return $SearchResults}
    elseif ($SearchResults.count -gt 0)
    {
    $Date = get-date -Format yyMMdd_HHmmss
    $OutFileName = "AuditLogResults$Date.csv"
    write-host
    write-host -fore green "Posting results to file: $OutfileName"
    $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8
    }
    }
    PROCESS
    {
    write-host -fore green 'Searching Mailbox Audit Logs...'
    $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000)
    write-host -fore green '$($SearchREsults.Count) Total entries Found'
    if (-not $IncludeFolderBind)
    {
    write-host -fore green 'Removing FolderBind operations.'
    $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'})
    write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
    }
    $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}},
    @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}}))
    $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp')
    If ($Subject -ne '' -and $Subject -ne $null)
    {
    write-host -fore green 'Searching for Subject: $Subject'
    $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject})
    write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
    }
    $SearchResults = @($SearchResults | select $LogParameters)
    }

W menu File (Plik) wybierz polecenie Save As (Zapisz jako).
W polu Zapisz jako typ wybierz pozycję Wszystkie pliki.
W polu Nazwa pliku wprowadź ciąg Run-MailboxAuditLogSearcher.ps1, a następnie wybierz pozycję Zapisz.
Otwórz program Windows PowerShell, a następnie połącz się ze zdalnym programem Windows PowerShell.
Znajdź folder, w którym zapisano skrypt, a następnie uruchom skrypt:
```
.\Run-MailboxAuditLogSearcher.ps1
```
Uwaga 16.
- Jeśli uruchomisz skrypt bez parametrów, zostanie wyświetlony monit o podanie następujących parametrów domyślnych:
  - Mailbox
  - StartDate
  - EndDate
- Aby wyszukać wpisy z bieżącego dnia, dodaj jeden dzień do wartości daty końcowej w oknie monitu. Jeśli na przykład bieżąca data to 3.14.2017 i chcesz uwzględnić bieżący dzień w wyszukiwaniu, wprowadź datę zakończenia 15.03.2017 .

Krok 2. Dostosowywanie przeszukiwania dziennika inspekcji skrzynki pocztowej

W usłudze Microsoft 365 wpisy rejestrowania inspekcji skrzynki pocztowej są przechowywane w skrzynce pocztowej przez 90 dni. Zostanie wyświetlony monit o wskazanie daty rozpoczęcia i daty zakończenia wyszukiwania. Aby dostosować wyszukiwanie, możesz użyć kilku parametrów opcjonalnych. Opis tych parametrów znajduje się w sekcji "Więcej informacji".

Jeśli elementy zostaną znalezione po uruchomieniu skryptu, zostanie wyświetlony komunikat podobny do następującego komunikatu:

Trwa przeszukiwanie dzienników inspekcji skrzynki pocztowej...
11 Całkowita liczba znalezionych wpisów
Usuwanie operacji FolderBind.
Odfiltrowane do 1 wpisów

Publikowanie wyników do pliku: AuditLogResults121024_142419.csv

Zrzut ekranu przedstawiający komunikat po uruchomieniu skryptu.

Ten przykładowy komunikat wskazuje, że proces wyszukiwania znalazł 11 wpisów. Domyślnie wpisy FolderBind są filtrowane, a następujące typy operacji pozostają:

Kopiuj
Utworzenie
HardDelete
MessageBind
Przesuń
MoveToDeletedItems
SendAs
SendOnBehalf
SoftDelete
Zaktualizuj

Uwaga 16.

Operacja FolderBind wskazuje czas, w którym skrzynka pocztowa jest uzyskiwana przez innego właściciela. Jest to najbardziej typowa operacja. Nie trzeba wyświetlać operacji FolderBind podczas badania elementu, który został zaktualizowany lub usunięty.

Przejrzyj dane wyjściowe pliku .csv. Najbardziej przydatne kolumny są eksportowane, a niektóre z tych kolumn są scalane, aby ułatwić przeglądanie danych wyjściowych. Aby uzyskać więcej informacji na temat eksportowanych kolumn, zobacz sekcję "Więcej informacji".

Rejestrowanie inspekcji skrzynki pocztowej właściciela

Rejestrowanie inspekcji skrzynki pocztowej jest domyślnie włączone dla wszystkich organizacji. Jedną z głównych zalet włączania inspekcji skrzynki pocztowej domyślnie jest to, że nie trzeba zarządzać akcjami inspekcji skrzynki pocztowej. Firma Microsoft zarządza tymi akcjami dla Ciebie i automatycznie dodajemy nowe akcje skrzynki pocztowej do inspekcji domyślnie, gdy je publikujemy.

Jednak organizacja może potrzebować inspekcji innego zestawu akcji skrzynki pocztowej dla skrzynek pocztowych użytkowników i udostępnionych skrzynek pocztowych. Aby uzyskać więcej informacji na temat zmiany akcji skrzynki pocztowej, które są poddawane inspekcji dla każdego typu logowania oraz jak przywrócić akcje domyślne zarządzane przez firmę Microsoft, zobacz Zmienianie lub przywracanie akcji skrzynki pocztowej zarejestrowanych domyślnie.

Więcej informacji

Opcjonalne parametry skryptu

Poniższa lista zawiera opis opcjonalnych parametrów, które generują różne wyniki, gdy są używane razem ze skryptem Run-MailboxAuditLogSearcher :

IncludeFolderBind: Uniemożliwia filtrowanie operacji FolderBind z danych wyjściowych. Aby zbadać problem z dostępem do skrzynki pocztowej, możesz użyć informacji FolderBind.

Na przykład następujące polecenie cmdlet wyszukuje skrzynkę pocztową "Test User 1" i obejmuje wszystkie operacje:
```
.\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
```
Temat: umożliwia określenie tematu elementu w celu ograniczenia wyszukiwania operacji wykonywanych na tym elemencie.

Na przykład następujące polecenie cmdlet filtruje wszystkie dane wyjściowe z wyjątkiem elementów, które mają temat ustawiony jako "Dobra wiadomość":
```
.\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
```
ReturnObject: powoduje wyświetlanie wyników na ekranie (ale nie są eksportowane do pliku .csv).

Na przykład następujące polecenie cmdlet wyświetla dane wyjściowe na ekranie:
```
.\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
```

Wyeksportowane kolumny z pliku .csv

Eksportowane są najbardziej przydatne kolumny pliku .csv. Niektóre z tych kolumn są scalane, aby ułatwić przeglądanie danych wyjściowych. W poniższej tabeli wymieniono wyeksportowane kolumny.

Kolumna	Opis
Temat	Temat elementu
Operacja	Akcje wykonywane w elemencie
LogonUserDisplayName	Nazwa wyświetlana użytkownika, który jest zalogowany
LastAccessed	Godzina wykonania operacji
DestFolderPathName	Folder docelowy operacji przenoszenia
FolderPathName	Ścieżka folderu
ClientInfoString	Szczegółowe informacje o kliencie wykonującym operację
LastAccessed	Adres IP komputera klienckiego
ClientMachineName	Nazwa komputera klienckiego
ClientProcessName	Nazwa procesu aplikacji klienckiej
ClientVersion	Wersja aplikacji klienckiej
Typ logowania	Typ logowania użytkownika, który wykonuje operację Uwaga Typy logowania obejmuje następujące elementy: — Delegowanie dla niewłaścicieli — Administrator — Właściciel skrzynki pocztowej (domyślnie nie jest rejestrowany)
MailboxResolvedOwnerName	Rozpoznana nazwa użytkownika skrzynki pocztowej Nazwa rozpoznana jest w następującym formacie: Domain\SamAccountName
OperationResult	Stan operacji Uwaga Wyniki operacji obejmują następujące: — Niepowodzenie — CzęściowoSucceeded — Powodzenie
CrossMailboxOperation	Informacje o tym, czy zarejestrowana operacja jest operacją między skrzynkami pocztowymi (na przykład kopiowanie lub przenoszenie wiadomości między skrzynkami pocztowymi)

Więcej informacji na temat rejestrowania inspekcji skrzynki pocztowej

Polecenie cmdlet Search-MailboxAuditLog jest używane w przykładowym skry skryptzie w kroku 1 w celu synchronicznego przeszukiwania pojedynczej skrzynki pocztowej. Można to zrobić również, uruchamiając polecenie cmdlet w zdalnym programie Windows PowerShell.

Aby uzyskać więcej informacji na temat polecenia cmdlet, przejdź do następującego artykułu w witrynie TechNet:

Search-MailboxAuditLog
Możesz wyszukiwać co najmniej jedną skrzynkę pocztową asynchronicznie. W tym celu uruchom następujące polecenie cmdlet w zdalnym programie Windows PowerShell:
```
New-MailboxAuditLogSearch
```
Aby uzyskać więcej informacji na temat tego polecenia cmdlet, przejdź do następującego artykułu:

New-MailboxAuditLogSearch

Aby uzyskać więcej informacji na temat domyślnych wpisów rejestrowania inspekcji skrzynki pocztowej, przejdź do sekcji "Wpisy dziennika inspekcji skrzynki pocztowej" w następującym artykule:

Rejestrowanie inspekcji skrzynki pocztowej w programie Exchange 2016

Udostępnij za pośrednictwem