Så här använder du granskningsloggar för postlådor i Microsoft 365

• Gäller för:

  Exchange Online, Microsoft Exchange Online Dedicated

I Microsoft 365 kan du köra granskningsloggar för postlådor för att avgöra när en postlåda har uppdaterats oväntat eller om objekt saknas i en postlåda. Du kan till exempel behöva göra detta om objekt flyttas eller om de tas bort oväntat eller felaktigt.

Obs! För vNext-miljön är postlådegranskningsloggar som standard inte aktiverade. Funktionen måste vara aktiverad för att en användare ska kunna påbörja en sökning.

Så här kör och kontrollerar du postlådegranskningsloggar

Med granskningsloggning för postlådor kan användarna få information om åtgärder som utförs av icke-ägare och administratörer. Granskningsloggning för postlådor är endast tillgänglig för medlemmar i självbetjäningsgruppen Granskningsrapporteringspostlåda med hjälp av Windows Remote PowerShell.

Kommentar

• Som standard är endast granskningsloggning för icke-ägare aktiverad och granskningsloggning för ägarpostlådor inaktiveras. Om du måste utföra granskningsloggning för ägarpostlådor för att undersöka ett specifikt problem kan du tillfälligt aktivera processen i två veckor.
• Vissa organisationer kanske inte tillåter att du använder granskningsloggning för postlådor. I det här fallet inaktiveras funktionen åt dig.

Om du vill undersöka det här problemet skapar och använder du ett Windows PowerShell-skript med hjälp av exempelskriptet som finns i steg 1 i det här avsnittet och anpassar sedan en sökning. Som standard kan du undersöka åtgärder som utförs av icke-ägare och administratörer. Det här skriptet exporterar innehåll i en förenklad fil med kommaavgränsade värden (.csv) som hjälper dig att felsöka rapporter om objekt som saknas eller som har uppdaterats oväntat.

Viktigt!

Kunder uppmanas att använda det här exempelskriptet. Skriptet tillhandahålls av Microsoft Online Services för att hjälpa till i vissa undersökningar. Microsoft Online Services-skript är generiska och bör vara användbara i alla kundmiljöer. Om fel uppstår när ett skript körs ska innehållet i skriptet användas som ett exempel för att skapa ett anpassat skript för en viss kundmiljö. Microsoft Online Services tillhandahåller skriptet som en bekvämlighet för Microsoft 365-kunder utan garanti, uttryckt eller underförstådd.

Steg 1: Kör skriptet

Följ dessa steg för att köra skriptet:

1. Öppna en textredigerare, till exempel Anteckningar, och kopiera sedan följande kod till filen. Koden använder kommandot search-mailboxAuditLog som ingår i Microsoft Exchange Server.

    param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
   [string]$Mailbox,
   [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
   [string]$StartDate,
   [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
   [string]$EndDate,
   [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)]
   [string]$Subject,
   [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
   [switch]$IncludeFolderBind,
   [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
   [switch]$ReturnObject)
   BEGIN {
     [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult')
     }
     END {
       if ($ReturnObject)
       {return $SearchResults}
       elseif ($SearchResults.count -gt 0)
       {
       $Date = get-date -Format yyMMdd_HHmmss
       $OutFileName = "AuditLogResults$Date.csv"
       write-host
       write-host -fore green "Posting results to file: $OutfileName"
       $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8
       }
       }
       PROCESS
       {
       write-host -fore green 'Searching Mailbox Audit Logs...'
       $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000)
       write-host -fore green '$($SearchREsults.Count) Total entries Found'
       if (-not $IncludeFolderBind)
       {
       write-host -fore green 'Removing FolderBind operations.'
       $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'})
       write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
       }
       $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}},
       @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}}))
       $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp')
       If ($Subject -ne '' -and $Subject -ne $null)
       {
       write-host -fore green 'Searching for Subject: $Subject'
       $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject})
       write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
       }
       $SearchResults = @($SearchResults | select $LogParameters)
       }
   

2. Välj Save All (Spara alla) på menyn File (Arkiv).

3. I rutan Spara som-typ väljer du Alla filer.

4. I rutan Filnamn anger du Run-MailboxAuditLogSearcher.ps1 och väljer sedan Spara.

5. Öppna Windows PowerShell och anslut sedan till Windows Remote PowerShell.

6. Leta upp mappen där du sparade skriptet och kör sedan skriptet:

   .\Run-MailboxAuditLogSearcher.ps1
   

   Kommentar

   • Om du kör skriptet utan parametrar uppmanas du att ange följande standardparametrar:
     • Mailbox
     • StartDate
     • EndDate
   • Om du vill söka efter poster från den aktuella dagen lägger du till en dag i slutdatumvärdet i promptfönstret. Om det aktuella datumet till exempel är 2017-03-14 och du vill inkludera den aktuella dagen i sökningen anger du 2017-03-15 som slutdatum.

Steg 2: Anpassa en sökning i en postlådas granskningslogg

I Microsoft 365 behålls postlådegranskningsloggningsposter i postlådan i 90 dagar. Du uppmanas att ange ett startdatum och slutdatum för sökningen. Du kan använda flera valfria parametrar för att anpassa sökningen. En beskrivning av dessa parametrar finns i avsnittet "Mer information".

Om objekt hittas efter att skriptet har körts får du ett meddelande som liknar följande meddelande:

Söker i granskningsloggar för postlåda...
11 Totalt antal poster hittades
Tar bort MappBind-åtgärder.
Filtrerad till 1 poster

Publicera resultat i filen: AuditLogResults121024_142419.csv

Det här exempelmeddelandet anger att sökprocessen har hittat 11 poster. Som standard filtreras mappbindningsposterna bort och följande åtgärdstyper finns kvar:

• Kopiera
• Skapa
• HardDelete
• MessageBind
• Flytta
• MoveToDeletedItems
• SendAs
• SendOnBehalf
• SoftDelete
• Uppdatera

Kommentar

Åtgärden FolderBind anger de tider då postlådan nås av en icke-ägare. Det här är den vanligaste åtgärden. Du behöver inte visa åtgärderna FolderBind när du undersöker ett objekt som har uppdaterats eller tagits bort.

Granska utdata från filen .csv. De mest användbara kolumnerna exporteras och några av dessa kolumner sammanfogas för att göra utdata enklare att granska. Mer information om de kolumner som exporteras finns i avsnittet Mer information.

Granskningsloggning för ägarpostlåda

Granskningsloggning för postlådor aktiveras som standard för alla organisationer. En av de största fördelarna med att aktivera granskning av postlådor som standard är att du inte behöver hantera granskade postlådeåtgärder. Microsoft hanterar dessa åtgärder åt dig och vi lägger automatiskt till nya postlådeåtgärder som ska granskas som standard när vi släpper dem.

Din organisation kan dock behöva granska en annan uppsättning postlådeåtgärder för användarpostlådor och delade postlådor. Mer information om hur du ändrar postlådeåtgärder som granskas för varje inloggningstyp och hur du återgår till Microsoft-hanterade standardåtgärder finns i Ändra eller återställa postlådeåtgärder som loggas som standard.

Mer information

Valfria skriptparametrar

I följande lista beskrivs valfria parametrar som genererar olika resultat när de används tillsammans med skriptet Run-MailboxAuditLogSearcher :

• IncludeFolderBind: Förhindrar att åtgärden FolderBind filtreras från utdata. Du kan använda MappBind-information för att undersöka problem med postlådaåtkomst.

  Följande cmdlet söker till exempel i postlådan "Testanvändare 1" och innehåller alla åtgärder:

  .\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
  

• Ämne: Gör att du kan ange ämnet för ett objekt för att begränsa sökningen efter åtgärder som utförs på objektet.

  Följande cmdlet filtrerar till exempel ut alla utdata utom objekt som har ämnesuppsättningen "Goda nyheter":

  .\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
  

• ReturnObject: Gör att resultatet visas på skärmen (men exporteras inte till en .csv fil).

  Följande cmdlet visar till exempel utdata på skärmen:

  .\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
  

Exporterade kolumner från .csv-filen

De mest användbara kolumnerna i .csv-filen exporteras. Vissa av dessa kolumner sammanfogas för att göra utdata enklare att granska. I följande tabell visas de kolumner som exporteras.

Kolumn	Beskrivning
Ämne	Ämne för objektet
Åtgärd	Åtgärder som utförs på objektet
LogonUserDisplayName	Visningsnamn för användare som är inloggad
LastAccessed	Tidpunkt då åtgärden utfördes
DestFolderPathName	Målmapp för flyttåtgärden
FolderPathName	Sökväg till mapp
ClientInfoString	Information om klienten som utför åtgärden
LastAccessed	IP-adress för klientdatorn
ClientMachineName	Namnet på klientdatorn
ClientProcessName	Namn på klientprogramprocessen
ClientVersion	Version av klientprogrammet
Inloggningstyp	Inloggningstypen för den användare som utför åtgärden Anteckningsinloggningstyper innehåller följande: – Ombud för icke-ägare – Administratör – Postlådeägare (loggas inte som standard)
MailboxResolvedOwnerName	Det lösta namnet på postlådeanvändaren Note Resolved name är i följande format: Domain\SamAccountName
OperationResult	Status för åtgärden Note Operation results include the following: - Failed - PartiallySucceeded - Succeeded
CrossMailboxOperation	Information om huruvida åtgärden som loggas är en åtgärd mellan postlådor (till exempel att kopiera eller flytta meddelanden mellan postlådor)

Mer information om granskningsloggning för postlådor

• Cmdleten Search-MailboxAuditLog används i exempelskriptet i steg 1 för att söka i en enskild postlåda synkront. Du kan också göra detta genom att köra cmdleten i Windows Remote PowerShell.

  Mer information om cmdleten finns i följande TechNet-artikel:

  Search-MailboxAuditLog

• Du kan söka i en eller flera postlådor asynkront. Det gör du genom att köra följande cmdlet i Windows Remote PowerShell:

  New-MailboxAuditLogSearch
  

  Mer information om den här cmdleten finns i följande artikel:

  New-MailboxAuditLogSearch

  Mer information om standardposterna för granskningsloggning för postlåda finns i avsnittet "Postlådegranskningsloggposter" i följande artikel:

  Granskningsloggning för postlåda i Exchange 2016