使用审核日志搜索调查常见支持问题

  • 10 分钟

本单元介绍组织如何使用审核日志搜索工具来帮助他们调查以下常见支持问题:

  • 查找用于访问已泄露帐户的计算机的 IP 地址。
  • 确定为邮箱设置电子邮件转发的人员。
  • 确定用户是否已删除其邮箱中的电子邮件项目。
  • 确定用户是否创建了收件箱规则。
  • 调查组织外部用户成功登录的原因。
  • 搜索具有非 E5 许可证的用户执行的邮箱活动。
  • 搜索委托用户执行的邮箱活动。

本单元中描述的每个疑难解答方案都基于在 Microsoft Purview 合规性门户中使用审核日志搜索工具。 每个方案说明如何为相应的问题配置审核日志搜索查询。 它还描述了在审核记录中与搜索条件匹配的详细信息中要查找的内容。

使用审核日志搜索工具所需的权限

必须分配有 Exchange Online 中的“仅供查看审核日志”或“审核日志”用户才能搜索审核日志。 默认情况下,这些角色是在 Exchange 管理中心中的“权限”页上被分配给“合规性管理”和“组织管理”角色组。 Office 365 和 Microsoft 365 中的全局管理员将自动添加为 Exchange Online 的“组织管理”角色组成员。

正在运行审核日志搜索

本部分介绍创建和运行审核日志搜索的基础知识。 使用这些说明作为本单元中每个故障排除方案的起点。 有关更详细的分步说明,请参阅 搜索审核日志

  1. 连接到 Microsoft Purview 合规门户

  2. Microsoft Purview 合规性 门户的左侧导航窗格中,选择 “审核”。

  3. 默认情况下,会在“审核”页上显示“搜索”选项卡。

    显示 Microsoft Purview 合规性门户中“审核”页的屏幕截图,其中突出显示了每个设置。

    配置以下搜索条件。 本文中的每个疑难解答方案都建议有关配置这些字段的具体指南。

    • 答: 开始日期和结束日期. 选择日期和时间范围,以显示在这段时间内发生的事件。 默认情况下,将选择最近七天。 日期和时间将以协调世界时 (UTC) 格式显示。 可以指定的最大日期范围是 180 天。
    • B. 活动. 选择下拉列表以显示你可以搜索的活动。 运行搜索后,仅将显示所选活动的审核日志项目。 如果选择 “显示所有活动的结果”,则会显示满足其他搜索条件的所有活动的结果。 在某些故障排除方案中,必须将此字段留空。
    • C. 用户. 选择此框,然后选择要为其显示搜索结果的一名或多名用户。 在此框中选择的用户所执行的所选活动的审核记录将显示在结果列表中。 将此框留空以返回组织中所有用户(和服务帐户)的条目。
    • D. 文件、文件夹或网站. 键入部分或完整的文件或文件夹名称,搜索与包含指定关键字的文件夹文件相关的活动。 你还可以指定文件或文件夹的 URL。 如果使用 URL,请确保输入完整的 URL 路径,或者如果输入部分 URL,则请勿包含任何特殊字符或空格。 将此框留空以返回组织中所有文件和文件夹的条目。 在本单元中的所有疑难解答方案中,此字段保留为空。

  4. 单击“搜索”以使用搜索条件运行搜索。

将加载搜索结果,片刻后,它们会显示在审核日志搜索工具的页面上。 本单元中的每个部分都提供有关在特定故障排除方案的上下文中查找的内容的指导。

问题:查找用于访问已泄露帐户的计算机的 IP 地址

大多数审核记录中包含与任何用户执行的活动对应的 IP 地址。 有关所使用客户端的信息也包含在审核记录中。

下面介绍如何为此方案配置审核日志搜索查询:

  • 活动。 如果与案例相关,请选择要搜索的特定活动。 若要排查帐户被盗用的问题,请考虑选择 Exchange 邮箱活动下登录到邮箱活动的用户。 这会返回审核记录,其中显示了登录到邮箱时使用的 IP 地址。 否则,请将此字段留空以返回所有活动的审核记录。

    提示

    将此字段留空将返回 UserLoggedIn 活动,这是一个Microsoft Entra活动,指示某人已登录到用户帐户。 在搜索结果中使用筛选来显示 UserLoggedIn 审核记录。

  • 开始日期和结束日期。 选择适用于调查的日期范围。

  • 用户。 如果正在调查被盗用的帐户,请选择其帐户已泄露的用户。 这会返回该用户帐户执行的活动的审核记录。

  • 文件、文件夹或网站。 将此字段留空。

运行搜索后,每个活动的 IP 地址将显示在搜索结果的 IP 地址列中。 选择搜索结果中的记录以在浮出控件页上查看更详细的信息。

问题:确定为邮箱设置电子邮件转发的人员

为邮箱配置电子邮件转发时,发送到邮箱的电子邮件将转发到另一个邮箱。 消息可以转发给组织内部或外部的用户。 在邮箱上设置电子邮件转发时,使用的基础 Exchange Online cmdlet 是 Set-Mailbox

下面介绍如何为此方案配置审核日志搜索查询:

  • 活动。 将此字段留空,以便搜索返回所有活动的审核记录。 必须执行此操作才能返回与 Set-Mailbox cmdlet 相关的任何审核记录。
  • 开始日期和结束日期。 选择适用于调查的日期范围。
  • 用户。 除非你正在调查特定用户的电子邮件转发问题,否则请将此字段留空。 这样做有助于确定是否为任何用户设置了电子邮件转发。
  • 文件、文件夹或网站。 将此字段留空。

运行搜索后,在搜索结果页上选择 “筛选结果 ”。 在“活动”列标题下的框中,键入 Set-Mailbox,以便仅显示与 Set-Mailboxcmdlet 相关的审核记录。

显示搜索结果页的屏幕截图,其中突出显示了用于筛选结果的“设置邮箱”活动。

此时,必须查看每个审核记录的详细信息,以确定活动是否与电子邮件转发相关。 选择审核记录以显示 “详细信息 ”浮出控件页,然后选择 “详细信息”。 以下屏幕截图和说明突出显示了在邮箱上设置电子邮件转发的信息。

选择“更多信息”选项后搜索结果页的屏幕截图,其中突出显示了审核记录中的字段。

  • 答: ObjectId. 将显示设置电子邮件转发的邮箱的别名。 此邮箱也显示在 搜索结果页的“项 ”列上。
  • B. 参数. 值 ForwardingSmtpAddress 指示已在邮箱上设置电子邮件转发。 在此示例中,邮件将转发到电子邮件地址,该地址 mike@contoso.com在 alpinehouse.onmicrosoft.com 组织外部。
  • C. True. DeliverToMailboxAndForward 参数的此值 指示将邮件的副本传递到sarad@alpinehouse.onmicrosoft.com AND,并转发到 ForwardingSmtpAddress 参数指定的电子邮件地址,在此示例中为mike@contoso.com 。 如果 DeliverToMailboxAndForward 参数的值设置为 False,则仅将电子邮件转发到 ForwardingSmtpAddress 参数指定的地址。 它不会传递到 ObjectId 字段中指定的邮箱。
  • D. UserID. 指示在 ObjectId 字段中指定的邮箱上设置电子邮件转发的用户。 此用户还会显示在 搜索结果页上的“用户 ”列中。 在这种情况下,邮箱所有者似乎在其邮箱上设置了电子邮件转发。

如果确定不应在邮箱上设置电子邮件转发,可以通过在 Exchange Online PowerShell 中运行以下命令将其删除:

Set-Mailbox <mailbox alias> -ForwardingSmtpAddress $null

问题:确定用户是否删除了电子邮件项目

自 2019 年起,所有Microsoft 365组织默认启用邮箱审核日志记录。 结果为:

  • 邮箱所有者执行的某些操作会自动记录。
  • 在邮箱审核日志中搜索相应的邮箱审核记录时,可以使用这些记录。

默认情况下,在启用邮箱审核日志记录之前,组织必须为其每个用户邮箱手动启用它。

默认记录的邮箱操作包括邮箱所有者执行的 SoftDeleteHardDelete 邮箱操作。 因此,组织可以使用以下步骤在审核日志中搜索与已删除电子邮件项目相关的事件。 有关邮箱审核日志的详细信息,参见“管理邮箱审核”。

下面介绍如何为此方案配置审核日志搜索查询:

  • 活动。 在“Exchange 邮箱活动”下,选择以下一个或两个活动:
    • 已从“已删除邮件”文件夹中删除邮件。 此活动对应于 SoftDelete 邮箱审核操作。 当用户通过选择项目并按 Shift+Delete永久删除项目时,也会记录此活动。 永久删除项目后,用户可以恢复它,直到已删除的项目保留期过期。
    • 已从邮箱中清除邮件。 此活动对应于 HardDelete 邮箱审核操作。 当用户从“可恢复的项目”文件夹中清除项目时,将记录此活动。 管理员可以使用 Microsoft Purview 合规性门户中的内容搜索 工具来搜索和恢复清除的项目,直到已删除的项目保留期到期,或者如果用户的邮箱处于保留状态,则保留时间更长。
  • 开始日期和结束日期。 选择适用于调查的日期范围。
  • 用户。 如果在此字段中选择某个用户,则审核日志搜索工具将返回您指定的用户软删除或硬删除的电子邮件项目的审核记录。 有时,删除电子邮件的用户可能不是邮箱所有者。
  • 文件、文件夹或网站。 将此字段留空。

运行搜索后,可以筛选搜索结果,以显示软删除项目或硬删除项目的审核记录。 选择审核记录以显示 “详细信息 ”浮出控件页,然后选择 “详细信息”。 有关已删除项的其他信息(如主题行和项目在删除时的位置)显示在 AffectedItems字段中。

以下屏幕截图显示了来自软删除项和硬删除项的 AffectedItems 字段的示例。

软删除项的 AffectedItems 字段示例:

软删除电子邮件项目的审核记录的屏幕截图。

硬删除项的 AffectedItems 字段示例:

硬删除电子邮件项目的审核记录的屏幕截图。

恢复已删除的电子邮件项

如果已删除的项目保留期尚未过期,则用户可以恢复软删除的项目。 在 Exchange Online 中,默认的已删除项目保留期为 14 天。 但是,管理员可以将此设置增加到最多 30 天。 将用户指向 Outlook 网页 版文章中的“恢复已删除的项目或电子邮件”,以获取有关恢复已删除项目的说明。

如前所述,如果已删除项目保留期尚未过期或邮箱处于保留状态,则管理员可以恢复硬删除的项目,在这种情况下,项目将一直保留到保留期过期。 运行内容搜索时,“可恢复的项目”文件夹中的软删除和硬删除项目将在搜索结果中返回(如果它们与搜索查询匹配)。

提示

若要搜索已删除的电子邮件项目,请搜索审核记录的 AffectedItems 字段中显示的全部或部分主题行。

问题:确定用户是否创建了收件箱规则

当用户为其 Exchange Online 邮箱创建收件箱规则时,相应的审核记录将保存到审核日志中。

下面介绍如何为此方案配置审核日志搜索查询:

  • 活动。 在“Exchange 邮箱活动”下,选择以下一个或两个活动:
    • New-InboxRule 从 Outlook Web App创建新的收件箱规则。 使用 Outlook Web 应用或 Exchange Online PowerShell 创建收件箱规则时,此活动将返回审核记录。
    • 已从 Outlook 客户端更新收件箱规则。 使用 Outlook 桌面客户端创建、修改或删除收件箱规则时,此活动将返回审核记录。
  • 开始日期和结束日期。 选择适用于调查的日期范围。
  • 用户。 除非你正在调查特定用户,否则请将此字段留空。 通过执行此操作,可以识别任何用户设置的新收件箱规则。
  • 文件、文件夹或网站。 将此字段留空。

运行搜索后,此活动的任何审核记录将显示在搜索结果中。 选择审核记录以显示“详细信息”浮出控件页,然后选择“详细信息”。 有关收件箱规则设置的信息显示在“参数”字段中。 以下屏幕截图和说明突出显示了有关收件箱规则的信息。

新收件箱规则的审核记录的屏幕截图,其中突出显示了所选字段。

  • 答: ObjectId. 将显示收件箱规则的全名。 此名称包括用户邮箱的别名(例如 SaraD)和收件箱规则的名称(例如,“从管理员处移动邮件”)。
  • B. 参数. 将显示收件箱规则的条件。 在此示例中,条件由 From 参数指定。 为 From 参数定义的值指示收件箱规则对发送 admin@alpineskihouse.onmicrosoft.com 的电子邮件执行操作。
  • C. MoveToFolder. 此参数指定收件箱规则的操作。 在此示例中,接收到的 admin@alpineskihouse.onmicrosoft.com 邮件将移动到名为 AdminSearch的文件夹。 A
  • D. UserID. 指示创建 ObjectId 字段中指定的收件箱规则的用户。 此用户还会显示在 搜索结果页上的“用户 ”列中。

问题:调查组织外部用户成功登录的原因

当组织查看审核日志中的审核记录时,可能会看到指示外部用户已通过Microsoft Entra ID进行身份验证并成功登录到其Microsoft 365 租户的记录。 例如:

  • contoso.onmicrosoft.com 中的管理员可能会看到一条审核记录,其中显示来自其他组织的用户(例如,fabrikam.onmicrosoft.com)已成功登录到 contoso.onmicrosoft.com。
  • 同样,管理员可能会看到审核记录,这些记录指示具有 Microsoft 帐户 (MSA) 的用户(如 Outlook.com 或 Live.com)已成功登录 contoso.onmicrosoft.com。

注意

在这些情况下,审核的活动是 “用户登录”。

此行为是设计使然。 Microsoft Entra ID,当外部用户尝试访问组织中的 SharePoint 网站或 OneDrive 位置时,目录服务允许通过身份验证。 当外部用户尝试登录时,系统会提示他们输入其凭据。 Microsoft Entra ID使用凭据对用户进行身份验证,这意味着只有Microsoft Entra ID验证用户是他们所说的身份。

审核记录中成功登录的指示是Microsoft Entra对用户进行身份验证的结果。 成功登录并不意味着用户能够访问组织中的任何资源或完成任何其他操作。 它仅指示用户已通过Microsoft Entra ID进行身份验证。 若要让直通用户访问 SharePoint 或 OneDrive 资源,组织中的内部用户必须通过向外部用户发送共享邀请或匿名共享链接来显式与外部用户共享资源。

注意

Microsoft Entra ID仅允许第一方应用程序(如 SharePoint Online 和 OneDrive for Business)进行直通身份验证。 其他第三方应用程序不允许使用它。

以下屏幕截图显示了作为直通身份验证结果的用户登录事件的审核记录 相关属性的示例和说明。 选择审核记录以显示“详细信息”浮出控件页,然后选择“详细信息”。

成功通过身份验证的审核记录的屏幕截图,其中突出显示了所选字段。

  • 答: 演员. 此字段指示尝试访问组织中的资源的用户未在组织的Microsoft Entra ID中找到。
  • B. 行动者 Upn. 此字段显示尝试访问组织中资源的外部用户的 UPN。 此用户 ID 也在审核记录的 UserUserId 属性中标识。
  • C. ApplicationId. 此属性标识触发登录请求的应用程序。 此审核记录的 ApplicationId 属性中显示的值 00000003-0000-0ff1-ce00-000000000000 表示 SharePoint Online。 OneDrive for Business也具有相同的 ApplicationId
  • D. ExtendedProperties. 此字段指示传递身份验证成功。 换句话说,用户已通过Microsoft Entra ID成功进行身份验证。
  • E. RecordType. 值 15 指示已审核的活动 (UserLoggedIn) 是 Microsoft Entra ID 中的安全令牌服务 (STS) 登录事件。

以下示例是会导致用户由于直通身份验证而成功 登录 审核活动的方案:

  • 具有 Microsoft 帐户的用户(如 SaraD@outlook.com)已尝试访问 fourthcoffee.onmicrosoft.com 中OneDrive for Business帐户中的 文档。 但是,fourthcoffee.onmicrosoft.com 中没有相应的来宾用户帐户 SaraD@outlook.com
  • 组织中具有工作或学校帐户的用户(如 pilarp@fabrikam.onmicrosoft.com)已尝试访问 contoso.onmicrosoft.com 中的 SharePoint 网站。 但是,contoso.onmicrosoft.com 中 没有相应的来宾用户帐户pilarp@fabrikam.com

有关调查通过身份验证导致的成功登录尝试的提示

在调查通过身份验证导致的成功登录尝试时,组织应记住以下注意事项:

  • 在审核日志中搜索由用户登录审核记录中标识的外部用户执行的活动。 在“用户”框中键入外部用户的 UPN,并使用日期范围(如果与方案相关)。 例如,可以使用以下搜索条件创建搜索:

    内容搜索窗口的屏幕截图,其中显示了要输入的字段以搜索外部用户完成的所有活动。

    除了用户登录 活动之外,还可以返回其他审核记录。 例如,记录指示组织中的用户与外部用户共享资源,以及外部用户是否访问、修改或下载了与其共享的文档。

  • 搜索 SharePoint 共享活动,这些活动指示文件已与登录 审核记录的 用户标识的外部用户共享。 有关详细信息,请参阅在审核日志中使用共享审核

  • 导出包含与调查相关的记录的审核日志搜索结果。 通过执行此操作,可以使用 Excel 搜索与外部用户相关的其他活动。

问题:搜索具有非 E5 许可证的用户执行的邮箱活动

即使默认情况下为组织启用邮箱审核,当组织使用以下任一方法时,在审核日志搜索中也不会找到某些用户的邮箱审核事件:

  • Microsoft Purview 合规门户
  • the Search-UnifiedAuditLog cmdlet
  • Office 365 管理活动 API。

为什么? 因为只有在使用前面的方法之一搜索统一审核日志时,才会为具有 E5 许可证的用户返回邮箱审核事件。

若要检索非 E5 用户的邮箱审核日志记录,可以完成以下解决方法之一:

  • 在单个邮箱上手动启用邮箱审核。 在 Exchange Online PowerShell 中运行以下命令:

    Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true

    运行此命令后,使用 Microsoft Purview 合规性门户、 Search-UnifiedAuditLog cmdlet 或 Office 365 管理活动 API 搜索邮箱审核活动。

    提示

    如果邮箱审核似乎已在邮箱上启用,但搜索未返回任何结果,请将 AuditEnabled 参数的 值更改为 $false ,然后返回到 $true

  • 在Exchange Online PowerShell中运行以下cmdlet:

问题:搜索在特定邮箱中执行的邮箱活动(包括共享邮箱)

在 Microsoft Purview 合规性门户 的审核日志搜索工具或 Exchange Online PowerShell 中的 Search-UnifiedAuditLog -UserIds 命令中使用 “用户 ”下拉列表时,可以搜索特定用户执行的活动。

对于邮箱审核活动,此类搜索将搜索指定用户执行的活动。 但是,它并不保证在搜索结果中返回同一邮箱中执行的所有活动。

例如,审核日志搜索不会返回委托用户所执行活动的审核记录。 为什么? 因为搜索特定用户执行的邮箱活动不会返回被分配了访问其他用户邮箱的权限的代理用户执行的活动。

注意

委派用户是已将 SendAsSendOnBehalfFullAccess 邮箱权限分配给其他用户邮箱的人员。

此外,在审核日志搜索工具或 Search-UnifiedAuditLog -UserIds 中使用 “用户 ”下拉列表不会返回在共享邮箱中完成的活动的结果。

若要搜索在特定邮箱中执行的活动或搜索在共享邮箱中执行的活动,请在运行 Search-UnifiedAuditLog cmdlet 时使用以下语法:

Search-UnifiedAuditLog -StartDate <date> -EndDate <date> -FreeText (Get-Mailbox <mailbox identity).ExchangeGuid

例如,以下命令返回在 2020 年 8 月到 2020 年 10 月间 Contoso 合规性团队共享邮箱中执行的活动审核记录:

Search-UnifiedAuditLog -StartDate 08/01/2020 -EndDate 10/31/2020 -FreeText (Get-Mailbox complianceteam@contoso.onmicrosoft.com).ExchangeGuid

或者,可以使用 Search-MailboxAuditLog cmdlet 搜索在特定邮箱中执行的活动审核记录。 此过程包括搜索在共享邮箱中执行的活动。

以下示例返回 Contoso 合规性团队共享邮箱中执行活动的邮箱审核日志记录:

Search-MailboxAuditLog -Identity complianceteam@contoso.onmicrosoft.com -StartDate 08/01/2020 -EndDate 10/31/2020 -ShowDetails

以下示例返回代理用户在指定邮箱中执行的活动邮箱审核日志记录:

Search-MailboxAuditLog -Identity <mailbox identity> -StartDate <date> -EndDate <date> -LogonTypes Delegate -ShowDetails

还可以使用 New-MailboxAuditLogSearch cmdlet 搜索特定邮箱的审核日志,并通过电子邮件将结果发送给指定收件人。

知识检查

为以下每个问题选择最佳答案。