Exchange-ÜberwachungsberichteExchange auditing reports

Verwenden Sie die Überwachungsprotokollierung zum Beheben von Konfigurationsproblemen, indem Sie bestimmte Änderungen von Administratoren nachverfolgen, sowie zum Einhalten gesetzlicher Bestimmungen und zum Aufbewahren von Daten, die für Rechtsstreitigkeiten erforderlich sind.Use audit logging to troubleshoot configuration issues by tracking specific changes made by administrators and to help you meet regulatory, compliance, and litigation requirements. Exchange Online bietet zwei Arten der Überwachungsprotokollierung:Exchange Online provides two types of audit logging:

  • Die Administrator-Überwachungsprotokollierung zeichnet jede Aktion auf der Grundlage eines Exchange Online PowerShell-Cmdlets auf, die von einem Administrator ausgeführt wurde.Administrator audit logging records any action, based on an Exchange Online PowerShell cmdlet, performed by an administrator. Dies kann Ihnen bei der Behandlung von Konfigurationsproblemen helfen oder die Ursache sicherheitsbezogener oder Kompatibilitäts bezogener Probleme erkennen.This can help you troubleshoot configuration issues or identify the cause of security-related or compliance-related problems. In Exchange Online werden auch Aktionen von Microsoft-Administratoren und delegierten Administratoren aufgezeichnet.In Exchange Online, actions performed by Microsoft administrators and delegated administrators, are also recorded.

  • Bei der Postfachüberwachungsprotokollierung werden alle Postfachzugriffe durch Administratoren, delegierte Benutzer oder den Postfachbesitzer aufgezeichnet. Dadurch können Sie feststellen, wer auf ein Postfach zugegriffen hat und welche Aktionen ausgeführt wurden.Mailbox audit logging records when a mailbox is accessed by an administrator, a delegated user, or the person who owns the mailbox. This can help you determine who has accessed a mailbox and what they've done.

Exportieren von ÜberwachungsprotokollenExport audit logs

In der Exchange-Verwaltungskonsole (EAC) können Sie auf der Seite Verwaltung der Richtlinientreue > Überwachung nach Einträgen aus dem Administratorüberwachungsprotokoll und aus dem Postfachüberwachungsprotokoll suchen und diese exportieren.On the Compliance Management > Auditing page in the Exchange admin center (EAC), you can search for and export entries from the administrator audit log and the mailbox audit log.

  • Exportieren des administratorüberwachungsprotokolls: alle Aktionen, die von einem Administrator ausgeführt werden, der auf einem Exchange Online PowerShell-Cmdlet basiert, das nicht mit dem Verb Get, Searchoder Test beginnt, werden in der Administrator Überwachung protokolliert. Protokoll.Export the administrator audit log: Any action performed by an administrator that's based on an Exchange Online PowerShell cmdlet that doesn't begin with the verbs Get, Search, or Test is logged in the administrator audit log. Überwachungsprotokolleinträge enthalten das ausgeführte Cmdlet, den Parameter und die Werte, die zusammen mit dem Cmdlet verwendet wurden, sowie den Status des Vorgangs.Audit log entries include the cmdlet that was run, the parameter and values used with the cmdlet, and when the operation was successful. Sie können nach den Einträgen aus dem Administratorüberwachungsprotokoll suchen und diese exportieren.You can search for and export entries from the administrator audit log. Wenn Sie die Suchergebnisse exportieren, werden diese in einer XML-Datei gespeichert, und die Datei wird an eine E-Mail angefügt.When you export your search results, Microsoft Exchange saves them in an XML file and attaches it to an email message. Weitere Informationen finden Sie unter:For more information, see:

  • Exportieren von postfachüberwachungsprotokollen: Wenn die postfachüberwachungsprotokollierung für ein Postfach aktiviert ist, speichert Microsoft Exchange eine Aufzeichnung von Aktionen, die für Postfachdaten von nicht-Besitzern im postfachüberwachungsprotokoll durchgeführt werden und in einem ausgeblendeten Ordner des zu überwachenden Postfachs gespeichert sind.Export mailbox audit logs: When mailbox audit logging is enabled for a mailbox, Microsoft Exchange stores a record of actions performed on mailbox data by non-owners in the mailbox audit log, which is stored in a hidden folder in the mailbox being audited. Die postfachüberwachungsprotokollierung kann auch zum Protokollieren von Besitzer Aktionen konfiguriert werden.Mailbox audit logging can also be configure to log owner actions. Einträge in diesem Protokoll geben an, wer auf das Postfach zugegriffen hat und wann, welche Aktionen ausgeführt wurden und ob die Aktion erfolgreich war.Entries in this log indicate who accessed the mailbox and when, the actions performed, and whether the action was successful. Wenn Sie im postfachüberwachungsprotokoll nach Einträgen suchen und diese exportieren, speichert Microsoft Exchange die Suchergebnisse in einer XML-Datei und fügt diese an eine e-Mail-Nachricht an.When you search for entries in the mailbox audit log and export them, Microsoft Exchange saves the search results in an XML file and attaches it to an email message. Weitere Informationen finden Sie unter Exportieren von postfachüberwachungsprotokollen.For more information, see Export mailbox audit logs.

Ausführen von ÜberwachungsberichtenRun auditing reports

Wenn Sie in der Exchange-Verwaltungskonsole auf der Seite Überwachung einen der folgenden Berichte ausführen, werden die Ergebnisse im Detailbereich des Berichts angezeigt.When you run any of the following reports on the Auditing page in the EAC, the results are displayed in the details pane of the report.

  • Führen Sie einen Bericht über einen nicht-Besitzer-Postfachzugriffaus: Verwenden Sie diesen Bericht, um Postfächer zu finden, auf die von anderen Benutzern als der Person, die das Postfach besitzt, zugegriffen wurde.Run a non-owner mailbox access report: Use this report to find mailboxes that have been accessed by someone other than the person who owns the mailbox. Weitere Informationen finden Sie unter Ausführen eines Berichts zum Postfachzugriff durch Nicht-Besitzer.For more information, see Run a non-owner mailbox access report.

  • Ausführen eines Administrator-Rollengruppen Berichts: Verwenden Sie diesen Bericht, um nach Änderungen an Administratorrollengruppen zu suchen.Run an administrator role group report: Use this report to search for changes made to administrator role groups. Weitere Informationen finden Sie unter Search the role group changes or administrator audit logs.For more information, see Search the role group changes or administrator audit logs.

  • Ausführen eines in-situ-Such-und-Aufbewahrungsberichts: Verwenden Sie diesen Bericht, um Postfächer zu finden, die in der Warteschleife platziert oder entfernt wurden.Run an in-place discovery and hold report: Use this report to find mailboxes that have been put on, or removed from, In-Place Hold. Weitere Informationen finden Sie unter:For more information, see:

  • Führen Sie einen Bericht über einen gerichtlichen Beweis für jeden Post Fachbetriebaus: Verwenden Sie diesen Bericht, um Postfächer zu finden, die in das Aufbewahrungsverfahren aufgenommen oder daraus entfernt wurden.Run a per-mailbox litigation hold report: Use this report to find mailboxes that were put on, or removed from, litigation hold. Weitere Informationen finden Sie unter.For more information, see.

  • Ausführen des Administrator-Überwachungsprotokoll Berichts: Verwenden Sie diesen Bericht, um Einträge aus dem administratorüberwachungsprotokoll anzuzeigen.Run the admin audit log report: Use this report to view entries from the administrator audit log. Anstatt das Administratorüberwachungsprotokoll zu exportieren, dessen Empfang in einer E-Mail-Nachricht bis zu 24 Stunden dauern kann, können Sie diesen Bericht in der Exchange-Verwaltungskonsole ausführen.Instead of exporting the administrator audit log, which can take up to 24 hours to receive in an email message, you can run this report in the EAC. Dieser Bericht protokolliert die Konfigurationsänderungen, die von Administratoren in Ihrer Organisation vorgenommen werden.This report records configuration changes made by administrators in your organization. Es können bis zu 5000 Einträge auf mehreren Seiten angezeigt werden.Up to 5000 entries will be displayed on multiple pages. Um die Suche einzuschränken, können Sie einen Datumsbereich angeben.To narrow the search, you can specify a date range. Weitere Informationen finden Sie unter:For more information, see:

  • Ausführen des Überwachungsprotokoll Berichts für externe Administratoren: dieser Bericht ist nur in Exchange Online und Exchange Online Protection verfügbar.Run the external admin audit log report: This report is only available in Exchange Online and Exchange Online Protection. Von Microsoft-Administratoren oder delegierten Administratoren ausgeführte Aktionen werden im Administratorüberwachungsprotokoll protokolliert.Actions performed by Microsoft administrators or delegated administrators are logged in the administrator audit log. Verwenden Sie das externe Administratorüberwachungsprotokoll, um Aktionen zu suchen und anzuzeigen, die Administratoren außerhalb Ihrer Organisation an der Konfiguration Ihrer Exchange Online-Organisation durchgeführt haben.Use the external admin audit log report to search for and view the actions that administrators outside your organization performed on the configuration of your Exchange Online organization. Weitere Informationen finden Sie unter anzeigen und Exportieren des Überwachungsprotokolls für externe Administratoren.For more information, see View and export the external admin audit log.

Konfigurieren der ÜberwachungsprotokollierungConfigure audit logging

Sie müssen zunächst die Überwachungsprotokollierung für die Organisation konfigurieren, um Überwachungsberichte ausführen und Überwachungsprotokolle exportieren zu können.Before you can run auditing reports and export audit logs, you have to configure audit logging for your organization.

Aktivieren der PostfachüberwachungsprotokollierungEnable mailbox audit logging

Die Postfachüberwachungsprotokollierung muss für jedes Postfach aktiviert werden, für das ein Bericht zum Postfachzugriff durch Nicht-Besitzer ausgeführt werden soll. Wenn die Postfachüberwachungsprotokollierung für ein Postfach nicht aktiviert ist, erhalten Sie beim Ausführen eines Berichts sowie beim Exportieren des Postfachüberwachungsprotokolls keine Ergebnisse für das Postfach.You have to enable mailbox audit logging for each mailbox that you want to run a non-owner mailbox access report for. If mailbox audit logging isn't enabled for a mailbox, you won't get any results when you run a report for it or export the mailbox audit log.

Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um die postfachüberwachungsprotokollierung für ein einzelnes Postfach zu aktivieren.To enable mailbox audit logging for a single mailbox, run the following command in Exchange Online PowerShell.

Set-Mailbox <Identity> -AuditEnabled $true

Führen Sie folgende Befehle aus, um die Postfachüberwachung für alle Benutzerpostfächer in Ihrer Organisation zu aktivieren.To enable mailbox auditing for all user mailboxes in your organization, run the following commands.

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Weitere Informationen dazu, wie Sie konfigurieren, welche Aktionen protokolliert werden sollen, finden Sie in den folgenden Artikeln:For more information about configuring which actions are logged, see:

Gewähren des Benutzerzugriffs auf ÜberwachungsberichteGive users access to Auditing reports

Standardmäßig können Administratoren in der Exchange-Verwaltungskonsole auf alle Berichte der Seite Überwachung zugreifen und diese ausführen. Anderen Benutzern (beispielsweise aus der Datensatzverwaltung oder aus der Rechtsabteilung) müssen die notwendigen Berechtigungen jedoch erst zugewiesen werden.By default, administrators can access and run any of the reports on the Auditing page in the EAC. However, other users, such as a records manager or legal staff, have to be assigned the necessary permissions.

Die einfachste Art, den Benutzern Zugriff zu gewähren, ist das Hinzufügen der Benutzer zur Rollengruppe "Datensatzverwaltung".The easiest way to give users access is to add them to the Records Management role group. Sie können auch Exchange Online PowerShell verwenden, um einem Benutzer Zugriff auf die Seite " Überwachung " im EAC zu gewähren, indem Sie dem Benutzer die Rolle "Überwachungsprotokolle" zuweisen.You can also use Exchange Online PowerShell to give a user access to the Auditing page in the EAC by assigning the Audit Logs role to the user.

Hinzufügen eines Benutzers zur Rollengruppe "Datensatzverwaltung"Add a user to the Records Management role group

  1. Navigieren Sie zu Berechtigungen > Administratorrollen.Go to Permissions > Admin Roles.

  2. Klicken Sie in der Liste der Rollengruppen auf Datensatzverwaltung, und klicken Sie dann](../../media/ITPro_EAC_EditIcon.gif)auf Bearbeitungssymbol Bearbeiten ![.In the list of role groups, click Records Management, and then click Edit Edit icon.

  3. Klicken Sie unter Mitgliederauf Hinzufügen](../../media/ITPro_EAC_AddIcon.gif)-Symbol Hinzufügen ![.Under Members, click Add Add Icon.

  4. Wählen Sie im Dialogfeld Mitglieder auswählen den Benutzer aus.In the Select Members dialog box, select the user. Sie können nach einem Benutzer suchen, indem Sie den Anzeigenamen ganz oder teilweise eingeben und dann auf **** Suchsymbolsuchen klicken.You can search for a user by typing all or part of a display name, and then clicking Search Search icon. Sie können die Liste auch sortieren, indem Sie auf die Spaltenüberschriften Name oder Anzeigename klicken.You can also sort the list by clicking the Name or Display Name column headings.

  5. Klicken Sie auf hinzu](../../media/ITPro_EAC_AddIcon.gif) fügen-Symbol Hinzufügen ![, und klicken Sie dann auf OK , um zur Seite Rollengruppe zurückzukehren.Click Add Add Icon and then click OK to return to the role group page.

  6. Klicken Sie auf Speichern, um die Änderungen an der Rollengruppe zu speichern.Click Save to save the change to the role group.

In the details pane, the user is listed under Members and can access the Auditing page in the EAC, run auditing reports, and export audit logs.In the details pane, the user is listed under Members and can access the Auditing page in the EAC, run auditing reports, and export audit logs.

Zuweisen der Rolle für Überwachungsprotokolle zu einem BenutzerAssign the Audit Logs role to a user

Führen Sie den folgenden Befehl aus, um einem Benutzer die Rolle für Überwachungsprotokolle zuzuweisen.Run the following command to assign the Audit Logs role to a user.

New-ManagementRoleAssignment -Role "Audit Logs" -User <Identity>

Auf diese Weise kann der Benutzer in der Exchange-Verwaltungskonsole die Optionen Verwaltung der Richtlinientreue > Überwachung auswählen, um einen Bericht auszuführen. Zudem kann der Benutzer auch das Postfachüberwachungsprotokoll exportieren und das Administratorüberwachungsprotokoll exportieren und anzeigen.This enables the user to select Compliance Management > Auditing in the EAC to run any of the reports. The user can also export the mailbox audit log, and export and view the administrator audit log.

Hinweis

Wenn Sie einem Benutzer zwar das Ausführen von Überwachungsberichten, aber nicht das Exportieren von Überwachungsprotokollen ermöglichen möchten, weisen Sie mithilfe des vorherigen Befehls die Rolle mit Leserechten für Überwachungsprotokolle zu.To allow a user to run auditing reports but not to export audit logs, use the preceding command to assign the View-Only Audit Logs role.

Konfigurieren von Outlook Web App, um XML-Anlagen zuzulassenConfigure Outlook Web App to allow XML attachments

Wenn Sie das Postfachüberwachungsprotokoll oder das Administratorüberwachungsprotokoll exportieren, wird das Überwachungsprotokoll (XML-Datei) an eine E-Mail angefügt. Jedoch blockiert Outlook Web App standardmäßig XML-Anlagen. Wenn Sie mit Outlook Web App auf exportierte Überwachungsprotokolle zugreifen möchten, muss Outlook Web App für das Zulassen von XML-Anlagen konfiguriert werden.When you export the mailbox audit log or administrator audit log, Microsoft Exchange attaches the audit log, which is an XML file, to an email message. However, Outlook Web App blocks XML attachments by default. If you want to use Outlook Web App to access these audit logs, you have to configure Outlook Web App to allow XML attachments.

Führen Sie den folgenden Befehl aus, um XML-Anlagen in Outlook Web App zuzulassen.Run the following command to allow XML attachments in Outlook Web App.

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'