Exportieren von postfachüberwachungsprotokollen in Exchange OnlineExport mailbox audit logs in Exchange Online

Wenn die postfachüberwachung für ein Postfach aktiviert ist, protokolliert Exchange Online Informationen im postfachüberwachungsprotokoll, wenn ein anderer Benutzer als der Besitzer auf das Postfach zugreift.When mailbox auditing is enabled for a mailbox, Exchange Online logs information in the mailbox audit log whenever a user other than the owner accesses the mailbox. Jeder Protokolleintrag enthält Angaben zur zugreifenden Person und zur Zugriffszeit, zu den Aktionen, die der Nicht-Besitzer ausgeführt hat, sowie zum Status der Aktion.Each log entry includes information about who accessed the mailbox and when, the actions performed by the non-owner, and whether the action was successful. Einträge im Postfachüberwachungsprotokoll werden standardmäßig für 90 Tage beibehalten.Entries in the mailbox audit log are retained for 90 days by default. Mithilfe des Postfachüberwachungsprotokolls können Sie feststellen, ob auf ein Postfach von einer Person zugegriffen wurde, bei der es sich nicht um den Besitzer des Postfachs handelt.You can use the mailbox audit log to determine if a user other than the owner has accessed a mailbox.

Wenn Sie Einträge aus postfachüberwachungsprotokollen exportieren, speichert Exchange Online die Einträge in einer XML-Datei und fügt diese an eine e-Mail-Nachricht an, die an die angegebenen Empfänger gesendet wird.When you export entries from mailbox audit logs, Exchange Online saves the entries in an XML file and attaches it to an email message sent to the specified recipients.

Bevor Sie beginnenBefore you begin

  • Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: variiert.Estimated time to complete each procedure: varies. Das postfachüberwachungsprotokoll wird innerhalb weniger Tage nach dem Export gesendet.The mailbox audit log is sent within a few days after you export it.

  • Ab Januar 2019 ist die postfachüberwachungsprotokollierung standardmäßig für alle Exchange Online Organisationen aktiviert.As of January 2019, mailbox audit logging on by default is enabled for all Exchange Online organizations. Weitere Informationen finden Sie unter Postfachüberwachungen verwalten.For more information, see Manage mailbox auditing.

  • Wenn Sie Outlook im Internet (ehemals Outlook Web App genannt) verwenden, um die exportierten Einträge anzuzeigen, müssen Sie die XML-Anlagen in Outlook im Internet aktivieren.If you're going to use Outlook on the web (formerly known as Outlook Web App) to view the exported entries, you need to enable .xml attachments in Outlook on the web. Ausführliche Informationen finden Sie unter configure Outlook on the Internet to allow XML Attachments.For details, see Configure Outlook on the web to allow XML attachments.

  • Informationen zum Suchen und Öffnen des Exchange Admin Centers (EAC) finden Sie unter Exchange Admin Center in Exchange Online.To find and open the Exchange admin center (EAC), see, Exchange admin center in Exchange Online.

  • Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden.You need to be assigned permissions before you can perform this procedure. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Anzeigen von Berichten" im Thema Feature Permissions in Exchange Online .To see what permissions you need, see the "View reports" entry in the Feature permissions in Exchange Online topic.

  • Informationen zu Tastenkombinationen, die möglicherweise für die Verfahren in diesem Thema gelten, finden Sie unter Tastenkombinationen für die Exchange-Verwaltungskonsole.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts for the Exchange admin center.

Tipp

Liegt ein Problem vor?Having problems? Bitten Sie in den Exchange-Foren um Hilfe.Ask for help in the Exchange forums. Besuchen Sie die Foren unter Exchange Online oder Exchange Online Protection.Visit the forums at Exchange Online or Exchange Online Protection.

Exportieren des PostfachüberwachungsprotokollsExport the mailbox audit log

  1. Wechseln Sie in der Exchange- Verwaltungskonsole zu Compliance Management > Auditing.In the EAC, go to Compliance Management > Auditing.

  2. Klicken Sie auf Postfachüberwachungsprotokolle exportieren.Click Export mailbox audit logs.

  3. Konfigurieren Sie die folgenden Suchkriterien zum Exportieren der Einträge aus dem Postfachüberwachungsprotokoll:Configure the following search criteria for exporting the entries from the mailbox audit log:

    • Start-und Enddatum: Wählen Sie den Datumsbereich für die Einträge aus, die in die exportierte Datei eingeschlossen werden sollen.Start and end dates: Select the date range for the entries to include in the exported file.

    • Postfächer zum Durchsuchen des Überwachungsprotokolls für: Wählen Sie die Postfächer aus, für die Überwachungsprotokolleinträge abgerufen werden sollen.Mailboxes to search audit log for: Select the mailboxes to retrieve audit log entries for.

    • Typ des Zugriffs auf nicht-Besitzer: Wählen Sie eine der folgenden Optionen aus, um den Typ des nicht-Besitzer-Zugriffs zu definieren, für den Einträge abgerufen werden sollen:Type of non-owner access: Select one of the following options to define the type of non-owner access to retrieve entries for:

      • Alle nicht-Besitzer: Suchen Sie nach Zugriffen durch Administratoren und Delegierte Benutzer innerhalb Ihrer Organisation sowie von Microsoft-Datencenteradministratoren in Exchange Online.All non-owners: Search for access by admins and delegated users inside your organization, and by Microsoft datacenter administrators in Exchange Online.

      • Externe Benutzer: Suchen Sie nach Zugriffen durch Microsoft-Datencenteradministratoren.External users: Search for access by Microsoft datacenter administrators.

      • Administratoren und Delegierte Benutzer: Suchen Sie nach Zugriffen durch Administratoren und Delegierte Benutzer in Ihrer Organisation.Administrators and delegated users: Search for access by admins and delegated users inside your organization.

      • Administratoren: Suchen Sie in Ihrer Organisation nach Zugriffen durch Administratoren.Administrators: Search for access by admins in your organization.

    • Empfänger: Wählen Sie die Benutzer aus, an die das postfachüberwachungsprotokoll gesendet werden soll.Recipients: Select the users to send the mailbox audit log to.

  4. Klicken Sie auf Exportieren.Click Export.

Exchange Online ruft Einträge im postfachüberwachungsprotokoll ab, die Ihren Suchkriterien entsprechen, speichert Sie in einer Datei mit dem Namen SearchResult.xml und fügt dann die XML-Datei an eine e-Mail-Nachricht an, die an die von Ihnen angegebenen Empfänger gesendet wird.Exchange Online retrieves entries in the mailbox audit log that meet your search criteria, saves them to a file named SearchResult.xml, and then attaches the XML file to an email message sent to the recipients that you specified.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?How do you know this worked?

Melden Sie sich an dem Postfach an, an das das Postfachüberwachungsprotokoll gesendet wurde.Sign in to the mailbox where the mailbox audit log was sent. Wenn das Überwachungsprotokoll erfolgreich exportiert wurde, erhalten Sie eine von Exchange gesendete Nachricht.If you've successfully exported the audit log, you'll receive a message sent from Exchange. Es mmight ein paar Tage dauern, bis Sie diese Nachricht erhalten.It mmight take a few days to receive this message. Das Postfachüberwachungsprotokoll "SearchResult.xml" wird an diese Nachricht angefügt.The mailbox audit log (named SearchResult.xml) will be attached to this message. Wenn Sie Outlook im Internet ordnungsgemäß konfiguriert haben, um XML-Anlagen zuzulassen, können Sie die angefügte XML-Datei herunterladen.If you've correctly configured Outlook on the web to allow XML attachments, you can download the attached XML file.

Anzeigen des PostfachüberwachungsprotokollsView the mailbox audit log

So speichern Sie die Datei "SearchResult.xml" und zeigen sie anTo save and view the SearchResult.xml file:

  1. Melden Sie sich an dem Postfach an, an das das Postfachüberwachungsprotokoll gesendet wurde.Sign in to the mailbox where the mailbox audit log was sent.

  2. Öffnen Sie im Posteingang die Nachricht mit dem von Exchange Online gesendeten XML-Dateianhang.In the Inbox, open the message with the XML file attachment sent by Exchange Online. Der Text der E-Mail enthält die Suchkriterien.Notice that the body of the email message contains the search criteria.

  3. Klicken Sie auf die Anlage, und laden Sie die XML-Datei herunter.Click the attachment and select to download the XML file.

  4. Öffnen Sie die Datei "SearchResult.xml" in Microsoft Excel.Open the SearchResult.xml in Microsoft Excel.

Weitere InformationenMore information

Einträge im postfachüberwachungsprotokollEntries in the mailbox audit log

Das folgende Beispiel zeigt einen Eintrag aus dem postfachüberwachungsprotokoll, das in der SearchResult.xml Datei enthalten ist.The following example shows an entry from the mailbox audit log contained in the SearchResult.xml file. Jedem Eintrag wird das <Event> XML-Tag vorangestellt und mit dem </Event> XML-Tag beendet.Each entry is preceded by the <Event> XML tag and ends with the </Event> XML tag. Dieser Eintrag zeigt, dass der Administrator die Nachricht mit dem Betreff "Notification of Litigation Hold" aus dem Ordner "refundable Items" in Davids Postfach am 30. April 2010 gelöscht hat.This entry shows that the admin purged the message with the subject, "Notification of litigation hold" from the Recoverable Items folder in David's mailbox on April 30, 2010.

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939"
  Owner="PPLNSL-dom\david50001-1363917750"
  LastAccessed="2010-04-30T11:01:55.140625-07:00"
  Operation="HardDelete"
  OperationResult="Succeeded"
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy"
  ClientIPAddress="10.196.241.168"
  InternalLogonType="Owner"
  MailboxOwnerUPN="david@contoso.com"
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151"
  CrossMailboxOperation="false"
  LogonUserDN="Administraor"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
<SourceItems>
<ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
   Subject="Notification of litigation hold"
   FolderPathName="\Recoverable Items\Deletions" />
</SourceItems>
</Event>

Hilfreiche Felder im PostfachüberwachungsprotokollUseful fields in the mailbox audit log

Im folgenden finden Sie eine Beschreibung der nützlichen Felder im postfachüberwachungsprotokoll.Here's a description of useful fields in the mailbox audit log. Diese Felder enthalten spezifische Informationen zu den einzelnen Instanzen von Nicht-Besitzer-Zugriffen eines Postfachs.They can help you identify specific information about each instance of non-owner access of a mailbox.

FieldField BeschreibungDescription
OwnerOwner Der Besitzer des Postfachs, auf das von einem Nicht-Besitzer zugegriffen wurde.The owner of the mailbox that was accessed by a non-owner.
LastAccessedLastAccessed Das Datum und die Uhrzeit des Postfachzugriffs.The date and time when the mailbox was accessed.
OperationOperation Die vom Nicht-Besitzer ausgeführte Aktion.The action that was performed by the non-owner. Weitere Informationen finden Sie unter "Was wird im postfachüberwachungsprotokoll protokolliert?"For more information, see the "What gets logged in the mailbox audit log?" Abschnitt in Ausführen eines nicht-Besitzer-Postfachzugriffs Berichts in Exchange Online.section in Run a non-owner mailbox access report in Exchange Online.
OperationResultOperationResult Gibt an, ob die vom Nicht-Besitzer ausgeführte Aktion erfolgreich war.Whether the action performed by the non-owner succeeded or failed.
LogonTypeLogonType Der Typ des Nicht-Besitzer-Zugriffs.The type of non-owner access. Dazu gehören admin, Delegate und External.These include admin, delegate, and external.
FolderPathNameFolderPathName Der Name des Ordners mit der Nachricht, die von der Aktion des Nicht-Besitzers betroffen war.The name of the folder that contained the message that was affected by the non-owner.
ClientInfoStringClientInfoString Informationen zum E-Mail-Client, mit dem der Nicht-Besitzer auf das Postfach zugegriffen hat.Information about the mail client used by the non-owner to access the mailbox.
ClientIPAddressClientIPAddress Die IP-Adresse des Computers, mit dem der Nicht-Besitzer auf das Postfach zugegriffen hat.The IP address of the computer used by the non-owner to access the mailbox.
InternalLogonTypeInternalLogonType Der Anmeldetyp des Kontos, mit dem der Nicht-Besitzer auf das Postfach zugegriffen hat.The logon type of the account used by the non-owner to access this mailbox.
MailboxOwnerUPNMailboxOwnerUPN Die E-Mail-Adresse des Postfachbesitzers.The email address of the mailbox owner.
LogonUserDNLogonUserDN Der Anzeigename des Nicht-Besitzers.The display name of the non-owner.
SubjectSubject Die Betreffzeile der E-Mail, die von der Aktion des Nicht-Besitzers betroffen war.The subject line of the email message that was affected by the non-owner.