Exporter les journaux d'audit de boîte aux lettresExport mailbox audit logs

Lorsque l'audit de boîte aux lettres est activé pour une boîte aux lettres, Microsoft Exchange entre les informations dans le journal d'audit de la boîte aux lettres chaque fois qu'un utilisateur autre que le propriétaire accède à la boîte aux lettres. Chaque entrée du journal inclut des informations sur qui a accédé à la boîte aux lettres et quand, les actions effectuées par le non-propriétaire, et si l'action a réussi. Par défaut, les entrées dans le journal d'audit de boîtes aux lettres sont conservées pendant 90 jours. Vous pouvez utiliser le journal d'audit de la boîte aux lettres pour déterminer si un utilisateur autre que le propriétaire a accédé à une boîte aux lettres.When mailbox auditing is enabled for a mailbox, Microsoft Exchange logs information in the mailbox audit log whenever a user other than the owner accesses the mailbox. Each log entry includes information about who accessed the mailbox and when, the actions performed by the non-owner, and whether the action was successful. Entries in the mailbox audit log are retained for 90 days by default. You can use the mailbox audit log to determine if a user other than the owner has accessed a mailbox.

Lorsque vous exportez des entrées des journaux d'audit de boîte aux lettres, Microsoft Exchange enregistre les entrées dans un fichier XML et l'inclut en pièce jointe dans un message électronique envoyé aux destinataires spécifiés.When you export entries from mailbox audit logs, Microsoft Exchange saves the entries in an XML file and attaches it to an email message sent to the specified recipients.

Avant de commencerBefore you begin

  • Durée d'exécution estimée de chaque procédure : Les durées sont variables. Dans Exchange Online, le journal d'audit de la boîte aux lettres est envoyé quelques jours après son exportation.Estimated time to complete each procedure: Times are variable. In Exchange Online, the mailbox audit log is sent within a few days after you export it.

  • Dans Exchange Online, vous devez utiliser la session Windows PowerShell distante pour réaliser un grand nombre des procédures décrites dans cette rubrique. Pour plus d'informations, consultez la rubrique Connect to Exchange Online Using Remote PowerShell.In Exchange Online, you have to use Remote Windows PowerShell to perform many of the procedures in this topic. For details, see Connect to Exchange Online Using Remote PowerShell.

  • Les procédures décrites dans cette rubrique requièrent des autorisations spécifiques. Consultez chaque procédure pour savoir quelles autorisations sont nécessaires.Procedures in this topic require specific permissions. See each procedure for its permissions information.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Conseil

Vous rencontrez des difficultés ? Demandez de l'aide en participant aux forums Exchange. Visitez les forums sur les pages Exchange Server,Exchange Online, et Exchange Online Protection..Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server,Exchange Online, or Exchange Online Protection..

Configurer l'enregistrement d'audit de boîte aux lettresConfigure mailbox audit logging

Vous devez activer l'enregistrement d'audit de boîte aux lettres sur chaque boîte aux lettres que vous souhaitez auditer avant de pouvoir exporter et consulter des journaux d'audit de boîte aux lettres. Vous devez aussi configurer Microsoft Outlook Web App pour autoriser les pièces jointes XML afin de pouvoir utiliser Outlook Web App pour accéder au journal d'audit.You have to enable mailbox audit logging on each mailbox that you want to audit before you can export and view mailbox audit logs. You also have to configure Microsoft Outlook Web App to allow XML attachments to use Outlook Web App to access the audit log.

Étape 1 : Activer l'enregistrement d'audit de boîte aux lettresStep 1: Enable mailbox audit logging

Vous devez activer l'enregistrement d'audit de boîte aux lettres pour chaque boîte aux lettres pour laquelle vous souhaitez exécuter un rapport d'accès aux boîtes aux lettres par un non-propriétaire. Si l'enregistrement d'audit de boîte aux lettres n'est pas activé pour une boîte aux lettres, vous n'obtiendrez pas de résultats concernant cette boîte aux lettres lorsque vous exporterez le journal d'audit de boîte aux lettres.You have to enable mailbox audit logging for each mailbox that you want to run a non-owner mailbox access report for. If mailbox audit logging isn't enabled for a mailbox, you won't get any results for that mailbox when you export the mailbox audit log.

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez l'entrée « Journalisation d'audit de boîte aux lettres » dans la rubrique Stratégie de messagerie et autorisations de conformité.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Mailbox audit logging" entry in the Messaging policy and compliance permissions topic.

Pour activer l'enregistrement d'audit de boîte aux lettres pour une boîte aux lettres unique, exécutez la commande dans l'environnement de ligne de commande Exchange Management Shell.To enable mailbox audit logging for a single mailbox, run the command in the Shell.

Set-Mailbox <Identity> -AuditEnabled $true

Pour activer l'enregistrement d'audit de boîte aux lettres pour toutes les boîtes aux lettres des utilisateurs de votre organisation, exécutez les commandes suivantes.To enable mailbox audit logging for all user mailboxes in your organization, run the following commands.

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Étape 2 : Configurer Outlook Web App pour autoriser les pièces jointes XMLStep 2: Configure Outlook Web App to allow XML attachments

Lorsque vous exportez le journal d'audit de boîte aux lettres, Microsoft Exchange joint le journal d'audit, qui est un fichier XML, à un message électronique. Toutefois, Outlook Web App bloque les pièces jointes XML par défaut. Pour accéder au journal d'audit exporté, vous devez utiliser Microsoft Outlook ou configurer Outlook Web App pour que les pièces jointes XML soient autorisées.When you export the mailbox audit log, Microsoft Exchange attaches the audit log, which is an XML file, to an email message. However, Outlook Web App blocks XML attachments by default. To access the exported audit log, you have to use Microsoft Outlook or configure Outlook Web App to allow XML attachments.

Vous devez avoir les autorisations avant de pouvoir effectuer cette procédure, ou procédures. Pour voir les autorisations requises, consultez l’entrée « Stratégies de boîte aux lettres Outlook Web App » dans la rubrique Client Access Permissions .You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Outlook Web App mailbox policies" entry in the Client Access Permissions topic.

Exécutez les procédures suivantes pour autoriser les pièces jointes XML dans Outlook Web App. Dans Exchange Server 2013, utilisez la valeur Default pour le paramètre Identity.Perform the following procedures to allow XML attachments in Outlook Web App. In Exchange Server 2013, use the value Default for the Identity parameter.

  1. Exécutez la commande suivante pour ajouter XML à la liste des types de fichiers autorisés dans Outlook Web App.Run the following command to add XML to the list of allowed file types in Outlook Web App.

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add='.xml'}
    
  2. Exécutez la commande suivante pour supprimer XML de la liste des types de fichiers bloqués dans Outlook Web App.Run the following command to remove XML from the list of blocked file types in Outlook Web App.

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove='.xml'}
    

Comment savoir si cela a fonctionné ?How do you know this worked?

Pour vérifier que vous avez bien configuré l'enregistrement d'audit de boîte aux lettres, procédez comme suit :To verify that you've successfully configured mailbox audit logging, do the following:

  1. Exécutez la commande suivante pour vérifier que l'enregistrement d'audit est configuré pour les boîtes aux lettres.Run the following command to verify that audit logging is configured for mailboxes.

    Get-Mailbox | FL Name,AuditEnabled
    

    Une valeur de True pour la propriété AuditEnabled vérifie que la journalisation d'audit est activée.A value of True for the AuditEnabled property verifies that audit logging is enabled.

  2. Exécutez la commande suivante pour vérifier que les pièces jointes XML sont autorisées dans Outlook Web App.Run the following command to verify that XML attachments are allowed in Outlook Web App.

    Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes
    

    Vérifiez que .xml est inclus dans la liste des types de fichier autorisés.Verify that .xml is included in the list of allowed file types.

  3. Exécutez la commande suivante pour vérifier que les pièces jointes XML sont supprimées de la liste de fichiers bloqués dans Outlook Web App.Run the following command to verify that XML attachments are removed from the blocked file list in Outlook Web App.

    Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypes
    

    Vérifiez que .xml n'est pas inclus dans la liste des types de fichiers bloqués.Verify that .xml isn't included in the list of blocked file types.

Exporter le journal d'audit de boîte aux lettresExport the mailbox audit log

Vous devez avoir les autorisations avant de pouvoir effectuer cette procédure, ou procédures. Pour voir les autorisations dont vous avez besoin, consultez l’entrée « enregistrement d’audit administrateur en affichage seul » dans la rubrique Shell Infrastructure Permissions .You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "View-only administrator audit logging" entry in the Shell Infrastructure Permissions topic.

  1. Dans le Centre d'administration Exchange (CAE), rendez-vous sur Gestion de la conformité > Audit.In the Exchange admin center (EAC), go to Compliance Management > Auditing.

  2. Cliquez sur Exporter les journaux d'audit de boîte aux lettres.Click Export mailbox audit logs.

  3. Configurez les critères de recherche suivants pour l'exportation des entrées du journal d'audit de boîte aux lettres :Configure the following search criteria for exporting the entries from the mailbox audit log:

    • Dates de début et de fin Sélectionnez la plage de dates pour les entrées à inclure dans le fichier exporté.Start and end dates Select the date range for the entries to include in the exported file.

    • Boîtes aux lettres à rechercher dans le journal d'audit Sélectionnez les boîtes aux lettres pour lesquelles récupérer des entrées de journal d'audit.Mailboxes to search audit log for Select the mailboxes to retrieve audit log entries for.

    • Type d'accès non-propriétaire Sélectionnez une des options suivantes pour définir le type d'accès non-propriétaire pour lequel récupérer des entrées :Type of non-owner access Select one of the following options to define the type of non-owner access to retrieve entries for:

    • Tous les non-propriétaires Recherchez les accès par les administrateurs et les utilisateurs délégués au sein de votre organisation, et par les administrateurs du centre de données Microsoft dans Exchange Online.All non-owners Search for access by administrators and delegated users inside your organization, and by Microsoft datacenter administrators in Exchange Online.

    • Utilisateurs externes Recherchez les accès par les administrateurs du centre de données Microsoft.External users Search for access by Microsoft datacenter administrators.

    • Administrateurs et utilisateurs délégués Recherchez les accès par les administrateurs et les utilisateurs délégués au sein de votre organisation.Administrators and delegated users Search for access by administrators and delegated users inside your organization.

    • Administrateurs Recherchez les accès par les administrateurs au sein de votre organisation.Administrators Search for access by administrators in your organization.

    • Destinataires Sélectionnez les utilisateurs auxquels envoyer le journal d'audit de la boîte aux lettres.Recipients Select the users to send the mailbox audit log to.

  4. Cliquez sur Exporter.Click Export.

    Microsoft Exchange récupère les entrées du journal d'audit de boîte aux lettres qui répondent à vos critères de recherche, les enregistre dans un fichier nommé SearchResult.xml, puis joint le fichier XML à un message électronique envoyé aux destinataires que vous avez indiqués.Microsoft Exchange retrieves entries in the mailbox audit log that meet your search criteria, saves them to a file named SearchResult.xml, and then attaches the XML file to an email message sent to the recipients that you specified.

Comment savoir si cela a fonctionné ?How do you know this worked?

Connectez-vous à la boîte aux lettres à laquelle le journal d'audit de la boîte aux lettres a été envoyé. Si vous avez bien exporté le journal d'audit, vous recevrez un message envoyé depuis Exchange. Dans Exchange Online, la réception de ce message peut prendre plusieurs jours. Le journal d'audit de la boîte aux lettres (nommé SearchResult.xml) sera joint à ce message. Si vous avez correctement configuré Outlook Web App afin que les pièces jointes XML soient autorisées, vous pouvez télécharger le fichier XML joint.Sign in to the mailbox where the mailbox audit log was sent. If you've successfully exported the audit log, you'll receive a message sent from Exchange. In Exchange Online, it may take a few days to receive this message. The mailbox audit log (named SearchResult.xml) will be attached to this message. If you've correctly configured Outlook Web App to allow XML attachments, you can download the attached XML file.

Consulter le journal d'audit de boîte aux lettresView the mailbox audit log

Vous devez avoir les autorisations avant de pouvoir effectuer cette procédure, ou procédures. Pour voir les autorisations dont vous avez besoin, consultez l’entrée « enregistrement d’audit administrateur en affichage seul » dans la rubrique Shell Infrastructure Permissions .You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "View-only administrator audit logging" entry in the Shell Infrastructure Permissions topic.

Pour enregistrer et afficher le fichier SearchResult.xml, procédez comme suit :To save and view the SearchResult.xml file:

  1. Connectez-vous à la boîte aux lettres à laquelle le journal d'audit de la boîte aux lettres a été envoyé.Sign in to the mailbox where the mailbox audit log was sent.

  2. Dans la boîte de réception, ouvrez le message contenant la pièce jointe de fichier XML envoyée par Microsoft Exchange. Remarquez que le corps du message électronique contient les critères de recherche.In the Inbox, open the message with the XML file attachment sent by Microsoft Exchange. Notice that the body of the email message contains the search criteria.

  3. Cliquez sur la pièce jointe et sélectionnez-la pour télécharger le fichier XML.Click the attachment and select to download the XML file.

  4. Ouvrez SearchResult.xml dans Microsoft Excel.Open the SearchResult.xml in Microsoft Excel.

Plus d'informationsMore information

  • Entrées dans le journal d'audit de la boîte aux lettres L'exemple suivant présente une entrée du journal d'audit de la boîte aux lettres contenu dans le fichier SearchResult.xml. Chaque entrée est précédée par la balise XML <Event> et se termine par la balise XML </Event>. Cette entrée indique que l'administrateur a supprimé le message avec l'objet « Notification of litigation hold » du dossier Éléments récupérables dans la boîte aux lettres de David le 30 avril 2010.Entries in the mailbox audit log The following example shows an entry from the mailbox audit log contained in the SearchResult.xml file. Each entry is preceded by the <Event> XML tag and ends with the </Event> XML tag. This entry shows that the administrator purged the message with the subject, " Notification of litigation hold" from the Recoverable Items folder in David's mailbox on April 30, 2010.

    <Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" 
      Owner="PPLNSL-dom\david50001-1363917750" 
      LastAccessed="2010-04-30T11:01:55.140625-07:00" 
      Operation="HardDelete" 
      OperationResult="Succeeded" 
      LogonType="Admin"
     FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
      FolderPathName="\Recoverable Items\Deletions"
      ClientInfoString="Client=OWA;Action=ViaProxy" 
      ClientIPAddress="10.196.241.168" 
      InternalLogonType="Owner"
      MailboxOwnerUPN="david@contoso.com"
      MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" 
      CrossMailboxOperation="false" 
      LogonUserDN="Administrator"
      LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
      <SourceItems>
       <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
        Subject="Notification of litigation hold"
        FolderPathName="\Recoverable Items\Deletions" /> 
      </SourceItems>
    </Event>
    
  • Champs utiles dans le journal d'audit de la boîte aux lettres Voici une description des champs utiles dans le journal d'audit de la boîte aux lettres. Ils peuvent vous aider à identifier les informations spécifiques à propos de chaque instance d'accès non-propriétaire à une boîte aux lettres.Useful fields in the mailbox audit log Here's a description of useful fields in the mailbox audit log. They can help you identify specific information about each instance of non-owner access of a mailbox.

ChampField DescriptionDescription
OwnerOwner
Propriétaire de la boîte aux lettres à laquelle un non-propriétaire a accédé.The owner of the mailbox that was accessed by a non-owner.
LastAccessedLastAccessed
Date et heure de l'accès à la boîte aux lettres.The date and time when the mailbox was accessed.
OperationOperation
Action effectuée par le non-propriétaire. Pour plus d'informations, consultez la section « Éléments enregistrés dans le journal d'audit de la boîte aux lettres » de la rubrique Run a Non-Owner Mailbox Access Report. The action that was performed by the non-owner. For more information, see the "What gets logged in the mailbox audit log?" section in Run a Non-Owner Mailbox Access Report.
OperationResultOperationResult
Si l'action effectuée par le non-propriétaire a réussi ou échoué.Whether the action performed by the non-owner succeeded or failed.
Type d’accèsLogonType
Type d'accès non-propriétaire. Ceux-ci incluent administrateur, délégué et externe.The type of non-owner access. These include administrator, delegate, and external.
FolderPathNameFolderPathName
Nom du dossier qui a contenu le message qui a été affecté par le non-propriétaire.The name of the folder that contained the message that was affected by the non-owner.
ClientInfoStringClientInfoString
Informations sur le client de messagerie utilisé par le non-propriétaire pour accéder à la boîte aux lettres.Information about the mail client used by the non-owner to access the mailbox.
ClientIPAddressClientIPAddress
Adresse IP de l'ordinateur utilisée par le non-propriétaire pour accéder à la boîte aux lettres.The IP address of the computer used by the non-owner to access the mailbox.
InternalLogonTypeInternalLogonType
Type d'ouverture de session du compte utilisé par le non-propriétaire pour accéder à cette boîte aux lettres.The logon type of the account used by the non-owner to access this mailbox.
MailboxOwnerUPNMailboxOwnerUPN
Adresse de messagerie du propriétaire de boîte aux lettres.The email address of the mailbox owner.
LogonUserDNLogonUserDN
Nom d'affichage du non-propriétaire.The display name of the non-owner.
SubjectSubject
Ligne d'objet du message électronique qui a été affecté par le non-propriétaire.The subject line of the email message that was affected by the non-owner.
[When mailbox auditing is enabled for a mailbox, Microsoft Exchange logs information in the mailbox audit log whenever a user other than the owner accesses the mailbox. Each log entry includes information about who accessed the mailbox and when, the actions performed by the non-owner, and whether the action was successful. Entries in the mailbox audit log are retained for 90 days by default. You can use the mailbox audit log to determine if a user other than the owner has accessed a mailbox.When you export entries from mailbox audit logs, Microsoft Exchange saves the entries in an XML file and attaches it to an email message sent to the specified recipients.](#Introduction.md)