Exchange Online 사서함 감사 로그 내보내기

  • 아티클
  • 읽는 데 4분 걸림

참고

클래식 Exchange 관리 센터는 전 세계 배포에서 더 이상 사용되지 않습니다. Microsoft Purview 규정 준수 포털에서 감사 로그를 검색하는 것이 좋습니다. 자세한 내용은 WW 서비스의 클래식 Exchange 관리 센터 사용 중단규정 준수 포털에서 감사 로그 검색을 참조하세요.

사서함에 대해 사서함 감사를 사용하도록 설정하면 소유자 이외의 사용자가 사서함에 액세스할 때마다 Exchange Online 사서함 감사 로그에 정보를 기록합니다. 각각의 로그 항목에는 사서함에 액세스한 사람 소유자가 아닌 사람이 수행한 작업과 작업 시기 및 작업이 성공했는지 여부에 대한 정보가 포함됩니다. 사서함 감사 로그의 항목은 기본적으로 90일 동안 유지됩니다. 사서함 감사 로그를 사용하여 소유자 이외의 사용자가 사서함에 액세스했는지 여부를 확인할 수 있습니다.

사서함 감사 로그에서 항목을 내보낼 때 Exchange Online 항목을 XML 파일에 저장하고 지정된 받는 사람에게 보낸 전자 메일 메시지에 첨부합니다.

시작하기 전에

  • 각 프로시저를 완료하는 예상 시간은 다음과 같습니다. 사서함 감사 로그는 내보낸 후 며칠 내에 전송됩니다.

  • 2019년 1월부터 모든 Exchange Online 조직에서 기본적으로 사서함 감사 로그온이 사용하도록 설정됩니다. 자세한 내용은 사서함 감사 관리를 참조하세요.

  • 웹용 Outlook(이전의 Outlook Web App)를 사용하여 내보낸 항목을 보려면 웹용 Outlook .xml 첨부 파일을 사용하도록 설정해야 합니다. 자세한 내용은 XML 첨부 파일을 허용하도록 웹용 Outlook 구성을 참조하세요.

  • EAC(Exchange 관리 센터)를 찾아서 열려면 Exchange Online Exchange 관리 센터를 참조하세요.

  • 이 절차를 수행하려면 먼저 사용 권한을 할당 받아야 합니다. 필요한 권한을 보려면 Exchange Online 항목의 기능 권한에서 "보고서 보기" 항목을 참조하세요.

  • 이 항목의 절차에 적용할 수 있는 바로 가기 키에 대한 자세한 내용은 Exchange 관리 센터의 바로 가기 키를 참조하세요.

문제가 있나요? Exchange Online 포럼에서 도움을 요청하세요.

사서함 감사 로그 내보내기

  1. EAC에서 준수 관리 > 감사 로 이동합니다.

  2. 사서함 감사 로그 내보내기 를 클릭합니다.

  3. 사서함 감사 로그에서 항목을 내보내기 위한 다음 검색 조건을 구성합니다.

    • 시작 및 종료 날짜: 내보낸 파일에 포함할 항목의 날짜 범위를 선택합니다.
    • 감사 로그를 검색할 사서함: 감사 로그 항목을 검색할 사서함을 선택합니다.
    • 비 소유자 액세스 유형: 다음 옵션 중 하나를 선택하여 항목을 검색할 비 소유자 액세스 유형을 정의합니다.
      • 모든 비소유자: 조직 내 관리자 및 위임된 사용자 및 Exchange Online Microsoft 데이터 센터 관리자가 액세스 권한을 검색합니다.
      • 외부 사용자: Microsoft 데이터 센터 관리자가 액세스를 검색합니다.
      • 관리자 및 위임된 사용자: 조직 내에서 관리자 및 위임된 사용자의 액세스를 검색합니다.
      • 관리자: 조직의 관리자가 액세스 권한을 검색합니다.
    • 받는 사람: 사서함 감사 로그를 보낼 사용자를 선택합니다.

  4. 내보내기 를 클릭합니다.

Exchange Online 검색 조건을 충족하는 사서함 감사 로그에서 항목을 검색하고 SearchResult.xml 파일에 저장한 다음 지정한 받는 사람에게 보낸 전자 메일 메시지에 XML 파일을 첨부합니다.

작동 여부는 어떻게 확인합니까?

사서함 감사 로그를 보낸 사서함에 로그인합니다. 감사 로그를 성공적으로 내보낸 경우 Exchange에서 메시지가 수신됩니다. 이 메시지를 받는 데 며칠이 걸릴 수 있습니다. 사서함 감사 로그(SearchResult.xml)가 이 메시지에 첨부됩니다. XML 첨부 파일을 허용하도록 웹용 Outlook 올바르게 구성한 경우 첨부된 XML 파일을 다운로드할 수 있습니다.

사서함 감사 로그 보기

SearchResult.xml 파일을 저장하고 보려면 다음을 수행합니다.

  1. 사서함 감사 로그를 보낸 사서함에 로그인합니다.
  2. 받은 편지함에서 Exchange Online 보낸 XML 파일 첨부 파일이 포함된 메시지를 엽니다. 전자 메일 메시지의 본문에 검색 조건이 포함되어 있습니다.
  3. 첨부 파일을 클릭하고 XML 파일을 다운로드하려면 선택합니다.
  4. Microsoft Excel SearchResult.xml 엽니다.

자세한 정보

사서함 감사 로그의 항목

다음 예제에서는 SearchResult.xml 파일에 포함된 사서함 감사 로그의 항목을 보여 줍니다. 각 항목 앞에 XML 태그가 <Event> 있고 XML 태그로 </Event> 끝납니다. 이 항목은 관리자가 2021년 4월 30일 David 사서함의 복구 가능한 항목 폴더에서 "소송 보류 알림"이라는 제목의 메시지를 제거했음을 보여줍니다.

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939"
  Owner="PPLNSL-dom\david50001-1363917750"
  LastAccessed="2021-04-30T11:01:55.140625-07:00"
  Operation="HardDelete"
  OperationResult="Succeeded"
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy"
  ClientIPAddress="10.196.241.168"
  InternalLogonType="Owner"
  MailboxOwnerUPN="david@contoso.com"
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151"
  CrossMailboxOperation="false"
  LogonUserDN="Administraor"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
<SourceItems>
<ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
   Subject="Notification of litigation hold"
   FolderPathName="\Recoverable Items\Deletions" />
</SourceItems>
</Event>

사서함 감사 로그의 유용한 필드

사서함 감사 로그의 유용한 필드에 대한 설명은 다음과 같습니다. 이러한 필드는 사서함의 비소유자 액세스 각각에 대한 특정 정보를 식별하는 데 도움이 될 수 있습니다.

필드 설명
소유자 비소유자가 액세스한 사서함의 소유자입니다.
LastAccessed 사서함에 액세스한 날짜와 시간입니다.
작업 비소유자가 수행한 작업입니다. 자세한 내용은 "사서함 감사 로그에 기록되는 항목"을 참조하세요. Exchange Online 소유자가 아닌 사서함 액세스 보고서 실행의 섹션입니다.
OperationResult 비소유자가 수행한 작업이 성공했는지 여부입니다.
LogonType 비소유자 액세스의 유형입니다. 여기에는 관리자, 대리인 및 외부가 포함되었습니다.
FolderPathName 비소유자의 영향을 받는 메시지가 포함된 폴더의 이름입니다.
ClientInfoString 비소유자가 사서함에 액세스하기 위해 사용하는 메일 클라이언트에 대한 정보입니다.
ClientIPAddress 비소유자가 사서함에 액세스하기 위해 사용하는 컴퓨터의 IP 주소입니다.
InternalLogonType 비소유자가 이 사서함에 액세스하기 위해 사용하는 계정의 로그온 유형입니다.
MailboxOwnerUPN 사서함 소유자의 전자 메일 주소입니다.
LogonUserDN 비소유자의 표시 이름입니다.
제목 비소유자의 영향을 받는 전자 메일 메시지의 제목 줄입니다.