Slik bruker du overvåkingslogger for postboks i Microsoft 365

Artikkel
03/18/2023
Gjelder for:

Exchange Online, Microsoft Exchange Online Dedicated

Opprinnelig KB-nummer: 4021960

Sammendrag

I Microsoft 365 kan du kjøre overvåkingslogger for postboksen for å fastslå når en postboks ble oppdatert uventet, eller om elementer mangler i en postboks. Du må kanskje gjøre dette, for eksempel hvis elementer flyttes, eller hvis de slettes uventet eller feil.

Når det gjelder vNext-miljøet, må du være oppmerksom på at overvåkingslogger for postboksen ikke er aktivert som standard og må være aktivert for en bruker før du starter et søk.

Slik kjører og kontrollerer du overvåkingslogger for postbokser

Overvåkingslogging for postboks lar brukere få informasjon om handlinger som utføres av ikke-eiere og administratorer. Overvåkingslogging for postboks er bare tilgjengelig for medlemmer av selvbetjent postboksgruppe for overvåkingsrapportering ved hjelp av Windows Remote PowerShell.

Obs!

Som standard er bare overvåkingslogging for postboks som ikke er eier aktivert, og overvåkingslogging for eierpostboks er deaktivert. Hvis du må utføre overvåkingslogging for eierpostboksen for å undersøke et bestemt problem, kan du midlertidig aktivere prosessen i en to ukers periode.
Noen organisasjoner lar deg kanskje ikke bruke overvåkingslogging for postboks, og har derfor deaktivert funksjonen.

Hvis du vil undersøke dette problemet, kan du opprette og bruke et Windows PowerShell skript ved hjelp av eksempelskriptet som er angitt i trinn 1 i denne delen, og deretter tilpasse et søk. Som standard kan du undersøke handlinger som utføres av ikke-eiere og administratorer. Dette skriptet eksporterer innhold i en forenklet kommadelt fil (.csv) for å hjelpe deg med å feilsøke rapporter om elementer som mangler, eller som ble oppdatert uventet.

Viktig

Kunder oppfordres til å bruke skriptet som leveres av Microsoft Online Services for å hjelpe til i enkelte undersøkelser. Microsoft Online Services-skript er generiske, og de skal kunne brukes i alle kundemiljøer. Hvis det oppstår feil når et skript kjøres, bør innholdet i skriptet brukes som et eksempel for å opprette et tilpasset skript for et bestemt kundemiljø. Microsoft Online Services gir skriptet som en bekvemmelighet for Microsoft 365-kunder uten garanti, uttrykt eller underforstått.

Trinn 1: Kjør skriptet

Følg disse trinnene for å kjøre skriptet:

Start Notisblokk, og kopier deretter følgende kode til filen. Koden bruker search-mailboxAuditLog kommandoen som er en del av Microsoft Exchange Server.

 param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$Mailbox,
[PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$StartDate,
[PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$EndDate,
[PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)]
[string]$Subject,
[PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
[switch]$IncludeFolderBind,
[PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
[switch]$ReturnObject)
BEGIN {
  [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult')
  }
  END {
    if ($ReturnObject)
    {return $SearchResults}
    elseif ($SearchResults.count -gt 0)
    {
    $Date = get-date -Format yyMMdd_HHmmss
    $OutFileName = "AuditLogResults$Date.csv"
    write-host
    write-host -fore green "Posting results to file: $OutfileName"
    $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8
    }
    }
    PROCESS
    {
    write-host -fore green 'Searching Mailbox Audit Logs...'
    $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000)
    write-host -fore green '$($SearchREsults.Count) Total entries Found'
    if (-not $IncludeFolderBind)
    {
    write-host -fore green 'Removing FolderBind operations.'
    $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'})
    write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
    }
    $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}},
    @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}}))
    $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp')
    If ($Subject -ne '' -and $Subject -ne $null)
    {
    write-host -fore green 'Searching for Subject: $Subject'
    $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject})
    write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
    }
    $SearchResults = @($SearchResults | select $LogParameters)
    }

Klikk Lagre som på Fil-menyen.
Klikk Alle fileri Filtype-boksen.
Skriv inn Run-MailboxAuditLogSearcher.ps1i Filnavn -boksen, og klikk deretter Lagre.
Start Windows PowerShell, og koble deretter til Windows Remote PowerShell.
Finn mappen der du lagret skriptet, og kjør deretter skriptet.
```
.\Run-MailboxAuditLogSearcher.ps1
```
Obs!
- Hvis du kjører skriptet uten parametere, blir du bedt om følgende standardparametere:
  - Postboks
  - StartDato
  - Sluttdato
- Hvis du vil søke etter oppføringer fra gjeldende dag, legger du til én dag i sluttdatoverdien i ledetekstvinduet. Hvis for eksempel gjeldende dato er 14.03.2017, og du vil inkludere gjeldende dag i søket, skriver du inn 15.03.2017 som sluttdato.

Trinn 2: Tilpasse et søk i overvåkingsloggen for postboksen

I Microsoft 365 beholdes oppføringer for overvåkingslogging i postboksen i 90 dager. Du blir bedt om å angi en startdato og sluttdato for søket. Du kan bruke flere valgfrie parametere til å tilpasse søket. Hvis du vil ha en beskrivelse av disse parameterne, kan du se delen Mer informasjon.

Hvis elementer blir funnet etter at skriptet kjøres, får du en melding som ligner på følgende:

Skjermbilde av meldingen etter kjøring av skriptet.

Denne eksempelmeldingen angir at søkeprosessen har funnet 11 oppføringer. Som standard filtreres FolderBind-oppføringene ut, og følgende operasjonstyper forblir:

Kopiere
Opprette
HardDelete
MessageBind
Flytte
MoveToDeletedItems
SendAs
SendOnBehalf
SoftDelete
Oppdatering

Obs!

FolderBind-operasjonen angir når postboksen åpnes av en ikke-eier. Dette er den vanligste operasjonen. Du trenger ikke å vise FolderBind-operasjonene når du undersøker et element som er oppdatert eller slettet.

Se gjennom utdataene til .csv-filen. De nyttigste kolonnene eksporteres, og noen av disse kolonnene slås sammen for å gjøre utdataene enklere å se gjennom. Hvis du vil ha mer informasjon om kolonnene som eksporteres, kan du se delen Mer informasjon.

Overvåkingslogging for eierpostboks

Som standard. overvåkingslogging for eier er ikke aktivert. Den bør bare brukes hvis du må undersøke en handling av eieren av postboksen. Den bør brukes i en begrenset tidsperiode, omtrent to uker. Dette er fordi oppføringene i overvåkingsloggen er lagret i postboksen, og dette kan føre til at postboksdumpsteren overskrider størrelsesgrensen.

Følg disse trinnene for å aktivere overvåkingslogging for eier:

Avgjør om overvåkingslogging for postboks er aktivert. Hvis du vil gjøre dette, kjører du følgende cmdlet:
```
Get-Mailbox <useridentity> | ft AuditEnabled
```
Hvis resultatet er Sann, hopper du over dette trinnet. Hvis resultatet er Usann, kjører du følgende cmdlet i Windows PowerShell:
```
Set-Mailbox <useridentity> -AuditEnabled $true
```

Aktiver overvåkingsloggingen for eieren. Hvis du vil gjøre dette, kjører du følgende cmdlet:

Set-Mailbox <useridentity> -AuditOwner "Create,HardDelete,Move,MoveToDeletedItems,SoftDelete,Update"

Kjør Run-MailboxAuditLogSearcher.ps1på nytt, og se gjennom dataene.
Når feilsøkingen er fullført, deaktiverer du overvåkingslogging for eieren. Hvis du vil gjøre dette, kjører du følgende cmdlet:
```
Set-Mailbox <useridentity> -AuditOwner $none
```

Mer informasjon

Valgfrie skriptparametere

Listen nedenfor beskriver valgfrie parametere som genererer ulike resultater når de brukes sammen med skriptet Run-MailboxAuditLogSearcher :

IncludeFolderBind: Når du bruker denne bryteren, filtreres ikke FolderBind-operasjonen fra utdataene. Du kan bruke FolderBind-informasjon til å undersøke tilgangsproblemet i postboksen.

Følgende cmdlet søker for eksempel i postboksen Test bruker 1 og inkluderer alle operasjoner:
```
.\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
```
Emne: Når du bruker denne bryteren, kan du angi emnet for et element for å begrense søket etter operasjoner som utføres på elementet.

Følgende cmdlet filtrerer for eksempel utdata bortsett fra elementer som har emnet angitt som «Gode nyheter»:
```
.\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
```
ReturnObject: Når du bruker denne bryteren, vises resultatet på skjermen, men det eksporteres ikke til en .csv fil.

Følgende cmdlet viser for eksempel utdataene på skjermen:
```
.\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
```

Eksporterte kolonner fra .csv-filen

De nyttigste kolonnene i .csv-filen eksporteres. Noen av disse kolonnene er slått sammen for å gjøre utdataene enklere å se gjennom. Tabellen nedenfor viser kolonnene som eksporteres.

Kolonne	Beskrivelse
Emne	Emne for element
Operasjonen	Handlinger som utføres på elementet
LogonUserDisplayName	Visningsnavn for brukeren som er logget på
LastAccessed	Tidspunktet da operasjonen ble utført
DestFolderPathName	Målmappe for flytteoperasjonen
FolderPathName	Mappebane
ClientInfoString	Detaljer om klienten som utfører operasjonen
LastAccessed	IP-adresse for klientdatamaskinen
ClientMachineName	Navnet på klientdatamaskinen
ClientProcessName	Navnet på klientprogramprosessen
ClientVersion	Versjon av klientprogrammet
LogonType	Påloggingstypen til brukeren som utfører operasjonen Notatpåloggingstyper inkluderer følgende: - Representant for ikke-eier - Administrator - Postbokseier (ikke logget som standard)
MailboxResolvedOwnerName	Løst navn på postboksbruker Obs! Løst navn er i følgende format: Domain\SamAccountName
OperationResult	Status foroperasjonsresultatene for noteoperasjoner inkluderer følgende: - Mislykket - Delvis Vellykket
CrossMailboxOperation	Informasjon om hvorvidt operasjonen som logges, er en krysspostboksoperasjon (for eksempel kopiering eller flytting av meldinger mellom postbokser)

Mer informasjon om overvåkingslogging for postboks

Cmdleten Search-MailboxAuditLog brukes i eksempelskriptet i trinn 1 til å søke i én enkelt postboks synkront. Du kan også gjøre dette ved å kjøre cmdleten i Windows Remote PowerShell.

Hvis du vil ha mer informasjon om cmdleten, kan du gå til følgende TechNet-artikkel:

Søk-PostboksAuditLog
Du kan søke i én eller flere postbokser asynkront. Hvis du vil gjøre dette, kjører du følgende cmdlet i Windows Remote PowerShell:
```
New-MailboxAuditLogSearch
```
Hvis du vil ha mer informasjon om denne cmdleten, kan du gå til følgende TechNet-artikkel:

New-MailboxAuditLogSearch

Hvis du vil ha mer informasjon om standardoppføringene for overvåkingslogg for postboks, kan du gå til delen Oppføringer i overvåkingsloggen for postboksen i følgende TechNet-artikkel:

Overvåkingslogging for postboks i Exchange 2016