Slik bruker du Logg for post boks overvåking i Office 365

Obs!

Office 365 ProPlus får nytt navn og heter nå Microsoft 365-apper for enterprise. Hvis du vil ha mer informasjon om denne endringen, kan du lese dette blogginnlegget.

Opprinnelig KB-nummer:   4021960

Sammendrag

I Microsoft Office 365 kan du kjøre post boks overvåkings logger for å avgjøre når en post boks ble oppdatert uventet eller om det mangler elementer fra en post boks. Det kan hende du må gjøre dette hvis for eksempel elementer flyttes eller hvis de slettes uventet eller feil.

For vNext-miljøet bør du være oppmerksom på at overvåkings logger for post boks ikke er aktivert som standard, og må være aktivert for en bruker før du starter et søk.

Slik kjører og kontrollerer du Logg for post boks overvåking

Logging av post boks overvåking lar brukere hente informasjon om handlinger som utføres av ikke-eiere og administratorer. Logg for post boks overvåking er tilgjengelig for medlemmer av selv betjent gruppen for overvåking av rapport post boks bare ved hjelp av Windows Remote PowerShell.

Obs!

  • Som standard er bare Logg førings logging for ikke-eiere aktivert, og logging av Logg post boksen i eieren er deaktivert. Hvis du må utføre overvåkings logging for eier post boks for å undersøke et bestemt problem, kan du midlertidig aktivere prosessen for en periode på to uker.
  • Det kan hende at enkelte organisasjoner ikke lar deg bruke logging av post boks overvåking, og har derfor slått av funksjonen.

Hvis du vil undersøke dette problemet, oppretter og bruker du et Windows PowerShell-skript ved hjelp av eksempel skriptet som er oppgitt i trinn 1 i denne delen, og deretter tilpasser du et søk. Som standard kan du undersøke handlinger som utføres av ikke-eiere og administratorer. Dette skriptet eksporterer innhold i en forenklet CSV-fil (kommadelte verdier) for å hjelpe deg med å feilsøke rapporter om elementer som mangler eller som ble oppdatert uventet.

Viktig!

Kunder oppfordres til å bruke skriptet som leveres av Microsoft Online Services, til å hjelpe visse undersøkelser. Microsoft Online Services-skript er generiske, og de bør være brukbare i alle kunde miljøer. Hvis det oppstår feil når et skript kjøres, bør innholdet i skriptet brukes som et eksempel for å opprette et egen definert skript for et bestemt kunde miljø. Microsoft Online Services har skriptet som en praktisk tjeneste for Office 365-kunder uten garanti, uttrykt eller indirekte.

Trinn 1: Kjør skriptet

Følg denne Fremgangs måten for å kjøre skriptet:

  1. Start notis blokk, og kopier deretter følgende kode til filen. Koden bruker search-mailboxAuditLog kommandoen som er en del av Microsoft Exchange Server.

     param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
    [string]$Mailbox,
    [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
    [string]$StartDate,
    [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
    [string]$EndDate,
    [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)]
    [string]$Subject,
    [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
    [switch]$IncludeFolderBind,
    [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
    [switch]$ReturnObject)
    BEGIN {
      [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult')
      }
      END {
        if ($ReturnObject)
        {return $SearchResults}
        elseif ($SearchResults.count -gt 0)
        {
        $Date = get-date -Format yyMMdd_HHmmss
        $OutFileName = "AuditLogResults$Date.csv"
        write-host
        write-host -fore green "Posting results to file: $OutfileName"
        $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8
        }
        }
        PROCESS
        {
        write-host -fore green 'Searching Mailbox Audit Logs...'
        $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000)
        write-host -fore green '$($SearchREsults.Count) Total entries Found'
        if (-not $IncludeFolderBind)
        {
        write-host -fore green 'Removing FolderBind operations.'
        $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'})
        write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
        }
        $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}},
        @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}}))
        $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp')
        If ($Subject -ne '' -and $Subject -ne $null)
        {
        write-host -fore green 'Searching for Subject: $Subject'
        $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject})
        write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
        }
        $SearchResults = @($SearchResults | select $LogParameters)
        }
    
  2. Klikk Lagre somfil -menyen.

  3. Klikk alle filer i Filtype-boksen.

  4. Skriv inn Run-MailboxAuditLogSearcher.ps1i filnavn -boksen, og klikk deretter Lagre.

  5. Start Windows PowerShell, og koble deretter til Windows Remote PowerShell.

  6. Finn katalogen der du lagret skriptet, og Kjør skriptet.

    .\Run-MailboxAuditLogSearcher.ps1
    

    Obs!

    • Hvis du kjører skriptet uten parametere, blir du bedt om å oppgi følgende standard parametere:
      • Postboks
      • /SD
      • EndDate
    • Hvis du vil søke etter oppføringer fra gjeldende dag, kan du legge til én dag i slutt dato verdien i lede tekst vinduet. Hvis for eksempel gjeldende dato er 3/14/2017, og du vil inkludere gjeldende dag i søket, skriver du inn 4/15/2017   som slutt dato.

I Office 365 beholdes Logg oppføringer i post boks logging i post boksen for 90 dager. Du blir bedt om å angi en start dato og slutt dato for søket. Du kan bruke flere valg frie parametere til å tilpasse søket. Hvis du vil ha en beskrivelse av disse parameterne, kan du se delen mer informasjon.

Hvis det blir funnet elementer etter at skriptet er kjørt, får du en melding som ligner på følgende:

Et skjerm bilde av meldingen etter at skriptet er kjørt

Dette eksempel meldingen angir at det finnes 11 oppføringer i søke prosessen. Som standard blir FolderBind -oppføringene filtrert ut, og følgende operasjons typer forblir:

  • Serverkopi
  • Lage
  • HardDelete
  • MessageBind
  • Fjerne
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Oppdatering

Obs!

FolderBind -operasjonen angir hvor ofte post boksen åpnes av en ikke-eier. Dette er den vanligste operasjonen. Du trenger ikke vise FolderBind-operasjonene når du undersøker et element som er oppdatert eller slettet.

Se gjennom utdataene for CSV-filen. De mest nyttige Kol onnene eksporteres, og noen av disse Kol onnene er slått sammen for å gjøre det enklere å se gjennom. Hvis du vil ha mer informasjon om Kol onnene som eksporteres, kan du se delen mer informasjon.

Logg logging i eier post boks

Som standard. Overvåkings logging for eier er ikke aktivert. Den skal bare brukes hvis du må undersøke en handling ved eieren av post boksen. Den bør brukes for en begrenset tids periode, cirka to uker. Dette er fordi overvåkings Logg oppføringene er lagret i post boksen, og dette kan føre til at post boks dumpster overskrider størrelses grensen.

Følg disse trinnene for å aktivere logging av eier overvåking:

  1. Fastslå om logging av overvåking av post boks er aktivert. Hvis du vil gjøre dette, kjører du følgende cmdlet:

    Get-Mailbox <useridentity> | ft AuditEnabled
    
  2. Hvis resultatet er sant, hopper du over dette trinnet. Hvis resultatet er Usann, kjører du følgende cmdlet i Windows PowerShell:

    Set-Mailbox <useridentity> -AuditEnabled $true
    
  3. Aktiver logging av eier overvåking. Hvis du vil gjøre dette, kjører du følgende cmdlet:

    Set-Mailbox <useridentity> -AuditOwner "Create,HardDelete,Move,MoveToDeletedItems,SoftDelete,Update"
    
  4. Kjør Run-MailboxAuditLogSearcher.ps1på nytt, og se gjennom dataene.

  5. Når feil søkingen er fullført, deaktiverer du logging av eier overvåking.Hvis du vil gjøre dette, kjører du følgende cmdlet:

    Set-Mailbox <useridentity> -AuditOwner $none
    

Mer informasjon

Valg frie skript parametere

Listen nedenfor beskriver valg frie parametere som genererer forskjellige resultater når de brukes sammen med Run-MailboxAuditLogSearcher skriptet:

  • IncludeFolderBind: Når du bruker denne bryteren, filtreres ikke FolderBind-operasjonen fra utdataene. Du kan bruke FolderBind-informasjon til å undersøke post boks tilgangs problemet.

    For eksempel vil følgende cmdlet søke i post boksen test bruker 1 og inkludere alle operasjoner:

    .\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
    
  • Emne: Når du bruker denne bryteren, kan du angi emnet for et element for å begrense søket etter operasjoner som utføres på elementet.

    Følgende cmdlet filtrerer for eksempel ut alle utdata unntatt elementer som har emnet angitt som «gode nyheter»:

    .\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
    
  • ReturnObject: Når du bruker denne bryteren, vises resultatet på skjermen, men den eksporteres ikke til en. CSV-fil.

    Følgende cmdlet viser for eksempel utdata på skjermen:

    .\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot
    

Eksporterte kolonner fra. CSV-filen

De mest nyttige Kol onnene i CSV-filen eksporteres. Noen av disse Kol onnene er slått sammen for å gjøre det enklere å se gjennom. Tabellen nedenfor viser Kol onnene som eksporteres.

Kolonne Beskrivelse
Alternativt Emne for element
Mislyktes Handlinger som utføres på element
LogonUserDisplayName Visnings navn for brukeren som er logget o
LastAccessed Tidspunktet da operasjonen ble utført
DestFolderPathName Mål mappen for flytte operasjonen
FolderPathName Bane til mappe
ClientInfoString Detaljer om klienten som utfører operasjonen
LastAccessed IP-adresse for klient data maskinen
ClientMachineName Navnet på klient data maskinen
ClientProcessName Navnet på klient program prosessen
ClientVersion Versjon av klient programmet
LogonType Påloggings type for brukeren som utfører operasjonen
Obs! Påloggings typer omfatter følgende:
-Representant for ikke-eier
– Administrator
– Post boks eier (ikke logget som standard)
MailboxResolvedOwnerName Løst navn på post boks bruker
Obs! Løst navn er i følgende format:
Domain\SamAccountName
OperationResult Status for operasjonen
Obs! Resultatene av operasjonen omfatter følgende:
-Mislykket
- PartiallySucceeded
-Vellykket
CrossMailboxOperation Informasjon om hvorvidt operasjonen som er logget, er en kryss post boks operasjon (for eksempel kopiering eller flytting av meldinger mellom post bokser)

Mer informasjon om logging av post boks overvåking

  • Search-MailboxAuditLog-   cmdleten brukes i eksempel-skriptet i trinn 1 for å søke i en enkel post boks synkront. Du kan også gjøre dette ved å kjøre cmdleten i Windows Remote PowerShell.

    Hvis du vil ha mer informasjon om cmdleten, kan du gå til følgende TechNet-artikkel:

    Søk – MailboxAuditLog

  • Du kan søke i én eller flere post bokser asynkront. Hvis du vil gjøre dette, kjører du følgende cmdlet i Windows Remote PowerShell:

    New-MailboxAuditLogSearch
    

    Hvis du vil ha mer informasjon om denne cmdleten, kan du gå til følgende TechNet-artikkel:

    New-MailboxAuditLogSearch

    Hvis du vil ha mer informasjon om standard post boks Logg oppføringer, kan du gå til delen overvåke Logg oppføringer for post boks i følgende TechNet-artikkel:

    Logg for post boks overvåking i Exchange 2016