Slik bruker du overvåkingslogger for postboks i Microsoft 365
Opprinnelig KB-nummer: 4021960
Sammendrag
I Microsoft 365 kan du kjøre overvåkingslogger for postboksen for å fastslå når en postboks ble oppdatert uventet, eller om elementer mangler i en postboks. Du må kanskje gjøre dette, for eksempel hvis elementer flyttes, eller hvis de slettes uventet eller feil.
Når det gjelder vNext-miljøet, må du være oppmerksom på at overvåkingslogger for postboksen ikke er aktivert som standard og må være aktivert for en bruker før du starter et søk.
Slik kjører og kontrollerer du overvåkingslogger for postbokser
Overvåkingslogging for postboks lar brukere få informasjon om handlinger som utføres av ikke-eiere og administratorer. Overvåkingslogging for postboks er bare tilgjengelig for medlemmer av selvbetjent postboksgruppe for overvåkingsrapportering ved hjelp av Windows Remote PowerShell.
Obs!
- Som standard er bare overvåkingslogging for postboks som ikke er eier aktivert, og overvåkingslogging for eierpostboks er deaktivert. Hvis du må utføre overvåkingslogging for eierpostboksen for å undersøke et bestemt problem, kan du midlertidig aktivere prosessen i en to ukers periode.
- Noen organisasjoner lar deg kanskje ikke bruke overvåkingslogging for postboks, og har derfor deaktivert funksjonen.
Hvis du vil undersøke dette problemet, kan du opprette og bruke et Windows PowerShell skript ved hjelp av eksempelskriptet som er angitt i trinn 1 i denne delen, og deretter tilpasse et søk. Som standard kan du undersøke handlinger som utføres av ikke-eiere og administratorer. Dette skriptet eksporterer innhold i en forenklet kommadelt fil (.csv) for å hjelpe deg med å feilsøke rapporter om elementer som mangler, eller som ble oppdatert uventet.
Viktig
Kunder oppfordres til å bruke skriptet som leveres av Microsoft Online Services for å hjelpe til i enkelte undersøkelser. Microsoft Online Services-skript er generiske, og de skal kunne brukes i alle kundemiljøer. Hvis det oppstår feil når et skript kjøres, bør innholdet i skriptet brukes som et eksempel for å opprette et tilpasset skript for et bestemt kundemiljø. Microsoft Online Services gir skriptet som en bekvemmelighet for Microsoft 365-kunder uten garanti, uttrykt eller underforstått.
Trinn 1: Kjør skriptet
Følg disse trinnene for å kjøre skriptet:
Start Notisblokk, og kopier deretter følgende kode til filen. Koden bruker
search-mailboxAuditLog
kommandoen som er en del av Microsoft Exchange Server.param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult') } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green 'Searching Mailbox Audit Logs...' $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green '$($SearchREsults.Count) Total entries Found' if (-not $IncludeFolderBind) { write-host -fore green 'Removing FolderBind operations.' $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'}) write-host -fore green 'Filtered to $($SearchREsults.Count) Entries' } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}}, @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}})) $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp') If ($Subject -ne '' -and $Subject -ne $null) { write-host -fore green 'Searching for Subject: $Subject' $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green 'Filtered to $($SearchREsults.Count) Entries' } $SearchResults = @($SearchResults | select $LogParameters) }
Klikk Lagre som på Fil-menyen.
Klikk Alle fileri Filtype-boksen.
Skriv inn Run-MailboxAuditLogSearcher.ps1i Filnavn -boksen, og klikk deretter Lagre.
Start Windows PowerShell, og koble deretter til Windows Remote PowerShell.
Finn mappen der du lagret skriptet, og kjør deretter skriptet.
.\Run-MailboxAuditLogSearcher.ps1
Obs!
- Hvis du kjører skriptet uten parametere, blir du bedt om følgende standardparametere:
- Postboks
- StartDato
- Sluttdato
- Hvis du vil søke etter oppføringer fra gjeldende dag, legger du til én dag i sluttdatoverdien i ledetekstvinduet. Hvis for eksempel gjeldende dato er 14.03.2017, og du vil inkludere gjeldende dag i søket, skriver du inn 15.03.2017 som sluttdato.
- Hvis du kjører skriptet uten parametere, blir du bedt om følgende standardparametere:
Trinn 2: Tilpasse et søk i overvåkingsloggen for postboksen
I Microsoft 365 beholdes oppføringer for overvåkingslogging i postboksen i 90 dager. Du blir bedt om å angi en startdato og sluttdato for søket. Du kan bruke flere valgfrie parametere til å tilpasse søket. Hvis du vil ha en beskrivelse av disse parameterne, kan du se delen Mer informasjon.
Hvis elementer blir funnet etter at skriptet kjøres, får du en melding som ligner på følgende:
Denne eksempelmeldingen angir at søkeprosessen har funnet 11 oppføringer. Som standard filtreres FolderBind-oppføringene ut, og følgende operasjonstyper forblir:
- Kopiere
- Opprette
- HardDelete
- MessageBind
- Flytte
- MoveToDeletedItems
- SendAs
- SendOnBehalf
- SoftDelete
- Oppdatering
Obs!
FolderBind-operasjonen angir når postboksen åpnes av en ikke-eier. Dette er den vanligste operasjonen. Du trenger ikke å vise FolderBind-operasjonene når du undersøker et element som er oppdatert eller slettet.
Se gjennom utdataene til .csv-filen. De nyttigste kolonnene eksporteres, og noen av disse kolonnene slås sammen for å gjøre utdataene enklere å se gjennom. Hvis du vil ha mer informasjon om kolonnene som eksporteres, kan du se delen Mer informasjon.
Overvåkingslogging for eierpostboks
Som standard. overvåkingslogging for eier er ikke aktivert. Den bør bare brukes hvis du må undersøke en handling av eieren av postboksen. Den bør brukes i en begrenset tidsperiode, omtrent to uker. Dette er fordi oppføringene i overvåkingsloggen er lagret i postboksen, og dette kan føre til at postboksdumpsteren overskrider størrelsesgrensen.
Følg disse trinnene for å aktivere overvåkingslogging for eier:
Avgjør om overvåkingslogging for postboks er aktivert. Hvis du vil gjøre dette, kjører du følgende cmdlet:
Get-Mailbox <useridentity> | ft AuditEnabled
Hvis resultatet er Sann, hopper du over dette trinnet. Hvis resultatet er Usann, kjører du følgende cmdlet i Windows PowerShell:
Set-Mailbox <useridentity> -AuditEnabled $true
Aktiver overvåkingsloggingen for eieren. Hvis du vil gjøre dette, kjører du følgende cmdlet:
Set-Mailbox <useridentity> -AuditOwner "Create,HardDelete,Move,MoveToDeletedItems,SoftDelete,Update"
Kjør Run-MailboxAuditLogSearcher.ps1på nytt, og se gjennom dataene.
Når feilsøkingen er fullført, deaktiverer du overvåkingslogging for eieren. Hvis du vil gjøre dette, kjører du følgende cmdlet:
Set-Mailbox <useridentity> -AuditOwner $none
Mer informasjon
Valgfrie skriptparametere
Listen nedenfor beskriver valgfrie parametere som genererer ulike resultater når de brukes sammen med skriptet Run-MailboxAuditLogSearcher
:
IncludeFolderBind: Når du bruker denne bryteren, filtreres ikke FolderBind-operasjonen fra utdataene. Du kan bruke FolderBind-informasjon til å undersøke tilgangsproblemet i postboksen.
Følgende cmdlet søker for eksempel i postboksen Test bruker 1 og inkluderer alle operasjoner:
.\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"
Emne: Når du bruker denne bryteren, kan du angi emnet for et element for å begrense søket etter operasjoner som utføres på elementet.
Følgende cmdlet filtrerer for eksempel utdata bortsett fra elementer som har emnet angitt som «Gode nyheter»:
.\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"
ReturnObject: Når du bruker denne bryteren, vises resultatet på skjermen, men det eksporteres ikke til en .csv fil.
Følgende cmdlet viser for eksempel utdataene på skjermen:
.\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"
Eksporterte kolonner fra .csv-filen
De nyttigste kolonnene i .csv-filen eksporteres. Noen av disse kolonnene er slått sammen for å gjøre utdataene enklere å se gjennom. Tabellen nedenfor viser kolonnene som eksporteres.
Kolonne | Beskrivelse |
---|---|
Emne | Emne for element |
Operasjonen | Handlinger som utføres på elementet |
LogonUserDisplayName | Visningsnavn for brukeren som er logget på |
LastAccessed | Tidspunktet da operasjonen ble utført |
DestFolderPathName | Målmappe for flytteoperasjonen |
FolderPathName | Mappebane |
ClientInfoString | Detaljer om klienten som utfører operasjonen |
LastAccessed | IP-adresse for klientdatamaskinen |
ClientMachineName | Navnet på klientdatamaskinen |
ClientProcessName | Navnet på klientprogramprosessen |
ClientVersion | Versjon av klientprogrammet |
LogonType | Påloggingstypen til brukeren som utfører operasjonen Notatpåloggingstyper inkluderer følgende: - Representant for ikke-eier - Administrator - Postbokseier (ikke logget som standard) |
MailboxResolvedOwnerName | Løst navn på postboksbrukerObs! Løst navn er i følgende format:Domain\SamAccountName |
OperationResult | Status foroperasjonsresultatene for noteoperasjoner inkluderer følgende: - Mislykket - Delvis Vellykket |
CrossMailboxOperation | Informasjon om hvorvidt operasjonen som logges, er en krysspostboksoperasjon (for eksempel kopiering eller flytting av meldinger mellom postbokser) |
Mer informasjon om overvåkingslogging for postboks
Cmdleten Search-MailboxAuditLog brukes i eksempelskriptet i trinn 1 til å søke i én enkelt postboks synkront. Du kan også gjøre dette ved å kjøre cmdleten i Windows Remote PowerShell.
Hvis du vil ha mer informasjon om cmdleten, kan du gå til følgende TechNet-artikkel:
Du kan søke i én eller flere postbokser asynkront. Hvis du vil gjøre dette, kjører du følgende cmdlet i Windows Remote PowerShell:
New-MailboxAuditLogSearch
Hvis du vil ha mer informasjon om denne cmdleten, kan du gå til følgende TechNet-artikkel:
Hvis du vil ha mer informasjon om standardoppføringene for overvåkingslogg for postboks, kan du gå til delen Oppføringer i overvåkingsloggen for postboksen i følgende TechNet-artikkel:
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for