Аудит отчетов в центре администрирования Exchange в Exchange OnlineAuditing reports in the Exchange admin center in Exchange Online

Используйте журнал аудита для устранения проблем с конфигурацией, отслеживая определенные изменения, внесенные администраторами, и помогая вам соответствовать требованиям законодательства, соответствия требованиям и судебным разбирательствам.Use audit logging to troubleshoot configuration issues by tracking specific changes made by admins and to help you meet regulatory, compliance, and litigation requirements. В Exchange Online доступно два способа ведения журнала аудита:Exchange Online provides two types of audit logging:

  • Журнал аудита администратора записи любых действий, основанных на exchange Online PowerShell, выполняемый администратором. Это поможет устранить проблемы с конфигурацией или определить причину проблем, связанных с безопасностью или соответствия требованиям.Administrator audit logging records any action, based on an Exchange Online PowerShell cmdlet, performed by an admin. This can help you troubleshoot configuration issues or identify the cause of security-related or compliance-related problems. Также записывают действия, выполняемые администраторами центра обработки данных Майкрософт и делегированием администраторов.Actions performed by Microsoft datacenter administrators and delegated admins, are also recorded.

  • Записи журналов аудита почтовых ящиков при доступе к почтовому ящику администратором, делегированным пользователем или владельцем почтового ящика.Mailbox audit logging records when a mailbox is accessed by an admin, a delegated user, or the person who owns the mailbox. Таким образом, можно определить, кто обращался к почтовому ящику, и какие действия были произведены.This can help you determine who has accessed a mailbox and what they've done.

Экспорт журналов аудитаExport audit logs

На странице Управление соответствием требованиям > Аудит в Центре администрирования Exchange (EAC) можно выполнить поиск и экспорт записей из журнала аудита администратора и журнала аудита почтовых ящиков.On the Compliance Management > Auditing page in the Exchange admin center (EAC), you can search for and export entries from the administrator audit log and the mailbox audit log.

  • Экспорт журнала аудита администратора. Любое действие, выполненное администратором на основе команды Exchange Online PowerShell, которая не начинается с глаголов Get, Search или Test, в журнале аудита администратора.Export the administrator audit log: Any action performed by an admin that's based on an Exchange Online PowerShell cmdlet that doesn't begin with the verbs Get, Search, or Test is logged in the administrator audit log. В записях журнала аудита указывается запущенный командлет, его параметры и их значения, а также успешность выполнения.Audit log entries include the cmdlet that was run, the parameter and values used with the cmdlet, and when the operation was successful. Записи в журнале аудита администратора можно искать и экспортировать.You can search for and export entries from the administrator audit log. При экспорте результатов поиска Exchange Online сохраняет их в XML-файле и присоединяет к сообщению электронной почты.When you export your search results, Exchange Online saves them in an XML file and attaches it to an email message. Дополнительные сведения см. в указанных ниже статьях.For more information, see:

  • Экспорт журналов аудита почтовых ящиков. Когда журнал аудита почтовых ящиков включен для почтового ящика, Exchange Online сохраняет запись действий, выполняемых на данных почтовых ящиков не владельцами в журнале аудита почтовых ящиков, который хранится в скрытой папке в проверяемом почтовом ящике.Export mailbox audit logs: When mailbox audit logging is enabled for a mailbox, Exchange Online stores a record of actions performed on mailbox data by non-owners in the mailbox audit log, which is stored in a hidden folder in the mailbox being audited. Журнал аудита почтовых ящиков также можно настроить для ведения журнала действий владельца.Mailbox audit logging can also be configure to log owner actions. Записи в этом журнале указывают, кто и когда получил доступ к почтовому ящику, какие действия были выполнены, и было ли действие успешным.Entries in this log indicate who accessed the mailbox and when, the actions performed, and whether the action was successful. При поиске записей в журнале аудита почтовых ящиков и их экспорте Exchange Online сохраняет результаты поиска в XML-файле и присоединяет его к сообщению электронной почты.When you search for entries in the mailbox audit log and export them, Exchange Online saves the search results in an XML file and attaches it to an email message. Дополнительные сведения см. в журнале аудита почтовых ящиков Export.For more information, see Export mailbox audit logs.

Запуск отчетов аудитаRun auditing reports

При запуске следующих отчетов на странице Аудит в Центре администрирования Exchange результаты отображаются в области сведений отчета.When you run any of the following reports on the Auditing page in the EAC, the results are displayed in the details pane of the report.

  • Запустите отчет о доступе к почтовым ящикам, не относящиеся к владельцу. Используйте этот отчет, чтобы найти почтовые ящики, к которым был доступ кто-то другой, кроме владельца почтового ящика.Run a non-owner mailbox access report: Use this report to find mailboxes that have been accessed by someone other than the person who owns the mailbox. Дополнительные сведения см. в отчете о доступек почтовым ящикам не владельца.For more information, see Run a non-owner mailbox access report.

  • Запуск отчета группы ролей администратора. Используйте этот отчет для поиска изменений, внесенных в группы ролей администратора.Run an administrator role group report: Use this report to search for changes made to administrator role groups. Подробнее см. в разделе Search the role group changes or administrator audit logs.For more information, see Search the role group changes or administrator audit logs.

  • Запустите отчет об обнаружении и удержании на месте. Используйте этот отчет, чтобы найти почтовые ящики, которые были наложены или удалены из In-Place Hold.Run an in-place discovery and hold report: Use this report to find mailboxes that have been put on, or removed from, In-Place Hold. Дополнительные сведения:For more information, see:

  • Запустите отчет о удержании судебного разбирательства каждого почтового ящика. Используйте этот отчет, чтобы найти почтовые ящики, которые были наложены или удалены из судебного удержания.Run a per-mailbox litigation hold report: Use this report to find mailboxes that were put on, or removed from, litigation hold. Дополнительные сведения см. в сообщении Run a per-mailbox litigation hold report.For more information, see Run a per-mailbox litigation hold report.

  • Запустите отчет журнала аудита администратора. Используйте этот отчет для просмотра записей из журнала аудита администратора.Run the admin audit log report: Use this report to view entries from the administrator audit log. Вместо того чтобы экспортировать журнал аудита действий администратора, на получение сообщения электронной почты с которым может уйти до 24 часов, вы можете запустить этот отчет в Центре администрирования Exchange.Instead of exporting the administrator audit log, which can take up to 24 hours to receive in an email message, you can run this report in the EAC. В этом отчете записывают изменения конфигурации, внесенные администраторами в организации.This report records configuration changes made by admins in your organization. На нескольких страницах отображается до 5000 записей.Up to 5000 entries will be displayed on multiple pages. Чтобы сузить поиск, можно указать диапазон дат.To narrow the search, you can specify a date range. Дополнительные сведения:For more information, see:

  • Запуск отчета журнала аудита внешнего администратора. Действия, выполняемые администраторами центра обработки данных Майкрософт или делегированными администраторами, регистрируются в журнале аудита администраторов.Run the external admin audit log report: Actions performed by Microsoft datacenter administrators or delegated admins are logged in the administrator audit log. Отчет журнала аудита действий внешнего администратора используется для поиска и просмотра действий с конфигурацией организации Exchange Online, которые выполняют администраторы, не входящие в вашу организацию.Use the external admin audit log report to search for and view the actions that administrators outside your organization performed on the configuration of your Exchange Online organization. Дополнительные сведения см. в обзоре и экспорте журнала аудита внешнего администрирования.For more information, see View and export the external admin audit log.

Настройка ведения журнала аудитаConfigure audit logging

С января 2019 г. для всех организаций Exchange Online включена проверка почтовых ящиков, включенная по умолчанию.As of January 2019, mailbox audit logging on by default is enabled for all Exchange Online organizations. Дополнительные сведения см. в статье Управление аудитом почтовых ящиков.For more information, see Manage mailbox auditing.

Предоставление пользователям доступ к отчетам аудитаGive users access to Auditing reports

По умолчанию администраторы могут получать доступ к любым отчетам на странице Аудит в EAC.By default, admins can access and run any of the reports on the Auditing page in the EAC. При этом другим пользователям, например юристам или делопроизводителям, также можно назначить нужные разрешения.However, other users, such as a records manager or legal staff, have to be assigned the necessary permissions.

Самым простым способом предоставить пользователям доступ является добавление в группу ролей "Управление записями".The easiest way to give users access is to add them to the Records Management role group. Вы также можете использовать Exchange Online PowerShell, чтобы предоставить пользователю доступ к странице аудита в EAC, назначив пользователю роль журналов аудита.You can also use Exchange Online PowerShell to give a user access to the Auditing page in the EAC by assigning the Audit Logs role to the user.

Добавление пользователя в группу ролей "Управление записями"Add a user to the Records Management role group

  1. Перейдите к разделу Разрешения > Роли администраторов.Go to Permissions > Admin Roles.

  2. В списке групп ролей нажмите кнопку Управление записями и нажмите кнопку Изменить значок Изменить  .In the list of role groups, click Records Management, and then click Edit Edit icon.

  3. В статье Участники нажмите кнопку Добавить значок  Добавить .Under Members, click Add Add Icon.

  4. Укажите пользователя в диалоговом окне Выбрать членов группы.In the Select Members dialog box, select the user. Вы можете найти пользователя, введя все или часть отображаемого имени, а затем нажав значок  Поиска.You can search for a user by typing all or part of a display name, and then clicking Search Search icon. Можно также отсортировать список, щелкнув заголовок столбца Имя или Отображаемое имя.You can also sort the list by clicking the Name or Display Name column headings.

  5. Нажмите кнопку  Добавить значок добавить, а затем нажмите кнопку ОК, чтобы вернуться на страницу группы ролей.Click Add Add Icon and then click OK to return to the role group page.

  6. Нажмите кнопку Сохранить, чтобы сохранить изменения в группе ролей.Click Save to save the change to the role group.

В области сведений пользователь будет указан в разделе Члены и сможет получить доступ к странице аудита в EAC, запустить отчеты аудита и экспортировать журналы аудита.In the details pane, the user is listed under Members and can access the Auditing page in the EAC, run auditing reports, and export audit logs.

Назначение пользователю роли "Журналы аудита"Assign the Audit Logs role to a user

Чтобы назначить роль "Журналы аудита" пользователю, выполните следующую команду.Run the following command to assign the Audit Logs role to a user.

New-ManagementRoleAssignment -Role "Audit Logs" -User <Identity>

Это позволяет пользователю выбрать Управление соответствием требованиям > Аудит в EAC для запуска любых отчетов. Пользователь также может экспортировать журнал аудита почтовых ящиков и просматривать журнал аудита администратора.This enables the user to select Compliance Management > Auditing in the EAC to run any of the reports. The user can also export the mailbox audit log, and export and view the administrator audit log.

Примечание

Чтобы позволить пользователю запускать отчеты аудита, но не разрешать экспортировать журналы аудита, используйте предыдущую команду для назначения роли только для просмотра журналов аудита.To allow a user to run auditing reports but not to export audit logs, use the preceding command to assign the View-Only Audit Logs role.

Настройка Outlook в Интернете, чтобы разрешить XML-вложенияConfigure Outlook on the web to allow XML attachments

При экспорте журнала аудита почтовых ящиков или журнала аудита администратора Exchange Online прикрепит журнал аудита, который является XML-файлом, к сообщению электронной почты.When you export the mailbox audit log or administrator audit log, Exchange Online attaches the audit log, which is an XML file, to an email message. Однако Outlook в Интернете (ранее известный как Outlook Web App) блокирует XML-вложения по умолчанию.However, Outlook on the web (formerly known as Outlook Web App) blocks XML attachments by default. Если вы хотите использовать Outlook в Интернете для доступа к этим журналам аудита, необходимо настроить Outlook в Интернете, чтобы разрешить XML-вложения.If you want to use Outlook on the web to access these audit logs, you have to configure Outlook on the web to allow XML attachments.

Запустите следующую команду, чтобы разрешить XML-вложения в Outlook в Интернете:Run the following command to allow XML attachments in Outlook on the web:

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes @{Add=".xml"}