Экспорт журналов аудита почтовых ящиковExport mailbox audit logs

Если для почтового ящика включен аудит почтовых ящиков, Microsoft Exchange ведет запись действий над данными в почтовом ящике со стороны пользователей, не являющихся владельцами. Записи заносятся в журнал аудита почтового ящика. В каждой записи указывается, кто, когда и как обращался к почтовому ящику, был ли это пользователь, отличный от владельца, какие действия он выполнял и были ли они успешными. По умолчанию записи в журнале аудита почтового ящика хранятся в течение 90 дней. По журналу аудита почтовых ящиков можно определить, обращался ли к почтовому ящику пользователь, не являющийся его владельцем.When mailbox auditing is enabled for a mailbox, Microsoft Exchange logs information in the mailbox audit log whenever a user other than the owner accesses the mailbox. Each log entry includes information about who accessed the mailbox and when, the actions performed by the non-owner, and whether the action was successful. Entries in the mailbox audit log are retained for 90 days by default. You can use the mailbox audit log to determine if a user other than the owner has accessed a mailbox.

При экспорте записей из журналов аудита почтовых ящиков Microsoft Exchange сохраняет их в XML-файле и вкладывает его в сообщение электронной почты, отправляемое указанным получателям.When you export entries from mailbox audit logs, Microsoft Exchange saves the entries in an XML file and attaches it to an email message sent to the specified recipients.

Перед началом работыBefore you begin

  • Предполагаемое время для завершения каждой процедуры: Время — это переменная. В службе Exchange Online журнал аудита почтового ящика отправляется в течение нескольких дней после его экспорта.Estimated time to complete each procedure: Times are variable. In Exchange Online, the mailbox audit log is sent within a few days after you export it.

  • В Exchange Online для выполнения многих процедур, описанных в этой статье, необходимо использовать удаленную оболочку Windows PowerShell. Дополнительные сведения см. в статье Connect to Exchange Online Using Remote PowerShell.In Exchange Online, you have to use Remote Windows PowerShell to perform many of the procedures in this topic. For details, see Connect to Exchange Online Using Remote PowerShell.

  • Для процедур в этом разделе требуются особые разрешения. См. информацию о разрешениях по каждой процедуре.Procedures in this topic require specific permissions. See each procedure for its permissions information.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection..Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server,Exchange Online, or Exchange Online Protection..

Настройка ведения журнала аудита почтовых ящиковConfigure mailbox audit logging

Для экспорта и просмотра журналов аудита почтовых ящиков ведение журнала аудита почтовых ящиков следует включить для всех почтовых ящиков, по которым следует вести аудит. Также необходимо настроить Microsoft Outlook Web App, чтобы разрешить вложениям XML доступ к журналу аудита через приложение Outlook Web App.You have to enable mailbox audit logging on each mailbox that you want to audit before you can export and view mailbox audit logs. You also have to configure Microsoft Outlook Web App to allow XML attachments to use Outlook Web App to access the audit log.

Действие 1. Включение ведения журнала аудита почтовых ящиковStep 1: Enable mailbox audit logging

Ведение журнала аудита почтовых ящиков включается для всех почтовых ящиков, по которым следует составлять отчет о доступе пользователей, не являющихся владельцами. Если ведение журнала аудита почтовых ящиков не включено для почтового ящика, экспорт журнала аудита почтовых ящиков не даст результатов для этого ящика.You have to enable mailbox audit logging for each mailbox that you want to run a non-owner mailbox access report for. If mailbox audit logging isn't enabled for a mailbox, you won't get any results for that mailbox when you export the mailbox audit log.

Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Ведение журнала аудита почтовых ящиков" в разделе Политика обмена сообщениями и разрешения для соответствия требованиям.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Mailbox audit logging" entry in the Messaging policy and compliance permissions topic.

Чтобы включить ведение журнала аудита почтовых ящиков для отдельного почтового ящика, выполните команду в командной строке.To enable mailbox audit logging for a single mailbox, run the command in the Shell.

Set-Mailbox <Identity> -AuditEnabled $true

Чтобы включить ведение журнала аудита для всех почтовых ящиков пользователей в организации, выполните следующие команды:To enable mailbox audit logging for all user mailboxes in your organization, run the following commands.

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Действие 2. Включение XML-вложений в Outlook Web AppStep 2: Configure Outlook Web App to allow XML attachments

При экспорте журнала аудита почтовых ящиков Microsoft Exchange вкладывает журнал аудита в XML-файле в сообщение электронной почты. Тем не менее по умолчанию XML-вложения блокируются в Outlook Web App. Для доступа к экспортированному журналу аудита необходимо приложение Microsoft Outlook, или же необходимо разрешить XML-вложения в приложении Outlook Web App.When you export the mailbox audit log, Microsoft Exchange attaches the audit log, which is an XML file, to an email message. However, Outlook Web App blocks XML attachments by default. To access the exported audit log, you have to use Microsoft Outlook or configure Outlook Web App to allow XML attachments.

Вы должны быть назначены разрешения, перед выполнением этой процедуры или процедуры. Чтобы увидеть, какие нужны разрешения, видеть запись» политики почтовых ящиков Outlook Web App «в разделе Client Access Permissions .You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Outlook Web App mailbox policies" entry in the Client Access Permissions topic.

Выполните следующие процедуры, чтобы разрешить XML-вложения в Outlook Web App. В Exchange Server, используйте значение Default для параметра Identity .Perform the following procedures to allow XML attachments in Outlook Web App. In Exchange Server, use the value Default for the Identity parameter.

  1. Выполните следующую команду, чтобы добавить XML-файлы в список разрешенных типов файлов в Outlook Web App.Run the following command to add XML to the list of allowed file types in Outlook Web App.

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add='.xml'}
    
  2. Выполните следующую команду, чтобы удалить XML-файлы из списка заблокированных типов файлов в Outlook Web App.Run the following command to remove XML from the list of blocked file types in Outlook Web App.

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove='.xml'}
    

Как проверить, что все получилось?How do you know this worked?

Чтобы убедиться, что ведение журнала аудита почтового ящика настроено успешно, выполните следующие действия.To verify that you've successfully configured mailbox audit logging, do the following:

  1. Чтобы убедиться, что ведение аудита настроено для почтовых ящиков, выполните следующую команду.Run the following command to verify that audit logging is configured for mailboxes.

    Get-Mailbox | FL Name,AuditEnabled
    

    Значение True для атрибута AuditEnabled указывает, что аудит журналов включен.A value of True for the AuditEnabled property verifies that audit logging is enabled.

  2. Выполните следующую команду, чтобы убедиться, что XML-вложения разрешены в Outlook Web App.Run the following command to verify that XML attachments are allowed in Outlook Web App.

    Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes
    

    Убедитесь, что расширение .xml включено в список разрешенных типов файлов.Verify that .xml is included in the list of allowed file types.

  3. Выполните следующую команду, чтобы убедиться, что XML-вложения удалены из списка заблокированных файлов в Outlook Web App.Run the following command to verify that XML attachments are removed from the blocked file list in Outlook Web App.

    Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypes
    

    Убедитесь, что расширение .xml не включено в список заблокированных типов файлов.Verify that .xml isn't included in the list of blocked file types.

Экспорт журнала аудита почтовых ящиковExport the mailbox audit log

Вы должны быть назначены разрешения, перед выполнением этой процедуры или процедуры. Чтобы увидеть, какие нужны разрешения, видеть запись «ведение журнала аудита администратора только для просмотра» в разделе Shell Infrastructure Permissions .You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "View-only administrator audit logging" entry in the Shell Infrastructure Permissions topic.

  1. В Центре администрирования Exchange перейдите в раздел Управление соответствием > Аудит.In the Exchange admin center (EAC), go to Compliance Management > Auditing.

  2. Щелкните элемент Экспорт журналов аудита почтовых ящиков.Click Export mailbox audit logs.

  3. Настройте следующие условия поиска для экспорта записей из журнала аудита почтовых ящиков:Configure the following search criteria for exporting the entries from the mailbox audit log:

    • Начальная и конечная даты Задайте диапазон дат для записей в экспортируемом файле.Start and end dates Select the date range for the entries to include in the exported file.

    • Почтовые ящики для поиска в журнале аудита Выберите ящики, для которых следует извлечь записи журнала аудита.Mailboxes to search audit log for Select the mailboxes to retrieve audit log entries for.

    • Тип доступа, отличный от владения Выберите один из следующих вариантов, чтобы определить тип доступа, для которого извлекаются записи:Type of non-owner access Select one of the following options to define the type of non-owner access to retrieve entries for:

    • Все пользователи, не являющиеся владельцами поиск обращений администраторов и делегированных пользователей внутри вашей организации, а также администраторов центров данных корпорации Майкрософт в службе Exchange Online.All non-owners Search for access by administrators and delegated users inside your organization, and by Microsoft datacenter administrators in Exchange Online.

    • Внешние пользователи Поиск обращений только от администраторов центров данных корпорации Майкрософт.External users Search for access by Microsoft datacenter administrators.

    • Администраторы и пользователи-делегаты Поиск обращений администраторов и делегатов из организации.Administrators and delegated users Search for access by administrators and delegated users inside your organization.

    • Администраторы Поиск обращений от администраторов организации.Administrators Search for access by administrators in your organization.

    • Получатели Выберите пользователей, которым следует отправить журнал аудита почтовых ящиков.Recipients Select the users to send the mailbox audit log to.

  4. Нажмите кнопку Экспорт.Click Export.

    Microsoft Exchange извлекает записи из журнала аудита почтовых ящиков, соответствующие заданным условиям поиска, сохраняет их в файле SearchResult.xml и вкладывает его в сообщение электронной почты, отправляемое указанным получателям.Microsoft Exchange retrieves entries in the mailbox audit log that meet your search criteria, saves them to a file named SearchResult.xml, and then attaches the XML file to an email message sent to the recipients that you specified.

Как проверить, что все получилось?How do you know this worked?

Войдите в почтовый ящик, куда был отправлен журнал аудита почтовых ящиков. В случае успешного выполнения экспорта журнала аудита, Exchange отправит вам сообщение. В Exchange Online доставка этого сообщения может занять несколько дней. В это сообщение будет вложен журнал аудита почтовых ящиков (с именем SearchResult.xml). Если вы правильно настроили Outlook Web App, чтобы разрешить XML-вложения, вы сможете скачать вложенный XML-файл.Sign in to the mailbox where the mailbox audit log was sent. If you've successfully exported the audit log, you'll receive a message sent from Exchange. In Exchange Online, it may take a few days to receive this message. The mailbox audit log (named SearchResult.xml) will be attached to this message. If you've correctly configured Outlook Web App to allow XML attachments, you can download the attached XML file.

Просмотр журнала аудита почтовых ящиковView the mailbox audit log

Вы должны быть назначены разрешения, перед выполнением этой процедуры или процедуры. Чтобы увидеть, какие нужны разрешения, видеть запись «ведение журнала аудита администратора только для просмотра» в разделе Shell Infrastructure Permissions .You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "View-only administrator audit logging" entry in the Shell Infrastructure Permissions topic.

Чтобы сохранить и просмотреть файл SearchResult.xml, выполните следующие действия.To save and view the SearchResult.xml file:

  1. Войдите в почтовый ящик, куда был отправлен журнал аудита почтовых ящиков.Sign in to the mailbox where the mailbox audit log was sent.

  2. В папке "Входящие" откройте сообщение с вложенным XML-файлом, отправленное Microsoft Exchange. Обратите внимание, что в тексте сообщения указаны условия поиска.In the Inbox, open the message with the XML file attachment sent by Microsoft Exchange. Notice that the body of the email message contains the search criteria.

  3. Щелкните вложение и выберите загрузку XML-файла.Click the attachment and select to download the XML file.

  4. Откройте файл SearchResult.xml в Microsoft Excel.Open the SearchResult.xml in Microsoft Excel.

Дополнительные сведенияMore information

  • Записи в журнале аудита почтовых ящиков. В следующем примере показана запись из журнала аудита почтовых ящиков, содержащегося в файле SearchResult.xml. Каждую запись предваряет XML-тег <Event>, а завершает XML-тег </Event>. В этой записи указывается, что администратор удалил сообщение с темой "Notification of litigation hold" из папки элементов для восстановления в почтовом ящике Владимира 30 апреля 2010 г.Entries in the mailbox audit log The following example shows an entry from the mailbox audit log contained in the SearchResult.xml file. Each entry is preceded by the <Event> XML tag and ends with the </Event> XML tag. This entry shows that the administrator purged the message with the subject, " Notification of litigation hold" from the Recoverable Items folder in David's mailbox on April 30, 2010.

    <Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" 
      Owner="PPLNSL-dom\david50001-1363917750" 
      LastAccessed="2010-04-30T11:01:55.140625-07:00" 
      Operation="HardDelete" 
      OperationResult="Succeeded" 
      LogonType="Admin"
     FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
      FolderPathName="\Recoverable Items\Deletions"
      ClientInfoString="Client=OWA;Action=ViaProxy" 
      ClientIPAddress="10.196.241.168" 
      InternalLogonType="Owner"
      MailboxOwnerUPN="david@contoso.com"
      MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" 
      CrossMailboxOperation="false" 
      LogonUserDN="Administrator"
      LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
      <SourceItems>
       <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
        Subject="Notification of litigation hold"
        FolderPathName="\Recoverable Items\Deletions" /> 
      </SourceItems>
    </Event>
    
  • Полезные поля в журнале аудита почтовых ящиков. Здесь приводится описание полезных полей в журнале аудита почтовых ящиков. Они помогают получить нужные сведения о всех видах обращений к почтовому ящику от пользователей, не являющихся владельцами.Useful fields in the mailbox audit log Here's a description of useful fields in the mailbox audit log. They can help you identify specific information about each instance of non-owner access of a mailbox.

ПолеField ОписаниеDescription
OwnerOwner
Это владелец почтового ящика, к которому обратился пользователь, не являющийся владельцем.The owner of the mailbox that was accessed by a non-owner.
LastAccessedLastAccessed
Дата и время обращения к почтовому ящику.The date and time when the mailbox was accessed.
OperationOperation
Выполненное пользователем действие. Дополнительные сведения см. в разделе "Что заносится в журнал аудита почтовых ящиков?" статьи Run a Non-Owner Mailbox Access Report. The action that was performed by the non-owner. For more information, see the "What gets logged in the mailbox audit log?" section in Run a Non-Owner Mailbox Access Report.
OperationResultOperationResult
Успешность выполненного пользователем действия.Whether the action performed by the non-owner succeeded or failed.
LogonTypeLogonType
Тип обращения пользователя. Это может быть администратор, делегат или внешний пользователь.The type of non-owner access. These include administrator, delegate, and external.
FolderPathNameFolderPathName
Имя папки, в которой находилось сообщение, затронутое пользователем.The name of the folder that contained the message that was affected by the non-owner.
ClientInfoStringClientInfoString
Сведения о почтовом клиенте, который пользователь использует для обращения к почтовому ящику.Information about the mail client used by the non-owner to access the mailbox.
ClientIPAddressClientIPAddress
IP-адрес компьютера, который пользователь использует для обращения к почтовому ящику.The IP address of the computer used by the non-owner to access the mailbox.
InternalLogonTypeInternalLogonType
Тип учетной записи, которую пользователь использует для обращения к почтовому ящику.The logon type of the account used by the non-owner to access this mailbox.
MailboxOwnerUPNMailboxOwnerUPN
Адрес электронной почты владельца почтового ящика.The email address of the mailbox owner.
LogonUserDNLogonUserDN
Отображаемое имя пользователя.The display name of the non-owner.
SubjectSubject
Строка темы сообщения электронной почты, затронутого пользователем, не являющимся владельцем.The subject line of the email message that was affected by the non-owner.
[When mailbox auditing is enabled for a mailbox, Microsoft Exchange logs information in the mailbox audit log whenever a user other than the owner accesses the mailbox. Each log entry includes information about who accessed the mailbox and when, the actions performed by the non-owner, and whether the action was successful. Entries in the mailbox audit log are retained for 90 days by default. You can use the mailbox audit log to determine if a user other than the owner has accessed a mailbox.When you export entries from mailbox audit logs, Microsoft Exchange saves the entries in an XML file and attaches it to an email message sent to the specified recipients.](#Introduction.md)