Share via

Microsoft 365'te posta kutusu denetim günlüklerini kullanma

  • Makale
  • Şunlara uygulanır:
    Exchange Online, Microsoft Exchange Online Dedicated

Özgün KB numarası: 4021960

Özet

Microsoft 365'te, posta kutusunun beklenmedik bir şekilde ne zaman güncelleştirildiğini veya posta kutusunda öğelerin eksik olup olmadığını belirlemek için posta kutusu denetim günlüklerini çalıştırabilirsiniz. Örneğin, öğeler taşınırsa veya beklenmedik veya yanlış bir şekilde silinirse, bunu yapmanız gerekebilir.

vNext ortamı için, posta kutusu denetim günlüklerinin varsayılan olarak etkinleştirilmediğini ve aramaya başlamadan önce bir kullanıcı için açılması gerektiğini unutmayın.

Posta kutusu denetim günlüklerini çalıştırma ve denetleme

Posta kutusu denetim günlüğü, kullanıcıların sahip olmayanlar ve yöneticiler tarafından gerçekleştirilen eylemler hakkında bilgi almasını sağlar. Posta kutusu denetim günlüğü yalnızca Windows Uzak PowerShell kullanılarak Denetim Raporlama Posta Kutusu self servis grubu üyeleri tarafından kullanılabilir.

Not

  • Varsayılan olarak, yalnızca sahip olmayan posta kutusu denetim günlüğü etkinleştirilir ve sahip posta kutusu denetim günlüğü devre dışı bırakılır. Belirli bir sorunu araştırmak için sahip posta kutusu denetim günlüğü gerçekleştirmeniz gerekiyorsa, işlemi iki haftalık bir süre için geçici olarak etkinleştirebilirsiniz.
  • Bazı kuruluşlar posta kutusu denetim günlüğünü kullanmanıza izin vermeyebilir ve bu nedenle özelliği kapatmış olabilir.

Bu sorunu araştırmak için, bu bölümdeki 1. Adımda sağlanan örnek betiği kullanarak bir Windows PowerShell betiği oluşturun ve kullanın ve ardından bir aramayı özelleştirin. Varsayılan olarak, sahip olmayanlar ve yöneticiler tarafından gerçekleştirilen eylemleri araştırabilirsiniz. Bu betik, eksik olan veya beklenmedik şekilde güncelleştirilen öğelerle ilgili raporlarda sorun gidermenize yardımcı olmak için basitleştirilmiş, virgülle ayrılmış değerler (.csv) dosyasındaki içeriği dışarı aktarır.

Önemli

Müşterilerin belirli araştırmalarda yardımcı olması için Microsoft Online Services tarafından sağlanan betiği kullanmaları teşvik edilir. Microsoft Online Services betikleri geneldir ve tüm müşteri ortamlarında kullanılabilir olmalıdır. Betik çalıştırıldığında hatalar oluşursa, betiğin içeriği belirli bir müşteri ortamı için özelleştirilmiş bir betik oluşturmak için örnek olarak kullanılmalıdır. Microsoft Online Services, betiği Microsoft 365 müşterilerine garanti olmadan, açık veya zımni bir kolaylık olarak sağlar.

1. Adım: Betiği çalıştırma

Betiği çalıştırmak için şu adımları izleyin:

  1. Not Defteri'ni başlatın ve aşağıdaki kodu dosyaya kopyalayın. Kod, Microsoft Exchange Server parçası olan komutu kullanırsearch-mailboxAuditLog.

     param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$Mailbox,
[PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$StartDate,
[PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$EndDate,
[PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)]
[string]$Subject,
[PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
[switch]$IncludeFolderBind,
[PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
[switch]$ReturnObject)
BEGIN {
  [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult')
  }
  END {
    if ($ReturnObject)
    {return $SearchResults}
    elseif ($SearchResults.count -gt 0)
    {
    $Date = get-date -Format yyMMdd_HHmmss
    $OutFileName = "AuditLogResults$Date.csv"
    write-host
    write-host -fore green "Posting results to file: $OutfileName"
    $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8
    }
    }
    PROCESS
    {
    write-host -fore green 'Searching Mailbox Audit Logs...'
    $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000)
    write-host -fore green '$($SearchREsults.Count) Total entries Found'
    if (-not $IncludeFolderBind)
    {
    write-host -fore green 'Removing FolderBind operations.'
    $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'})
    write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
    }
    $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}},
    @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}}))
    $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp')
    If ($Subject -ne '' -and $Subject -ne $null)
    {
    write-host -fore green 'Searching for Subject: $Subject'
    $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject})
    write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
    }
    $SearchResults = @($SearchResults | select $LogParameters)
    }

  2. Dosya menüsünde, Farklı Kaydet'i tıklatın.

  3. Kayıt türü kutusunda Tüm Dosya'ya tıklayın.

  4. Dosya adı kutusuna Run-MailboxAuditLogSearcher.ps1yazın ve Kaydet'e tıklayın.

  5. Windows PowerShell başlatın ve Ardından Windows Uzak PowerShell'e bağlanın.

  6. Betiği kaydettiğiniz dizini bulun ve betiği çalıştırın.

    .\Run-MailboxAuditLogSearcher.ps1

    Not

    • Betiği parametresiz çalıştırırsanız, aşağıdaki varsayılan parametreleri girmeniz istenir:
      • Posta kutusu
      • Startdate
      • Bitiştarihi
    • Geçerli günün girdilerini aramak için, istem penceresindeki bitiş tarihi değerine bir gün ekleyin. Örneğin, geçerli tarih 14.03.2017 ise ve geçerli günü aramanıza eklemek istiyorsanız, bitiş tarihi olarak 15.03.2017 yazın.

Microsoft 365'te, posta kutusu denetim günlüğü girişleri 90 gün boyunca posta kutusunda tutulur. Arama için bir başlangıç tarihi ve bitiş tarihi belirtmeniz istenir. Aramayı özelleştirmek için birkaç isteğe bağlı parametre kullanabilirsiniz. Bu parametrelerin açıklaması için 'Daha Fazla Bilgi' bölümüne bakın.

Betik çalıştırıldıktan sonra öğeler bulunursa, aşağıdakine benzer bir ileti alırsınız:

Betiği çalıştırdıktan sonra iletinin ekran görüntüsü.

Bu örnek ileti, arama işleminin 11 giriş bulduğunu gösterir. Varsayılan olarak, FolderBind girişleri filtrelenir ve aşağıdaki işlem türleri kalır:

  • Kopya
  • Oluşturma
  • HardDelete
  • MessageBind
  • Hareket
  • MoveToDeletedItems
  • GöndermeLer
  • SendOnBehalf
  • SoftDelete
  • Güncelleştirme

Not

FolderBind işlemi, posta kutusuna sahip olmayan bir tarafından erişildiği saatleri gösterir. Bu en yaygın işlemdir. Güncelleştirilen veya silinen bir öğeyi araştırırken FolderBind işlemlerini görüntülemeniz gerekmez.

.csv dosyasının çıkışını gözden geçirin. En kullanışlı sütunlar dışarı aktarılır ve çıkışın gözden geçirilmesini kolaylaştırmak için bu sütunlardan bazıları birleştirilir. Dışarı aktarılan sütunlar hakkında daha fazla bilgi için 'Daha Fazla Bilgi' bölümüne bakın.

Sahip posta kutusu denetim günlüğü

Varsayılan olarak. sahip denetim günlüğü açık değil. Yalnızca posta kutusunun sahibi tarafından gerçekleştirilen bir eylemi araştırmanız gerekiyorsa kullanılmalıdır. Yaklaşık iki hafta olmak üzere sınırlı bir süre için kullanılmalıdır. Bunun nedeni, denetim günlüğü girdilerinin posta kutusunda depolanması ve bunun posta kutusu döküm kutusunun boyut sınırını aşmasına neden olmasıdır.

Sahip denetim günlüğünü etkinleştirmek için şu adımları izleyin:

  1. Posta kutusu denetim günlüğünün etkinleştirilip etkinleştirilmediğini belirleyin. Bunu yapmak için aşağıdaki cmdlet'i çalıştırın:

    Get-Mailbox <useridentity> | ft AuditEnabled

  2. Sonuç True ise bu adımı atlayın. Sonuç False ise, Windows PowerShell aşağıdaki cmdlet'i çalıştırın:

    Set-Mailbox <useridentity> -AuditEnabled $true

  3. Sahip denetim günlüğünü etkinleştirin. Bunu yapmak için aşağıdaki cmdlet'i çalıştırın:

    Set-Mailbox <useridentity> -AuditOwner "Create,HardDelete,Move,MoveToDeletedItems,SoftDelete,Update"

  4. Run-MailboxAuditLogSearcher.ps1yeniden çalıştırın ve verileri gözden geçirin.

  5. Sorun giderme tamamlandıktan sonra sahip denetim günlüğünü devre dışı bırakın. Bunu yapmak için aşağıdaki cmdlet'i çalıştırın:

    Set-Mailbox <useridentity> -AuditOwner $none

Ek Bilgi

İsteğe bağlı betik parametreleri

Aşağıdaki listede, betikle Run-MailboxAuditLogSearcher birlikte kullanıldığında farklı sonuçlar oluşturan isteğe bağlı parametreler açıklanmaktadır:

  • IncludeFolderBind: Bu anahtarı kullandığınızda, FolderBind işlemi çıkıştan filtrelenmez. Posta kutusu erişim sorununu araştırmak için FolderBind bilgilerini kullanabilirsiniz.

    Örneğin, aşağıdaki cmdlet "Test Kullanıcısı 1" posta kutusunu arar ve tüm işlemleri içerir:

    .\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot

  • Konu: Bu anahtarı kullandığınızda, söz konusu öğe üzerinde gerçekleştirilen işlemlerin aramasını sınırlamak için öğenin konusunu belirtebilirsiniz.

    Örneğin, aşağıdaki cmdlet konu 'İyi Haber' olarak ayarlanmış öğeler dışında tüm çıkışı filtreler:

    .\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot

  • ReturnObject: Bu anahtarı kullandığınızda, sonuç ekranda görüntülenir, ancak .csv bir dosyaya dışarı aktarılmaz.

    Örneğin, aşağıdaki cmdlet çıktıyı ekranda görüntüler:

    .\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;&quot

.csv dosyasından dışarı aktarılan sütunlar

.csv dosyasının en kullanışlı sütunları dışarı aktarılır. Bu sütunlardan bazıları, çıkışın gözden geçirilmesini kolaylaştırmak için birleştirilir. Aşağıdaki tabloda dışarı aktarılan sütunlar listelenmiştir.

Sütun Açıklama
Konu Öğenin konusu
Işlem Öğe üzerinde gerçekleştirilen eylemler
LogonUserDisplayName Günlüğe kaydedilen kullanıcının görünen adı
LastAccessed İşlemin gerçekleştirildiği saat
DestFolderPathName Taşıma işlemi için hedef klasör
FolderPathName Klasörün yolu
ClientInfoString İşlemi gerçekleştiren istemci hakkındaki ayrıntılar
LastAccessed İstemci bilgisayar için IP adresi
ClientMachineName İstemci bilgisayarın adı
ClientProcessName İstemci uygulama işleminin adı
ClientVersion İstemci uygulamasının sürümü
LogonType İşlemi
gerçekleştiren kullanıcının oturum açma türüNot Oturum açma türleri şunları içerir:
- Sahip
olmayanlar için temsilci - Yönetici
- Posta kutusu sahibi (varsayılan olarak günlüğe kaydedilmez)
MailboxResolvedOwnerName Posta kutusu kullanıcısının
çözümlenen adıNot Çözümlenen ad şu biçimdedir:
Domain\SamAccountName
OperationResult İşlemin
durumuNot İşlemi sonuçları şunları içerir:
- Başarısız
- Kısmen Başarılı
- Başarılı
CrossMailboxOperation Günlüğe kaydedilen işlemin posta kutuları arası bir işlem olup olmadığı hakkında bilgi (örneğin, iletileri posta kutuları arasında kopyalama veya taşıma)

Posta kutusu denetim günlüğü hakkında daha fazla bilgi

  • Search-MailboxAuditLog cmdlet'i, tek bir posta kutusunu zaman uyumlu bir şekilde aramak için 1. Adım'daki örnek betikte kullanılır. Windows Uzak PowerShell'de cmdlet'ini çalıştırarak da bunu yapabilirsiniz.

    Cmdlet hakkında daha fazla bilgi için aşağıdaki TechNet makalesine gidin:

    Search-MailboxAuditLog

  • Bir veya daha fazla posta kutusunda zaman uyumsuz olarak arama yapabilirsiniz. Bunu yapmak için Windows Uzak PowerShell'de aşağıdaki cmdlet'i çalıştırın:

    New-MailboxAuditLogSearch

    Bu cmdlet hakkında daha fazla bilgi için aşağıdaki TechNet makalesine gidin:

    New-MailboxAuditLogSearch

    Varsayılan posta kutusu denetim günlüğü girişleri hakkında daha fazla bilgi için, aşağıdaki TechNet makalesinin 'Posta kutusu denetim günlüğü girişleri' bölümüne gidin:

    Exchange 2016'da Posta Kutusu Denetim Günlüğü