在 Exchange Online 中使用 PowerShell 审核报表

  • 项目

注意

经典 Exchange 管理中心正在全球部署中弃用,新的 Exchange 管理中心中将停止对审核的 UI 支持。 相反,管理员可以利用本文中提到的 powerShell 命令 (cmdlet) 来满足其审核要求。

Exchange 管理中心中的旧Exchange Online数据丢失防护正在弃用。

使用审核日志记录通过跟踪管理员所做的特定更改来排查配置问题,并帮助你满足法规、合规性和诉讼要求。 没有Exchange Online邮箱的Exchange Online或独立Exchange Online Protection (EOP) 提供两种类型的审核日志记录:

  • 管理审核日志记录:根据管理员执行的Exchange Online PowerShell 或独立Exchange Online Protection PowerShell cmdlet 记录任何操作。这些记录有助于排查配置问题,或确定安全相关或合规性相关问题的原因。 Microsoft 数据中心管理员和委派管理员执行的操作也记录在 Exchange Online 中。

  • 邮箱审核日志记录 (Exchange Online仅) :记录管理员、委派用户或拥有邮箱的人员访问邮箱的时间。 这可以帮助您确定谁访问了邮箱以及访问者完成了哪些操作。

导出审核日志

新的 Exchange 管理中心将停止使用综合审核功能,但你仍然可以使用 PowerShell cmdlet 导出管理日志和邮箱审核日志。

注意

邮箱审核日志记录在独立 EOP 中不可用。 从 EAC 导出管理日志在独立 EOP 中不可用,但在 PowerShell 中可以使用 New-AdminAuditLogSearch cmdlet。 有关说明,请参阅 使用 PowerShell 搜索审核日志条目并将结果发送给收件人

  • 导出管理审核日志:管理员根据Exchange Online PowerShell 或独立Exchange Online Protection PowerShell cmdlet 执行的任何操作(不以“获取”、“搜索”或“测试”谓词开头)都会记录在管理日志中。 审核日志条目包括已运行的 cmdlet、与 cmdlet 一起使用的参数和值以及操作是否成功。 可以从管理日志导出组织中配置更改的记录。 日志条目保存在 XML 文件中,该文件将在 24 小时内通过电子邮件作为附件发送给指定用户。 有关更多信息,请参阅:

    • 搜索角色组更改或管理日志

    • 仅) (Exchange Online查看和导出外部管理日志

      注意

      默认情况下,管理日志条目保留 90 天。 当某个条目超过 90 天时,会删除该条目。 不能在基于云的组织中更改此设置。 但是,可以使用 Set-AdminAuditLog cmdlet 在本地 Exchange 组织中对其进行更改。

    若要导出管理日志,请运行以下 cmdlet:

    Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId

  • 导出邮箱审核日志:为邮箱启用邮箱审核日志记录时,Exchange Online将非所有者对邮箱数据执行的操作记录存储在邮箱审核日志中,该日志存储在要审核的邮箱中的隐藏文件夹中。 此日志中的条目指示谁访问了邮箱,何时执行了操作,以及操作是否成功。 可以从邮箱日志导出非所有者访问条目。 日志条目保存在 XML 文件中,并附加到电子邮件,并在 24 小时内发送给指定用户。 有关详细信息,请参阅 导出邮箱审核日志

    若要导出邮箱审核日志,请使用以下 cmdlet:

    Get-MailboxRegionalConfiguration; New-MailboxAuditLogSearch -StartDate '<DateTime>' -EndDate '<dateTime>' -Mailboxes @(<MailIds of enquired mailboxes>) -LogonTypes @(<List of Strings>) -StatusMailRecipients @(<MailIds of Recipients>) -ShowDetails 'True'

配置Outlook 网页版以允许 XML 附件

导出邮箱审核日志或管理日志时,日志将作为 XML 文件附加到电子邮件中。 但是,默认情况下,Outlook 网页版(通常称为 Outlook Web App)会阻止添加 XML 附件。 如果要使用 Outlook 网页版 访问导出的审核日志,需要配置 Outlook 网页版 以允许 XML 附件。

Exchange Online PowerShell 或独立Exchange Online Protection PowerShell 中,运行以下命令以允许Outlook 网页版中的 XML 附件:

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes @{Add=".xml"}

有关详细语法和参数信息,请参阅 Set-OwaMailboxPolicy

运行审核报告

管理员可以有效地管理和监视系统活动,并确保使用特定的 cmdlet 来维护合规性和安全标准。 这些 cmdlet 为管理员提供必要的控制和可见性,使他们能够有效地跟踪和管理系统中的用户操作。

  • 运行非所有者邮箱访问报告:使用此报表搜索管理日志,查找已由邮箱所有者以外的其他人打开的邮箱。 有关详细信息,请参阅 运行非所有者邮箱访问报告

    重要

    必须对要报告其打开的非所有者的每个邮箱启用审核。 运行报表时,无法查看未启用日志记录的邮箱的结果。

    使用以下 cmdlet 运行非所有者邮箱访问报告:

    Search-MailboxAuditLog -StartDate '<DateTime>' -EndDate '<DateTime>' -LogonTypes @(<List of Types>) -identity 'sharedmailbox' -showDetails:$true -resultSize 501

  • 运行管理员角色组报告:使用此报告可在管理日志中查找对角色组所做的更改, (角色组用于向用户分配管理权限) 。 有关详细信息,请参阅 搜索角色组更改

    使用以下 cmdlet 运行管理员角色组报告:

    Search-AdminAuditLog -IsSuccess:$true -Cmdlets @('Add-RoleGroupMember','Remove-RoleGroupMember','Update-RoleGroupMember','New-RoleGroup','Remove-RoleGroup') -StartDate '<DateTime>' -EndDate '<DateTime>' -ObjectIds @(<ObjectIds of Role Groups>) -resultSize 501

  • 运行本地电子数据展示和保留报告:使用此报表在管理日志中搜索本地发现搜索和就地保留的更改。 有关详细信息,请参阅:

    使用以下 cmdlet 运行本地电子数据展示和保留报告:

    Search-AdminAuditLog -Cmdlets @('New-MailboxSearch', 'Start-MailboxSearch', 'Get-MailboxSearch', 'Stop-MailboxSearch', 'Remove-MailboxSearch', 'Set-MailboxSearch') -StartDate '<DateTime>' -EndDate '<DateTime>' -UserIds <UserIds> -IsSuccess $true

  • 运行邮箱中断过程保留报告:使用此报告确定是否从管理日志中为用户的邮箱启用了过程保留。 有关详细信息,请参阅 运行邮箱中断过程保留报告

    使用以下 cmdlet 运行邮箱中断过程保留报告:

    Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters LitigationHoldEnabled -StartDate <DateTime> -EndDate <DateTime> -UserIds <UserIds> -IsSuccess $true

  • 运行管理日志报告:使用此报表可以查看管理日志中的条目,其中显示了组织的管理员对配置所做的更改。 有关详细信息,请参阅 查看管理日志

    使用以下 cmdlet 运行管理日志报告:

    Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId>

  • 运行外部管理日志报告:使用此报表可以查看管理日志中的条目,这些条目显示 Microsoft 或委派管理员对Exchange Online服务的配置所做的更改。 有关详细信息,请参阅 查看和导出外部管理日志

    使用以下 cmdlet 运行外部管理日志报告:

    Search-AdminAuditLog -IsSuccess:$true -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$true -ObjectIds <ObjectId> -Cmdlets <Cmdlet Name> -resultSize 501

* 此报告在独立 EOP 组织中可用。

配置邮箱审核日志记录

注意

邮箱审核日志记录在独立 EOP 中不可用。

从 2019 年 1 月起,默认情况下,所有Exchange Online组织都启用了邮箱审核日志记录。 有关详细信息,请参阅管理邮箱审核

授予用户对审核报告的访问权限

默认情况下,管理员可以使用上述 cmdlet 访问和运行任何审核报告。 但是,其他用户(例如,记录经理或法律事务员工)必须分配有必需的权限。

  • 审核日志” 角色允许用户查看 “审核 ”页以运行任何可用报表、导出邮箱审核日志以及导出和查看管理日志。 默认情况下,此角色分配给 组织管理合规性管理和 记录管理 角色组。
  • 仅查看审核日志” 角色允许用户运行审核报告,但不能导出审核日志。 默认情况下,此角色分配给组织管理和合规性管理角色组。

向用户授予报表访问权限的最简单方法是将其添加到“ 记录管理” 角色组,该角色组分配有“ 审核日志” 角色。

使用 EAC 将用户添加到记录管理角色组

  1. 在新的 EAC 主页上,选择“角色”以展开,然后单击“管理员角色”。

  2. 在角色组列表中,单击“ 记录管理”。 这将打开 “记录管理 详细信息”窗格。

  3. 单击“已分配”,然后单击“添加”图标。添加新成员。

  4. 在“选择成员”对话框中选择相应用户。 可以通过键入全部或部分显示名称,然后单击“搜索搜索”图标来搜索用户。 还可以通过单击“名称”或“显示名”列标题,对列表进行排序。

  5. 单击“ 添加”图标, 然后单击“ 确定 ”返回到角色组页。

  6. 单击“保存”以保存对角色组的更改。

使用 PowerShell 将用户添加到记录管理角色组

Exchange Online PowerShell 或独立Exchange Online Protection PowerShell 中,将 Identity> 替换为<用户或组的名称、别名、电子邮件地址或帐户名称,然后运行以下命令,将“审核日志”角色分配给用户:

Add-RoleGroupMember -Identity "Records Management" -Member <Identity>

有关语法和参数的详细信息,请参阅 Add-RoleGroupMember