在 Exchange 2013 中匯出信箱稽核記錄

適用於：Exchange Server 2013

如果信箱已啟用信箱稽核，每當擁有者以外的使用者存取信箱時，Microsoft Exchange 就會在「信箱稽核記錄」中記錄相關資訊。 每個記錄項目都包括下列相關資訊：存取信箱的人員和時間、非擁有者所執行的動作，以及動作是否成功完成。 信箱稽核記錄預設會保留在信箱中 90 天。 您可以使用信箱稽核記錄來判斷是否擁有者以外的使用者存取了信箱。

當您從信箱稽核記錄中匯出項目時，Microsoft Exchange 會將這些項目儲存在 XML 檔案中，然後附加到傳送至指定收件者的電子郵件。

在您開始之前

• 每項程序的預估完成時間：時間是變數。

• 本主題中的程序需要特定權限。 請查看每個程序以取得權限資訊。

• 如需可能適用于本主題中程式的鍵盤快速鍵相關資訊，請參閱 Exchange 2013 中 Exchange 系統管理中心的鍵盤快速鍵。

提示

有問題嗎？ 在 Exchange 論壇中尋求協助。 瀏覽 Exchange Server 的論壇。

設定信箱稽核記錄

您必須針對想要稽核的每一個信箱啟用信箱稽核記錄，然後才可以匯出及檢視信箱稽核記錄。 您還必須設定 Microsoft Outlook Web App 允許 XML 附件使用 Outlook Web App 存取稽核記錄。

步驟 1：啟用信箱稽核記錄

您必須針對想要執行非擁有者信箱存取報告的每個信箱啟用信箱稽核記錄。 如果未針對信箱啟用信箱稽核記錄，當您匯出信箱稽核記錄時，就不會得到該信箱的任何結果。

您必須已獲指派權限，才能執行此程序或這些程序。 若要查看您需要的許可權，請參閱訊息原則 和合規性許可權 主題中的「信箱稽核記錄」專案。

若要針對單一信箱啟用信箱稽核記錄，請在命令介面中執行命令。

Set-Mailbox <Identity> -AuditEnabled $true

若要針對組織內的所有使用者信箱啟用信箱稽核記錄，請執行下列命令。

$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"

$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

步驟 2：設定 Outlook Web App 允許 XML 附件

當您匯出信箱稽核記錄時，Microsoft Exchange 會將稽核記錄 (也就是 XML 檔案) 附加到電子郵件。 但是，Outlook Web App 預設會封鎖 XML 附件。 若要存取匯出的稽核記錄，您必須使用 Microsoft Outlook 或設定 Outlook Web App 允許 XML 附件。

您必須已獲指派權限，才能執行此程序或這些程序。 若要查看您需要哪些許可權，請參閱用戶端和行動裝置許可權主題中的「Outlook Web App信箱原則」專案。

執行下列程式以允許Outlook Web App中的 XML 附件。 在 Exchange Server 2013 中，使用Identity參數的值 Default 。

1. 執行下列命令，將 XML 新增至 Outlook Web App 中允許的檔案類型清單。

   Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add='.xml'}
   

2. 執行下列命令，從 Outlook Web App 中封鎖的檔案類型清單中移除 XML。

   Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove='.xml'}
   

如何知道這是否正常運作？

若要確認是否已成功設定信箱稽核記錄，請執行下列操作：

1. 執行下列命令，確認已設定信箱的稽核記錄。

   Get-Mailbox | Format-List Name,AuditEnabled
   

   AuditEnabled屬性的 True 值會驗證已啟用稽核記錄。

2. 執行下列命令，確認允許在 Outlook Web App 中使用 XML 附件。

   Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes
   

   確認 已 .xml 包含在允許的檔案類型清單中。

3. 執行下列命令，確認 XML 附件已從Outlook Web App中的封鎖檔案清單中移除。

   Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypes
   

   .xml確認 未包含在封鎖的檔案類型清單中。

匯出信箱稽核記錄

您必須已獲指派權限，才能執行此程序或這些程序。 若要查看您需要的許可權，請參閱 Exchange 和 Shell 基礎 結構許可權主題中的專案。

1. 在 Exchange 系統管理中心 (EAC) ，移至合規性管理>稽核。

2. Click Export mailbox audit logs.

3. 設定下列搜尋準則，匯出信箱稽核記錄中的項目：

   • 開始和結束日期：選取要包含在匯出檔案中的專案日期範圍。

   • 要搜尋稽核記錄的信箱：選取要擷取稽核記錄專案的信箱。

   • 非擁有者存取的類型：選取下列其中一個選項，以定義要擷取專案的非擁有者存取類型：

   • 所有非擁有者：搜尋組織內系統管理員和委派使用者的存取權。

   • 外部使用者：搜尋 Microsoft 資料中心系統管理員的存取權。

   • 系統管理員和委派的使用者：搜尋組織內系統管理員和委派使用者的存取權。

   • 系統管理員：搜尋組織中系統管理員的存取權。

   • 收件者：選取要傳送信箱稽核記錄的使用者。

4. 按一下 [匯出]。

   Exchange 會擷取信箱稽核記錄中符合搜尋準則的專案、將其儲存至名為 SearchResult.xml 的檔案，然後將 XML 檔案附加至傳送給您指定收件者的電子郵件訊息。

如何知道這是否正常運作？

登入已傳送信箱稽核記錄的信箱。 若您已成功匯出稽核記錄，就會收到 Exchange 傳送的郵件。 名為 SearchResult.xml) 的信箱稽核記錄 (會附加至此郵件。 如果您已正確設定Outlook Web App以允許 XML 附件，您可以下載附加的 XML 檔案。

檢視信箱稽核記錄

您必須已獲指派權限，才能執行此程序或這些程序。 若要查看您需要的許可權，請參閱 Exchange 和 Shell 基礎 結構許可權主題中的專案。

若要儲存並檢視SearchResult.xml檔案：

1. 登入已傳送信箱稽核記錄的信箱。

2. 在收件匣中，開啟含有 Microsoft Exchange 傳送之 XML 檔案附件的郵件。 請注意，電子郵件的內文包含了搜尋準則。

3. 按一下附件，然後選取以下載 XML 檔案。

4. 在 Microsoft Excel 中開啟SearchResult.xml。

其他資訊

• 信箱稽核記錄中的專案：下列範例顯示包含在SearchResult.xml檔案中的信箱稽核記錄專案。 每一個項目的前面都有 <Event> XML 標記並以 </Event> XML 標記結束。 這個項目顯示，系統管理員在 2010 年 4 月 30 日，從 David 信箱的 [可復原的項目] 資料夾中清除了主旨為 " Notification of litigation hold" 的郵件。

  <Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939"
    Owner="PPLNSL-dom\david50001-1363917750"
    LastAccessed="2010-04-30T11:01:55.140625-07:00"
    Operation="HardDelete"
    OperationResult="Succeeded"
    LogonType="Admin"
  FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
    FolderPathName="\Recoverable Items\Deletions"
    ClientInfoString="Client=OWA;Action=ViaProxy"
    ClientIPAddress="10.196.241.168"
    InternalLogonType="Owner"
    MailboxOwnerUPN="david@contoso.com"
    MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151"
    CrossMailboxOperation="false"
    LogonUserDN="Administrator"
    LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
    <SourceItems>
     <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
      Subject="Notification of litigation hold"
      FolderPathName="\Recoverable Items\Deletions" />
    </SourceItems>
  </Event>
  

• 信箱稽核記錄中的實用欄位：以下是信箱稽核記錄中實用欄位的描述。 它們可協助您識別信箱之每個非擁有者存取權實例的特定資訊。

  欄位	描述
  擁有者	非擁有者存取的信箱擁有者。
  LastAccessed	存取信箱的日期和時間。
  作業	非擁有者所執行的動作。 For more information, see the "What gets logged in the mailbox audit log?" section in Run a non-owner mailbox access report in Exchange 2013.
  OperationResult	非擁有者執行的動作成功或失敗。
  LogonType	非擁有者存取的類型。 其中包括系統管理員、委派和外部。
  FolderPathName	包含非擁有者影響之訊息的資料夾名稱。
  ClientInfoString	非擁有者用來存取信箱之郵件用戶端的相關資訊。
  ClientIPAddress	非擁有者用來存取信箱之電腦的 IP 位址。
  InternalLogonType	非擁有者用來存取此信箱之帳戶的登入類型。
  MailboxOwnerUPN	信箱擁有者的電子郵件地址。
  LogonUserDN	非擁有者的顯示名稱。
  主旨	受非擁有者影響的電子郵件訊息主旨行。