Exportieren von Postfachüberwachungsprotokollen

 

Gilt für: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Letztes Änderungsdatum des Themas: 2011-11-23

Bei aktivierter Postfachüberwachung für ein Postfach werden im Postfachüberwachungsprotokoll Informationen protokolliert, wenn ein Benutzer, bei dem es sich nicht um den Besitzer des Postfachs handelt, auf das Postfach zugreift. Jeder Protokolleintrag enthält Angaben zur zugreifenden Person und zur Zugriffszeit, zu den Aktionen, die der Nicht-Besitzer ausgeführt hat, sowie zum Status der Aktion. Einträge im Postfachüberwachungsprotokoll werden standardmäßig für 90 Tage beibehalten. Mithilfe des Postfachüberwachungsprotokolls können Sie feststellen, ob auf ein Postfach von einer Person zugegriffen wurde, bei der es sich nicht um den Besitzer des Postfachs handelt.

Wenn Sie Einträge aus Postfachüberwachungsprotokollen exportieren, werden die Einträge in einer XML-Datei gespeichert, und die XML-Datei wird einer E-Mail an die angegebenen Empfänger angefügt.

In diesem Thema werden die folgenden Punkte erläutert:

Konfigurieren der Postfachüberwachungsprotokollierung

Zum Exportieren und Anzeigen von Postfachüberwachungsprotokollen muss zunächst die Postfachüberwachungsprotokollierung für jedes Postfach aktiviert werden, das Sie überwachen möchten. Zudem muss Outlook Web App so konfiguriert werden, dass XML-Anlagen zulässig sind.

Aktivieren der Postfachüberwachungsprotokollierung

Die Postfachüberwachungsprotokollierung muss für jedes Postfach aktiviert werden, für das ein Bericht zum Postfachzugriff durch Nicht-Besitzer ausgeführt werden soll. Ist die Postfachüberwachungsprotokollierung für ein Postfach nicht aktiviert wird, erhalten Sie keine Ergebnisse, wenn Sie das Postfachüberwachungsprotokoll exportieren.

Führen Sie den folgenden PowerShell-Befehl aus, um die Postfachüberwachungsprotokollierung für ein einzelnes Postfach zu aktivieren:

Set-Mailbox <Identity> -AuditEnabled $true

Führen Sie die folgenden Befehle aus, um die Postfachüberwachung für alle Benutzerpostfächer in der Organisation zu aktivieren:

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Konfigurieren von Outlook Web App, um XML-Anlagen zuzulassen

Beim Exportieren des Postfachüberwachungsprotokolls wird das Überwachungsprotokoll (XML-Datei) an eine E-Mail angefügt. XML-Anlagen werden von Outlook Web App jedoch standardmäßig blockiert. Outlook Web App muss so konfiguriert werden, dass XML-Anlagen zugelassen werden, damit Sie auf das exportierte Überwachungsprotokoll zugreifen können.

Führen Sie den folgenden Befehl aus, um XML-Anlagen in Outlook Web App zuzulassen:

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
Exportieren des Postfachüberwachungsprotokolls

  1. Wählen Sie "Organisation verwalten > Rollen und Überwachung > Überwachung" aus.

  2. Klicken Sie auf "Postfachüberwachungsprotokolle exportieren".

  3. Konfigurieren Sie die folgenden Suchkriterien zum Exportieren der Einträge aus dem Postfachüberwachungsprotokoll:

    • Start- und Enddatum   Wählen Sie den Datumsbereich für die Einträge aus, die in die exportierte Datei eingeschlossen werden sollen.

    • Postfächer, nach denen das Überwachungsprotokoll durchsucht werden soll   Wählen Sie die Postfächer aus, für die Überwachungsprotokolleinträge abgerufen werden sollen.

    • Typ des Nicht-Besitzer-Zugriffs   Wählen Sie eine der folgenden Optionen aus, um den Typ des Nicht-Besitzer-Zugriffs zu definieren, für den Einträge abgerufen werden sollen:

      • Alle Nicht-Besitzer   Dient zum Suchen nach Zugriffen durch Administratoren und delegierte Benutzer in der Organisation sowie durch Microsoft-Datencenteradministratoren.

      • Externe Benutzer   Dient zum Suchen nach Zugriffen durch Microsoft-Datencenteradministratoren.

      • Administratoren und delegierte Benutzer   Dient zum Suchen nach Zugriffen durch Administratoren und delegierte Benutzer in der Organisation.

      • Administratoren   Dient zum Suchen nach Zugriffen durch Administratoren in der Organisation.

    • Empfänger   Wählen Sie die Benutzer aus, an die das Postfachüberwachungsprotokoll gesendet werden soll.

  4. Klicken Sie auf "Exportieren".

    Aus dem Postfachüberwachungsprotokoll werden die den Suchkriterien entsprechenden Einträge abgerufen. Die Einträge werden in einer Datei mit der Bezeichnung "SearchResult.xml" gespeichert, und die XML-Datei wird an eine E-Mail an die angegebenen Empfänger angefügt.

  5. Klicken Sie auf "Exportieren".

    Aus dem Administratorüberwachungsprotokoll werden die den Suchkriterien entsprechenden Einträge abgerufen. Die Einträge werden in einer Datei mit der Bezeichnung "SearchResult.xml" gespeichert, und die XML-Datei wird an eine E-Mail an die angegebenen Empfänger angefügt.

Hinweis   Um in der Exchange-Systemsteuerung auf der Registerkarte "Überwachungsberichte" das Zugreifen auf und Ausführen der Berichte zu ermöglichen, müssen dem Benutzer die notwendigen Berechtigungen zugewiesen werden. Weitere Informationen finden Sie unter Verwenden von Überwachungsberichten in Exchange Online im Abschnitt "Gewähren des Benutzerzugriffs auf Überwachungsberichte".

Anzeigen des Postfachüberwachungsprotokolls

So öffnen oder speichern Sie die Datei "SearchResult.xml":

  1. Melden Sie sich an dem Postfach an, an das das Postfachüberwachungsprotokoll gesendet wurde.

  2. Öffnen Sie im Posteingang die von Microsoft Exchange gesendete Nachricht mit der XML-Dateianlage. Der Text der E-Mail enthält die Suchkriterien.

  3. Klicken Sie auf die Anlage, und wählen Sie aus, ob die XML-Datei geöffnet oder gespeichert werden soll.

Einträge im Postfachüberwachungsprotokoll

Beim folgenden Beispiel handelt es sich um einen Eintrag des Postfachüberwachungsprotokolls aus der Datei "SearchResult.xml". Jeder Eintrag beginnt mit dem XML-Tag <Event> und endet mit dem XML-Tag </Event>. Dieser Eintrag besagt, dass der Administrator die Nachricht mit dem Betreff "Notification of litigation hold" am 30. April 2010 aus dem Ordner "Wiederherstellbare Elemente" des Postfachs von tamaraj endgültig gelöscht hat.

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" 
  Owner="PPLNSL-dom\tamaraj50001-1363917750" 
  LastAccessed="2010-04-30T11:01:55.140625-07:00" 
  Operation="HardDelete" 
  OperationResult="Succeeded" 
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy" 
  ClientIPAddress="10.196.241.168" 
  InternalLogonType="Owner"
  MailboxOwnerUPN=tamaraj@contoso.com
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" 
  CrossMailboxOperation="false" 
  LogonUserDN="Administrator"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
  <SourceItems>
   <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
    Subject="Notification of litigation hold"
    FolderPathName="\Recoverable Items\Deletions" /> 
  </SourceItems>
</Event>
Hilfreiche Felder im Postfachüberwachungsprotokoll

Beachten Sie besonders die folgenden Felder. Diese Felder enthalten spezifische Informationen zu den einzelnen Instanzen von Nicht-Besitzer-Zugriffen eines Postfachs.

 

Feld Beschreibung

Owner

Der Besitzer des Postfachs, auf das von einem Nicht-Besitzer zugegriffen wurde.

LastAccessed

Das Datum und die Uhrzeit des Postfachzugriffs.

Operation

Die vom Nicht-Besitzer ausgeführte Aktion. Weitere Informationen finden Sie unter Ausführen eines Berichts zum Postfachzugriff durch Nicht-Besitzer im Abschnitt "Was wird im Postfachüberwachungsprotokoll protokolliert?".

OperationResult

Gibt an, ob die vom Nicht-Besitzer ausgeführte Aktion erfolgreich war.

LogonType

Der Typ des Nicht-Besitzer-Zugriffs. Hierzu zählen Zugriffe durch Administratoren, durch delegierte Benutzer und durch externe Benutzer.

FolderPathName

Der Name des Ordners mit der Nachricht, die von der Aktion des Nicht-Besitzers betroffen war.

ClientInfoString

Informationen zum E-Mail-Client, mit dem der Nicht-Besitzer auf das Postfach zugegriffen hat.

ClientIPAddress

Die IP-Adresse des Computers, mit dem der Nicht-Besitzer auf das Postfach zugegriffen hat.

InternalLogonType

Der Anmeldetyp des Kontos, mit dem der Nicht-Besitzer auf das Postfach zugegriffen hat.

MailboxOwnerUPN

Die E-Mail-Adresse des Postfachbesitzers.

LogonUserDN

Der Anzeigename des Nicht-Besitzers.

Subject

Die Betreffzeile der E-Mail, die von der Aktion des Nicht-Besitzers betroffen war.

 
Verwandte Hilfethemen
Laden...
Keine Ressourcen gefunden.