Exporter les journaux d'audit de boîte aux lettres

 

S'applique à : Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Dernière rubrique modifiée : 2011-11-23

Lorsque l'audit de boîte aux lettres est activé pour une boîte aux lettres, Microsoft Exchange entre les informations dans le journal d'audit de la boîte aux lettres chaque fois qu'un utilisateur autre que le propriétaire accède à la boîte aux lettres. Chaque entrée du journal inclut des informations sur qui a accédé à la boîte aux lettres et quand, les actions effectuées par le non-propriétaire, et si l'action a réussi. Les entrées dans le journal d'audit de la boîte aux lettres sont conservées pendant 90 jours par défaut. Vous pouvez utiliser le journal d'audit de la boîte aux lettres pour déterminer si un utilisateur autre que le propriétaire a accédé à une boîte aux lettres.

Lorsque vous exportez des entrées des journaux d'audit de boîte aux lettres, Microsoft Exchange enregistre les entrées dans un fichier XML et l'inclut en pièce jointe dans un message électronique envoyé aux destinataires spécifiés.

Cette rubrique présente les points suivants :

Configurer l'enregistrement d'audit de boîte aux lettres

Vous devez activer l'enregistrement d'audit de boîte aux lettres sur chaque boîte aux lettres que vous souhaitez auditer avant de pouvoir exporter et consulter des journaux d'audit de boîte aux lettres. Vous devez également configurer Outlook Web App pour autoriser les pièces jointes XML.

Activer l'enregistrement d'audit de boîte aux lettres

Vous devez activer l'enregistrement d'audit de boîte aux lettres pour chaque boîte aux lettres pour laquelle vous souhaitez exécuter un rapport d'accès aux boîtes aux lettres par un non-propriétaire. Si l'enregistrement d'audit de boîte aux lettres n'est pas activé pour une boîte aux lettres, vous n'obtiendrez pas de résultats lorsque vous exporterez le journal d'audit de boîte aux lettres.

Pour activer l'enregistrement d'audit de boîte aux lettres pour une boîte aux lettres unique, exécutez la commande PowerShell suivante :

Set-Mailbox <Identity> -AuditEnabled $true

Pour activer l'audit de boîte aux lettres pour toutes les boîtes aux lettres utilisateur dans votre organisation, exécutez les commandes suivantes :

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Configurer Outlook Web App pour autoriser les pièces jointes XML

Lorsque vous exportez le journal d'audit de boîte aux lettres, Microsoft Exchange joint le journal d'audit, qui est un fichier XML à un message électronique. Toutefois, Outlook Web App bloque les pièces jointes XML par défaut. Vous devez configurer Outlook Web App pour autoriser les pièces jointes XML afin de pouvoir accéder au journal d'audit exporté.

Exécutez la commande suivante pour autoriser les pièces jointes XML dans Outlook Web App :

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
Exporter le journal d'audit de boîte aux lettres

  1. Sélectionnez Gérer mon organisation > Rôles & Audit > Audit.

  2. Cliquez sur Exporter le journal d'audit de boîte aux lettres.

  3. Configurez les critères de recherche suivants pour l'exportation des entrées du journal d'audit de boîte aux lettres :

    • Dates de début et de fin   Sélectionnez la plage de dates pour les entrées à inclure dans le fichier exporté.

    • Boîtes aux lettres à rechercher dans le journal d'audit   Sélectionnez les boîtes aux lettres pour lesquelles extraire des entrées de journal d'audit.

    • Type d'accès non propriétaire   Sélectionnez une des options suivantes pour définir le type d'accès non propriétaire pour lequel extraire des entrées :

      • Tous les non-propriétaires   Recherchez les accès par les administrateurs et les utilisateurs délégués au sein de votre organisation, et par les administrateurs du centre de données Microsoft.

      • Utilisateurs externes   Recherchez uniquement les accès par les administrateurs du centre de données Microsoft.

      • Administrateurs et utilisateurs délégués   Recherchez les accès par les administrateurs et les utilisateurs délégués au sein de votre organisation.

      • Administrateurs   Recherchez les accès par les administrateurs au sein de votre organisation.

    • Destinataires   Sélectionnez les utilisateurs auxquels envoyer le journal d'audit de la boîte aux lettres.

  4. Cliquez sur Exporter.

    Microsoft Exchange extrait les entrées du journal d'audit de boîte aux lettres qui répondent à vos critères de recherche, les enregistre dans un fichier nommé SearchResult.xml, puis joint le fichier XML à un message électronique envoyé aux destinataires que vous avez spécifiés.

  5. Cliquez sur Exporter.

    Microsoft Exchange extrait les entrées du journal d'audit d'administrateur qui répondent à vos critères de recherche, les enregistre dans un fichier nommé SearchResult.xml, puis joint le fichier XML à un message électronique envoyé aux destinataires que vous avez spécifiés.

Remarque   Pour accéder à un rapport figurant sous l'onglet Rapports d'audit du Panneau de configuration Exchange et l'exécuter, un utilisateur doit disposer des autorisations nécessaires. Pour plus d'informations, consultez la section « Donner aux utilisateurs l'accès aux rapports d'audit » de la rubrique Utiliser les rapports d'audit dans Exchange Online.

Consulter le journal d'audit de boîte aux lettres

Pour ouvrir ou enregistrer le fichier SearchResult.xml :

  1. Connectez-vous à la boîte aux lettres à laquelle le journal d'audit de la boîte aux lettres a été envoyé.

  2. Dans la boîte de réception, ouvrez le message contenant la pièce jointe de fichier XML envoyée par Microsoft Exchange. Remarquez que le corps du message électronique contient les critères de recherche.

  3. Cliquez sur la pièce jointe et choisissez d'ouvrir ou d'enregistrer le fichier XML.

Entrées dans le journal d'audit de boîte aux lettres

L'exemple suivant affiche une entrée du journal d'audit de la boîte aux lettres contenu dans le fichier SearchResult.xml. Chaque entrée est précédée par la balise XML <Event> et se termine par la balise XML </Event>. Cette entrée indique que l'administrateur a supprimé le message avec l'objet « Notification of litigation hold » du dossier Éléments récupérables dans la boîte aux lettres de tamaraj le 30 avril 2010.

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" 
  Owner="PPLNSL-dom\tamaraj50001-1363917750" 
  LastAccessed="2010-04-30T11:01:55.140625-07:00" 
  Operation="HardDelete" 
  OperationResult="Succeeded" 
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy" 
  ClientIPAddress="10.196.241.168" 
  InternalLogonType="Owner"
  MailboxOwnerUPN=tamaraj@contoso.com
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" 
  CrossMailboxOperation="false" 
  LogonUserDN="Administrator"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
  <SourceItems>
   <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
    Subject="Notification of litigation hold"
    FolderPathName="\Recoverable Items\Deletions" /> 
  </SourceItems>
</Event>
Champs utiles dans le journal d'audit de boîte aux lettres

Observez ces champs. Ils peuvent vous aider à identifier les informations spécifiques à propos de chaque instance d'accès non propriétaire à une boîte aux lettres.

 

Champ Description

Owner

Propriétaire de la boîte aux lettres à laquelle un non-propriétaire a accédé.

LastAccessed

Date et heure de l'accès à la boîte aux lettres.

Operation

Action effectuée par le non-propriétaire. Pour plus d'informations, consultez la section « What gets logged in the mailbox audit log? » (Éléments enregistrés dans le journal d'audit de la boîte aux lettres) dans la rubrique Exécuter un rapport d'accès aux boîtes aux lettres par des non-propriétaires

OperationResult

Si l'action effectuée par le non-propriétaire a réussi ou échoué.

LogonType

Type d'accès non propriétaire. Ceux-ci incluent administrateur, délégué et externe.

FolderPathName

Nom du dossier qui a contenu le message qui a été affecté par le non-propriétaire.

ClientInfoString

Informations sur le client de messagerie utilisé par le non-propriétaire pour accéder à la boîte aux lettres.

ClientIPAddress

Adresse IP de l'ordinateur utilisée par le non-propriétaire pour accéder à la boîte aux lettres.

InternalLogonType

Type d'ouverture de session du compte utilisé par le non-propriétaire pour accéder à cette boîte aux lettres.

MailboxOwnerUPN

Adresse de messagerie du propriétaire de boîte aux lettres.

LogonUserDN

Nom d'affichage du non-propriétaire.

Subject

Ligne d'objet du message électronique qui a été affecté par le non-propriétaire.

 
Rubriques connexes
Chargement...
Aucune ressource n'a été trouvée.