导出邮箱审核日志

 

适用于: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

上一次修改主题: 2011-11-23

在为某个邮箱启用邮箱审核之后,只要非所有者的用户访问该邮箱,Microsoft Exchange 就会在邮箱审核日志中记录相关信息。每个日志条目都包含以下相关信息:访问邮箱的用户及访问时间、非所有者执行的操作以及是否成功执行操作。默认情况下,邮箱审核日志中的条目将保留 90 天。可以使用邮箱审核日志来确定某个非邮箱所有者的用户是否访问过邮箱。

当您导出邮箱审核日志中的条目时,Microsoft Exchange 会将这些条目保存在一个 XML 文件中,然后将其附加到发送到指定收件人的电子邮件中。

本主题对以下方面进行了说明:

配置邮箱审核日志记录

在可以导出和查看邮箱审核日志之前,必须为您想要审核的每个邮箱启用邮箱审核日志记录。还必须配置 Outlook Web App 以允许 XML 附件。

启用邮箱审核日志记录

对于需要运行非所有者邮箱访问报告的每个邮箱,必须启用邮箱审核日志记录。如果未对邮箱启用邮箱审核日志记录,则当您导出邮箱审核日志时,将不会获得任何结果。

若要对单个邮箱启用邮箱审核日志记录,请运行以下 PowerShell 命令:

Set-Mailbox <Identity> -AuditEnabled $true

若要对组织中所有用户邮箱启用邮箱审核,请运行以下命令:

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
配置 Outlook Web App 以允许 XML 附件

当您导出邮箱审核日志时,Microsoft Exchange 会将审核日志(即一个 XML 文件)附加到一封电子邮件中。但是,默认情况下,Outlook Web App 将阻止 XML 附件。因此,您必须配置 Outlook Web App 以允许 XML 附件,以便您可以访问导出的审核日志。

运行以下命令以在 Outlook Web App 中允许 XML 附件:

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
导出邮箱审核日志

  1. 选择“管理我的组织”>“角色和审核”>“审核”。

  2. 单击“导出邮箱审核日志”。

  3. 配置以下搜索条件以导出邮箱审核日志中的条目:

    • 开始和结束日期   选择要在导出文件中包含的条目的日期范围。

    • 要为其搜索审核日志的邮箱 选择要为其检索审核日志条目的邮箱。

    • 非所有者访问的类型 选择下列选项之一来定义要为其检索条目的非所有者访问类型:

      • 全部非所有者   搜索组织内部的管理员和受委派用户的访问以及 Microsoft 数据中心管理员的访问。

      • 外部用户   搜索 Microsoft 数据中心管理员的访问。

      • 管理员和代理用户   搜索组织内的管理员和代理用户的访问。

      • 管理员 搜索组织内的管理员的访问。

    • 收件人   选择要将邮箱核日志发送到的用户。

  4. 单击“导出”。

    Microsoft Exchange 将在邮箱审核日志中检索符合搜索条件的条目,并将这些条目保存到一个名为 SearchResult.xml 的文件中,然后再将该 XML 文件附加到发送到指定收件人的电子邮件。

  5. 单击“导出”。

    Microsoft Exchange 将在管理员审核日志中检索符合搜索条件的条目,并将这些条目保存到一个名为 SearchResult.xml 的文件中,然后再将该 XML 文件附加到发送到指定收件人的电子邮件。

注意   若要访问和运行 Exchange 控制面板中的“审核报告”选项卡上的任何报告,用户必须获得必需的权限。有关详细信息,请参阅在 Exchange Online 中使用审核报告的“授予用户对审核报告的访问权”一节。

查看邮箱审核日志

打开或保存 SearchResult.xml 文件:

  1. 登录到已将邮箱审核日志发送到的邮箱。

  2. 在“收件箱”中,打开 Microsoft Exchange 发送的带有 XMl 文件附件的邮件。请注意,此电子邮件的正文包含搜索条件。

  3. 单击附件,选择打开或保存 XML 文件。

邮箱审核日志中的条目

以下示例显示 SearchResult.xml 文件中包含的邮箱审核日志的一个条目。每个条目以 <Event> XML 标记开头,并以 </Event> XML 标记结尾。此条目显示,管理员于 2010 年 4 月 30 日从 tamaraj 邮箱的“可恢复的项目”文件夹中清除了主题为“Notification of litigation hold”的邮件。

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" 
  Owner="PPLNSL-dom\tamaraj50001-1363917750" 
  LastAccessed="2010-04-30T11:01:55.140625-07:00" 
  Operation="HardDelete" 
  OperationResult="Succeeded" 
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy" 
  ClientIPAddress="10.196.241.168" 
  InternalLogonType="Owner"
  MailboxOwnerUPN=tamaraj@contoso.com
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" 
  CrossMailboxOperation="false" 
  LogonUserDN="Administrator"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
  <SourceItems>
   <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
    Subject="Notification of litigation hold"
    FolderPathName="\Recoverable Items\Deletions" /> 
  </SourceItems>
</Event>
邮箱审核日志中的有用字段

请留意这些字段。这些字段可帮助您标识有关某个邮箱的每个非所有者访问实例的特定信息。

 

字段 描述

Owner

非所有者访问过的邮箱的所有者。

LastAccessed

访问邮箱的日期和时间。

Operation

非所有者执行的操作。有关详细信息,请参阅运行非所有者邮箱访问报告中的“在邮箱审核日志中记录了哪些内容?”部分。

OperationResult

非所有者执行的操作是成功还是失败。

LogonType

非所有者访问的类型。这些类型包括管理员、受委派用户和外部用户。

FolderPathName

包含受非所有者影响的邮件的文件夹的名称。

ClientInfoString

有关非所有者访问此邮箱所使用的邮件客户端的信息。

ClientIPAddress

非所有者访问此邮箱所使用的计算机的 IP 地址。

InternalLogonType

非所有者访问此邮箱所使用的帐户登录类型。

MailboxOwnerUPN

邮箱所有者的电子邮件地址。

LogonUserDN

非所有者的显示名称。

Subject

受非所有者影响的电子邮件的主题行。

 
相关帮助主题
正在加载...
未找到资源。