匯出郵箱稽核記錄檔

 

適用版本: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

上次修改主題的時間: 2011-11-23

如果郵箱已啟用郵箱稽核,每當擁有人以外的用戶存取郵箱時,Microsoft Exchange 就會在「郵箱稽核記錄檔」中記錄相關資訊。每個記錄項目都包括下列相關資訊:存取郵箱的人員和時間、非擁有人所執行的動作,以及動作是否成功完成。郵箱稽核記錄檔預設會保留在郵箱中 90 天。您可以使用郵箱稽核記錄檔來判斷是否擁有人以外的用戶存取了郵箱。

當您從郵箱稽核記錄檔中匯出項目時,Microsoft Exchange 會將這些項目儲存在 XML 檔案中,然後附加到傳送至指定收件者的電郵。

本主題將說明下列事項:

設定郵箱稽核記錄

您必須針對想要稽核的每一個郵箱啟用郵箱稽核記錄,然後才可以匯出及檢視郵箱稽核記錄檔。您也必須設定 Outlook Web App 允許 XML 附件。

啟用郵箱稽核記錄

您必須針對想要執行非擁有人郵箱存取報告的每個郵箱啟用郵箱稽核記錄。如果未針對郵箱啟用郵箱稽核記錄,當您匯出郵箱稽核記錄檔時,就不會得到任何結果。

若要針對單一郵箱啟用郵箱稽核記錄,請執行下列 PowerShell 命令:

Set-Mailbox <Identity> -AuditEnabled $true

若要針對組織內的所有用戶郵箱啟用郵箱稽核,請執行下列命令:

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
設定 Outlook Web App 允許 XML 附件

當您匯出郵箱稽核記錄檔時,Microsoft Exchange 會將稽核記錄檔 (也就是 XML 檔案) 附加到電郵。但是,Outlook Web App 預設會封鎖 XML 附件。您必須設定 Outlook Web App 允許 XML 附件,好讓您可以存取匯出的稽核記錄檔。

執行下列命令,允許 Outlook Web App 中的 XML 附件:

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
匯出郵箱稽核記錄檔

  1. 選取 [管理我的組織] > [角色和稽核] > [稽核]。

  2. 按一下 [匯出郵箱稽核記錄]。

  3. 設定下列搜尋準則,匯出郵箱稽核記錄檔中的項目:

    • 開始和結束日期:選取要併入匯出檔案中之項目的日期範圍。

    • 要搜尋稽核記錄檔的郵箱:選取要擷取稽核記錄檔項目的郵箱。

    • 非擁有人存取的類型:選取下列其中一個選項來定義要擷取項目的非擁有人存取類型:

      • 所有非擁有人:搜尋組織內的系統管理員和委派的用戶以及 Microsoft 資料中心系統管理員的存取。

      • 外部用戶:搜尋 Microsoft 資料中心系統管理員的存取。

      • 系統管理員和委派的用戶:搜尋組織內的系統管理員和委派的用戶的存取。

      • 系統管理員:搜尋組織內系統管理員的存取。

    • 收件者:選取要將郵箱稽核記錄檔傳送給哪些用戶。

  4. 按一下 [匯出]。

    Microsoft Exchange 會擷取郵箱稽核記錄檔中符合您搜尋準則的項目,並將這些項目儲存在名為 SearchResult.xml 的檔案中,然後在送給指定之收件者的電郵中附加這個 XML 檔案。

  5. 按一下 [匯出]。

    Microsoft Exchange 會擷取系統管理員稽核記錄中符合您搜尋準則的項目,並將這些項目儲存在名為 SearchResult.xml 的檔案中,然後在送給指定之收件者的電郵中附加這個 XML 檔案。

注意:若要在 Exchange 控制台中的 [稽核報告] 索引標籤上存取和執行任何報告,使用者必須獲得指派必要的權限。如需詳細資訊,請參閱在 Exchange Online 中使用稽核報告的<讓使用者能夠存取稽核報告>一節。

檢視郵箱稽核記錄檔

若要開啟或儲存 SearchResult.xml 檔案:

  1. 登入已傳送郵箱稽核記錄檔的郵箱。

  2. 在收件匣中,開啟含有 Microsoft Exchange 傳送之 XML 檔案附件的郵件。請注意,電郵的內文包含了搜尋準則。

  3. 按一下附件並選取它,即可開啟或儲存此 XML 檔案。

郵箱稽核記錄檔中的項目

下列範例會顯示 SearchResult.xml 檔案所包含之郵箱稽核記錄檔中的項目。每一個項目的前面都有 <Event> XML 標記並以 </Event> XML 標記結束。這個項目顯示,系統管理員在 2010 年 4 月 30 日,從 tamaraj 郵箱的 [可復原的項目] 資料夾中清除了主旨為 "Notification of litigation hold" 的電郵。

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" 
  Owner="PPLNSL-dom\tamaraj50001-1363917750" 
  LastAccessed="2010-04-30T11:01:55.140625-07:00" 
  Operation="HardDelete" 
  OperationResult="Succeeded" 
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy" 
  ClientIPAddress="10.196.241.168" 
  InternalLogonType="Owner"
  MailboxOwnerUPN=tamaraj@contoso.com
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" 
  CrossMailboxOperation="false" 
  LogonUserDN="Administrator"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
  <SourceItems>
   <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
    Subject="Notification of litigation hold"
    FolderPathName="\Recoverable Items\Deletions" /> 
  </SourceItems>
</Event>
郵箱稽核記錄檔中的實用欄位

請注意這些欄位,這些欄位可幫助您辨識非擁有人存取郵箱之每一個例項的相關特定資訊。

 

欄位 描述

Owner

非擁有人存取之郵箱的擁有人。

LastAccessed

存取郵箱的日期和時間。

Operation

非擁有人執行的動作。如需詳細資訊,請參閱執行非擁有人郵箱存取報告中的<哪些內容會記錄在郵箱稽核記錄檔中?>一節。

OperationResult

非擁有人執行的動作成功還是失敗。

LogonType

非擁有人的存取類型。其中包括系統管理員、代理人和外部人員。

FolderPathName

資料夾的名稱,其中包含受到非擁有人所影響的郵件。

ClientInfoString

有關非擁有人存取郵箱所使用之郵件用戶端的資訊。

ClientIPAddress

非擁有人存取郵箱所使用之電腦的 IP 位址。

InternalLogonType

非擁有人存取這個郵箱所使用之帳戶的登入類型。

MailboxOwnerUPN

郵箱擁有人的電郵地址。

LogonUserDN

非擁有人的顯示名稱。

Subject

受到非擁有人所影響之電郵的主旨行。

 
相關說明主題
正在載入...
找不到資源。