Wie zu fehlenden oder unerwartet aktualisierte Postfachelemente mit Postfach Überwachungsprotokollierung in Office 365 dedizierte untersuchen

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 2792663
Problembeschreibung
Elemente in einem Postfach werden unerwartet aktualisiert oder Elemente fehlen aus einem Postfach in Microsoft Office 365 gewidmet.
Ursache
Dieses Problem tritt auf, weil Elemente möglicherweise verschoben oder, unerwartet oder fehlerhaft gelöscht.
Lösung
Um dieses Problem zu beheben, verwenden Sie das Windows PowerShell-Skript Ausführen MailboxAuditLogSearcher und passen Sie eine Suche an. Mit diesem Skript können Sie um Aktionen zu untersuchen, die von nicht-Besitzer und Administratoren ausgeführt werden. Dieses Skript wird Dateien mit beheben Berichte zu Elementen, die fehlen oder unerwartet werden aktualisiert, vereinfachte, durch Kommas getrennte Werte (CSV) exportieren.

Wichtig Benutzer werden aufgefordert, das Skript zu verwenden, das Microsoft Online Services zu bestimmten Untersuchungen zur Verfügung. Microsoft Online Services-Skripts sind generisch, und sie werden voraussichtlich in allen Kundenumgebungen verwendet werden. Wenn Fehler auftreten, wenn ein Skript ausgeführt wird, sollte der Inhalt des Skripts zum Erstellen eines benutzerdefinierten Skripts für einen bestimmten Kundenumgebung als Beispiel verwendet. Microsoft Online Services bietet das Skript aus Gründen der Benutzerfreundlichkeit O365-D/ITAR-Kunden ohne Gewährleistung, ob ausdrücklich oder konkludent.

Schritt 1: Führen Sie das Skript

Führen Sie das Skript Ausführen MailboxAuditLogSearcher gehen Sie folgendermaßen vor:
  1. Starten Sie Editor, und kopieren Sie den Code im Abschnitt "Weitere Informationen" in der Editor-Datei.
  2. Klicken Sie im Menü Datei auf Speichern unter.
  3. Klicken Sie im Feld Dateityp auf Alle Dateien.
  4. Geben Sie im Feld DateinameAusführen MailboxAuditLogSearcher.ps1, und klicken Sie dann auf Speichern.
  5. Windows PowerShell starten und Verbinden mit Remote Windows PowerShell.
  6. Suchen Sie das Verzeichnis, in dem das Skript gespeichert, und dann führen Sie das Skript aus.

    Hinweise
    • Wenn Sie das Skript ohne Parameter ausführen, werden Sie aufgefordert, die folgenden Standardparameter einzugeben:
      • Postfach
      • Startdatum
      • Enddatum
    • Um Einträge aus der aktuellen Tag suchen, Hinzufügen eines Tages auf den End-Datumswert im Eingabeaufforderungsfenster. Angenommen, wenn das aktuelle Datum am 14. März 2012 ist und Sie am aktuellen Tag in die Suche einschließen möchten, geben Sie 4/15/2012 als das Enddatum.

Schritt 2: Anpassen einer Mailbox Audit Log-Suche

Postfach Überwachungsprotokollierung

Postfach der Überwachungsprotokollierung können Benutzer über Aktionen informieren, die von nicht-Eigentümer und Administratoren ausgeführt werden. Postfach Audit Protokollierung ist nur in entfernten Windows PowerShell für Mitglieder der Gruppe "Audit Reporting Postfach Self-service".

Hinweis Standardmäßig nur nicht Besitzer Postfach Audit-Protokollierung aktiviert ist, und Besitzer Postfach Audit-Protokollierung ist deaktiviert. Wenn Sie ausführen müssen, Besitzer Postfach-Überwachungsprotokollierung, um ein bestimmtes Problem zu untersuchen, können Sie werden vorübergehend aktivieren den Prozess für einen Zeitraum von zwei Wochen.

Postfach Audit suchen verwenden Sie Protokolleinträge, je nach Ihrer Situation eine der folgenden Methoden:
  • Suchen Sie ein einzelnes Postfach synchron. Führen Sie hierzu das folgende Cmdlet in Remote Windows PowerShell:
    Search-MailboxAuditLog
    Weitere Informationen über das Suche-MailboxAuditLog -Cmdlet finden Sie auf der folgenden Microsoft TechNet-Website:
  • Ein oder mehrere Postfächer asynchron ausgeführt. Führen Sie hierzu das folgende Cmdlet in Remote Windows PowerShell:
    New-MailboxAuditLogSearch
    Weitere Informationen über das Cmdlet " New-MailboxAuditLogSearch " finden Sie auf der folgenden Microsoft TechNet-Website:
Weitere Informationen über die Standard-Postfach Überwachungseinträge Protokollierung gehen Sie zum Abschnitt "Prüfprotokolleinträge Mailbox" von der folgenden Microsoft TechNet-Website:

Suche anpassen

In Office 365 dedizierte und ITAR bleiben Postfacheinträge Audit-Protokollierung im Postfach für 90 Tage. Sie werden aufgefordert, ein Start- und Enddatum für die Suche anzugeben. Mehrere optionale Parameter können Sie die Suche anzupassen. Eine Beschreibung dieser Parameter finden Sie im Abschnitt "Weitere Informationen".

Wenn Objekte gefunden werden, nachdem das Skript ausgeführt wird, erhalten Sie eine Meldung, die die folgenden ähnelt:

Screenshot des Ergebnisses nach dem Ausführen des Skripts

Diese Beispielmeldung zeigt an, dass der Suchvorgang 11 Einträge gefunden hat. Standardmäßig die FolderBind Einträge werden herausgefiltert und bleiben die folgenden Vorgang:
  • Kopieren
  • Erstellen
  • HardDelete
  • MessageBind
  • Verschieben
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Update
Hinweis Der Vorgang FolderBind gibt die Zeiten des Postfachs von einem Nichtbesitzer erfolgt. Dies ist die am häufigsten ausgeführte Operation. Sie müssen keinen FolderBind Vorgänge anzeigen, wenn Sie ein Element zu untersuchen, die aktualisiert oder gelöscht wird.

Überprüfen Sie die Ausgabe der CSV-Datei. Die nützlichsten Spalten exportiert werden, und einige dieser Spalten werden zusammengeführt, um die Ausgabe verbessern. Weitere Informationen zu den Spalten, die exportiert werden, finden Sie im Abschnitt "Weitere Informationen".
Weitere Informationen

Skript ausführen MailboxAuditLogSearcher

Um das Skript ausführen MailboxAuditLogSearcher in Schritt 1 des Verfahrens im Abschnitt "Lösung" verwenden, kopieren Sie den folgenden Code in eine Textdatei.

param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @("Operation", "LogonUserDisplayName", "LastAccessed", "DestFolderPathName", "FolderPathName", "ClientInfoString", "ClientIPAddress", "ClientMachineName", "ClientProcessName", "ClientVersion", "LogonType", "MailboxResolvedOwnerName", "OperationResult") } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green "Searching Mailbox Audit Logs..." $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green "$($SearchREsults.Count) Total entries Found" if (-not $IncludeFolderBind) { write-host -fore green "Removing FolderBind operations." $SearchResults = @($SearchResults | ? {$_.Operation -notlike "FolderBind"}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(" ")}}}, @{Name='CrossMailboxOp';e={if (@("SendAs","Create","Update") -contains $_.Operation) {"N/A"} else {$_.CrossMailboxOperation}}})) $LogParameters = @("Subject") + $LogParameters + @("CrossMailboxOp") If ($Subject -ne "" -and $Subject -ne $null) { write-host -fore green "Searching for Subject: $Subject" $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select $LogParameters) }

Optionale Parameter

Die folgende Liste beschreibt optionale Parameter, die unterschiedliche Ergebnisse erzeugen, wenn sie zusammen mit der Run-MailboxAuditLogSearcher -Skript verwendet werden:
  • IncludeFolderBind: Wenn Sie diese Option verwenden, wird FolderBind von der Ausgabe gefiltert. FolderBind Informationen können Sie die um Mailbox Access Problem zu untersuchen.

    Z. B. das folgende Cmdlet sucht die "Benutzerpostfach Test 1" und alle Vorgänge umfasst:

    /.Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • Betreff: Bei Verwendung dieser Befehlszeilenoption können Sie den Betreff eines Elements angeben, um die Suche für Vorgänge zu begrenzen, die für diesen Artikel ausgeführt werden.

    Beispielsweise filtert das folgende Cmdlet alle Ausgaben, mit Ausnahme der Elemente mit dem Betreff als "Gute Nachrichten" festlegen:

    /.Run-MailboxAuditLogSearcher.ps1 -Subject "< Good News >" -Mailbox "< test1@contoso.com >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • ReturnObject: Wenn Sie diese Option verwenden, wird das Ergebnis auf dem Bildschirm angezeigt, aber es wird nicht in eine CSV-Datei exportiert.

    Beispielsweise zeigt das folgende Cmdlet die Ausgabe auf dem Bildschirm:

    /.Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"

Exportieren von Spalten in der CSV-Datei

Die nützlichsten Spalten der CSV-Datei exportiert werden. Einige dieser Spalten werden zusammengeführt, um die Ausgabe verbessern. Die folgende Tabelle beschreibt die Spalten, die exportiert werden.
SpaltenBeschreibung
Betreff Betreff des Artikels
VorgangAktionen, die für Elemente ausgeführt werden
LogonUserDisplayNameAnzeigename des Benutzers, der angemeldet ist
LastAccessedZeitpunkt, an dem der Vorgang ausgeführt wurde
DestFolderPathNameZielordner für den Vorgang
FolderPathNamePfad des Ordners
ClientInfoStringInformationen über den Client, der den Vorgang ausführt
ClientIPAddressIP-Adresse für den Clientcomputer
ClientMachineNameName des Clientcomputers
ClientProcessNameName der der Client-Anwendung
ClientVersionVersion der Client-Anwendung
LogonTypeAnmeldungstyp des Benutzers, der den Vorgang ausführt

Hinweis Anmeldetypen umfasst Folgendes:
  • Delegaten für nicht-Eigentümer
  • Administrator
  • Besitzer des Postfachs (in der Standardeinstellung nicht angemeldet)
MailboxResolvedOwnerNameAufgelöste Name der Mailbox-Nutzer

Hinweis Aufgelöste Name wird im folgenden Format:
Domäne\SAMKontoname
OperationResultStatus des Vorgangs

Hinweis Die folgenden: Ergebnisse
  • Fehler bei
  • Teilweise erfolgreich
  • Wurde erfolgreich abgeschlossen
CrossMailboxOperationInformationen dazu, ob der Vorgang protokolliert eine Mailbox-übergreifende Vorgang (z. B. kopieren oder verschieben Nachrichten unter Postfächer)
Exkl o365d o365i

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 2792663 – Letzte Überarbeitung: 06/29/2015 07:08:00 – Revision: 9.0

  • vkbportal226 kbgraphxlink kbmt KB2792663 KbMtde
Feedback