Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Cómo investigar elementos del buzón falta o inesperadamente actualizados mediante el uso de Office 365 dedicada del registro de auditoría de buzón

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 2792663
Síntomas
Los elementos de un buzón se actualizan inesperadamente o faltan elementos desde un buzón de Microsoft Office 365 dedicado.
Causa
Este problema se produce porque los elementos pueden mover o eliminar inesperadamente o incorrectamente.
Solución
Para resolver este problema, utilice la secuencia de comandos de MailboxAuditLogSearcher de ejecución de Windows PowerShell y personalizar una búsqueda. Puede utilizar esta secuencia de comandos para investigar las acciones realizadas por los usuarios no propietarios y los administradores. Esta secuencia de comandos exportará el contenido de un archivo de valores simplificada, separados por comas (.csv) para ayudar a solucionar problemas de informes sobre los elementos que faltan o que se actualizan de forma inesperada.

Importante: Se recomienda usar la secuencia de comandos proporcionada por Microsoft Online Services para ayudar a ciertas investigaciones clientes. Las secuencias de comandos de Microsoft Online Services son genéricos y se espera que sea utilizable en todos los entornos de cliente. Si se producen errores cuando se ejecuta una secuencia de comandos, el contenido de la secuencia de comandos debe utilizarse como ejemplo para crear una secuencia de comandos personalizada para el entorno de un cliente determinado. De Microsoft Online Services proporciona la secuencia de comandos como una comodidad a los clientes de O365-D/ITAR sin ninguna garantía, expresa o implícita.

Paso 1: Ejecute la secuencia de comandos

Para ejecutar la secuencia de comandos de MailboxAuditLogSearcher de ejecución , siga estos pasos:
  1. Inicie el Bloc de notas y, a continuación, copie el código de la sección "Más información" en el archivo de Bloc de notas.
  2. En el menú Archivo, haga clic en Guardar como.
  3. En el cuadro Guardar como tipo , haga clic en Todos los archivos.
  4. En el cuadro nombre de archivo , escriba MailboxAuditLogSearcher.ps1 de ejecucióny, a continuación, haga clic en Guardar.
  5. Iniciar Windows PowerShell y, a continuación, conectarse a Windows PowerShell remoto.
  6. Busque el directorio donde guardó la secuencia de comandos y, a continuación, ejecutar la secuencia de comandos.

    Notas:
    • Si ejecuta la secuencia de comandos sin parámetros, se le pedirá que especifique los siguientes parámetros predeterminados:
      • Buzón de correo
      • StartDate
      • EndDate
    • Para buscar entradas desde el día actual, agregue un día para el valor de la fecha de finalización en la ventana de símbolo del sistema. Por ejemplo, si la fecha actual es el 14 de marzo de 2012, y que desea incluir el día actual en la búsqueda, escriba 15/4/2012 la fecha final.

Paso 2: Personalizar una búsqueda de registro de auditoría de buzón

Buzón de registro de auditoría

Permite a los usuarios obtener información acerca de las acciones realizadas por los usuarios no propietarios y administradores de registro de auditoría de buzón. Auditoría de buzón registro sólo está disponible para los miembros del grupo de autoservicio de buzón de informes de auditoría con Windows PowerShell remoto.

Nota: De manera predeterminada, la auditoría no propietario sólo buzón habilitado el registro y auditoría de buzón de correo de propietario está deshabilitado. Si tiene que realizar el registro de auditoría del buzón propietario para investigar un problema específico, puede ser temporalmente habilitar el proceso durante un período de dos semanas.

Para buscar auditoría buzón entradas del registro, según corresponda a su situación, utilice uno de los métodos siguientes:
  • Buscar sincrónicamente en un único buzón. Para ello, ejecute el siguiente cmdlet de Windows PowerShell remoto:
    Search-MailboxAuditLog
    Para obtener más información acerca del cmdlet de Búsqueda MailboxAuditLog , visite el siguiente sitio Web de Microsoft TechNet:
  • Buscar uno o más buzones de forma asincrónica. Para ello, ejecute el siguiente cmdlet de Windows PowerShell remoto:
    New-MailboxAuditLogSearch
    Para obtener más información acerca del cmdlet New-MailboxAuditLogSearch , visite el siguiente sitio Web de Microsoft TechNet:
Para obtener más información acerca de las entradas de registro de auditoría de buzón predeterminado, vaya a la sección "Entradas de registro de auditoría de buzones" del siguiente sitio Web de Microsoft TechNet:

Personalización de una búsqueda

En Office 365 dedicado y ITAR, se conservan las entradas de registro de auditoría de buzón en el buzón durante 90 días. Le pedirá que indique una fecha de inicio y una fecha final para la búsqueda. Puede utilizar varios parámetros opcionales para personalizar la búsqueda. Para obtener una descripción de estos parámetros, consulte la sección "Más información".

Si se encuentran elementos una vez que se ejecuta la secuencia de comandos, recibirá un mensaje similar al siguiente:

Captura de pantalla del resultado después de ejecutar la secuencia de comandos

Este mensaje de ejemplo indica que el proceso de búsqueda ha encontrado 11 entradas. De forma predeterminada, se filtran las entradas FolderBind y permanecen los siguientes tipos de operación:
  • Copia
  • Crear
  • HardDelete
  • MessageBind
  • Mover
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Actualización
Nota: La operación FolderBind indica los tiempos en los que tiene acceso el buzón no es el propietario. Esta es la operación más comunes. No es necesario que ver las operaciones de FolderBind cuando se investiga un artículo que se actualiza o elimina.

Revise el resultado del archivo .csv. Se exportan las columnas más útiles, y algunas de estas columnas se combinan para facilitar la revisión de la salida. Para obtener más información acerca de las columnas que se exportan, consulte la sección "Más información".
Más información

Secuencia de comandos de ejecución MailboxAuditLogSearcher

Para utilizar la secuencia de comandos de ejecución MailboxAuditLogSearcher en el paso 1 del procedimiento en la sección "Resolución", copie el código siguiente en un archivo de texto.

param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @("Operation", "LogonUserDisplayName", "LastAccessed", "DestFolderPathName", "FolderPathName", "ClientInfoString", "ClientIPAddress", "ClientMachineName", "ClientProcessName", "ClientVersion", "LogonType", "MailboxResolvedOwnerName", "OperationResult") } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green "Searching Mailbox Audit Logs..." $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green "$($SearchREsults.Count) Total entries Found" if (-not $IncludeFolderBind) { write-host -fore green "Removing FolderBind operations." $SearchResults = @($SearchResults | ? {$_.Operation -notlike "FolderBind"}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(" ")}}}, @{Name='CrossMailboxOp';e={if (@("SendAs","Create","Update") -contains $_.Operation) {"N/A"} else {$_.CrossMailboxOperation}}})) $LogParameters = @("Subject") + $LogParameters + @("CrossMailboxOp") If ($Subject -ne "" -and $Subject -ne $null) { write-host -fore green "Searching for Subject: $Subject" $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select $LogParameters) }

Parámetros de la secuencia de comandos opcional

La lista siguiente describe los parámetros opcionales que generan resultados diferentes cuando se utilizan junto con la secuencia de comandos de MailboxAuditLogSearcher de ejecución :
  • IncludeFolderBind: Cuando se utiliza este modificador, la operación de FolderBind no se filtra de la salida. Puede utilizar la información de FolderBind para investigar el problema de acceso de buzón.

    Por ejemplo, el siguiente cmdlet busca el "1" buzón de usuario de prueba e incluye todas las operaciones:

    /.Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • Asunto: Cuando se utiliza este modificador, puede especificar al asunto de un elemento con el fin de limitar la búsqueda de las operaciones que se realizan en ese elemento.

    Por ejemplo, el siguiente cmdlet filtra todos los resultados excepto los elementos con el asunto como "Bueno":

    /.Run-MailboxAuditLogSearcher.ps1 -Subject "< Good News >" -Mailbox "< test1@contoso.com >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • ReturnObject: Cuando se utiliza este modificador, el resultado se muestra en la pantalla, pero no se exporta a un archivo. csv.

    Por ejemplo, el cmdlet siguiente muestra el resultado en la pantalla:

    /.Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"

Columnas exportadas desde el archivo .csv

Se exportan las columnas más útiles del archivo .csv. Algunas de estas columnas se combinan para facilitar la revisión de la salida. En la tabla siguiente se muestra las columnas que se exportan.
ColumnasDescripción
Asunto Asunto del elemento
OperaciónAcciones que se realizan en elementos
LogonUserDisplayNameNombre para mostrar del usuario que ha iniciado sesión
LastAccessedHora a la que se realizó la operación
DestFolderPathNameCarpeta de destino para la operación de desplazamiento
FolderPathNameRuta de acceso de la carpeta
ClientInfoStringDetalles sobre el cliente que realiza la operación
ClientIPAddressDirección IP del equipo cliente
ClientMachineNameNombre del equipo cliente
ClientProcessNameNombre del proceso de aplicación de cliente
ClientVersionVersión de la aplicación de cliente
LogonTypeTipo de inicio de sesión del usuario que realiza la operación

Nota: Tipos de inicio de sesión incluye lo siguiente:
  • Delegado para no propietario
  • Administrador
  • Propietario del buzón (no ha iniciado sesión de forma predeterminada)
MailboxResolvedOwnerNameResolver nombre de usuario del buzón

Nota: Resolver nombre tiene el siguiente formato:
Dominio\nombreDeCuentaSAM
OperationResultEstado de la operación

Nota: Resultados de la operación son las siguientes:
  • No se pudo
  • PartiallySucceeded
  • Se realizó correctamente
CrossMailboxOperationInformación sobre si el registro de la operación es una operación entre buzones de correo (por ejemplo, copiar o mover los mensajes entre los buzones)
EXC o365d o365i

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 2792663 - Última revisión: 06/29/2015 07:08:00 - Revisión: 9.0

  • vkbportal226 kbgraphxlink kbmt KB2792663 KbMtes
Comentarios
> display: none; " src="https://c1.microsoft.com/c.gif?DI=4050&did=1&t=">1&t=">/html>