Comment faire pour examiner des éléments de boîte aux lettres manquants ou mise à jour de manière inattendue à l'aide d'audit de boîte aux lettres enregistrement dans Office 365 dédié

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 2792663
Symptômes
Mise à jour des éléments dans une boîte aux lettres inopinément ou éléments sont manquants dans une boîte aux lettres dans Microsoft Office 365 dédié.
Cause
Ce problème se produit parce que les éléments peuvent être déplacés ou supprimés de façon inattendue ou incorrecte.
Résolution
Pour résoudre ce problème, utilisez le script Windows PowerShell Exécuter-MailboxAuditLogSearcher et une recherche personnalisée. Vous pouvez utiliser ce script pour étudier les actions effectuées par les administrateurs et non propriétaires. Ce script va exporter le contenu dans un fichier de valeurs simplifiée, séparées par des virgules (.csv) pour vous aider à résoudre les problèmes de rapports sur les articles qui sont manquants ou qui sont mis à jour inattendue.

Important Les clients sont encouragés à utiliser le script fourni par Microsoft Online Services à l'aide dans certaines enquêtes. Scripts de Microsoft Online Services sont génériques, et qu'ils sont supposés être utilisable dans tous les environnements. Si des erreurs se produisent lorsqu'un script est exécuté, le contenu du script convient par exemple pour créer un script personnalisé pour l'environnement d'un client particulier. Microsoft Online Services fournit le script dans un souci de commodité aux clients O365-D/ITAR sans garantie, expresse ou implicite.

Étape 1: Exécutez le script

Pour exécuter le script de MailboxAuditLogSearcher de l'exécuter , procédez comme suit :
  1. Démarrez le bloc-notes, puis copiez le code à partir de la section « Informations complémentaires » dans le fichier de bloc-notes.
  2. Dans le menu fichier , cliquez sur Enregistrer sous.
  3. Dans la zone type de fichier, cliquez sur Tous les fichiers.
  4. Dans la zone nom de fichier , tapez Exécution-MailboxAuditLogSearcher.ps1, puis cliquez sur Enregistrer.
  5. Démarrez Windows PowerShell et puis connectez-vous à Windows PowerShell à distance.
  6. Recherchez le répertoire dans lequel vous avez enregistré le script, puis exécutez le script.

    Remarques
    • Si vous exécutez le script sans paramètres, vous êtes invité pour les paramètres par défaut suivants :
      • Boîte aux lettres
      • La date de début
      • Date de fin
    • Pour rechercher des entrées à partir du jour en cours, ajoutez un jour à la valeur de date de fin dans la fenêtre d'invite. Par exemple, si la date du jour est le 14 mars 2012 et si vous souhaitez inclure le jour actuel dans votre recherche, entrez 15/4/2012 comme la date de fin.

Étape 2: Personnaliser une recherche des journaux d'audit de boîte aux lettres

Boîte aux lettres de l'enregistrement d'audit

Audit de boîte aux lettres enregistrement permet aux utilisateurs obtiennent des informations sur les actions effectuées par les administrateurs et non propriétaires. Audit de boîte aux lettres enregistrement est disponible pour les membres du groupe Auditer la boîte aux lettres rapports libre-service uniquement à l'aide de Windows PowerShell à distance.

Remarque Par défaut, l'audit de la boîte aux lettres uniquement non propriétaire la journalisation est activée et l'audit de boîte aux lettres propriétaire la journalisation est désactivée. Si vous devez effectuer le propriétaire boîte aux lettres l'enregistrement d'audit pour examiner un problème spécifique, vous pouvez être temporairement activer le processus pour une période de deux semaines.

Pour effectuer une recherche d'audit de boîte aux lettres entrées du journal, en fonction de votre situation, utilisent une des méthodes suivantes :
  • Rechercher une seule boîte aux lettres de façon synchrone. Pour ce faire, exécutez la cmdlet suivante dans Windows PowerShell à distance :
    Search-MailboxAuditLog
    Pour plus d'informations sur l'applet de commande MailboxAuditLog de recherche , consultez le site Web Microsoft TechNet suivant :
  • Rechercher une ou plusieurs boîtes aux lettres de façon asynchrone. Pour ce faire, exécutez la cmdlet suivante dans Windows PowerShell à distance :
    New-MailboxAuditLogSearch
    Pour plus d'informations sur l'applet de commande New-MailboxAuditLogSearch , consultez le site Web Microsoft TechNet suivant :
Pour plus d'informations sur les entrées du journal d'audit par défaut boîte aux lettres, consultez la section « Entrées du journal d'audit boîte aux lettres » du site Web Microsoft TechNet suivant :

Personnalisation d'une recherche

Dans Office 365 dédié et ITAR, entrées de journal d'audit de boîte aux lettres sont conservées dans la boîte aux lettres pendant 90 jours. Vous êtes invité à indiquer une date de début et de fin pour la recherche. Vous pouvez utiliser plusieurs paramètres facultatifs pour personnaliser la recherche. Pour obtenir une description de ces paramètres, consultez la section « Informations complémentaires ».

Si les éléments sont trouvent après l'exécution du script, vous recevez un message d'erreur semblable au suivant :

Capture d'écran du résultat après avoir exécuté le script

Cet exemple de message indique que le processus de recherche a trouvé des 11 écritures. Par défaut, les entrées de FolderBind sont filtrées et restent les types d'opération suivants :
  • Copie
  • Créer
  • HardDelete
  • MessageBind
  • Déplacer
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Mise à jour
Remarque : L'opération FolderBind indique les heures auxquelles la boîte aux lettres est accessible par un non-propriétaire. Il s'agit de l'opération la plus courante. Vous n'avez pas à afficher les opérations de FolderBind lorsque vous recherchez un élément qui est mis à jour ou supprimé.

Examinez la sortie du fichier .csv. Les colonnes plus utiles sont exportés, et certaines de ces colonnes sont fusionnés pour rendre la sortie plus facile à vérifier. Pour plus d'informations sur les colonnes qui sont exportés, consultez la section « Informations complémentaires ».
Plus d'informations

Script d'exécution-MailboxAuditLogSearcher

Pour utiliser le script de MailboxAuditLogSearcher de l'exécution à l'étape 1 de la procédure décrite dans la section « Résolution », copiez le code suivant dans un fichier texte.

param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @("Operation", "LogonUserDisplayName", "LastAccessed", "DestFolderPathName", "FolderPathName", "ClientInfoString", "ClientIPAddress", "ClientMachineName", "ClientProcessName", "ClientVersion", "LogonType", "MailboxResolvedOwnerName", "OperationResult") } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green "Searching Mailbox Audit Logs..." $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green "$($SearchREsults.Count) Total entries Found" if (-not $IncludeFolderBind) { write-host -fore green "Removing FolderBind operations." $SearchResults = @($SearchResults | ? {$_.Operation -notlike "FolderBind"}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(" ")}}}, @{Name='CrossMailboxOp';e={if (@("SendAs","Create","Update") -contains $_.Operation) {"N/A"} else {$_.CrossMailboxOperation}}})) $LogParameters = @("Subject") + $LogParameters + @("CrossMailboxOp") If ($Subject -ne "" -and $Subject -ne $null) { write-host -fore green "Searching for Subject: $Subject" $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select $LogParameters) }

Paramètres de script facultatif

La liste suivante décrit les paramètres facultatifs qui génèrent des résultats différents lorsqu'ils sont utilisés avec le script d'Exécution-MailboxAuditLogSearcher :
  • IncludeFolderBind : Lorsque vous utilisez ce commutateur, l'opération FolderBind n'est pas filtrée de la sortie. Vous pouvez utiliser les informations de FolderBind pour analyser le problème d'accès aux boîtes aux lettres.

    Par exemple, l'applet de commande suivante recherche le « utilisateur Test 1" boîte aux lettres et inclut toutes les opérations :

    /.Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • Sujet : Lorsque vous utilisez ce commutateur, vous pouvez spécifier l'objet d'un élément afin de limiter la recherche pour les opérations qui sont effectuées sur cet élément.

    Par exemple, l'applet de commande suivant filtre tous les résultats, à l'exception des éléments qui ont l'objet défini comme « Bonne » :

    /.Run-MailboxAuditLogSearcher.ps1 -Subject "< Good News >" -Mailbox "< test1@contoso.com >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • ReturnObject: Lorsque vous utilisez ce commutateur, le résultat est affiché à l'écran, mais il n'est pas exportée vers un fichier .csv.

    Par exemple, l'applet de commande suivante affiche la sortie à l'écran :

    /.Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"

Colonnes exportées à partir du fichier .csv

Les colonnes les plus utiles du fichier .csv sont exportés. Certaines de ces colonnes sont fusionnés pour rendre la sortie plus facile à consulter. Le tableau suivant répertorie les colonnes qui sont exportés.
ColonnesDescription
Sujet Objet d'article
OpérationLes actions effectuées sur les éléments
LogonUserDisplayNameNom complet de l'utilisateur qui a ouvert une session
LastAccessedHeure à laquelle l'opération a été effectuée
DestFolderPathNameDossier de destination pour l'opération de déplacement
FolderPathNameChemin d'accès du dossier
ClientInfoStringPlus d'informations sur le client qui effectue l'opération
ClientIPAddressAdresse IP de l'ordinateur client
ClientMachineNameNom de l'ordinateur client
ClientProcessNameNom du processus de demande de client
ClientVersionVersion de l'application cliente
Type d'accèsType d'ouverture de session de l'utilisateur qui effectue l'opération

Remarque Types d'ouverture de session comprend les éléments suivants :
  • Délégué pour non propriétaire
  • Administrateur
  • Propriétaire de boîte aux lettres (ne pas enregistré par défaut)
MailboxResolvedOwnerNameRésolution de nom d'utilisateur de boîte aux lettres

Remarque Résolution de nom est au format suivant :
Domaine\NomCompteSAM
OperationResultÉtat de l'opération

Remarque Résultats de l'opération sont les suivantes :
  • Échec de la
  • PartiallySucceeded
  • A réussi.
CrossMailboxOperationInformation indiquant si l'opération connectée est une opération de cross-boîte aux lettres (par exemple, les messages copies ou le déplacement des boîtes aux lettres)
Exc o365d o365i

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 2792663 - Dernière mise à jour : 06/29/2015 07:09:00 - Révision : 9.0

  • vkbportal226 kbgraphxlink kbmt KB2792663 KbMtfr
Commentaires