Cara untuk menyelidiki hilang atau tiba-tiba diperbarui item kotak pesan menggunakan audit kotak surat masuk Office 365 khusus

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 2792663
Gejala
Item di kotak surat yang diperbarui secara tiba-tiba atau item hilang dari kotak surat di Microsoft Office 365 khusus.
Penyebab
Masalah ini terjadi karena item yang dapat dipindahkan atau dihapus secara tidak terduga atau salah.
Pemecahan masalah
Untuk mengatasi masalah ini, gunakan skrip Windows PowerShell Run MailboxAuditLogSearcher , dan menyesuaikan pencarian. Anda dapat menggunakan skrip ini untuk menyelidiki tindakan yang dilakukan oleh administrator dan non-pemilik. Skrip ini akan mengekspor konten pada berkas sederhana, comma separated values (.csv) untuk membantu Anda memecahkan masalah laporan tentang item yang hilang atau yang diperbarui secara tiba-tiba.

Penting Pelanggan dianjurkan untuk menggunakan skrip yang disediakan oleh Layanan Online Microsoft untuk membantu dalam penyelidikan tertentu. Layanan Online Microsoft skrip asli, dan mereka diharapkan untuk digunakan di semua pelanggan lingkungan. Jika kesalahan terjadi saat skrip dijalankan, isi dari skrip harus digunakan sebagai contoh untuk membuat skrip kustom untuk lingkungan pelanggan tertentu. Layanan Online Microsoft menyediakan skrip sebagai kenyamanan bagi pelanggan O365-D/ITAR tanpa garansi, tersurat maupun tersirat.

Langkah 1: Menjalankan skrip

Untuk menjalankan skrip MailboxAuditLogSearcher dijalankan , ikuti langkah-langkah berikut:
  1. Mulai Notepad, dan kemudian Salin kode dari bagian "Informasi selengkapnya" ke berkas Notepad.
  2. Pada File menu, klik Simpan sebagai.
  3. Di kotak Simpan sebagai jenis , klik Semua berkas.
  4. Di kotak nama berkas , ketik Jalankan-MailboxAuditLogSearcher.ps1, kemudian klik Simpan.
  5. Mulai Windows PowerShell, dan kemudian menyambung ke Windows PowerShell jarak jauh.
  6. Temukan direktori di mana Anda menyimpan skrip, dan kemudian menjalankan skrip.

    Catatan
    • Jika Anda menjalankan skrip tanpa parameter, Anda diminta untuk parameter default berikut ini:
      • Kotak surat
      • StartDate
      • EndDate
    • Untuk Telisik entri dari hari saat ini, tambahkan satu hari ke nilai tanggal berakhir di jendela prompt. Sebagai contoh, jika tanggal 14 Maret 2012, dan Anda ingin menyertakan hari saat ini dalam pencarian, masukkan 15/4/2012 sebagai tanggal akhir.

Langkah 2: Sesuaikan pencarian log audit kotak surat

Log audit kotak surat

Audit kotak surat pengelogan memungkinkan pengguna mendapatkan informasi tentang tindakan yang dilakukan oleh administrator dan non-pemilik. Audit kotak surat pengelogan tersedia untuk Kelompok anggota layanan mandiri Audit pelaporan Surat hanya menggunakan Windows PowerShell jarak jauh.

Catatan secara asali, hanya bukan pemilik kotak surat audit pencatatan diaktifkan, dan pemilik kotak surat audit pengelogan dinonaktifkan. Jika Anda harus melakukan pemilik kotak surat audit pengelogan untuk menyelidiki masalah tertentu, Anda dapat menjadi sementara mengaktifkan proses selama periode dua minggu.

Untuk Telisik kotak pesan audit entri log, yang sesuai untuk situasi Anda, gunakan salah satu dari metode berikut ini:
  • Cari kotak pesan tunggal serentak. Untuk melakukannya, Jalankan cmdlet berikut di Windows PowerShell jarak jauh:
    Search-MailboxAuditLog
    Untuk informasi selengkapnya tentang cmdlet MailboxAuditLog pencarian , kunjungi situs web Microsoft TechNet berikut:
  • Cari satu atau beberapa pesan asinkron. Untuk melakukannya, Jalankan cmdlet berikut di Windows PowerShell jarak jauh:
    New-MailboxAuditLogSearch
    Untuk informasi selengkapnya tentang cmdlet New-MailboxAuditLogSearch , kunjungi situs web Microsoft TechNet berikut:
Untuk informasi selengkapnya tentang entri log audit kotak surat asali, buka bagian "Entri log audit kotak surat" dari situs web Microsoft TechNet berikut:

Kustomisasi pencarian

Office 365 khusus dan ITAR, entri log audit kotak pesan disimpan di kotak surat selama 90 hari. Anda diminta untuk menunjukkan tanggal mulai dan tanggal akhir untuk pencarian. Anda dapat menggunakan beberapa parameter opsional untuk menyesuaikan pencarian. Untuk penjelasan tentang parameter ini, lihat bagian "Informasi selengkapnya".

Jika item yang ditemukan setelah skrip dijalankan, Anda menerima pesan yang menyerupai berikut ini:

Tangkapan layar hasil setelah menjalankan skrip

Contoh pesan ini menunjukkan bahwa proses pencarian telah menemukan entri 11. Secara asali, entri FolderBind disaring, dan tetap jenis operasi berikut ini:
  • Salin
  • Membuat
  • HardDelete
  • MessageBind
  • Pindahkan
  • MoveToDeletedItems
  • Kirim sebagai
  • SendOnBehalf
  • SoftDelete
  • Pemutakhiran
Catatan Operasi FolderBind menunjukkan waktu di mana kotak surat diakses oleh non-pemilik. Ini adalah operasi yang paling umum. Anda tidak harus melihat operasi FolderBind saat Anda menyelidiki item yang diperbarui atau dihapus.

Meninjau output .csv file. Kolom bermanfaat yang diekspor, dan beberapa kolom ini digabungkan untuk membuat lebih mudah untuk meninjau output. Untuk informasi selengkapnya tentang kolom yang diekspor, lihat bagian "Informasi selengkapnya".
Informasi lebih lanjut

MailboxAuditLogSearcher menjalankan skrip

Untuk menggunakan MailboxAuditLogSearcher menjalankan skrip pada langkah 1 dari prosedur di bagian "resolusi", Salin kode berikut ke berkas teks.

param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @("Operation", "LogonUserDisplayName", "LastAccessed", "DestFolderPathName", "FolderPathName", "ClientInfoString", "ClientIPAddress", "ClientMachineName", "ClientProcessName", "ClientVersion", "LogonType", "MailboxResolvedOwnerName", "OperationResult") } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green "Searching Mailbox Audit Logs..." $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green "$($SearchREsults.Count) Total entries Found" if (-not $IncludeFolderBind) { write-host -fore green "Removing FolderBind operations." $SearchResults = @($SearchResults | ? {$_.Operation -notlike "FolderBind"}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(" ")}}}, @{Name='CrossMailboxOp';e={if (@("SendAs","Create","Update") -contains $_.Operation) {"N/A"} else {$_.CrossMailboxOperation}}})) $LogParameters = @("Subject") + $LogParameters + @("CrossMailboxOp") If ($Subject -ne "" -and $Subject -ne $null) { write-host -fore green "Searching for Subject: $Subject" $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select $LogParameters) }

Parameter opsional skrip

Daftar berikut menjelaskan parameter opsional yang menghasilkan hasil yang berbeda saat digunakan bersama-sama dengan skrip Run-MailboxAuditLogSearcher :
  • IncludeFolderBind: Ketika Anda menggunakan switch ini, operasi FolderBind tidak difilter dari output. Anda dapat menggunakan informasi FolderBind untuk menyelidiki masalah akses kotak surat.

    Sebagai contoh, Telisik cmdlet berikut "pengguna uji 1" kotak surat dan mencakup semua operasi:

    /.Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • Subjek: Ketika Anda menggunakan switch ini, Anda dapat menentukan subjek item untuk membatasi pencarian untuk operasi yang dijalankan pada item tersebut.

    Sebagai contoh, cmdlet berikut menyaring semua output kecuali item yang memiliki subjek yang ditetapkan sebagai "Baik berita":

    /.Run-MailboxAuditLogSearcher.ps1 -Subject "< Good News >" -Mailbox "< test1@contoso.com >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • ReturnObject: Ketika Anda menggunakan switch ini, hasilnya akan ditampilkan di layar, tetapi tidak diekspor menjadi file .csv.

    Sebagai contoh, cmdlet berikut Menampilkan output di layar:

    /.Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"

Kolom yang diekspor dari .csv file

Kolom bermanfaat .csv file yang diekspor. Beberapa kolom ini digabungkan untuk membuat lebih mudah untuk meninjau output. Daftar Tabel berikut mencantumkan kolom yang diekspor.
KolomDeskripsi
Subjek Subjek item
OperasiTindakan yang dilakukan di item
LogonUserDisplayNamenama tampilan pengguna yang log on
LastAccessedWaktu di mana operasi dilakukan
DestFolderPathNameFolder tujuan untuk pengoperasian pemindahan
FolderPathNamegaris jatuh berseri dari folder
ClientInfoStringRincian tentang klien yang menjalankan operasi
ClientIPAddressalamat penyuratan IP komputer klien
ClientMachineNameNama komputer klien
ClientProcessNameNama proses aplikasi klien
ClientVersionVersi aplikasi klien
LogonTypeTipe log masuk pengguna yang menjalankan operasi

Catatan Jenis log masuk meliputi berikut ini:
  • Delegasi untuk non-pemilik
  • Administrator
  • Pemilik kotak surat (tidak dicatat oleh default)
MailboxResolvedOwnerNameNama pengguna kotak surat

Catatan Nama berada dalam format berikut:
Domain\SamAccountName
OperationResultStatus operasi

Catatan Hasil operasi meliputi berikut ini:
  • Gagal
  • PartiallySucceeded
  • Berhasil
CrossMailboxOperationInformasi tentang apakah operasi dicatat operasi lintas-kotak surat (misalnya, menyalin atau memindahkan pesan antara kotak surat)
Beberapa hari o365d o365i

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 2792663 - Tinjauan Terakhir: 06/29/2015 07:10:00 - Revisi: 9.0

  • vkbportal226 kbgraphxlink kbmt KB2792663 KbMtid
Tanggapan