Come esaminare elementi della cassetta postale mancante o imprevista aggiornati mediante l'utilizzo della registrazione in Office 365 dedicata di controllo delle cassette postali

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 2792663
Sintomi
Aggiornamento degli elementi in una cassetta postale in modo imprevisto o non sono presenti elementi da una cassetta postale in Microsoft Office 365 dedicato.
Cause
Questo problema si verifica perché gli elementi possono essere spostati o eliminati in modo imprevisto o non correttamente.
Risoluzione
Per risolvere questo problema, utilizzare lo script di Windows PowerShell MailboxAuditLogSearcher Run e personalizzare una ricerca. È possibile utilizzare questo script per analizzare le azioni eseguite da utenti non proprietari e amministratori. Questo script esporterà contenuto in un file semplificato, separati da virgole (CSV) per risolvere i rapporti su elementi che mancano o che vengono aggiornati in modo imprevisto.

Importante Si consiglia di utilizzare lo script fornito da Microsoft Online Services per aiutare in determinate indagini. Gli script di Microsoft Online Services sono generici ed è previsto che sia utilizzabile in tutti gli ambienti del cliente. Se si verificano errori quando viene eseguito uno script, il contenuto dello script deve essere utilizzato come esempio per creare uno script personalizzato per un ambiente particolare cliente. Microsoft Online Services fornisce lo script per motivi di praticità ai clienti di D-O365/ITAR senza alcuna garanzia, espressa o implicita.

Passaggio 1: Eseguire lo script

Per eseguire lo script MailboxAuditLogSearcher di esecuzione , attenersi alla seguente procedura:
  1. Avviare Blocco note e quindi copiare il codice dalla sezione "Informazioni" nel file del blocco note.
  2. Scegliere Salva con nome dal menu File .
  3. Nella casella tipo fare clic su Tutti i file.
  4. Nella casella Nome File , digitare Esecuzione MailboxAuditLogSearcher.ps1, quindi fare clic su Salva.
  5. Avviare Windows PowerShell e quindi connettersi a Windows PowerShell remoto.
  6. Individuare la directory in cui avete salvato lo script e quindi eseguire lo script.

    Note
    • Se si esegue lo script senza parametri, viene richiesto per i seguenti parametri predefiniti:
      • Cassetta postale
      • StartDate
      • Data di fine
    • Per cercare voci dalla data corrente, aggiungere un giorno per il valore di data di fine nella finestra del prompt. Ad esempio, se la data corrente è il 14 marzo 2012 e si desidera includere il giorno corrente nella ricerca, immettere 15/4/2012 come data di fine.

Passaggio 2: Personalizzare una ricerca Registro di controllo delle cassette postali

Registrazione di controllo delle cassette postali

Consente gli utenti di ottenere informazioni sulle azioni eseguite da utenti non proprietari e amministratori della registrazione di controllo delle cassette postali. Controllo cassetta postale la registrazione è disponibile ai membri del gruppo di controllo delle cassette postali Reporting self-service solo utilizzando Windows PowerShell remoto.

Nota Per impostazione predefinita, controllo delle cassette postali solo proprietario non è attivata la registrazione e controllo di proprietario della cassetta postale è disabilitata. Se è necessario eseguire la registrazione degli audit di proprietario della cassetta postale per analizzare un problema specifico, è possibile essere attivare temporaneamente il processo per un periodo di due settimane.

Per cercare il controllo delle cassette postali voci del registro, a seconda della situazione specifica, utilizzano uno dei seguenti metodi:
  • Cercare una singola cassetta postale in modo sincrono. A tale scopo, eseguire il seguente cmdlet di Windows PowerShell remoto:
    Search-MailboxAuditLog
    Per ulteriori informazioni sui cmdlet di MailboxAuditLog di ricerca , visitare il seguente sito Web Microsoft TechNet:
  • Ricerca una o più cassette postali in modo asincrono. A tale scopo, eseguire il seguente cmdlet di Windows PowerShell remoto:
    New-MailboxAuditLogSearch
    Per ulteriori informazioni sul cmdlet New-MailboxAuditLogSearch , visitare il seguente sito Web Microsoft TechNet:
Per ulteriori informazioni sulle voci predefinite della cassetta postale controllo registrazione, vedere la sezione "Voci del Registro di controllo delle cassette postali" del sito Web Microsoft TechNet seguente:

Personalizzazione di una ricerca

In Office 365 dedicato e ITAR, voci di registrazione di controllo delle cassette postali vengono mantenute nella cassetta postale per 90 giorni. Viene richiesto di indicare una data di inizio e data di fine per la ricerca. È possibile utilizzare diversi parametri facoltativi per personalizzare la ricerca. Per una descrizione di questi parametri, vedere la sezione "Informazioni".

Se vengono rilevati elementi dopo l'esecuzione dello script, viene visualizzato un messaggio analogo al seguente:

Schermata del risultato dopo l'esecuzione dello script

Esempio di questo messaggio indica che il processo di ricerca ha trovato 11 voci. Per impostazione predefinita, vengono filtrati i movimenti di FolderBind e rimangono i seguenti tipi di operazione:
  • Copia
  • Creare
  • HardDelete
  • MessageBind
  • Spostare
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Aggiornamento
Nota L'operazione di FolderBind indica i tempi in cui la cassetta postale è possibile accedere da un utente non proprietario. Questa è l'operazione più comune. Non è necessario visualizzare le operazioni di FolderBind quando si analizza un elemento che viene aggiornato o eliminato.

Esaminare l'output del file CSV. Le colonne più utili vengono esportate e alcune di queste colonne vengono uniti per facilitare la consultazione dell'output. Per ulteriori informazioni sulle colonne che vengono esportati, vedere la sezione "Ulteriori informazioni".
Informazioni

MailboxAuditLogSearcher esecuzione script

Per utilizzare lo script di esecuzione MailboxAuditLogSearcher nel passaggio 1 della procedura nella sezione "Risoluzione", copiare il codice riportato di seguito in un file di testo.

param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @("Operation", "LogonUserDisplayName", "LastAccessed", "DestFolderPathName", "FolderPathName", "ClientInfoString", "ClientIPAddress", "ClientMachineName", "ClientProcessName", "ClientVersion", "LogonType", "MailboxResolvedOwnerName", "OperationResult") } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green "Searching Mailbox Audit Logs..." $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green "$($SearchREsults.Count) Total entries Found" if (-not $IncludeFolderBind) { write-host -fore green "Removing FolderBind operations." $SearchResults = @($SearchResults | ? {$_.Operation -notlike "FolderBind"}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(" ")}}}, @{Name='CrossMailboxOp';e={if (@("SendAs","Create","Update") -contains $_.Operation) {"N/A"} else {$_.CrossMailboxOperation}}})) $LogParameters = @("Subject") + $LogParameters + @("CrossMailboxOp") If ($Subject -ne "" -and $Subject -ne $null) { write-host -fore green "Searching for Subject: $Subject" $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select $LogParameters) }

Parametri script facoltativo

Nell'elenco seguente vengono descritti i parametri facoltativi che generano risultati diversi quando vengono utilizzati con lo script di Esecuzione MailboxAuditLogSearcher :
  • IncludeFolderBind: Quando si utilizza questa opzione, l'operazione FolderBind non viene filtrata dall'output. È possibile utilizzare le informazioni FolderBind per analizzare il problema di accesso della cassetta postale.

    Ad esempio, il cmdlet seguente cercherà di "1" cassetta postale dell'utente di Test e include tutte le operazioni:

    /.Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • Oggetto: Quando si utilizza questa opzione, è possibile specificare l'oggetto di un articolo al fine di limitare la ricerca per le operazioni eseguite su tale elemento.

    Ad esempio, il cmdlet seguente filtra tutti gli output, ad eccezione degli elementi con l'oggetto impostato come "Buone notizie":

    /.Run-MailboxAuditLogSearcher.ps1 -Subject "< Good News >" -Mailbox "< test1@contoso.com >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • ReturnObject: Quando si utilizza questa opzione, il risultato viene visualizzato sullo schermo, ma non viene esportato in un file CSV.

    Ad esempio, il seguente cmdlet Visualizza l'output sullo schermo:

    /.Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"

Colonne esportate dal file CSV

Le colonne più utili del file csv vengono esportate. Alcune di queste colonne vengono uniti per facilitare la consultazione dell'output. Nella tabella seguente sono elencate le colonne che vengono esportate.
ColonneDescrizione
Oggetto Oggetto dell'elemento
OperazioneAzioni che vengono eseguite su elementi
LogonUserDisplayNameNome visualizzato dell'utente che ha effettuato
LastAccessedOra in cui è stata eseguita l'operazione
DestFolderPathNameCartella di destinazione per l'operazione di spostamento
FolderPathNamePercorso della cartella
ClientInfoStringDettagli sui client che esegue l'operazione
ClientIPAddressIndirizzo IP del computer client
ClientMachineNameNome del computer client
ClientProcessNameNome del processo dell'applicazione client
ClientVersionVersione dell'applicazione client
Tipo di accessoTipo di accesso dell'utente che esegue l'operazione

Nota Tipi di accesso include quanto segue:
  • Delegato del proprietario non
  • Amministratore
  • Proprietario della cassetta postale (non registrato per impostazione predefinita)
MailboxResolvedOwnerNameNome risolto dell'utente della cassetta postale

Nota Nome risolto è nel formato seguente:
Dominio\NomeAccountSAM
OperationResultStato dell'operazione

Nota I risultati delle operazioni seguenti:
  • Non riuscita
  • Fallita
  • È stata eseguita correttamente
CrossMailboxOperationSpecifica se l'operazione di registrazione è un'operazione di cross-mailbox (ad esempio, copia o lo spostamento dei messaggi tra le cassette postali)
QUARTILE o365d o365i

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 2792663 - Ultima revisione: 06/29/2015 07:10:00 - Revisione: 9.0

  • vkbportal226 kbgraphxlink kbmt KB2792663 KbMtit
Feedback