ログ専用の Office 365 にメールボックスの監査を使用してメールボックスのアイテムが見つからないか、予期せずに更新の調査方法

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:2792663
現象
メールボックス内のアイテムが予期せずに更新または専用の Microsoft Office の 365 のメールボックスからのアイテムがありません。
原因
アイテムを移動または予期せずにまたは誤って削除された可能性がありますので、この問題が発生します。
解決方法
この問題を解決する実行 MailboxAuditLogSearcherの Windows PowerShell スクリプトを使用、検索のカスタマイズ所有者でないと管理者が実行する操作を調査するのにこのスクリプトを使用できます。このスクリプトに関する項目が失われているかが、突然更新されるレポートに関するトラブルシューティングに役立つ簡、コンマ区切り値 (.csv) ファイルのコンテンツがエクスポートされます。

重要: お客様は特定の調査に役立つの Microsoft Online Services によって提供されるスクリプトを使用してください。Microsoft Online Services のスクリプトは、すべてのお客様環境で使用できるようになっています.スクリプトの実行時にエラーが発生する場合、特定のお客様の環境にカスタマイズしたスクリプトを作成するスクリプトの内容を例として使用ください。Microsoft Online Services O365-D/ITAR のお客様、明示的または黙示の保証なしに利便性をスクリプトを提供します。

手順 1: スクリプトを実行します。

実行 MailboxAuditLogSearcherスクリプトを実行するには、これらの手順に従います。
  1. メモ帳を起動し、メモ帳ファイルにコードの詳細」セクションからコピーします。
  2. [ファイル] メニューで、[名前を付けて保存] をクリックします。
  3. ファイルの種類] ボックス内のすべてのファイルをクリックします。
  4. ファイル名] ボックスに入力します。 実行 MailboxAuditLogSearcher.ps1、し、[保存] をクリックします。
  5. 、Windows PowerShell を起動し、Windows リモート PowerShell 接続します。
  6. スクリプトを保存したディレクトリを見つけてしてスクリプトを実行します。

    注:
    • パラメーターを付けずにスクリプトを実行する場合、次の既定のパラメーターを求めます。
      • メールボックス
      • 日和
      • 終了日
    • で現在の日付からのエントリを検索するには、1 日終了日値にプロンプトのウィンドウに追加します。現在の日付は、2012 年 3 月 14 日当日を検索に含める場合は、たとえば、入力します 2012/4/15 として最後の日です。

メールボックス監査ログ検索をカスタマイズする手順 2。

メールボックス監査ログ

メールボックスの監査ログのユーザーが所有者でないと管理者が実行するアクションに関する情報を取得できます。メールボックス監査ログは、監査レポートのメールボックスのセルフ サービス グループのメンバーに Windows リモート PowerShell を使用してのみします。

注: <b>既定でのみ所有者以外のメールボックス監査ログを有効に、および所有者のメールボックス監査ログは無効になります。所有者のメールボックスの監査ログを調査して特定の問題を実行する場合は一時的にプロセスを有効は 2 週間。

検索メールボックス監査ログ エントリでは、状況に応じて、適切なを使用して次のいずれかの。
  • 同期的に 1 つのメールボックスを検索します。Windows リモート PowerShell で、次のコマンドレットを実行します。
    Search-MailboxAuditLog
    検索 MailboxAuditLogコマンドレットの詳細については、次のマイクロソフト TechNet web サイトを参照してください。
  • 1 つまたは複数のメールボックスを非同期に検索します。Windows リモート PowerShell で、次のコマンドレットを実行します。
    New-MailboxAuditLogSearch
    新規 MailboxAuditLogSearchコマンドレットの詳細については、次のマイクロソフト TechNet web サイトを参照してください。
既定メールボックス監査ログ エントリの詳細については、次のマイクロソフト TechNet web サイトの「メールボックス監査ログ エントリを参照していますください。

検索のカスタマイズ

専用の Office 365 および ITAR でメールボックス監査ログ エントリはメールボックスに 90 日間保持されます。開始日と検索の終了日を指定するように求められます。検索をカスタマイズするのにいくつかの省略可能なパラメーターを使用できます。これらのパラメーターについては、「関連情報」セクションを参照してください。

場合、スクリプトの実行後に項目が見つかった場合、次のようなメッセージが表示します。

スクリプトの実行後の結果のスクリーン ショット

このメッセージの例は、検索処理が 11 のエントリを検出していることを示します。既定ではFolderBindエントリが除外されままに次の操作の種類。
  • コピー
  • 作成
  • HardDelete
  • MessageBind
  • 移動
  • MoveToDeletedItems
  • 送信者
  • SendOnBehalf
  • SoftDelete
  • 更新プログラム
FolderBind操作は所有者以外がメールボックスにアクセスする時間を示します。最も一般的な操作です。更新または削除される項目を調査するとき、 FolderBindの操作を表示する必要はありません。

.Csv ファイルの出力を確認します。最も有用な列が書き出され、出力を簡単に確認してマージされますいくつかのこれらの列。エクスポートされる列に関する詳細については、「詳細」セクションを参照してください。
詳細

スクリプトの実行 MailboxAuditLogSearcher

「解決方法」セクション手順の手順 1 で実行 MailboxAuditLogSearcher スクリプトを使用するテキスト ファイル次コードをコピーします。

param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @("Operation", "LogonUserDisplayName", "LastAccessed", "DestFolderPathName", "FolderPathName", "ClientInfoString", "ClientIPAddress", "ClientMachineName", "ClientProcessName", "ClientVersion", "LogonType", "MailboxResolvedOwnerName", "OperationResult") } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green "Searching Mailbox Audit Logs..." $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green "$($SearchREsults.Count) Total entries Found" if (-not $IncludeFolderBind) { write-host -fore green "Removing FolderBind operations." $SearchResults = @($SearchResults | ? {$_.Operation -notlike "FolderBind"}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(" ")}}}, @{Name='CrossMailboxOp';e={if (@("SendAs","Create","Update") -contains $_.Operation) {"N/A"} else {$_.CrossMailboxOperation}}})) $LogParameters = @("Subject") + $LogParameters + @("CrossMailboxOp") If ($Subject -ne "" -and $Subject -ne $null) { write-host -fore green "Searching for Subject: $Subject" $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select $LogParameters) }

オプション スクリプトのパラメーター

実行 MailboxAuditLogSearcherスクリプトと共に使用すると異なる結果を生成するオプションのパラメーターを次に示します。
  • IncludeFolderBind:このスイッチを使用すると出力から FolderBind 操作はフィルター処理されません。FolderBind 情報を使用するには、メールボックス アクセスの問題を調査します。

    次のコマンドレットを検索するなど、"1" のテスト ユーザーのメールボックスのすべての操作が含まれています。

    /.Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • 件名:このスイッチを使用する場合はその項目に対して実行される操作の検索を制限するために項目の件名を指定できます。

    など、次のコマンドレットは「良いニュース」として設定する件名を持つアイテムを除くすべての出力をフィルター処理されます。

    /.Run-MailboxAuditLogSearcher.ps1 -Subject "< Good News >" -Mailbox "< test1@contoso.com >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • ReturnObject:このスイッチを使用する場合、画面上に結果が表示されますが .csv ファイルにはエクスポートされません。

    など、次のコマンドレットの出力を画面に表示します。

    /.Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"

エクスポートした .csv ファイルの列

.Csv ファイルの最も有用な列がエクスポートされます。いくつかのこれらの列は出力を簡単に確認してマージされます。エクスポートされる列を次の表に示します。
説明
件名 アイテムの件名
操作アイテム上で実行されるアクション
LogonUserDisplayNameログオンしているユーザーの表示名
LastAccessed操作が実行された時刻
DestFolderPathName移動操作の宛先フォルダー
FolderPathNameフォルダーのパス
ClientInfoString操作を実行するクライアントについての詳細
ClientIPAddressクライアント コンピューターの IP アドレス
ClientMachineNameクライアント コンピューターの名前
ClientProcessNameクライアント アプリケーション プロセスの名前
ClientVersionクライアント アプリケーションのバージョン
示します操作を実行したユーザーのログオンの種類

注: <b>ログオンの種類を次に示します。
  • 所有者以外の代理人
  • 管理者
  • メールボックスの所有者 (既定では記録されません)
MailboxResolvedOwnerNameメールボックス ユーザーの名前を解決

注: <b>解決された名前は、次の形式です。
Domain\SamAccountName
OperationResult操作のステータス

注: <b>操作の結果は次のとおりです。
  • でした
  • 成功
  • 成功しました
CrossMailboxOperationどうか、操作の記録、メールボックス間操作 (たとえば、コピー操作や移動メッセージのメールボックス間で)
Exc o365d o365i

警告: この記事は自動翻訳されています

プロパティ

文書番号:2792663 - 最終更新日: 06/29/2015 07:10:00 - リビジョン: 9.0

  • vkbportal226 kbgraphxlink kbmt KB2792663 KbMtja
フィードバック