현재 오프라인 상태입니다. 인터넷에 다시 연결하기를 기다리고 있습니다.

로깅 전용 Office 365에서 사서함 감사를 사용 하 여 누락 되었거나 예기치 않게 업데이트 된 사서함 항목을 조사 하는 방법

이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.

이 문서의 영문 버전 보기:2792663
현상
사서함의 항목이 예기치 않게 업데이트 또는 Microsoft Office 365 전용 사서함에서 누락 된 항목입니다.
원인
항목 이동 또는 잘못 되거나 예기치 않게 삭제 될 수 있습니다 때문에이 문제가 발생 합니다.
해결 방법
이 문제를 해결 하려면 실행 MailboxAuditLogSearcher Windows PowerShell 스크립트를 사용 하 고 검색을 사용자 지정 합니다. 조사 비 소유자 및 관리자가 수행 하는 작업을이 스크립트를 사용할 수 있습니다. 이 스크립트는 콘텐츠 누락 되었거나 예기치 않게 업데이트 항목에 대 한 보고서를 해결 하기 위해 단순화, 쉼표로 구분 된 값 (.csv) 파일로 내보냅니다.

중요: 고객은 특정 조사 하려면 Microsoft Online Services 제공 하는 스크립트를 사용 하는 것이 좋습니다. Microsoft Online Services 스크립트는 일반, 및 예상 되는 고객 환경 모두에서 사용할 수 있습니다. 스크립트를 실행할 때 오류가 발생 하면 스크립트의 내용은 예를 들어 특정 고객 환경에 대 한 사용자 지정된 스크립트를 만들려면 사용 해야. Microsoft Online Services 명시적 또는 묵시적 보증 없이 ITAR-D/O365 고객에 게 편의 위해 스크립트를 제공 합니다.

1 단계: 스크립트를 실행합니다.

실행 MailboxAuditLogSearcher 스크립트를 실행 하려면 다음과이 같이 하십시오.
  1. 메모장을 시작 하 고 메모장 파일에 있는 "추가 정보" 섹션에서 코드를 복사 합니다.
  2. 파일 메뉴에서 다른 이름으로 저장을 클릭합니다.
  3. 파일 형식 상자에서 모든 파일을 클릭 합니다.
  4. 파일 이름 상자에 입력 MailboxAuditLogSearcher.ps1 실행를 누른 다음 저장을 클릭 합니다.
  5. Windows PowerShell 시작 하 고 Windows 원격 PowerShell 연결 합니다.
  6. 스크립트를 저장 하는 디렉터리를 찾은 다음 스크립트를 실행 합니다.

    메모
    • 매개 변수 없이 스크립트를 실행 하면 다음과 같은 기본 매개 변수에 대 한 메시지가 표시 됩니다.
      • 사서함
      • 시작 날짜
      • 종료 날짜
    • 현재 날짜의 항목을 검색 하려면 프롬프트 창에서 종료 날짜 값에 하루를 추가 합니다. 예를 들어, 현재 날짜가 2012 년 3 월 14 일 현재 날짜를 검색에 포함 하려면 입력 합니다 2012/4/15 끝 날짜입니다.

2 단계: 사서함 감사 로그 검색을 사용자 지정

사서함 감사 로깅

사서함 감사 로깅 사용자가 아닌 소유자 및 관리자가 수행 하는 작업에 대 한 정보를 얻을 수 있습니다. 사서함 감사 로깅은 사용할 수 보고 사서함 감사 셀프 서비스 그룹의 구성원으로 원격 Windows PowerShell을 사용 하 여.

참고: 기본적으로 비 소유자만 사서함 감사 로깅 기능을 사용 하 고 소유자 사서함 감사 로깅을 사용할 수 없습니다. 특정 문제를 조사 하려면 사서함 감사 로깅 소유자를 수행 해야 할 경우 사용할 수 있습니다 수 일시적으로 프로세스 2 주 동안.

검색 하려면 사서함 감사 로그 항목을 상황에 맞게 사용 다음 방법 중 하나.
  • 단일 사서함을 동기적으로 검색 합니다. 이렇게 하려면 원격 Windows PowerShell에서 다음 cmdlet를 실행 합니다.
    Search-MailboxAuditLog
    검색 MailboxAuditLog cmdlet에 대 한 자세한 내용은 다음 Microsoft TechNet 웹 사이트로 이동 합니다.
  • 하나 이상의 사서함을 비동기적으로 검색 합니다. 이렇게 하려면 원격 Windows PowerShell에서 다음 cmdlet를 실행 합니다.
    New-MailboxAuditLogSearch
    New MailboxAuditLogSearch cmdlet에 대 한 자세한 내용은 다음 Microsoft TechNet 웹 사이트로 이동.
기본 사서함 감사 로깅 항목에 대 한 자세한 내용은 다음 Microsoft TechNet 웹 사이트의 "사서함 감사 로그 항목" 섹션으로 이동:

검색 사용자 지정

Office 365의 전용된 및 ITAR에 90 일 동안 사서함에 사서함 감사 로깅 항목 유지 됩니다. 나타내는 시작 날짜와 끝 날짜를 묻는 메시지가 나타납니다. 검색을 사용자 지정 하려면 여러 개의 선택적 매개 변수를 사용할 수 있습니다. 이러한 매개 변수에 대 한 "추가 정보" 절을 참조 하십시오.

하는 경우 항목이 스크립트 실행 후, 다음과 유사한 메시지가 나타납니다.

스크립트를 실행 한 후 결과의 스크린샷

이 예제에서는 메시지 검색 프로세스 11 항목을 발견 했습니다 나타냅니다. 기본적으로 FolderBind 항목을 필터링 하 고 다음 작업 유형을 유지:
  • 복사
  • 만들기
  • HardDelete
  • MessageBind
  • 이동
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • 업데이트
참고:FolderBind 작업 비 소유자가 사서함 액세스 된 시간을 나타냅니다. 가장 일반적인 작업입니다. 업데이트 되거나 삭제 된 항목을 조사할 때 FolderBind 작업을 볼 필요가 없습니다.

.Csv 파일의 출력을 검토 합니다. 가장 유용한 열은 내보내고 일부이 열 병합 출력을 더 쉽게 검토할 수 있습니다. 내보낸 된 열에 대 한 자세한 내용은 "추가 정보" 절을 참조 하십시오.
추가 정보

스크립트 실행 MailboxAuditLogSearcher

"해결 방법" 절에 있는 절차의 1 단계에서 실행 MailboxAuditLogSearcher 스크립트를 사용 하 여 텍스트 파일에 다음 코드를 복사 합니다.

param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @("Operation", "LogonUserDisplayName", "LastAccessed", "DestFolderPathName", "FolderPathName", "ClientInfoString", "ClientIPAddress", "ClientMachineName", "ClientProcessName", "ClientVersion", "LogonType", "MailboxResolvedOwnerName", "OperationResult") } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green "Searching Mailbox Audit Logs..." $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green "$($SearchREsults.Count) Total entries Found" if (-not $IncludeFolderBind) { write-host -fore green "Removing FolderBind operations." $SearchResults = @($SearchResults | ? {$_.Operation -notlike "FolderBind"}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(" ")}}}, @{Name='CrossMailboxOp';e={if (@("SendAs","Create","Update") -contains $_.Operation) {"N/A"} else {$_.CrossMailboxOperation}}})) $LogParameters = @("Subject") + $LogParameters + @("CrossMailboxOp") If ($Subject -ne "" -and $Subject -ne $null) { write-host -fore green "Searching for Subject: $Subject" $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select $LogParameters) }

선택적 스크립트 매개 변수

MailboxAuditLogSearcher 실행 스크립트와 함께 사용 될 때 다른 결과 생성 하는 선택적 매개 변수를 다음과 같습니다.
  • IncludeFolderBind: 이 스위치를 사용 하면 FolderBind 작업의 출력 필터링 하지 않았습니다. FolderBind 정보 사서함 액세스 문제를 조사 하는 데 사용할 수 있습니다.

    예를 들어, 다음과 같은 cmdlet을 검색 하면 "테스트 사용자 1" 사서함 모든 작업을 포함 하 고:

    /.Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • 제목: 이 스위치를 사용할 때 해당 항목에 수행 되는 작업에 대 한 검색을 제한 하려면 항목의 제목을 지정할 수 있습니다.

    예를 들어, 다음 cmdlet의 제목이 "좋은 소식"으로 설정 하는 항목을 제외한 모든 출력 필터링:

    /.Run-MailboxAuditLogSearcher.ps1 -Subject "< Good News >" -Mailbox "< test1@contoso.com >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • ReturnObject: 이 스위치를 사용 하면 결과가 화면에 표시 됩니다 있지만.csv 파일로 내보내지지 않습니다.

    예를 들어, 다음 cmdlet 출력이 화면에 표시 됩니다.

    /.Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"

.Csv 파일의 열을 내보낸된

.Csv 파일의 가장 유용한 열 내보내집니다. 이러한 열 중 일부는 출력을 보다 쉽게 검토 병합 됩니다. 다음 표에서 내보내는 열을 나열 합니다.
설명
제목 항목의 제목
작업항목에 대해 수행 하는 작업
LogonUserDisplayName로그온 되어 있는 사용자의 이름을 표시 합니다.
LastAccessed작업을 수행 하는 시간
DestFolderPathName이동 작업의 대상 폴더
FolderPathName폴더의 경로
ClientInfoString작업을 수행 하는 클라이언트에 대 한 정보
ClientIPAddress클라이언트 컴퓨터의 IP 주소
ClientMachineName클라이언트 컴퓨터의 이름
ClientProcessName클라이언트 응용 프로그램 프로세스 이름
ClientVersion클라이언트 응용 프로그램 버전
LogonType작업을 수행 하는 사용자의 로그온 유형

참고: 로그온 형식은 다음과 같습니다.
  • 비 소유자의 대리인
  • 관리자
  • 사서함 소유자 (기본적으로 기록 되지 않습니다)
MailboxResolvedOwnerName사서함 사용자 이름 확인된

참고: 확인 된 이름은 다음과 같은 형식으로 다음과 같습니다.
Domain\SamAccountName
OperationResult작업의 상태

참고: 작업 결과 다음과 같습니다.
  • 실패
  • PartiallySucceeded
  • 성공
CrossMailboxOperation기록 작업이 사서함 간 작업 (예를 들어, 사서함 간에 복사 또는 이동을 메시지) 인지에 대 한 정보
Exc에서는 o365d o365i

경고: 이 문서는 자동으로 번역되었습니다.

속성

문서 ID: 2792663 - 마지막 검토: 06/29/2015 07:11:00 - 수정: 8.0

  • vkbportal226 kbgraphxlink kbmt KB2792663 KbMtko
피드백