Como investigar ausente ou inesperadamente atualizados itens de caixa de correio usando no Office 365 dedicada do log de auditoria de caixa de correio

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 2792663
Sintomas
Itens em uma caixa de correio são atualizados de forma inesperada ou itens ausentes de uma caixa de correio no Microsoft Office 365 dedicado.
Causa
Esse problema ocorre porque os itens podem ser movidos ou excluídos inesperadamente ou incorretamente.
Resolução
Para resolver esse problema, use o script do Windows PowerShell Executar MailboxAuditLogSearcher e personalizar uma pesquisa. Você pode usar esse script para investigar as ações realizadas por não-proprietários e administradores. Esse script exportará o conteúdo em um arquivo de valores simplificada, separados por vírgulas (. csv) para ajudá-lo a solucionar problemas de relatórios sobre itens que estão faltando ou que são atualizados de forma inesperada.

Importante: Os clientes são incentivados a usar o script fornecido pelo Microsoft Online Services para ajudar em determinadas investigações. Scripts do Microsoft Online Services são genéricos e devem ser usados em todos os ambientes do cliente. Se os erros ocorrem quando um script for executado, o conteúdo do script deve ser usado como um exemplo para criar um script personalizado para um ambiente de cliente específico. Microsoft Online Services fornece o script como uma conveniência para os clientes O365-D/ITAR sem garantia, expressa ou implícita.

Etapa 1: Executar o script

Para executar o script de Execução MailboxAuditLogSearcher , execute as seguintes etapas:
  1. Inicie o bloco de notas e, em seguida, copie o código da seção "Mais informações" para o arquivo do bloco de notas.
  2. No menu arquivo , clique em Salvar como.
  3. Na caixa Salvar como tipo , clique em Todos os arquivos.
  4. Na caixa File name , digite Executar MailboxAuditLogSearcher.ps1e, em seguida, clique em Salvar.
  5. Inicie o Windows PowerShell e conectar-se ao Windows PowerShell remoto.
  6. Localize a pasta na qual você salvou o script e, em seguida, execute o script.

    Observações:
    • Se você executar o script sem parâmetros, você será solicitado para os seguintes parâmetros padrão:
      • Caixa de correio
      • Data de início
      • EndDate
    • Para procurar por entradas a partir da data atual, adicione um dia para o valor de data de término na janela do prompt. Por exemplo, se a data atual é de 14 de março de 2012, e você deseja incluir o dia atual em sua pesquisa, insira 15/4/2012 como a data de término.

Etapa 2: Personalizar uma pesquisa de log de auditoria de caixa de correio

Log de auditoria de caixa de correio

Permite que os usuários obtêm informações sobre as ações que são executadas por administradores e não-proprietários de log de auditoria de caixa de correio. Auditoria de caixa de correio Registro só está disponível para os membros do grupo de auto-serviço de correio de emissão de relatórios de auditoria usando o Windows PowerShell remoto.

Observação: Por padrão, a auditoria somente não-proprietário da caixa de correio Registro estiver ativado, proprietário da caixa de correio auditoria e log está desabilitado. Se você tiver que executar o log de auditoria do proprietário da caixa de correio para investigar um problema específico, você pode ser temporariamente ativar o processo por um período de duas semanas.

Para pesquisar auditoria de caixa de correio entradas de log, conforme apropriado para sua situação, usam um dos seguintes métodos:
  • Pesquise uma única caixa de correio sincronicamente. Para fazer isso, execute o seguinte cmdlet do Windows PowerShell remoto:
    Search-MailboxAuditLog
    Para obter mais informações sobre o cmdlet de Pesquisa MailboxAuditLog , vá para o seguinte site da Microsoft TechNet:
  • Pesquise uma ou mais caixas de correio de forma assíncrona. Para fazer isso, execute o seguinte cmdlet do Windows PowerShell remoto:
    New-MailboxAuditLogSearch
    Para obter mais informações sobre o cmdlet New-MailboxAuditLogSearch , acesse o seguinte site da Microsoft TechNet:
Para obter mais informações sobre as entradas de log de auditoria de caixa de correio padrão, vá para a seção "Entradas de log de auditoria de caixa de correio" do seguinte site da Microsoft TechNet:

Personalizando uma pesquisa

No Office 365 dedicado e ITAR, entradas de log de auditoria de caixa de correio são mantidas na caixa de correio por 90 dias. Você será solicitado para indicar uma data inicial e data final para a pesquisa. Você pode usar vários parâmetros opcionais para personalizar a pesquisa. Para obter uma descrição desses parâmetros, consulte a seção "Mais informações".

Se forem encontrados itens depois que o script é executado, você recebe uma mensagem semelhante à seguinte:

Captura de tela do resultado após a execução do script

Esta mensagem de exemplo indica que o processo de pesquisa encontrou 11 entradas. Por padrão, as entradas FolderBind sejam filtradas e permanecem os seguintes tipos de operação:
  • Copy
  • Criar
  • HardDelete
  • MessageBind
  • Move
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Atualização
Observação: A operação de FolderBind indica os horários em que a caixa de correio é acessada por um não-proprietário. Esta é a operação mais comum. Não é necessário exibir as operações FolderBind quando você investiga um item que é atualizado ou excluído.

Examine a saída do arquivo. csv. As colunas mais úteis são exportadas e algumas delas são mescladas para facilitar a saída revisar. Para obter mais informações sobre as colunas que são exportados, consulte a seção "Mais informações".
Mais Informações

Script MailboxAuditLogSearcher de execução

Para usar o script de execução MailboxAuditLogSearcher na etapa 1 do procedimento na seção "Resolução", copie o seguinte código em um arquivo de texto.

param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @("Operation", "LogonUserDisplayName", "LastAccessed", "DestFolderPathName", "FolderPathName", "ClientInfoString", "ClientIPAddress", "ClientMachineName", "ClientProcessName", "ClientVersion", "LogonType", "MailboxResolvedOwnerName", "OperationResult") } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green "Searching Mailbox Audit Logs..." $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green "$($SearchREsults.Count) Total entries Found" if (-not $IncludeFolderBind) { write-host -fore green "Removing FolderBind operations." $SearchResults = @($SearchResults | ? {$_.Operation -notlike "FolderBind"}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(" ")}}}, @{Name='CrossMailboxOp';e={if (@("SendAs","Create","Update") -contains $_.Operation) {"N/A"} else {$_.CrossMailboxOperation}}})) $LogParameters = @("Subject") + $LogParameters + @("CrossMailboxOp") If ($Subject -ne "" -and $Subject -ne $null) { write-host -fore green "Searching for Subject: $Subject" $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select $LogParameters) }

Parâmetros de script opcional

A lista a seguir descreve os parâmetros opcionais que geram resultados diferentes quando eles são usados em conjunto com o script de Execução MailboxAuditLogSearcher :
  • IncludeFolderBind: Quando você usar essa opção, a operação de FolderBind não é filtrada da saída. Você pode usar informações de FolderBind para investigar o problema de acesso de caixa de correio.

    Por exemplo, o seguinte cmdlet pesquisará o "1" caixa de correio do usuário de teste e inclui todas as operações:

    /.Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • Assunto: Quando você usar essa opção, você pode especificar o assunto de um item para limitar a pesquisa para as operações executadas nesse item.

    Por exemplo, o seguinte cmdlet filtra todas as saídas exceto itens com o assunto definido como "Boa notícia":

    /.Run-MailboxAuditLogSearcher.ps1 -Subject "< Good News >" -Mailbox "< test1@contoso.com >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • ReturnObject: Quando você usar essa opção, o resultado será exibido na tela, mas não são exportada para um arquivo. csv.

    Por exemplo, o seguinte cmdlet exibe a saída na tela:

    /.Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"

Colunas exportadas do arquivo. csv

As colunas mais úteis do arquivo. csv são exportadas. Algumas delas são mescladas para facilitar a saída revisar. A tabela a seguir lista as colunas que são exportadas.
ColunasDescrição
Assunto Assunto do item
OperaçãoAções que são executadas em itens
LogonUserDisplayNameExibe o nome do usuário que fez logon
LastAccessedHora em que a operação foi executada
DestFolderPathNamePasta de destino para a operação de movimentação
FolderPathNameCaminho da pasta
ClientInfoStringDetalhes sobre o cliente que executa a operação
ClientIPAddressEndereço IP do computador cliente
ClientMachineNameNome do computador cliente
ClientProcessNameNome do processo de aplicativo cliente
ClientVersionVersão do aplicativo cliente
Tipo de logonTipo de logon do usuário que executa a operação

Observação: Tipos de logon incluem o seguinte:
  • Representante de não proprietário
  • Administrador
  • Proprietário de caixa de correio (não registrado por padrão)
MailboxResolvedOwnerNameNome resolvido do usuário de caixa de correio

Observação: Nome resolvido é no seguinte formato:
Domain\SamAccountName
OperationResultStatus da operação

Observação: Resultados da operação incluem o seguinte:
  • Falha
  • PartiallySucceeded
  • Bem-sucedida
CrossMailboxOperationInformações sobre a operação registrada é uma operação de diferentes caixas de correio (por exemplo, mensagens de copiar ou mover entre caixas de correio)
Exc o365d o365i

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 2792663 - Última Revisão: 06/29/2015 07:11:00 - Revisão: 8.0

  • vkbportal226 kbgraphxlink kbmt KB2792663 KbMtpt
Comentários