Como a investigar os itens de caixa de correio em falta ou inesperadamente actualizados utilizando o registo no Office 365 dedicado de auditoria da caixa de correio

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 2792663
Sintomas
Itens numa caixa de correio são actualizados inesperadamente ou faltam itens de uma caixa de correio no Microsoft Office 365 dedicado.
Causa
Este problema ocorre porque os itens podem ser movidos ou eliminados inesperadamente ou incorrectamente.
Resolução
Para resolver este problema, utilize o script do Windows PowerShell de Execução-MailboxAuditLogSearcher e personalizar uma procura. Pode utilizar este script para investigar as acções executadas por não proprietários e administradores. Este script irá exportar o conteúdo num ficheiro com valores simplificado, separados por vírgulas (. csv) para o ajudar a resolver problemas de relatórios sobre itens que estão em falta ou que são actualizados inesperadamente.

Importante Os clientes são aconselhados a utilizar o script fornecido pelo Serviços Online da Microsoft para ajudar a determinadas medidas objecto dos inquéritos. Scripts de Serviços Online da Microsoft são genéricas e devam ser utilizáveis em todos os ambientes de cliente. Se ocorrerem erros quando um script é executado, o conteúdo do script deve ser utilizado como exemplo para criar um script personalizado para um ambiente de cliente específico. Serviços Online da Microsoft fornece o script como uma comodidade a clientes de O365-D/ITAR sem garantia, expressa ou implícita.

Passo 1: Executar o script

Para executar o script de MailboxAuditLogSearcher de execução , siga estes passos:
  1. Inicie o bloco de notas e, em seguida, copie o código da secção "Mais informação" para o ficheiro do bloco de notas.
  2. No menu ficheiro , clique em Guardar como.
  3. Na caixa Guardar com o tipo , clique em Todos os ficheiros.
  4. Na caixa nome do ficheiro , escreva Executar-MailboxAuditLogSearcher.ps1e, em seguida, clique em Guardar.
  5. Iniciar Windows PowerShell e, em seguida, ligue para o Windows PowerShell remoto.
  6. Localize o directório em que guardou o script e, em seguida, execute o script.

    Notas
    • Se executar o script sem parâmetros, lhe for pedido para os seguintes parâmetros de predefinição:
      • Caixa de correio
      • StartDate
      • EndDate
    • Para procurar entradas a partir do dia actual, adicione um dia para o valor de data de fim na janela da linha de comandos. Por exemplo, se a data actual é de 14 de Março de 2012, e que pretende incluir o dia actual na procura, introduza 4/15/2012 como a data de fim.

Passo 2: Personalizar uma procura de registo de auditoria de caixa de correio

Caixa de correio registo de auditoria

Permite aos utilizadores obtenham informações sobre as acções que são executadas por não proprietários e administradores de registo de auditoria da caixa de correio. Auditoria da caixa de correio registo está disponível para membros do grupo de auditoria a caixa de correio relatórios personalizado utilizando apenas o Windows PowerShell remoto.

Nota Por predefinição, a auditoria de caixa de correio apenas não proprietário registo estiver activada e de auditoria do proprietário da caixa de correio registo está desactivado. Se tiver de efectuar o registo de auditoria de caixa de correio do proprietário para investigar um problema específico, pode ser temporariamente activar o processo por um período de duas semanas.

Para procurar a auditoria de caixa de correio entradas de registo, conforme adequado à sua situação, utilizam um dos seguintes métodos:
  • Procure uma caixa de correio de modo síncrono. Para tal, execute o cmdlet seguinte no PowerShell remoto do Windows:
    Search-MailboxAuditLog
    Para mais informações sobre o cmdlet da Pesquisa-MailboxAuditLog , vá para o seguinte Web site da Microsoft TechNet:
  • Procure um ou mais caixas de correio de modo assíncrono. Para tal, execute o cmdlet seguinte no PowerShell remoto do Windows:
    New-MailboxAuditLogSearch
    Para mais informações sobre o cmdlet New-MailboxAuditLogSearch , vá para o seguinte Web site da Microsoft TechNet:
Para mais informações sobre as entradas de registo de auditoria de caixa de correio predefinido, vá para a secção "Entradas de registo de auditoria de caixa de correio" do seguinte Web site Microsoft TechNet:

Personalizar uma procura

No Office 365 dedicado e ITAR, entradas de registo de auditoria de caixa de correio são mantidas na caixa de correio durante 90 dias. Lhe for pedido para indicar uma data de início e data de fim para a procura. Pode utilizar vários parâmetros opcionais para personalizar a procura. Para obter uma descrição destes parâmetros, consulte a secção "Mais informação".

Se forem encontrados itens depois de executado o script, recebe uma mensagem semelhante à seguinte:

Captura de ecrã do resultado depois de executar o script

Esta mensagem de exemplo indica que o processo de procura encontrou 11 entradas. Por predefinição, as entradas de FolderBind são filtradas e manter-se os seguintes tipos de operação:
  • Cópia
  • Criar
  • HardDelete
  • MessageBind
  • Mover
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Atualização
Nota A operação de FolderBind indica as horas em que a caixa de correio é acedida por um não-proprietário. Esta é a operação mais comuns. Não é necessário que visualizar as operações de FolderBind , quando investigar um item que é actualizado ou eliminado.

Reveja a saída do ficheiro. csv. As colunas mais úteis são exportadas e, algumas destas colunas são intercaladas para facilitar a saída rever. Para mais informações sobre as colunas que são exportados, consulte a secção "Mais informação".
Mais Informação

Script de execução-MailboxAuditLogSearcher

Para utilizar o script de execução-MailboxAuditLogSearcher no passo 1 do procedimento na secção "Resolução", copie o seguinte código para um ficheiro de texto.

param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @("Operation", "LogonUserDisplayName", "LastAccessed", "DestFolderPathName", "FolderPathName", "ClientInfoString", "ClientIPAddress", "ClientMachineName", "ClientProcessName", "ClientVersion", "LogonType", "MailboxResolvedOwnerName", "OperationResult") } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green "Searching Mailbox Audit Logs..." $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green "$($SearchREsults.Count) Total entries Found" if (-not $IncludeFolderBind) { write-host -fore green "Removing FolderBind operations." $SearchResults = @($SearchResults | ? {$_.Operation -notlike "FolderBind"}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(" ")}}}, @{Name='CrossMailboxOp';e={if (@("SendAs","Create","Update") -contains $_.Operation) {"N/A"} else {$_.CrossMailboxOperation}}})) $LogParameters = @("Subject") + $LogParameters + @("CrossMailboxOp") If ($Subject -ne "" -and $Subject -ne $null) { write-host -fore green "Searching for Subject: $Subject" $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select $LogParameters) }

Parâmetros do script opcional

A lista seguinte descreve os parâmetros opcionais que geram resultados diferentes, quando utilizados em conjunto com o script de Execução-MailboxAuditLogSearcher :
  • IncludeFolderBind: Quando utiliza este parâmetro, a operação de FolderBind não é filtrada de saída. Pode utilizar informações de FolderBind para investigar o problema de acesso da caixa de correio.

    Por exemplo, o cmdlet seguinte procura de "1" caixa de correio do utilizador de teste e inclui todas as operações:

    /.Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • Assunto: Quando utiliza este parâmetro, pode especificar o assunto de um item a fim de limitar a procura de operações executadas nesse item.

    Por exemplo, o cmdlet seguinte filtra todas as saídas excepto os itens com um assunto definido como "Boas notícias":

    /.Run-MailboxAuditLogSearcher.ps1 -Subject "< Good News >" -Mailbox "< test1@contoso.com >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • ReturnObject: Quando utilizar este parâmetro, o resultado é apresentado no ecrã, mas não é exportado para um ficheiro. csv.

    Por exemplo, o cmdlet seguinte apresenta a saída no ecrã:

    /.Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"

Colunas exportadas a partir do ficheiro. csv

As colunas mais úteis do ficheiro. csv são exportadas. Algumas destas colunas são intercaladas para facilitar a saída rever. A tabela seguinte lista as colunas que são exportadas.
ColunasDescrição
Assunto Assunto do item
OperaçãoAcções que são executadas em itens
LogonUserDisplayNameNome a apresentar do utilizador que tem sessão iniciada
LastAccessedTempo em que a operação foi efectuada
DestFolderPathNamePasta de destino da operação de mudança
FolderPathNameCaminho da pasta
ClientInfoStringDetalhes sobre o cliente que executa a operação
ClientIPAddressEndereço IP para o computador cliente
ClientMachineNameNome do computador cliente
ClientProcessNameNome do processo da aplicação de cliente
ClientVersionVersão da aplicação cliente
LogonTypeTipo de início de sessão do utilizador que executa a operação

Nota Tipos de início de sessão inclui o seguinte:
  • Delegado para não proprietário
  • Administrador
  • Proprietário de caixa de correio (sem sessão iniciado por predefinição)
MailboxResolvedOwnerNameResolver nome de utilizador de caixa de correio

Nota Nome resolvido é o seguinte formato:
Domínio \ NomeContaSAM
OperationResultEstado da operação

Nota Resultados da operação incluem o seguinte:
  • Falhou
  • PartiallySucceeded
  • Foi efectuada com êxito
CrossMailboxOperationInformação sobre se a operação com sessão iniciada é uma operação de cross-caixa de correio (por exemplo, mensagens de copiar ou mover entre caixas de correio)
EXC o365d o365i

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 2792663 - Última Revisão: 06/29/2015 07:12:00 - Revisão: 8.0

  • vkbportal226 kbgraphxlink kbmt KB2792663 KbMtpt
Comentários