Cum să investigheze lipsește sau este actualizat în mod neașteptat cutie poştală elemente utilizând audit cutie poștală înregistrarea în jurnal în Office 365 dedicat

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 2792663
Simptome
Elemente într-o cutie poștală sunt actualizate în mod neașteptat sau lipsesc elemente dintr-o cutie poștală în Microsoft Office 365 dedicate.
Cauză
Această problemă apare deoarece elemente pot fi mutat sau șters în mod neașteptat sau incorect.
Rezoluţie
Pentru a rezolva această problemă, utilizați scriptul Windows PowerShell MailboxAuditLogSearcher pornire și particularizați o căutare. Utilizați acest script pentru a investiga acțiuni care sunt efectuate de non-proprietar şi administratori. Acest script va exporta conținutul într-un fișier de valori simplificată, separate prin virgulă (.csv) pentru a vă ajuta să depanați rapoarte despre elementele care lipsesc sau care sunt actualizate în mod neașteptat.

Important Clienții sunt încurajați să utilizaţi un script care este furnizată de Microsoft Online Services pentru a ajuta la anumite anchete. Script-uri Microsoft Online Services sunt generic și urmează a fi utilizabile în toate mediile de client. Dacă se produc erori atunci când este executat un script, conținutul de script-ul se recomandă ca un exemplu pentru a crea un script particularizat pentru un anumit client mediu. Microsoft Online Services oferă script ca un avantaj O365-D/ITAR clienților fără nicio garanţie, explicită sau implicită.

Pasul 1: Executa scriptul

Pentru a executa scriptul MailboxAuditLogSearcher de pornire , urmați acești pași:
  1. Porniți Notepad, și apoi copiați codul din secțiunea "Mai multe informații" în fișierul Notepad.
  2. În meniul fișier , faceți clic pe Salvare ca.
  3. În caseta tip fișier , faceți clic pe Toate fișierele.
  4. În caseta nume fișier , tastați Pornire MailboxAuditLogSearcher.ps1, apoi faceți clic pe Salvare.
  5. Porniți Windows PowerShell, și apoi conectați la Windows PowerShell la distanță.
  6. Găsiți directorul în care aţi salvat scriptul, și apoi executa scriptul.

    Note
    • Dacă executați un script fără parametri, vi se solicită implicit următorii parametri:
      • Cutie poștală
      • Data
      • Sfârșit
    • Pentru a căuta intrări de la ziua curentă, adăugați o zi la valoarea data de încheiere în fereastra prompt. De exemplu, dacă data curentă este 14 martie 2012, și doriți să includeți ziua curentă în căutare, introduceți 15/4/2012 ca dată de închidere.

Pasul 2: Particulariza o Căutare după jurnal de audit cutie poștală

Înregistrarea în jurnal de audit cutie poștală

Audit cutie poștală permite utilizatorilor obține informații despre acțiunile care sunt efectuate de non-proprietar și administratorii de înregistrare în jurnal. Audit cutie poștală înregistrarea în jurnal este disponibil pentru membrii grupului Audit raportare Mailbox autoservire numai prin utilizarea Windows PowerShell la distanță.

Notă implicit, audit cutie poștală numai non-proprietar în jurnal este activată, și proprietar audit cutie poștală înregistrarea în jurnal este dezactivat. Dacă trebuie să efectuați proprietarul cutiei poștale înregistrarea în jurnal de audit pentru a investiga o anumită problemă, se poate fi activa temporar procesul pentru o perioadă de două săptămâni.

Pentru a căuta audit cutie poștală intrări în jurnal, în funcție de situația dvs., utilizați una dintre următoarele metode:
  • Căutați o cutie poștală singur sincron. Pentru aceasta, executați cmdletul următoare în Windows PowerShell la distanță:
    Search-MailboxAuditLog
    Pentru mai multe informații despre cmdlet MailboxAuditLog de căutare , mergeţi la următorul site Web Microsoft TechNet:
  • Căutare unul sau mai multe cutii poștale asincron. Pentru aceasta, executați cmdletul următoare în Windows PowerShell la distanță:
    New-MailboxAuditLogSearch
    Pentru mai multe informații despre cmdletul New-MailboxAuditLogSearch , mergeţi la următorul site Web Microsoft TechNet:
Pentru mai multe informații despre intrările în jurnal implicit cutie poștală audit, mergeți la secțiunea "Intrări în Jurnalul de audit cutie poștală" din următorul site Web Microsoft TechNet:

Particularizarea unei căutări

În Office 365 dedicată și ITAR, audit cutie poștală înregistrarea în jurnal intrările sunt reținute în cutia poștală de 90 de zile. Vi se solicită să indice o dată de început și data de încheiere pentru căutare. Utilizaţi parametrii opționali mai multe pentru a particulariza căutarea. Pentru o descriere a acestor parametri, consultați secțiunea "Mai multe informații".

Dacă elementele se găsesc după scriptul se execută, primiți un mesaj care seamănă cu următorul:

Captură de ecran rezultatul după executarea scriptului

Acest mesaj de exemplu indică faptul că procesul de căutare a găsit 11 intrări. implicit, intrările FolderBind sunt filtrate și următoarele tipuri de operațiune rămâne:
  • Copie
  • Creați
  • HardDelete
  • MessageBind
  • Deplasare
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Actualizare
Notă Operațiunea de FolderBind indică orele la care este accesat cutia poștală de non-proprietar. Aceasta este cea mai comună operațiunea. Nu trebuie să vizualizați operațiunile de FolderBind atunci când investiga un element care este actualizat sau șterse.

Examinați rezultatele din fișierul .csv. Cele mai utile coloanele se exportă și unele dintre aceste coloane sunt îmbinate pentru a face mai ușor de revizuire de ieșire. Pentru mai multe informații despre coloane care se exportă, consultați secțiunea "Mai multe informații".
Informaţii suplimentare

Pornire MailboxAuditLogSearcher script

Pentru a utiliza scriptul MailboxAuditLogSearcher de pornire în pasul 1 din procedura din secțiunea "Rezolvare", copiați următorul cod într-un fișier text.

param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @("Operation", "LogonUserDisplayName", "LastAccessed", "DestFolderPathName", "FolderPathName", "ClientInfoString", "ClientIPAddress", "ClientMachineName", "ClientProcessName", "ClientVersion", "LogonType", "MailboxResolvedOwnerName", "OperationResult") } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green "Searching Mailbox Audit Logs..." $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green "$($SearchREsults.Count) Total entries Found" if (-not $IncludeFolderBind) { write-host -fore green "Removing FolderBind operations." $SearchResults = @($SearchResults | ? {$_.Operation -notlike "FolderBind"}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(" ")}}}, @{Name='CrossMailboxOp';e={if (@("SendAs","Create","Update") -contains $_.Operation) {"N/A"} else {$_.CrossMailboxOperation}}})) $LogParameters = @("Subject") + $LogParameters + @("CrossMailboxOp") If ($Subject -ne "" -and $Subject -ne $null) { write-host -fore green "Searching for Subject: $Subject" $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select $LogParameters) }

Parametrii opțional script

Următoarea listă descrie parametrii opționali care generează rezultate diferite când sunt utilizate împreună cu scriptul MailboxAuditLogSearcher de pornire :
  • IncludeFolderBind: Când utilizați acest parametru, operațiunea de FolderBind nu este filtrat din datele de ieșire. Utilizați FolderBind informații pentru a investiga problema de acces la cutia poștală.

    De exemplu, următoarele cmdlet caută "Test utilizator 1" cutie poștală și include toate operațiunile:

    /.Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • Subiect: Când utilizați acest parametru, aveți posibilitatea să specificați subiect a unui element pentru a limita căutarea pentru operațiile executate pe acel element.

    De exemplu, următoarele cmdlet filtrează toate rezultatele, cu excepția elementelor care au subiect setat ca "Vestea":

    /.Run-MailboxAuditLogSearcher.ps1 -Subject "< Good News >" -Mailbox "< test1@contoso.com >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • ReturnObject: Când utilizați acest parametru, rezultatul este afișat pe ecran, dar nu sunt exportate într-un fișier .csv.

    De exemplu, următoarele cmdlet afișează rezultatele pe ecran:

    /.Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"

Coloane exportat din fișierul .csv

Cele mai utile coloane din fișierul .csv exportat. Unele dintre aceste coloane sunt îmbinate pentru a face mai ușor de revizuire de ieșire. Următorul tabel listează coloane care se exportă.
ColoaneDescrierea
Subiect Subiectul articolului
OperațiuneAcțiunile care se efectuează pe elemente
LogonUserDisplayNameAfișare nume de utilizator care a făcut conecta
LastAccessedOra la care s-a efectuat operațiunea
DestFolderPathNameFolderul destinație pentru operațiunea de mutare
FolderPathNameCalea folderului
ClientInfoStringDetalii despre clientul care efectuează operațiuni
ClientIPAddressAdresă IP pentru computer client
ClientMachineNamenume de sign-in de pe computer client
ClientProcessNameNume de proces al aplicației client
ClientVersionVersiune de aplicația client
LogonTypeTip de conecta al utilizatorului care efectuează operațiuni

Notă Tipuri de conecta include următoarele:
  • Delegat pentru non-proprietar
  • Administrator
  • Cutie poștală proprietar (nu este conectat în mod implicit)
MailboxResolvedOwnerNameRezolvat nume de sign-in de utilizator de cutie poștală

Notă Rezolvarea numelui este în următorul format:
Domain\SamAccountName
OperationResultStare de funcționare

Notă Rezultate operațiune se numără următoarele:
  • Nu a reușit
  • PartiallySucceeded
  • A reușit
CrossMailboxOperationInformații despre dacă operația log este o operațiune de inter-mailbox (de exemplu, mesajele copierea sau mutarea între cutiile poștale)
Exc o365d o365i

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 2792663 - Ultima examinare: 06/30/2015 04:36:00 - Revizie: 8.0

  • vkbportal226 kbgraphxlink kbmt KB2792663 KbMtro
Feedback