Як можна дослідити відсутні або несподівано оновлені елементи для поштової скриньки за допомогою журналювання у службі Office 365, присвячений аудиту

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 2792663
Ознаки
Несподівано оновлення елементів у поштовій скриньці або відсутні елементи з поштової скриньки в Microsoft Office 365, присвячений.
причина
Ця проблема виникає, тому що елементів може бути переміщено або видалено, несподівано або неправильно.
Розв'язанн
Щоб вирішити цю проблему, Run і MailboxAuditLogSearcher сценарію Windows PowerShell і настроювання пошуку. Цей сценарій можна дослідити інтерактивні елементи, які виконуються не є власниками і адміністраторам. Цей сценарій буде експортовано до вмісту у файлі для усунення звіти про елементи, відсутні або оновлюються, несподівано значень для спрощеної із розділювачами комами (CSV).

Увага! Користувачам рекомендується використовувати сценарій, що підтримується Microsoft Online Services допоможе в певних дослідження. Microsoft Online Services сценаріїв, які універсальний і очікується буде використовуватися в усіх користувачів-середовищах. У разі помилки під Вільний час виконання сценарію вміст сценарію слід використовувати як приклад створення настроюваної сценарій для певного клієнта-середовища. Microsoft Online Services надає сценарій для зручності O365-D/ІТАР клієнтів без гарантії, – прямих або непрямих.

Крок 1: Сценарій

Щоб запустити сценарій Виконання, MailboxAuditLogSearcher , виконайте такі дії:
  1. Відкрийте блокнот і Скопіюйте код із розділу "Додаткові відомості" у програмі "Блокнот" файл.
  2. У меню " файл " натисніть кнопку Зберегти як.
  3. У полі тип файлу , виберіть Усі файли.
  4. Введіть у полі ім'я файлуЗапуск і MailboxAuditLogSearcher.ps1і клацніть зберегти.
  5. Запустіть Windows PowerShell і підключення до віддаленої оболонки Windows PowerShell.
  6. Перейдіть до папки, у якій збережено сценарій і запустіть сценарій.

    Примітки
    • Якщо запустити сценарій без параметрів, буде запропоновано такі параметри за промовчанням:
      • ім’я поштової скриньки
      • Дату початку
      • Дати завершення
    • Для пошуку статей з поточний день, додайте один день, дату значення імені адміністратора. Наприклад, якщо дата 14 березня 2012 року, і потрібно включити поточний день під Вільний час виконання пошуку, введіть 4/15/2012 як термін.

Крок 2: Налаштувати на пошук журналу аудиту поштової скриньки

ім’я поштової скриньки аудиту, ведення журналу

Журналювання аудиту дає змогу, користувачі, отримати відомості про інтерактивні елементи, які виконуються не є власниками і адміністраторам. Аудит поштової скриньки протоколювання доступна для учасників групи самообслуговування аудиту звітування поштової скриньки лише за допомогою віддаленого оболонки Windows PowerShell.

Примітка За промовчанням, лише не є власником аудиту вмикається і власника поштової скриньки аудиту журналювання вимкнуто. Якщо потрібно виконати, власника поштової скриньки журналювання аудиту можна дослідити певне можна буде тимчасово ввімкнути процес на два тижні.

Для пошуку аудит поштової скриньки записів у журналі залежно від ситуації, скористайтеся одним із наведених нижче способів.
  • Пошук синхронно окремої поштової скриньки. Для цього виконайте такі команди в віддаленої оболонки Windows PowerShell
    Search-MailboxAuditLog
    Щоб отримати додаткові відомості про Пошук і MailboxAuditLog командлет, перейдіть на веб-сайті Microsoft TechNet.
  • Пошук одного або кількох поштових асинхронно. Для цього виконайте такі команди в віддаленої оболонки Windows PowerShell
    New-MailboxAuditLogSearch
    Щоб отримати додаткові відомості про командлет New-MailboxAuditLogSearch , перейдіть на веб-сайті Microsoft TechNet.
Щоб отримати додаткові відомості про запис А бізнес-партнера журналу за промовчанням ім’я поштової скриньки аудиту див. в розділі "Записи журналу аудиту поштової скриньки" веб-сайт Microsoft TechNet:

Настроювання пошуку

В Office 365, присвячених та ІТАР ім’я поштової скриньки аудиту, ведення журналу запис А бізнес-партнера зберігаються в поштовій скриньці на 90 днів. Вам буде запропоновано вказати на дату початку та дату завершення пошуку. Настроювання пошуку, можна використовувати кілька додаткових параметрів. Опис цих параметрів див. розділ "Додаткові відомості".

Якщо після цього сценарію елементи працює, з'являється протокол IMAP приблизно такого вигляду:

У результаті після запуску сценарію знімок

Приклад протокол IMAP вказує на те, що процес пошуку знайшов 11 запис А бізнес-партнера. За промовчанням FolderBind запис А бізнес-партнера відфільтровані і залишається на роботу таких типів:
  • копія
  • Створення
  • HardDelete
  • MessageBind
  • Переміщення
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Оновлення
Примітка Операція FolderBind вказує на те, часу доступ не є власником поштової скриньки. Це найбільш поширені операції. Вам не потрібно переглянути FolderBind операції, після того, як ви досліджувати елемент, який буде оновлено або видалено.

Ознайомтеся з вихідними CSV-файлу. Найбільш корисні стовпці буде експортовано, а деякі з цих стовпців для полегшення переглянути результати злиття. Щоб отримати додаткові відомості щодо стовпців, які буде експортовано див. розділ "Додаткові відомості".
Додаткові відомості

Запуск і MailboxAuditLogSearcher сценарію.

За сценарій виконання сценарію виконання, MailboxAuditLogSearcher на кроці 1 процедуру, описану в розділі "Заходи усунення", скопіюйте наведений нижче код, у текстовому файлі.

param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @("Operation", "LogonUserDisplayName", "LastAccessed", "DestFolderPathName", "FolderPathName", "ClientInfoString", "ClientIPAddress", "ClientMachineName", "ClientProcessName", "ClientVersion", "LogonType", "MailboxResolvedOwnerName", "OperationResult") } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green "Searching Mailbox Audit Logs..." $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green "$($SearchREsults.Count) Total entries Found" if (-not $IncludeFolderBind) { write-host -fore green "Removing FolderBind operations." $SearchResults = @($SearchResults | ? {$_.Operation -notlike "FolderBind"}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(" ")}}}, @{Name='CrossMailboxOp';e={if (@("SendAs","Create","Update") -contains $_.Operation) {"N/A"} else {$_.CrossMailboxOperation}}})) $LogParameters = @("Subject") + $LogParameters + @("CrossMailboxOp") If ($Subject -ne "" -and $Subject -ne $null) { write-host -fore green "Searching for Subject: $Subject" $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select $LogParameters) }

Додаткові сценарію параметрів.

Нижче перелічено додаткових параметрів генерувати відмінні результати, якщо використовуються разом із Run-MailboxAuditLogSearcher сценарію:
  • IncludeFolderBind: Перед завершенням роботи, FolderBind операцію не фільтрується з виводу. FolderBind відомості можна дослідити проблему з доступ до поштової скриньки.

    Такі команди, наприклад, пошук на "Test 1" поштової скриньки та включає всі операції:

    /.Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • Тема: Використовуючи цей ключ, можна вказати тему елемент для того, щоб обмежити пошук операцій, які виконуються на цей елемент.

    Наприклад, такий командлет фільтрує всі результати, за винятком елементів з цього питання, як "Гарні новини":

    /.Run-MailboxAuditLogSearcher.ps1 -Subject "< Good News >" -Mailbox "< test1@contoso.com >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • ReturnObject: Перед завершенням роботи, у результаті відображається на екрані, але це не експортується до CSV-файлу.

    Наприклад, такі команди на екрані відображаються результати:

    /.Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"

Експортований стовпці з CSV-файлу.

Найбільш корисні стовпців. CSV-файлу, буде експортовано. Деякі з цих стовпців для полегшення переглянути результати злиття. Наведена нижче таблиця містить, стовпці, що експортуються.
СтовпціОпис
Теми Тема елемента
Операціїінтерактивні елементи, які виконуються на елементи
LogonUserDisplayNameкоротке ім'я користувача, який увійшов до системи
LastAccessedВільний час, на якому було виконано операції
DestFolderPathNameкаталог вхідних повідомлень призначення для переходу між
FolderPathNameШлях до папки
ClientInfoStringДокладні відомості про клієнта, який виконує операції
ClientIPAddressIP-адресу на клієнтському комп'ютері.
ClientMachineNameім'я комп'ютера клієнта
ClientProcessNameІм'я процесу клієнтського застосунку
ClientVersionВерсія програми клієнта
LogonTypeВхід до системи введіть користувача, який виконує операції

Примітка Вхід до системи типу містять таку інформацію:
  • Представник не є власником
  • Адміністратор
  • Власника поштової скриньки, (не виконано, за промовчанням)
MailboxResolvedOwnerNameВирішено ім'я поштової скриньки користувача.

Примітка Вирішено ім'я, що знаходиться в такому форматі:
Domain\SamAccountName
OperationResultСтан операції

Примітка Результати операції включають:
  • Не вдалося
  • PartiallySucceeded
  • Успішно завершено
CrossMailboxOperationВідомості про те, чи операцію виконано операції за перехресного-поштових скриньок (наприклад, копіювання або переміщення повідомлень з поштових скриньок)
EXC o365d o365i

Попередження. Цю статтю переведено автоматично

Властивості

Ідентифікатор статті: 2792663 – останній перегляд: 06/30/2015 04:38:00 – виправлення: 8.0

  • vkbportal226 kbgraphxlink kbmt KB2792663 KbMtuk
Зворотний зв’язок