Làm thế nào để điều tra thiếu hoặc bất ngờ Cập Nhật mục tin thư thoại bằng cách sử dụng hộp kiểm ghi nhật ký trong Office 365 dành riêng

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 2792663
Triệu chứng
Các mục trong hộp thư được cập nhật bất ngờ hoặc mục bị thiếu trong hộp thư trong Microsoft Office 365 dành riêng.
Nguyên nhân
Sự cố này xảy ra vì mục có thể di chuyển hoặc xoá bất ngờ hoặc không chính xác.
Giải pháp
Để giải quyết vấn đề này, sử dụng tập lệnh Windows PowerShell Chạy MailboxAuditLogSearcher và tuỳ chỉnh tra cứu. Bạn có thể sử dụng lệnh này để điều tra hoạt động được thực hiện bởi không phải chủ sở hữu và quản trị viên. Lệnh này sẽ xuất nội dung trong tệp giá trị đơn giản, phân tách bằng dấu kiểm phẩy (.csv) để giúp bạn khắc phục sự cố báo cáo về các mục đã bị mất hoặc đã được cập nhật bất ngờ.

Quan trọng Khách hàng được khuyến khích sử dụng được nhà cung cấp bản ghi dịch vụ trực tuyến của Microsoft để trợ giúp trong một số điều tra. Kịch bản bản ghi dịch vụ trực tuyến của Microsoft là chung và chúng phải được sử dụng trong tất cả các môi trường khách hàng. Nếu lỗi xảy ra khi một lệnh được thực hiện, nội dung của các kịch bản sẽ được sử dụng làm ví dụ tạo tập lệnh tuỳ chỉnh cho một môi trường cụ thể khách hàng. bản ghi dịch vụ trực tuyến của Microsoft cung cấp các kịch bản để thuận tiện cho O365-D/ITAR khách không bảo hành rõ ràng hay ngụ ý.

Bước 1: Chạy tập lệnh

Chạy tập lệnh Chạy MailboxAuditLogSearcher , hãy làm theo các bước sau:
  1. Khởi động Notepad, và sau đó sao chép mã từ phần "Thông tin" vào tệp Notepad.
  2. Trên menu tệp , bấm Lưu dưới dạng.
  3. Trong hộp kiểu lưu , bấm Tất cả các tệp.
  4. Trong hộp tên tệp , gõ Chạy MailboxAuditLogSearcher.ps1, sau đó bấm lưu.
  5. Khởi động Windows PowerShell và kết nối với Windows PowerShell từ xa.
  6. Xác định vị trí mục tin thư thoại mà bạn đã lưu tập lệnh và sau đó chạy tập lệnh.

    Lưu ý:
    • Nếu bạn chạy tập lệnh không có tham số, bạn được nhắc nhập tham số mặc định sau:
      • Hộp thư
      • StartDate
      • EndDate
    • Để tra cứu các mục nhập từ ngày hiện tại, thêm một ngày giá trị ngày kết thúc trong cửa sổ nhắc. Ví dụ: Nếu hiện tại ngày 14 tháng 3 năm 2012, và bạn muốn đưa ngày hiện tại trong tra cứu của bạn, nhập 4/01/2012 là ngày kết thúc.

Bước 2: Tuỳ chỉnh tra cứu Nhật ký kiểm tra hộp thư

Kiểm tra hộp thư ghi nhật ký

hộp kiểm ghi nhật ký cho phép người dùng nhận được thông tin về các hành động được thực hiện bởi không phải chủ sở hữu và quản trị viên. hộp kiểm ghi nhật ký có sẵn cho các thành viên của nhóm bản ghi dịch vụ tự kiểm tra hộp thư báo cáo chỉ bằng cách sử dụng Windows PowerShell từ xa.

Lưu ý: theo mặc định, chỉ không phải chủ sở hữu hộp kiểm ghi nhật ký được kích hoạt, và chủ sở hữu hộp kiểm ghi nhật ký bị vô hiệu hoá. Nếu bạn muốn thực hiện chủ sở hữu hộp kiểm định đăng điều tra vấn đề cụ thể, bạn có thể tạm thời kích hoạt trình trong một thời gian hai tuần.

Để tra cứu hộp thư kiểm tra mục Nhật ký, tuỳ theo trường hợp của bạn, sử dụng một trong các phương pháp sau:
  • tra cứu một hộp thư đồng bộ. Để thực hiện việc này, hãy chạy lệnh sau trong Windows PowerShell từ xa:
    Search-MailboxAuditLog
    Để biết thêm thông tin về lệnh MailboxAuditLog tra cứu , hãy truy cập website sau của Microsoft TechNet:
  • tra cứu một hoặc nhiều hộp thư không đồng bộ. Để thực hiện việc này, hãy chạy lệnh sau trong Windows PowerShell từ xa:
    New-MailboxAuditLogSearch
    Để biết thêm thông tin về lệnh ghép ngắn New-MailboxAuditLogSearch , hãy truy cập website sau của Microsoft TechNet:
Để biết thêm thông tin về các mục kí nhập mặc định hộp kiểm tra, hãy chuyển đến phần "Hộp kiểm tra Nhật ký mới" của website sau của Microsoft TechNet:

tra cứu tuỳ chỉnh

Office 365 dành riêng và ITAR, hộp kiểm ghi nhật ký mục được giữ lại trong hộp thư trong 90 ngày. Bạn được nhắc chỉ ngày bắt đầu và ngày kết thúc để tra cứu. Bạn có thể sử dụng các tham số tùy chọn để tuỳ chỉnh tra cứu. Mô tả các tham số, xem phần "Thông tin".

Nếu mục nằm sau đoạn chạy, bạn nhận được thông báo tương tự như sau:

Ảnh chụp màn hình của kết quả sau khi chạy tập lệnh

Thông báo ví dụ này cho biết quá trình tra cứu đã tìm thấy mục 11. theo mặc định, mục FolderBind được lọc và vẫn còn loại thao tác sau:
  • đồng gửi
  • Tạo
  • HardDelete
  • MessageBind
  • Di chuyển
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Bản cập nhật
Lưu ý Hoạt động FolderBind cho biết thời gian mà hộp thư được truy cập bằng không sở hữu. Đây là hoạt động phổ biến nhất. Bạn không phải xem FolderBind hoạt động khi bạn nghiên cứu một mục được Cập Nhật hoặc xoá.

Kiểm tra ra tệp .csv. Cột hữu ích nhất được xuất và một số các cột được hợp nhất để thực hiện dễ dàng hơn để kiểm tra kết quả. Để biết thêm chi tiết về các cột được xuất, hãy xem phần "Thông tin".
Thông tin thêm

MailboxAuditLogSearcher chạy tập lệnh

Sử dụng MailboxAuditLogSearcher chạy tập lệnh trong bước 1 của quy trình trong phần "Giải pháp", sao chép mã sau vào tệp văn bản.

param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @("Operation", "LogonUserDisplayName", "LastAccessed", "DestFolderPathName", "FolderPathName", "ClientInfoString", "ClientIPAddress", "ClientMachineName", "ClientProcessName", "ClientVersion", "LogonType", "MailboxResolvedOwnerName", "OperationResult") } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green "Searching Mailbox Audit Logs..." $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green "$($SearchREsults.Count) Total entries Found" if (-not $IncludeFolderBind) { write-host -fore green "Removing FolderBind operations." $SearchResults = @($SearchResults | ? {$_.Operation -notlike "FolderBind"}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(" ")}}}, @{Name='CrossMailboxOp';e={if (@("SendAs","Create","Update") -contains $_.Operation) {"N/A"} else {$_.CrossMailboxOperation}}})) $LogParameters = @("Subject") + $LogParameters + @("CrossMailboxOp") If ($Subject -ne "" -and $Subject -ne $null) { write-host -fore green "Searching for Subject: $Subject" $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select $LogParameters) }

Tham số tùy chọn tập lệnh

Danh sách sau mô tả các tham số tùy chọn tạo ra kết quả khác nhau khi chúng được sử dụng cùng với lệnh Chạy MailboxAuditLogSearcher :
  • IncludeFolderBind: Khi bạn sử dụng chuyển đổi này, hoạt động FolderBind không được lọc từ đầu ra. Bạn có thể sử dụng thông tin FolderBind điều tra vấn đề truy cập hộp thư.

    Ví dụ, lệnh sau tra cứu các "hộp thư người dùng thử nghiệm 1" và bao gồm tất cả các hoạt động:

    /.Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • Chủ đề: Khi bạn sử dụng chuyển đổi này, bạn có thể chỉ định chủ đề mục để giới hạn việc tra cứu các thao tác được thực hiện trên mục.

    Ví dụ, lệnh sau bộ lọc ra tất cả trừ các mục có chủ đề đặt là "Good News":

    /.Run-MailboxAuditLogSearcher.ps1 -Subject "< Good News >" -Mailbox "< test1@contoso.com >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • ReturnObject: Khi bạn sử dụng chuyển đổi này, kết quả được hiển thị trên màn hình, nhưng nó không được xuất sang tệp .csv.

    Ví dụ, lệnh sau đây sẽ hiển thị kết quả trên màn hình:

    /.Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"

Cột đã xuất tệp .csv

Cột hữu ích nhất của tệp .csv được xuất. Một số các cột được hợp nhất để thực hiện dễ dàng hơn để kiểm tra kết quả. Bảng sau liệt kê các cột được xuất.
CộtMô tả
Chủ đề Chủ đề mục
Hoạt độngHành động được thực hiện trên mục
LogonUserDisplayNametên hiển thị của người dùng kí nhập
LastAccessedThời gian mà hoạt động được thực hiện
DestFolderPathNameCặp đích cho việc di chuyển
FolderPathNameĐường dẫn của mục tin thư thoại
ClientInfoStringChi tiết về máy tính khách thực hiện các hoạt động
ClientIPAddressđịa chỉ IP cho máy tính khách
ClientMachineNameTên của máy tính khách
ClientProcessNameTên trình điều khiển máy tính khách
ClientVersionPhiên bản của ứng dụng khách
LogonTypeLoại kí nhập người dùng đã thực hiện các hoạt động

Lưu ý: kí nhập loại bao gồm:
  • Người đại diện cho không phải chủ sở hữu
  • Quản trị viên
  • Chủ nhân hộp thư (không được ghi lại theo mặc định)
MailboxResolvedOwnerNameGiải quyết các tên người người dùng hộp thư

Lưu ý: Tên giải quyết là ở định dạng sau:
Domain\SamAccountName
OperationResulttrạm đậu hoạt động

Lưu ý: Kết quả hoạt động bao gồm:
  • Không thành công
  • PartiallySucceeded
  • Thành công
CrossMailboxOperationThông tin về việc hoạt động kí nhập là một hoạt động nhiều hộp thư (ví dụ, sao chép hoặc di chuyển thư trong hộp thư)
Exc o365d o365i

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 2792663 - Xem lại Lần cuối: 06/30/2015 04:38:00 - Bản sửa đổi: 8.0

  • vkbportal226 kbgraphxlink kbmt KB2792663 KbMtvi
Phản hồi