如何使用信箱稽核登入 Office 365 專門調查遺失或意外地更新信箱項目

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:2792663
徵狀
在信箱中的項目會意外地更新,或從 Microsoft Office 365 專用信箱項目已遺失。
發生的原因
因為可能會移動或刪除意外或不正確的項目,就會發生這個問題。
解決方案
若要解決這個問題,請使用執行 MailboxAuditLogSearcher Windows PowerShell 指令碼,並自訂搜尋。您可以使用這個指令碼來調查由非擁有者和系統管理員所執行的動作。此指令碼將會匯出內容簡化、 以逗號分隔值 (.csv) 檔案,協助您疑難排解關於項目不存在,或會意外地更新報告中。

重要客戶會建議使用由 Microsoft Online Services 為了某些調查所提供的指令碼。Microsoft Online Services 指令碼都是泛型,而且他們希望能在所有的客戶環境中使用。如果在執行指令碼時,就會發生錯誤,應該做為範例使用指令碼的內容,若要建立特定客戶環境的自訂指令碼。Microsoft Online Services 不提供擔保,明示或默示的 O365-D/ITAR 客戶為求方便提供指令碼。

步驟 1: 執行指令碼

若要執行的執行 MailboxAuditLogSearcher指令碼,請依照下列步驟執行:
  1. 啟動 [記事本],然後將從 〈 其他資訊 〉 一節的程式碼複製到 [記事本] 檔案。
  2. 在 [檔案] 功能表上按一下 [另新檔]。
  3. 在 [存檔類型] 方塊中,按一下 [所有檔案]。
  4. 在 [檔案名稱] 方塊中,輸入 執行 MailboxAuditLogSearcher.ps1然後按一下 [儲存
  5. 啟動 Windows PowerShell,然後連線至遠端 Windows PowerShell。
  6. 找出您儲存指令碼的目錄,並再執行指令碼。

    注意事項
    • 如果您執行指令碼,不加任何參數,會提示您輸入下列預設參數:
      • 信箱
      • 開始日期
      • 結束日期
    • 若要搜尋的項目從目前的日期,將新增到命令提示視窗中的結束日期值的一天。例如,如果目前的日期是 2012 年 3 月 14,而您想要在搜尋中包括目前的日期,請輸入 4/15/2012 為的結束日期。

步驟 2: 自訂信箱稽核記錄檔搜尋

信箱稽核記錄

信箱稽核記錄可讓使用者取得非擁有者和系統管理員所執行的動作的相關資訊。信箱稽核記錄是僅藉由使用 Windows 遠端 PowerShell 稽核報告的信箱自助服務群組的成員使用。

注意根據預設,只有非擁有者的使用者信箱稽核已啟用記錄,和擁有者信箱稽核記錄已停用。如果您有執行擁有者信箱稽核記錄調查特定的問題,您可以是暫時啟用程序的兩個星期的期間內。

若要搜尋信箱稽核記錄項目,視您的情況,使用下列方法之一:
  • 同步搜尋單一信箱。若要執行這項操作,請在 Windows 遠端 PowerShell 中執行下列指令程式:
    Search-MailboxAuditLog
    如需搜尋 MailboxAuditLog指令程式的詳細資訊,請移至下列 Microsoft TechNet 網站:
  • 以非同步方式搜尋一或多個信箱。若要執行這項操作,請在 Windows 遠端 PowerShell 中執行下列指令程式:
    New-MailboxAuditLogSearch
    如需新增 MailboxAuditLogSearch指令程式的詳細資訊,請移至下列 Microsoft TechNet 網站:
如需預設信箱稽核記錄項目,請至下列 Microsoft TechNet 網站的 「 信箱稽核記錄檔項目 」 一節:

自訂搜尋

在 [Office 365 專用和 ITAR,信箱稽核記錄項目仍會保留在信箱中 90 天。系統會提示您指示的開始日期和結束日期搜尋。若要自訂搜尋,您可以使用幾個選擇性參數。這些參數的說明,請參閱 〈 其他資訊 〉 一節。

如果指令碼執行後,找不到項目,您會收到類似下列的訊息:

螢幕擷取畫面之後執行指令碼的結果

這個範例訊息會指出搜尋程序發現 11 的項目。根據預設, FolderBind項目會篩選出,而下列的作業類型不會:
  • 複製
  • 建立
  • HardDelete
  • MessageBind
  • 移動
  • MoveToDeletedItems
  • 所需的 SendAs
  • SendOnBehalf
  • SoftDelete
  • 更新
附註FolderBind作業表示的信箱由非擁有者存取的時間。這是最常見的作業。您沒有檢視FolderBind作業,當您調查的更新或刪除的項目。

檢閱.csv 檔案的輸出。匯出最有用的資料行,以及這些資料行部分會被合併到使輸出更輕鬆地檢視。如需有關匯出的資料行的詳細資訊,請參閱 〈 其他資訊 〉 一節。
其他相關資訊

執行 MailboxAuditLogSearcher 指令碼

若要使用執行 MailboxAuditLogSearcher 指令碼中的 〈 解決方案 〉 一節的程序的步驟 1 中,請將下列程式碼複製到文字檔案。

param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @("Operation", "LogonUserDisplayName", "LastAccessed", "DestFolderPathName", "FolderPathName", "ClientInfoString", "ClientIPAddress", "ClientMachineName", "ClientProcessName", "ClientVersion", "LogonType", "MailboxResolvedOwnerName", "OperationResult") } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green "Searching Mailbox Audit Logs..." $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green "$($SearchREsults.Count) Total entries Found" if (-not $IncludeFolderBind) { write-host -fore green "Removing FolderBind operations." $SearchResults = @($SearchResults | ? {$_.Operation -notlike "FolderBind"}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(" ")}}}, @{Name='CrossMailboxOp';e={if (@("SendAs","Create","Update") -contains $_.Operation) {"N/A"} else {$_.CrossMailboxOperation}}})) $LogParameters = @("Subject") + $LogParameters + @("CrossMailboxOp") If ($Subject -ne "" -and $Subject -ne $null) { write-host -fore green "Searching for Subject: $Subject" $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green "Filtered to $($SearchREsults.Count) Entries" } $SearchResults = @($SearchResults | select $LogParameters) }

選用的指令碼參數

下列清單說明執行 MailboxAuditLogSearcher指令碼搭配使用時,產生不同結果的選擇性參數:
  • IncludeFolderBind:當您使用這個參數時,FolderBind 作業不會從輸出篩選。您可以使用 FolderBind 資訊來調查信箱存取問題。

    例如,下列的指令程式會搜尋"1" 的測試使用者信箱,並且包含所有作業:

    /.Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • 主旨:當您使用這個參數時,您可以指定項目主旨才能在該項目執行的作業的搜尋範圍限制。

    例如,下列的指令程式會篩選掉主體設定為 「 好消息 」 的項目以外的所有輸出:

    /.Run-MailboxAuditLogSearcher.ps1 -Subject "< Good News >" -Mailbox "< test1@contoso.com >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"
  • ReturnObject當您使用這個參數時,結果會顯示在畫面上,但它不會匯出至.csv 檔案。

    例如,下列的指令程式會顯示輸出在螢幕上:

    /.Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "< Test User 1 >" -StartDate "< 09/10/12 >" -EndDate "< 09/27/12 >"

從.csv 檔案匯出的資料行

匯出的.csv 檔案最有用的資料行。這些資料行部分會合併使輸出更輕鬆地檢視。下表列出會匯出的資料行。
資料行描述
主旨 項目主旨
作業項目執行的動作
LogonUserDisplayName顯示登入的使用者名稱
LastAccessed操作執行的時間
DestFolderPathName移動作業的目的地資料夾
FolderPathName資料夾路徑
ClientInfoString執行作業的用戶端的詳細資料
ClientIPAddress用戶端電腦的 IP 位址
ClientMachineName用戶端電腦的名稱
ClientProcessName用戶端應用程式處理程序名稱
ClientVersion用戶端應用程式的版本
LogonType執行作業的使用者的登入類型

注意登入類型包含下列內容:
  • 非擁有者的委派
  • 系統管理員
  • 信箱擁有者 (依預設不會記錄)
MailboxResolvedOwnerName解析的信箱使用者的名稱

注意已解析的名稱是以下列格式:
Domain\SamAccountName
OperationResult作業狀態

注意作業結果如下:
  • 失敗
  • PartiallySucceeded
  • 已成功
CrossMailboxOperation記錄的作業是否跨信箱作業 (例如,複製或移動郵件信箱之間) 的相關資訊
Exc o365d o365i

內容

文章識別碼:2792663 - 最後檢閱時間:06/30/2015 04:39:00 - 修訂: 8.0

  • vkbportal226 kbgraphxlink kbmt KB2792663 KbMtzh
意見反應