(0) exportieren Drucken
Alle erweitern

Exportieren von Postfachüberwachungsprotokollen

Exchange Online
 

Gilt für: Exchange Server 2013, Exchange Online

Letztes Änderungsdatum des Themas: 2013-11-13

Bei aktivierter Postfachüberwachung für ein Postfach werden im Postfachüberwachungsprotokoll Informationen protokolliert, wenn ein Benutzer, bei dem es sich nicht um den Besitzer des Postfachs handelt, auf das Postfach zugreift. Jeder Protokolleintrag enthält Angaben zur zugreifenden Person und zur Zugriffszeit, zu den Aktionen, die der Nicht-Besitzer ausgeführt hat, sowie zum Status der Aktion. Einträge im Postfachüberwachungsprotokoll werden standardmäßig für 90 Tage beibehalten. Mithilfe des Postfachüberwachungsprotokolls können Sie feststellen, ob auf ein Postfach von einer Person zugegriffen wurde, bei der es sich nicht um den Besitzer des Postfachs handelt.

Wenn Sie Einträge aus Postfachüberwachungsprotokollen exportieren, speichert Microsoft Exchange die Einträge in einer XML-Datei und fügt diese einer E-Mail an die angegebenen Empfänger an.

  • Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: Die Zeiten sind unterschiedlich. In Exchange Online wird das Postfachüberwachungsprotokoll binnen weniger Tage gesendet, nachdem Sie es exportiert haben.

  • Für die Verfahren in diesem Thema sind bestimmte Berechtigungen erforderlich. Informationen zu den Berechtigungen finden Sie in den einzelnen Verfahren.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

TippTipp:
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter: Exchange Server, Exchange Online oder Exchange Online Protection.

Zum Exportieren und Anzeigen von Postfachüberwachungsprotokollen muss zunächst die Postfachüberwachungsprotokollierung für jedes Postfach aktiviert werden, das Sie überwachen möchten. Außerdem müssen Sie Outlook Web App so konfigurieren, dass XML-Anlagen zugelassen werden. Nur dann können Sie mit Outlook Web App auf das Überwachungsprotokoll zugreifen.

Die Postfachüberwachungsprotokollierung muss für jedes Postfach aktiviert werden, für das ein Bericht zum Postfachzugriff durch Nicht-Besitzer ausgeführt werden soll. Ist die Postfachüberwachungsprotokollierung für ein Postfach nicht aktiviert, erhalten Sie keine Ergebnisse für dieses Postfach, wenn Sie das Postfachüberwachungsprotokoll exportieren.

Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Postfachüberwachungsprotokollierung" im Thema Messagingrichtlinie und -einhaltung – Berechtigungen.

Führen Sie den folgenden Befehl in der Shell aus, um die Postfachüberwachungsprotokollierung für ein einzelnes Postfach zu aktivieren.

Set-Mailbox <Identity> -AuditEnabled $true

Führen Sie folgende Befehle aus, um die Postfachüberwachungsprotokollierung für alle Benutzerpostfächer in Ihrer Organisation zu aktivieren.

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Beim Exportieren des Postfachüberwachungsprotokolls wird das Überwachungsprotokoll, das eine XML-Datei ist, an eine E-Mail angefügt. XML-Anlagen werden von Outlook Web App jedoch standardmäßig blockiert. Damit Sie auf das exportierte Überwachungsprotokoll zugreifen können, müssen Sie Microsoft Outlook verwenden oder Outlook Web App so konfigurieren, dass XML-Anlagen akzeptiert werden.

Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Outlook Web App-Postfachrichtlinien" im Thema Berechtigungen für Clients und mobile Geräte.

Führen Sie den folgenden Befehl aus, um XML-Anlagen in Outlook Web App zuzulassen.

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
HinweisAnmerkung:
In Exchange Online verwenden Sie den Wert OwaMailboxPolicy-Default für den Parameter Identity.

Gehen Sie wie folgt vor, um zu überprüfen, ob die Postfachüberwachungsprotokollierung erfolgreich konfiguriert wurde:

  1. Führen Sie den folgenden Befehl aus, um sich zu vergewissern, dass die Überwachungsprotokollierung für Postfächer aktiviert ist.

    Get-Mailbox | FL Name,AuditEnabled
    

    Durch Festlegen der Eigenschaft AuditEnabled auf True wird sichergestellt, dass die Überwachungsprotokollierung aktiviert ist.

  2. Führen Sie den folgenden Befehl aus, um sich zu vergewissern, dass für Ihre Organisation XML-Anlagen in Outlook Web App zulässig sind.

    Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes
    

    Vergewissern Sie sich, dass .xml in der Liste der zulässigen Dateitypen enthalten ist.

Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Überwachungsprotokollierung durch Administratoren mit Leserechten" im Thema Exchange- und Shellinfrastrukturberechtigungen.

  1. Navigieren Sie in der Exchange-Verwaltungskonsole zu Verwaltung der Richtlinientreue > Überwachung.

  2. Klicken Sie auf Postfachüberwachungsprotokolle exportieren.

  3. Konfigurieren Sie die folgenden Suchkriterien zum Exportieren der Einträge aus dem Postfachüberwachungsprotokoll:

    • Start- und Enddatum   Wählen Sie den Datumsbereich für die Einträge aus, die in die exportierte Datei eingeschlossen werden sollen.

    • Postfächer, nach denen das Überwachungsprotokoll durchsucht werden soll   Wählen Sie die Postfächer aus, für die Überwachungsprotokolleinträge abgerufen werden sollen.

    • Typ des Nicht-Besitzer-Zugriffs   Wählen Sie eine der folgenden Optionen aus, um den Typ des Nicht-Besitzer-Zugriffs zu definieren, für den Einträge abgerufen werden sollen:

      • Alle Nicht-Besitzer   Dient zum Suchen nach Zugriffen durch Administratoren und delegierte Benutzer in der Organisation sowie durch Microsoft-Datencenteradministratoren in Exchange Online.

      • Externe Benutzer   Dient zum Suchen nach Zugriffen durch Microsoft-Datencenteradministratoren.

      • Administratoren und delegierte Benutzer   Dient zum Suchen nach Zugriffen durch Administratoren und delegierte Benutzer in der Organisation.

      • Administratoren   Dient zum Suchen nach Zugriffen durch Administratoren in der Organisation.

    • Empfänger   Wählen Sie die Benutzer aus, an die das Postfachüberwachungsprotokoll gesendet werden soll.

  4. Klicken Sie auf Exportieren.

    Microsoft Exchange ruft aus dem Postfachüberwachungsprotokoll die Einträge ab, die den Suchkriterien entsprechen, speichert die Einträge in einer Datei namens "SearchResult.xml", und fügt die XML-Datei dann an eine E-Mail an, die an die von Ihnen angegebenen Empfänger gesendet wird.

Melden Sie sich an dem Postfach an, an das das Postfachüberwachungsprotokoll gesendet wurde. Wenn das Überwachungsprotokoll erfolgreich exportiert wurde, erhalten Sie eine von Exchange gesendete Nachricht. Das Überwachungsprotokoll wird an diese Nachricht angefügt. Wie bereits erläutert, kann es in Exchange Online einige Tage dauern, bis diese Nachricht empfangen wird.

Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Überwachungsprotokollierung durch Administratoren mit Leserechten" im Thema Exchange- und Shellinfrastrukturberechtigungen.

So öffnen oder speichern Sie die Datei "SearchResult.xml":

  1. Melden Sie sich an dem Postfach an, an das das Postfachüberwachungsprotokoll gesendet wurde.

  2. Öffnen Sie im Posteingang die von Microsoft Exchange gesendete Nachricht mit der XML-Dateianlage. Der Text der E-Mail enthält die Suchkriterien.

  3. Klicken Sie auf die Anlage, und wählen Sie aus, ob die XML-Datei geöffnet oder gespeichert werden soll.

Beim folgenden Beispiel handelt es sich um einen Eintrag des Postfachüberwachungsprotokolls aus der Datei "SearchResult.xml". Jeder Eintrag beginnt mit dem XML-Tag <Event> und endet mit dem XML-Tag </Event>. Dieser Eintrag besagt, dass der Administrator die Nachricht mit dem Betreff "Notification of litigation hold" am 30. April 2010 aus dem Ordner "Wiederherstellbare Elemente" des Postfachs von David endgültig gelöscht hat.

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" 
  Owner="PPLNSL-dom\david50001-1363917750" 
  LastAccessed="2010-04-30T11:01:55.140625-07:00" 
  Operation="HardDelete" 
  OperationResult="Succeeded" 
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy" 
  ClientIPAddress="10.196.241.168" 
  InternalLogonType="Owner"
  MailboxOwnerUPN=david@contoso.com
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" 
  CrossMailboxOperation="false" 
  LogonUserDN="Administrator"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
  <SourceItems>
   <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
    Subject="Notification of litigation hold"
    FolderPathName="\Recoverable Items\Deletions" /> 
  </SourceItems>
</Event>

Beachten Sie besonders die folgenden Felder. Diese Felder enthalten spezifische Informationen zu den einzelnen Instanzen von Nicht-Besitzer-Zugriffen eines Postfachs.

 

Feld Beschreibung

Owner

Der Besitzer des Postfachs, auf das von einem Nicht-Besitzer zugegriffen wurde.

LastAccessed

Das Datum und die Uhrzeit des Postfachzugriffs.

Operation

Die vom Nicht-Besitzer ausgeführte Aktion. Weitere Informationen finden Sie unter Weitere Informationen zum Ausführen eines Berichts zum Postfachzugriff durch Nicht-Besitzer im Abschnitt "Was wird im Postfachüberwachungsprotokoll protokolliert?".

OperationResult

Gibt an, ob die vom Nicht-Besitzer ausgeführte Aktion erfolgreich war.

LogonType

Der Typ des Nicht-Besitzer-Zugriffs. Hierzu zählen Zugriffe durch Administratoren, durch delegierte Benutzer und durch externe Benutzer.

FolderPathName

Der Name des Ordners mit der Nachricht, die von der Aktion des Nicht-Besitzers betroffen war.

ClientInfoString

Informationen zum E-Mail-Client, mit dem der Nicht-Besitzer auf das Postfach zugegriffen hat.

ClientIPAddress

Die IP-Adresse des Computers, mit dem der Nicht-Besitzer auf das Postfach zugegriffen hat.

InternalLogonType

Der Anmeldetyp des Kontos, mit dem der Nicht-Besitzer auf das Postfach zugegriffen hat.

MailboxOwnerUPN

Die E-Mail-Adresse des Postfachbesitzers.

LogonUserDN

Der Anzeigename des Nicht-Besitzers.

Subject

Die Betreffzeile der E-Mail, die von der Aktion des Nicht-Besitzers betroffen war.

Wenn Sie die XML-Datei anzeigen können, die an die von Exchange gesendete Nachricht angefügt ist, und wenn die Datei Überwachungsprotokolleinträge enthält, haben Sie erfolgreich ein Postfachüberwachungsprotokoll konfiguriert, exportiert und angezeigt.

 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft