Suchen nach Rollengruppenänderungen oder Administratorüberwachungsprotokollen in Exchange Online
Hinweis
Das klassische Exchange Admin Center wird derzeit in der weltweiten Bereitstellung als veraltet gekennzeichnet. Es wird empfohlen, das Überwachungsprotokoll im Microsoft Purview-Complianceportal zu durchsuchen. Weitere Informationen finden Sie unter Veraltetkeit des klassischen Exchange Admin Centers im WW-Dienst und Durchsuchen des Überwachungsprotokolls im Complianceportal.
In Exchange Online Organisationen oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer können Sie die folgenden Optionen verwenden, um die Administratorüberwachungsprotokolle zu durchsuchen, um zu ermitteln, wer Änderungen an der Organisation und der Empfängerkonfiguration vorgenommen hat:
- Führen Sie einen Administratorrollengruppenbericht im Exchange Admin Center (EAC) aus.
- Verwenden Sie PowerShell, um nach Administratorüberwachungsprotokolleinträgen zu suchen und die Ergebnisse an einen Empfänger zu senden.
Diese Optionen können hilfreich sein, wenn Sie versuchen, die Ursache für unerwartetes Verhalten nachzuverfolgen, einen böswilligen Administrator zu identifizieren oder zu überprüfen, ob die Complianceanforderungen erfüllt sind. Beide Optionen werden in diesem Artikel beschrieben.
Tipp
Sie können auch das EAC verwenden, um Einträge im Administratorüberwachungsprotokoll anzuzeigen. Weitere Informationen finden Sie unter Anzeigen des Administratorüberwachungsprotokolls.
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: Weniger als 5 Minuten
Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen dazu, welche Berechtigungen Sie benötigen, finden Sie im Thema Featureberechtigungen in Exchange Online im Eintrag "Nur Administratorüberwachungsprotokollierung anzeigen".
Informationen zum Öffnen des Exchange Admin Centers (EAC) finden Sie unter Exchange Admin Center in Exchange Online.
Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung mit eigenständigen Exchange Online Protection PowerShell finden Sie unter Herstellen einer Verbindung mit Exchange Online Protection PowerShell.
Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen für das Exchange Admin Center.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter Exchange Online oder Exchange Online Protection.
Ausführen eines Administrator-Rollengruppenberichts mithilfe der Exchange-Verwaltungskonsole
Verwenden Sie den Bericht "Administratorrollengruppe", um die Änderungen an der Mitgliedschaft anzuzeigen, die an Verwaltungsrollen vorgenommen wurden.
Wechseln Sie im Exchange-Verwaltungskonsole zu Überwachung der Complianceverwaltung>, und wählen Sie dann Bericht einer Administratorrollengruppe ausführen aus.
Konfigurieren Sie auf der geöffneten Seite Nach Änderungen an Administratorrollengruppen suchen die folgenden Einstellungen:
Startdatum und Enddatum: Geben Sie einen Datumsbereich ein. Standardmäßig sucht der Bericht nach Änderungen, die innerhalb der letzten zwei Wochen an Administratorrollengruppen vorgenommen wurden.
Rollengruppen auswählen: Standardmäßig werden alle Rollengruppen durchsucht. Klicken Sie auf Rollengruppen auswählen, um die Ergebnisse nach bestimmten Rollengruppen zu filtern. Wählen Sie im angezeigten Dialogfeld eine Rollengruppe aus, und klicken Sie auf Hinzufügen ->. Wiederholen Sie diesen Schritt so oft wie nötig, und klicken Sie dann auf OK , wenn Sie fertig sind.
Wenn Sie den Vorgang abgeschlossen haben, klicken Sie auf Suchen.
Wenn Änderungen mithilfe der angegebenen Kriterien gefunden werden, werden sie im Ergebnisbereich angezeigt. Klicken Sie auf eine Rollengruppe in den Suchergebnissen, um die Änderungen im Detailbereich anzuzeigen.
Überwachen von Änderungen an der Rollengruppenmitgliedschaft
Wenn einer Rollengruppe Mitglieder hinzugefügt oder daraus entfernt werden, wird in den im Detailbereich angezeigten Suchergebnissen angegeben, dass die Rollengruppenmitgliedschaft aktualisiert wurde, und die aktuellen Mitglieder werden aufgelistet. In den Ergebnissen ist nicht angegeben, welcher Benutzer hinzugefügt oder entfernt wurde.
Wenn Sie ermitteln möchten, ob ein Benutzer hinzugefügt oder entfernt wurde, müssen zwei separate Einträge im Bericht verglichen werden. Sehen Sie sich beispielsweise die folgenden Protokolleinträge für die Rollengruppe HelpDesk an:
27.1.2021 16:43 Uhr
Administrator
Aktualisierte Mitglieder: Administrator;annb,florencef;pilarp
06.02.2018 10:09 Uhr
Administrator
Aktualisierte Mitglieder: Administrator;annb;florencef;pilarp;tonip
19.02.2021 14:12 Uhr
Administrator
Aktualisierte Mitglieder: Administrator;annb;florencef;tonip
In diesem Beispiel wurden mit dem Administratorbenutzerkonto folgende Änderungen vorgenommen:
- Am 06.02.2021 wurde der Benutzer-Tonip hinzugefügt.
- Am 19.02.2021 wurde das Benutzer-Pilarp entfernt.
Verwenden des EAC zum Exportieren des Administratorüberwachungsprotokolls
Hinweis
In eigenständigem EOP können Sie das Administratorüberwachungsprotokoll nicht aus dem EAC exportieren. Sie können jedoch PowerShell verwenden, um nach Überwachungsprotokolleinträgen zu suchen und Ergebnisse an einen Empfänger zu senden.
Wenn Sie Outlook im Web (früher als Outlook Web App bezeichnet) verwenden, um die exportierten Einträge anzuzeigen, müssen Sie .xml Anlagen in Outlook im Web aktivieren. Weitere Informationen finden Sie unter Konfigurieren Outlook im Web zum Zulassen von XML-Anlagen.
Beim Exportieren des Administratorüberwachungsprotokolls werden die Informationen in eine XML-Datei geschrieben und als Anlage in einer E-Mail-Nachricht an Sie gesendet. Die maximale Größe der XML-Datei beträgt 10 MB.
- Wählen Sie im Exchange-Verwaltungskonsole die Option Überwachung der Complianceverwaltung>aus, und klicken Sie dann auf Administratorüberwachungsprotokoll exportieren.
- Wählen Sie über die Felder Startdatum und Enddatum einen Datumsbereich aus.
- Klicken Sie im Feld Überwachungsbericht senden an auf Benutzer auswählen, und wählen Sie anschließend den Empfänger aus, an den der Bericht gesendet werden soll.
- Klicken Sie auf Exportieren.
Wenn anhand der angegebenen Kriterien Protokolleinträge ermittelt werden, wird eine XML-Datei erstellt und als E-Mail-Anlage an den angegebenen Empfänger gesendet.
Verwenden von PowerShell zum Suchen nach Überwachungsprotokolleinträgen
Sie können Exchange Online PowerShell oder eigenständige Exchange Online Protection PowerShell verwenden, um nach Überwachungsprotokolleinträgen zu suchen, die den von Ihnen angegebenen Kriterien entsprechen. Eine Liste der Suchkriterien finden Sie unter Cmdlet Search-AdminAuditLog. Dieses Verfahren verwendet das Cmdlet Search-AdminAuditLog und zeigt Suchergebnisse in PowerShell an. Sie können dieses Cmdlet verwenden, wenn Sie eine Reihe von Ergebnissen zurückgeben müssen, die die im Cmdlet New-AdminAuditLogSearch oder in den EAC-Überwachungsberichten definierten Grenzwerte überschreiten.
Verwenden Sie die folgende Syntax, um das Überwachungsprotokoll anhand angegebener Kriterien zu durchsuchen.
Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >
Hinweis
Das Cmdlet Search-AdminAuditLog gibt standardmäßig maximal 1.000 Protokolleinträge zurück. Verwenden Sie den ResultSize-Parameter , um bis zu 250.000 Protokolleinträge anzugeben. Oder verwenden Sie den -Wert Unlimited
, um alle Einträge zurückzugeben.
In diesem Beispiel wird eine Suche nach allen Überwachungsprotokolleinträgen ausgeführt, welche die folgenden Kriterien erfüllen:
- Startdatum: 04.08.2020
- Enddatum: 03.10.2020
- Benutzer-IDs:
davids
,chrisd
,kima
- Cmdlets: Set-Mailbox
- Parameter: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima
In diesem Beispiel werden Änderungen an einem bestimmten Postfach ermittelt. Dies ist bei der Problembehebung nützlich, oder wenn Sie Informationen für eine Untersuchung bereitstellen müssen. Die folgenden Kriterien werden verwendet:
- Startdatum: 01.05.2020
- Enddatum: 03.10.2020
- Objekt-ID: contoso.com/Users/DavidS
Search-AdminAuditLog -StartDate 05/01/2020 -EndDate 10/03/2020 -ObjectID contoso.com/Users/DavidS
Wenn Ihre Suchvorgänge viele Protokolleinträge zurückgeben, empfiehlt es sich, das unter Verwenden von PowerShell beschriebene Verfahren zu verwenden, um nach Überwachungsprotokolleinträgen zu suchen und Ergebnisse an einen Empfänger weiter unten in diesem Artikel zu senden. Bei dieser Vorgehensweise wird eine XML-Datei als E-Mail-Anlage an die angegebenen Empfänger gesendet, sodass die relevanten Daten einfacher extrahiert werden können.
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Search-AdminAuditLog.
Anzeigen der Details von Überwachungsprotokolleinträgen
Das Cmdlet Search-AdminAuditLog gibt die unter Inhalt des Überwachungsprotokolls beschriebenen Felder zurück. Zwei der zurückgegebenen Felder, CmdletParameters und ModifiedProperties, enthalten zusätzliche Informationen, die standardmäßig nicht angezeigt werden.
Führen Sie die folgenden Schritte aus, um die Inhalte der Felder CmdletParameters und ModifiedProperties anzuzeigen. Alternativ können Sie das Verfahren unter Verwenden von PowerShell verwenden, um nach Überwachungsprotokolleinträgen zu suchen und Ergebnisse an einen Empfänger weiter unten in diesem Artikel zu senden, um eine XML-Datei zu erstellen.
In dieser Vorgehensweise werden die folgenden Konzepte verwendet:
Legen Sie die Suchkriterien fest, führen Sie das Cmdlet Search-AdminAuditLog aus, und speichern Sie die Ergebnisse über den folgenden Befehl in einer Variablen.
$Results = Search-AdminAuditLog <search criteria>
Jeder Überwachungsprotokolleintrag wird als Arrayelement in der Variablen
$Results
gespeichert. Zur Auswahl eines Arrayelements geben Sie den Arrayelementindex an. Arrayelementindizes beginnen für das erste Arrayelement bei 0. Verwenden Sie beispielsweise den folgenden Befehl, um das fünfte Arrayelement (mit dem Index 4) abzurufen.$Results[4]
Der oben stehende Befehl gibt den im Arrayelement 4 gespeicherten Protokolleintrag zurück. Zum Anzeigen der Felder CmdletParameters und ModifiedProperties für diesen Protokolleintrag verwenden Sie die folgenden Befehle.
$Results[4].CmdletParameters $Results[4].ModifiedProperties
Um die Inhalte der Felder CmdletParameters und ModifiedParameters in einem anderen Protokolleintrag anzuzeigen, ändern Sie den Arrayelementindex.
Verwenden von PowerShell zum Suchen nach Überwachungsprotokolleinträgen und Senden von Ergebnissen an einen Empfänger
Hinweis
Für den vom Cmdlet New-AdminAuditLogSearch generierten Bericht gilt eine Höchstgröße von 10 MB. Wenn ihre Suche einen Bericht zurückgibt, der größer als 10 MB ist, ändern Sie die von Ihnen angegebenen Suchkriterien. Reduzieren Sie beispielsweise den Datumsbereich, und führen Sie mehrere Berichte aus, um den ursprünglichen Datumsbereich abzudecken.
Wenn Sie Outlook im Web (früher als Outlook Web App bezeichnet) verwenden, um die exportierten Einträge anzuzeigen, müssen Sie .xml Anlagen in Outlook im Web aktivieren. Weitere Informationen finden Sie unter Konfigurieren Outlook im Web zum Zulassen von XML-Anlagen.
Sie können Exchange Online PowerShell oder eigenständige Exchange Online Protection PowerShell verwenden, um nach Überwachungsprotokolleinträgen zu suchen, die den von Ihnen angegebenen Kriterien entsprechen, und diese Ergebnisse dann an einen Empfänger senden, den Sie als XML-Dateianlage angeben. Die Ergebnisse werden innerhalb von 15 Minuten an den Empfänger gesendet. Eine Liste der Suchkriterien finden Sie unter Search-AdminAuditLog cmdlet criteria( Search-AdminAuditLog cmdlet criteria).
Verwenden Sie die folgende Syntax, um das Überwachungsprotokoll anhand angegebener Kriterien zu durchsuchen.
New-AdminAuditLogSearch -Cmdlets <cmdlet1, cmdlet2, ...> -Parameters <parameter1, parameter2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$true | $false > -StatusMailRecipients <recipient1, recipient2, ...> -Name <string to include in subject>
In diesem Beispiel wird eine Suche nach allen Überwachungsprotokolleinträgen ausgeführt, welche die folgenden Kriterien erfüllen:
- Startdatum: 04.08.2020
- Enddatum: 03.10.2020
- Benutzer-IDs davids, chrisd, kima
- Cmdlets: Set-Mailbox
- Parameter: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize
Der Befehl sendet die Ergebnisse an die davids@contoso.com SMTP-Adresse mit "Postfachlimitänderungen", die in der Betreffzeile der Nachricht enthalten sind.
New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"
Weitere Informationen zum Format der XML-Datei finden Sie unter Struktur des Administratorüberwachungsprotokolls.
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-AdminAuditLogSearch.