Exporter les journaux d’audit de boîte aux lettres dans Exchange Online
Remarque
Le centre d’administration Exchange classique est en train d’être déprécié dans le déploiement mondial. Nous vous recommandons d’effectuer une recherche dans le journal d’audit dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez Dépréciation du centre d’administration Exchange classique dans le service WW et Rechercher dans le journal d’audit dans le portail de conformité.
Lorsque l’audit de boîte aux lettres est activé pour une boîte aux lettres, Exchange Online journalise les informations dans le journal d’audit de la boîte aux lettres chaque fois qu’un utilisateur autre que le propriétaire accède à la boîte aux lettres. Chaque entrée de journal inclut des informations sur les personnes qui ont accédé à la boîte aux lettres et à quel moment, les actions effectuées par le non-propriétaire et si l’action a réussi. Par défaut, les entrées dans le journal d'audit de boîtes aux lettres sont conservées pendant 90 jours. Vous pouvez utiliser le journal d’audit de boîte aux lettres pour déterminer si un utilisateur autre que le propriétaire accède à une boîte aux lettres.
Lorsque vous exportez des entrées à partir des journaux d’audit de boîte aux lettres, Exchange Online enregistre les entrées dans un fichier XML et les joint à un e-mail envoyé aux destinataires spécifiés.
Avant de commencer
Durée estimée pour effectuer chaque procédure : varie. Le journal d’audit de la boîte aux lettres est envoyé quelques jours après son exportation.
Depuis janvier 2019, la journalisation d’audit des boîtes aux lettres activée par défaut est activée pour toutes les organisations Exchange Online. Pour plus d’informations, voir Gérer l’audit de boîte aux lettres.
Si vous envisagez d’utiliser Outlook sur le web (anciennement Outlook Web App) pour afficher les entrées exportées, vous devez activer .xml pièces jointes dans Outlook sur le web. Pour plus d’informations, consultez Configurer Outlook sur le web pour autoriser les pièces jointes XML.
Pour rechercher et ouvrir le Centre d’administration Exchange (EAC), consultez Centre d’administration Exchange dans Exchange Online.
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée « Afficher les rapports » dans la rubrique Autorisations des fonctionnalités dans Exchange Online rubrique.
Pour plus d’informations sur les raccourcis clavier qui peuvent s’appliquer aux procédures décrites dans cette rubrique, consultez Raccourcis clavier pour le Centre d’administration Exchange.
Conseil
Vous rencontrez des difficultés ? Demandez de l’aide dans le forum Exchange Online.
Exporter le journal d’audit de boîte aux lettres
Dans le Centre d’administration Exchange, accédez àAuditde gestion de la> conformité.
Cliquez sur Exporter les journaux d’audit de boîte aux lettres.
Configurez les critères de recherche suivants pour l’exportation des entrées du journal d’audit de boîte aux lettres :
- Dates de début et de fin : sélectionnez la plage de dates pour les entrées à inclure dans le fichier exporté.
- Boîtes aux lettres pour lesquelles rechercher le journal d’audit : sélectionnez les boîtes aux lettres pour lesquelles récupérer les entrées du journal d’audit.
- Type d’accès non propriétaire : sélectionnez l’une des options suivantes pour définir le type d’accès non propriétaire pour lequel récupérer les entrées :
- Tous les non-propriétaires : recherchez l’accès par les administrateurs et les utilisateurs délégués à l’intérieur de votre organization et par les administrateurs de centre de données Microsoft dans Exchange Online.
- Utilisateurs externes : recherchez l’accès par les administrateurs du centre de données Microsoft.
- Administrateurs et utilisateurs délégués : recherchez l’accès par les administrateurs et les utilisateurs délégués à l’intérieur de votre organization.
- Administrateurs : recherchez l’accès par les administrateurs dans votre organization.
- Destinataires : sélectionnez les utilisateurs auxquels envoyer le journal d’audit de boîte aux lettres.
Cliquez sur Exporter.
Exchange Online récupère les entrées du journal d’audit de la boîte aux lettres qui répondent à vos critères de recherche, les enregistre dans un fichier nommé SearchResult.xml, puis joint le fichier XML à un e-mail envoyé aux destinataires que vous avez spécifiés.
Comment savoir si cela a fonctionné ?
Connectez-vous à la boîte aux lettres à laquelle le journal d’audit de la boîte aux lettres a été envoyé. Si vous avez correctement exporté le journal d’audit, vous recevez un message envoyé par Exchange. La réception de ce message peut prendre quelques jours. Le journal d’audit de la boîte aux lettres (nommé SearchResult.xml) sera joint à ce message. Si vous avez correctement configuré Outlook sur le web pour autoriser les pièces jointes XML, vous pouvez télécharger le fichier XML joint.
Consulter le journal d’audit de boîte aux lettres
Pour enregistrer et afficher le fichier SearchResult.xml, procédez comme suit :
- Connectez-vous à la boîte aux lettres à laquelle le journal d’audit de la boîte aux lettres a été envoyé.
- Dans la boîte de réception, ouvrez le message avec la pièce jointe XML envoyée par Exchange Online. Remarquez que le corps du message électronique contient les critères de recherche.
- Cliquez sur la pièce jointe et sélectionnez-la pour télécharger le fichier XML.
- Ouvrez SearchResult.xml dans Microsoft Excel.
Plus d’informations
Entrées dans le journal d’audit de la boîte aux lettres
L’exemple suivant présente une entrée du journal d’audit de la boîte aux lettres contenu dans le fichier SearchResult.xml. Chaque entrée est précédée par la balise XML <Event> et se termine par la balise XML </Event>. Cette entrée indique que l’administrateur a vidé le message avec l’objet « Notification de conservation pour litige » du dossier Éléments récupérables dans la boîte aux lettres de David le 30 avril 2021.
<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939"
Owner="PPLNSL-dom\david50001-1363917750"
LastAccessed="2021-04-30T11:01:55.140625-07:00"
Operation="HardDelete"
OperationResult="Succeeded"
LogonType="Admin"
FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
FolderPathName="\Recoverable Items\Deletions"
ClientInfoString="Client=OWA;Action=ViaProxy"
ClientIPAddress="10.196.241.168"
InternalLogonType="Owner"
MailboxOwnerUPN="david@contoso.com"
MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151"
CrossMailboxOperation="false"
LogonUserDN="Administraor"
LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
<SourceItems>
<ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
Subject="Notification of litigation hold"
FolderPathName="\Recoverable Items\Deletions" />
</SourceItems>
</Event>
Champs utiles dans le journal d’audit de la boîte aux lettres
Voici une description des champs utiles dans le journal d’audit de la boîte aux lettres. Ils peuvent vous aider à identifier des informations spécifiques sur chaque instance d’accès non propriétaire d’une boîte aux lettres.
Field | Description |
---|---|
Propriétaire | Propriétaire de la boîte aux lettres accessible par un non-propriétaire. |
LastAccessed | Date et heure de l’accès à la boîte aux lettres. |
Opération | Action effectuée par le non-propriétaire. Pour plus d’informations, consultez la section « Qu’est-ce qui est enregistré dans le journal d’audit de la boîte aux lettres ? » dans Exécuter un rapport d’accès aux boîtes aux lettres non propriétaire dans Exchange Online. |
OperationResult | Indique si l’action effectuée par le non-propriétaire a réussi ou échoué. |
LogonType | Type d’accès non propriétaire. Il s’agit notamment de l’administrateur, du délégué et de l’externe. |
FolderPathName | Nom du dossier qui contenait le message affecté par le non-propriétaire. |
ClientInfoString | Informations sur le client de messagerie utilisé par le non-propriétaire pour accéder à la boîte aux lettres. |
ClientIPAddress | Adresse IP de l’ordinateur utilisé par le non-propriétaire pour accéder à la boîte aux lettres. |
InternalLogonType | Type d’ouverture de session du compte utilisé par le non-propriétaire pour accéder à cette boîte aux lettres. |
MailboxOwnerUPN | Adresse de messagerie du propriétaire de boîte aux lettres. |
LogonUserDN | Nom d’affichage du non-propriétaire. |
Sujet | Ligne d’objet du message électronique affecté par le non-propriétaire. |