Использование средства чтения с экрана для экспорта и просмотра журналов аудита в классическом Центре администрирования Exchange в Exchange Online

  • Статья

Вы можете экспортировать и просматривать журналы аудита почтовых ящиков с помощью средства чтения с экрана в классическом Центре администрирования Exchange (классический EAC) в Exchange Online. Если этот параметр включен, аудит почтовых ящиков Exchange записывает сведения в журнал аудита почтовых ящиков каждый раз, когда пользователь, отличный от владельца, обращается к почтовому ящику. Каждая запись журнала содержит сведения о том, кто осуществлял доступ к почтовому ящику, и выполненные действия.

Начало работы

Перейдите с помощью Internet Explorer и сочетаний клавиш и убедитесь, что у вас есть соответствующий план подписки Microsoft 365 или Office 365 и роль администратора для выполнения этой задачи. Затем откройте EAC и начните работу.

Навигация в Центре администрирования Exchange с помощью браузера и клавиатуры

Служба Exchange Online, которая включает Центр администрирования Exchange, — это веб-приложение, поэтому сочетания клавиш и навигация могут быть не такими, как в Exchange 2016. Доступность в Центре администрирования Exchange.

Для достижения наилучших результатов при работе в Центре администрирования Exchange в Exchange Online, используйте браузер Internet Explorer. Дополнительные сведения о сочетаниях клавиш для Internet Explorer.

Многие задачи в EAC требуют использования всплывающих окон. В браузере обязательно включите всплывающие окна для Microsoft 365 или Office 365.

Подтверждение Office 365 или плана подписки На Microsoft 365

Exchange Online входит в несколько разных планов подписки, но возможности могут отличаться в зависимости от плана. Если в вашем Центре администрирования Exchange нет функции, описанной в этой статье, возможно, она не предусмотрена в вашем плане.

Дополнительные сведения о возможностях Exchange Online в плане подписки см. в статье Что Office 365 бизнес-продукт или лицензия у меня есть? и Exchange Online описание службы.

Подтверждение роли администратора в Центре администрирования Exchange

Чтобы экспортировать и просмотреть журналы аудита почтовых ящиков, откройте Центр администрирования Exchange с помощью средства чтения с экрана и убедитесь, что глобальный администратор назначил вас группам ролей "Управление организацией" и "Управление записями". Узнайте, как использовать средство чтения с экрана для определения роли администратора в Центре администрирования Exchange.

Настройка ведения журнала аудита почтовых ящиков

Прежде чем экспортировать и просмотреть журналы аудита, вам или другому администратору необходимо включить ведение журнала аудита почтовых ящиков и настроить Outlook для разрешения XML-вложений. Эти задачи выполняются в Exchange Online PowerShell. Дополнительные сведения см. в статье Экспорт журналов аудита почтовых ящиков в Exchange Online.

Экспорт журнала аудита почтового ящика

  1. В Центре администрирования Exchange нажимайте клавиши CTRL+F6, пока не будет выделено основную область навигации и вы не услышите сообщение "Панель мониторинга, основная ссылка для навигации".

  2. С помощью клавиши TAB перейдите в раздел управление соответствием требованиям и нажмите клавишу ВВОД.

  3. Чтобы перейти к строке меню, нажмите клавиши CTRL+F6.

  4. С помощью клавиши TAB перейдите в раздел аудит. Вы услышите сообщение "Аудит, вторичная ссылка навигации". Нажмите клавишу ВВОД.

  5. Чтобы открыть представление списка основного окна, нажмите клавиши CTRL+F6. Вы услышите сообщение "Аудит отчетов.

  6. Нажмите клавишу TAB примерно шесть раз, пока не услышите сообщение " Экспортировать журналы аудита почтового ящика ", а затем нажмите клавишу ВВОД.

  7. В открывшемся диалоговом окне Экспорт журналов аудита почтовых ящиков в поле со списком Дата начала будет фокус, и вы услышите сообщение "Год даты начала ".

    Совет

    По умолчанию в качестве даты начала задается дата за две недели до текущей даты. Если журнал аудита почтовых ящиков включен, то записи в нем обычно хранятся 90 дней.

    1. При необходимости укажите год даты начала для журналов аудита. Кроме того, вы можете выбрать год даты начала с помощью клавиш СТРЕЛКА ВВЕРХ или СТРЕЛКА ВНИЗ.

    2. С помощью клавиши TAB перейдите в текстовое поле месяца и введите или выберите месяц даты начала.

    3. С помощью клавиши TAB перейдите в текстовое поле дня и введите или выберите день даты начала.

  8. С помощью клавиши TAB перейдите в поле со списком года даты окончания. Вы услышите сообщение "Год окончания даты со списком".

    Совет

    По умолчанию в качестве даты окончания используется текущая дата.

    1. При необходимости укажите год даты окончания для журналов аудита. Кроме того, вы можете выбрать год даты окончания с помощью клавиш СТРЕЛКА ВВЕРХ или СТРЕЛКА ВНИЗ.

    2. С помощью клавиши TAB перейдите в текстовое поле месяца и введите или выберите месяц даты окончания.

    3. С помощью клавиши TAB перейдите в текстовое поле дня и введите или выберите день даты окончания.

  9. Для доступа к кнопке выбора пользователей дважды нажмите клавишу TAB. Вы услышите сообщение "Поиск в этих почтовых ящиках или оставьте пустым, чтобы найти все почтовые ящики, к которым не обращаются владельцы".

    Совет

    Если вы хотите экспортировать журналы аудита для всех почтовых ящиков, не выбирайте ни одного пользователя и перейдите к действию 10. Если поле Выполнить поиск этих пользователей не заполнено, то поиск будет выполнен для всех почтовых ящиков.

    1. Чтобы открыть диалоговое окно Выбор почтового ящика с фокусом на кнопке Выбрать пользователей , нажмите клавишу ВВОД. В поле Поиск появится фокус, и вы услышите сообщение "Фильтр или изменение поиска". Введите все или часть имени первого почтового ящика, журналы аудита которого требуется экспортировать, а затем для поиска имени нажмите клавишу ВВОД.

    2. Чтобы выбрать почтовый ящик, нажимайте клавишу TAB четыре раза, пока не услышите имя владельца почтового ящика в списке результатов поиска. Если в списке результатов поиска несколько почтовых ящиков, нажимайте клавишу СТРЕЛКА ВНИЗ или СТРЕЛКА ВВЕРХ, пока не услышите имя владельца почтового ящика.

      Совет

      Можно выбрать несколько последовательных почтовых ящиков. Чтобы работать со всеми почтовыми ящиками, оставьте поле Поиск пустым или введите все или часть имен почтовых ящиков, которые нужно добавить. Tab для результатов поиска. Нажмите клавишу СТРЕЛКА ВНИЗ, чтобы прослушать каждое имя. Чтобы добавить их все, нажмите клавиши CTRL+A. Чтобы добавить несколько почтовых ящиков, перечисленных подряд, нажимайте клавишу СТРЕЛКА ВНИЗ или СТРЕЛКА ВВЕРХ, пока не услышите имя первого почтового ящика, которое нужно добавить, удерживайте клавишу SHIFT, нажимайте клавишу СТРЕЛКА ВНИЗ или СТРЕЛКА ВВЕРХ, пока не услышите последнее имя почтового ящика, которое вы хотите добавить, а затем отпустите клавишу SHIFT. Выбраны все почтовые ящики между именами первого и последнего почтовых ящиков.

    3. Чтобы добавить выбранные почтовые ящики в список, который необходимо включить в данные экспорта журнала аудита, нажмите клавишу ВВОД. Фокус по-прежнему останется на списке почтовых ящиков, и вы сможете добавлять дополнительные почтовые ящики, выделяя их и нажимая клавишу ВВОД.

      Совет

      Чтобы просмотреть добавленные вами почтовые ящики, с помощью клавиши TAB перейдите на кнопку Добавить. Чтобы прослушать список почтовых ящиков, еще раз нажмите клавишу TAB. Вы услышите имя первого почтового ящика в списке. Чтобы услышать имя второго почтового ящика в списке, нажмите клавишу TAB еще раз. Продолжайте нажимать клавишу TAB, пока не услышите имена всех добавленных почтовых ящиков. Чтобы удалить почтовый ящик из списка, активируйте ссылку Удалить, нажав клавишу ВВОД, после того как услышите имя необходимого почтового ящика.

    4. Чтобы найти другой почтовый ящик или набор почтовых ящиков, нажимайте клавишу TAB несколько раз, пока не услышите фразу "Фильтр или поиск редактирования". Введите все или часть имени следующих почтовых ящиков, которые вы хотите добавить, и нажмите клавишу ВВОД. Повторите действия б и в. Выполните эти действия для всех почтовых ящиков, которые вы хотите добавить.

    5. Чтобы добавить внешний почтовый ящик, нажимайте клавишу TAB, пока не услышите сообщение "Проверить имена, изменить, ввести текст". (В экранном дикторе вы услышите сообщение "Правка".) Введите адрес электронной почты внешнего получателя, нажмите клавиши SHIFT+TAB, чтобы нажать кнопку Проверить имена , а затем нажмите клавишу ВВОД. После этого электронный адрес будет проверен и добавлен в список почтовых ящиков.

      Совет

      Имейте в виду, что если вы введете внешний электронный адрес и нажмете клавишу ВВОД, то он будет добавлен в список, а диалоговое окно будет закрыто. Если вы еще не закончили работу в диалоговом окне, то для добавления почтового ящика нажмите кнопку Проверить имена.

    6. Когда вы закончите добавлять почтовые ящики, с помощью клавиши TAB перейдите к кнопке ОК и нажмите клавишу ВВОД. Фокус снова будет перемещен на диалоговое окно Экспортировать журналы аудита почтового ящика, а в текстовом поле "Выполнить поиск в этих почтовых ящиках" будет отображаться список выбранных почтовых ящиков.

  10. С помощью клавиши TAB перейдите в поле со списком Поиск записей о доступе со стороны следующих пользователей. Здесь можно указать, какие типы пользователей, не являющихся владельцами почтовых ящиков, следует отобразить в журналах аудита.

    • Чтобы в журналах аудита отображались все пользователи, не являющиеся владельцами почтовых ящиков, вам не нужно ничего делать, так как этот вариант используется по умолчанию.
    • Чтобы указать определенную группу пользователей, не являющихся владельцами почтовых ящиков, например внешних пользователей (администраторов центра обработки данных Майкрософт), администраторов и полномочных пользователей или администраторов, с помощью клавиши СТРЕЛКА ВНИЗ выберите необходимый тип пользователя, а затем нажмите клавишу ВВОД.

  11. Дважды нажмите клавишу TAB, чтобы открыть следующую кнопку выбора пользователей . Прозвучит сообщение "Отправить отчет об аудите в средство выбора". Чтобы открыть диалоговое окно Выбор участников , нажмите клавишу ВВОД. В открывшемся окне фокус будет на кнопке Поиск.

    1. Чтобы найти пользователя в вашей организации, нажмите клавишу ВВОД, введите (полностью или частично) имя первого получателя журнала аудита, а затем еще раз нажмите клавишу ВВОД.

    2. Несколько раз нажмите клавишу TAB, пока не услышите имя пользователя в списке результатов поиска.

    3. Чтобы добавить пользователя в список получателей журнала аудита, нажимайте клавишу СТРЕЛКА ВНИЗ, пока не услышите имя необходимого пользователя, а затем нажмите клавишу ВВОД. Фокус будет по-прежнему на списке пользователей, и вы сможете добавлять дополнительных получателей, выбирая их почтовые ящики и нажимая клавишу ВВОД.

      Совет

      Чтобы просмотреть добавленных вами получателей, с помощью клавиши TAB перейдите к кнопке Добавить. Чтобы прослушать список получателей, нажмите клавишу TAB еще раз. Средство чтения с экрана прочитает первое имя. Чтобы прослушать второе имя в списке, нажмите клавишу TAB еще раз. Продолжайте нажимать клавишу TAB, пока не услышите имена всех добавленных получателей. Чтобы удалить получателя из списка, активируйте ссылку Удалить , нажав клавишу ВВОД, когда услышите имя пользователя.

    4. Чтобы найти другое имя или набор имен в организации, нажимайте клавишу TAB несколько раз, пока не услышите фразу "Фильтр или поиск редактирования". Введите все или часть имени следующего пользователя, которого вы хотите добавить, и нажмите клавишу ВВОД. Повторите действия б и в. Выполните это действие для всех получателей отчета аудита в вашей организации.

    5. Чтобы добавить внешнего получателя, нажимайте клавишу TAB, пока не услышите фразу "Проверить имена, изменить, ввести текст". (В экранном дикторе вы услышите сообщение "Правка".) Введите адрес электронной почты внешнего получателя, нажмите клавиши SHIFT+TAB, чтобы нажать кнопку Проверить имена , а затем нажмите клавишу ВВОД. В результате электронный адрес будет проверен и добавлен в список получателей.

      Совет

      Имейте в виду, что если вы введете внешний электронный адрес и нажмете клавишу ВВОД, то получатель будет добавлен в список, а диалоговое окно будет закрыто. Если вы еще не закончили работу в диалоговом окне, то для добавления почтового ящика нажмите кнопку Проверить имена.

    6. When you finish adding users, tab to the OK button and press Enter. В диалоговом окне Экспортжурналов аудита почтового ящика снова появится фокус, а в текстовом поле Отправить отчет об аудите перечислены получатели журнала аудита.

  12. Перейдите к кнопке экспорта и нажмите клавишу ВВОД. Exchange retrieves entries in the mailbox audit log that meet your search criteria, saves them to a file named SearchResult.xml, and then attaches the XML file to an email message sent within 24 hours to your selected audit log recipients.

    Совет

    Если вы услышите сообщение об ошибке, в котором говорится о том, что не удается найти элементы, которые вы пытаетесь открыть, убедитесь, что для выбранных почтовых ящиков включена функция ведения журнала аудита. Кроме того, убедитесь, что выбранные даты находятся в необходимом в диапазоне. Эти даты должны быть позже даты включения функции ведения журнала аудита и (по умолчанию) попадать в период, равный 90 последним дням.

Изучение журнала аудита почтового ящика

  1. Откройте Outlook и войдите в свой почтовый ящик (или почтовый ящик, в который был отправлен журнал аудита).

  2. В папке "Входящие" найдите и откройте сообщение, отправленное из Exchange или Outlook, с темой, содержащей текст "поиск в журнале аудита почтового ящика", и XML-файлом SearchResult.xml. В тексте электронного письма содержатся сведения об условиях поиска для экспортированного журнала аудита.

    Совет

    Если в параметрах Outlook не разрешены XML-вложения, то, возможно, вы получите электронное письмо, но вам не удастся открыть XML-вложение. Кроме того, если вам не удается найти письмо, то, возможно, вам следует еще подождать. Обычно экспортированный журнал аудита доставляется получателям в течение 24 часов, но в некоторых случаях это время может составлять несколько дней.

  3. Выберите вложение в сообщении и укажите, что вы хотите скачать XML-файл.

  4. Откройте файл SearchResult.xml в Excel. Каждая запись журнала содержит сведения о том, какие пользователи, не являющиеся владельцами почтового ящика, получали доступ к нему и какие действия они выполняли. Помимо прочих, в журнал аудита включаются указанные ниже поля.

    Поля журнала аудита почтовых ящиков Сведения, содержащиеся, в полях
    Владелец Владелец почтового ящика, к которому получил доступ пользователь, не являющийся его владельцем
    LastAccessed Дата и время последнего доступа к почтовому ящику
    Operation Действие, выполненное пользователем, не являющимся владельцем почтового ящика
    OperationResult Сведения о том, успешно ли пользователь, не являющийся владельцем почтового ящика, выполнил действие.
    LogonType Тип доступа пользователя, не являющегося владельцем почтового ящика (например, администратор, делегат или внешний администратор центра обработки данных Майкрософт)
    ClientIPAddress IP-адрес компьютера, который пользователь, не являющийся владельцем почтового ящика, использовал для обращения к почтовому ящику.
    LogonUserDN Отображаемое имя пользователя, не являющегося владельцем почтового ящика.
    Subject Строка темы сообщения, затронутого пользователем, не являющимся владельцем почтового ящика.