Экспорт журналов аудита почтовых ящиков в Exchange Online
Примечание.
Классический центр администрирования Exchange находится в процессе устаревания при развертывании по всему миру. Рекомендуется выполнить поиск по журналу аудита в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения см. в разделах Прекращение поддержки классического центра администрирования Exchange в службе WW и Поиск в журнале аудита на портале соответствия требованиям.
Когда аудит почтовых ящиков включен для почтового ящика, Exchange Online записывает сведения в журнал аудита почтовых ящиков каждый раз, когда пользователь, отличный от владельца, обращается к почтовому ящику. Каждая запись журнала содержит сведения о том, кто и когда получил доступ к почтовому ящику, о действиях, выполненных невладельцем, и об успешном выполнении действия. По умолчанию записи в журнале аудита почтового ящика хранятся в течение 90 дней. Журнал аудита почтового ящика можно использовать, чтобы определить, обращается ли к почтовому ящику пользователь, отличный от владельца.
При экспорте записей из журналов аудита почтовых ящиков Exchange Online сохраняет записи в XML-файле и вложит их в сообщение электронной почты, отправленное указанным получателям.
Подготовка к работе
Предполагаемое время выполнения каждой процедуры: различается. Журнал аудита почтового ящика отправляется в течение нескольких дней после его экспорта.
С января 2019 г. ведение журнала аудита почтовых ящиков по умолчанию включено для всех Exchange Online организаций. Дополнительные сведения см. в статье Управление аудитом почтовых ящиков.
Если вы собираетесь использовать Outlook в Интернете (прежнее название — Outlook Web App) для просмотра экспортированных записей, необходимо включить .xml вложения в Outlook в Интернете. Дополнительные сведения см. в разделе Настройка Outlook в Интернете разрешения XML-вложений.
Сведения о поиске и открытии Центра администрирования Exchange см. в статье Центр администрирования Exchange в Exchange Online.
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Просмотр отчетов" в разделе Разрешения на функции в Exchange Online.
Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этом разделе, см. в разделе Сочетания клавиш для Центра администрирования Exchange.
Совет
Возникли проблемы? Обратитесь за помощью на форуме Exchange Online.
Экспорт журнала аудита почтовых ящиков
В EAC перейдите к разделу Аудит управления соответствием> требованиям.
Щелкните элемент Экспорт журналов аудита почтовых ящиков.
Настройте следующие условия поиска для экспорта записей из журнала аудита почтовых ящиков:
- Даты начала и окончания. Выберите диапазон дат для записей, которые нужно включить в экспортируемый файл.
- Почтовые ящики для поиска в журнале аудита. Выберите почтовые ящики для получения записей журнала аудита.
- Тип доступа, не являющегося владельцем. Выберите один из следующих параметров, чтобы определить тип доступа невладельца для получения записей:
- Все пользователи, не являющиеся владельцами. Найдите доступ администраторов и делегированных пользователей в организации, а также администраторов центров обработки данных Майкрософт в Exchange Online.
- Внешние пользователи: найдите доступ администраторов центров обработки данных Майкрософт.
- Администраторы и делегированные пользователи. Найдите доступ администраторов и делегированных пользователей в организации.
- Администраторы. Найдите доступ администраторов в вашей организации.
- Получатели. Выберите пользователей для отправки журнала аудита почтового ящика.
Нажмите кнопку Экспорт.
Exchange Online извлекает в журнале аудита почтовых ящиков записи, соответствующие условиям поиска, сохраняет их в файл с именем SearchResult.xml, а затем вложит XML-файл в сообщение электронной почты, отправленное указанным получателям.
Как проверить, все ли получилось?
Войдите в почтовый ящик, куда был отправлен журнал аудита почтовых ящиков. Если журнал аудита успешно экспортирован, вы получите сообщение, отправленное из Exchange. Получение этого сообщения может занять несколько дней. В это сообщение будет вложен журнал аудита почтовых ящиков (с именем SearchResult.xml). Если вы правильно настроили Outlook в Интернете разрешение XML-вложений, вы можете скачать вложенный XML-файл.
Просмотр журнала аудита почтовых ящиков
Чтобы сохранить и просмотреть файл SearchResult.xml, выполните следующие действия.
- Войдите в почтовый ящик, куда был отправлен журнал аудита почтовых ящиков.
- В папке "Входящие" откройте сообщение с вложением XML-файла, отправленным Exchange Online. Обратите внимание, что в тексте сообщения указаны условия поиска.
- Щелкните вложение и выберите загрузку XML-файла.
- Откройте файл SearchResult.xml в Microsoft Excel.
Дополнительная информация
Записи в журнале аудита почтовых ящиков.
В следующем примере показана запись из журнала аудита почтовых ящиков, содержащегося в файле SearchResult.xml. Каждой записи предшествует <XML-тег события> и заканчивается тегом </Event> XML. Эта запись показывает, что администратор очистил сообщение с темой "Уведомление о удержании судебного разбирательства" из папки "Элементы с возможностью восстановления" в почтовом ящике Дэвида 30 апреля 2021 г.
<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939"
Owner="PPLNSL-dom\david50001-1363917750"
LastAccessed="2021-04-30T11:01:55.140625-07:00"
Operation="HardDelete"
OperationResult="Succeeded"
LogonType="Admin"
FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
FolderPathName="\Recoverable Items\Deletions"
ClientInfoString="Client=OWA;Action=ViaProxy"
ClientIPAddress="10.196.241.168"
InternalLogonType="Owner"
MailboxOwnerUPN="david@contoso.com"
MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151"
CrossMailboxOperation="false"
LogonUserDN="Administraor"
LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
<SourceItems>
<ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
Subject="Notification of litigation hold"
FolderPathName="\Recoverable Items\Deletions" />
</SourceItems>
</Event>
Полезные поля в журнале аудита почтовых ящиков.
Ниже приведено описание полезных полей в журнале аудита почтового ящика. Они помогут вам определить конкретные сведения о каждом экземпляре доступа к почтовому ящику, который не является владельцем.
Поле | Описание |
---|---|
Владелец | Владелец почтового ящика, доступ к которому получил не владелец. |
LastAccessed | Дата и время обращения к почтовому ящику. |
Operation | Действие, выполненное невладельцем. Дополнительные сведения см. в разделе "Что регистрируется в журнале аудита почтовых ящиков?" статьи Запуск отчета о доступе к почтовым ящикам, не являющихся владельцем, в Exchange Online. |
OperationResult | Было ли выполнено действие, несовершенное владельцем, успешным или неудачным. |
LogonType | Тип доступа, не являющихся владельцем. К ним относятся администратор, делегат и внешний. |
FolderPathName | Имя папки, содержащей сообщение, затронутое невладельцем. |
ClientInfoString | Сведения о почтовом клиенте, используемом невладельцем для доступа к почтовому ящику. |
ClientIPAddress | IP-адрес компьютера, который не является владельцем для доступа к почтовому ящику. |
InternalLogonType | Тип входа учетной записи, используемой невладельцем для доступа к этому почтовому ящику. |
MailboxOwnerUPN | Адрес электронной почты владельца почтового ящика. |
LogonUserDN | Отображаемое имя невладельца. |
Subject | Строка темы сообщения электронной почты, затронутого невладельцем. |