Экспорт и проверка журналов аудита в Центре администрирования Exchange с помощью средства чтения с экрана

Exchange Online
 

Последнее изменение раздела:2016-12-09

Откройте Центр администрирования Exchange в Exchange Online. Там вы можете экспортировать и изучать журналы аудита почтового ящика с помощью средства чтения с экрана. Когда функция аудита почтового ящика Exchange включена, она записывает в журнал аудита почтового ящика информацию о каждом случае доступа к почтовому ящику пользователя, не являющегося его владельцем. Каждая запись журнала содержит сведения о том, какой пользователь получал доступ к почтовому ящику и какие действия он выполнял.

Переходите с помощью Internet Explorer и сочетания клавиш. Убедитесь в том, что у вас есть соответствующая подписка на Office 365 и роль администратора для выполнения этой задачи. После этого откройте Центр администрирования Exchange и начните работу.

Служба Exchange Online, которая включает Центр администрирования Exchange, — это веб-приложение, поэтому сочетания клавиш и навигация могут быть не такими, как в Exchange 2016. Доступность в Центре администрирования Exchange.

Для достижения наилучших результатов при работе в Центре администрирования Exchange в Exchange Online, используйте браузер Internet Explorer. Дополнительные сведения о сочетаниях клавиш для Internet Explorer.

Для многих задач в Центре администрирования Exchange требуются всплывающие окна, поэтому не забудьте включить их для Office 365 в браузере.

Служба Exchange Online входит в состав Office 365 для бизнеса и планы корпоративной подписки, но ее возможности могут отличаться в зависимости от плана. Если в вашем Центре администрирования Exchange нет функции, описанной в этой статье, возможно, она не предусмотрена в вашем плане.

Дополнительные сведения о возможностях Exchange Online в своем плане подписки см. в статьях Какие план и лицензию для Office 365 бизнес я использую? и Описание службы Exchange Online.

Чтобы можно было экспортировать и изучать журналы аудита почтового ящика, выполните инструкции из статьи Открытие Центра администрирования Exchange с помощью средства чтения с экрана и убедитесь, что глобальный администратор Office 365 сделал вас членом групп ролей администраторов "Управление организацией" и "Управление записями". См. статью Определение роли администратора в Центре администрирования Exchange с помощью средства чтения с экрана.

Прежде чем вы сможете экспортировать и изучать журналы аудита, вы или другой администратор должны включить функцию ведения журналов аудита почтового ящика и настроить Outlook так, чтобы в нем было разрешено использовать XML-вложения. Эти задачи можно выполнить в удаленном сеансе Windows PowerShell. Дополнительные сведения см. в статье Экспорт журналов аудита почтовых ящиков.

  1. В Центре администрирования Exchange нажимайте клавиши CTRL+F6, пока не будет выделено основную область навигации и вы не услышите сообщение "Панель мониторинга, основная ссылка для навигации".

  2. С помощью клавиши TAB перейдите в раздел управление соответствием требованиям и нажмите клавишу ВВОД.

  3. Чтобы перейти к строке меню, нажмите клавиши CTRL+F6.

  4. С помощью клавиши TAB перейдите в раздел аудит. Вы услышите сообщение "Аудит, вспомогательная навигация, ссылка". Нажмите клавишу ВВОД.

  5. Чтобы открыть представление списка основного окна, нажмите клавиши CTRL+F6. Вы услышите сообщение "Отчеты аудита".

  6. Нажмите клавишу TAB примерно шесть раз, пока не услышите сообщение "Экспортировать журналы аудита почтового ящика", а затем нажмите клавишу ВВОД.

  7. В открывшемся диалоговом окне Экспортировать журналы аудита почтового ящика фокус будет на поле со списком года даты начала, и вы услышите сообщение "Год, дата начала, поле со списком".

    СоветСовет.
    По умолчанию в качестве даты начала задается дата за две недели до текущей даты. Если журнал аудита почтовых ящиков включен, то записи в нем обычно хранятся 90 дней.
    1. При необходимости укажите год даты начала для журналов аудита. Кроме того, вы можете выбрать год даты начала с помощью клавиш СТРЕЛКА ВВЕРХ или СТРЕЛКА ВНИЗ.

    2. С помощью клавиши TAB перейдите в текстовое поле месяца и введите или выберите месяц даты начала.

    3. С помощью клавиши TAB перейдите в текстовое поле дня и введите или выберите день даты начала.

  8. С помощью клавиши TAB перейдите в поле со списком года даты окончания. Вы услышите сообщение "Год, дата окончания, поле со списком".

    СоветСовет.
    По умолчанию в качестве даты окончания используется текущая дата.
    1. При необходимости укажите год даты окончания для журналов аудита. Кроме того, вы можете выбрать год даты окончания с помощью клавиш СТРЕЛКА ВВЕРХ или СТРЕЛКА ВНИЗ.

    2. С помощью клавиши TAB перейдите в текстовое поле месяца и введите или выберите месяц даты окончания.

    3. С помощью клавиши TAB перейдите в текстовое поле дня и введите или выберите день даты окончания.

  9. Для доступа к кнопке выбора пользователей дважды нажмите клавишу TAB. Вы услышите сообщение "Выполните поиск в этих почтовых ящиках или оставьте поле пустым, чтобы включить в поиск все ящики, к которым выполнялся доступ со стороны пользователей, не являющихся владельцами".

    СоветСовет.
    Если вы хотите экспортировать журналы аудита для всех почтовых ящиков, не выбирайте ни одного пользователя и перейдите к действию 10. Если поле Выполнить поиск этих пользователей не заполнено, то поиск будет выполнен для всех почтовых ящиков.
    1. Чтобы открыть диалоговое окно Выбрать почтовый ящик, переместите фокус на кнопку выбрать пользователей и нажмите клавишу ВВОД. В открывшемся окне будет выделено поле Поиск, и вы услышите сообщение "Фильтр или поиск, редактирование". Введите (полностью или частично) имя первого почтового ящика, журналы аудита которого необходимо экспортировать, а затем, чтобы выполнить поиск по имени, нажмите клавишу ВВОД.

    2. Чтобы выбрать необходимый почтовый ящик, нажмите клавишу TAB четыре раза. После этого вы услышите имя владельца почтового ящика в списке результатов поиска. Если в списке результатов поиска несколько почтовых ящиков, нажимайте клавишу СТРЕЛКА ВВЕРХ или СТРЕЛКА ВНИЗ, пока не услышите имя нужного вам владельца почтового ящика.

      СоветСовет.
      Вы можете выбрать несколько последовательно расположенных почтовых ящиков. Для работы со всеми почтовыми ящиками оставьте поле Поиск пустым или введите (полностью или частично) имена всех почтовых ящиков, которые необходимо добавить. С помощью клавиши TAB перейдите к результатам поиска. Чтобы прослушать все имена, перемещайтесь по ним с помощью клавиши СТРЕЛКА ВНИЗ. Чтобы добавить все имена, нажмите клавиши CTRL+A. Чтобы добавить несколько последовательно расположенных почтовых ящиков, нажимайте клавишу СТРЕЛКА ВНИЗ или СТРЕЛКА ВВЕРХ, пока не услышите имя первого почтового ящика, который вы хотите добавить. Потом нажмите клавишу SHIFT и, не отпуская ее, нажимайте клавишу СТРЕЛКА ВНИЗ или СТРЕЛКА ВВЕРХ, пока не услышите имя последнего почтового ящика, который необходимо добавить. После этого отпустите клавишу SHIFT. В результате будут выбраны все почтовые ящики, начиная первым и заканчивая последним выбранными вами именами.
    3. Чтобы добавить выбранные почтовые ящики в список, который необходимо включить в данные экспорта журнала аудита, нажмите клавишу ВВОД. Фокус по-прежнему останется на списке почтовых ящиков, и вы сможете добавлять дополнительные почтовые ящики, выделяя их и нажимая клавишу ВВОД.

      СоветСовет.
      Чтобы просмотреть добавленные вами почтовые ящики, с помощью клавиши TAB перейдите на кнопку Добавить. Чтобы прослушать список почтовых ящиков, еще раз нажмите клавишу TAB. Вы услышите имя первого почтового ящика в списке. Чтобы услышать имя второго почтового ящика в списке, нажмите клавишу TAB еще раз. Продолжайте нажимать клавишу TAB, пока не услышите имена всех добавленных почтовых ящиков. Чтобы удалить почтовый ящик из списка, активируйте ссылку Удалить, нажав клавишу ВВОД, после того как услышите имя необходимого почтового ящика.
    4. Чтобы выполнить поиск для другого почтового ящика или набора почтовых ящиков, нажмите клавишу TAB несколько раз, пока не услышите сообщение "Фильтр или поиск, редактирование". Введите (полностью или частично) имя следующего почтового ящика, который вы хотите добавить, а затем нажмите клавишу ВВОД. Повторите действия б и в. Выполните эти действия для всех почтовых ящиков, которые вы хотите добавить.

    5. Чтобы добавить внешний почтовый ящик, нажимайте клавишу TAB, пока не услышите сообщение "Редактирование проверяемых имен, введите текст". (Экранный диктор озвучит сообщение "Редактирование".) Введите электронный адрес внешнего получателя, нажмите клавиши SHIFT+TAB, чтобы выбрать кнопку Проверить имена, а затем нажмите клавишу ВВОД. После этого электронный адрес будет проверен и добавлен в список почтовых ящиков.

      СоветСовет.
      Имейте в виду, что если вы введете внешний электронный адрес и нажмете клавишу ВВОД, то он будет добавлен в список, а диалоговое окно будет закрыто. Если вы еще не закончили работу в диалоговом окне, то для добавления почтового ящика нажмите кнопку Проверить имена.
    6. Когда вы закончите добавлять почтовые ящики, с помощью клавиши TAB перейдите к кнопке ОК и нажмите клавишу ВВОД. Фокус снова будет перемещен на диалоговое окно Экспортировать журналы аудита почтового ящика, а в текстовом поле "Выполнить поиск в этих почтовых ящиках" будет отображаться список выбранных почтовых ящиков.

  10. С помощью клавиши TAB перейдите в поле со списком Поиск записей о доступе со стороны следующих пользователей. Здесь можно указать, какие типы пользователей, не являющихся владельцами почтовых ящиков, следует отобразить в журналах аудита.

    • Чтобы в журналах аудита отображались все пользователи, не являющиеся владельцами почтовых ящиков, вам не нужно ничего делать, так как этот вариант используется по умолчанию.

    • Чтобы указать определенную группу пользователей, не являющихся владельцами почтовых ящиков, например внешних пользователей (администраторов центра обработки данных Майкрософт), администраторов и полномочных пользователей или администраторов, с помощью клавиши СТРЕЛКА ВНИЗ выберите необходимый тип пользователя, а затем нажмите клавишу ВВОД.

  11. Дважды нажмите клавишу TAB, чтобы перейти к расположенной далее кнопке выбрать пользователей. Вы услышите сообщение "Отправить отчет аудита по адресу, средство выбора, кнопка". Чтобы открыть диалоговое окно Выбор членов, нажмите клавишу ВВОД. Фокус будет перемещен на кнопку Поиск.

    1. Чтобы найти пользователя в вашей организации, нажмите клавишу ВВОД, введите (полностью или частично) имя первого получателя журнала аудита, а затем еще раз нажмите клавишу ВВОД.

    2. Несколько раз нажмите клавишу TAB, пока не услышите имя пользователя в списке результатов поиска.

    3. Чтобы добавить пользователя в список получателей журнала аудита, нажимайте клавишу СТРЕЛКА ВНИЗ, пока не услышите имя необходимого пользователя, а затем нажмите клавишу ВВОД. Фокус будет по-прежнему на списке пользователей, и вы сможете добавлять дополнительных получателей, выбирая их почтовые ящики и нажимая клавишу ВВОД.

      СоветСовет.
      Чтобы просмотреть добавленных вами получателей, с помощью клавиши TAB перейдите к кнопке Добавить. Чтобы прослушать список получателей, нажмите клавишу TAB еще раз. Средство чтения с экрана прочитает первое имя. Чтобы прослушать второе имя в списке, нажмите клавишу TAB еще раз. Продолжайте нажимать клавишу TAB, пока не услышите имена всех добавленных получателей. Чтобы удалить получателя из списка, активируйте ссылку Удалить, нажав клавишу ВВОД, когда услышите имя соответствующего пользователя.
    4. Чтобы найти другое имя или набор имен в организации, нажмите клавишу TAB несколько раз, пока не услышите сообщение "Фильтр или поиск, редактирование". Введите (полностью или частично) имя следующего пользователя, которого вы хотите добавить, и нажмите клавишу ВВОД. Повторите действия б и в. Выполните это действие для всех получателей отчета аудита в вашей организации.

    5. Чтобы добавить внешнего получателя, нажимайте клавишу TAB, пока не услышите сообщение "Редактирование проверяемых имен, введите текст". (В Экранный диктор вы услышите сообщение "Редактирование".) Введите электронный адрес внешнего получателя, нажмите клавиши SHIFT+TAB, чтобы выбрать кнопку Проверить имена, а затем нажмите клавишу ВВОД. В результате электронный адрес будет проверен и добавлен в список получателей.

      СоветСовет.
      Имейте в виду, что если вы введете внешний электронный адрес и нажмете клавишу ВВОД, то получатель будет добавлен в список, а диалоговое окно будет закрыто. Если вы еще не закончили работу в диалоговом окне, то для добавления почтового ящика нажмите кнопку Проверить имена.
    6. Когда вы закончите добавлять пользователей, с помощью клавиши TAB перейдите к кнопке ОК и нажмите клавишу ВВОД. Фокус будет снова перемещен на диалоговое окно Экспортироватьжурналы аудита почтового ящика, а в текстовом поле Отправить отчет аудита по адресу будет отображаться список получателей отчета аудита.

  12. С помощью клавиши TAB перейдите к кнопке экспорт и нажмите клавишу ВВОД. Exchange извлекает из журнала аудита почтового ящика записи, соответствующие указанным вами критериям поиска, сохраняет их в файл SearchResult.xml, а затем вкладывает XML-файл в электронное письмо, которое в течение 24 часов будет отправлено выбранным вами получателям журнала аудита.

    СоветСовет.
    Если вы услышите сообщение об ошибке, в котором говорится о том, что не удается найти элементы, которые вы пытаетесь открыть, убедитесь, что для выбранных почтовых ящиков включена функция ведения журнала аудита. Кроме того, убедитесь, что выбранные даты находятся в необходимом в диапазоне. Эти даты должны быть позже даты включения функции ведения журнала аудита и (по умолчанию) попадать в период, равный 90 последним дням.

  1. Откройте Outlook и войдите в свой почтовый ящик (или почтовый ящик, в который был отправлен журнал аудита).

  2. В папке "Входящие" найдите и откройте сообщение, отправленное из Exchange или Outlook, с темой, содержащей текст "поиск в журнале аудита почтового ящика", и XML-файлом SearchResult.xml. В тексте электронного письма содержатся сведения об условиях поиска для экспортированного журнала аудита.

    СоветСовет.
    Если в параметрах Outlook не разрешены XML-вложения, то, возможно, вы получите электронное письмо, но вам не удастся открыть XML-вложение. Кроме того, если вам не удается найти письмо, то, возможно, вам следует еще подождать. Обычно экспортированный журнал аудита доставляется получателям в течение 24 часов, но в некоторых случаях это время может составлять несколько дней.
  3. Выберите вложение в сообщении и укажите, что вы хотите скачать XML-файл.

  4. Откройте файл SearchResult.xml в Excel. Каждая запись журнала содержит сведения о том, какие пользователи, не являющиеся владельцами почтового ящика, получали доступ к нему и какие действия они выполняли. Помимо прочих, в журнал аудита включаются указанные ниже поля.

     

    Поля журнала аудита почтовых ящиков Сведения, содержащиеся, в полях

    Owner

    Владелец почтового ящика, к которому получил доступ пользователь, не являющийся его владельцем

    LastAccessed

    Дата и время последнего доступа к почтовому ящику

    Operation

    Действие, выполненное пользователем, не являющимся владельцем почтового ящика

    OperationResult

    Сведения о том, успешно ли пользователь, не являющийся владельцем почтового ящика, выполнил действие.

    LogonType

    Тип доступа пользователя, не являющегося владельцем почтового ящика (например, администратор, делегат или внешний администратор центра обработки данных Майкрософт)

    ClientIPAddress

    IP-адрес компьютера, который пользователь, не являющийся владельцем почтового ящика, использовал для обращения к почтовому ящику.

    LogonUserDN

    Отображаемое имя пользователя, не являющегося владельцем почтового ящика.

    Subject

    Строка темы сообщения, затронутого пользователем, не являющимся владельцем почтового ящика.

 
Показ: