在 Exchange Online 中查看和导出外部管理员审核日志

  • 项目

注意

经典 Exchange 管理中心正在全球部署中弃用。 建议在Microsoft Purview 合规门户中搜索审核日志。 有关详细信息,请参阅 在 WW 服务中弃用经典 Exchange 管理中心在合规性门户中搜索审核日志

在 Exchange Online 中,Microsoft 和委派管理员执行的操作记录在管理员审核日志中。 可以使用 Exchange 管理中心 (EAC) 或Exchange Online PowerShell 来搜索和查看审核日志条目,以确定外部管理员是否对Exchange Online组织的配置执行了任何操作或更改。 还可以使用 Exchange Online PowerShell 导出这些审核日志条目。

开始前,有必要了解什么?

  • 估计完成时间:根据您是从管理员审核日志中查看条目还是导出条目,完成时间会有差异。 请参阅每个过程,了解估计完成时间。

  • 你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 Exchange Online 中的功能权限主题中的“仅查看管理员审核日志记录”条目。

  • 如果要使用以前称为 Outlook Web App) 的 Outlook 网页版 (来查看导出的条目,则需要在 Outlook 网页版 中启用.xml附件。 有关详细信息,请参阅配置Outlook 网页版以允许 XML 附件

  • 有关可能适用于本主题中的过程的键盘快捷方式的信息,请参阅 Exchange 管理中心的键盘快捷方式

提示

是否有任何疑问? 在Exchange Online论坛中寻求帮助。

使用 EAC 查看外部管理员审核日志报告

估计完成时间:3 分钟

  1. 转到 “合规性管理>审核 ”,然后单击“ 查看外部管理员审核日志报告”。 在指定期间由 Microsoft 数据中心管理员和委派管理员进行的所有配置更改都将显示,并且可以使用以下信息进行排序:

    • 日期:进行配置更改的日期和时间。 日期和时间存储为协调世界时 (UTC) 格式。

    • Cmdlet:用于进行配置更改的 cmdlet 的名称。

      如果您选择单个搜索结果,将在详细信息窗格中显示以下信息:

    • 运行 cmdlet 的日期和时间。

    • 运行 cmdlet 的用户。 对于外部管理员审核日志报告中的所有条目,将用户标识为“管理员”,表示 Microsoft 数据中心管理员或外部管理员。

    • 使用的 cmdlet 参数以及参数指定的任何值,格式为参数:值

  2. 如果您要打印特定的审核日志条目,可在搜索结果窗格中选中它,然后在详细信息窗格中单击“打印”

  3. 若要缩小搜索范围,可以在“开始日期”和“结束日期”下拉菜单中选择日期,然后单击“搜索”

使用 Exchange Online PowerShell 查看外部管理员审核日志报告中的条目

估计完成时间:3 分钟

可以使用 Search-AdminAuditLog cmdlet 和 ExternalAccess 参数查看管理员审核日志中的条目,了解 Microsoft 数据中心管理员和委派管理员执行的操作。

此命令返回外部管理员运行的 cmdlet 的管理员审核日志中的所有条目。

Search-AdminAuditLog -ExternalAccess $true

此命令返回 2013 年 9 月 17 日至 2013 年 10 月 2 日之间由外部管理员运行的 cmdlet 的管理员审核日志中的条目。

Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2013 -EndDate 10/02/2013

有关详细信息,请参阅 Search-AdminAuditLog

使用 Exchange Online PowerShell 导出管理员审核日志

估计完成时间:大约 24 小时

可以使用 New-AdminAuditLogSearch cmdlet 和 ExternalAccess 参数从管理员审核日志中导出条目,以执行 Microsoft 数据中心管理员或委派管理员执行的操作。 Microsoft Exchange 检索由外部管理员执行的管理员审核日志中的条目,并将其保存到名为 SearchResult.xml 的文件中。 此 XML 文件将附加在 24 小时内发送到指定收件人的电子邮件中。

以下命令返回 2013 年 9 月 25 日至 2013 年 10 月 24 日之间由外部管理员运行的 cmdlet 的管理员审核日志中的条目。 搜索结果将发送到 和 pilarp@contoso.com SMTP 地址,admin@contoso.com并将文本“外部管理员审核日志”添加到邮件的主题行。

New-AdminAuditLogSearch -ExternalAccess $true -EndDate 10/24/2013 -StartDate 07/25/2013 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "External admin audit log"

注意

如果包含 ExternalAccess 参数,则导出的审核日志中仅包含 Microsoft 数据中心管理员或委派管理员执行的操作的条目。 如果未包含 ExternalAccess 参数,审核日志将包含组织中管理员和外部管理员执行的操作条目。

若要验证用于导出由外部管理员执行的管理员审核日志条目的命令是否成功,并显示有关当前管理员审核日志搜索的信息,请运行以下命令:

Get-AuditLogSearch | Format-List

更多信息

  • 在 Microsoft 365 和 Office 365 中,你可以将执行某些管理任务的能力委托给 Microsoft 的授权合作伙伴。 这些管理任务包括创建或编辑用户、重置用户密码、管理用户许可证、管理域,以及将管理员权限分配给组织中的其他用户。 授权合作伙伴担任此角色时,该合作伙伴称为委派管理员。委派管理员执行的任务记录在管理员审核日志中。 如前所述,由委派管理员执行的操作可通过运行外部管理员审核日志报告进行查看或使用 New-AdminAuditLogSearch cmdlet 及 ExternalAccess 参数导出。

  • 管理员审核日志记录特定操作(基于Exchange Online PowerShell cmdlet),这些操作由管理员和已分配了管理权限的用户执行。 此外还记录了由外部管理员执行的操作。 管理员审核日志中的条目向您提供有关所运行的 cmdlet、所使用的参数、以及受影响的对象的相关信息。

  • 管理员审核日志不会记录任何基于以“获取”、“搜索”或“测试”谓词开头Exchange Online PowerShell cmdlet 的操作。

  • 审核日志条目将保留 90 天。 当某个条目超过 90 天时,会删除该条目。