使用屏幕阅读器在 Exchange Online 的经典 Exchange 管理中心导出和查看审核日志

  • 项目

可以使用经典 Exchange 管理中心的屏幕阅读器导出和查看邮箱审核日志, (Exchange Online 中的经典 EAC) 。 启用后,只要非所有者的用户访问该邮箱,Exchange 邮箱审核就会在邮箱审核日志中记录相关信息。 每个日志项目都包括邮箱访问者和执行操作的相关信息。

入门

使用 Internet Explorer 和键盘快捷方式导航,并确保具有相应的 Microsoft 365 或 Office 365 订阅计划和管理员角色来执行此任务。 然后,打开 EAC 并开始操作。

使用浏览器和键盘在 EAC 中导航

Exchange Online 包括 EAC,是一个基于 Web 的应用程序,因此键盘快捷方式和导航的使用可能与在 Exchange 2016 中有差异。 Exchange 管理中心中的辅助功能

若要在 Exchange Online 中使用 EAC 时获得最佳效果,请使用 Internet Explorer 作为浏览器。 详细了解 Internet Explorer 键盘快捷方式

EAC 中的许多任务需要使用弹出窗口。 在浏览器中,请务必为 Microsoft 365 或 Office 365 启用弹出窗口

确认Office 365或 Microsoft 365 订阅计划

Exchange Online包含在多个不同的订阅计划中,但功能可能因计划而异。 如果您的 EAC 不包含本文中描述的功能,您的计划可能不包括它。

有关订阅计划中Exchange Online功能的详细信息,请转到我拥有哪些Office 365商业产品或许可证?Exchange Online服务说明

打开 EAC 并确认您的管理员角色

若要导出和查看邮箱审核日志, 请使用屏幕阅读器打开 Exchange 管理中心 ,并检查全局管理员是否已将你分配到组织管理和记录管理管理员角色组。 了解如何使用屏幕阅读器在 Exchange 管理中心确定您的管理员角色

配置邮箱审核日志记录

在导出和查看审核日志之前,您或其他管理员必须启用邮箱审核日志记录并配置 Outlook 以允许 XML 附件。 这些任务在 Exchange Online PowerShell 中完成。 有关详细信息,请转到导出Exchange Online中的邮箱审核日志

导出邮箱审核日志

  1. 在 EAC 中,按 Ctrl+F6,直到主导航窗格具有焦点而且听到"仪表板,主导航链接"。

  2. 按 Tab 键移到 合规性管理 ,然后按 Enter。

  3. 若要移到菜单栏,请按 Ctrl+F6。

  4. 按 Tab 键移到 审核 。 将听到“审核,辅助导航链接”。按 Enter。

  5. 若要访问主窗口列表视图,请按 Ctrl+F6。 将听到“审核报告”。

  6. 按 Tab 键约 6 次直到您听到" 导出邮箱审核日志 ",然后按 Enter。

  7. 在打开的“ 导出邮箱审核日志 ”对话框中, “开始日期 年份”组合框具有焦点,你将听到“ 开始日期 年份”组合框。

    提示

    默认情况下,开始日期设置为昨天日期之前的两周。 启用后,邮箱审核日志通常将条目存储 90 天。

    1. 如有必要,请键入审核日志的开始日期年份。 您还可以通过按向上箭头键或向下箭头键选择开始日期年份。

    2. 按 Tab 键移到 文本框,然后键入或选择开始日期月份。

    3. 按 Tab 键移到 文本框,然后键入或选择开始日期日。

  8. 按 Tab 键移到 结束日期 年组合框。 将听到“结束日期组合框的年份。

    提示

    默认结束日期为当天日期。

    1. 如有必要,请键入审核日志的结束日期年份。 您还可以通过按向上箭头键或向下箭头键选择结束日期年份。

    2. 按 Tab 键移到 文本框,然后键入或选择结束日期月份。

    3. 按 Tab 键移到 文本框,然后键入或选择结束日期日。

  9. 若要访问 选择用户 按钮,请按 Tab 键两次。 将听到“搜索这些邮箱或留空以查找非所有者访问的所有邮箱。

    提示

    如果您要导出所有邮箱的审核日志,不要选择任何用户,请转到步骤 10。 当 搜索这些用户 框为空时,搜索将包括所有邮箱。

    1. 若要打开选择邮箱对话框,并且选择用户按钮具有焦点,请按 Enter。 “ 搜索 ”框具有焦点,你将听到“筛选或搜索编辑”。键入要导出其审核日志的第一个邮箱的全部或部分名称,然后按 Enter 来搜索该名称。

    2. 若要选择一个邮箱,请按 Tab 键 4 次,直到您听到搜索结果列表中邮箱所有者的名称。 如果搜索结果列表中存在多个邮箱,请按向下箭头键或向上箭头键,直到您听到邮箱所有者的名称。

      提示

      您可以选择多个连续的邮箱。 若要使用所有邮箱,请将 搜索 框保留为空,或输入您要添加的邮箱的名称的全部或一部分。 按 Tab 键移到搜索结果。 按向下箭头键听到每个名称。 若要添加所有邮箱,请按 Ctrl+A。 若要添加连续列出的多个邮箱,请按向下箭头键或向上箭头键直到您听到您想要添加的第一个邮箱名称,按住 Shift 键的同时按向下箭头键或向上箭头键,直到您听到您想要添加的最后一个邮箱名称,然后放开 Shift 键。 即会选中第一个和最后一个邮箱名称之间的所有邮箱。

    3. 若要将所选邮箱添加到列表以包括在审核日志导出中,请按 Enter。 邮箱的列表保留焦点,因此您可以通过选择更多邮箱并按 Enter 继续进行添加。

      提示

      若要查看您已添加的邮箱,请按 Tab 键移到 添加 按钮。 若要听到邮箱的列表,请再次按 Tab 键。 您会听到列表中的第一个邮箱名称。 若要听到列表中的第二个邮箱名称,请再次按 Tab 键。 继续按 Tab 键直到您听到您已添加的所有邮箱的名称。 若要从列表中删除邮箱,请在您听到邮箱名称时按 Enter 来激活 删除 链接。

    4. 若要搜索另一个邮箱或邮箱集,请多次按 Tab 键,直到听到“筛选或搜索编辑”。键入要添加的下一个邮箱的全部或部分名称,然后按 Enter。 重复步骤 b 和 c。 对您想要添加的所有邮箱执行此操作。

    5. 若要添加外部邮箱,请按 Tab 键,直到听到“检查姓名编辑,键入文本”。 (在“讲述人”中,将听到“编辑”。) 键入外部收件人的电子邮件地址,按 Shift+Tab 选择“ 检查姓名 ”按钮,然后按 Enter。 这将验证电子邮件地址,并将其添加到邮箱列表。

      提示

      请注意,如果您键入外部电子邮件地址,然后按 Enter,这会将地址添加到列表中,然后关闭对话框。 如果您未完成,则改用 检查名称 按钮进行添加。

    6. 添加完邮箱后,按 Tab 键移到 确定 按钮并按 Enter。 导出邮箱审核日志 对话框再次具有焦点,而且"搜索这些邮箱"文本框中列出所选邮箱。

  10. 按 Tab 键移到 搜索以下人员的访问 组合框。 此将指定您希望审核日志显示的邮箱非所有者的类型。

    • 若要审核日志显示所有非所有者,您不需要执行任何操作,因为这是默认值。
    • 若要指定一组特定的非所有者,如 外部用户 (Microsoft 数据中心管理员)、 管理员和受委派用户管理员 ,请按向下箭头键移到所需的用户类型,然后按 Enter。

  11. 按 Tab 键两次以访问下一个选择用户按钮。 将听到“将审核报告发送到选取器按钮”。若要打开“ 选择成员 ”对话框,请按 Enter。 搜索 按钮具有焦点。

    1. 若要搜索组织内的用户,请按 Enter,键入第一个审核日志收件人的名称的全部或一部分,然后按 Enter。

    2. 多次按 Tab 键直到您听到搜索结果列表中用户的名称。

    3. 若要将用户添加到审核日志收件人列表,请按向下箭头键直到您听到该用户的名称,然后按 Enter。 用户的列表保留焦点,因此您可以通过选择其邮箱并按 Enter 继续进行添加更多收件人。

      提示

      若要查看您已添加的收件人,请按 Tab 键移到 添加 按钮。 若要听到收件人的列表,请再次按 Tab 键。 即会阅读第一个名称。 若要听到列表中的第二个名称,请再次按 Tab 键。 继续按 Tab 键直到您听到您已添加的所有收件人的名称。 若要从列表中删除收件人,请在听到用户名时按 Enter 激活 “删除” 链接。

    4. 若要从组织内部搜索其他名称或名称集,请多次按 Tab 键,直到听到“筛选或搜索编辑”。键入要添加的下一个用户的全部或部分名称,然后按 Enter。 重复步骤 b 和 c。 对组织内的所有审核报告收件人执行此操作。

    5. 若要添加外部收件人,请按 Tab 键,直到听到“检查姓名编辑,键入文本”。 (在“讲述人”中,将听到“编辑”。) 键入外部收件人的电子邮件地址,按 Shift+Tab 选择“ 检查姓名 ”按钮,然后按 Enter。 这将验证电子邮件地址,并将其添加到收件人列表。

      提示

      请注意,如果您键入外部电子邮件地址,然后按 Enter,这会将收件人添加到列表中,然后关闭对话框。 如果您未完成,则改用 检查名称 按钮进行添加。

    6. 添加完用户后,按 Tab 键移到 确定 按钮并按 Enter。 导出邮箱审核日志对话框再次具有焦点,而且将审核报告发送到文本框中列出审核日志收件人。

  12. 按 Tab 键切换到 “导出 ”按钮,然后按 Enter。 Exchange retrieves entries in the mailbox audit log that meet your search criteria, saves them to a file named SearchResult.xml, and then attaches the XML file to an email message sent within 24 hours to your selected audit log recipients.

    提示

    如果您听到一条错误消息,指出无法找到您正在试图打开的项目,请检查是否为所选邮箱启用了审核日志。 同时检查所选日期是否在范围内。 默认情况下,日期必须为启用审核日志后过去 90 天内的日期。

查看邮箱审核日志

  1. 打开 Outlook 并登录到您的邮箱(或发送审核日志的邮箱)。

  2. 在收件箱中,找到并打开由 Exchange 或 Outlook 发送的主题包括"邮箱审核日志搜索"的邮件和名为 SearchResult.xml 的 XML 文件附件。 此电子邮件的正文包含此导出审核日志的搜索条件。

    提示

    如果 Outlook 未配置为允许 XML 附件,您可能会收到电子邮件,但无法打开 XML 附件。 此外,如果找不到该邮件,您可能需要等待更长时间。 收件人通常在 24 小时内收到导出的审核日志,但在某些情况下可能要花费几天的时间。

  3. 选择邮件附件并指定您想要下载的 XML 文件。

  4. 在 Excel 中打开 SearchResult.xml 文件。 每个日志项目都包括访问邮箱的邮箱非所有者和执行操作的相关信息。 其中,以下字段包含在审核日志中:

    此邮箱审核日志字段 提供此信息
    所有者 非所有者访问过的邮箱的所有者
    LastAccessed 最近的邮箱访问日期和时间
    操作 非所有者执行的操作
    OperationResult 非所有者执行的操作是成功还是失败
    LogonType 非所有者访问类型,如管理员、委托或外部 Microsoft 数据中心管理员
    ClientIPAddress 非所有者访问此邮箱所使用的计算机的 IP 地址
    LogonUserDN 非所有者的显示名称
    主题 受非所有者影响的邮件的主题行