在 Exchange Online 中匯出信箱稽核記錄
注意事項
傳統 Exchange 系統管理中心正在全球部署中淘汰。 建議您在 Microsoft Purview 合規性入口網站 中搜尋稽核記錄。 如需詳細資訊,請參閱在 WW服務中淘汰傳統Exchange系統管理中心 和 在合規性入口網站中搜尋稽核記錄。
為信箱啟用信箱稽核時,每當擁有者以外的使用者存取信箱時,Exchange Online 信箱稽核記錄檔中的資訊。 每個記錄專案都包含誰存取信箱以及何時、非擁有者執行的動作,以及動作是否成功的資訊。 信箱稽核記錄預設會保留在信箱中 90 天。 您可以使用信箱稽核記錄來判斷擁有者以外的使用者是否存取信箱。
當您從信箱稽核記錄匯出專案時,Exchange Online 將專案儲存在 XML 檔案中,並將它附加至傳送給指定收件者的電子郵件訊息。
開始之前
每個程序的預估完成時間:各不相同。 信箱稽核記錄會在您匯出后的幾天內傳送。
自 2019 年 1 月起,預設會為所有 Exchange Online 組織啟用信箱稽核記錄。 如需詳細資訊,請參閱管理信箱稽核。
如果您要使用先前稱為 Outlook Web App) 的 Outlook 網頁版 (來檢視導出的專案,您必須在 Outlook 網頁版 中啟用 .xml 附件。 如需詳細資訊,請參閱設定 Outlook 網頁版 以允許 XML 附件。
若要尋找並開啟 EAC) (Exchange 系統管理中心,請參閱 Exchange Online 中的 Exchange 系統管理中心。
您必須已獲指派權限,才能執行此程序。 To see what permissions you need, see the "View reports" entry in the Feature permissions in Exchange Online topic.
如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵。
提示
有問題嗎? 在 Exchange Online 論壇中尋求協助。
匯出信箱稽核記錄
在 EAC 中,移至 [合規性管理>稽核]。
Click Export mailbox audit logs.
設定下列搜尋準則,匯出信箱稽核記錄中的項目:
- 開始和結束日期:選取要包含在匯出檔案中的專案日期範圍。
- 要搜尋稽核記錄的信箱:選取要擷取稽核記錄專案的信箱。
- 非擁有者存取的類型:選取下列其中一個選項來定義要擷取專案的非擁有者存取類型:
- 所有非擁有者:搜尋組織內系統管理員和委派使用者的存取權,以及 Exchange Online 中的 Microsoft 數據中心系統管理員。
- 外部使用者:搜尋 Microsoft 資料中心系統管理員的存取權。
- 系統管理員和委派的使用者:搜尋組織內系統管理員和委派使用者的存取權。
- 系統管理員:搜尋組織中系統管理員的存取權。
- 收件者:選取要傳送信箱稽核記錄的使用者。
按一下 [匯出]。
Exchange Online 擷取信箱稽核記錄中符合搜尋準則的專案、將它們儲存至名為 SearchResult.xml 的檔案,然後將 XML 檔案附加至傳送給您指定收件者的電子郵件訊息。
如何知道這是否正常運作?
登入已傳送信箱稽核記錄的信箱。 如果您已成功匯出稽核記錄,您會收到從 Exchange 傳送的訊息。 可能需要幾天的時間才能收到此訊息。 名為 SearchResult.xml) 的信箱稽核記錄 (會附加至此郵件。 如果您已正確設定 Outlook 網頁版 以允許 XML 附件,您可以下載附加的 XML 檔案。
檢視信箱稽核記錄
若要儲存並檢視 SearchResult.xml 檔案:
- 登入已傳送信箱稽核記錄的信箱。
- 在 [收件匣] 中,使用 Exchange Online 所傳送的 XML 檔案附件開啟訊息。 請注意,電子郵件的內文包含了搜尋準則。
- 按下附件,然後選取以下載 XML 檔案。
- 在 Microsoft Excel 中開啟 SearchResult.xml。
其他相關資訊
信箱稽核記錄中的項目
下列範例會顯示 SearchResult.xml 檔案所包含之信箱稽核記錄中的項目。 每一個項目的前面都有 <Event> XML 標記並以 </Event> XML 標記結束。 此項目顯示系統管理員在 2021 年 4 月 30 日從 David 信箱的 [可復原的專案] 資料夾中清除了主旨為「訴訟保留通知」的郵件。
<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939"
Owner="PPLNSL-dom\david50001-1363917750"
LastAccessed="2021-04-30T11:01:55.140625-07:00"
Operation="HardDelete"
OperationResult="Succeeded"
LogonType="Admin"
FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
FolderPathName="\Recoverable Items\Deletions"
ClientInfoString="Client=OWA;Action=ViaProxy"
ClientIPAddress="10.196.241.168"
InternalLogonType="Owner"
MailboxOwnerUPN="david@contoso.com"
MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151"
CrossMailboxOperation="false"
LogonUserDN="Administraor"
LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
<SourceItems>
<ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
Subject="Notification of litigation hold"
FolderPathName="\Recoverable Items\Deletions" />
</SourceItems>
</Event>
信箱稽核記錄中的實用欄位
以下是信箱稽核記錄中實用欄位的描述。 它們可協助您識別信箱之每個非擁有者存取權的特定資訊。
欄位 | 描述 |
---|---|
擁有者 | 非擁有者所存取之信箱的擁有者。 |
LastAccessed | 存取信箱的日期和時間。 |
作業 | 非擁有者所執行的動作。 For more information, see the "What gets logged in the mailbox audit log?" section in Run a nonowner mailbox access report in Exchange Online. |
OperationResult | 非擁有者執行的動作成功或失敗。 |
LogonType | 非擁有者存取的類型。 其中包括系統管理員、委派和外部。 |
FolderPathName | 包含非擁有者影響之訊息的資料夾名稱。 |
ClientInfoString | 非擁有者用來存取信箱之郵件客戶端的相關信息。 |
ClientIPAddress | 非擁有者用來存取信箱之計算機的IP位址。 |
InternalLogonType | 非擁有者用來存取此信箱之帳戶的登入類型。 |
MailboxOwnerUPN | 信箱擁有者的電子郵件位址。 |
LogonUserDN | 非擁有者的顯示名稱。 |
主旨 | 受到非擁有者影響之電子郵件訊息的主旨行。 |