Exchange 和 Microsoft 365 中的邮箱审核日志记录

您可以使用本地 Exchange Server 和基于云的 Exchange Online (Microsoft 365) 中的审核日志记录来跟踪对邮箱中任何项目的所有用户操作。通过使用邮箱活动审核，Exchange 管理员可以轻松回答常见问题“如何找出从共享邮箱删除电子邮件的用户？”

在本文中，我们将向您展示如何在 Exchange Server 和 Microsoft 365 邮箱中启用和配置审核日志记录以及如何查看审核日志。

在 Office 365 (Microsoft 365) 邮箱中启用审核日志记录

首先，我们来看看 Microsoft 365 租户邮箱中的审核功能。它们仅适用于 E3 和 E5 级别的订户。

打开 PowerShell 并使用 EXOv2 模块连接到在线 Exchange：

Connect-ExchangeOnline -UserPrincipalName [email protected] -ShowProgress $true

自 2018 年底以来，默认情况下，在 Exchange Online (Office 365) 中为所有租户启用审核日志记录。

Get-OrganizationConfig | Format-List AuditDisabled

您可以在每个邮箱的设置中启用/禁用审核。让我们显示所有邮箱的当前审核设置：

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Select UserPrincipalName,AuditEnabled

如您所见，审核已启用。您可以禁用特定邮箱的审核：

Set-Mailbox maxbak -AuditEnabled $false

Exchange 允许使用以下级别的邮箱活动审核

• AuditOwner - 审核所有者操作；

• AuditAdmin - 审核管理员操作；

• AuditDelegate - 审核已被授予邮箱访问权限的其他用户的操作。

以下事件可能会记录在审核日志中：

Copy
Create
FolderBind
HardDelete
MailboxLogin
MessageBind
Move
MoveToDeletedItems
SendAs
SendOnBehalf
SoftDelete
Update
UpdateCalendarDelegation
UpdateFolderPermissions

对于每个审核级别，您可以配置应记录的事件。您可以使用以下命令获取当前审核设置：

Get-Mailbox maxbak| Select-Object -ExpandProperty AuditOwner
Get-Mailbox maxbak| Select-Object -ExpandProperty AuditDelegate
Get-Mailbox maxbak| Select-Object -ExpandProperty AuditAdmin

您可以配置仅在日志中注册某些类型的事件。例如，要审核项目删除事件：

Set-Mailbox maxbak -AuditOwner HardDelete,SoftDelete

如果您只想将其他审核事件添加到现有审核事件中：

Set-Mailbox maxbak -AuditOwner @{Add=”MailboxLogin”,”HardDelete”}

审核日志直接存储在每个邮箱的Audits文件夹中。该文件夹在 Outlook 或 OWA 中不可用。

您可以使用以下命令获取邮箱中当前审核日志的大小：

Get-MailboxFolderStatistics -Identity [email protected] | where {$_.FolderType -eq 'Audits'} | ft Identity, ItemsInFolder, FolderSize -auto

如何在 Exchange Server 中启用邮箱审核日志记录？

在本地 Exchange Server 中，邮箱审核在 2010 SP1+ 中可用。默认情况下，邮箱审核处于禁用状态。

使用 PowerShell 连接到本地 Exchange Server：

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://mun-mbx01.a-d.site/PowerShell/ -Authentication Kerberos -Credential $UserCredential
Import-PSSession $Session

您可以为单个邮箱启用审核日志记录：

Set-Mailbox maxbak -AuditEnabled $true

或者对于 Exchange 组织中的所有邮箱：

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

在 Exchange Server 邮箱中，管理员和代理操作都会经过审核（默认设置与 Exchange Online 中的设置不同）。所有者活动审核已禁用。如果启用对邮箱所有者的所有事件的审核，日志大小将增长得更快。最好对某些操作（例如删除或移动）启用选择性审核：

Set-Mailbox maxbak -AuditOwner SoftDelete,HardDelete,MoveToDeletedItems,Move

审核事件会存储 90 天，然后删除。您可以管理审核日志深度（和大小）。例如，您可以将邮箱中事件的保留期从 90 天减少到 30 天：

Get-Mailbox maxbak |select AuditLogAgeLimit
Set-Mailbox maxbak -AuditLogAgeLimit 30 -Force

找出谁从共享 Exchange 邮箱中删除了电子邮件

假设您的 Exchange 租户/组织中有一个可供其他用户访问的共享邮箱。其中一位用户删除了一封重要的电子邮件，您需要找出是谁干的。

要搜索邮箱审核日志，

Search-MailboxAuditLog

使用 cmdlet。该 cmdlet 在本地 Exchange Server 和云 Exchange Online 中均可用（某些选项可能有所不同）。

以下命令显示自 2 月 1 日以来特定共享邮箱上的所有项目活动（审核日志）：

Search-MailboxAuditLog -Identity [email protected] -StartDate 2/1/2022 -ShowDetails| ft MailboxOwnerUPN, LogonType, LogonUserDisplayName, Operation,OperationResult, SourceItemSubjectsList,FolderPathName, DestFolderPathName,LastAccessed|ft

根据审计事件的数量，搜索可能需要相当长的时间。该图显示了谁删除了具有指定主题的电子邮件（MoveToDeleteItems 用户操作）。

使用 Search-Mailbox cmdlet 在所有 Exchange 邮箱中搜索电子邮件。

您可以对审核日志应用详细的过滤器。例如，您只想选择删除事件（

HardDelete

,

SoftDelete

,

MoveToDeletedItems

) 与非所有者用户相关：

Search-MailboxAuditLog -Identity support [email protected] -StartDate 2/2/2022 -EndDate 2/8/2022 -LogonTypes Delegate,Admin -ShowDetails| Where-Object {$_.Operation -like "*Delete*"}|ft MailboxOwnerUPN, LogonType,LogonUserDisplayName,Operation, OperationResult,SourceItemSubjectsList,FolderPathName, DestFolderPathName,LastAccessed|ft

要执行审计事件的异步搜索，

New-MailboxAuditLogSearch

使用 cmdlet。它对邮箱服务器造成的负载较小，在后台运行，可以让您在数千个事件中有效地找到您想要的信息，并将结果发送到指定的邮箱。

您还可以在 Exchange 管理中心 (EAC) 的合规性管理 -> 审核中搜索审核日志。您可以使用“运行非所有者邮箱访问报告”或“导出邮箱审核日志”选项。

在 Exchange Online 中，您可以使用 EAC（传统方式）或 Microsoft 365 合规中心 (https://compliance.microsoft.com/homepage) 来搜索审核日志。要搜索事件，请转至解决方案 -> 审核 -> 搜索。选择一个时间段，选择“将邮件移至“已删除邮件”文件夹”、“从“已删除邮件”文件夹删除邮件”。

您可以使用以下命令在合规中心搜索审核日志

Search-UnifiedAuditLog

cmdlet。

此外，您还可以使用 Exchange 审核事件来检查收件人是否已阅读电子邮件。