Определение того, кто удалил сообщение электронной почты или почему отсутствует сообщение электронной почты

Используйте эту статью, чтобы исследовать отсутствующие сообщения электронной почты в Exchange Online и определить, кто их удалил. Он позволяет администраторам использовать журнал аудита Microsoft Purview и Exchange Online PowerShell для поиска событий удаления, анализа конфигураций почтовых ящиков, проверка действий по хранению и миграции, а также определить, вызвали ли потери правила почтовых ящиков или доступ к общему почтовому ящику.

Используйте следующие методы для исследования:

  • Сообщения электронной почты, удаленные пользователями или администраторами
  • Отсутствуют сообщения электронной почты после миграции или синхронизации
  • Сообщения электронной почты, удаленные правилами почтового ящика или политиками хранения
  • Удаленные сообщения из общих почтовых ящиков
  • Сообщения электронной почты, не отображаемые в ожидаемых папках

Подготовка к работе

Чтобы исследовать удаленные сообщения электронной почты и отсутствующие сообщения, вам потребуется следующее:

  • Роль журналов аудита, назначенная в Microsoft Purview
  • Подключение к Exchange Online PowerShell с помощью Connect-ExchangeOnline

Определение удаленных сообщений электронной почты

Используйте следующие методы для изучения отсутствующих сообщений электронной почты и определения действий по удалению. Выберите метод в зависимости от типа удаления, который вы изучаете.

Поиск удаленных сообщений электронной почты по типу операции

Используйте этот метод для поиска следующих операций:

  • SoftDelete: элементы перемещаются в папку "Удаленные".
  • HardDelete: элементы, окончательно удаленные из почтового ящика.
  • MoveToDeletedItems: элементы перемещаются в папку "Удаленные" по действиям пользователя.

Чтобы найти записи аудита удаления электронной почты с помощью определенных операций удаления, выполните следующую команду:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000

Замените <user1,user2> адресами электронной почты пользователей. Укажите несколько пользователей, разделив имена пользователей запятыми.

Поиск удаления общих почтовых ящиков

Чтобы изучить удаление из общих почтовых ящиков, выполните следующую команду:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <sharedmailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000

Примечание.

Аудит общего почтового ящика может быть не включен по умолчанию. Если этот поиск не возвращает результатов, см. статью Аудит общего почтового ящика не настроен для включения аудита.

Поиск отсутствующих сообщений электронной почты с помощью ключевых слов

Этот метод помогает определить записи удаления для сообщений электронной почты с определенными темами или содержимым.

Чтобы найти записи аудита, связанные с конкретными отсутствующими электронными письмами, выполните следующую команду:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText "<email subject or keyword>" -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000

Поиск комплексных действий по электронной почте

Этот более широкий поиск включает перемещения и обновления, которые могут объяснить отсутствие сообщений электронной почты.

Чтобы найти все действия, влияющие на видимость электронной почты, выполните следующую команду:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations SoftDelete,HardDelete,MoveToDeletedItems,Move,Update,Create -ResultSize 1000

Общие сведения о результатах поиска

Отсутствие результатов поиска по аудиту может предоставить важные аналитические сведения о том, что не вызвало отсутствующие сообщения электронной почты:

  • Операции удаления не найдены. Исключает удаление, инициированное пользователем в течение периода времени.
  • Нет действий политики хранения. Указывает, что автоматические политики не удалили сообщения электронной почты.
  • Нет действий по миграции. Показывает, что процессы миграции не удалили сообщения электронной почты.
  • Нет действий администратора. Подтверждает, что администраторы не выполняли массовые операции.

Примечание.

Документ, в котором поиск не возвращает результатов. Эта информация помогает сузить первопричину, устраняя потенциальные причины.

Отсутствуют результаты поиска

Если поиск по журналам аудита не находит записи об удалении отсутствующих сообщений электронной почты, выполните следующие действия.

Отсутствующие сообщения электронной почты без записей аудита удаления

Выполните следующие действия, чтобы узнать, когда сообщения электронной почты отсутствуют, но записи аудита удаления не найдены.

  1. Проверьте, включен ли аудит при удалении.

    Get-Mailbox <mailbox> | Select AuditEnabled,AuditOwner,AuditDelegate,WhenCreated

  2. Включите комплексный аудит для мониторинга в будущем.

    Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="SoftDelete","HardDelete","MoveToDeletedItems","Move","Create","Update"}

  3. Выполните поиск действий политики хранения, которые могут удалять сообщения электронной почты.

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations TaggedAsRecord,ApplyRetentionTag -ResultSize 1000

    Если эта команда не возвращает результатов, это означает, что политики хранения не удалили сообщения электронной почты автоматически в течение указанного периода времени. Эти сведения помогают исключить автоматическое удаление на основе политик в качестве причины отсутствия сообщений электронной почты.

Аудит общего почтового ящика не настроен

Чтобы включить аудит общих почтовых ящиков, если записи удаления не найдены, выполните следующие действия.

  1. Проверьте текущую конфигурацию аудита для общего почтового ящика.

    Get-Mailbox <sharedmailbox> | Select AuditEnabled,AuditOwner,AuditDelegate,AuditAdmin

  2. Включите комплексный аудит для общего почтового ящика.

    Set-Mailbox <sharedmailbox> -AuditEnabled $true -AuditOwner @{Add="SoftDelete","HardDelete","MoveToDeletedItems"} -AuditDelegate @{Add="SoftDelete","HardDelete","MoveToDeletedItems","SendAs","Move"}

  3. Поиск действий пользователей с доступом к общему почтовому ящику.

    Get-MailboxPermission <sharedmailbox> | Where {$_.User -ne "NT AUTHORITY\SELF"} | ForEach {
    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds $_.User -Operations SoftDelete,HardDelete -ResultSize 100 }

В следующих шагах показано, как исследовать сообщения электронной почты, потерянные во время миграции.

  1. Выполните поиск действий, связанных с миграцией, в течение периода миграции.

    Search-UnifiedAuditLog -StartDate <migration_start_date> -EndDate <migration_end_date> -UserIds <user1,user2> -FreeText "<migration subject or keyword>" -ResultSize 1000

Расширенные процедуры исследования

В следующих процедурах показано, как выполнить подробный анализ, если стандартный поиск не показывает причину отсутствия сообщений электронной почты.

Анализ правил почтовых ящиков, которые могут удалять сообщения электронной почты

Если вы подозреваете, что правила почтовых ящиков приводят к удалению или перемещению сообщений электронной почты в непредвиденные папки, используйте следующие процедуры исследования правил выделенных почтовых ящиков.

Совет

Подробные сведения о том, кто создал, изменил или удалил правила почтового ящика , которые могут повлиять на доставку электронной почты, см. в статье Определение того, кто изменил правила почтового ящика.

Изучение политик хранения и соответствия требованиям

Чтобы проверка, вызывают ли политики соответствия требованиям удаление электронной почты, выполните следующие команды:

  1. Проверьте политики хранения, примененные к почтовому ящику.

    Get-Mailbox <mailbox> | Select RetentionPolicy,LitigationHoldEnabled,RetainDeletedItemsFor

  2. Выполните поиск удалений, связанных с соответствием требованиям.

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations ComplianceSettingChanged,RetentionPolicyApplied -ResultSize 1000

Проверка действий администратора

Чтобы проверка, если администраторы выполняли действия, которые повлияли на сообщения электронной почты, выполните следующую команду:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations Remove-MailboxFolderPermission,Set-Mailbox,New-MailboxExportRequest,New-MailboxImportRequest -ResultSize 1000

Краткий справочник

Операции с ключами для исследования удалений

Операция Описание Вариант использования
ApplyRetentionTag Политика хранения, применяемая к элементам Автоматизированные действия политики
HardDelete Элементы, окончательно удаленные из почтового ящика Постоянные удаления, исследование второго уровня
Move Элементы, перемещаемые между папками Изучение изменений папок
MoveToDeletedItems Элементы, перемещенные в удаленные по действию пользователя Перемещения, инициированные пользователем, к удаленным элементам
SoftDelete Элементы, перемещенные в папку "Удаленные" Удаление пользователей, исследование первого уровня
TaggedAsRecord Элементы, помеченные для хранения Действия, связанные с соответствием требованиям

Параметры поиска для исследования удалений

Параметр Описание Пример
-Freetext Поиск определенных идентификаторов электронной почты <email subject or unique identifier>
-Операций Фильтрация по типам действий удаления SoftDelete,HardDelete,MoveToDeletedItems
-ResultSize Число возвращаемых результатов 1000 (стандартный), 5000 (комплексный)
-StartDate/-EndDate Определение периода времени исследования В зависимости от того, когда сообщения электронной почты пропали
-UserIds Фильтрация по тому, кто выполнил действие <user1@domain.com,user2@domain.com>

Дальнейшие действия

  • Last updated on