Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье объясняется, как выполнять поиск действий в Аудит Microsoft Purview для определенного почтового ящика, включая общие почтовые ящики. В ней рассматриваются распространенные сценарии исследования, например, когда отсутствуют журналы аудита почтовых ящиков или их не удается найти. В нем содержатся пошаговые инструкции по проверке конфигурации аудита, разрешений, политик хранения и методов поиска.
Подготовка к работе
Чтобы выполнить действия, описанные в этой статье, вам потребуется следующее:
- Адрес электронной почты затронутого почтового ящика.
- Тип лицензии, назначенный затронутому почтовому ящику.
- Сведения об операции, которую вы ищете, а также о дате и времени ее выполнения.
- Понимание того, как поиск по журналам аудита выполняется в Аудит Microsoft Purview.
Проверка состояния аудита почтового ящика
Примечание.
Перед поиском действий аудита убедитесь, что для затронутого пользователя включен аудит почтовых ящиков.
Выполните следующие действия, чтобы убедиться, что аудит почтовых ящиков включен.
В Exchange Online PowerShell выполните следующую команду, чтобы проверка конфигурацию аудита на уровне организации:
Get-AdminAuditLogConfig | FL UnifiedAudit*Примечание.
Выполните эту команду в Exchange Online PowerShell. В PowerShell
UnifiedAuditLogIngestionEnabledдля обеспечения соответствия требованиям безопасности & свойство всегда возвращаетFalse, даже если аудит включен.Проверьте, отключены ли журналы аудита почтовых ящиков на уровне клиента:
Get-OrganizationConfig | FL AuditDisabledНа уровне
AuditEnabledпочтового ящика всегда возвращаетTrue, даже если аудит отключен для определенного почтового ящика. Для проверки используйте:Get-Mailbox -Filter {AuditEnabled -eq "True"}
Если появляется сообщение об ошибке о том, что почтовый ящик не удается найти, аудит для этого почтового ящика отключен. Дополнительные сведения см. в разделе Проверка состояния аудита для вашей организации.
Проверка разрешений администратора
Убедитесь, что у вас есть необходимые разрешения для поиска или экспорта журналов аудита.
- На портале Microsoft Purview перейдите в раздел Параметры Роли>и области>Группы ролей.
- Убедитесь, что вашей учетной записи назначена роль "Только просмотр журналов аудита " или "Журналы аудита ".
- В Центре администрирования Exchange используйте роль Журналы аудита , чтобы включить или отключить аудит и доступ к командлетам аудита. Используйте роль Журналы аудита только для просмотра , чтобы предоставить доступ только для чтения к журналам аудита.
Дополнительные сведения см. в разделе Назначение разрешений для поиска в журнале аудита.
Проверка политик хранения журнала аудита
Политики хранения журналов аудита определяют, доступны ли старые действия:
- Определите, когда произошло действие.
- По умолчанию журналы аудита хранятся в течение 180 дней.
- Если у затронутого пользователя нет лицензии аудита (Премиум) и политика хранения аудита не настроена, журналы аудита старше 180 дней недоступны.
Дополнительные сведения см. в статье Get-UnifiedAuditLogRetentionPolicy.
Поиск действий почтовых ящиков в Аудит Microsoft Purview
При поиске действий используйте правильные фильтры в зависимости от типа почтового ящика.
Почтовый ящик пользователя — рекомендуемые фильтры аудита
- Диапазон даты и времени (UTC): укажите, когда произошло действие. Метки времени аудита всегда находятся в формате UTC.
- Пользователи. Введите затронутый почтовый ящик.
- Действия — имена операций. Выберите нужную операцию.
- Действия — понятные имена. Кроме того, используйте понятные имена действий из раскрывающегося списка.
Общий почтовый ящик — рекомендуемые фильтры аудита
- Диапазон даты и времени (UTC): укажите, когда произошло действие.
- Ключевые слова. Введите основной SMTP-адрес или GUID Exchange общего почтового ящика.
Примечание.
При поиске действий с общим почтовым ящиком введите SMTP-адрес в поле Ключевые слова , а не в поле Пользователи .
Особенности аудита общего почтового ящика
По умолчанию система не выполняет аудит всех действий для общих почтовых ящиков. Проверенные действия зависят от роли пользователя, обращаюющегося к почтовому ящику:
- Владелец: учетная запись, связанная с почтовым ящиком.
- Делегат: пользователь с разрешениями SendAs, SendOnBehalf или FullAccess для другого почтового ящика. Эта роль может включать администраторов, назначаемых полному доступу к почтовому ящику пользователя.
- Администратор: доступ через средства microsoft eDiscovery в Microsoft Purview или Exchange Online, использование редактора MAPI Microsoft Exchange Server или доступ с помощью учетной записи, олицетворяющей другого пользователя (с ролью ApplicationImpersonation).
Перед поиском проверка официальную документацию, чтобы убедиться, что исследуемое действие проверяется для конкретного типа входа. См . раздел Действия почтовых ящиков для почтовых ящиков пользователей и общих почтовых ящиков.
Дальнейшие действия
- Определите, кто удалил сообщение электронной почты или почему отсутствует сообщение электронной почты. Изучите сведения об удалении сообщений электронной почты, найденных в результатах поиска почтового ящика.
- Исследуйте действия общих почтовых ящиков с помощью журналов аудита. Дополнительные сведения о действиях общего почтового ящика, включая делегирование доступа и пересылку.
- Экспорт, настройка и просмотр записей журнала аудита. Экспортируйте результаты действий почтового ящика в CSV для автономного анализа.