在 Exchange Online 中搜索角色组更改或管理员审核日志
注意
经典 Exchange 管理中心正在全球部署中弃用。 建议在Microsoft Purview 合规门户中搜索审核日志。 有关详细信息,请参阅 在 WW 服务中弃用经典 Exchange 管理中心 和 在合规性门户中搜索审核日志。
在没有Exchange Online邮箱的Exchange Online组织或独立Exchange Online Protection (EOP) 组织中,可以使用以下选项搜索管理员审核日志,以发现谁对组织和收件人配置进行了更改:
- 在 Exchange 管理中心 (EAC) 运行管理员角色组报表。
- 使用 PowerShell 搜索管理员审核日志条目并将结果发送给收件人。
当你尝试跟踪意外行为的原因、识别恶意管理员或验证符合性要求时,这些选项非常有用。 本文介绍了这两个选项。
提示
还可以使用 EAC 查看管理员审核日志中的条目。 有关详细信息,请参阅 查看管理员审核日志。
开始前,有必要了解什么?
估计完成每个步骤时间:少于 5 分钟
你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 Exchange Online 中的功能权限主题中的“仅查看管理员审核日志记录”条目。
若要 (EAC) 打开 Exchange 管理中心,请参阅 Exchange Online 中的 Exchange 管理中心。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。 若要连接到独立Exchange Online Protection PowerShell,请参阅连接到Exchange Online Protection PowerShell。
有关可能适用于本主题中的过程的键盘快捷方式的信息,请参阅 Exchange 管理中心的键盘快捷方式。
提示
是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange Online 或 Exchange Online Protection 的论坛。
使用 EAC 运行管理员角色组报告
使用管理员角色组报表可以查看对管理角色所做的成员身份更改。
在 EAC 中,转到 “合规性管理>审核”,然后选择 “运行管理员角色组报告”。
在打开 的“搜索对管理员角色组所做的更改 ”页中,配置以下设置:
开始日期 和 结束日期:输入日期范围。 默认情况下,报告将搜索在过去两周内对管理员角色组所做的更改。
选择角色组:默认情况下,将搜索所有角色组。 若要按特定角色组筛选结果,请单击“ 选择角色组”。 在显示的对话框中,选择一个角色组,然后单击“ 添加”->。 根据需要多次重复此步骤,完成后单击“ 确定 ”。
完成后,单击“搜索”。
如果使用指定的条件找到任何更改,它们将显示在结果窗格中。 单击搜索结果中的角色组可在详细信息窗格中查看更改。
监视角色组成员身份的更改
向某个角色组添加成员或删除其中的成员时,在详细信息窗格中显示的搜索结果将会指示角色组成员身份已进行更新,并列出当前的成员。 但搜索结果并不会明确地指出已添加或已删除的用户。
若要确定是否添加或删除了某个用户,则必须对报告中的两个不同条目进行比较。 例如,我们来看看 HelpDesk 角色组的以下日志条目:
2021/1/27 下午 4:43
管理员
Updated members: Administrator;annb,florencef;pilarp
2018/2/06 上午 10:09
管理员
Updated members: Administrator;annb;florencef;pilarp;tonip
2021/2/19 下午 2:12
管理员
Updated members: Administrator;annb;florencef;tonip
在本示例中,Administrator 用户帐户做出了以下更改:
- 在 2021 年 2 月 6 日,他们添加了用户 tonip。
- 在 2021 年 2 月 19 日,他们删除了用户 pilarp。
使用 EAC 导出管理员审核日志
注意
在独立 EOP 中,无法从 EAC 导出管理员审核日志。 但是,可以使用 PowerShell 搜索审核日志条目并将结果发送给收件人
如果要使用以前称为 Outlook Web App) 的 Outlook 网页版 (来查看导出的条目,则需要在 Outlook 网页版 中启用.xml附件。 有关详细信息,请参阅配置Outlook 网页版以允许 XML 附件。
导出管理员审核日志会将信息写入 XML 文件,并将其作为电子邮件中的附件发送给你。 该 XML 文件的最大大小为 10 兆字节 (MB)。
- 在 EAC 中,选择“ 合规性管理>审核”,然后单击“ 导出管理员审核日志”。
- Select a date range using the Start date and End date fields.
- In the Send the auditing report to field, click Select users and then select the recipient you want to send the report to.
- 单击“导出”。
如果使用指定的条件找到了所有日志条目,将创建一个 XML 文件,并将其以电子邮件附件的形式发送给指定的收件人。
使用 PowerShell 搜索审核日志条目
可以使用Exchange Online PowerShell 或独立Exchange Online Protection PowerShell 搜索符合指定条件的审核日志条目。 有关搜索条件的列表,请参阅 Search-AdminAuditLog cmdlet。 此过程使用 Search-AdminAuditLog cmdlet 并在 PowerShell 中显示搜索结果。 如果需要返回超出 New-AdminAuditLogSearch cmdlet 或 EAC 审核报告中定义的限制的一组结果,则可以使用此 cmdlet。
若要搜索满足指定条件的审核日志,请使用以下语法。
Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >
注意
默认情况下, Search-AdminAuditLog cmdlet 最多可返回 1,000 个日志条目。 使用 ResultSize 参数可指定最多 250,000 个日志条目。 或者,使用 值 Unlimited 返回所有条目。
本示例将使用以下条件执行对所有审核日志条目的搜索:
- 开始日期:2020/08/04
- 结束日期:2020/10/03
- 用户 ID:
davids、chrisd、kima - Cmdlet: Set-Mailbox
- 参数: ProhibitSendQuota、 ProhibitSendReceiveQuota、 IssueWarningQuota、 MaxSendSize、 MaxReceiveSize
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima
本示例将搜索对特定邮箱所做的更改。 此操作在进行故障排除或需要为调查提供信息时很有用。 使用以下条件:
- 开始日期:2020/05/01
- 结束日期:2020/10/03
- 对象 ID:contoso.com/Users/DavidS
Search-AdminAuditLog -StartDate 05/01/2020 -EndDate 10/03/2020 -ObjectID contoso.com/Users/DavidS
如果搜索返回许多日志条目,我们建议你使用本文后面的 使用 PowerShell 搜索审核日志条目并将结果发送给收件人 中提供的过程。 该部分提供的过程将 XML 文件以电子邮件附件的形式发送给指定的收件人,从而使您更易于提取您感兴趣的数据。
有关详细的语法和参数信息,请参阅 Search-AdminAuditLog。
查看审核日志条目的详细信息
Search-AdminAuditLog cmdlet 返回审核日志内容中所述的字段。 在此 cmdlet 返回的字段中, CmdletParameters 和 ModifiedProperties 两个字段包含默认情况下不可见的附加信息。
若要查看 CmdletParameters 和 ModifiedProperties 字段的内容,请执行以下步骤。 或者,可以使用本文后面的 使用 PowerShell 搜索审核日志条目并将结果发送给收件人 中的过程来创建 XML 文件。
此过程将使用以下概念:
确定搜索时要使用的条件,然后运行 Search-AdminAuditLog cmdlet,并使用以下命令将结果存储在一个变量中。
$Results = Search-AdminAuditLog <search criteria>每个审核日志条目都存储为变量
$Results中的数组元素。 可以通过指定其数组元素索引来选择数组元素。 数组元素索引以零 (0) 开始,即第一个数组元素的索引为 0。 例如,如果要检索第 5 个数组元素,其索引为 4,则应使用以下命令进行检索。$Results[4]上述命令将返回数组元素 4 中存储的日志条目。 若要查看此日志条目的 CmdletParameters 和 ModifiedProperties 字段的内容,请使用以下命令。
$Results[4].CmdletParameters $Results[4].ModifiedProperties若要查看其他日志条目的 CmdletParameters 或 ModifiedParameters 字段的内容,请更改数组元素索引。
使用 PowerShell 搜索审核日志条目并将结果发送给收件人
注意
New-AdminAuditLogSearch cmdlet 生成的报告最大大小为 10 MB。 如果搜索返回大于 10 MB 的报表,请更改指定的搜索条件。 例如,缩小日期范围并运行多个报表以涵盖原始日期范围。
如果要使用以前称为 Outlook Web App) 的 Outlook 网页版 (来查看导出的条目,则需要在 Outlook 网页版 中启用.xml附件。 有关详细信息,请参阅配置Outlook 网页版以允许 XML 附件。
可以使用Exchange Online PowerShell 或独立Exchange Online Protection PowerShell 搜索符合指定条件的审核日志条目,然后将这些结果发送给指定为 XML 文件附件的收件人。 这些结果将在 15 分钟内发送给收件人。 有关搜索条件的列表,请参阅 Search-AdminAuditLog cmdlet criteria。
若要搜索满足指定条件的审核日志,请使用以下语法。
New-AdminAuditLogSearch -Cmdlets <cmdlet1, cmdlet2, ...> -Parameters <parameter1, parameter2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$true | $false > -StatusMailRecipients <recipient1, recipient2, ...> -Name <string to include in subject>
本示例将使用以下条件执行对所有审核日志条目的搜索:
- 开始日期:2020/08/04
- 结束日期:2020/10/03
- 用户 ID davids、chrisd、kima
- Cmdlet: Set-Mailbox
- 参数: ProhibitSendQuota、 ProhibitSendReceiveQuota、 IssueWarningQuota、 MaxSendSize、 MaxReceiveSize
命令将结果发送到 davids@contoso.com 邮件的主题行中包含“邮箱限制更改”的 SMTP 地址。
New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"
有关 XML 文件格式的详细信息,请参阅 管理员审核日志结构。
有关详细的语法和参数信息,请参阅 New-AdminAuditLogSearch。