Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie diesen Artikel, um fehlende E-Mail-Nachrichten in Exchange Online zu untersuchen und zu ermitteln, wer sie gelöscht hat. Es führt Administratoren durch die Verwendung des Microsoft Purview-Überwachungsprotokolls und Exchange Online PowerShell, um Löschereignisse zu finden, Postfachkonfigurationen zu analysieren, Aufbewahrungs- und Migrationsaktivitäten zu überprüfen und zu bestimmen, ob Postfachregeln oder der Zugriff auf freigegebene Postfächer den Verlust verursacht haben.
Verwenden Sie diese Methoden, um Folgendes zu untersuchen:
- Von Benutzern oder Administratoren gelöschte E-Mails
- Fehlende E-Mails nach Migrations- oder Synchronisierungsproblemen
- Entfernte E-Mails durch Postfachregeln oder Aufbewahrungsrichtlinien
- Gelöschte E-Mails aus freigegebenen Postfächern
- E-Mails, die nicht in erwarteten Ordnern angezeigt werden
Bevor Sie beginnen
Um gelöschte E-Mails und fehlende Nachrichten zu untersuchen, benötigen Sie Folgendes:
- Die in Microsoft Purview zugewiesene Rolle "Überwachungsprotokolle "
- So stellen Sie eine Verbindung mit Exchange Online PowerShell mithilfe von Connect-ExchangeOnline her
So identifizieren Sie gelöschte E-Mails
Verwenden Sie die folgenden Methoden, um fehlende E-Mails zu untersuchen und Löschaktivitäten zu identifizieren. Wählen Sie die Methode basierend auf dem Löschtyp aus, den Sie untersuchen.
Suchen nach gelöschten E-Mails nach Vorgangstyp
Verwenden Sie diese Methode, um nach den folgenden Vorgängen zu suchen:
- SoftDelete: Elemente, die in den Ordner "Gelöschte Elemente" verschoben wurden.
- HardDelete: Elemente, die dauerhaft aus dem Postfach entfernt wurden.
- MoveToDeletedItems: Elemente, die von einer Benutzeraktion in den Ordner "Gelöschte Elemente" verschoben wurden.
Führen Sie den folgenden Befehl aus, um nach Überwachungsdatensätzen von E-Mail-Löschungen mithilfe bestimmter Löschvorgänge zu suchen:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
Ersetzen Sie durch <user1,user2> Benutzer-E-Mail-Adressen. Geben Sie mehrere Benutzer an, indem Sie Benutzernamen durch Kommas trennen.
Suchen nach Löschungen freigegebener Postfächer
Führen Sie den folgenden Befehl aus, um Löschvorgänge aus freigegebenen Postfächern zu untersuchen:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <sharedmailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
Hinweis
Die Überwachung freigegebener Postfächer ist möglicherweise nicht standardmäßig aktiviert. Wenn diese Suche keine Ergebnisse zurückgibt, finden Sie weitere Informationen unter Freigegebene Postfachüberwachung nicht konfiguriert, um die Überwachung zu aktivieren.
Suchen nach fehlenden E-Mails mithilfe von Schlüsselwörtern
Diese Methode hilft beim Identifizieren von Löschdatensätzen für E-Mails mit bestimmten Themen oder Inhalten.
Führen Sie den folgenden Befehl aus, um nach Überwachungsdatensätzen im Zusammenhang mit bestimmten fehlenden E-Mails zu suchen:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText "<email subject or keyword>" -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
Suchen nach umfassenden E-Mail-Aktivitäten
Diese umfassendere Suche umfasst Verschiebungen und Updates, die möglicherweise fehlende E-Mails erklären.
Führen Sie den folgenden Befehl aus, um nach allen Aktivitäten zu suchen, die sich auf die Sichtbarkeit von E-Mails auswirken:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations SoftDelete,HardDelete,MoveToDeletedItems,Move,Update,Create -ResultSize 1000
Grundlegendes zu Suchergebnissen
Das Abrufen von Ergebnissen von Überwachungssuchen kann wichtige Erkenntnisse darüber liefern, was die fehlenden E-Mails nicht verursacht hat:
- Löschvorgänge nicht gefunden: Löschvorgänge, die während des Zeitraums vom Benutzer initiiert wurden, werden ausgeschlossen.
- Keine Aufbewahrungsrichtlinienaktionen: Gibt an, dass automatisierte Richtlinien die E-Mails nicht gelöscht haben.
- Keine Migrationsaktivitäten: Zeigt, dass migrationsprozesse die E-Mails nicht entfernt haben.
- Keine Administratoraktionen: Bestätigt, dass Administratoren keine Massenvorgänge ausgeführt haben.
Hinweis
Das Dokument, das durchsucht, gibt keine Ergebnisse zurück. Diese Informationen helfen, die Grundursache einzugrenzen, indem mögliche Ursachen beseitigt werden.
Fehlende Suchergebnisse
Wenn ihre Überwachungsprotokollsuchen keine Löschdatensätze für fehlende E-Mails finden, führen Sie die folgenden Schritte aus.
Fehlende E-Mails ohne Löschdatensätze
Führen Sie die folgenden Schritte aus, um zu untersuchen, ob E-Mails fehlen, aber keine Löschüberwachungsdatensätze gefunden werden.
Überprüfen Sie, ob die Überwachung beim Löschvorgang aktiviert war.
Get-Mailbox <mailbox> | Select AuditEnabled,AuditOwner,AuditDelegate,WhenCreatedAktivieren Sie eine umfassende Überwachung für die zukünftige Überwachung.
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="SoftDelete","HardDelete","MoveToDeletedItems","Move","Create","Update"}Suchen Sie nach Aufbewahrungsrichtlinienaktionen, die E-Mails möglicherweise entfernen.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations TaggedAsRecord,ApplyRetentionTag -ResultSize 1000Wenn dieser Befehl keine Ergebnisse zurückgibt, weist dies darauf hin, dass Aufbewahrungsrichtlinien E-Mails während des angegebenen Zeitraums nicht automatisch gelöscht haben. Diese Informationen helfen Ihnen, automatisierte richtlinienbasierte Löschungen als Ursache für fehlende E-Mails auszuschließen.
Überwachung freigegebener Postfächer nicht konfiguriert
Führen Sie die folgenden Schritte aus, um die Überwachung für freigegebene Postfächer zu aktivieren, wenn Löschdatensätze nicht gefunden werden.
Überprüfen Sie die aktuelle Überwachungskonfiguration für das freigegebene Postfach.
Get-Mailbox <sharedmailbox> | Select AuditEnabled,AuditOwner,AuditDelegate,AuditAdminAktivieren Sie eine umfassende Überwachung für das freigegebene Postfach.
Set-Mailbox <sharedmailbox> -AuditEnabled $true -AuditOwner @{Add="SoftDelete","HardDelete","MoveToDeletedItems"} -AuditDelegate @{Add="SoftDelete","HardDelete","MoveToDeletedItems","SendAs","Move"}Suchen sie nach Aktivitäten von Benutzern mit freigegebenem Postfachzugriff.
Get-MailboxPermission <sharedmailbox> | Where {$_.User -ne "NT AUTHORITY\SELF"} | ForEach { Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds $_.User -Operations SoftDelete,HardDelete -ResultSize 100 }
Untersuchung des E-Mail-Verlusts im Zusammenhang mit der Migration
Die folgenden Schritte zeigen, wie Sie E-Mails untersuchen, die während der Migration verloren gehen.
Suchen Sie während des Migrationszeitrahmens nach migrationsbezogenen Aktivitäten.
Search-UnifiedAuditLog -StartDate <migration_start_date> -EndDate <migration_end_date> -UserIds <user1,user2> -FreeText "<migration subject or keyword>" -ResultSize 1000
Erweiterte Untersuchungsverfahren
Die folgenden Verfahren zeigen, wie Sie eine detaillierte Analyse durchführen, wenn Standardsuchen die Ursache für fehlende E-Mails nicht aufdecken.
Analysieren von Postfachregeln, die E-Mails löschen können
Wenn Sie vermuten, dass Postfachregeln dazu führen, dass E-Mails gelöscht oder in unerwartete Ordner verschoben werden, verwenden Sie die folgenden Untersuchungsverfahren für dedizierte Postfachregeln.
Tipp
Eine umfassende Untersuchung von Postfachregeln finden Sie unter Ermitteln, wer Postfachregeln geändert hat . Eine ausführliche Anleitung zum Identifizieren von Postfachregeln, die sich auf die Zustellung von E-Mails auswirken können, finden Sie unter Ermitteln, wer Postfachregeln erstellt, geändert oder gelöscht hat.
Untersuchen von Aufbewahrungs- und Konformitätsrichtlinien
Führen Sie die folgenden Befehle aus, um zu überprüfen, ob Konformitätsrichtlinien das Löschen von E-Mails verursachen:
Überprüfen Sie aufbewahrungsrichtlinien, die auf das Postfach angewendet werden.
Get-Mailbox <mailbox> | Select RetentionPolicy,LitigationHoldEnabled,RetainDeletedItemsForSuchen Sie nach Compliance-bezogenen Löschungen.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations ComplianceSettingChanged,RetentionPolicyApplied -ResultSize 1000
Überprüfen auf Administratoraktionen
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob Administratoren Aktionen ausgeführt haben, die sich auf E-Mails auswirken:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations Remove-MailboxFolderPermission,Set-Mailbox,New-MailboxExportRequest,New-MailboxImportRequest -ResultSize 1000
Kurzübersicht
Wichtige Vorgänge zum Untersuchen von Löschungen
| Vorgang | Beschreibung | Anwendungsfall |
|---|---|---|
| ApplyRetentionTag | Auf Elemente angewendete Aufbewahrungsrichtlinie | Automatisierte Richtlinienaktionen |
| HardDelete | Elemente, die dauerhaft aus dem Postfach entfernt wurden | Dauerhafte Löschungen, Untersuchung auf zweiter Ebene |
| Move | Zwischen Ordnern verschobene Elemente | Untersuchen von Ordneränderungen |
| MoveToDeletedItems | Elemente, die nach Benutzeraktion in Gelöschte Elemente verschoben wurden | Vom Benutzer initiierte Verschiebungen zu gelöschten Elementen |
| SoftDelete | Elemente, die in den Ordner "Gelöschte Elemente" verschoben wurden | Benutzerlöschungen, Untersuchung auf erster Ebene |
| TaggedAsRecord | Elemente, die für die Aufbewahrung markiert sind | Compliancebezogene Aktionen |
Suchparameter zum Untersuchen von Löschungen
| Parameter | Beschreibung | Beispiel |
|---|---|---|
| -Freetext | Suchen nach bestimmten E-Mail-Bezeichnern | <email subject or unique identifier> |
| -Operationen | Filtern nach Löschaktivitätstypen | SoftDelete,HardDelete,MoveToDeletedItems |
| -ResultSize | Anzahl der zurückzugebenden Ergebnisse | 1.000 (Standard), 5.000 (umfassend) |
| -StartDate/-EndDate | Definieren des Untersuchungszeitrahmens | Basierend auf dem Zeitpunkt, an dem E-Mails verloren gegangen sind |
| -UserIds | Filtern nach dem Benutzer, der die Aktion ausgeführt hat | <user1@domain.com,user2@domain.com> |
Nächste Schritte
- Verwenden von MailItemsAccessed zum Untersuchen von kompromittierten Konten: Untersuchen Sie, ob Löschvorgänge Teil einer umfassenderen Kontokompromittierung sind.
- Identifizieren, wer Postfachregeln geändert hat: Überprüfen Sie, ob Postfachregeln nachrichten automatisch löschen oder weiterleiten.
- Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokolldatensätzen: Exportieren Sie Ihre Untersuchungsergebnisse zur Berichterstellung oder Beweissicherung.