Durchsuchen des Überwachungsprotokolls nach Postfachaktivitäten in bestimmten Postfächern

In diesem Artikel wird erläutert, wie Sie in Microsoft Purview Audit für ein bestimmtes Postfach, einschließlich freigegebener Postfächer, nach Postfachaktivitäten suchen. Es werden häufige Untersuchungsszenarien behandelt, z. B. wenn Postfachüberwachungsprotokolle fehlen oder nicht gefunden werden können. Es enthält schritt-für-Schritt-Anweisungen zum Überprüfen der Überwachungskonfiguration, Berechtigungen, Aufbewahrungsrichtlinien und Suchmethoden.

Bevor Sie beginnen

Zum Ausführen der Schritte in diesem Artikel benötigen Sie Folgendes:

  • Die E-Mail-Adresse des betroffenen Postfachs.
  • Der Lizenztyp, der dem betroffenen Postfach zugewiesen ist.
  • Details zum gesuchten Vorgang sowie zu Datum und Uhrzeit des Vorgangs.
  • Kenntnisse darüber, wie Überwachungsprotokollsuchen in Microsoft Purview Audit ausgeführt werden.

Überprüfen der status für die Postfachüberwachung

Hinweis

Überprüfen Sie vor der Suche nach Überwachungsaktivitäten, ob die Postfachüberwachung für den betroffenen Benutzer aktiviert ist.

Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Postfachüberwachung aktiviert ist:

  1. Führen Sie in Exchange Online PowerShell den folgenden Befehl aus, um die Überwachungskonfiguration auf organization ebene zu überprüfen:

    Get-AdminAuditLogConfig | FL UnifiedAudit*

    Hinweis

    Führen Sie diesen Befehl in Exchange Online PowerShell aus. In Security & Compliance PowerShell gibt die -Eigenschaft immer zurückFalse, auch wenn die UnifiedAuditLogIngestionEnabled Überwachung aktiviert ist.

  2. Überprüfen Sie, ob Postfachüberwachungsprotokolle auf Mandantenebene deaktiviert sind:

    Get-OrganizationConfig | FL AuditDisabled

  3. Auf Postfachebene gibt immer zurückTrue, AuditEnabled auch wenn die Überwachung für ein bestimmtes Postfach deaktiviert ist. Verwenden Sie zur Überprüfung Folgendes:

    Get-Mailbox -Filter {AuditEnabled -eq "True"}

Wenn Sie eine Fehlermeldung erhalten, dass das Postfach nicht gefunden werden kann, ist die Überwachung für dieses Postfach deaktiviert. Weitere Informationen finden Sie unter Überprüfen der status für Ihre organization.

Überprüfen von Administratorberechtigungen

Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen zum Durchsuchen oder Exportieren von Überwachungsprotokollen verfügen:

  1. Wechseln Sie im Microsoft Purview-Portal zu Einstellungen>Rollen und Bereiche>Rollengruppen.
  2. Vergewissern Sie sich, dass Ihr Konto der Rolle Nur anzeigen von Überwachungsprotokollen oder Überwachungsprotokollen zugewiesen ist.
  3. Verwenden Sie im Exchange Admin Center die Rolle Überwachungsprotokolle , um die Überwachung und den Zugriff auf Überwachungs-Cmdlets zu aktivieren oder zu deaktivieren. Verwenden Sie die Rolle Nur anzeigende Überwachungsprotokolle , um schreibgeschützten Zugriff auf Überwachungsprotokolle zu gewähren.

Weitere Informationen finden Sie unter Zuweisen von Berechtigungen zum Durchsuchen des Überwachungsprotokolls.

Überprüfen der Aufbewahrungsrichtlinien für Überwachungsprotokolle

Aufbewahrungsrichtlinien für Überwachungsprotokolle bestimmen, ob ältere Aktivitäten noch verfügbar sind:

  1. Bestimmen Sie, wann die Aktivität aufgetreten ist.
  2. Standardmäßig werden Überwachungsprotokolle 180 Tage lang aufbewahrt.
  3. Wenn der betroffene Benutzer nicht über eine Überwachungslizenz (Premium) verfügt und keine Aufbewahrungsrichtlinie für Überwachung konfiguriert ist, sind Überwachungsprotokolle, die älter als 180 Tage sind, nicht verfügbar.

Weitere Informationen finden Sie unter Get-UnifiedAuditLogRetentionPolicy.

Suchen nach Postfachaktivitäten in Microsoft Purview Audit

Verwenden Sie bei der Suche nach Aktivitäten die richtigen Filter basierend auf dem Postfachtyp.

Benutzerpostfach – empfohlene Überwachungsfilter

  • Datums- und Uhrzeitbereich (UTC): Geben Sie an, wann die Aktivität aufgetreten ist. Überwachungszeitstempel werden immer in UTC angegeben.
  • Benutzer: Geben Sie das betroffene Postfach ein.
  • Aktivitäten – Vorgangsnamen: Wählen Sie den gewünschten Vorgang aus.
  • Aktivitäten – Anzeigenamen: Verwenden Sie alternativ die anzeigefähigen Aktivitätsnamen aus der Dropdownliste.

Freigegebenes Postfach – empfohlene Überwachungsfilter

  • Datums- und Uhrzeitbereich (UTC): Geben Sie an, wann die Aktivität aufgetreten ist.
  • Schlüsselwörter: Geben Sie die primäre SMTP-Adresse oder Exchange-GUID des freigegebenen Postfachs ein.

Hinweis

Geben Sie bei der Suche nach freigegebenen Postfachaktivitäten die SMTP-Adresse im Feld Schlüsselwörter und nicht im Feld Benutzer ein.

Überwachungsdetails für freigegebene Postfächer

Standardmäßig überwacht das System nicht alle Aktionen für freigegebene Postfächer. Die überwachten Aktionen hängen von der Rolle der Person ab, die auf das Postfach zugreift:

  • Besitzer: Das Konto, das dem Postfach zugeordnet ist.
  • Stellvertretung: Ein Benutzer mit SendAs-, SendOnBehalf- oder FullAccess-Berechtigungen für ein anderes Postfach. Diese Rolle kann Administratoren umfassen, denen dem Postfach eines Benutzers FullAccess zugewiesen ist.
  • Admin: Zugriff über Microsoft eDiscovery-Tools in Microsoft Purview oder Exchange Online, Verwendung des Microsoft Exchange Server MAPI-Editors oder Zugriff durch ein Konto, das die Identität eines anderen Benutzers angibt (mit der ApplicationImpersonation-Rolle).

Überprüfen Sie vor der Suche in der offiziellen Dokumentation, ob die von Ihnen untersuchte Aktion auf den jeweiligen Anmeldetyp überprüft wird. Weitere Informationen finden Sie unter Postfachaktionen für Benutzerpostfächer und freigegebene Postfächer.

Nächste Schritte

  • Last updated on