Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra le proprietà e i campi visualizzati nei record di controllo di Exchange restituiti da Search-UnifiedAuditLog. Viene scritto per gli amministratori di Exchange e Microsoft 365 che analizzano l'attività delle cassette postali o compilano script per analizzare l'output di controllo. È disponibile una descrizione concisa delle proprietà primarie, un JSON AuditData rappresentativo per operazioni comuni, esempi di estrazione di PowerShell e un riferimento rapido per i valori delle proprietà comuni e gli scenari di analisi.
Usare questo riferimento per comprendere:
- Proprietà chiave nei risultati dei record di controllo
- Cosa rappresenta e contiene ogni campo
- Valori comuni delle proprietà e relativi significati
- Come estrarre informazioni di base dai dati di controllo
Informazioni di riferimento sulla struttura dei record di controllo
I record di controllo di Exchange contengono diverse proprietà chiave che forniscono diversi tipi di informazioni sull'attività verificata.
Proprietà del record di controllo primario
Quando si esegue Search-UnifiedAuditLog, ogni risultato contiene queste proprietà principali:
| Proprietà | Tipo di dati | Descrizione | Valore di esempio |
|---|---|---|---|
| AuditData | Stringa JSON | Dati JSON dettagliati sull'attività | Struttura JSON complessa |
| Creationdate | DateTime | Quando si è verificata l'attività | 17/11/2025 14:30:15 |
| Identità | GUID | Identificatore univoco per il record di controllo | 00aa00aa-bb11-cc22-dd33-44ee44eee |
| Operazioni | Stringa | Tipo di attività eseguita | SoftDelete, HardDelete, Move |
| ResultCount | Numero intero | Risultati totali disponibili | 150 |
| ResultIndex | Numero intero | Posizione nei risultati della ricerca | 1, 2, 3... |
| UserIds | Stringa | Chi ha eseguito l'attività | <user@domain.com> |
Informazioni di riferimento sulla struttura JSON auditData
La proprietà AuditData contiene informazioni dettagliate in formato JSON. Ecco alcune strutture di risposta JSON tipiche per le operazioni comuni:
- eliminazione Email (SoftDelete/HardDelete)
{
"CreationTime": "2025-11-17T14:30:15",
"Id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"Operation": "SoftDelete",
"OrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"RecordType": 2,
"ResultStatus": "Success",
"UserKey": "user@domain.com",
"UserType": 0,
"Version": 1,
"Workload": "Exchange",
"ClientIP": "192.168.1.100",
"ObjectId": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwBGAAAAAAC7...",
"UserId": "user@domain.com",
"ClientInfoString": "Client=OWA;Mozilla/5.0...",
"ExternalAccess": false,
"InternalLogonType": 0,
"MailboxGuid": "87654321-4321-4321-4321-210987654321",
"MailboxOwnerUPN": "mailboxowner@domain.com",
"LogonType": 0,
"Item": {
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwBGAAAAAAC7...",
"Subject": "Meeting Request - Q4 Planning",
"ParentFolder": {
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwAuAAAAAAC7...",
"Name": "Inbox",
"Path": "[\\Inbox](file:///\\inbox\)"
}
},
"SessionId": "11111111-2222-3333-4444-555555555555"
}
- Creazione di regole cassetta postale (New-InboxRule)
{
"CreationTime": "2025-11-17T14:45:22",
"Id": "98765432-8765-8765-8765-876543218765",
"Operation": "New-InboxRule",
"OrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"RecordType": 1,
"ResultStatus": "Success",
"UserKey": "user@domain.com",
"UserType": 0,
"Version": 1,
"Workload": "Exchange",
"ClientIP": "10.0.0.50",
"ObjectId": "InboxRule:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"UserId": "user@domain.com",
"ClientInfoString": "Client=WebServices;ExchangeWebServices",
"MailboxGuid": "87654321-4321-4321-4321-210987654321",
"MailboxOwnerUPN": "mailboxowner@domain.com",
"Parameters": \[
{
"Name": "Name",
"Value": "Move Microsoft Security Emails"
},
{
"Name": "MoveToFolder",
"Value": "[\\Inbox\\Security](file:///\\inbox\Security)"
},
{
"Name": "From",
"Value": "security-noreply@microsoft.com"
}
\],
"SessionId": "22222222-3333-4444-5555-666666666666"
}
- Accesso alle cassette postali (MailItemsAccessed)
{
"CreationTime": "2025-11-17T15:00:10",
"Id": "13579246-1357-1357-1357-135792468135",
"Operation": "MailItemsAccessed",
"OrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"RecordType": 50,
"ResultStatus": "Success",
"UserKey": "user@domain.com",
"UserType": 0,
"Version": 1,
"Workload": "Exchange",
"ClientIP": "203.0.113.45",
"UserId": "user@domain.com",
"ClientInfoString": "Client=ActiveSync;Apple-iPhone/1309.63",
"MailboxGuid": "87654321-4321-4321-4321-210987654321",
"MailboxOwnerUPN": "mailboxowner@domain.com",
"ClientAppId": "00000002-0000-0ff1-ce00-000000000000",
"Folders": \[
{
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwAuAAAAAAC7...",
"Path": "[\\Inbox](file:///\\inbox\)",
"FolderItems": \[
{
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwBGAAAAAAC7...",
"Subject": "Weekly Status Report"
}
\]
}
\],
"OperationCount": 5,
"SessionId": "33333333-4444-5555-6666-777777777777"
}
Ecco i campi chiave organizzati per categoria:
Informazioni sull'utente e sulla sessione
| Campo | Tipo di dati | Descrizione | Valore di esempio |
|---|---|---|---|
| ClientInfoString | Stringa | Informazioni sull'applicazione client | Client=OWA, Client=WebServices |
| ClientIP | Stringa | Indirizzo IP del client | 192.168.1.100 |
| SessionId | GUID | Identificatore di sessione univoco | 00aa00aa-bb11-cc22-dd33-44ee44eee |
| UserId | Stringa | Utente che ha eseguito l'azione | user@domain.com |
| UserKey | Stringa | Chiave identificatore utente | user@domain.com |
| Usertype | Stringa | Tipo di account utente | Normale, Amministrazione, sistema, applicazione |
Dettagli attività
| Campo | Tipo di dati | Descrizione | Valore di esempio |
|---|---|---|---|
| CreationTime | DateTime | Quando si è verificata l'attività (UTC) | 2025-11-17T14:30:15Z |
| Operazione | Stringa | Operazione specifica eseguita | SoftDelete, New-InboxRule, MailItemsAccessed |
| OrganizationId | GUID | Identificatore dell'organizzazione | 00aa00aa-bb11-cc22-dd33-44ee44eee |
| RecordType | Stringa | Tipo di record di controllo | ExchangeItem, ExchangeAdmin |
| Carico di lavoro | Stringa | Servizio Microsoft 365 | Exchange, SharePoint, OneDrive |
Informazioni di destinazione
| Campo | Tipo di dati | Descrizione | Valore di esempio |
|---|---|---|---|
| Item.Id | Stringa | Identificatore dell'elemento di Exchange | AAMkADM2... |
| Item.ParentFolder.Name | Stringa | Nome cartella in cui si trovava l'elemento | Posta in arrivo, Elementi inviati, Elementi eliminati |
| Item.ParentFolder.Path | Stringa | Percorso cartella completo | \Posta in arrivo, \Posta eliminata |
| Item.Subject | Stringa | Riga dell'oggetto del messaggio di posta elettronica | Convocazione riunione |
| MailboxGuid | GUID | Identificatore cassetta postale di destinazione | 00aa00aa-bb11-cc22-dd33-44ee44eee |
| MailboxOwnerUPN | Stringa | Indirizzo di posta elettronica del proprietario della cassetta postale | mailboxowner@domain.com |
Tecniche di estrazione dati di base
Convertire i dati JSON
Per estrarre informazioni dal codice AuditData JSON, usare i comandi seguenti:
\$AuditData = ConvertFrom-Json \$Results[0].AuditData
\$AuditData.UserId
\$AuditData.ClientIP
\$AuditData.MailboxOwnerUPN
Visualizzare le proprietà della chiave
Per visualizzare le proprietà principali in un formato leggibile, usare il comando seguente:
\$Results \| Select CreationDate, UserIds, Operations, @{Name="MailboxOwner";Expression={(ConvertFrom-Json \$\_.AuditData).MailboxOwnerUPN}} \| Format-Table -AutoSize
Informazioni sui valori comuni delle proprietà
Le tabelle seguenti consentono di comprendere i valori comuni presenti nelle proprietà dei record di controllo.
Tipi di operazione
| Operazione | Descrizione | Stato attivo dell'indagine |
|---|---|---|
| HardDelete | Elemento rimosso definitivamente | Eliminazioni permanenti |
| MailItemsAccessed | È stato eseguito l'accesso agli elementi della cassetta postale | Analisi dell'accesso non autorizzato |
| Move | Elemento spostato tra cartelle | Modifiche all'organizzazione delle cartelle |
| New-InboxRule | Nuova regola cassetta postale creata | Analisi della creazione di regole |
| Send | Email è stato inviato | rilevamento delle comunicazioni Email |
| Set-InboxRule | Regola cassetta postale modificata | Rilevamento della modifica delle regole |
| SoftDelete | Elemento spostato in Elementi eliminati | Eliminazioni avviate dall'utente |
Valori RecordType
| RecordType | Carico di lavoro | Operazioni tipiche |
|---|---|---|
| ExchangeAdmin | Exchange | New-InboxRule, Set-InboxRule, Set-Mailbox |
| ExchangeAggregatedOperation | Exchange | MailItemsAccessed (operazioni bulk) |
| ExchangeItem | Exchange | SoftDelete, HardDelete, Move, Send |
Valori UserType
| Usertype | Descrizione | Note di indagine |
|---|---|---|
| Amministratore | Account amministratore | Azioni amministrative |
| Applicazione | Entità servizio applicazione | Accesso basato su app |
| Regolare | Standard account utente | Attività utente normale |
| Sistema | Account di sistema o di servizio | Processi automatizzati |
Esempi di ClientInfoString
| ClientInfoString | Descrizione | Metodo di accesso |
|---|---|---|
| Client=ActiveSync | Exchange ActiveSync | Sincronizzazione dei dispositivi mobili |
| Client=IMAP4 | Protocollo IMAP | Accesso client IMAP |
| Client=OWA | Outlook Web App | Accesso al Web browser |
| Client=POP3 | Protocollo POP3 | Accesso client POP3 |
| Client=WebServices | Servizi Web Exchange (EWS) | Accesso a livello di codice |
Riferimento rapido
Proprietà essenziali per le indagini
| Tipo di indagine | Proprietà chiave su cui concentrarsi |
|---|---|
| Operazioni bulk | SessionId, ItemCount, ClientIP, UserIds, Operations |
| eliminazioni Email | CreationDate, UserIds, Operations, Item.Subject, Item.ParentFolder.Name |
| Modifiche alle regole | UserIds, Operations, Parameters, ClientIP, MailboxOwnerUPN |
| Accessi | UserIds, ClientIP, ClientInfoString, MailboxOwnerUPN, SessionId |
Tecniche di PowerShell utili
| Tecnica | Esempio di comando | Finalità |
|---|---|---|
| Convertire JSON | ConvertFrom-Json \$\_.AuditData |
Estrarre informazioni dettagliate sul controllo |
| Filtrare i dati | Where-Object {\$\_.ClientIP -like "192.168.\*"} |
Concentrarsi su criteri specifici |
| Formato output | Format-Table -Wrap -AutoSize |
Visualizzare chiaramente i risultati |
| Risultati del gruppo | Group-Object ClientIP |
Identificare modelli e anomalie |
| Seleziona proprietà | Selezionare CreationDate, UserIds, Operations | Mostra solo informazioni rilevanti |
Passaggi successivi
- Cercare le attività delle cassette postali nel log di controllo in cassette postali specifiche: applicare la conoscenza delle proprietà di controllo di Exchange per cercare attività specifiche delle cassette postali.
- Usare uno script di PowerShell per eseguire ricerche nel log di controllo: usare le tecniche di PowerShell di questo articolo nelle ricerche automatizzate nei log di controllo.
- Usare MailItemsAccessed per analizzare gli account compromessi: esaminare i modelli di accesso alle cassette postali di Exchange usando l'azione di controllo MailItemsAccessed.