この記事では、 Search-UnifiedAuditLog によって返される Exchange 監査レコードに表示されるプロパティとフィールドについて説明します。 これは、メールボックスアクティビティを調査したり、監査出力を解析するためのスクリプトを作成したりする Exchange および Microsoft 365 管理者向けに作成されています。 主要なプロパティの簡潔な説明、一般的な操作の代表的な AuditData JSON、PowerShell 抽出の例、および一般的なプロパティ値と調査シナリオのクイック リファレンスがあります。
このリファレンスを使用して、次の内容を理解します。
- 監査レコードの結果の主要なプロパティ
- 各フィールドが表す内容と含まれる内容
- 一般的なプロパティ値とその意味
- 監査データから基本情報を抽出する方法
監査レコード構造リファレンス
Exchange 監査レコードには、監査されたアクティビティに関するさまざまな種類の情報を提供するいくつかのキー プロパティが含まれています。
プライマリ監査レコードのプロパティ
Search-UnifiedAuditLog を実行すると、各結果に次の主なプロパティが含まれます。
| プロパティ | データ型 | 説明 | 値の例 |
|---|---|---|---|
| AuditData | JSON 文字列 | アクティビティに関する詳細な JSON データ | 複雑な JSON 構造体 |
| CreationDate | DateTime | アクティビティが発生した場合 | 2025/11/17 午後 2:30:15 |
| ID | GUID | 監査レコードの一意識別子 | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| 運用 | 文字列 | 発生したアクティビティの種類 | SoftDelete、HardDelete、Move |
| ResultCount | 整数 | 使用可能な結果の合計 | 150 |
| ResultIndex | 整数 | 検索結果の位置 | 1, 2, 3... |
| UserIds | 文字列 | アクティビティを実行したユーザー | <user@domain.com> |
AuditData JSON 構造体リファレンス
AuditData プロパティには、JSON 形式の詳細情報が含まれています。 一般的な操作の一般的な JSON 応答構造を次に示します。
- Email削除 (SoftDelete/HardDelete)
{
"CreationTime": "2025-11-17T14:30:15",
"Id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"Operation": "SoftDelete",
"OrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"RecordType": 2,
"ResultStatus": "Success",
"UserKey": "user@domain.com",
"UserType": 0,
"Version": 1,
"Workload": "Exchange",
"ClientIP": "192.168.1.100",
"ObjectId": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwBGAAAAAAC7...",
"UserId": "user@domain.com",
"ClientInfoString": "Client=OWA;Mozilla/5.0...",
"ExternalAccess": false,
"InternalLogonType": 0,
"MailboxGuid": "87654321-4321-4321-4321-210987654321",
"MailboxOwnerUPN": "mailboxowner@domain.com",
"LogonType": 0,
"Item": {
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwBGAAAAAAC7...",
"Subject": "Meeting Request - Q4 Planning",
"ParentFolder": {
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwAuAAAAAAC7...",
"Name": "Inbox",
"Path": "[\\Inbox](file:///\\inbox\)"
}
},
"SessionId": "11111111-2222-3333-4444-555555555555"
}
- メールボックス ルールの作成 (New-InboxRule)
{
"CreationTime": "2025-11-17T14:45:22",
"Id": "98765432-8765-8765-8765-876543218765",
"Operation": "New-InboxRule",
"OrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"RecordType": 1,
"ResultStatus": "Success",
"UserKey": "user@domain.com",
"UserType": 0,
"Version": 1,
"Workload": "Exchange",
"ClientIP": "10.0.0.50",
"ObjectId": "InboxRule:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"UserId": "user@domain.com",
"ClientInfoString": "Client=WebServices;ExchangeWebServices",
"MailboxGuid": "87654321-4321-4321-4321-210987654321",
"MailboxOwnerUPN": "mailboxowner@domain.com",
"Parameters": \[
{
"Name": "Name",
"Value": "Move Microsoft Security Emails"
},
{
"Name": "MoveToFolder",
"Value": "[\\Inbox\\Security](file:///\\inbox\Security)"
},
{
"Name": "From",
"Value": "security-noreply@microsoft.com"
}
\],
"SessionId": "22222222-3333-4444-5555-666666666666"
}
- メールボックス アクセス (MailItemsAccessed)
{
"CreationTime": "2025-11-17T15:00:10",
"Id": "13579246-1357-1357-1357-135792468135",
"Operation": "MailItemsAccessed",
"OrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"RecordType": 50,
"ResultStatus": "Success",
"UserKey": "user@domain.com",
"UserType": 0,
"Version": 1,
"Workload": "Exchange",
"ClientIP": "203.0.113.45",
"UserId": "user@domain.com",
"ClientInfoString": "Client=ActiveSync;Apple-iPhone/1309.63",
"MailboxGuid": "87654321-4321-4321-4321-210987654321",
"MailboxOwnerUPN": "mailboxowner@domain.com",
"ClientAppId": "00000002-0000-0ff1-ce00-000000000000",
"Folders": \[
{
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwAuAAAAAAC7...",
"Path": "[\\Inbox](file:///\\inbox\)",
"FolderItems": \[
{
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwBGAAAAAAC7...",
"Subject": "Weekly Status Report"
}
\]
}
\],
"OperationCount": 5,
"SessionId": "33333333-4444-5555-6666-777777777777"
}
カテゴリ別に整理された主なフィールドを次に示します。
ユーザーとセッションの情報
| フィールド | データ型 | 説明 | 値の例 |
|---|---|---|---|
| ClientInfoString | 文字列 | クライアント アプリケーション情報 | Client=OWA、Client=WebServices |
| ClientIP | 文字列 | クライアントの IP アドレス | 192.168.1.100 |
| SessionId | GUID | 一意のセッション識別子 | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| UserId | 文字列 | アクションを実行したユーザー | user@domain.com |
| UserKey | 文字列 | ユーザー識別子キー | user@domain.com |
| UserType | 文字列 | ユーザー アカウントの種類 | 標準、管理、システム、アプリケーション |
アクティビティの詳細
| フィールド | データ型 | 説明 | 値の例 |
|---|---|---|---|
| CreationTime | DateTime | アクティビティが発生した場合 (UTC) | 2025-11-17T14:30:15Z |
| 操作 | 文字列 | 実行された特定の操作 | SoftDelete、New-InboxRule、MailItemsAccessed |
| OrganizationId | GUID | 組織識別子 | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| RecordType | 文字列 | 監査レコードの種類 | ExchangeItem、ExchangeAdmin |
| Workload | 文字列 | Microsoft 365 サービス | Exchange、SharePoint、OneDrive |
ターゲット情報
| フィールド | データ型 | 説明 | 値の例 |
|---|---|---|---|
| Item.Id | 文字列 | Exchange アイテム識別子 | AAMkADM2... |
| Item.ParentFolder.Name | 文字列 | アイテムが配置されたフォルダー名 | 受信トレイ、送信済みアイテム、削除済みアイテム |
| Item.ParentFolder.Path | 文字列 | 完全なフォルダー パス | \Inbox, \Deleted Items |
| Item.Subject | 文字列 | メールの件名 | 会議出席依頼 |
| MailboxGuid | GUID | ターゲット メールボックス識別子 | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| MailboxOwnerUPN | 文字列 | メールボックス所有者のメール アドレス | mailboxowner@domain.com |
基本的なデータ抽出手法
JSON データの変換
AuditData JSON から情報を抽出するには、次のコマンドを使用します。
\$AuditData = ConvertFrom-Json \$Results[0].AuditData
\$AuditData.UserId
\$AuditData.ClientIP
\$AuditData.MailboxOwnerUPN
キー プロパティを表示する
読み取り可能な形式でメイン プロパティを表示するには、次のコマンドを使用します。
\$Results \| Select CreationDate, UserIds, Operations, @{Name="MailboxOwner";Expression={(ConvertFrom-Json \$\_.AuditData).MailboxOwnerUPN}} \| Format-Table -AutoSize
一般的なプロパティ値について
次の表は、監査レコードのプロパティにある一般的な値を理解するのに役立ちます。
操作の種類
| 操作 | 説明 | 調査の焦点 |
|---|---|---|
| HardDelete | 完全に削除された項目 | 完全削除 |
| MailItemsAccessed | メールボックスアイテムにアクセスしました | 不正アクセス調査 |
| Move | フォルダー間で移動されたアイテム | フォルダー organizationの変更 |
| New-InboxRule | 新しいメールボックス ルールが作成されました | ルール作成の調査 |
| Send | 送信されたEmail | Email通信追跡 |
| Set-InboxRule | メールボックスルールの変更 | ルール変更の追跡 |
| SoftDelete | 削除済みアイテムに移動されたアイテム | ユーザーが開始した削除 |
RecordType 値
| RecordType | Workload | 一般的な操作 |
|---|---|---|
| ExchangeAdmin | Exchange | New-InboxRule、Set-InboxRule、Set-Mailbox |
| ExchangeAggregatedOperation | Exchange | MailItemsAccessed (一括操作) |
| ExchangeItem | Exchange | SoftDelete、HardDelete、Move、Send |
UserType 値
| UserType | 説明 | 調査に関するメモ |
|---|---|---|
| 管理者 | 管理者アカウント | 管理アクション |
| アプリケーション | アプリケーション サービス プリンシパル | アプリベースのアクセス |
| Regular | ユーザー アカウントのStandard | 通常のユーザー アクティビティ |
| System | システムまたはサービス アカウント | 自動化されたプロセス |
ClientInfoString の例
| ClientInfoString | 説明 | Access メソッド |
|---|---|---|
| Client=ActiveSync | Exchange ActiveSync | モバイル デバイス同期 |
| Client=IMAP4 | IMAP プロトコル | IMAP クライアント アクセス |
| Client=OWA | Outlook Web App | Web ブラウザー アクセス |
| Client=POP3 | POP3 プロトコル | POP3 クライアント アクセス |
| Client=WebServices | Exchange Web サービス (EWS) | プログラムによるアクセス |
クイック リファレンス
調査に不可欠なプロパティ
| 調査の種類 | 重点を置く主なプロパティ |
|---|---|
| 一括操作 | SessionId、ItemCount、ClientIP、UserIds、Operations |
| Email削除 | CreationDate、UserIds、Operations、Item.Subject、Item.ParentFolder.Name |
| ルールの変更 | UserIds、Operations、Parameters、ClientIP、MailboxOwnerUPN |
| 不正アクセス | UserIds、ClientIP、ClientInfoString、MailboxOwnerUPN、SessionId |
便利な PowerShell 手法
| 手法 | コマンドの例 | 用途 |
|---|---|---|
| JSON の変換 | ConvertFrom-Json \$\_.AuditData |
詳細な監査情報を抽出する |
| フィルターのデータ | Where-Object {\$\_.ClientIP -like "192.168.\*"} |
特定の条件に焦点を当てる |
| 出力の書式設定 | Format-Table -Wrap -AutoSize |
結果を明確に表示する |
| グループ化の結果 | Group-Object ClientIP |
パターンと異常を特定する |
| [プロパティ] を選択 | CreationDate、UserIds、Operations の選択 | 関連情報のみを表示する |
次の手順
- 特定のメールボックス内のメールボックス アクティビティの監査ログを検索する: Exchange 監査プロパティに関する知識を適用して、特定のメールボックス アクティビティを検索します。
- PowerShell スクリプトを使用して監査ログを検索する: 自動監査ログ検索では、この記事の PowerShell 手法を使用します。
- MailItemsAccessed を使用して侵害されたアカウントを調査する: MailItemsAccessed 監査アクションを使用して Exchange メールボックスアクセス パターンを調査します。