易寶典——玩轉O365中的EXO服務 之四十七 怎樣獲取郵箱審覈日誌

原創 liulike 2019-03-07 13:31


企業中已經爲Office 365中Exchange Online啓用了審覈日誌,並且配置好了需要審覈的操作。當在正常的運行過程中,默認情況下郵箱的審覈日誌將保留90天。現在只要是符合審覈條件的操作,都將被記錄的日誌中。比如有管理員訪問的用戶的郵箱操作、有委派用戶刪除了用戶郵箱中的郵件等。每一條日誌中都會包含:訪問的時間、訪問的用戶、執行的操作、該操作是否執行成功等信息。

通過使用Exchange管理中心(EAC)可以獲取郵箱審覈日誌的內容。但是,由於Exchange Online的郵箱審覈日誌是通過XML格式提供的,並且是作爲附件形式發送到指定接收郵箱的。默認情況下,Exchange Online的Outlook Web App(OWA)是不支持XML附件的,因此,如果使用OWA作爲客戶端則需要額外配置啓用允許XML附件。

一、配置OWA允許XML附件

默認情況下,Exchange Online的OWA只允許如下擴展名的郵件附件:

clip_image002

而明確標記爲阻止的擴展名有:

clip_image004

1、如何瞭解Exchange Online的OWA默認支持或拒絕的附件格式

可以通過Get-OwaMailboxPolicy命令獲取當前Exchange Online的OWA支持或拒絕的所有附件文件擴展名格式

Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes

clip_image006

Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypes

clip_image008

2、添加OWA支持XML附件格式文件

使用Set-OwaMailboxPolicy設置OWA郵箱策略,將XML格式擴展名添加到Exchange Online的OWA允許列表中。

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add='.xml'}

clip_image010

通過Get-OwaMailboxPolicy查看結果,可以看見xml已經出現在允許列表中了。

如果不再需要支持那麼可以將其從允許列表中移除。

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{remove='.xml'}

clip_image012

3、保證XML不在OWA阻止附件格式文件列表中

同樣可以使用Set-OwaMailboxPolicy設置OWA郵箱策略,將指定格式的擴展名從Exchange Online的OWA阻止列表中移除。

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove='.xml'}

clip_image014

當然如果需要阻止一個特定格式的文件,可以直接用add在阻止列表中進行添加即可。

clip_image016

二、導出郵箱審覈日誌

在Exchange管理中心(EAC)中,點擊左側導航欄中的“合規性管理”,在右邊窗口中點擊“審覈”,然後點擊“導出郵箱審覈日誌”。

clip_image018

在彈出的“導出郵箱審覈日誌”頁面中,需要先後設置如下參數:

日誌的開始時間和結束時間,指定需要導出哪個用戶的郵箱審覈日誌或所有郵箱的審覈日誌。

clip_image020

默認情況下是搜索“全部非所有者”訪問日誌,此外還可以選擇其它類型。

clip_image021

  • 全部非所有者:將包含組織內的管理員和受委派用戶的訪問,以及運行Exchange Online的微軟數據中心的管理員的訪問;

  • 外部用戶:僅包含運行Exchange Online的微軟數據中心的管理員的訪問;

  • 管理員和收委派用戶:僅包含組織內的管理員和受委派用戶的訪問;

  • 管理員:僅包含組織內的管理員的訪問。

最後,指定接收審覈日誌的郵箱,點擊“導出”完成配置。

需要注意的是,收到郵件的過程較爲緩慢,EAC中提示“會在24小時內”發送給指定的收件人。

三、如何分析郵箱審覈日誌

當Exchange Online執行審覈日誌導出後,指定接收郵箱將收到如下格式的電子郵件:

clip_image023

附件中包含一個SearchResult.xml的文件。在該xml文件中,每一個事件都是以條目的形式出現的,一個條目是以“<Event”開頭,以“</Evnet>”結尾。

在一條事件中,比較有用的字段如下:

  • Owner:郵箱的所有者;

  • LastAccessd:該事件訪問郵箱的時間;

  • Operation:訪問者在郵箱中進行的操作;

  • OperationResult:操作是否成功?還是失敗;

  • Logon Type:非所有者訪問的類型,包括:管理員、受委派用戶和外部用戶;

  • FolderPathName:此次訪問受影響的文件夾路徑名稱;

  • ClientInfoString:此次訪問使用的客戶端軟件信息;

  • ClientIPAddress:此次訪問是從那個IP地址發起的;

  • InternalLogonType:此次訪問所使用的賬戶登錄類型;

  • MailboxOwnerUPN:此次訪問的郵箱的所有者的郵件地址;

  • LogonUserDN:此次訪問者的顯示名;

  • Subject:此次訪問涉及到的郵件主題。

通過上述信息,可以幫助企業很快定位用戶郵箱被非所有者訪問的具體情況,從而幫助企業進行合規、法務,以及訴訟方面的取得相關利益。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

SSO-文檔收藏之Kerberos(四)-Exploring Kerberos in wondows 2000

   微軟的文檔,深入淺出,圖文並茂,詳細解釋了Kerberos的過程,贊一個!  http://www.microsoft.com/msj/0899/kerberos/kerberos.aspx   收集過濾後剩餘四篇文章,對於理解K

iteye_21086 2020-07-07 09:31:44

ASP實現搜索關鍵字高亮

用ASP實現搜索引擎的功能是一件很方便的事,可是,如何實現類似3721的智能搜索呢?比如,當在搜索條件框內輸入“中國人民”時,自動從中提取“中國”、“人民”等關鍵字並在數據庫內進行搜索。看完本文後,你就可以發現,這個功能實現起來竟然是如

iteye_17896 2020-07-07 00:39:30

電腦安裝系統出錯藍屏報錯爲 STOP 0xc0000020 ,什麼原因?

安裝系統盤後一段時間,還未拷貝數據就開始出現藍屏,報錯信息 0xc0000020 ,請大家幫忙看什麼硬件出了問題?問題補充:***STOP: 0x0000006F (0xc0000020,0x00000000,0x00000000,0x0

googlegis 2020-07-05 23:01:28

ie 打印

IE打印window.print2008-09-30 17:33window.print是IE打印中的一種比較簡單的打印方法。默認window.pri

iteye_15714 2020-07-05 08:08:26

如何啓用Windows7超級管理員administrator賬戶登錄

如何啓用Windows7超級管理員administrator賬戶登錄 安裝或初始化windows7或vista的時候,系統讓你輸入管理員帳戶名稱。如設置xxxx用戶名,並設置了密碼。這個xxxx帳戶是administrator組的用

iteye_9335 2020-07-04 05:00:03

餅狀圖vml

<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office"> <head> <ti

iteye_9193 2020-07-04 00:23:01

SqlServer 2005常見問題及解決方案

一、"無法連接到服務器,用戶xxx登陸失敗", "無法連接到服務器,用戶xxx登陸失敗",該錯誤產生的原因是由於SQL Server使用了"僅 Windows"的身份驗證方式,因此用戶無法使用SQL Server的登錄帳戶(如 sa )進

iteye_16593 2020-07-03 21:59:10

修改IE的默認文本編輯器

有時候安裝了ultraEdit後,IE的默認的文本編輯器仍然是記事本,修改註冊表可以改成uedit。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\View Source

mayabin 2020-07-02 22:48:05

不考慮ie5 ie6最簡單的創建XMLHttpRequest對象的方法

不考慮ie5 ie6function createXHR(){ if (window.XMLHttpRequest) { // Non IE

iteye_14173 2020-07-02 21:33:16

JDBC for Sql server 2000 異常,再一次鄙視微軟

java.sql.SQLException: [Microsoft][SQLServer 2000 Driver for JDBC]ResultSet

iteye_21305 2020-07-02 20:05:17

JDBC for Sql server 2000 異常,再一次鄙視微軟

java.sql.SQLException: [Microsoft][SQLServer 2000 Driver for JDBC]ResultSet

iteye_21305 2020-07-02 20:05:17

金山軟件的流氓行爲

金山軟件的流氓行爲 作者:chszs 轉載請註明出處! 自從去年3Q大戰之後,我由360safe開始改用金山衛士。這半年多來,我對金山衛士也算有個清晰的認識。目前我所用的金山軟件有:WPS、金山衛士。 這兩個軟件是否像金山自己吹噓的那麼好

iteye_19871 2020-07-02 16:06:25

【Teams】什麼是RSC,即資源級別的權限?

    衆所周知,在基於Teams平臺開發應用,調用Graph API的時候,都會有一系列權限需要申請,當然,權限也有很多粒度和資源訪問範圍。     最新的Teams也推出了team級別的權限訪問(RSC),爲第三方的多租戶應用提供更多

paul_cheung 2020-07-04 00:19:36

Office 365系列之十七:配置Outlook IMAP方式連接ExchangeOnline

1.  前提條件1.1  確保已經創建並啓用用戶的郵箱,關於如何創建用戶請參考黃錦輝專欄Office 365系列之五:創建新用戶http://stephen1991.blog.51cto.com/8959108/1597912Office

黄锦辉之路 2020-07-03 20:23:32

Microsoft Graph Toolkit 成功的應用案例

今天介紹三個應用Microsoft Graph Toolkit的Microsoft Teams應用案例。 Beedle:提升教師的生產力 Beedle是一家來自冰島的創業公司開發的,目前客戶已遍及70多個國家。Beedle通過構建

Justin-Liu 2020-07-03 01:03:39