Como usar os logs de auditoria de caixa de correio no Office 365

É possível executar logs de auditoria de caixa de correio no Office 365 para determinar quando uma caixa de correio foi atualizada ou se itens foram excluídos / movidos. Neste artigo, você irá aprender como executar e verificar os logs.

Como executar e verificar logs de auditoria de caixa de correio

O registro em log de auditoria de caixa de correio permite que os usuários obtenham informações sobre ações executadas por não proprietários e administradores. O log de auditoria de caixa de correio está disponível para membros do grupo de autoatendimento de caixa de correio de relatórios de auditoria somente usando o Windows Remote PowerShell.

Para investigar esse problema, crie e use um script do Windows PowerShell usando o script de exemplo fornecido na etapa 1 desta seção e, em seguida, personalize uma pesquisa. Por padrão, você pode investigar ações executadas por não proprietários e administradores. Esse script exporta o conteúdo em um arquivo de valores separados por vírgula (. csv) simplificado para ajudá-lo a solucionar problemas de relatórios sobre itens que estão ausentes ou que foram atualizados inesperadamente.

Leia mais:

13 Comandos obrigatórios do Microsoft 365 Powershell
Recuperando itens deletados no novo Exchange Admin Center
Curso de Exchange Online Grátis para fazer na quarentena
Adicionar / remover permissões de calendário no Office 365 / Exchange via PowerShell
Backup PST de email via Powershell

Etapa 1: executar o script

Para executar o script, siga estas etapas:

1- Inicie o bloco de notas e copie o código a seguir no arquivo. O código usa o search-mailboxAuditLog comando que é parte do Microsoft Exchange Server.

param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$Mailbox,
[PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$StartDate,
[PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)]
[string]$EndDate,
[PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)]
[string]$Subject,
[PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
[switch]$IncludeFolderBind,
[PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)]
[switch]$ReturnObject)
BEGIN {
  [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult')
  }
  END {
    if ($ReturnObject)
    {return $SearchResults}
    elseif ($SearchResults.count -gt 0)
    {
    $Date = get-date -Format yyMMdd_HHmmss
    $OutFileName = "AuditLogResults$Date.csv"
    write-host
    write-host -fore green "Posting results to file: $OutfileName"
    $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8
    }
    }
    PROCESS
    {
    write-host -fore green 'Searching Mailbox Audit Logs...'
    $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000)
    write-host -fore green '$($SearchREsults.Count) Total entries Found'
    if (-not $IncludeFolderBind)
    {
    write-host -fore green 'Removing FolderBind operations.'
    $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'})
    write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
    }
    $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}},
    @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}}))
    $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp')
    If ($Subject -ne '' -and $Subject -ne $null)
    {
    write-host -fore green 'Searching for Subject: $Subject'
    $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject})
    write-host -fore green 'Filtered to $($SearchREsults.Count) Entries'
    }
    $SearchResults = @($SearchResults | select $LogParameters)
    }

2- No menu Arquivo , clique em Salvar Como.
3- Na caixa salvar como tipo , clique em todos os arquivos.
4- Na caixa nome do arquivo , digite Run-MailboxAuditLogSearcher.ps1 e clique em salvar.
5- Inicie o Windows PowerShell e conecte-se ao PowerShell remoto do Windows.
6- Localize o diretório em que você salvou o script e execute o script.

.\Run-MailboxAuditLogSearcher.ps1

– Se você executar o script sem parâmetros, você será solicitado a fornecer os seguintes parâmetros padrão:
– Caixa de correio
– StartDate
– EndDate
Para pesquisar entradas do dia atual, adicione um dia ao valor de data de término na janela de prompt.
Por exemplo, se a data atual for 3/14/2017 e você quiser incluir o dia atual em sua pesquisa, insira 4/15/2017 como a data de término.

No Office 365, as entradas de log de auditoria de caixa de correio são mantidas na caixa de correio por 90 dias. Você é solicitado a indicar uma data de início e uma data de término para a pesquisa. Você pode usar vários parâmetros opcionais para personalizar a pesquisa. Para obter uma descrição desses parâmetros, consulte a seção “mais informações”.

Se forem encontrados itens após a execução do script, você receberá uma mensagem semelhante à seguinte:

Este exemplo de mensagem indica que o processo de pesquisa encontrou 11 entradas. Por padrão, as entradas FolderBind são filtradas, e os seguintes tipos de operação permanecem:

  • Copiar
  • Criar
  • HardDelete
  • MessageBind
  • Mover
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Atualizar

Revise a saída do arquivo. csv. As colunas mais úteis são exportadas e algumas dessas colunas são mescladas para facilitar a revisão da saída. Para obter mais informações sobre as colunas exportadas, consulte a seção “mais informações”.

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

Log de auditoria de caixa de correio proprietário

Por padrão. o log de auditoria de proprietário não está ativado. Ele só deverá ser usado se você precisar investigar uma ação pelo proprietário da caixa de correio. Ele deve ser usado por um período de tempo limitado, aproximadamente duas semanas. Isso ocorre porque as entradas de log de auditoria são armazenadas na caixa de correio, e isso pode fazer com que o dumpster da caixa de correio exceda o limite de tamanho.

Para habilitar o registro em log de auditoria de proprietário, siga estas etapas:

1- Determine se o log de auditoria de caixa de correio está habilitado. Para fazer isso, execute o seguinte cmdlet:

Get-Mailbox <useridentity> | ft AuditEnabled

2- Se o resultado for true , pule esta etapa. Se o resultado for false , execute o seguinte cmdlet no Windows PowerShell:

Set-Mailbox <useridentity> -AuditEnabled $true

3- Habilitar o log de auditoria de proprietário. Para fazer isso, execute o seguinte cmdlet:

Set-Mailbox <useridentity> -AuditOwner "Create,HardDelete,Move,MoveToDeletedItems,SoftDelete,Update"

4- Execute novamente o Run-MailboxAuditLogSearcher.ps1 e analise os dados.
5- Após a solução de problemas ser concluída, desabilite o log de auditoria de proprietário. Para fazer isso, execute o seguinte cmdlet:

Set-Mailbox <useridentity> -AuditOwner $none

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram.

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2021!