赋予Administator 审核日志权限
New-ManagementRoleAssignment -Role ‘Audit Logs’ -User Administrator
- 为组织 中所有用户开启所有者审核日志
- $UserMailboxes = Get-mailbox -Filter “RecipientTypeDetails -eq ‘UserMailbox'” -ResultSize unlimited
- $UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
- $UserMailboxes | ForEach-Object {Set-Mailbox -Identity $_.Alias -AuditOwner @{add=’None,Create,SoftDelete,Update,Move,MoveToDeletedItems,MailboxLogin’ } }
- Get-Mailbox -Identity ‘UserName’ | Format-List *audit*
- 同步搜索输出所有者操作日志(可能 需要在EMS中执行)
- Search-MailboxAuditLog -Identity ‘UserName’ -StartDate “05/27/2021” -EndDate “06/27/2021” -LogonTypes owner –ShowDetails
- Search-MailboxAuditLog -Identity user01@abc.com -ResultSize 10 -ShowDetails | fl MailboxOwnerUPN, LogonType,LogonUserDisplayName, Operation,OperationResult, SourceItemSubjectsList,FolderPathName, DestFolderPathName,LastAccessed
- 异步搜索输出所有者操作日志
- New-MailboxAuditLogSearch “Admin and Delegate Access” -Mailboxes “Ken Kwok”,”April Stewart” -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -StatusMailRecipients auditors@contoso.com
- New-MailboxAuditLogSearch cmdlet 异步搜索指定邮箱的邮箱审核日志,并通过电子邮件将搜索结果发送给指定收件人。 电子邮件的正文包含搜索元数据,如搜索参数和提交搜索请求的时间。 搜索结果附加在 .xml 文件中
- 审核日志的存放
- 邮箱审核日志针对每个启用了邮箱审核日志记录功能的邮箱而生成。 日志条目存储在已审核邮箱”可恢复邮件”文件夹的”审核”子文件夹中。 这样能够保证可以从一个位置获得全部审核日志条目,而无论使用哪种客户端访问方法来访问邮箱,或者管理员使用哪个服务器或计算机来访问邮箱审核日志。 如果将邮箱移至其他邮箱服务器,则由于邮箱中包含该邮箱的审核日志,因此这些审核日志也会移动到其他邮箱服务器。
- 默认情况下,邮箱审核日志条目在邮箱中保留 90 天,然后被删除
- Get-MailboxFolderStatistics “UserName” -FolderScope RecoverableItems | Format-List Name,FolderAndSubfolderSize