メールボックス監査ログ(Search-MailboxAuditLog)と管理者監査ログ(Search-AdminAuditLog)が廃止され、統合監査ログで取得することが可能となりました。
仕分けルール (受信トレイのルール) の作成、削除については、管理者監査ログ、および、メールボックス監査ログに記録されます。
監査ログについては、以下の記事もご参照いただけますと幸いです。
今回は、それぞれの監査ログの動作について、違いがありましたので、ご紹介したいと思います。
管理者監査ログ
管理者監査ログでは、Outlook on the web にて、受信トレイのルールを作成、削除した場合に記録される動作です。
※ Outlook クライアントから仕分けルールの作成、削除をした場合は記録されません。
受信トレイのルールの詳細な内容につきましては、作成については、ルール名や条件や処理など確認することが可能でございますが、削除については、ルール名など詳細な情報を確認することができません。
また、ルール名については、Name の値から確認が可能ですが、条件や処理などはコマンドレットのパラメーターとして記録される動作であるため、New-InboxRule のコマンドレットのパラメーターから判断する必要があります。
以下の Powershell のコマンドレットにて、受信トレイのルールの作成、および、削除のログのみ出力することが可能です。
※ 管理者の操作のみではなく、ユーザーが作成や削除した受信トレイのルールについても、ログが記録されることを確認しております。
Exchange Online に接続してから実行してください。
[構文]
Search-AdminAuditLog -Cmdlets <監査対象のコマンドレット> -StartDate <mm/dd/yyyy> -EndDate <mm/dd/yyyy> -ResultSize 250000 | select * -ExpandProperty cmdletparameters | Export-CSV -Encoding UTF8 -NoTypeInformation -Path <ファイル名>.csv
[実行例]
Search-AdminAuditLog -Cmdlets New-InboxRule,Remove-InboxRule -StartDate 01/01/2022 -EndDate 02/10/2022 -ResultSize 250000 | select * -ExpandProperty cmdletparameters | Export-CSV -Encoding UTF8 -NoTypeInformation -Path C:\Temp\AdminAuditlog.csv
※ 上記実行例では C ドライブの Temp フォルダーへ AdminAuditlog というファイル名で保存しています。
※ 90 日前までのログを取得することが可能です。
出力された CSV ファイルの確認方法
出力された Excel ファイルの [Name] 列にて、各パラメーター、[Value] 列にパラメーターに指定された値を確認することができます。
例
Name Value
------------------------------
From user@contoso.com
MoveToFolder 迷惑メールフォルダ
Name testルール
上記の例では、testルールというルール名で、送信者が user@contoso.com の場合、迷惑メールフォルダに移動するルールです。
管理者監査ログの取得結果について
ObjectModified : 設定対象オブジェクトの Name 値
CmdletName : 実行されたコマンドレット
CmdletParameters : [CmdletName] に記載されたコマンドに付与されたすべてのパラメーター
Caller : 実行したユーザー
RunDate : 実行された日付
Succeeded : 成功かどうか
Name : 何を設定するか
Value : 設定の内容
なお、ルールの条件や処理については、以下の公開情報のパラメーターをご参考としていただけますと幸いです。
メールボックス監査ログ
メールボックス監査ログでは、Outlook クライアントから仕分けルールの作成、削除をした場合に記録されます。
※ Outlook クライアントのみで作成可能であるクライアントルールは、作成と削除した場合にログが記録されないことを確認しております。
UpdateInboxRules の監査項目として記録される動作であり、仕分けルールの詳細な内容について、作成については、ルール名や条件や処理など確認することが可能ですが、削除については、ルール名など詳細な情報を確認することがでません。
また、ルール名については、OperationProperties の値の RuleName の値から確認が可能ですが、条件や処理などは RuleActions にコマンドレットのパラメーターとして記録されるため、New-InboxRule のコマンドレットのパラメーターから判断する必要があります。
なお、ルールを作成した場合、OperationProperties の値に RuleOperation:AddMailboxRule と記録され、ルールを削除した場合は、RuleOperation:RemoveMailboxRule と記録されます。
以下の Powershell のコマンドレットにて、UpdateInboxRules の監査項目のログのみ出力することが可能です。
※ Exchange Online に接続してから実行してください。
[構文]
Search-MailboxAuditLog -StartDate <mm/dd/yyyy> -EndDate <mm/dd/yyyy> -Identity <対象のユーザー> -ShowDetails -Operations UpdateInboxRules -ResultSize 250000 | Export-Csv -Encoding UTF8 -NoTypeInformation -Path <ファイル名>.csv
[実行例]
Search-MailboxAuditLog -StartDate 12/01/2022 -EndDate 02/09/2022 -Identity Mailbox01@contoso.com -ShowDetails -Operations UpdateInboxRules -ResultSize 250000 | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\MailboxAuditLog.csv"
※ 上記実行例では C ドライブの Temp フォルダーへ MailboxAuditLog というファイル名で保存しています。
※ 既定では、90 日前までのログを取得することが可能です。
Operation : 操作の内容
OperationResult : 操作の成否
LogonType : 操作を行ったユーザーが所有者 (Owner) か代理ユーザー (Delegate) か
ClientIPAddress : クライアントの IP アドレス
ClientInfoString : 操作したクライアントの情報
ClientProcessName : クライアント プロセス名
LogonUserDisplayName : オペレーションを実行したユーザー名
OperationProperties : ルールの詳細
LastAccessed : オペレーションを実行した日時
監査ログについて以下の記事でまとめていますので参考としてくださいね。
