社畜の所業

社畜の所業

Office365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

【Office365参考書】トランスポートルールを変更したユーザーを確認するには?ルールの変更された内容を確認できるか?

f:id:it-bibouroku:20200305151118j:plain

トランスポートルールの変更の内容を確認する場合、管理者監査ログの機能をご利用いただくことで可能です。 

なお、管理者監査ログはコマンドレットベースで記録されるため、トランスポートルールの変更については、Set-TransportRule として記録されます。 

また、変更したユーザーや変更したルールのパラメーターについても記録されるため確認が可能です。 

  

なお、Set-TransportRule のログのみ出力する場合、Powershell のコマンドレットをご利用いただくことで可能です。 

  

以下のサイトの手順にて、Exchange Online に接続してから実行してください。 

  

 

 

it-bibouroku.hateblo.jp

 

  

[構文] 

Search-AdminAuditLog -Cmdlets <監査対象のコマンドレット> -StartDate <mm/dd/yyyy> -EndDate <mm/dd/yyyy> -ResultSize 250000 | select * -ExpandProperty cmdletparameters | Export-CSV -Encoding UTF8 -NoTypeInformation -Path <ファイル名>.csv 

  

[実行例] 

Search-AdminAuditLog -Cmdlets "Set-TransportRule" -StartDate 03/01/2021 -EndDate 03/23/2021 -ResultSize 250000 | select * -ExpandProperty cmdletparameters | Export-CSV -Encoding UTF8 -NoTypeInformation -Path C:\Temp\AdminAuditlog.csv 

  

※上記実行例では C ドライブの Temp フォルダーへ AdminAuditlog というファイル名で保存しています。 

※ 開始日 (StartDate)は、90 日前まで指定が可能です。 

  

 

出力された CSV ファイルの確認方法 

出力された Excel ファイルのリボンタブの [データ] > [フィルター] をクリックし、[L列] の [RunDate] を昇順にし、[D列] の [ObjectModified] より、該当するトランスポートルールを表示し、[H列] の [Caller] に記載されているアカウントがルール変更のの実行者となります。 

[CmdletParameters] にて、変更したパラメーターが記録されます。 

  

なお、[CmdletParameters] にて、以下のパラメーターは変更の有無に関わらず記録されることを確認してます。 

[StopRuleProcessing]  

[SetAuditSeverity] 

[RuleErrorAction] 

[Priority] 

[Identity] 

  

  

管理者監査ログの取得結果について 

ObjectModified : 設定対象オブジェクトの Name 値(どのユーザーやグループに対して行ったコマンドレットか) 

CmdletName : 実行されたコマンドレット 

CmdletParameters : [CmdletName] に記載されたコマンドに付与されたすべてのパラメーター 

Caller : 実行した管理者ユーザー 

※ データセンター側で実行されたログは Caller 項目に "********" と表示されます。 

RunDate : 実行された日付 

Succeeded : 成功かどうか 

Name : 何を設定するか 

Value : 設定の内容 

  

 

docs.microsoft.com