メールボックスからアイテムが消えてしまった場合など、メールを削除したログが無いか確認したい場合、メールボックス監査ログの機能を利用することで可能です。
メールを削除したログがある場合、ClientIPAddressの値で接続元のクライアントIPを確認することができますので、もし自身で利用しているIPアドレスでない場合は、アカウントの乗っ取りにより削除されている可能性も考えられますので、その際はパスワードを変更することをおススメします。
ClientIPAddressは自身で利用しているものであれば、誤操作などにより削除してしまった可能性が考えられます。
では、以下のメールボックス監査ログを取得するコマンドレットをご紹介します。
以下のサイトを参考にExchangeOnlineに接続してから実行してください。
[構文]
Search-MailboxAuditLog -StartDate <mm/dd/yyyy> -EndDate <mm/dd/yyyy> -Identity <監査対象のメールボックス> -ShowDetails -ResultSize 250000 -Operations <監査項目> | Export-Csv -NoTypeInformation -Encoding UTF8 -NoTypeInformation -Path "<ファイル名を含んだ保存先のパス>"
[実行例]
Search-MailboxAuditLog -StartDate 03/01/2021 -EndDate 04/01/2021 -Identity user01@contoso.com -ShowDetails -ResultSize 250000 -Operations MoveToDeletedItems,SoftDelete,HardDelete,Move | Export-Csv -NoTypeInformation -Encoding UTF8 -Path "C:\Temp\MailboxAuditLog-User01.csv"
※ 上記の例では、アイテムを削除したログを出力しております。
<指定した監査項目>
MoveToDeletedItems : フォルダーからアイテムを削除したログ (削除済みアイテムフォルダーへの移動)
HardDelete : [削除済みアイテム復元フォルダー] からアイテムが削除されたログ
SoftDelete : [削除済みフォルダー] からアイテムが削除されたログ
Move : アイテムを別フォルダーに移動したログ
なお、件名を指定してメールボックス監査ログを出力することはできませんが、出力された CSV ファイルを開き、上部の [並び替えとフィルター] > [フィルター] をクリックすることで、各列のフィルターが可能となりますので、[SourceItemSubjectsList] 列にて該当の件名を検索することが可能です。
また、メールだけではなく、連絡先を削除した場合も以下のログが記録されることを確認しました。
Operation : MoveToDeletedItems
FolderPathName : \連絡先
SourceItemSubjectsList : 削除した連絡先
監査ログについて以下の記事でまとめていますので参考としてくださいね。