メールボックス監査ログ(Search-MailboxAuditLog)と管理者監査ログ(Search-AdminAuditLog)が廃止され、統合監査ログで取得することが可能となりました。
仕分けルール (受信トレイのルール) の作成、削除については、管理者監査ログ、および、メールボックス監査ログに記録されます。
監査ログについては、以下の記事もご参照いただけますと幸いです。
今回は、それぞれの監査ログの動作について、違いがありましたので、ご紹介したいと思います。
管理者監査ログ
管理者監査ログでは、Outlook on the web にて、受信トレイのルールを作成、削除した場合に記録される動作です。
※ Outlook クライアントから仕分けルールの作成、削除をした場合は記録されません。
受信トレイのルールの詳細な内容につきましては、作成については、ルール名や条件や処理など確認することが可能でございますが、削除については、ルール名など詳細な情報を確認することができません。
また、ルール名については、Name の値から確認が可能ですが、条件や処理などはコマンドレットのパラメーターとして記録される動作であるため、New-InboxRule のコマンドレットのパラメーターから判断する必要があります。
以下の Powershell のコマンドレットにて、統合監査ログで受信トレイのルールの作成、および、削除のログのみ出力することが可能です。
※ 管理者の操作のみではなく、ユーザーが作成や削除した受信トレイのルールについても、ログが記録されることを確認しております。
Exchange Online に接続してから実行してください。
[構文]
Search-UnifiedAuditLog -StartDate "<開始日時>" -EndDate "<終了日時>" -ResultSize <ログを取得する件数> -Operations "<コマンドレット>" -Formatted -RecordType ExchangeAdmin | Export-CSV -Path <ファイルの出力場所\ファイル名.csv> -Encoding UTF8 -NotypeInformation
[実行例]
Search-UnifiedAuditLog -StartDate "02/28/2017" -EndDate "03/13/2017" -ResultSize 5000 -Operations "New-InboxRule,Remove-InboxRule" -Formatted -RecordType ExchangeAdmin | Export-CSV -Path "C:\Temp\AdminAuditLog.csv" -Encoding UTF8 -NotypeInformation
※ 上記実行例では C ドライブの Temp フォルダーへ AdminAuditlog というファイル名で保存しています。
※ 180 日前までのログを取得することが可能です。
出力された CSV ファイルの確認方法
出力された Excel ファイルの [AuditDate] 列の[Name] 値にて、各パラメーター、[Value] 値にパラメーターに指定された値を確認することができます。
例
Name Value
------------------------------
From user@contoso.com
MoveToFolder 迷惑メールフォルダ
Name testルール
上記の例では、testルールというルール名で、送信者が user@contoso.com の場合、迷惑メールフォルダに移動するルールです。
また、[UserIds] 列で操作したユーザー、[CreationDate] 列で操作した日時を確認することができます。
[Operations] 列で “New-InboxRule” の場合はルールの作成、”Remove-InboxRule” の場合はルールの削除を示しています。
なお、ルールの条件や処理については、以下の公開情報のパラメーターをご参考としていただけますと幸いです。
メールボックス監査ログ
メールボックス監査ログでは、Outlook クライアントから仕分けルールの作成、削除をした場合に記録されます。
※ Outlook クライアントのみで作成可能であるクライアントルールは、作成と削除した場合にログが記録されないことを確認しております。
UpdateInboxRules の監査項目として記録される動作であり、仕分けルールの詳細な内容について、作成については、ルール名や条件や処理など確認することが可能ですが、削除については、ルール名など詳細な情報を確認することがでません。
また、ルール名については、OperationProperties の値の RuleName の値から確認が可能ですが、条件や処理などは RuleActions にコマンドレットのパラメーターとして記録されるため、New-InboxRule のコマンドレットのパラメーターから判断する必要があります。
なお、ルールを作成した場合、OperationProperties の値に RuleOperation:AddMailboxRule と記録され、ルールを削除した場合は、RuleOperation:RemoveMailboxRule と記録されます。
以下の Powershell のコマンドレットにて、統合監査ログでUpdateInboxRules の監査項目のログのみ出力することが可能です。
※ Exchange Online に接続してから実行してください。
[構文]
Search-UnifiedAuditLog -StartDate "<開始日時>" -EndDate "<終了日時>" -ResultSize <ログを取得する件数> -Operations "UpdateInboxRules" -Formatted | Export-CSV -Path <ファイルの出力場所\ファイル名.csv> -Encoding UTF8 -NotypeInformation
[実行例]
Search-UnifiedAuditLog -StartDate "02/28/2017" -EndDate "03/13/2017" -ResultSize 5000 -Operations "UpdateInboxRules" -Formatted | Export-CSV -Path "C:\Temp\MailboxAuditLog.csv" -Encoding UTF8 -NotypeInformation
※ 上記実行例では C ドライブの Temp フォルダーへ MailboxAuditLog というファイル名で保存しています。
※ 既定では、180 日前までのログを取得することが可能です。
CreationTime: オペレーションを実行した日時
Operation : 操作の内容
ClientIPAddress : クライアントの IP アドレス
ClientInfoString : 操作したクライアントの情報
ClientProcessName : クライアントプロセス名
UserId: オペレーションを実行したユーザー名
LogonType : メールボックスのアクセスの種類 (所有者(0)、管理者(1)、代理ユーザー(2)など)
OperationProperties : ルールの詳細
監査ログについて以下の記事でまとめていますので参考としてくださいね。
