MC713038 にて、Search-AdminAuditLog(管理者監査ログ)、Search-MailboxAuditLog(メールボックス監査ログ) が廃止されることが公開されました。
なお、現時点では 2024 年 4 月30日に変更を実施し、2024 年 5 月中旬に完了する予定です。
以下のMicrosoftのコミュニティブログでも紹介しています。
Powershellのコマンドレットを実行すると、以下の警告が表示されるようになりました。
警告: 'Search-MailboxAuditLog' コマンドレットは 2024 年 4 月 30 日に非推奨になることにご注意ください。代わりに
Search-UnifiedAuditLog の使用を開始することをお勧めします。詳細については、次のブログを参照してください:
これからは、Microsoft Purviewの統合監査ログを利用する必要がありますが、メールボックス監査ログも管理者監査ログも取得することが可能です。
以下の記事でご紹介してますので参考としてくださいね。
なお、メールボックス監査ログと管理者監査ログでは保持期間が既定で90日間でしたが、統合監査ログでは既定で180日間です。
また、Powershellで実行する場合は、[Search-UnifiedAuditLog] にて [RecordType] を設定することで可能です。
管理者監査ログの場合は、ExchangeAdmin、メールボックス監査ログの場合は、ExchangeItemで可能です。
1 コマンドレットの実行では 5000 ログまでの取得との制限がありますが、
※ExchangeOnlineに接続してから実行してください。
Search-UnifiedAuditLog での管理者監査ログの取得手順について
<実行コマンド 1>
Search-UnifiedAuditLog -StartDate "2024/02/01 00:00:00" -EndDate "2024/02/17 00:00:00" -ResultSize 5000 -RecordType ExchangeAdmin -SessionID "MailboxAuditLog2024" -SessionCommand "ReturnLargeSet" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\AdminAuditLog01.csv"
<実行コマンド 2>
Search-UnifiedAuditLog -StartDate "2024/02/01 00:00:00" -EndDate "2024/02/17 00:00:00" -ResultSize 5000 -RecordType ExchangeAdmin -SessionID "MailboxAuditLog2024" -SessionCommand "ReturnLargeSet" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\AdminAuditLog02.csv"
<実行コマンド 3>
Search-UnifiedAuditLog -StartDate "2024/02/01 00:00:00" -EndDate "2024/02/17 00:00:00" -ResultSize 5000 -RecordType ExchangeAdmin -SessionID "MailboxAuditLog2024" -SessionCommand "ReturnLargeSet" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\AdminAuditLog03.csv"
上記実行例では、ログを 5,000 件ずつ、AdminAuditLog01.csv AdminAuditLog02.csv AdminAuditLog03.csv 計 3 つのファイル出力を行い、計 15,000 件までのログ出力を行ってます。
Search-UnifiedAuditLog でのメールボックス監査ログの取得手順について
[構文]
Search-UnifiedAuditLog -StartDate "2024/02/01 00:00:00" -EndDate "2024/02/17 00:00:00" -ResultSize 5000 -RecordType ExchangeItem -FreeText "<検索対象メールボックスのアドレス>" -SessionID "MailboxAuditLog2024" -SessionCommand "ReturnLargeSet" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "<保存先パス\ファイル名>"
<実行コマンド 1>
Search-UnifiedAuditLog -StartDate "2024/02/01 00:00:00" -EndDate "2024/02/17 00:00:00" -ResultSize 5000 -RecordType ExchangeItem -FreeText User@contoso.com -SessionID "MailboxAuditLog2024" -SessionCommand "ReturnLargeSet" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\UnifiedAuditLog01.csv"
<実行コマンド 2>
Search-UnifiedAuditLog -StartDate "2024/02/01 00:00:00" -EndDate "2024/02/17 00:00:00" -ResultSize 5000 -RecordType ExchangeItem -FreeText User@contoso.com -SessionID "MailboxAuditLog2024" -SessionCommand "ReturnLargeSet" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\UnifiedAuditLog02.csv"
上記実行例では、ログを 5,000 件ずつ、AdminAuditLog01.csv AdminAuditLog02.csv 計 2 つのファイル出力を行い、計 10,000 件までのログ出力を行ってます。