社畜の所業

社畜の所業

Microsoft365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

※このサイトはPR記事を含みます。

【Microsoft365参考書】Search-AdminAuditLogとSearch-MailboxAuditLogが廃止される?

Powershell

監査ログ廃止

 

MC713038 にて、Search-AdminAuditLog(管理者監査ログ)Search-MailboxAuditLog(メールボックス監査ログ) が廃止されることが公開されました。

なお、現時点では 2024  4 月30日に変更を実施し、2024  5 月中旬に完了する予定です。

以下のMicrosoftのコミュニティブログでも紹介しています。

 

techcommunity.microsoft.com

 

Powershellのコマンドレットを実行すると、以下の警告が表示されるようになりました。

警告: 'Search-MailboxAuditLog' コマンドレットは 2024 年 4 月 30 日に非推奨になることにご注意ください。代わりに

Search-UnifiedAuditLog の使用を開始することをお勧めします。詳細については、次のブログを参照してください:

https://aka.ms/AuditCmdletBlog

 

これからは、Microsoft Purviewの統合監査ログを利用する必要がありますが、メールボックス監査ログも管理者監査ログも取得することが可能です。

以下の記事でご紹介してますので参考としてくださいね。

 

it-bibouroku.hateblo.jp

 

なお、メールボックス監査ログと管理者監査ログでは保持期間が既定で90日間でしたが、統合監査ログでは既定で180日間です。

 

it-bibouroku.hateblo.jp

 

また、Powershellで実行する場合は、[Search-UnifiedAuditLog] にて [RecordType] を設定することで可能です。

管理者監査ログの場合は、ExchangeAdmin、メールボックス監査ログの場合は、ExchangeItemで可能です。

 

 

it-bibouroku.hateblo.jp

 

1 コマンドレットの実行では 5000 ログまでの取得との制限がありますが、以下手順による取得方法では 50000 ログまで取得が可能です。

※ExchangeOnlineに接続してから実行してください。

 

 

 

Search-UnifiedAuditLog での管理者監査ログの取得手順について

 

<実行コマンド 1>

Search-UnifiedAuditLog -StartDate "2024/02/01 00:00:00" -EndDate "2024/02/17 00:00:00" -ResultSize 5000 -RecordType ExchangeAdmin -SessionID "MailboxAuditLog2024" -SessionCommand "ReturnLargeSet" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\AdminAuditLog01.csv"

 

<実行コマンド 2>

Search-UnifiedAuditLog -StartDate "2024/02/01 00:00:00" -EndDate "2024/02/17 00:00:00" -ResultSize 5000 -RecordType ExchangeAdmin -SessionID "MailboxAuditLog2024" -SessionCommand "ReturnLargeSet" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\AdminAuditLog02.csv"

 

<実行コマンド 3>

Search-UnifiedAuditLog -StartDate "2024/02/01 00:00:00" -EndDate "2024/02/17 00:00:00" -ResultSize 5000 -RecordType ExchangeAdmin -SessionID "MailboxAuditLog2024" -SessionCommand "ReturnLargeSet" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\AdminAuditLog03.csv"

 

上記実行例では、ログを 5,000 件ずつ、AdminAuditLog01.csv AdminAuditLog02.csv AdminAuditLog03.csv  3 つのファイル出力を行い、計 15,000 件までのログ出力を行ってます。

 

Search-UnifiedAuditLog でのメールボックス監査ログの取得手順について

 

[構文]

Search-UnifiedAuditLog -StartDate "2024/02/01 00:00:00" -EndDate "2024/02/17 00:00:00" -ResultSize 5000 -RecordType ExchangeItem -FreeText "<検索対象メールボックスのアドレス>" -SessionID "MailboxAuditLog2024" -SessionCommand "ReturnLargeSet" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "<保存先パス\ファイル名>"

 

<実行コマンド 1>

Search-UnifiedAuditLog -StartDate "2024/02/01 00:00:00" -EndDate "2024/02/17 00:00:00" -ResultSize 5000 -RecordType ExchangeItem -FreeText User@contoso.com -SessionID "MailboxAuditLog2024" -SessionCommand "ReturnLargeSet" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\UnifiedAuditLog01.csv"

 

<実行コマンド 2>

Search-UnifiedAuditLog -StartDate "2024/02/01 00:00:00" -EndDate "2024/02/17 00:00:00" -ResultSize 5000 -RecordType ExchangeItem -FreeText User@contoso.com -SessionID "MailboxAuditLog2024" -SessionCommand "ReturnLargeSet" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\UnifiedAuditLog02.csv"

 

上記実行例では、ログを 5,000 件ずつ、AdminAuditLog01.csv AdminAuditLog02.csv  つのファイル出力を行い、計 10,000 件までのログ出力を行ってます。