今後、メールボックス監査ログと管理者監査ログのコマンドレットが廃止される予定です。以下の記事でご紹介してます。
監査ログとして、メールボックス監査ログ、管理者監査ログ、統合監査ログがあります。
監査ログについては、以下の記事をご参照いただけますと幸いです。
今回は、それぞれの監査ログをPowershellのコマンドレットで取得する方法について、ご紹介したいと思います。
なお、メールボックス監査ログと管理者監査ログは従来のExchange管理センターで画面から実施できますが、細かな条件指定が全くできないので、基本的にPowershellで取得するほうをおすすめします。
それぞれのコマンドレットを実行する前にExchangeOnlineに接続してから実行してください。
メールボックス監査ログ
[構文]
Search-MailboxAuditLog -StartDate <開始日時> -EndDate <終了日時> -Identity <監査対象のメールボックス> -ShowDetails | Export-Csv -NoTypeInformation -Encoding UTF8 "<ファイル名を含んだ保存先のパス>"
[実行例]
Search-MailboxAuditLog -StartDate 01/01/2023 -EndDate 01/03/2023 -Identity User01@contoso.com -ShowDetails | Export-Csv -NoTypeInformation -Encoding UTF8 "C:\temp\log-User01.csv"
出力結果
Operation : 実施した操作の種類
LogonType : 操作を行ったユーザーが所有者 (Owner) か代理ユーザー (Delegate) か
ExternalAccess : 外部ユーザーからのアクセスログ
DestFolderPathName : 移動先フォルダ名
FolderPathName : 該当アイテムが格納されているフォルダ名
FolderName : 対象フォルダー
ClientInfoString : 操作を実行したクライアントまたは Exchange コンポーネントを識別する詳細情報
ClientIPAddress : クライアントの IP アドレス
MailboxOwnerUPN : メールボックス所有者のユーザー プリンシパル名 (UPN)
LogonUserDisplayName : ログオンしたユーザー名
ItemSubject : アイテムの件名
LastAccessed : オペレーションを実行した日時
管理者監査ログ
[構文]
Search-AdminAuditLog -Cmdlets <監査対象のコマンドレット> -StartDate <開始日時> -EndDate <終了日時> -ResultSize 250000 | select * -ExpandProperty cmdletparameters | Export-CSV -Encoding UTF8 -NoTypeInformation -Path <ファイル名>.csv
[実行例]
Search-AdminAuditLog -Cmdlets "Set-Mailbox" -StartDate 01/01/2023 -EndDate 01/03/2023 -ResultSize 250000 | select * -ExpandProperty cmdletparameters | Export-CSV -Encoding UTF8 -NoTypeInformation -Path C:\Temp\AdminAuditlog.csv
※メールボックスの設定(Set-Mailbox)を変更した場合の監査ログとなります。
※複数のコマンドレットを指定する場合は、"New-Mailbox","Set-Mailbox","Remove-Mailbox"の構成にて記述します。
出力結果
ObjectModified : 設定対象オブジェクトの Name 値(どのユーザーやグループに対して行ったコマンドレットか)
CmdletName : 実行されたコマンドレット
CmdletParameters : [CmdletName] に記載されたコマンドに付与されたすべてのパラメーター
Caller : 実行した管理者ユーザー
RunDate : 実行された日付
Succeeded : 成功かどうか
Name : 何を設定するか
Value : 設定の内容
RunDateは日本時間で出力されます。
統合監査ログ
[構文]
Search-UnifiedAuditLog -StartDate "<開始日時>" -EndDate "<終了日時>" -Operation <アクティビティ> -UserId "検索対象のメールアドレス" -ResultSize <ログを取得する件数> -Formatted | Export-CSV -Path <ファイルの出力場所\ファイル名.csv> -Encoding UTF8 -NotypeInformation
[実行例]
Search-UnifiedAuditLog -StartDate 01/01/2023 -EndDate 01/03/2023 -Operation "Send" -UserId "user@contoso.com" -ResultSize 5000 -Formatted | Export-CSV -Path "C:\Temp\UnifiedAuditLog.csv" -Encoding UTF8 -NotypeInformation
出力結果
CreationDate : アクティビティの記録日時(UTC)
UserIds : 操作をおこなったユーザー名
Operations : アクティビティ名
AuditData : 操作内容の詳細
監査ログについて以下の記事でまとめていますので参考としてくださいね。