メールボックス監査ログのメールアイテムの移動のログである [Move] ログにつきましては、既定では有効化されておらず、PowerShell にて追加することで記録されるログとなります。
そのため、あらかじめ有効にしていない場合は、アイテムを移動したログは取得することができません。
なお、現在、有効であるかについては、Get-Mailbox のコマンドレットにて、確認が可能です。
以下の記事を参考にExchange Online に接続してから実行してください。
[構文]
Get-Mailbox -Identity <対象メールボックス> | Select AuditDelegate,AuditOwner | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "<保存先パス\ファイル名>"
[実行例]
Get-Mailbox -Identity User01@contoso.com | Select AuditDelegate,AuditOwner | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\AuditEnable.csv"
※ 実行例は C ドライブの Temp フォルダに CSV ファイルが出力されます。
実行結果について
[AuditDelegate] : メールボックス所有者以外がアクセスを行った操作において、記録される項目が表示されます。
[AuditOwner] : メールボックス所有者がアクセスを行った操作において、記録される項目が表示されます。
※ Move が含まれている場合は、有効化されています。
なお、Move が有効化されていない場合は、以下のコマンドレットにて有効化することが可能です。
Moveを有効化することでの影響は特にありませんので、有効にしておくことをお勧めします。
※Moveを有効化する前のログは記録されていないため、取得できないことをご留意ください。
メールボックス単位で設定を有効にする
[構文]
Set-Mailbox -Identity <対象メールボックス> -AuditDelegate @{add="Move"} -AuditOwner @{add="Move"}
[実行例]
Set-Mailbox -Identity User01@contoso.com -AuditEnabled $true -AuditDelegate @{add="Move"} -AuditOwner @{add="Move"}
テナント内すべてのメールボックスの設定を有効にする
[実行例]
Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditEnabled $true -AuditDelegate @{add="Move"} -AuditOwner @{add="Move"}
[Move] のログには、ドラッグアンドドロップ、または、右クリックし [移動] にて、アイテムを他フォルダに移動した場合に記録されます。
また、フォルダを移動した場合は、Outlook クライアントの場合、ドラッグアンドドロップ、または、右クリックし [移動] にてフォルダを別フォルダ配下に移動した場合でも、[Move] のログは記録されないことを確認しました。
Outlook on the web の場合は、ドラッグアンドドロップでフォルダを移動することができない動作であるため、右クリックし [移動] にてフォルダを別フォルダ配下に移動することで、ログが記録されることを確認いたしました。
なお、フォルダを移動した場合は、以下の [Move] のログの値からフォルダの情報を確認できます。
出力結果
DestFolderPathName : 移動先フォルダ
FolderPathName : 移動元フォルダ
SourceFolderPathNamesList : 移動したフォルダ