メールボックス監査ログ(Search-MailboxAuditLog)と管理者監査ログ(Search-AdminAuditLog)が廃止され、統合監査ログで取得することが可能となりました。
Outlook on the webにて、配布リストを作成することが可能ですが、配布リストを作成したログについては、管理者監査ログの機能にて確認することが可能です。
なお、管理者監査ログは、コマンドレットベースで操作したログが記録される動作であり、配布リストの作成については、"New-DistributionGroup" として記録されます。
また、"New-DistributionGroup" のログでは、Outlook on the web オプションから配布リストを作成した場合の他に、Exchange 管理センターや Microsoft365 管理センターから配布リストを作成した場合もログとして記録される動作でございますが、以下の AppId の値から Ootw で操作したか判断することが可能であることを確認しております。
AppId の値
Outlook on the web の場合 : 00000002-0000-0ff1-ce00-000000000000
Exchange 管理センター、Microsoft365 管理センタ-の場合 : 00000006-0000-0ff1-ce00-000000000000
Powershell のコマンドレットを利用することで、"New-DistributionGroup" のログのみ出力が可能ですので、以下にご案内いたします。
※ 管理者監査ログでは、90 日前までのログが取得可能です。
以下のサイトの手順にて、Exchange Online に接続してから実行してください。
[構文]
Search-AdminAuditLog -Cmdlets <監査対象のコマンドレット> -StartDate <mm/dd/yyyy> -EndDate <mm/dd/yyyy> -ResultSize 250000 | select * -ExpandProperty cmdletparameters | Export-CSV -Encoding UTF8 -NoTypeInformation -Path <ファイル名>.csv
[実行例]
Search-AdminAuditLog -Cmdlets "New-DistributionGroup" -StartDate 06/05/2021 -EndDate 07/05/2021 -ResultSize 250000 | select * -ExpandProperty cmdletparameters | Export-CSV -Encoding UTF8 -NoTypeInformation -Path C:\Temp\AdminAuditlog.csv
管理者監査ログの取得結果について
ObjectModified : 設定対象オブジェクトの Name 値(どのユーザーやグループに対して行ったコマンドレットか)
CmdletName : 実行されたコマンドレット
CmdletParameters : [CmdletName] に記載されたコマンドに付与されたすべてのパラメーター
Caller : 実行した管理者ユーザー
※ データセンター側で実行されたログは Caller 項目に "********" と表示されます。
なお、データセンター側で実行されたログにつきましては、公開情報に記載されている以上の情報はご案内ができかねますので予めご承知おきいただけますと幸いです。
RunDate : 実行された日付
Succeeded : 成功かどうか
Name : 何を設定するか
Value : 設定の内容