メールボックス監査ログを有効にすることで、ユーザーが Outlook でどのような操作を行ったか、ログから確認することが可能です。
- メールボックスへのログイン
- メールボックス内でのアイテムの作成 / 移動 / 削除
- ゴミ箱からの削除
- 予定表の委任
- 仕分けルールの作成 / 変更 / 削除
監査ログの設定状況の確認
Exchange 組織全体のメールボックス監査既定値
False の値は、組織のメールボックス監査が既定で有効になっていることを示します。
これは、既定で組織の値によって、特定のメールボックスのメールボックス監査設定よりも優先されます。たとえば、メールボックスに対してメールボックスの監査が無効になっている場合 ( メールボックスの AuditEnabled プロパティは False )、既定のメールボックス操作は、組織に対して既定でメールボックス監査が有効になっているため、メールボックスに対して監査されます。
Get-OrganizationConfig | select AuditDisabledAuditDisabled
—————
False
メールボックスの監査既定値
メールボックスのメールボックス監査ログは既定で有効 (True) です。
| プロパティ | 説明 | 既定 |
|---|---|---|
| AuditEnabled | 監査ログが有効かどうか ※ O365 テナントで監査ログを検索する場合にも $true にする必要あり | True |
| AuditOwner | メールボックス所有者が実行したアクションがメールボックスに対してログに記録される | Update MoveToDeletedItems SoftDelete HardDelete UpdateFolderPermissions UpdateInboxRules UpdateCalendarDelegation ApplyRecord |
| AuditDelegate | 代理人ユーザーが実行したアクションがメールボックスに対してログに記録される | Update MoveToDeletedItems SoftDelete HardDelete SendAs SendOnBehalf Create UpdateFolderPermissions UpdateInboxRules ApplyRecord |
| AuditLogAgeLimit | メールボックス監査ログの、ログの保存期間が表示される。 | 90 |
設定値の確認
以下コマンドで、該当メールボックスの監査ログ設定値を確認します。
Get-Mailbox -Identity <対象メールボックス> | Select DisplayName,AuditEnabled,AuditOwner,AuditDelegate,AuditLogAgeLimit | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "<保存先パス\ファイル名>"以下サンプルです。
Get-Mailbox -Identity taro | Select DisplayName,AuditEnabled,AuditOwner,AuditDelegate,AuditLogAgeLimit | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "D:\work\taro.csv"監査項目
メールボックスに対して監査ログを有効にすると、次のような操作ログの取得が可能です。
| 操作 | 説明 |
|---|---|
| Update | メッセージまたはそのプロパティのいずれかが変更された。 |
| MoveToDeletedItems | メッセージが削除され、[削除済みアイテム](Deleted Items) フォルダーに移動された。 |
| SoftDelete | メッセージが完全に削除されたか、[削除済みアイテム] フォルダーから削除された。削除済みアイテムは、[回復可能なアイテム] フォルダーに移動された。 |
| HardDelete | メッセージが [回復可能なアイテム] フォルダーから削除された。 |
| SendAs | SendAs アクセス許可を使用してメッセージが送信された 他のユーザーがこのメールボックスの所有者を装ってメッセージを送信した。 |
| SendOnBehalf | メッセージが代理人として送信するアクセス許可を使用して送信された。これは、別のユーザーがメールボックスの所有者の代わりにメッセージを送信したことを意味する。 |
| Create | アイテムが、メールボックスの [予定表]、[連絡先]、[メモ]、または [タスク] フォルダーに作成された。たとえば、新しい会議出席依頼が作成されたなど。 |
| UpdateFolderPermissions | フォルダーのアクセス許可が変更された。フォルダーのアクセス許可では、メールボックス内にあるフォルダーとそれらのフォルダーに格納されているメッセージにアクセスできる組織内のユーザーを管理する。 |
| UpdateInboxRules | 受信トレイ ルールが追加、削除、または変更された。 |
| ApplyRecord | アイテムにはレコードとしてラベルが付けられた。 |
| Copy | メッセージが別のフォルダにコピーされた。 |
| FolderBind | メールボックスのフォルダーにアクセスされた。このアクションは、管理者または代理人が、メールボックスを開くときにもログ記録される。 |
| MailboxLogin | ユーザーが各自のメールボックスにサインインした。 |
| MessageBind | メッセージがプレビューウィンドウで表示されるか、開かれた。 |
| Move | メッセージが別のフォルダーに移動された。 |
監視項目の追加と削除
監視項目の追加
ユーザー taro のメールボックスでは、以下の監査項目が設定されています。
(Get-Mailbox taro).AuditOwnerUpdate
MoveToDeletedItems
SoftDelete
HardDelete
UpdateFolderPermissions
UpdateInboxRules
UpdateCalendarDelegation
ApplyRecord
ユーザー taro のメールボックスに対し、以下のコマンドを実行します。
Set-Mailbox taro -AuditOwner @{add="MailboxLogin"}再度、監視項目を確認します。
(Get-Mailbox taro).AuditOwner監査項目 [MailboxLogin] が追加されました。
Update
MoveToDeletedItems
SoftDelete
HardDelete
MailboxLogin
UpdateFolderPermissions
UpdateInboxRules
UpdateCalendarDelegation
ApplyRecord
監視項目の削除
ユーザー taro のメールボックスに対し、以下のコマンドを実行します。
Set-Mailbox taro -AuditOwner @{Remove="Update"}再度、監視項目を確認します。
(Get-Mailbox taro).AuditOwner監査項目 [Update] が削除されました。
MoveToDeletedItems
SoftDelete
HardDelete
MailboxLogin
UpdateFolderPermissions
UpdateInboxRules
UpdateCalendarDelegation
ApplyRecord
監査ログの取得
特定ユーザーのメールボックス監査ログを取得
以下コマンドを実行し、特定ユーザーのメールボックス監査ログを取得します。
Search-MailboxAuditLog -StartDate <mm/dd/yyyy> -EndDate <mm/dd/yyyy> -Identity <対象メールボックス> -ShowDetails | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "<保存先パス\ファイル名>"以下サンプルです。
Search-MailboxAuditLog -StartDate 6/25/2022 -EndDate 6/28/2022 -Identity taro -ShowDetails | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "D:\work\taro.csv"全ユーザーのメールボックス監査ログを取得
以下コマンドを実行し、全ユーザーのメールボックス監査ログを取得します。
Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails UserMailbox | Search-MailboxAuditLog -StartDate <mm/dd/yyyy> -EndDate <mm/dd/yyyy> -ShowDetails | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "<保存先パス\ファイル名>"以下サンプルです。
Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails UserMailbox | Search-MailboxAuditLog -StartDate 6/25/2022 -EndDate 6/28/2022 -ShowDetails | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "D:\work\ALL.csv"メールボックス監査ログの解析
CSV で出力された監査ログを Operation の単位で解析しました。
フィールドは使用頻度が高いと想定されるものを一部抜粋しております。
MoveToDeletedItems
Operation が MoveToDeletedItems の監査ログ サンプルになります。
| フィールド | 意味 | 実際の値 |
|---|---|---|
| Operation | 行った作業 | MoveToDeletedItems |
| OperationResult | 結果 | Succeeded |
| LogonType | 実行ユーザー | Owner |
| DestFolderPathName | 移動操作の宛先フォルダーのパス | \Deleted Items |
| FolderPathName | フォルダーのパス | \Inbox |
| ClientProcessName | アプリケーションのプロセス名 | OUTLOOK.EXE |
| ClientVersion | アプリケーションのバージョン | 16.0.15225.20286 |
| LogonUserDisplayName | ログオンしたユーザーの表示名 | 山田 太郎 |
| SourceItemSubjectsList | メッセージ アイテムの件名 | test |
| LastAccessed | 操作が実行された時刻 | 2022/07/01 5:17:55 |
メールボックスの所有者が、 Outlook で [受信トレイ] (\Inbox) 内の [件名] が「test」であるアイテムを削除 ([削除済みアイテム] (\Deleted Items) へ移動) した内容になっています。
SoftDelete
| フィールド | 意味 | 実際の値 |
|---|---|---|
| Operation | 行った作業 | SoftDelete |
| OperationResult | 結果 | Succeeded |
| LogonType | 実行ユーザー | Owner |
| DestFolderPathName | 移動操作の宛先フォルダーのパス | – |
| FolderPathName | フォルダーのパス | \Deleted Items |
| ClientProcessName | アプリケーションのプロセス名 | OUTLOOK.EXE |
| ClientVersion | アプリケーションのバージョン | 16.0.15225.20286 |
| LogonUserDisplayName | ログオンしたユーザーの表示名 | 山田 太郎 |
| SourceItemSubjectsList | メッセージ アイテムの件名 | test |
| LastAccessed | 操作が実行された時刻 | 2022/07/01 7:24:55 |
メールボックスの所有者が、 Outlook で [削除済みアイテム] (\Deleted Items) 内の [件名] が「test」であるアイテムを削除 ([削除済みアイテムを復元] (\Recoverable Items\Deletions) へ移動) した内容になっています。
HardDelete
| フィールド | 意味 | 実際の値 |
|---|---|---|
| Operation | 行った作業 | HardDelete |
| OperationResult | 結果 | Succeeded |
| LogonType | 実行ユーザー | Owner |
| DestFolderPathName | 移動操作の宛先フォルダーのパス | – |
| FolderPathName | フォルダーのパス | \Recoverable Items\Deletions |
| ClientProcessName | アプリケーションのプロセス名 | OUTLOOK.EXE |
| ClientVersion | アプリケーションのバージョン | 16.0.15225.20286 |
| LogonUserDisplayName | ログオンしたユーザーの表示名 | 山田 太郎 |
| SourceItemSubjectsList | メッセージ アイテムの件名 | test |
| LastAccessed | 操作が実行された時刻 | 2022/07/01 7:24:55 |
メールボックスの所有者が、 Outlook で [削除済みアイテムを復元] (\Recoverable Items\Deletions) 内の [件名] が「test」であるアイテムを削除した内容になっています。
コメント