今回はExchange Onlineのメールボックス監査ログを取得する方法を検証してみました。

取得するメールボックス監査ログの主な確認目的としては「メールの削除」や「メールの移動」を追ったりする時に使ったりします。
というのも監査ログと言ってもすべての操作が記録されているわけではなく、「メールの削除」や「メールの移動」といった操作が主に記録されているからです。
→これ以外にも記録されていますが、「メールの作成」や「メールボックスへのログイン」等は記録されていないようです。まぁこの辺りまで取得しちゃうとログが膨大になりかねないですからね(^_^;)


では実際に
メールボックス監査ログの取得
ログ確認
をそれぞれやっていきたいと思います!!


[メールボックス監査ログの取得]

まずはメールボックス監査ログを取得したいと思います。
Powershellコマンドの「Search-MailboxAuditLog」となります。
↓↓取得例としてはこんな感じです↓↓
01ーコマンド例

Search-MailboxAuditLog -StartDate mm/dd/yyyy -EndDate mm/dd/yyyy -Identity <対象メールアドレス> -ShowDetails | Export-Csv -NoTypeInformation -Encoding UTF8 -Path MailboxAuditLog.csv

コマンドの詳細については
Search-MailboxAuditLog
を参照ください。


03-ログ出力

ではこのCSVファイルの中身を確認してみます!!


[ログ確認]

CSVファイルを開くとこんな感じでした。
02-ログ

↓↓主に確認に使用する列はこんなところだと思われます↓↓

Operationメールの削除や移動、完全削除等を示しているようです。
ClientInfoString接続種別を示しているようです。OWA・Exchange・POP3等
ClientIPAddress接続元のグローバルIPアドレスのようです。
ClientProcessNameOutlookを使用しているか否かがわかるようです。
ClientVersionOutlookを使用していた場合のバージョンがわかるようです。
LastAccessed実行された時間のようです。



今回の検証はこんなところで終了したいと思います。
そもそもメールが届いたのか、送信されたのか、などは「メールフロー」の「メッセージ追跡」からやると良いと思われます(^o^)
スポンサードリンク