今回はExchange Onlineのメールボックス監査ログを取得する方法を検証してみました。
取得するメールボックス監査ログの主な確認目的としては「メールの削除」や「メールの移動」を追ったりする時に使ったりします。
というのも監査ログと言ってもすべての操作が記録されているわけではなく、「メールの削除」や「メールの移動」といった操作が主に記録されているからです。
→これ以外にも記録されていますが、「メールの作成」や「メールボックスへのログイン」等は記録されていないようです。まぁこの辺りまで取得しちゃうとログが膨大になりかねないですからね(^_^;)
では実際に
・メールボックス監査ログの取得
・ログ確認
をそれぞれやっていきたいと思います!!
Powershellコマンドの「Search-MailboxAuditLog」となります。
↓↓取得例としてはこんな感じです↓↓
コマンドの詳細については
Search-MailboxAuditLog
を参照ください。
ではこのCSVファイルの中身を確認してみます!!
今回の検証はこんなところで終了したいと思います。
そもそもメールが届いたのか、送信されたのか、などは「メールフロー」の「メッセージ追跡」からやると良いと思われます(^o^)
取得するメールボックス監査ログの主な確認目的としては「メールの削除」や「メールの移動」を追ったりする時に使ったりします。
というのも監査ログと言ってもすべての操作が記録されているわけではなく、「メールの削除」や「メールの移動」といった操作が主に記録されているからです。
→これ以外にも記録されていますが、「メールの作成」や「メールボックスへのログイン」等は記録されていないようです。まぁこの辺りまで取得しちゃうとログが膨大になりかねないですからね(^_^;)
では実際に
・メールボックス監査ログの取得
・ログ確認
をそれぞれやっていきたいと思います!!
[メールボックス監査ログの取得]
まずはメールボックス監査ログを取得したいと思います。Powershellコマンドの「Search-MailboxAuditLog」となります。
↓↓取得例としてはこんな感じです↓↓
Search-MailboxAuditLog -StartDate mm/dd/yyyy -EndDate mm/dd/yyyy -Identity <対象メールアドレス> -ShowDetails | Export-Csv -NoTypeInformation -Encoding UTF8 -Path MailboxAuditLog.csv
コマンドの詳細については
Search-MailboxAuditLog
を参照ください。
ではこのCSVファイルの中身を確認してみます!!
[ログ確認]
Operation | メールの削除や移動、完全削除等を示しているようです。 |
ClientInfoString | 接続種別を示しているようです。OWA・Exchange・POP3等 |
ClientIPAddress | 接続元のグローバルIPアドレスのようです。 |
ClientProcessName | Outlookを使用しているか否かがわかるようです。 |
ClientVersion | Outlookを使用していた場合のバージョンがわかるようです。 |
LastAccessed | 実行された時間のようです。 |
今回の検証はこんなところで終了したいと思います。
そもそもメールが届いたのか、送信されたのか、などは「メールフロー」の「メッセージ追跡」からやると良いと思われます(^o^)
スポンサードリンク
コメント