システムwiki

Exchange Online-Search-AdminAuditlogにはありませんが、検索-UnifiedAuditlogにあります.

Manikan 受付中 最終更新日:2021-06-16 15:22

私はこの奇妙な問題に直面しています.短くなるには、私がuser1というメールボックスを持っていると言って、私は配布グループにいくつかの変更を加えました(メンバーやものの追加と削除).search-adminauditlogコマンドを使用してその監査ログを検索しようとしたとき、このメールボックス(USER1)のみのデータは表示されませんでした.しかし、user1の監査ログは、PortalのUnifiedAuditlog検索で、およびsearch-unifiedAuditlogコマンドでも後で見つけることができます.私はこれが何であるかわからない.誰もがこの問題に直面して、このための修正を知っていますか?

また、質問がありました:

  1. 監査ログが管理監査ログにどのように保存されるか?

  2. Unified Audit Logsはデータをどこから取得しましたか.(私は統一された監査ログの摂取はこれがどのように機能するかがわからない)

    を想定していたと思います)

  3. この特定のユーザーメールボックスのデータが監査されていない場合はその場合、統合監査ログでどのように入手できるか?

    4. ちなみに、それは私のクライアントのテナントの1つでしたので、今すぐ確認できますが、私がチェックした限りでは、これがそうではありません、これはuser1の管理監査ログにも発生しませんが、後で見つけることができます統一されたauditlogsで.そして、USER1メールボックスはOn-PremiseからO365 Cloudに移行されたため、メールボックスの移行方法もわかりません.これを確認する必要がある他のものはありますか?

    返信リスト(回答:2)

    2 #
    GeorgeX

    こんにちはManikandan12、

    あなたを助けることを嬉しく思い、詳細な説明のためにそれほどありがとうございました.はい、これが起こる可能性があります.検索AdminAuditLogのようなものであるので、管理者レベルでの検索として想像することができます.つまり、管理者監査ログの内容を検索するのはコマンドレットです.管理者監査ユーザーまたは管理者が組織の変更を変更したとき(Exchange管理センターまたはCMDLETSを使用して).これは、特定のユーザーが組織で何かをする必要があることを意味していますが、たとえば、彼は削除または配布グループの1つから移動しました.管理監査ログはそれをキャッチすることはできません.(ユーザーのメールボックスがOn-PremからCloudに移行されています.コマンドレットは両方ともOn-PremまたはCloud側に適しています.AdminAuditlogはそれをキャッチすることができます.

    一方、Unified Audit Logの場合は、管理範囲からユーザーの処置を検索する可能性があります.範囲はより大きく、SIRは親切に参照できます. コンプライアンスセンターで監査ログを検索します 最初のセクションでその範囲の範囲を見る.そのため、Unified Audit Logから表示できる理由です.

    だからあなたの質問に答えるために:

    監査ログが管理監査ログにどのように保存されるか?

    メールボックスの監査ログレコードは、各ユーザーのメールボックスのRecoverable Itemsフォルダ内のサブフォルダ(監査)に保存されています.次のことをメールボックス監査レコードと回復可能なアイテムフォルダ

    について念頭に置いてください.

    <ストライキ>Unified Auditログがデータを取得しました.?

    値はにあります 監査ログの詳細なプロパティ

    この特定のユーザーメールボックスのデータが監査されていない場合は、その場合、統合監査ログで利用できる方法があります. <ストライキ>

    私たちは最初の段落

    であなたの質問に答えました

    <ストライキ>あなたが将来的な気を犯したら私たちに知らせてください.

    あなたの誠意をこめて、

    ジョージ

    応答2# ->にスキップ
    1 #
    Manikan

    ご返信ありがとうございます.私の場合は、特定のユーザー(user1)が配布グループにメンバーを追加しました.また、Global Adminアカウントを使用してsearch-adminAuditlogコマンドを実行すると、他のユーザーのアクティビティのデータ(同様のアクティビティ-配布グループへのメンバー追加)が取得できますが、USER1のアクティビティを取得できません.

    私の理解の中で、adminAuditlogまたはUnifiedAuditlogのどちらかで、ユーザーによって「行われる」という活動だけが利用可能です.私は正しいですか?しかし、それはこの場合の懸念ではありません.私はまだsearch-adminauditlogで他のユーザーのアクティビティを取得し、User1のアクティビティだけが欠けています.しかし、USER1の活動を含むすべての活動は、後でSearch-UnifiedAuditLogコマンドレットの後に見つけることができます.

    user1をチェックする必要がある特定の情報はありますか?

    問題が検索-AdminAuditlogのコマンドレットにある可能性は、ユーザー1のメールボックスの回復可能なアイテムフォルダからデータを取得することができます(前の返信で述べたように).もしそうなら、どのように私はそのケースを確認することができますか?

    関連質問