易寶典——玩轉O365中的EXO服務 之四十九 如何知道管理員進行了哪些操作

在企業中除了需要了解、跟蹤管理員可能對用戶郵箱的訪問外，還需要跟蹤管理員在郵件組織中進行的設置和操作，以便確認所有行為合規。并且保證郵件組織的穩定正確運行，以及在出現誤操作或惡意操作時，能夠及時進行排查修復故障。對需要追責的事件提供可靠的指引和證據。

因此，在Exchange Online中提供了管理員審核日志，用于記錄管理員對組織和收件人配置進行的修改。可以用于跟蹤誤操作導致事件、確定惡意操作的行為、驗證相關操作是否符合合規要求。

一、跟蹤管理員對用戶賬戶角色的調整

通常情況下，郵件組織的管理員可以通過自己的權限對企業中的用戶授予一定管理角色，以便指定用戶獲得響應的管理權限。如果未經授權的這類操作，可能將給企業郵件系統帶來維護上的極大困難，影響郵件系統正常運行的穩定性。

那么如何才能有效了解到哪些管理員為其他哪些用戶進行過授權呢？這是在進行合規處理以及后續追責方面尤其需要的。Exchange Online為使用者提供了管理角色組更改報告，該報告可以展示管理員對組織中管理角色組成員修改的信息記錄。

通過Exchange管理中心（EAC）可以很方便的導出管理角色組更改報告。在EAC中導航到“合規性管理”，在右側選擇“審核”，點擊“運行管理員角色組報告”。

在打開的“搜索對管理員角色組的更改”窗口中，指定需要獲取報告的起始日期和結束日期，還可以通過篩選器指定檢索特定角色組的授權情況，如果不指定，則會檢索所有角色組的授權情況。最后點擊“搜索“，將在下方列出符合檢索條件的角色組更改報告。

從報告中很容易看出哪個管理員為哪個用戶在什么時候授予了哪種管理角色權限。

二、利用管理員審核日志跟蹤管理員操作

如果要想知道更多的管理員操作信息，可以通過管理員審核日志來獲取。

對于管理員審核日志的獲取有兩個途徑，分別是通過“運行管理員審核日志報告”和“導出管理員審核日志”。對于“運行管理員審核日志報告”可以查看管理員審核日志中有關組織管理員所做的配置更改。而“導出管理員審核日志”將會把日志導出為一個XML文件，和郵箱審核日志相同，Exchange Online會將該XML文件以郵件附件的形式發送到指定用戶郵箱，因此，如果用戶使用OWA作為客戶端，那么必須為其啟用允許OWA附件，具體操作可以參考《玩轉O365中的EXO服務 之四十七 怎樣獲取郵箱審核日志》（https://blog.51cto.com/liulike/2359471）。

1、確認管理員審核日志功能是否已經啟用

在Exchange Online中管理員審核日志是默認開啟的，可以通過Get-AdminAuditLogConfig來確認該功能是否真實啟用。

Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled

需要注意，在Exchange Online該功能是不能關閉的，但在Exchange Server中該功能可以通過Set-AdminAuditLogConfig來進行啟用或禁用，如：

Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

在確認已經啟用管理員審核日志功能之后就可以查看或導出管理員審核日志了。

2、查看管理員審核日志

在EAC中導航到“合規性管理”，在右側選擇“審核”，點擊“運行管理員審核日志報告”。

在“搜索以查看配置更改”窗口中，指定要檢索的日志的起始日期和終止日期，如果不進行定義則會默認篩選近15日的日志。點擊“搜索”進行檢索，其結果將會顯示在下方。

3、導出管理員審核日志

在EAC中導航到“合規性管理”，在右側選擇“審核”，點擊“導出管理員審核日志”。

指定需要導出日志的起始日期和結束日期，以及將導出的XML文件發送至哪個指定的用戶郵箱，最后點擊導出即可。

Exchange Online限制該XML的大小不超過10MB，所以在選擇時間區間時，應盡量精確，默認的時間范圍為最近15天。另外，Exchange Online的日志導出一般持續時間較長，所以通過不可能馬上收到郵件，通常為24小時內發出，但實測也有更為緩慢的時候，要等到48-72小時或更長。

三、使用PowerShell查詢并導出管理員審核日志

如果要使用一些高級或更加精確的篩選，可以使用PowerShell來進行操作。比如，默認情況下只會篩選出1000條目，但是在PowerShell中使用_ResultSize_可指定符合條件的條目返回數。

1、查詢管理員審核日志

如要篩選2019年3月7日至2019年3月8日，管理員在系統中對郵箱進行的發送和接收郵件大小限制等操作日志。可以使用Search-AdminAuditLog來進行。

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019

可以將其返回值賦予一個變量，通過指定查看該數組類型值的元素ID，可以查看具體的某一條日志記錄。

$res = Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019

$res[0]

可以通過該日志記錄的各屬性查看具體信息。

$res[0].CmdletParameters

2、導出管理員審核日志

可以通過New-AdminAuditLogSearch創建導出管理員審核日志。

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019 -StatusMailRecipients admin@lpwr.net -Name "Mail limit Setting 20190308"

同樣，該操作Exchange Online在執行完成后，將會把符合篩選條件的日志條目以XML文件附件方式發送到指定的郵箱中，時間同樣為24小時內。因此需要較長的等待，并且XML文件的大小會被限制在10MB以內。