none
Exchange2016 开启审核功能后,命令查询结果为空,求解决办法 RRS feed

答案

  • 您好Arvin,

    在Exchange 2016环境中,运行Search-MailboxAuditLog后返回空结果是一个官方已知问题。目前的变通解决方案是,将本地系统服务和网络服务账户的语言和区域设置更改为英语(美国)。具体步骤您可以参考下面的这篇KB文档:
    Search-AdminAuditLog or Search-MailboxAuditLog with parameter returns empty results in Exchange Server
    (机翻中文版:https://support.microsoft.com/zh-cn/help/3054391

    此外,根据我的测试,如果搜索命令中的起止日期部分不加具体时间,那默认会被当做12:00:00 AM处理, 所以如果您要搜索5/25/2020当天的日志,在设置完语言和区域后,还需要再修改下命令中的日期部分。以下两条命令供您参考:
    Search-MailboxAuditLog -Identity administrator -StartDate 5/25/2020 -EndDate 5/26/2020 -LogonTypes owner -ShowDetails
    Search-MailboxAuditLog -Identity administrator -StartDate "5/25/2020 12:00:00 AM" -EndDate "5/25/2020 12:00:00 PM" -LogonTypes owner -ShowDetails

    希望上述信息能帮到您。

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年5月26日 5:05

全部回复

  • 您好Arvin,

    在Exchange 2016环境中,运行Search-MailboxAuditLog后返回空结果是一个官方已知问题。目前的变通解决方案是,将本地系统服务和网络服务账户的语言和区域设置更改为英语(美国)。具体步骤您可以参考下面的这篇KB文档:
    Search-AdminAuditLog or Search-MailboxAuditLog with parameter returns empty results in Exchange Server
    (机翻中文版:https://support.microsoft.com/zh-cn/help/3054391

    此外,根据我的测试,如果搜索命令中的起止日期部分不加具体时间,那默认会被当做12:00:00 AM处理, 所以如果您要搜索5/25/2020当天的日志,在设置完语言和区域后,还需要再修改下命令中的日期部分。以下两条命令供您参考:
    Search-MailboxAuditLog -Identity administrator -StartDate 5/25/2020 -EndDate 5/26/2020 -LogonTypes owner -ShowDetails
    Search-MailboxAuditLog -Identity administrator -StartDate "5/25/2020 12:00:00 AM" -EndDate "5/25/2020 12:00:00 PM" -LogonTypes owner -ShowDetails

    希望上述信息能帮到您。

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年5月26日 5:05
  • 您好,感谢您的回复。

    系统语言改为英文后,查询返回结果还是空白。

    2020年5月27日 2:15
  • 您好,

    根据KB文章的说明,我们还需要勾选“欢迎屏幕和系统帐”,如下图:


    请您勾选后重启下Exchange服务器,然后如我们上面提到的,修改下搜索命令中的日期部分,看是否可以返回结果。您也可以直接使用之前回复中的两条命令。

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年5月27日 2:28
  • 现在在ECP可以看到管理员的操作记录了。或者用 Search-AdminAuditLog 查看记录。

    另外问下,如何查看普通用户删除邮件的操作记录。 

    2020年5月27日 4:10
  • 您好,

    很高兴得知查询结果为空的问题已经解决。您可以把上述有用的回复标记为答案,以便其他有相同问题的用户可以从您的帖子中找到有用信息。感谢您的理解与支持!

    >> 另外问下,如何查看普通用户删除邮件的操作记录。
    请问您是想要查看普通邮箱所有者自己从邮箱中删除邮件的操作记录吗?如果是这样的话,您可以先用下面的命令对邮箱所有者删除邮件的操作启用审核日志记录:

    Set-Mailbox -Identity user1 -AuditOwner MoveToDeletedItems,SoftDelete,HardDelete -AuditEnabled $true

    (MoveToDeletedItems表示将项目移动到"已删除邮件"文件夹中;SoftDelete表示从"已删除邮件"文件夹中删除项目;HardDelete表示从"可恢复的项目"文件夹中永久删除项目。)

    启用审核后,可以用类似下面的命令查看邮箱所有者的删除操作:

    Search-MailboxAuditLog -Identity user1 -LogonTypes Owner -ShowDetails

    更多信息,您可以参阅下面这篇英文博客:
    Tracking Mailbox Owner Deletes Using Mailbox Audit Logging
    注意:微软提供此信息是为了方便您。这些网站不受微软控制。微软不能就其中发现的任何软件或信息的质量,安全性或适用性做出任何陈述。在从上述链接中检索任何建议之前,请确保您完全了解风险。

    希望上述信息能帮到您。

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2020年5月27日 6:22