使用本文调查Exchange Online中邮箱规则的更改。 它演示如何查看邮箱的当前收件箱和转发规则,以及如何搜索Microsoft Purview 审核日志,以确定创建、修改或删除这些规则的人员。
使用以下方法调查:
- 对电子邮件转发规则的更改
- 导致电子邮件不显示在预期文件夹中的规则
- 未经授权的规则修改
开始之前
若要调查邮箱规则修改,需要:
- Microsoft Purview 中分配的 审核日志 角色
- 使用 Connect-ExchangeOnline 连接到 Exchange Online PowerShell
如何识别邮箱规则修改
使用这两个基本命令调查邮箱规则更改。
检查当前邮箱规则
此信息显示:
- 当前规则配置:规则配置
- 规则操作:移动、删除或转发
- 规则状态:启用或禁用
若要查看邮箱中当前存在的规则,请运行以下命令:
Get-InboxRule -Mailbox <mailbox> | FL Name,Description,DeleteMessage,MoveToFolder,Enabled
搜索规则修改审核记录
此搜索将查找:
- New-InboxRule:创建新规则
- Set-InboxRule:修改了现有规则
- Remove-InboxRule:已删除规则
若要查明谁创建了、修改或删除了邮箱规则,请运行以下命令:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
搜索未返回结果时应执行的操作
如果审核搜索未找到规则修改记录:
- 扩展日期范围 以捕获较旧的更改:
Search-UnifiedAuditLog -StartDate 01/01/2020 -EndDate 03/31/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
- 为将来的规则更改启用审核:
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="Create","Update"}
快速参考
规则调查的关键操作
| 操作 | 说明 |
|---|---|
| New-InboxRule | 新建邮箱规则。 |
| Remove-InboxRule | 已删除邮箱规则。 |
| Set-InboxRule | 修改了现有邮箱规则。 |
基本命令
| 命令 | 用途 |
|---|---|
Get-InboxRule -Mailbox <mailbox> |
检查当前规则配置。 |
Search-UnifiedAuditLog -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule |
查找谁进行了规则更改。 |
后续步骤
- 使用 MailItemsAccessed 调查已泄露的帐户:确定未经授权的规则更改是否表示帐户已泄露。
- 确定谁删除了电子邮件或缺少电子邮件的原因:调查修改后的规则是否导致电子邮件删除或丢失邮件。
- 导出、配置和查看审核日志记录:导出合规性文档的规则修改结果。