이 문서에서는 Search-UnifiedAuditLog에서 반환된 Exchange 감사 레코드에 표시되는 속성과 필드를 설명합니다. 사서함 활동을 조사하거나 감사 출력을 구문 분석하는 스크립트를 빌드하는 Exchange 및 Microsoft 365 관리자를 위해 작성되었습니다. 기본 속성에 대한 간결한 설명, 일반적인 작업에 대한 대표 AuditData JSON, PowerShell 추출 예제 및 일반적인 속성 값 및 조사 시나리오에 대한 빠른 참조를 찾을 수 있습니다.
이 참조를 사용하여 다음을 이해합니다.
- 감사 레코드 결과의 주요 속성
- 각 필드가 나타내고 포함하는 항목
- 공통 속성 값 및 해당 의미
- 감사 데이터에서 기본 정보를 추출하는 방법
감사 레코드 구조 참조
Exchange 감사 레코드에는 감사된 활동에 대한 다양한 유형의 정보를 제공하는 몇 가지 주요 속성이 포함되어 있습니다.
기본 감사 레코드 속성
Search-UnifiedAuditLog를 실행하면 각 결과에는 다음과 같은 기본 속성이 포함됩니다.
| 속성 | 데이터 형식 | 설명 | 예제 값 |
|---|---|---|---|
| AuditData | JSON 문자열 | 활동에 대한 자세한 JSON 데이터 | 복합 JSON 구조체 |
| CreationDate | 날짜/시간 | 활동이 발생한 경우 | 2025년 11월 17일 오후 2:30:15 |
| ID | GUID | 감사 레코드의 고유 식별자 | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| 운영 | String | 발생한 활동 유형 | SoftDelete, HardDelete, Move |
| ResultCount | 정수 | 사용 가능한 총 결과 | 150 |
| ResultIndex | 정수 | 검색 결과의 위치 | 1, 2, 3... |
| UserIds | String | 활동을 수행한 사람 | <user@domain.com> |
AuditData JSON 구조체 참조
AuditData 속성에는 JSON 형식의 자세한 정보가 포함되어 있습니다. 다음은 일반적인 작업에 대한 몇 가지 일반적인 JSON 응답 구조입니다.
- Email 삭제(SoftDelete/HardDelete)
{
"CreationTime": "2025-11-17T14:30:15",
"Id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"Operation": "SoftDelete",
"OrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"RecordType": 2,
"ResultStatus": "Success",
"UserKey": "user@domain.com",
"UserType": 0,
"Version": 1,
"Workload": "Exchange",
"ClientIP": "192.168.1.100",
"ObjectId": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwBGAAAAAAC7...",
"UserId": "user@domain.com",
"ClientInfoString": "Client=OWA;Mozilla/5.0...",
"ExternalAccess": false,
"InternalLogonType": 0,
"MailboxGuid": "87654321-4321-4321-4321-210987654321",
"MailboxOwnerUPN": "mailboxowner@domain.com",
"LogonType": 0,
"Item": {
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwBGAAAAAAC7...",
"Subject": "Meeting Request - Q4 Planning",
"ParentFolder": {
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwAuAAAAAAC7...",
"Name": "Inbox",
"Path": "[\\Inbox](file:///\\inbox\)"
}
},
"SessionId": "11111111-2222-3333-4444-555555555555"
}
- 사서함 규칙 만들기(New-InboxRule)
{
"CreationTime": "2025-11-17T14:45:22",
"Id": "98765432-8765-8765-8765-876543218765",
"Operation": "New-InboxRule",
"OrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"RecordType": 1,
"ResultStatus": "Success",
"UserKey": "user@domain.com",
"UserType": 0,
"Version": 1,
"Workload": "Exchange",
"ClientIP": "10.0.0.50",
"ObjectId": "InboxRule:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"UserId": "user@domain.com",
"ClientInfoString": "Client=WebServices;ExchangeWebServices",
"MailboxGuid": "87654321-4321-4321-4321-210987654321",
"MailboxOwnerUPN": "mailboxowner@domain.com",
"Parameters": \[
{
"Name": "Name",
"Value": "Move Microsoft Security Emails"
},
{
"Name": "MoveToFolder",
"Value": "[\\Inbox\\Security](file:///\\inbox\Security)"
},
{
"Name": "From",
"Value": "security-noreply@microsoft.com"
}
\],
"SessionId": "22222222-3333-4444-5555-666666666666"
}
- 사서함 액세스(MailItemsAccessed)
{
"CreationTime": "2025-11-17T15:00:10",
"Id": "13579246-1357-1357-1357-135792468135",
"Operation": "MailItemsAccessed",
"OrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"RecordType": 50,
"ResultStatus": "Success",
"UserKey": "user@domain.com",
"UserType": 0,
"Version": 1,
"Workload": "Exchange",
"ClientIP": "203.0.113.45",
"UserId": "user@domain.com",
"ClientInfoString": "Client=ActiveSync;Apple-iPhone/1309.63",
"MailboxGuid": "87654321-4321-4321-4321-210987654321",
"MailboxOwnerUPN": "mailboxowner@domain.com",
"ClientAppId": "00000002-0000-0ff1-ce00-000000000000",
"Folders": \[
{
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwAuAAAAAAC7...",
"Path": "[\\Inbox](file:///\\inbox\)",
"FolderItems": \[
{
"Id": "AAMkADM2NDIyMzUzLWE1ZjQtNGVkNS04OGE3LTg5NzY4ZDc1ZTZhNwBGAAAAAAC7...",
"Subject": "Weekly Status Report"
}
\]
}
\],
"OperationCount": 5,
"SessionId": "33333333-4444-5555-6666-777777777777"
}
범주별로 구성된 주요 필드는 다음과 같습니다.
사용자 및 세션 정보
| 필드 | 데이터 형식 | 설명 | 예제 값 |
|---|---|---|---|
| ClientInfoString | String | 클라이언트 애플리케이션 정보 | Client=OWA, Client=WebServices |
| ClientIP | String | 클라이언트의 IP 주소 | 192.168.1.100 |
| SessionId | GUID | 고유 세션 식별자 | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| UserId | String | 작업을 수행한 사용자 | user@domain.com |
| UserKey | String | 사용자 식별자 키 | user@domain.com |
| UserType | String | 사용자 계정 유형 | 일반, 관리, 시스템, 애플리케이션 |
활동 세부 정보
| 필드 | 데이터 형식 | 설명 | 예제 값 |
|---|---|---|---|
| CreationTime | 날짜/시간 | 작업이 발생한 경우(UTC) | 2025-11-17T14:30:15Z |
| 작업 | String | 수행된 특정 작업 | SoftDelete, New-InboxRule, MailItemsAccessed |
| OrganizationId | GUID | 조직 식별자 | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| RecordType | String | 감사 레코드 유형 | ExchangeItem, ExchangeAdmin |
| 워크로드 | String | Microsoft 365 서비스 | Exchange, SharePoint, OneDrive |
대상 정보
| 필드 | 데이터 형식 | 설명 | 예제 값 |
|---|---|---|---|
| Item.Id | String | Exchange 항목 식별자 | AAMkADM2... |
| Item.ParentFolder.Name | String | 항목이 있는 폴더 이름 | 받은 편지함, 보낸 항목, 삭제된 항목 |
| Item.ParentFolder.Path | String | 전체 폴더 경로 | \받은 편지함, \삭제된 항목 |
| Item.Subject | String | 전자 메일 제목 줄 | 모임 요청 |
| MailboxGuid | GUID | 대상 사서함 식별자 | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| MailboxOwnerUPN | String | 사서함 소유자의 전자 메일 주소 | mailboxowner@domain.com |
기본 데이터 추출 기술
JSON 데이터 변환
JSON에서 AuditData 정보를 추출하려면 다음 명령을 사용합니다.
\$AuditData = ConvertFrom-Json \$Results[0].AuditData
\$AuditData.UserId
\$AuditData.ClientIP
\$AuditData.MailboxOwnerUPN
키 속성 표시
기본 속성을 읽을 수 있는 형식으로 보려면 다음 명령을 사용합니다.
\$Results \| Select CreationDate, UserIds, Operations, @{Name="MailboxOwner";Expression={(ConvertFrom-Json \$\_.AuditData).MailboxOwnerUPN}} \| Format-Table -AutoSize
일반적인 속성 값 이해
다음 표는 감사 레코드 속성에 있는 일반적인 값을 이해하는 데 도움이 됩니다.
작업 유형
| 작업 | 설명 | 조사 포커스 |
|---|---|---|
| HardDelete | 항목이 영구적으로 제거됨 | 영구 삭제 |
| MailItemsAccessed | 사서함 항목에 액세스했습니다. | 무단 액세스 조사 |
| 이동 | 폴더 간에 이동된 항목 | 폴더 organization 변경 내용 |
| New-InboxRule | 새 사서함 규칙 만들기 | 규칙 만들기 조사 |
| 보내기 | Email 전송됨 | Email 통신 추적 |
| Set-InboxRule | 사서함 규칙 수정됨 | 규칙 수정 추적 |
| SoftDelete | 항목이 삭제된 항목으로 이동됨 | 사용자가 시작한 삭제 |
RecordType 값
| RecordType | 워크로드 | 일반적인 작업 |
|---|---|---|
| ExchangeAdmin | Exchange | New-InboxRule, Set-InboxRule, Set-Mailbox |
| ExchangeAggregatedOperation | Exchange | MailItemsAccessed(대량 작업) |
| ExchangeItem | Exchange | SoftDelete, HardDelete, Move, Send |
UserType 값
| UserType | 설명 | 조사 참고 사항 |
|---|---|---|
| 관리자 | 관리자 계정 | 관리 작업 |
| 응용 프로그램 | 애플리케이션 서비스 주체 | 앱 기반 액세스 |
| 레귤러 | 사용자 계정 Standard | 일반 사용자 활동 |
| 시스템 | 시스템 또는 서비스 계정 | 자동화된 프로세스 |
ClientInfoString 예제
| ClientInfoString | 설명 | Access 메서드 |
|---|---|---|
| Client=ActiveSync | Exchange ActiveSync | 모바일 디바이스 동기화 |
| Client=IMAP4 | IMAP 프로토콜 | IMAP 클라이언트 액세스 |
| 클라이언트=OWA | Outlook Web App | 웹 브라우저 액세스 |
| Client=POP3 | POP3 프로토콜 | POP3 클라이언트 액세스 |
| 클라이언트=웹서비스 | EWS(Exchange 웹 서비스) | 프로그래밍 방식 액세스 |
빠른 참조
조사를 위한 필수 속성
| 조사 유형 | 포커스를 맞출 주요 속성 |
|---|---|
| 대량 작업 | SessionId, ItemCount, ClientIP, UserIds, Operations |
| Email 삭제 | CreationDate, UserIds, Operations, Item.Subject, Item.ParentFolder.Name |
| 규칙 변경 내용 | UserIds, Operations, Parameters, ClientIP, MailboxOwnerUPN |
| 권한 없는 액세스 | UserIds, ClientIP, ClientInfoString, MailboxOwnerUPN, SessionId |
유용한 PowerShell 기술
| 기술 | 명령 예제 | 용도 |
|---|---|---|
| JSON 변환 | ConvertFrom-Json \$\_.AuditData |
자세한 감사 정보 추출 |
| 데이터 필터링 | Where-Object {\$\_.ClientIP -like "192.168.\*"} |
특정 조건에 집중 |
| 출력 서식 지정 | Format-Table -Wrap -AutoSize |
결과를 명확하게 표시 |
| 결과 그룹화 | Group-Object ClientIP |
패턴 및 변칙 식별 |
| 속성 선택 | CreationDate, UserIds, Operations를 선택합니다. | 관련 정보만 표시 |
다음 단계
- 특정 사서함에서 사서함 활동에 대한 감사 로그 검색: Exchange 감사 속성에 대한 지식을 적용하여 특정 사서함 활동을 검색합니다.
- PowerShell 스크립트를 사용하여 감사 로그 검색: 자동화된 감사 로그 검색에서 이 문서의 PowerShell 기술을 사용합니다.
- MailItemsAccessed를 사용하여 손상된 계정 조사: MailItemsAccessed 감사 작업을 사용하여 Exchange 사서함 액세스 패턴 조사