이 문서를 사용하여 Exchange Online 누락된 전자 메일 메시지를 조사하고 삭제한 사람을 식별합니다. 관리자가 Microsoft Purview 감사 로그를 사용하고 PowerShell을 Exchange Online 삭제 이벤트를 찾고, 사서함 구성을 분석하고, 보존 및 마이그레이션 작업을 검사 사서함 규칙 또는 공유 사서함 액세스로 인해 손실이 발생했는지 여부를 결정하도록 관리자에게 안내합니다.
다음 방법을 사용하여 조사합니다.
- 사용자 또는 관리자가 삭제한 이메일
- 마이그레이션 또는 동기화 문제 후 누락된 전자 메일
- 사서함 규칙 또는 보존 정책에 의해 제거된 전자 메일
- 공유 사서함에서 삭제된 전자 메일
- 예상 폴더에 전자 메일이 표시되지 않음
시작하기 전에
삭제된 전자 메일 및 누락된 메시지를 조사하려면 다음이 필요합니다.
- Microsoft Purview에 할당된 감사 로그 역할
- Connect-ExchangeOnline을 사용하여 Exchange Online PowerShell에 연결하려면
삭제된 전자 메일을 식별하는 방법
다음 방법을 사용하여 누락된 전자 메일을 조사하고 삭제 활동을 식별합니다. 조사 중인 삭제 유형에 따라 메서드를 선택합니다.
작업 유형별로 삭제된 전자 메일 검색
다음 작업을 검색하려면 이 메서드를 사용합니다.
- SoftDelete: 항목이 지운 편지함 폴더로 이동되었습니다.
- HardDelete: 사서함에서 영구적으로 제거된 항목입니다.
- MoveToDeletedItems: 사용자 작업에 의해 지운 편지함 폴더로 이동된 항목입니다.
특정 삭제 작업을 사용하여 이메일 삭제 감사 레코드를 검색하려면 다음 명령을 실행합니다.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
을 사용자 전자 메일 주소로 대체 <user1,user2> 합니다. 사용자 이름을 쉼표로 구분하여 여러 사용자를 지정합니다.
공유 사서함 삭제 검색
공유 사서함에서 삭제를 조사하려면 다음 명령을 실행합니다.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <sharedmailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
참고
공유 사서함 감사는 기본적으로 사용하도록 설정되지 않을 수 있습니다. 이 검색에서 결과가 반환되지 않으면 감사를 사용하도록 구성되지 않은 공유 사서함 감사를 참조하세요.
키워드를 사용하여 누락된 전자 메일 검색
이 방법은 특정 주체 또는 콘텐츠가 있는 전자 메일의 삭제 레코드를 식별하는 데 도움이 됩니다.
누락된 특정 전자 메일과 관련된 감사 레코드를 검색하려면 다음 명령을 실행합니다.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText "<email subject or keyword>" -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
포괄적인 전자 메일 활동 검색
이 광범위한 검색에는 누락된 전자 메일을 설명할 수 있는 이동 및 업데이트가 포함됩니다.
전자 메일 표시 유형에 영향을 주는 모든 활동을 검색하려면 다음 명령을 실행합니다.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations SoftDelete,HardDelete,MoveToDeletedItems,Move,Update,Create -ResultSize 1000
검색 결과 이해
감사 검색에서 결과를 얻지 못하는 경우 누락된 전자 메일의 원인에 대한 중요한 인사이트를 제공할 수 있습니다.
- 삭제 작업을 찾을 수 없음: 기간 동안 사용자가 시작한 삭제를 배제합니다.
- 보존 정책 작업 없음: 자동화된 정책이 전자 메일을 삭제하지 않았음을 나타냅니다.
- 마이그레이션 활동 없음: 마이그레이션 프로세스가 전자 메일을 제거하지 않았음을 표시합니다.
- 관리자 작업 없음: 관리자가 대량 작업을 수행하지 않았는지 확인합니다.
참고
결과를 반환하지 않는 검색을 문서화합니다. 이 정보는 잠재적인 원인을 제거하여 근본 원인을 좁히는 데 도움이 됩니다.
검색 결과 누락
감사 로그 검색에서 누락된 전자 메일에 대한 삭제 레코드를 찾을 수 없는 경우 다음 단계를 시도합니다.
삭제 감사 레코드가 없는 누락된 전자 메일
다음 단계를 사용하여 전자 메일이 누락되었지만 삭제 감사 레코드를 찾을 수 없는 경우를 조사합니다.
삭제가 발생했을 때 감사가 활성화되었는지 확인합니다.
Get-Mailbox <mailbox> | Select AuditEnabled,AuditOwner,AuditDelegate,WhenCreated향후 모니터링을 위해 포괄적인 감사를 사용하도록 설정합니다.
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="SoftDelete","HardDelete","MoveToDeletedItems","Move","Create","Update"}전자 메일을 제거할 수 있는 보존 정책 작업을 검색합니다.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations TaggedAsRecord,ApplyRetentionTag -ResultSize 1000이 명령은 결과를 반환하지 않으면 지정된 기간 동안 보존 정책이 전자 메일을 자동으로 삭제하지 않았음을 나타냅니다. 이 정보는 이메일 누락의 원인으로 자동화된 정책 기반 삭제를 배제하는 데 도움이 됩니다.
공유 사서함 감사가 구성되지 않음
삭제 레코드를 찾을 수 없는 경우 다음 단계를 사용하여 공유 사서함에 대한 감사를 사용하도록 설정합니다.
공유 사서함에 대한 현재 감사 구성을 확인합니다.
Get-Mailbox <sharedmailbox> | Select AuditEnabled,AuditOwner,AuditDelegate,AuditAdmin공유 사서함에 대한 포괄적인 감사를 사용하도록 설정합니다.
Set-Mailbox <sharedmailbox> -AuditEnabled $true -AuditOwner @{Add="SoftDelete","HardDelete","MoveToDeletedItems"} -AuditDelegate @{Add="SoftDelete","HardDelete","MoveToDeletedItems","SendAs","Move"}공유 사서함 액세스 권한이 있는 사용자별 활동을 검색합니다.
Get-MailboxPermission <sharedmailbox> | Where {$_.User -ne "NT AUTHORITY\SELF"} | ForEach { Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds $_.User -Operations SoftDelete,HardDelete -ResultSize 100 }
마이그레이션 관련 전자 메일 손실 조사
다음 단계에서는 마이그레이션 프로세스 중에 손실된 이메일을 조사하는 방법을 보여 줍니다.
마이그레이션 기간 동안 마이그레이션 관련 활동을 검색합니다.
Search-UnifiedAuditLog -StartDate <migration_start_date> -EndDate <migration_end_date> -UserIds <user1,user2> -FreeText "<migration subject or keyword>" -ResultSize 1000
고급 조사 절차
다음 절차에서는 표준 검색에서 누락된 전자 메일의 원인을 밝히지 않을 때 자세한 분석을 수행하는 방법을 보여 줍니다.
전자 메일을 삭제할 수 있는 사서함 규칙 분석
사서함 규칙으로 인해 전자 메일이 삭제되거나 예기치 않은 폴더로 이동되는 것으로 의심되는 경우 다음 전용 사서함 규칙 조사 절차를 사용합니다.
팁
포괄적인 사서함 규칙 조사는 전자 메일 배달에 영향을 줄 수 있는 사서함 규칙을 만들거나 수정하거나 삭제한 사용자를 식별하는 방법에 대한 자세한 지침은 사서함 규칙을 수정한 사람 식별을 참조하세요.
보존 및 규정 준수 정책 조사
규정 준수 정책으로 인해 이메일 삭제가 발생하는지 검사 다음 명령을 실행합니다.
사서함에 적용된 보존 정책을 확인합니다.
Get-Mailbox <mailbox> | Select RetentionPolicy,LitigationHoldEnabled,RetainDeletedItemsFor규정 준수 관련 삭제를 검색합니다.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations ComplianceSettingChanged,RetentionPolicyApplied -ResultSize 1000
관리자 작업 확인
관리자가 전자 메일에 영향을 주는 작업을 수행했는지 검사 다음 명령을 실행합니다.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations Remove-MailboxFolderPermission,Set-Mailbox,New-MailboxExportRequest,New-MailboxImportRequest -ResultSize 1000
빠른 참조
삭제를 조사하기 위한 주요 작업
| 작업 | 설명 | 사용 사례 |
|---|---|---|
| ApplyRetentionTag | 항목에 적용된 보존 정책 | 자동화된 정책 작업 |
| HardDelete | 사서함에서 영구적으로 제거된 항목 | 영구 삭제, 2단계 조사 |
| 이동 | 폴더 간에 이동된 항목 | 폴더 변경 내용 조사 |
| MoveToDeletedItems | 사용자 작업으로 삭제된 항목으로 이동된 항목 | 사용자가 시작한 가 삭제된 항목으로 이동 |
| SoftDelete | 지운 편지함 폴더로 이동된 항목 | 사용자 삭제, 첫 번째 수준 조사 |
| TaggedAsRecord | 보존으로 표시된 항목 | 규정 준수 관련 작업 |
삭제를 조사하기 위한 검색 매개 변수
| 매개 변수 | 설명 | 예제 |
|---|---|---|
| -Freetext | 특정 전자 메일 식별자 검색 | <email subject or unique identifier> |
| -작업 | 삭제 작업 유형별 필터링 | SoftDelete,HardDelete,MoveToDeletedItems |
| -ResultSize | 반환할 결과 수 | 1,000(표준), 5,000(종합) |
| -StartDate/-EndDate | 조사 기간 정의 | 전자 메일이 누락된 시기에 따라 |
| -UserIds | 작업을 수행한 사용자에 의한 필터링 | <user1@domain.com,user2@domain.com> |
다음 단계
- MailItemsAccessed를 사용하여 손상된 계정을 조사합니다. 삭제가 더 광범위한 계정 손상의 일부인지 조사합니다.
- 사서함 규칙을 수정한 사람 식별: 사서함 규칙이 메시지를 자동 삭제하거나 전달하는지 확인합니다.
- 감사 로그 레코드 내보내기, 구성 및 보기: 보고 또는 증거 보존을 위해 조사 결과를 내보냅니다.