이 문서를 사용하여 Exchange Online 사서함 규칙의 변경 내용을 조사합니다. 사서함의 현재 받은 편지함 및 전달 규칙을 보는 방법과 Microsoft Purview 감사 로그를 검색하여 해당 규칙을 생성, 수정 또는 삭제한 사람을 식별하는 방법을 보여 줍니다.
다음 방법을 사용하여 조사합니다.
- 전자 메일 전달 규칙 변경 내용
- 전자 메일이 예상 폴더에 표시되지 않도록 하는 규칙
- 권한 없는 규칙 수정
시작하기 전에
사서함 규칙 수정을 조사하려면 다음이 필요합니다.
- Microsoft Purview에 할당된 감사 로그 역할
- Connect-ExchangeOnline을 사용하여 Exchange Online PowerShell에 연결하려면
사서함 규칙 수정을 식별하는 방법
이 두 가지 필수 명령을 사용하여 사서함 규칙 변경 내용을 조사합니다.
현재 사서함 규칙 확인
이 정보는 다음을 보여줍니다.
- 현재 규칙 구성: 규칙 구성
- 규칙 작업: 이동, 삭제 또는 전달
- 규칙 상태: 사용 또는 사용 안 함
사서함에 현재 존재하는 규칙을 확인하려면 다음 명령을 실행합니다.
Get-InboxRule -Mailbox <mailbox> | FL Name,Description,DeleteMessage,MoveToFolder,Enabled
규칙 수정 감사 레코드 검색
이 검색은 다음을 찾습니다.
- New-InboxRule: 만든 새 규칙
- Set-InboxRule: 수정된 기존 규칙
- Remove-InboxRule: 규칙 삭제됨
사서함 규칙을 만들거나 수정하거나 삭제한 사용자를 확인하려면 다음 명령을 실행합니다.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
검색이 결과를 반환하지 않을 때 수행할 작업
감사 검색에서 규칙 수정 레코드를 찾을 수 없는 경우:
- 날짜 범위를 확장 하여 이전 변경 내용을 캡처합니다.
Search-UnifiedAuditLog -StartDate 01/01/2020 -EndDate 03/31/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
- 향후 규칙 변경에 대한 감사를 사용하도록 설정합니다.
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="Create","Update"}
빠른 참조
규칙 조사를 위한 주요 작업
| 작업 | 설명 |
|---|---|
| New-InboxRule | 새 사서함 규칙이 만들어졌습니다. |
| Remove-InboxRule | 사서함 규칙이 삭제되었습니다. |
| Set-InboxRule | 기존 사서함 규칙이 수정되었습니다. |
필수 명령
| 명령 | 용도 |
|---|---|
Get-InboxRule -Mailbox <mailbox> |
현재 규칙 구성을 확인합니다. |
Search-UnifiedAuditLog -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule |
규칙을 변경한 사용자를 찾습니다. |
다음 단계
- MailItemsAccessed를 사용하여 손상된 계정을 조사합니다. 권한 없는 규칙 변경이 손상된 계정을 나타내는지 확인합니다.
- 전자 메일 메시지를 삭제한 사람 또는 전자 메일이 누락된 이유 식별: 수정된 규칙으로 인해 전자 메일 삭제 또는 누락된 메시지가 발생했는지 조사합니다.
- 감사 로그 레코드 내보내기, 구성 및 보기: 규정 준수 설명서에 대한 규칙 수정 결과를 내보냅니다.