사용자의 Exchange Online 사서함에서는 메일 삭제, 메일 이동 등 다양한 작업이 발생하며
경우에 따라 사서함 활동에 대한 로그가 필요한 경우가 있습니다.

본 포스팅에서는 사서함 관련 로그를 추천하는 몇 가지 방법에 대해 소개합니다.

*사용자에 할당된 라이선스에 따라, 추출할 수 있는 로그 항목에 차이가 있습니다.
(ex. E5 라이선스의 경우, 메일 읽음에 대한 로그 확인 가능)

사용자 사서함 로그 추출 (Powershell)

Powershell 로 Exchange Online 관련 로그만 추출할 수 있습니다.
사서함에 대한 로그 추출을 원하시는 경우, 운영에서 제가 가장 많이 사용하는 방법이기도 합니다.

링크 를 통해 스크립트를 다운로드 받아주세요.

1
2
3
Connect-ExchangeeOnline
# 스크립트
Disconnect-ExchangeOnline -Confirm:$false

스크립트 실행을 위해서는 Exchange Online 모듈에 연결해야 하므로, 스크립트 시작과 끝에 다음 명령어를 추가해줍니다.

스크립트를 실행하고, 검색하고자 하는 날짜 범위와 사용자 계정을 입력해주세요.
결과 파일은 csv 파일로 추출되어, “AuditLogResults~.csv” 라는 파일명으로 저장됩니다.

사용자 감사 로그 추출 (관리센터)

[Microsoft Purview 관리센터] > [감사] > [새로 지정] 을 클릭합니다.
검색할 날짜/시간 범위, 활동, 사용자 및 사이트를 지정한 후, “검색” 버튼을 클릭합니다.

*검색 가능한 날짜 범위와 활동 종류는 라이선스 종류에 따라 상이할 수 있습니다.

검색이 완료될 때까지 대기한 후, 작업을 클릭한 후 “내보내기” 버튼을 통해 감사 로그를 다운로드 받습니다.

감사 로그

감사 로그의 각 컬럼에 대한 정보는 링크를 참고해주세요.

특정 컬럼의 경우, JSON 형식으로 작성되므로 하나의 셀에서 전체 내용을 보기가 어렵습니다.
이 경우, 다음과 같이 각 데이터 쌍을 컬럼으로 파싱이 가능합니다.