Como buscar log de exclusão de mensagens no M365
Guia: Conectar via PowerShell em um Tenant do Microsoft 365
Passo 1: Preparação do Ambiente
1. Instalar os módulos necessários: Certifique-se de ter o módulo Microsoft Exchange Online Management instalado. Para isso, execute o comando abaixo no PowerShell:
Install-Module -Name ExchangeOnlineManagement
2. Configurar permissões de execução: Caso os scripts estejam bloqueados no sistema, você pode alterar a política de execução com o comando:
Set-ExecutionPolicy RemoteSigned
Se solicitado, confirme com "Y" para aplicar a alteração.
Passo 2: Conexão ao Tenant
1. Abrir o PowerShell: Abra o PowerShell como administrador.
2. Importar o módulo Exchange Online Management:
Import-Module ExchangeOnlineManagement
3. Autenticar no Microsoft 365: Use o comando abaixo para iniciar a sessão de login:
Connect-ExchangeOnline -UserPrincipalName seu_email@seu_dominio.com
Substitua `seu_email@seu_dominio.com` pelo e-mail de administrador do seu tenant. Insira as credenciais quando solicitado.
4. Confirmar conexão: Após autenticar, você estará conectado ao Exchange Online do tenant.
Passo 3: Executar Comando para Gerar Relatório de Exclusões
1. Entendendo o comando: O comando abaixo gera um relatório de exclusões (Hard Delete, Soft Delete, e movimentações para a lixeira) dentro de um período específico para o usuário especificado.
Search-UnifiedAuditLog -StartDate 12/01/2024 -EndDate 12/12/2024 -Operations HardDelete, SoftDelete, MoveToDeletedItems -UserIds bruno.vieira@skyexchange.com.br | Select UserIds, Operations, AuditData, ResultItem, ResultCount | FL
2. Descrição dos parâmetros:
- -StartDate e -EndDate: Especificam o período de busca. (mês/dia/ano)
- -Operations: Define os tipos de operações a serem filtradas (HardDelete, SoftDelete, MoveToDeletedItems).
- -UserIds: Filtra os resultados para um usuário específico.
- -Select: Seleciona os campos relevantes para exibição.
3. Resultado: Este comando retorna detalhes sobre operações de exclusão realizadas no período indicado, incluindo informações como:
- IDs do usuário e operações executadas.
- Dados de auditoria detalhados.
- Contagem de resultados e itens afetados.
Passo 4: Exportar o Relatório (Opcional)
Se preferir exportar os resultados para um arquivo, você pode modificar o comando para salvar os dados em um arquivo `.csv`:
Search-UnifiedAuditLog -StartDate 12/01/2024 -EndDate 12/12/2024 -Operations HardDelete, SoftDelete, MoveToDeletedItems -UserIds bruno.vieira@skyexchange.com.br | Select UserIds, Operations, AuditData, ResultItem, ResultCount | Export-Csv -Path "C:\RelatorioExclusoes.csv" -NoTypeInformation
Substitua `C:\RelatorioExclusoes.csv` pelo caminho onde deseja salvar o arquivo.
Passo 5: Encerrar a Sessão
Para encerrar a conexão com o tenant, use o comando:
Disconnect-ExchangeOnline
Com isso, sua sessão será finalizada de forma segura.
Exemplo de print do comando:
UserIds : bruno.vieira@skyexchange.com.br
Operations : SoftDelete
AuditData : {"AppAccessContext":{"AADSessionId":"4c1b2089-727a-4055-aa06-4ea9a617b9ef","IssuedAtTime":"2024-11-06T12:
20:47","UniqueTokenId":"iPQ5jC6_-UmiKJbQRRqrAA"},"CreationTime":"2024-11-06T12:46:41","Id":"05dd51a4-0331
-4344-6741-08dcfe611028","Operation":"SoftDelete","OrganizationId":"abe12a24-58a8-4d9d-979b-4f3950d21a82"
,"RecordType":3,"ResultStatus":"PartiallySucceeded","UserKey":"1003200368EF285E","UserType":0,"Version":1
,"Workload":"Exchange","ClientIP":"177.190.200.193","UserId":"bruno.vieira@skyexchange.com.br","AppId":"d
3590ed6-52b3-4102-aeff-aad2292ab01c","ClientAppId":"d3590ed6-52b3-4102-aeff-aad2292ab01c","ClientIPAddres
s":"177.190.200.193","ClientInfoString":"Client=MSExchangeRPC","ClientProcessName":"OUTLOOK.EXE","ClientR
equestId":"{C3AEAC48-F783-4E8D-A24B-5FF3327C193F}","ClientVersion":"16.0.18129.20030","DeviceId":"f3f6718
3-d112-4206-a52e-e1f522d02b9b","ExternalAccess":false,"InternalLogonType":0,"LogonType":0,"LogonUserSid":
"S-1-5-21-2154508590-3725923154-2379730117-46007014","MailboxGuid":"15ec0466-c745-46fe-85b6-e86f778501cf"
,"MailboxOwnerSid":"S-1-5-21-2154508590-3725923154-2379730117-46007014","MailboxOwnerUPN":"bruno.vieira@s
kyexchange.com.br","OrganizationName":"skyexchange.onmicrosoft.com","OriginatingServer":"CPWP215MB2109 (1
5.20.4200.000)\r\n","SessionId":"4c1b2089-727a-4055-aa06-4ea9a617b9ef","AffectedItems":[{"Id":"RgAAAABZBa
LtOCR2RozEiFRKGHd5BwDs2tjmmm3fSJZVvZxMVd75AAAAAAELAADs2tjmmm3fSJZVvZxMVd75AAAST2uRAAAA","ParentFolder":{"
Id":"LgAAAABZBaLtOCR2RozEiFRKGHd5AQDs2tjmmm3fSJZVvZxMVd75AAAAAAELAAAB","Path":"\\Caixa de Saída"}}],"Cros
sMailboxOperation":false,"Folder":{"Id":"LgAAAABZBaLtOCR2RozEiFRKGHd5AQDs2tjmmm3fSJZVvZxMVd75AAAAAAELAAAB
","Path":"\\Caixa de Saída"}}
ResultItem :
ResultCount : 32
É possível também buscar pelo mesmo arquivo, mas com filtro de IP, seguindo este comando:
Search-UnifiedAuditLog -StartDate 12/01/2024 -EndDate 12/12/2024 -Operations HardDelete, SoftDelete, MoveToDeletedItems -UserIds bruno.vieira@skyexchange.com.br | Where-Object { $_.AuditData -like "*177.190.200.193*" } | Select UserIds, Operations, AuditData, ResultItem, ResultCount | FL
É possível também buscar pelo mesmo arquivo, mas com filtro de remetente, seguindo este comando:
Search-UnifiedAuditLog -StartDate 12/01/2024 -EndDate 12/12/2024 -Operations HardDelete, SoftDelete, MoveToDeletedItems -UserIds bruno.vieira@skyexchange.com.br -Sender remetente@dominio.com | Select UserIds, Operations, AuditData, ResultItem, ResultCount | FL