Exchange オンライン履歴検索の実行

Exchange オンライン履歴検索の実行

履歴検索では、最大 90 日前のメッセージ追跡データがフェッチされます。

いくつかを実行する必要があったのは久しぶりです Exchange Online のメッセージ追跡.少なくとも、トレース結果への即時アクセスのために Exchange Online でサポートされている 10 日間のオンライン ウィンドウを超えるトレースを実行します。この期間が経過すると、Exchange Online はメッセージ追跡データ (基本的に Exchange Server のメッセージ追跡ログと呼ばれるもの) をオフライン ストアに移動します。トレース情報をさらにさかのぼって取得するには、管理者は「履歴検索」を送信する必要があります。

履歴検索は 90 日前までさかのぼることができます。歴史的とは別の言い方をすれば「データがオフラインであり、バックグラウンド ジョブを実行してデータを取得する必要がある."

一部のメッセージ追跡を履歴にする必要がある理由

状況を考えると、マイクロソフトのアプローチは非常に論理的です。Exchange Online インフラストラクチャのサイズ (毎日 92 億件のメッセージを処理している 300K のメールボックス サーバー) を考えると、メッセージ追跡データを 10 日以上オンラインに保つと、多くの記憶域が占有されます。Microsoftのテレメトリは、ほとんどのメッセージトレースがメッセージが送信されてから10日以内に発生することを間違いなく伝えているため、10日間のオンライントレース制限になります。

実際、履歴検索では1〜4時間以内にメッセージを見つけることができます。Exchange Online は、メッセージ追跡データをオフライン ストアに継続的にオフロードします。サービスへの負担を軽減するために、テナントは毎日最大 250 件の履歴検索 (別の形式の調整) を実行でき、履歴検索によって作成された CSV ファイルには最大 100,000 行を含めることができます。ほとんどのテナントはこれらの制限に達しませんが、24 時間以内に実行しようとする検索が多すぎると、Exchange Online によって警告が表示されます。

履歴検索の実行

いずれにせよ、私の要件は単純でした。ユーザーは、約 2 週間前に既知の送信者から電子メールを受信したかどうかを知りたいと思っていました。管理者が Exchange 管理センター (EAC) から実行できる通常のメッセージ追跡とは異なり、PowerShell を使用して履歴検索を作成するには、 開始履歴検索 コマンドレット。

通常のメッセージトレース検索(私が望むタイプ)とは別に、 開始履歴検索 さまざまなレポートを生成できます。ヴァシル・ミチェフ これらのレポートを彼のブログに文書化しています、私はここでそれらを無視することができます。代わりに、送信者アドレス、受信者アドレス、開始日と終了日、およびレポートの種類が重要な要素である単純なメッセージ追跡レポートを実行することで、ニーズが満たされます。このようなコマンドは、Exchange Online が処理するためのバックグラウンド ジョブとして履歴検索を送信します。

Start-HistoricalSearch -SenderAddress John.Doe@domain.com -RecipientAddress Terry.Hegarty@office365itpros.com -StartDate 1-Sep-2022 -EndDate 26-sep-2022 -ReportType MessageTrace -ReportTitle 'Investigation 999'


JobId                                SubmitDate          ReportTitle          Status     Rows ErrorCode ErrorDescriptio
                                                                                                        n
-----                                ----------          -----------          ------     ---- --------- ---------------
3afbd203-32b1-43d1-a7cc-9d279476ce19 26/09/2022 19:58:55 Investigation 999    NotStarted 0

Exchange Online がジョブの処理をすぐに開始することを期待しないでください。サービス需要が非常に低い期間でない限り、これは起こりません。代わりに、Exchange が要求を処理するためのリソースを持つまで、ジョブはキューに入れられたままになります。離れてコーヒーを飲み、仕事が進行したかどうかを確認します。必要な場合は、 取得履歴検索 進行状況を監視するコマンドレット:

Get-HistoricalSearch -JobId 3afbd203-32b1-43d1-a7cc-9d279476ce19 | Select ReportTitle, Status

ReportTitle          Status
-----------          ------
Investigation 999    NotStarted

ジョブの状態が “進行中" であることを確認しても興奮しないでください。ジョブは、この状態を 1 時間以上維持できます。

ある ストップ-ヒストリカルサーチ コマンドレットは、メッセージ追跡要求を間違えてジョブを取り消す場合にも使用できます。

検索データの取得

最終的に、星が整列し、Exchange Online によってメッセージ追跡データを取得するジョブが実行されます。20分から8時間待つ場合があります。レポートにアクセスするには、Exchange 管理センターの[メッセージ追跡]セクションに移動し、[ダウンロード可能なレポート]タブを選択します (図 1)。履歴検索レポートは拡張サマリーレポートと呼ばれますが、名前には何が含まれていますか?

Exchange 管理センターの履歴検索レポート
図 1: Exchange 管理センターの履歴検索レポート

Exchange Online は、履歴メッセージ追跡レポートを CSV ファイルとして作成します。ダウンロードしたら、メモ帳またはExcel(図2)でファイルを開き、必要に応じて内容を調べることができます。 オンラインメッセージトレースに表示される電子メールのパスについて利用可能なのと同じ情報が履歴検索レポートに含まれます。日付はすべてUTC形式であるため、意味を理解するには現地時間に変換する必要がある場合があります。

交換オンライン履歴検索データ
図 2: Exchange Online の履歴検索データ

90日が制限です

メッセージ追跡の実行は、私のコアコンピテンシーの1つではありません。また、私が頻繁に行うことでもありません。使用したい場合は、履歴検索機能が利用可能であることを知っておくと便利です。つまり、メッセージから90日以内にトレースすることを覚えている場合送信されています。


Microsoft 365 テナント管理者が利用できるデータを活用する方法については、 IT プロフェッショナル向け Office 365 電子書籍。私たちは物事がどのように機能するかを理解するのが大好きです。

未分類

Posted by admin