提前致歉,可能没有包含足够的信息。简而言之,我有几个用户丢失了大量电子邮件,而且在丢失的内容、时间长度等方面似乎没有遵循某种模式……例如,我的一个用户丢失了从 2016 年 4 月到今天的所有电子邮件。
恢复已删除邮件中似乎没有出现任何电子邮件,Exchange 搜索垃圾箱也没有显示很多结果。我以为他们肯定已经在某个地方存档或自动存档了这些电子邮件,但在网络上或本地计算机上存储的主目录中没有找到 .PST 文件。还确认电子邮件在所有设备和网络邮件中都丢失了。我还获得了 Exchange 中对邮箱执行的所有命令/操作的日志,我没有发现对丢失邮件的用户邮箱执行的任何操作。
我们正在运行 Exchange 2010。有人可以推荐我查看或开始故障排除吗?提前感谢帮助!
答案1
针对受影响的邮箱启用邮箱审计日志。然后,如果问题再次发生,请检查审计日志以了解详细信息。
启用邮箱的审核日志:
设置邮箱-Identity user1-AuditDelegate 创建、HardDelete、移动、MoveToDeletedItems、SoftDelete、SendAs、SendOnBehalf-AuditEnabled $true
搜索审计日志:
Search-MailboxAuditLog -Identity user1 -ShowDetails -LogonTypes Admin,Delegate,Owner -StartDate 7/1/2017 -EndDate 8/1/2017 | fl >C:\mbaudit.txt
注意:您可以修改开始日期和结束日期与实际数据一致。
https://technet.microsoft.com/en-us/library/ff459237(v=exchg.141).aspx