none
【分享】如何从Exchange 服务器端搜索邮件 RRS feed

  • 常规讨论

  • 需求说明:

    在实际使用中,管理员需要对Exchange组织内用户的邮件中的邮件进行特定的搜索,例如通过邮件主题,邮件接收时间,关键字等等。也可能需要对用户邮箱所收发的邮件进行特定的搜索。

    解决方案:

    1. Search-Mailbox

    管理员可以通过运行Search-Mailbox 搜索用户邮箱,并将结果复制到指定的目标邮箱中。

    运行命令行前需要注意的事项:

    a) 默认情况下,运行该命令行需要具有“Mailbox Search”和“Mailbox import export”角色权限。默认情况下,这些角色未分配给任何角色组,所以您需要手动添加。

    b) Search-Mailbox 在搜索结果中,每个邮箱最多返回10000个结果。并且该搜索不会搜索目标邮箱。

    举例说明(1):在Exchange中所有的用户邮箱中搜索主题为“Exchange1”的邮件。

    1) 将Search-Mailbox与SearchQuery结合使用,可以根据条件搜索邮箱。首先可以使用参数” EstimateResultOnly”在搜索结果中查看每个用户邮箱中符合条件的邮件总数和大小。通过这一步您可以初步了解您的搜索结果,并且可以查看您下一步接收搜索结果的目标邮箱中是否包含符合条件的邮件,如上所述该搜索不会搜索目标邮箱,避免遗漏。

    Get-Mailbox -ResultSize Unlimited | Search-Mailbox -SearchQuery 'Subject:"exchange1"' –EstimateResultOnly


    2) 将Search-Mailbox与SearchQuery结合使用,可以根据条件搜索邮箱。之后使用参数“TargetMailbox”和“Targetfolder”指定将搜索结果发送至目标邮箱的目标文件夹中。使用参数“Logonly”指定执行搜索,仅生成日志。

    Get-Mailbox -ResultSize Unlimited | Search-Mailbox -SearchQuery 'Subject "exchange1"' -TargetMailbox "Administrator@contoso.com" -Targetfolder "Test" -LogOnly -LogLevel Full


    以下为目标邮箱的目标文件夹中所接收的邮件,可以下载附件并查看:

    举例说明(2):对特定的用户邮箱user2@contoso.com搜索邮件中包含“Happy”或者“Good”的邮件。

    3) 如果搜索特定的邮件,可以结合参数“-Identity”,对特定邮箱进行搜索。在参数“SearchQuery”中,也可以直接指定所要搜索的特定内容。

    Search-Mailbox -Identity "user2@contoso.com" -SearchQuery 'Happy OR Good' -TargetMailbox "Administrator@contoso.com" -Targetfolder "Test" -LogOnly -LogLevel Full

    2. 就地电子数据展示(In-Place eDiscovery)

    通过Exchange中的就地电子数据展示可以帮助管理员对邮箱中的相关内容执行发现搜索。并且可以对搜索结果进行估计,预览,复制和导出。
    执行就地电子数据展示搜索需要注意的事项:

    a) 为了使用户可以执行就地电子数据展示搜索,您需要将其添加到发现管理角色组。默认情况下,未将相关权限分配给任何用户或者管理员。

    b) 对于相同的搜索源进行相同的搜索查询,可能返回的结果不同。预估的搜索结果和复制到发现邮箱的搜索结果也可能不同。这是因为对大量邮件进行搜索时,需要一些时间来编制索引,在次期间可能由于用户或者自动流程删除了电子邮件。所以建议在非高峰时间运行搜索。

    举例说明:在Exchange中建立就地电子数据展示对所有邮箱进行搜索包含关键词“Happy”或者“Good”的邮件:

    1) 首先,在Exchange管理中心的合规性管理中,选择“就地电子数据展示和保留”,点击新建创建一个名为“Test1”的就地电子数据展示,之后点击“下一步“:

    2) 在该界面中,可以选择需要搜索的范围,例如所有邮箱,特定邮箱,所有公用文件夹等。按照示例,该界面选择了“搜索所有邮箱”,点击“下一步”。

    3) 在该界面中,可以指定搜索条件,例如关键字,日期,收件人,发件人等。按照示例,该界面指定了搜索条件为包含关键字“Happy”或者“Good”的邮件,点击“下一步”。

    4) 在该界面中,可以选择返回项目所保留的天数,可以按照个人需求或者组织要求进行选择。之后点击“完成”.


    如果帖子有帮到您的话,请点击左上方“投票”按钮。这将帮助到阅读这个帖子的其他用户。

    2021年1月7日 9:40
    版主

全部回复

  • 5) 完成后可以选择“估计搜索结果”,将根据指定的条件返回搜索结果的总大小和项数的估计值。选择该选项将会重新开始搜索并执行估计。之后您可以在详细信息窗格中点击“预览搜索结果”,以在搜索估计完成后预览结果。在预览结果中可以查看符合条件的前500个邮箱或者公用文件夹。

    6) 可以选择复制搜索结果,将结果复制到发现邮箱中。并且在复制前,可以进行特定的设置,例如“包括不可搜索的项目”,“启用重复数据删除”等。

    7) 可以点击“导出到PST文件“将搜索结果导出:

    3. Get-MessageTrackingLog

    邮件追踪日志记录邮件在邮箱服务器和边缘传输服务器上的传输管道的所有活动的详细记录,所以可以通过查询邮件追踪日志查看用户的邮件记录。

    运行命令行Get-MessageTrackingLog前需要注意的事项:

    a) 默认情况下,邮件追踪日志的最大保留期限为30天,所以我们只能通过运行该命令行查询用户30天内的邮件记录。

    b) 搜索邮件跟踪日志要求Microsoft Exchange Transport Log Search服务正在运行。如果禁用或停止此服务,则无法搜索邮件跟踪日志或运行传递报告。但是,停止此服务不会影响Exchange中的其他功能。

    1) 在使用邮件追踪日志前,可以先查看Exchange服务器中邮件追踪日志的相关设置。命令行的输出结果中包括邮件追踪日志是否启用,最长保留期限,保存路径等信息。

    Get-Transportservice | fl *Messagetracking*


    举例说明(1):搜索发件人为user2,收件人为Aministrator,在2020年12月30日发送的主题包含“Good”的邮件。

    2) 将Get-MessageTrackingLog和特定参数结合使用,可以指定搜索条件和范围。其中参数“Sender”表示发件人,“Recipient”表示收件人,“Start”表示开始时间,“End”表示结束时间,“MessageSubject”表示为邮件的主题。输出结果中“DELIVER”表示邮件已传递至本地邮箱,即收件人已经成功接收。

    Get-MessageTrackingLog -Sender "user2@contoso.com" -Recipient "Administrator@contoso.com" -Start "12/30/2020 00:00:00" -End "12/30/2020 23:59:59" -MessageSubject "Good"

    举例说明(2):查看主题为“Good-OWA”和“Good-Outlook”的邮件是由哪个类型的客户端发送的。

    3) 通过邮件追踪日志查看其他相关信息,在“SUBMIT”事件中的“SourceContext”字段存在与发件人邮箱相关的参数。其中“ClientType”属性代表发送该邮件的客户端类型,如果使用OWA发送,则显示为“OWA”,使用Outlook客户端发送,则显示为“MOMT”,使用移动设备发送,则显示为“ActiveSync”。其余属性,“MDB”属性表示发件人所在数据库的GUID,“Mailbox”属性表示发件人邮箱的GUID,“Event ID”表示事件序列号。

    Get-Messagetrackinglog -sender "user2@contoso.com" -Recipient "Administrator@contoso.com" -Start "12/30/2020 15:20:00" -End "12/30/2020 23:59:59" -MessageSubject "Good-OWA" -eventid submit | fl *SourceContext*
    
    Get-Messagetrackinglog -sender "user2@contoso.com" -Recipient "Administrator@contoso.com" -Start "12/30/2020 15:20:00" -End "12/30/2020 23:59:59" -MessageSubject "Good-Outlook" -eventid submit | fl *SourceContext*

    举例说明(3):搜索用户user2对用户Administrator14天内发送的所有邮件。

    3) 在Exchange的管理中心中,存在名为“送达报告”的功能。可以通过该功能查看任何特定邮箱发送或者接收的邮件传递信息。查询结果其本质是对邮件追踪日志进行定向的查询,但需要注意的是,默认情况下当邮件被发送或者接收后,“送达报告“最多可在14天内进行查询。

    参考链接:

    1. Search-Mailbox.

    2. Exchange Server 中的就地电子数据展示.

    3. 在 Exchange Server 中创建就地电子数据展示搜索.

    4. Get-MessageTrackingLog.

    5. 邮件跟踪.

    6. 管理员的送达报告.

    【关键词】: Search-Mailbox,Get-MessagetrackingLog,搜索邮件,就地数据展示,管理员送达报告

    希望上述信息能够帮到您。如果您对此还有其他问题,欢迎随时来我们论坛提问 (点击文章页面左上角的“提出问题”按钮快速发帖),我们会帮助您进一步调查这个问题。


    如果帖子有帮到您的话,请点击左上方“投票”按钮。这将帮助到阅读这个帖子的其他用户。

    2021年1月7日 9:41
    版主