Damit im Falle eines Falles eine Analyse der Vorgänge im Postfach möglich ist, sollten die Postfachüberwachungsprotokolle aktiviert sein. Ob diese aktiviert sind, lässt sich schnell überprüfen.
Zunächst prüfen wir den Status der Organisation selbst:
Get-OrganizationConfig | Format-List AuditDisabled
Der Rückgabewert sollte False
sein.
Nun führen wir eine globale Suche nach allen Postfächern durch, deren Überwachung deaktiviert ist:
# Benutzer- und geteile Postfächer
Get-Mailbox -ResultSize Unlimited -Filter 'AuditEnabled -eq $false'| Format-List Identity,UserPrincipalName,Audit*
# Gruppenpostfächer
Get-Mailbox -ResultSize Unlimited -GroupMailbox -Filter 'AuditEnabled -eq $false'| Format-List Identity,UserPrincipalName,Audit*
Beispiele für die Anpassung der Eigenschaften können aus der offiziellen Dokumentation entnommen werden: