什么是搭建网站,做任务领积分兑换别的网站上的会员,云南省建设考试中心网站,在深圳注册公司流程及费用0x00 背景
o365 21v为o365的大陆版本#xff0c;主要给国内用户使用。微软提供了powershell工具和接口获取云上日志。微软o365国内的代理目前是世纪互联。本文介绍如何用powershell和配置证书拉取云上日志。 0x01 实践
第一步#xff0c;ip权限开通#xff1a;
由世纪互联…0x00 背景
o365 21v为o365的大陆版本主要给国内用户使用。微软提供了powershell工具和接口获取云上日志。微软o365国内的代理目前是世纪互联。本文介绍如何用powershell和配置证书拉取云上日志。 0x01 实践
第一步ip权限开通
由世纪互联运营的 Office 365 的 URL 和 IP 地址范围 - Microsoft 365 Enterprise | Microsoft Learn 需要开通这个子菜单下面所有ip/domain的访问权限。
特别是 login.parter.microsoftonline.cn 这个域名 第二步安装EXO (Exchange Online PowerShell) Install-Module -Name ExchangeOnlineManagement Import-Module ExchangeOnlineManagement 这两个命令表示在有网络的情况执行安装模块和导入模块。
第三步连接Exchange Online Server。
由于Basic Auth不被推荐使用故这里使用证书验证的方式好处是可以不依赖于用户名密码。
如何使用证书连接Exchange Online Server ?
需要所属企业Exchange管理员协助申请一个证书。将证书安装在需要访问EXO的服务器上。连接代码如下
[Net.ServicePointManager]::SecurityProtocol [Net.SecurityProtocolType]::Tls12
$TenantId 4edexxxx-xxxx-xxxxa-xxxx-8xxxxxxxxxx8
$ApplicationId 477xxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$CertificateThumbprint xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx #安装好证书后在证书里查看
$Cert Get-ChildItem Cert:\LocalMachine\My\$CertificateThumbprintConnect-ExchangeOnline -ExchangeEnvironmentName O365China -Certificate $Cert -AppID $ApplicationId -Organization YourUnitcloud.partner.onmschina.cn 第四步用脚本自动化实现。
官方没有给脚本可能是怕调用的用户多增加服务器的压力。github上可以找到开源的脚本
https://github.com/PwC-IR/Office-365-Extractor/
自己根据需要改一改就可以自动化了。 我使用的是筛选指定组日志功能 脚本选择关注的类型 ExchangeAdmin,ExchangeItem,ExchangeItemGroup,AzureActiveDirectory,AzureActiveDirectoryStsLogon 0x02 后记
1.查询所有用户一天日志量
Calculating the number of audit logs ExchangeAdmin: 130 ExchangeItem: 23785 ExchangeItemGroup: 13709 SharePoint: 85 SharePointFileOperation: 522 AzureActiveDirectory: 4589 AzureActiveDirectoryStsLogon: 23912 SecurityComplianceCenterEOPCmdlet: 391 PowerBIAudit: 9761 CRM: 745 SharePointListOperation: 22 PowerAppsApp: 71 DataInsightsRestApiAudit: -------------------------------------- Total count: 77742 查询某个用户的日志量 AzureActiveDirectoryStsLogon: 19
2.powershell 获取当前时间 Get-date -format yyyy-MM-dd
3.发现脚本一个问题就是选择了部分组最后拉取也是全部组但选择全部组可能会卡住拉不下来日志。
4.警告: 无法从 URI“https://go.microsoft.com/fwlink/?LinkID627338clcid0x409”下载到“”。_go.microsoft.com下载失败-CSDN博客
