powershell获取微软o365 21v日志

本文介绍: o365 21v为o365的大陆版本，主要给国内用户使用。微软提供了powershell 工具和接口获取云上日志。微软 o365国内的代理目前是世纪互联。本文介绍如何用powershell和配置证书拉取云上日志。

0x00 背景

o365 21v为o365的大陆版本，主要给国内用户使用。微软提供了powershell 工具和接口获取云上日志。微软o365国内的代理目前是世纪互联。本文介绍如何用pow e r shell和配置证书拉取云上日志。

0x01 实践

第一步，ip 权限开通：

由世纪互联运营的 Office 365 的 URL 和 IP 地址范围 – Microsoft 365 Enterprise | Microsoft Learn

需要开通这个子菜单下面所有ip/domain的访问权限。

特别是 login.p a rte r.microsoft online.cn 这个域名

第二步，安装EXO (Ex change Online Powe rSh ell) ：

Ins t all-Mod ule -Na me Ex changeOnlineMana g ement
Import-Mod ule Ex changeOnlineMana g ement

这两个命令表示在有网络的情况执行安装模块和导入模块。

第三步，连接Ex change Online Ser ver。

由于Basic Aut h不被推荐使用，故这里使用证书验证的方式，好处是可以不依赖于用户名密码。

如何使用证书连接Ex change Online Server ?

需要所属企业Exchange 管理员协助申请一个证书。将证书安装在需要访问EXO的服务器上。连接代码如下：

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12  
$TenantId ="4edexxxx-xxxx-xxxxa-xxxx-8xxxxxxxxxx8"
$ApplicationId ="477xxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$CertificateThumbprint ="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" #安装好证书后在证书里查看
$Cert = Get-ChildItem Cert:LocalMachineMy$CertificateThumbprint

Connect-ExchangeOnline -ExchangeEnvironmentName O365China -Certificate $Cert -AppID $ApplicationId -Organization YourUnitcloud.partner.onmschina.cn

第四步，用脚本自动化实现。

官方没有给脚本，可能是怕调用的用户多增加服务器的压力。github上可以找到开源的脚本：

https://github.com/PwC-IR/Office-365-Extractor/

自己根据需要改一改，就可以自动化了。

我使用的是筛选指定组日志功能：

脚本选择关注的类型：
ExchangeAd min,ExchangeItem,ExchangeItemGro up,AzureActiveDirectory,AzureActiveDirectoryStsLogon

0x02 后记

1.查询所有用户一天日志量：

Calc ulatin g the number of audit log s
ExchangeAd min: 130
ExchangeItem: 23785
ExchangeItemGro up: 13709
SharePoint: 85
SharePointFileOperation: 522
AzureActiveDirectory: 4589
AzureActiveDirectoryStsLogon: 23912
SecurityComplianceCenterEOPCmd let: 391
PowerBIAudit: 9761
CRM: 745
SharePointListOperation: 22
PowerAppsApp: 71
DataInsightsRestApiAudit:
————————————–
Total count: 77742