当前位置：首页 > news >正文

powershell获取微软o365 21v日志

news 2025/7/9 9:34:25

0x00 背景

o365 21v为o365的大陆版本，主要给国内用户使用。微软提供了powershell工具和接口获取云上日志。微软o365国内的代理目前是世纪互联。本文介绍如何用powershell和配置证书拉取云上日志。

0x01 实践

第一步，ip权限开通：

由世纪互联运营的 Office 365 的 URL 和 IP 地址范围 - Microsoft 365 Enterprise | Microsoft Learn

需要开通这个子菜单下面所有ip/domain的访问权限。

特别是 login.parter.microsoftonline.cn 这个域名

第二步，安装EXO (Exchange Online PowerShell) ：

Install-Module -Name ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement

这两个命令表示在有网络的情况执行安装模块和导入模块。

第三步，连接Exchange Online Server。

由于Basic Auth不被推荐使用，故这里使用证书验证的方式，好处是可以不依赖于用户名密码。

如何使用证书连接Exchange Online Server ?

需要所属企业Exchange管理员协助申请一个证书。将证书安装在需要访问EXO的服务器上。连接代码如下：

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12  
$TenantId ="4edexxxx-xxxx-xxxxa-xxxx-8xxxxxxxxxx8"
$ApplicationId ="477xxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$CertificateThumbprint ="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" #安装好证书后在证书里查看
$Cert = Get-ChildItem Cert:\LocalMachine\My\$CertificateThumbprintConnect-ExchangeOnline -ExchangeEnvironmentName O365China -Certificate $Cert -AppID $ApplicationId -Organization YourUnitcloud.partner.onmschina.cn

第四步，用脚本自动化实现。

官方没有给脚本，可能是怕调用的用户多增加服务器的压力。github上可以找到开源的脚本：

https://github.com/PwC-IR/Office-365-Extractor/

自己根据需要改一改，就可以自动化了。

我使用的是筛选指定组日志功能：

脚本选择关注的类型：
ExchangeAdmin,ExchangeItem,ExchangeItemGroup,AzureActiveDirectory,AzureActiveDirectoryStsLogon

0x02 后记

1.查询所有用户一天日志量：

Calculating the number of audit logs
ExchangeAdmin: 130
ExchangeItem: 23785
ExchangeItemGroup: 13709
SharePoint: 85
SharePointFileOperation: 522
AzureActiveDirectory: 4589
AzureActiveDirectoryStsLogon: 23912
SecurityComplianceCenterEOPCmdlet: 391
PowerBIAudit: 9761
CRM: 745
SharePointListOperation: 22
PowerAppsApp: 71
DataInsightsRestApiAudit:
--------------------------------------
Total count: 77742

查询某个用户的日志量：
AzureActiveDirectoryStsLogon: 19

2.powershell 获取当前时间：
Get-date -format "yyyy-MM-dd"

3.发现脚本一个问题，就是选择了部分组，最后拉取也是全部组，但选择全部组，可能会卡住拉不下来日志。

4.警告: 无法从 URI“https://go.microsoft.com/fwlink/?LinkID=627338&clcid=0x409”下载到“”。_go.microsoft.com下载失败-CSDN博客

powershell获取微软o365 21v日志

0x00 背景

0x01 实践

0x02 后记

相关文章：

powershell获取微软o365 21v日志

整体迁移SVN仓库到新的windows服务器

D365 CRM Power Platform 后端开发概览

【Java 并发编程】进程线程、lock、设计模式、线程池...

【axios】拦截器：axios.interceptors.request.use|axios.interceptors.response.use

webrtc兼容android4.x的一次探索

Kafka的存储机制和可靠性

数据库时间类型之间的转换魔法

conda和pip常用命令整理

英语翻译小软件 ← Python实现

将项目放到gitee上

【机器视觉技术】：开创人工智能新时代

网易区块链,网易区块链赋能赣州脐橙数字藏品,数字指纹解决方案

程序员如何兼职?

教育企业CRM选择技巧

算法：Java计算二叉树从根节点到叶子结点的最大路径和

袖珍可穿戴手持气象仪是什么？

【Azure 架构师学习笔记】- Azure Databricks (1) - 环境搭建

无需繁琐编程开启高效数据分析之旅！

JOSEF约瑟剩余电流保护器 CLJ3-100A+LH30 导轨安装

css实现圆环展示百分比，根据值动态展示所占比例

突破不可导策略的训练难题：零阶优化与强化学习的深度嵌合

聊聊 Pulsar：Producer 源码解析

pam_env.so模块配置解析

多模态商品数据接口：融合图像、语音与文字的下一代商品详情体验

关键领域软件测试的突围之路：如何破解安全与效率的平衡难题

【Elasticsearch】Elasticsearch 在大数据生态圈的地位实践经验

comfyui 工作流中图生视频如何增加视频的长度到5秒

ZYNQ学习记录FPGA(一)ZYNQ简介

使用SSE解决获取状态不一致问题