exchange-server-logo

Работа с журналом аудита почтового ящика (Mailbox Audit Logging) в Exchange 2013

Во многих организациях администраторы Exchange Server сталкиваются с ситуациями, когда необходимо определить кто и что сделал с элементом в почтовом ящике. Например кто из пользователей общего почтового ящика удалил письмо. Exchange 2013 позволяет логировать подобные действия.
Журнал аудита включается на уровне почтового ящика. Записи журнала хранятся во вложенной папке Audits папки Recoverable Items в отслеживаемом почтовом ящике. Папка скрыта от пользователя.

Существует три уровня аудита почтовых ящиков:

  1. AuditOwner – записи о действиях владельца ящика.
  2. AuditDelegate – записи о действиях делегатов (тех кому предоставлен доступ к п/я). Включает следующие типы операций: Update, SoftDelete, HardDelete, SendAs, Create.
  3. AuditAdmin – записи о действиях администраторов. Включает следующие типы операций: Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create. Этот уровень отображает не такие действия, как подключения администратора к п/я, а чисто административные действия, например, импорт/экспорт из/в PST файл.

Подробные сведения о возможностях аудита см. в официальной документации: https://docs.microsoft.com/ru-ru/exchange/policy-and-compliance/mailbox-audit-logging/mailbox-audit-logging

Настройки журнала аудита п/я по умолчанию для Exchange Server 2013:

  • Журнал аудита почтового ящика отключен.
  • Записи журнала аудита хранятся в почтовом ящике 90 дней.
  • Для владельца аудит не включен:
[PS] C:\Windows\system32>Get-Mailbox pavel.antipov | fl *audit*


AuditEnabled     : False
AuditLogAgeLimit : 90.00:00:00
AuditAdmin       : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create}
AuditDelegate    : {Update, SoftDelete, HardDelete, SendAs, Create}
AuditOwner       : {}

Аудит действий владельца может сгенерировать большое количество записей в журнале, поэтому по умолчанию отключен. Здесь также показаны различные действия, проверяемые относительно трех уровней доступа, которые можно настраивать.

Включение журнала аудита почтовых ящиков

С помощью командлета Set-Mailbox можно включить или отключить ведение журнала аудита почтовых ящиков.

Set-Mailbox pavel.antipov -AuditEnabled $true

Типичные кандидаты на включение аудита — это общие почтовые ящики, когда требуется разрешить споры о том кто и что удалил, переместил и т.п.; почтовые ящики руководителей с чувствительной информацией и др.
Также можно включить аудит на всех п/я в организации, если это необходимо:

Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditEnabled:$true

Аудит для владельца п/я можно включить следующим образом:

Set-Mailbox -Identity "pavel.antipov" -AuditOwner Update,SoftDelete,HardDelete,Create,Move,MoveToDeletedItems -AuditEnabled $true

В таблице представлены доступные для аудита действия

Действие Описание Администратор Делегат Владелец
Copy Сообщение скопировано в другую папку. Да Нет Нет
Create В папке «Календарь», «Контакты», «Заметки» или «Задачи» почтового ящика создан элемент, например новое приглашение на собрание. Создание сообщений и папок при этом не регистрируется. Да1 Да1 Да
FolderBind Доступ к папке почтового ящика. Да1 Да2 Нет
HardDelete Элемент удален из папки «Recoverable Items» без возможности восстановления. Да1 Да1 Да
MailboxLogin Пользователь выполнил вход в свой почтовый ящик. Нет Нет Да3
MessageBind Сообщение открыто или просматривается в области просмотра. Да Нет Нет
Move Сообщение перемещено в другую папку. Да1 Да Да
MoveToDeletedItems Сообщение перемещено в папку «Удаленные». Да1 Да Да
SendAs Сообщение отправлено с использованием разрешений «Отправить как». Да1 Да1 Нет
SendOnBehalf Сообщение отправлено с использованием разрешений «Отправить от имени». Да1 Да Нет
SoftDelete Сообщение удалено из папки «Удаленные». Да1 Да1 Да
Update Свойства элемента обновлены. Да1 Да1 Да

1 Подлежат аудиту по умолчанию, если аудит включен для почтового ящика.

2 Записи доступа делегатов к папке консолидируются — генерируется одна запись для каждой папки в 24 часа.

3 Аудит входов владельца работает только для POP3, IMAP4 или OAuth. Он не работает при аутентификации NTLM или Kerberos.

Для автоматического включения ведения журнала аудита на всех вновь создаваемых п/я необходимо использовать Scripting Agent.

Сколько места требуется для хранения журналов

Это зависит от того, какие действия записываются в журнал и какое количество пользователей работают с ящиком. Ориентироваться можно на показания около 1 — 2 % от размера ящика. Но это, конечно, слишком умозрительная оценка.
Для получения точной информации нужно поэкспериментировать. Включить аудит на интересующих ящиках и проверить как растёт журнал.
Для оценки размера папки Audits конкретного п/я можно запустить команду:

get-mailbox pavel.antipov | Get-MailboxFolderStatistics -FolderScope RecoverableItems | fl name,foldersize

Также существует замечательный скрипт для сбора статистики о том, сколько места в базе данных занимает журнал аудита по всем ящикам:
https://gallery.technet.microsoft.com/scriptcenter/Calculate-the-Database-356fb561

На всякий случай выложу его здесь Get-AuditLogOverhead

Поиск в журнале аудита и отчёты

В Exchange Admin Center:

Открываем Compliance Management (Управление соответствием требованиям) -> Auditing (Аудит)


 

Указываем желаемые даты поиска и нажимаем поиск:

 

External users («Внешние пользователи») для Exchange online — это доступ со стороны администраторов центров обработки данных Microsoft.

Если вместо детальной информации о событии вы видите сообщение «У этого пользователя нет записей в журнале аудита касательно этого почтового ящика, которые соответствуют вашим требованиям.» или на английском There are no audit log entries for this mailbox that match your search criteria.:

то скорее всего, проблема связана с региональными настройками. Подробнее см. в статье Не отображаются результаты аудита почтовых ящиков Exchange 2013 CU4+

Поиск с помощью командлета Search-MailboxAuditLog:

В Exchange 2013 существует две команды EMS для поиска данных аудита почтовых ящиков.

  • Search-MailboxAuditLog выполняет поиск в одном или нескольких почтовых ящиках и выводит информацию в консоль.
    Search-MailboxAuditLog -Identity "pavel.antipov" -LogonTypes Delegate -StartDate 8/28/2017 -EndDate 8/29/2017
  • New-MailboxAuditLogSearch функционирует в фоновом режиме. Она экспортирует данные аудита в XML-файл и присоединяет файл к сообщению электронной почты, которое доставляется по выбранному адресу. С помощью команды можно подготовить отчет для внешнего специалиста, выполняющего проверку.

Также см. статью Автоматическое включение журнала аудита почтового ящика (Mailbox Audit Logging) при создании ящика

Добавить комментарий