exchange-server-logo

Работа с журналом аудита почтового ящика (Mailbox Audit Logging) в Exchange 2013

Во многих организациях администраторы Exchange Server сталкиваются с ситуациями, когда необходимо определить кто и что сделал с элементом в почтовом ящике. Например кто из пользователей общего почтового ящика удалил письмо. Exchange 2013 позволяет логировать подобные действия.
Журнал аудита включается на уровне почтового ящика. Записи журнала хранятся во вложенной папке Audits папки Recoverable Items в отслеживаемом почтовом ящике. Папка скрыта от пользователя.

Существует три уровня аудита почтовых ящиков:

  1. AuditOwner – записи о действиях владельца ящика.
  2. AuditDelegate – записи о действиях делегатов (тех кому предоставлен доступ к п/я). Включает следующие типы операций: Update, SoftDelete, HardDelete, SendAs, Create.
  3. AuditAdmin – записи о действиях администраторов. Включает следующие типы операций: Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create. Этот уровень отображает не такие действия, как подключения администратора к п/я, а чисто административные действия, например, импорт/экспорт из/в PST файл.

Настройки журнала аудита п/я по умолчанию для Exchange Server 2013:

  • Журнал аудита почтового ящика отключен.
  • Записи журнала аудита хранятся в почтовом ящике 90 дней.
  • Для владельца аудит не включен:
[PS] C:\Windows\system32>Get-Mailbox pavel.antipov | fl *audit*


AuditEnabled     : False
AuditLogAgeLimit : 90.00:00:00
AuditAdmin       : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create}
AuditDelegate    : {Update, SoftDelete, HardDelete, SendAs, Create}
AuditOwner       : {}

Аудит действий владельца может сгенерировать большое количество записей в журнале, поэтому по умолчанию отключен. Здесь также показаны различные действия, проверяемые относительно трех уровней доступа, которые можно настраивать.

Включение журнала аудита почтовых ящиков

С помощью командлета Set-Mailbox можно включить или отключить ведение журнала аудита почтовых ящиков.

Set-Mailbox pavel.antipov -AuditEnabled $true

Типичные кандидаты на включение аудита — это общие почтовые ящики, когда требуется разрешить споры о том кто и что удалил, переместил и т.п.; почтовые ящики руководителей с чувствительной информацией и др.
Также можно включить аудит на всех п/я в организации, если это необходимо:

Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditEnabled:$true

Для автоматического включения ведения журнала аудита на всех вновь создаваемых п/я необходимо использовать Scripting Agent.

Сколько места требуется для хранения журналов

Это зависит от того, какие действия записываются в журнал и какое количество пользователей работают с ящиком. Ориентироваться можно на показания около 1 — 2 % от размера ящика. Но это, конечно, слишком умозрительная оценка.
Для получения точной информации нужно поэкспериментировать. Включить аудит на интересующих ящиках и проверить как растёт журнал.
Для оценки размера папки Audits конкретного п/я можно запустить команду:

get-mailbox pavel.antipov | Get-MailboxFolderStatistics -FolderScope RecoverableItems | fl name,foldersize

Также существует замечательный скрипт для сбора статистики о том, сколько места в базе данных занимает журнал аудита по всем ящикам:
https://gallery.technet.microsoft.com/scriptcenter/Calculate-the-Database-356fb561

На всякий случай выложу его здесь Get-AuditLogOverhead

Поиск в журнале аудита и отчёты

В Exchange Admin Center:

Открываем Compliance Management (Управление соответствием требованиям) -> Auditing (Аудит)


 

Указываем желаемые даты поиска и нажимаем поиск:

 

External users («Внешние пользователи») для Exchange online — это доступ со стороны администраторов центров обработки данных Microsoft.

Если вместо детальной информации о событии вы видите сообщение «У этого пользователя нет записей в журнале аудита касательно этого почтового ящика, которые соответствуют вашим требованиям.» или на английском There are no audit log entries for this mailbox that match your search criteria.:

то скорее всего, проблема связана с региональными настройками. Подробнее см. в статье Не отображаются результаты аудита почтовых ящиков Exchange 2013 CU4+

Поиск с помощью командлета Search-MailboxAuditLog:

В Exchange 2013 существует две команды EMS для поиска данных аудита почтовых ящиков.

  • Search-MailboxAuditLog выполняет поиск в одном или нескольких почтовых ящиках и выводит информацию в консоль.
    Search-MailboxAuditLog -Identity "pavel.antipov" -LogonTypes Delegate -StartDate 8/28/2017 -EndDate 8/29/2017
  • New-MailboxAuditLogSearch функционирует в фоновом режиме. Она экспортирует данные аудита в XML-файл и присоединяет файл к сообщению электронной почты, которое доставляется по выбранному адресу. С помощью команды можно подготовить отчет для внешнего специалиста, выполняющего проверку.

Также см. статью Автоматическое включение журнала аудита почтового ящика (Mailbox Audit Logging) при создании ящика

Добавить комментарий