exchange-server-logo

Не отображаются результаты аудита почтовых ящиков Exchange Server 2013 CU4 и выше

При включенном журнале аудита почтового ящика (Mailbox Audit Logging) не отображаются результаты работы командлета Search-MailboxAuditLog, а также недоступны данные в Exchange admin Center. При запуске командлета он просто не возвращает никаких данных. В консоли Exchange admin Center выводится сообщение: «У этого пользователя нет записей в журнале аудита касательно этого почтового ящика, которые соответствуют вашим требованиям.» или на английском «There are no audit log entries for this mailbox that match your search criteria.» Проблема проявляется на Exchange Server 2013 начиная с CU4 и выше.

Выглядит это в EAC следующим образом:

При выполнении Search-MailboxAuditLog:

При этом папка Audits в Recoverable Items содержит данные событий аудита:

Get-mailbox pavel.antipov | Get-MailboxFolderStatistics -FolderScope RecoverableItems | fl name,foldersize

Проблема известная и описана в статье https://support.microsoft.com/en-us/help/3054391/search-adminauditlog-or-search-mailboxauditlog-with-parameter-returns

Для обходного решения необходимо изменить региональные настройки для пользователей System и Network Service на всех серверах MBX и CAS следующим образом:

Выставляем формат English (United States)

На вкладке Administrative нажимаем Copy Settings

Копируем настройки для системных аккаунтов:

После сохранения настроек командлет Search-MailboxAuditLog начинает возвращать требуемые данные:

Также данные начинают отображаться в EAC:

6 комментариев

Александр

Пробовал все сделать по статье, но Search-MailboxAuditLog так и не выдает никакую информацию, возможно ли что это из-за того, что язык серверной ОС русский? Если да, можно ли как-то заставить аудит работать?

Павел Антипов

Аудит точно включен для почтового ящика? Командлет Get-Mailbox username | fl *audit* выводит AuditEnabled: True?
В папке Audits есть данные? get-mailbox username | Get-MailboxFolderStatistics -FolderScope RecoverableItems | fl name,foldersize
Если в папке Audits действительно лежат какие-то данные, то возможно, проблема с повреждённым индексом той базы данных, в которой находится проблемный ящик.
Проверьте Get-MailboxDatabaseCopyStatus * | ft -auto в колонке ContentIndexState для всех баз данных должен быть статус Healthy. Если FailedAndSuspended, то нужно пересоздать индекс.

Александр

Аудит включен, в папку Audits есть какие-то данные. Индексы базы данных в статусе Healthy.

Павел Антипов

Возможно, данный workaround действительно не подходи в случае русской ОС и/или русской инсталляции Exchange.
На всякий случай стоит проверить ещё раз региональные настройки для системных аккаунтов в реестре:
Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-18\Control Panel\International]
“Locale”=”00000409”
“LocaleName”=”en-US”
“s1159″=”AM”
“s2359″=”PM”
“sCountry”=”United States”
“sCurrency”=”$”
“sDate”=”/”
“sDecimal”=”.”
“sGrouping”=”3;0”
“sLanguage”=”ENU”
“sList”=”,”
“sLongDate”=”dddd, MMMM d, yyyy”
“sMonDecimalSep”=”.”
“sMonGrouping”=”3;0”
“sMonThousandSep”=”,”
“sNativeDigits”=”0123456789”
“sNegativeSign”=”-”
“sPositiveSign”=””
“sShortDate”=”M/d/yyyy”
“sThousand”=”,”
“sTime”=”:”
“sTimeFormat”=”h:mm:ss tt”
“sShortTime”=”h:mm tt”
“sYearMonth”=”MMMM yyyy”
“iCalendarType”=”1”
“iCountry”=”1”
“iCurrDigits”=”2”
“iCurrency”=”0”
“iDate”=”0”
“iDigits”=”2”
“NumShape”=”1”
“iFirstDayOfWeek”=”6”
“iFirstWeekOfYear”=”0”
“iLZero”=”1”
“iMeasure”=”1”
“iNegCurr”=”0”
“iNegNumber”=”1”
“iPaperSize”=”1”
“iTime”=”0”
“iTimePrefix”=”0”
“iTLZero”=”0”

[HKEY_USERS\S-1-5-18\Control Panel\International\Geo]
“Nation”=”244”

[HKEY_USERS\S-1-5-18\Control Panel\International\User Profile]
“Languages”=hex(7):65,00,6e,00,2d,00,55,00,53,00,00,00
“ShowAutoCorrection”=dword:00000001
“ShowTextPrediction”=dword:00000001
“ShowCasing”=dword:00000001
“ShowShiftLock”=dword:00000001

[HKEY_USERS\S-1-5-18\Control Panel\International\User Profile\en-US]
“0409:00000409″=dword:00000001

[HKEY_USERS\S-1-5-18\Control Panel\International\User Profile System Backup]
“Languages”=hex(7):65,00,6e,00,2d,00,55,00,53,00,00,00
“ShowAutoCorrection”=dword:00000001
“ShowTextPrediction”=dword:00000001
“ShowCasing”=dword:00000001
“ShowShiftLock”=dword:00000001

[HKEY_USERS\S-1-5-18\Control Panel\International\User Profile System Backup\en-US]
“0409:00000409″=dword:00000001

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-19\Control Panel\International]
“Locale”=”00000409”
“LocaleName”=”en-US”
“s1159″=”AM”
“s2359″=”PM”
“sCountry”=”United States”
“sCurrency”=”$”
“sDate”=”/”
“sDecimal”=”.”
“sGrouping”=”3;0”
“sLanguage”=”ENU”
“sList”=”,”
“sLongDate”=”dddd, MMMM d, yyyy”
“sMonDecimalSep”=”.”
“sMonGrouping”=”3;0”
“sMonThousandSep”=”,”
“sNativeDigits”=”0123456789”
“sNegativeSign”=”-”
“sPositiveSign”=””
“sShortDate”=”M/d/yyyy”
“sThousand”=”,”
“sTime”=”:”
“sTimeFormat”=”h:mm:ss tt”
“sShortTime”=”h:mm tt”
“sYearMonth”=”MMMM yyyy”
“iCalendarType”=”1”
“iCountry”=”1”
“iCurrDigits”=”2”
“iCurrency”=”0”
“iDate”=”0”
“iDigits”=”2”
“NumShape”=”1”
“iFirstDayOfWeek”=”6”
“iFirstWeekOfYear”=”0”
“iLZero”=”1”
“iMeasure”=”1”
“iNegCurr”=”0”
“iNegNumber”=”1”
“iPaperSize”=”1”
“iTime”=”0”
“iTimePrefix”=”0”
“iTLZero”=”0”

[HKEY_USERS\S-1-5-19\Control Panel\International\Geo]
“Nation”=”244”

Данное решение работает.
Только, как и написано в блоге microsoft, нужно установить английский языковой пакет (если основной язык ОС отличается от него).

Александр

Вот такие параметры у нас
Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-18\Control Panel\International]
«Locale»=»00000409»
«LocaleName»=»en-US»
«s1159″=»AM»
«s2359″=»PM»
«sCountry»=»США»
«sCurrency»=»$»
«sDate»=»/»
«sDecimal»=».»
«sGrouping»=»3;0»
«sLanguage»=»ENU»
«sList»=»,»
«sLongDate»=»dddd, MMMM d, yyyy»
«sMonDecimalSep»=».»
«sMonGrouping»=»3;0»
«sMonThousandSep»=»,»
«sNativeDigits»=»0123456789»
«sNegativeSign»=»-»
«sPositiveSign»=»»
«sShortDate»=»M/d/yyyy»
«sThousand»=»,»
«sTime»=»:»
«sTimeFormat»=»h:mm:ss tt»
«sShortTime»=»h:mm tt»
«sYearMonth»=»MMMM yyyy»
«iCalendarType»=»1»
«iCountry»=»1»
«iCurrDigits»=»2»
«iCurrency»=»0»
«iDate»=»0»
«iDigits»=»2»
«NumShape»=»1»
«iFirstDayOfWeek»=»6»
«iFirstWeekOfYear»=»0»
«iLZero»=»1»
«iMeasure»=»1»
«iNegCurr»=»0»
«iNegNumber»=»1»
«iPaperSize»=»1»
«iTime»=»0»
«iTimePrefix»=»0»
«iTLZero»=»0»

[HKEY_USERS\S-1-5-18\Control Panel\International\Geo]
«Nation»=»203»

[HKEY_USERS\S-1-5-18\Control Panel\International\User Profile]
«Languages»=hex(7):65,00,6e,00,2d,00,55,00,53,00,00,00,72,00,75,00,00,00
«ShowAutoCorrection»=dword:00000001
«ShowTextPrediction»=dword:00000001
«ShowCasing»=dword:00000001
«ShowShiftLock»=dword:00000001
«UserLocaleFromLanguageProfileOptOut»=dword:00000001

[HKEY_USERS\S-1-5-18\Control Panel\International\User Profile\en-US]
«CachedLanguageName»=»@Winlangdb.dll,-1121»
«0409:00000409″=dword:00000001

[HKEY_USERS\S-1-5-18\Control Panel\International\User Profile\ru]
«CachedLanguageName»=»@Winlangdb.dll,-1390»
«0419:00000419″=dword:00000001

[HKEY_USERS\S-1-5-18\Control Panel\International\User Profile System Backup]
«Languages»=hex(7):65,00,6e,00,2d,00,55,00,53,00,00,00,72,00,75,00,00,00
«ShowAutoCorrection»=dword:00000001
«ShowTextPrediction»=dword:00000001
«ShowCasing»=dword:00000001
«ShowShiftLock»=dword:00000001
«UserLocaleFromLanguageProfileOptOut»=dword:00000001

[HKEY_USERS\S-1-5-18\Control Panel\International\User Profile System Backup\en-US]
«CachedLanguageName»=»@Winlangdb.dll,-1121»
«0409:00000409″=dword:00000001

[HKEY_USERS\S-1-5-18\Control Panel\International\User Profile System Backup\ru]
«CachedLanguageName»=»@Winlangdb.dll,-1390»
«0419:00000419″=dword:00000001

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-19\Control Panel\International]
«Locale»=»00000409»
«LocaleName»=»en-US»
«s1159″=»AM»
«s2359″=»PM»
«sCountry»=»США»
«sCurrency»=»$»
«sDate»=»/»
«sDecimal»=».»
«sGrouping»=»3;0»
«sLanguage»=»ENU»
«sList»=»,»
«sLongDate»=»dddd, MMMM d, yyyy»
«sMonDecimalSep»=».»
«sMonGrouping»=»3;0»
«sMonThousandSep»=»,»
«sNativeDigits»=»0123456789»
«sNegativeSign»=»-»
«sPositiveSign»=»»
«sShortDate»=»M/d/yyyy»
«sThousand»=»,»
«sTime»=»:»
«sTimeFormat»=»h:mm:ss tt»
«sShortTime»=»h:mm tt»
«sYearMonth»=»MMMM yyyy»
«iCalendarType»=»1»
«iCountry»=»1»
«iCurrDigits»=»2»
«iCurrency»=»0»
«iDate»=»0»
«iDigits»=»2»
«NumShape»=»1»
«iFirstDayOfWeek»=»6»
«iFirstWeekOfYear»=»0»
«iLZero»=»1»
«iMeasure»=»1»
«iNegCurr»=»0»
«iNegNumber»=»1»
«iPaperSize»=»1»
«iTime»=»0»
«iTimePrefix»=»0»
«iTLZero»=»0»

[HKEY_USERS\S-1-5-19\Control Panel\International\Geo]
«Nation»=»203»

[HKEY_USERS\S-1-5-19\Control Panel\International\User Profile]
«Languages»=hex(7):65,00,6e,00,2d,00,55,00,53,00,00,00,72,00,75,00,00,00
«ShowAutoCorrection»=dword:00000001
«ShowTextPrediction»=dword:00000001
«ShowCasing»=dword:00000001
«ShowShiftLock»=dword:00000001
«UserLocaleFromLanguageProfileOptOut»=dword:00000001

[HKEY_USERS\S-1-5-19\Control Panel\International\User Profile\en-US]
«CachedLanguageName»=»@Winlangdb.dll,-1121»
«0409:00000409″=dword:00000001

[HKEY_USERS\S-1-5-19\Control Panel\International\User Profile\ru]
«CachedLanguageName»=»@Winlangdb.dll,-1390»
«0419:00000419″=dword:00000001

[HKEY_USERS\S-1-5-19\Control Panel\International\User Profile System Backup]
«Languages»=hex(7):65,00,6e,00,2d,00,55,00,53,00,00,00,72,00,75,00,00,00
«ShowAutoCorrection»=dword:00000001
«ShowTextPrediction»=dword:00000001
«ShowCasing»=dword:00000001
«ShowShiftLock»=dword:00000001
«UserLocaleFromLanguageProfileOptOut»=dword:00000001

[HKEY_USERS\S-1-5-19\Control Panel\International\User Profile System Backup\en-US]
«CachedLanguageName»=»@Winlangdb.dll,-1121»
«0409:00000409″=dword:00000001

[HKEY_USERS\S-1-5-19\Control Panel\International\User Profile System Backup\ru]
«CachedLanguageName»=»@Winlangdb.dll,-1390»
«0419:00000419″=dword:00000001

Добавить комментарий