Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2009-10-26
Функция ведения журнала позволяет организации соответствовать правовым, регулятивным и организационным требованиям и записывать все входящие и исходящие сообщения электронной почты. При планировании хранения сообщений и соответствия нормативным требованиям необходимо иметь общие сведения о функции ведения журнала, о ее соответствии корпоративным стандартам и о том, как Microsoft Exchange Server 2010 обеспечивает безопасность сообщений, зарегистрированных в журнале.
Содержание
Взаимодействие с Exchange 2003 и Exchange 2007
Использование служб Exchange Hosted Services
Важность ведения журнала
Во-первых, необходимо понимать разницу между ведением журнала и архивированием.
- Ведение журнала — это возможность организации записывать все
входящие и исходящие сообщения, включая сообщения электронной
почты, для использования в стратегии хранения или архивирования
электронной почты организации. Для соблюдения постоянно растущего
количества регулятивных и нормативных требований многие организации
должны хранить записи об обмене сообщениями, возникающем при
выполнении сотрудниками ежедневных деловых задач.
- Архивирование представляет собой резервное копирование
данных, удаление их из рабочей среды и хранение в другом месте для
уменьшения нагрузки, связанной с хранением данных При этом ведение
журнала Exchange можно применять как средство стратегии хранения
или архивирования электронной почты.
Хотя ведение журнала может не оговариваться конкретным нормативным актом, для соблюдения условий нормативов может потребоваться ведение журнала в обязательном порядке. Например, корпоративные руководители в некоторых сферах финансовой деятельности отвечают за заявления, которые делают их сотрудники клиентам. Для проверки точности заявлений корпоративный руководитель может ввести правило, требующее, чтобы менеджеры регулярно знакомились с некоторой частью сообщений, которыми обмениваются сотрудники с клиентами во время взаимодействия. Каждый квартал менеджеры проверяют соответствие поведения каждого сотрудника существующим требованиям и дают ему оценку. После того как все менеджеры передают отчет со своими оценками руководителю предприятия, он сообщает обобщенные данные по компании ее правлению. В этом примере сообщения электронной почты могут быть одним из видов взаимодействия сотрудников с клиентами, которые должны контролироваться менеджерами, поэтому ведение журнала применяется для регистрации всех сообщений электронной почты, отправляемых сотрудниками, отвечающими за связи с клиентами. Под такие нормативы также могут попадать и другие способы взаимодействия с клиентами, такие как факсы и телефонные разговоры. Возможность регистрации в журнале всех типов данных на предприятии является важной функцией архитектуры информационной системы.
В следующем списке перечисляются некоторые из наиболее известных норм США и международных нормативов, определяющих требования, для реализации которых может использоваться технология ведения журналов.
- Акт Сарбейнс-Оксли от 2002 г. (SOX)
- Правило комиссии по бирже ценных бумаг 17a-4 (правило SEC 17
A-4)
- Национальная ассоциация дилеров по ценным бумагам 3010 и 3110
(NASD 3010 и 3110)
- Акт Грэмма-Лича-Блайли (Gramm-Leach-Bliley) (Акт финансовой
модернизации)
- Акт 2001 года о защите конфиденциальности данных в финансовых
учреждениях
- Акт 2003 года о защите конфиденциальности данных в финансовых
учреждениях
- Акт 1996 года о передаче и защите данных учреждений
здравоохранения (HIPAA)
- Акт 2001 года об объединении и усилении Америки за счет
предоставления надлежащих средств, необходимых для предотвращения
терроризма (Патриотический акт)
- Директива по защите данных Европейского союза
- Акт о защите личной информации в Японии
Агент ведения журнала
В организации Exchange 2010 весь трафик электронной почты маршрутизируется транспортным сервером-концентратором. Все сообщения за время своего существования проходят по крайней мере через один транспортный сервер-концентратор. Агент ведения журнала — это сфокусированный на проверке соответствия агент транспорта, который обрабатывает сообщения на транспортных серверах-концентраторах. Он запускается на событиях транспорта OnSubmittedMessage и OnRoutedMessage.
 Примечание. |
|---|
| В Exchange 2010 агент ведения журнала является встроенным агентом. Встроенные агенты не включаются в список агентов, возвращаемых командлетом Get-TransportAgent. Дополнительные сведения см. в разделе Общие сведения об агентах транспорта |
Сервер Exchange 2010 предоставляет следующие возможности ведения журнала.
- Стандартное ведение журнала Стандартное
ведение журнала настраивается в базе данных почтовых ящиков. Оно
позволяет агенту ведения журнала регистрировать все сообщения,
которые отправляются в/из почтовых ящиков, расположенных в
определенной базе данных почтовых ящиков. Чтобы вести журнал всех
сообщений для всех получателей и всех отправителей, ведение журнала
необходимо настраивать для всех баз данных почтовых ящиков на всех
серверах почтовых ящиков в организации.
- Ведение расширенной версии
журнала Данный способ позволяет агенту ведения
журнала выполнять детальную регистрацию сообщений с помощью правил
журнала. Вместо ведения журнала всех почтовых ящиков, находящихся в
базе данных почтовых ящиков, можно настроить правила журнала в
соответствии с потребностями организации для регистрации отдельных
получателей или участников групп рассылки. Для ведения журнала
расширенной версии требуется наличие клиентской лицензии
Exchange Enterprise (CAL).
При включении стандартного ведения журнала для базы данных почтовых ящиков эти данные сохраняются в службе каталогов Служба каталогов Active Directory и считываются агентом ведения журнала. Правила журнала, настроенные для ведения расширенной версии журнала, также сохраняются в Служба каталогов Active Directory и применяются агентом ведения журнала. Дополнительные сведения о настройке стандартного и расширенного ведения журнала см. в разделе Ведение журнала.
Правила журнала
Ниже приведены ключевые аспекты правила журнала, которые следует понимать.
- Область действия правил
журнала Определяет, какие сообщения
регистрируются агентом ведения журнала.
- Получатели журнала Задает
SMTP-адрес получателя, для которого необходимо вести журнал.
- Почтовый ящик
журналов Задает один или несколько почтовых
ящиков, используемых для сбора отчетов журнала.
Область действия правил журнала
В качестве области действия правила ведения журнала можно указать следующих получателей: «Внутренние», «Внешние» или «Глобальные». Эти области действия описываются в следующем списке.
- Внутренние Правила журнала с областью
действия «Внутренние» обрабатывают сообщения, отправляемые и
получаемые адресатами внутри организации Exchange.
- Внешние Правила журнала с областью
действия «Внешние» обрабатывают сообщения, отправляемые и
получаемые адресатами за пределами организации Exchange.
- Глобальные Правила журнала с областью
действия «Глобальные» обрабатывают все сообщения, которые проходят
через транспортные серверы-концентраторы. К ним также относятся
сообщения, которые могут быть уже обработаны правилами журнала в
областях действия «Внутренние» и «Внешние».
Получатели журнала
Реализовать правила ведения журнала можно, задав SMTP-адрес получателя, которого необходимо регистрировать в журнале. Получателем может быть почтовый ящик Exchange, группа рассылки или контакт. На этих получателей могут распространяться требования законодательств, или эти получатели могут быть вовлечены в судебное разбирательство, и сообщения электронной почты или другие средства взаимодействия могут собираться в качестве доказательств. Указывая конкретных получателей или определенные группы получателей, можно легко настроить среду ведения журнала, которая будет соответствовать рабочим процессам организации, требованиям законов и нормативов, а также позволит сократить издержки на хранение и другие затраты, связанные с хранением большого количества данных.
Все сообщения, отправляемые или принимаемые указанными в правиле получателями, для которых ведется журнал, регистрируются в журнале. Если в качестве получателя, для которого ведется журнал, указана группа рассылки, в журнале будут регистрироваться все сообщения, отправляемые и принимаемые участниками этой группы рассылки. Если получатель не будет указан, в журнале будут регистрироваться все сообщения, отправляемые получателям, соответствующим области действия правила журнала, и принимаемые от них.
Получатели журналов с включенной поддержкой единой системы обмена сообщениями
Во многих организациях, где реализовано ведение журнала, для объединения инфраструктуры электронной почты, голосовой почты и факсимильной связи также используется единая система обмена сообщениями. Однако иногда создание отчетов журнала для сообщений, созданных единой системой обмена сообщениями, не является необходимым. В таких случаях можно решить, будет ли сервер единой системы обмена сообщениями Exchange 2010 обрабатывать сообщения голосовой почты и сообщения уведомлений о пропущенных вызовах или пропускать такие сообщения. Если организации не требуется заносить в журнал такие сообщения, тогда, пропуская их, можно уменьшить объем места на диске, необходимый для хранения отчетов журнала. При включении или отключении ведения журнала сообщений голосовой почты и уведомлений о пропущенных звонках сделанное изменение применяется ко всем транспортным серверам-концентраторам в организации.
| Примечание. |
|---|
| Сообщения, содержащие факсы, создаваемые сервером единой системы обмена сообщениями, всегда регистрируются в журнале, даже если настроить правило журнала, которое предписывает не регистрировать в журнале голосовую почту единой системы обмена сообщениями и уведомления о пропущенных вызовах. |
Дополнительные сведения о включении и отключении сообщений голосовой почты и уведомлений о пропущенных вызовах см. в разделе Управление ведением журнала.
Почтовый ящик журналов
Почтовый ящик журналов используется для сбора отчетов журнала. Настройка почтового ящика службы ведения журнала зависит от требований политик, законов и нормативов, применяемых в организации. Можно указать один почтовый ящик журнала, в который будут собираться сообщения для всех правил журнала, настроенных в организации, либо использовать разные почтовые ящики для каждого правила журнала или набора правил.
 Важно! |
|---|
| Почтовые ящики службы ведения журнала содержат очень важные сведения. Их необходимо обезопасить, поскольку в них собираются сообщения, отправляемые и принимаемые получателями в организации. Эти сообщения могут относиться к юридическим процессам или подпадать под нормативные требования. Различные законы требуют, чтобы сообщения были защищены от несанкционированного доступа до того, как они будут переданы в следственные органы. Рекомендуется создать политики, управляющие доступом к почтовым ящикам службы ведения журнала в организации, чтобы доступ предоставлялся только тем лицам, у которых имеется прямая необходимость в нем. Проконсультируйтесь с юристами, чтобы убедиться в том, что система ведения журнала соответствует всем законам и нормативам, действующим для организации. |
Дополнительные сведения о настройке почтового ящика журнала см. в разделе Управление ведением журнала.
Дополнительные сведения о защите почтовых ящиков журнала см. в разделе Защита отчетов журнала.
Репликация правила журнала
Правила журнала хранятся в Служба каталогов Active Directory и применяются всеми транспортными серверами-концентраторами в организации Exchange 2010. При создании, изменении или удалении правила журнала на транспортном сервере-концентраторе, изменение реплицируется на все серверы Служба каталогов Active Directory в организации. Затем все транспортные серверы-концентраторы в организации получают обновленную конфигурацию правила журнала с серверов Служба каталогов Active Directory и применяют новые или измененные правила журналов.
Реплицируя все правила журнала по всей организации, Exchange 2010 обеспечивает согласованность набора правил журнала во всей организации. Для всех сообщений, поступающих в организацию Exchange 2010 или проходящих через нее, применяются одни и те же правила журнала.
| Важно! |
|---|
| Репликация правил журнала в пределах организации зависит от репликации Служба каталогов Active Directory. Время репликации между контроллерами домена Служба каталогов Active Directory зависит от количества узлов в организации, скорости соединений и других факторов, находящихся вне сферы контроля сервера Microsoft Exchange. При реализации правил журнала в организации учтите задержки репликации. Дополнительные сведения о репликации Служба каталогов Active Directory см. в статье Технологии репликации Active Directory (на английском языке). |
| Важно! |
|---|
| Каждый транспортный сервер-концентратор кэширует членство в группе рассылки, чтобы предотвратить повтор круговых путей до Служба каталогов Active Directory. Кэш расширенных групп уменьшает количество запросов, отправляемых каждым транспортным сервером-концентратором контроллеру домена Служба каталогов Active Directory. По умолчанию срок действия записей в кэше расширенной группы истекает через четыре часа. Таким образом, при указании группы рассылки в качестве получателя, для которого ведется журнал, изменения в членстве расширенной группы могут не применяться к правилам журнала до обновления кэша расширенных групп. Чтобы незамедлительно обновить кэш получателей в принудительном порядке, необходимо остановить и снова запустить службу транспорта Microsoft Exchange. Это нужно сделать для каждого транспортного сервера-концентратора, на котором требуется принудительно обновить кэш получателей. |
Отчеты по журналу
Отчет журнала — это сообщение, создаваемое агентом ведения журнала, когда сообщение соответствует правилу журнала и должно быть передано в почтовый ящик журнала. Исходное сообщение, соответствующее правилу журнала, включается в отчет журнала без изменений в виде вложения. Текст отчета журнала включает такие сведения, как адрес электронной почты отправителя, тема сообщения, код сообщения и адрес электронной почты получателя, которые содержатся в исходном сообщении. Это также называется ведением журнала конвертов и является единственным способом ведения журнала, который поддерживается в Exchange 2010 и Exchange 2007.
Дополнительные сведения об отчетах журнала, управлении ими и их защите см. в следующих разделах:
- Общие
сведения об отчетах журнала
- Защита
отчетов журнала
- Общие
сведения об управлении отчетами журнала
Отчеты журнала и защищенные IRM сообщения
При реализации ведения журнала в среде Exchange 2010 необходимо учитывать отчеты журнала и сообщения, защищенные службой управления правами на доступ к данным (IRM). Защищенные IRM сообщения влияют на возможности поиска и обнаружения систем архивации сторонних производителей, которые не оснащены встроенной поддержкой RMS (служба управления правами). Сервер Exchange 2010 позволяет настроить расшифровку отчетов журнала для сохранения копии сообщения в открытом тексте в журнале отчета. Дополнительные сведения см. в разделе Общие сведения о расшифровке отчета журнала.
Взаимодействие с Exchange 2003 и
Exchange 2007
Сервер Exchange 2010 поддерживает ведение журнала в смешанной организации Exchange 2010 и Exchange 2003. Сервер Exchange 2010 может считывать конфигурацию ведения журнала Exchange 2003, хранящуюся в базах данных почтовых ящиков сервера Exchange 2010, и отправлять сообщения на почтовый ящик журнала сервера Exchange 2003 или Exchange 2010.
Сервер Exchange 2003 не может считывать конфигурацию ведения журнала, используемую сервером Exchange 2010. Однако сервер Exchange 2010 помечает занесенные в журнал сообщения и отчеты журнала, добавляя в них свойства, доступные для чтения сервером Exchange 2003. Если сообщение уже было записано в журнал сервером Exchange 2010, а отчеты журнала были отправлены на тот же самый почтовый ящик журнала, Exchange 2003 не будет повторно заносить сообщение в журнал. Если сообщение представляет собой отчет журнала, сервер Exchange 2003 рассматривает отчет журнала сервера Exchange 2010 как отчет журнала сервера Exchange 2003.
Дополнительные сведения о ведении журнала среде сосуществования см. в разделе Общие сведения о ведении журнала в смешанной среде Exchange 2003 и Exchange 2010.
Функции ведения журнала в Exchange 2010 и Exchange 2007 различаются незначительно. Тем не менее для правил журнала Exchange 2010 используется формат, отличный от правил журнала Exchange 2007. Программа установки Exchange 2010 создает отдельный контейнер в службе каталогов Active Directory для хранения правил журнала Exchange 2010. При установке первого сервера Exchange 2010 в организации Exchange 2007 программа установки создает копию правил журнала Exchange 2007 и сохраняет их в новом контейнере. После завершения установки правила журнала, используемые в обеих версиях, являются согласованными. Если после завершения установки в конфигурацию правил журнала на сервере Exchange 2007 вносятся изменения, такие же изменения необходимо выполнить и на сервере Exchange 2010 для обеспечения согласованности правил. Также можно экспортировать правила журнала с сервера Exchange 2007 и импортировать их на сервер Exchange 2010. Дополнительные сведения см. в разделе Экспорт и импорт правил журналов Exchange 2007.
Использование служб Exchange
Hosted Services
Ведение журнала можно также расширить или реализовать как службу Microsoft Exchange Hosted Services.
В состав группы Exchange Hosted Services входят четыре различные службы:
- служба Hosted Filtering, помогающая организациям защититься от
вредоносного программного обеспечения, содержащегося в электронной
почте;
- служба Hosted Archive, помогающая соблюдать требования по
хранению данных;
- служба Hosted Encryption, помогающая шифровать данные для
обеспечения конфиденциальности;
- служба Hosted Continuity, помогающая сохранять доступ к
электронной почте во время и после аварийных ситуаций.
Эти службы интегрируются с любыми локальными серверами Exchange, которые управляются внутренними или размещенными службами электронной почты Exchange, предлагаемыми поставщиками служб. Дополнительные сведения о службах Exchange Hosted Services см. в разделе Microsoft Exchange Hosted Services.