Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2010-11-17
Почтовые ящики могут содержать конфиденциальные сведения, важные для работы организации, а также персональные данные. Поэтому необходимо отслеживать вход в почтовые ящики организации и выполняемые в них действия. Особенно это касается доступа к почтовым ящикам пользователей, не являющихся их владельцами. Такие пользователи называются делегированными.
С помощью функции ведения журнала аудита почтового ящика можно регистрировать доступ владельцев, делегатов (в том числе администраторов с полными разрешениями на доступ к почтовому ящику) и администраторов к почтовым ящикам. Считается, что администраторы получают доступ к почтовым ящикам только в следующих случаях.
- Использование поиска на обнаружение для поиска в почтовом
ящике.
- Использование командлета New-MailboxExportRequest
для экспорта почтового ящика.
- Использование редактора Microsoft Exchange Server MAPI Editor (на английском
языке) для доступа к почтовому ящику.
При включении функции ведения журнала аудита для почтового ящика можно указать, какие именно действия (например, доступ к почтовому ящику, перемещение или удаление сообщений) должны регистрироваться для соответствующих типов учетных записей для входа (администратор, делегированный пользователь или владелец). В записях журнала аудита также содержатся другие важные сведения, такие как IP-адрес клиента, имя узла, процесс или клиент, использованные для получения доступа к почтовому ящику. Для перемещенных сообщений также указывается имя папки назначения.
 Примечание. |
|---|
| В почтовых ящиках, используемых для поиска на обнаружение, в которых могут содержаться более конфиденциальные сведения, можно включить запись действий (например, удаление сообщений) их владельцев в журнале аудита. |
Содержание
Журналы аудита почтовых ящиков
Включение функции ведения журнала аудита почтовых ящиков
Поиск записей в журнале аудита почтовых ящиков
Записи журнала аудита почтовых ящиков
Журналы аудита почтовых
ящиков
Для всех почтовых ящиков с включенной функцией ведения журнала аудита создаются журналы аудита почтовых ящиков. Записи журнала хранятся в подпапке «Аудиты» папки Элементы для восстановления отслеживаемого почтового ящика. Это обеспечивает доступ ко всем журналам аудита из одного места, независимо от использованного метода клиентского доступа к почтовому ящику или сервера (либо рабочей станции), использованного администратором для получения доступа к журналу аудита почтовых ящиков. При перемещении ящика на другой сервер почтовых ящиков соответственно перемещаются хранящиеся в нем журналы аудита.
По умолчанию записи журнала аудита хранятся в почтовом ящике 90 дней. Время хранения можно изменить, используя параметр AuditLogAgeLimit в командлете Set-Mailbox. Если почтовый ящик находится на судебном удержании, записи аудита сохраняются до окончания его срока.
Включение функции ведения
журнала аудита почтовых ящиков
Ведение журнала аудита включено для каждого почтового ящика. С помощью командлета Set-Mailbox можно включить или отключить ведение журнала аудита почтовых ящиков. Дополнительные сведения см. в разделе Включение и отключение ведения журнала аудита для почтового ящика.
При включении ведения журнала аудита почтового ящика операции доступа к почтовому ящику, а также некоторые действия администраторов и делегатов записываются по умолчанию. Для записи действий владельца почтового ящика необходимо указать, какие именно действия должны записываться. В следующей таблице перечислены действия, записываемые в журнале аудита почтового ящика, включая соответствующие типы учетных записей для входа.
Действия, записываемые в журнале аудита почтовых ящиков
| Действие | Описание | Администратор | Делегат | Владелец | ||
|---|---|---|---|---|---|---|
|
Copy |
Сообщение скопировано в другую папку. |
Да |
Да |
Неприменимо |
||
|
Create |
В почтовом ящике создан элемент (например, получено или отправлено сообщение).
|
Да* |
Да* |
Да |
||
|
FolderBind |
Папка почтового ящика была открыта. |
Да* |
Да** |
Да |
||
|
HardDelete |
Элемент удален из папки «Элементы для восстановления» без возможности восстановления. |
Да* |
Да* |
Да |
||
|
MessageBind |
Сообщение открыто или просматривается в области просмотра. |
Да |
Неприменимо |
Неприменимо |
||
|
Move |
Сообщение перемещено в другую папку. |
Да* |
Да |
Да |
||
|
MoveToDeletedItems |
Сообщение перемещено в папку «Удаленные». |
Да* |
Да |
Да |
||
|
SendAs |
Сообщение отправлено с использованием разрешений «Отправить как». |
Да* |
Да* |
Неприменимо |
||
|
SendOnBehalf |
Сообщение отправлено с использованием разрешений «Отправить от имени». |
Да* |
Да |
Неприменимо |
||
|
SoftDelete |
Сообщение удалено из папки «Удаленные». |
Да* |
Да* |
Да |
||
|
Update |
Параметры элемента обновлены. |
Да* |
Да* |
Да |
*Записывается по умолчанию, если для почтового ящика включена функция ведения журнала аудита.
** Записи о действиях делегатов по привязке папок консолидируются. За три часа в журнале создается одна запись для доступа к отдельной папке.
Доступ к почтовым ящикам с помощью авторизованных автоматических процессов, например учетных записей, используемых инструментами сторонних производителей или учетных записей для отслеживания исполнения законодательства, может привести к образованию большого количества записей в журнале аудита почтовых ящиков, что может создать затруднения для организации. Регистрацию сведений о таких учетных записях в журнале аудита можно отключить. Дополнительные сведения см. в разделе Исключение учетной записи пользователя из журнала аудита почтовых ящиков.
Для отключения записи определенных действий, выполняемых в почтовом ящике, необходимо изменить параметры ведения журнала аудита почтового ящика. Существующие записи в журнале аудита удаляются по прошествии определенного периода времени.
Поиск записей в журнале аудита
почтовых ящиков
Для поиска записей в журнале аудита можно использовать следующие способы.
- Синхронный поиск в отдельном почтовом
ящике С помощью командлета Search-MailboxAuditLog
можно выполнять синхронный поиск записей в журнале аудита для
отдельного почтового ящика. Результаты поиска командлета
отображаются в окне командной консоли Exchange. Дополнительные
сведения см. в разделе Поиск почтового ящика в
журнале аудита почтовых ящиков.
- Асинхронный поиск в одном или нескольких почтовых
ящиках Можно выполнять асинхронный поиск в
журналах аудита одного или нескольких почтовых ящиков с последующей
отправкой результатов на указанные адреса электронной почты.
Результаты поиска отправляются в виде вложения XML. Для выполнения
поиска используйте командлет New-MailboxAuditLogSearch.
Дополнительные сведения см. в разделе Поиск в журнале аудита
почтовых ящиков.
- Использование отчетов об аудите в панели управления
Exchange Для создания отчетов об аудите или
выполнения экспорта записей из журнала аудита почтовых ящиков или
журнала аудита администратора можно использовать вкладку
Аудит на панели управления Exchange. Дополнительные сведения
см. в разделе Вкладка «Аудит».
Записи журнала аудита почтовых
ящиков
В следующей таблице описываются поля, заполняемые в журнале аудита почтовых ящиков.
Поля журнала аудита почтовых ящиков
| Поле | Заполняется |
|---|---|
|
Operation |
Одно из следующих действий:
|
|
OperationResult |
Один из следующих результатов:
|
|
LogonType |
Тип учетной записи для входа пользователя, выполняющего действие. Типы учетных записей для входа:
|
|
DestFolderId |
Идентификатор GUID папки назначения для операций перемещения. |
|
DestFolderPathName |
Путь к папке назначения для операций перемещения. |
|
FolderId |
Идентификатор GUID папки. |
|
FolderPathName |
Путь к папке. |
|
ClientInfoString |
Сведения для идентификации клиента или компонента Exchange, выполняющего данную операцию. |
|
ClientIPAddress |
IP-адрес клиентского компьютера. |
|
ClientMachineName |
Имя клиентского компьютера. |
|
ClientProcessName |
Имя процесса клиентского приложения. |
|
ClientVersion |
Версия клиентского приложения. |
|
InternalLogonType |
Тип учетной записи для входа пользователя, выполняющего действие. Типы учетных записей для входа:
|
|
MailboxOwnerUPN |
Имя участника-пользователя (UPN) владельца почтового ящика. |
|
MailboxOwnerSid |
Идентификатор безопасности владельца почтового ящика (SID). |
|
DestMailboxOwnerUPN |
Имя участника-пользователя владельца почтового ящика назначения, выполняющего действия в нескольких почтовых ящиках. |
|
DestMailboxOwnerSid |
Идентификатор безопасности владельца почтового ящика назначения, выполняющего действия в нескольких почтовых ящиках. |
|
DestMailboxOwnerGuid |
Идентификатор GUID владельца почтового ящика назначения. |
|
CrossMailboxOperation |
Запись сведений об операции, выполненной в нескольких почтовых ящиках (например, копирование или перемещение сообщений в другие почтовые ящики). |
|
LogonUserDisplayName |
Отображаемое имя пользователя, выполнившего вход. |
|
DelegateUserDisplayName |
Отображаемое имя пользователя-делегата. |
|
LogonUserSid |
Идентификатор безопасности пользователя, выполнившего вход. |
|
SourceItems |
Идентификатор ItemID элементов почтового ящика, в котором выполнено записанное действие (например, перемещение или удаление). Для действий, выполненных для нескольких элементов, данное поле отображается как совокупность элементов. |
|
SourceFolders |
Идентификатор GUID исходной папки. |
|
ItemId |
Идентификатор элемента. |
|
ItemSubject |
Тема элемента. |
|
MailboxGuid |
Идентификатор GUID почтового ящика |
|
MailboxResolvedOwnerName |
Формат разрешенного имени пользователя почтового ящика выглядит следующим образом: ДОМЕН\SamAccountName. |
|
LastAccessed |
Время выполнения действия. |
|
Identity |
Идентификатор записи журнала аудита. |