Exchange-Überwachungsberichte in Exchange 2013

Gilt für: Exchange Server 2013

Verwenden Sie die Überwachungsprotokollierung zum Beheben von Konfigurationsproblemen, indem Sie bestimmte Änderungen von Administratoren nachverfolgen, sowie zum Einhalten gesetzlicher Bestimmungen und zum Aufbewahren von Daten, die für Rechtsstreitigkeiten erforderlich sind. Von Microsoft Exchange werden zwei Arten der Überwachungsprotokollierung bereitgestellt:

• Die Administratorüberwachungsprotokollierung zeichnet alle Aktionen auf, die auf einem Exchange-Verwaltungsshell-Cmdlet basieren und von einem Administrator ausgeführt werden. Dies kann Ihnen helfen, Konfigurationsprobleme zu beheben oder die Ursache von sicherheits- oder compliancebezogenen Problemen zu identifizieren.

• Bei der Postfachüberwachungsprotokollierung werden alle Postfachzugriffe durch Administratoren, delegierte Benutzer oder den Postfachbesitzer aufgezeichnet. Dadurch können Sie feststellen, wer auf ein Postfach zugegriffen hat und welche Aktionen ausgeführt wurden.

Exportieren von Überwachungsprotokollen

Auf der SeiteÜberwachung der Complianceverwaltung> im Exchange Admin Center (EAC) können Sie nach Einträgen aus dem Administratorüberwachungsprotokoll und dem Postfachüberwachungsprotokoll suchen und diese exportieren.

• Exportieren des Administratorüberwachungsprotokolls: Jede Aktion, die von einem Administrator ausgeführt wird, die auf einem Shell-Cmdlet basiert und nicht mit den Verben Get, Search oder Test beginnt, wird im Administratorüberwachungsprotokoll protokolliert. Überwachungsprotokolleinträge enthalten das ausgeführte Cmdlet, den Parameter und die Werte, die zusammen mit dem Cmdlet verwendet wurden, sowie den Status des Vorgangs. Sie können nach den Einträgen aus dem Administratorüberwachungsprotokoll suchen und diese exportieren. Wenn Sie die Suchergebnisse exportieren, werden diese in einer XML-Datei gespeichert, und die Datei wird an eine E-Mail angefügt. Weitere Informationen finden Sie unter Search the role group changes or administrator audit logs.

  Hinweis

  Standardmäßig werden die Einträge im Administrator-Überwachungsprotokoll 90 Tage lang aufbewahrt. Einträge, die älter als 90 Tage sind, werden gelöscht. In cloudbasierten Organisationen lässt sich diese Einstellung nicht ändern. In lokalen Exchange-Organisationen jedoch kann sie mithilfe des Cmdlets Set-AdminAuditLog geändert werden.

• Exportieren von Postfachüberwachungsprotokollen: Wenn die Postfachüberwachungsprotokollierung für ein Postfach aktiviert ist, speichert Microsoft Exchange einen Datensatz der Aktionen, die von Nichtbesitzern für Postfachdaten ausgeführt werden, im Postfachüberwachungsprotokoll, das in einem ausgeblendeten Ordner im überwachten Postfach gespeichert ist. Die Postfachüberwachungsprotokollierung kann auch so konfiguriert werden, dass Besitzeraktionen protokolliert werden. Die Einträge in diesem Protokoll geben an, wer wann auf das Postfach zugegriffen hat, welche Aktionen ausgeführt wurden und ob die Aktion erfolgreich war. Wenn Sie im Postfachüberwachungsprotokoll nach Einträgen suchen und diese exportieren, speichert Microsoft Exchange die Suchergebnisse in einer XML-Datei und fügt sie an eine E-Mail-Nachricht an. Weitere Informationen finden Sie unter Exportieren von Postfachüberwachungsprotokollen.

Ausführen von Überwachungsberichten

Wenn Sie in der Exchange-Verwaltungskonsole auf der Seite Überwachung einen der folgenden Berichte ausführen, werden die Ergebnisse im Detailbereich des Berichts angezeigt.

• Ausführen eines Postfachzugriffsberichts ohne Besitzer: Verwenden Sie diesen Bericht, um Postfächer zu finden, auf die von einer anderen Person als der Person zugegriffen wurde, die das Postfach besitzt. Weitere Informationen finden Sie unter Ausführen eines Berichts zum Postfachzugriff durch Nicht-Besitzer.

• Ausführen eines Berichts für Administratorrollengruppen: Verwenden Sie diesen Bericht, um nach Änderungen zu suchen, die an Administratorrollengruppen vorgenommen wurden. Weitere Informationen finden Sie unter Search the role group changes or administrator audit logs.

• Ausführen eines In-Situ-Ermittlungs- und Aufbewahrungsberichts: Verwenden Sie diesen Bericht, um Postfächer zu finden, die In-Place Haltespeicher abgelegt oder daraus entfernt wurden. Weitere Informationen finden Sie unter:

  • In-Situ-Speicher und Beweissicherungsverfahren

  • In-Situ-eDiscovery

• Ausführen eines Beweissicherungsberichts pro Postfach: Verwenden Sie diesen Bericht, um Postfächer zu finden, die in den Aufbewahrungsspeicher für Rechtsstreitigkeiten eingefügt oder daraus entfernt wurden. Weitere Informationen finden Sie unter.

  • Ausführen eines Berichts zu Beweissicherungsverfahren pro Postfach

  • Aktivieren des Beweissicherungsverfahrens für ein Postfach

• Ausführen des Administratorüberwachungsprotokollberichts: Verwenden Sie diesen Bericht, um Einträge aus dem Administratorüberwachungsprotokoll anzuzeigen. Anstatt das Administratorüberwachungsprotokoll zu exportieren, dessen Empfang in einer E-Mail-Nachricht bis zu 24 Stunden dauern kann, können Sie diesen Bericht in der Exchange-Verwaltungskonsole ausführen. Dieser Bericht protokolliert die Konfigurationsänderungen, die von Administratoren in Ihrer Organisation vorgenommen werden. Es können bis zu 5000 Einträge auf mehreren Seiten angezeigt werden. Um die Suche einzuschränken, können Sie einen Datumsbereich angeben. Weitere Informationen finden Sie unter:

  • Anzeigen des Administratorüberwachungsprotokolls

  • Administratorüberwachungsprotokollierung

Konfigurieren der Überwachungsprotokollierung

Sie müssen zunächst die Überwachungsprotokollierung für die Organisation konfigurieren, um Überwachungsberichte ausführen und Überwachungsprotokolle exportieren zu können.

Aktivieren der Postfachüberwachungsprotokollierung

Die Postfachüberwachungsprotokollierung muss für jedes Postfach aktiviert werden, für das ein Bericht zum Postfachzugriff durch Nicht-Besitzer ausgeführt werden soll. Wenn die Postfachüberwachungsprotokollierung für ein Postfach nicht aktiviert ist, erhalten Sie beim Ausführen eines Berichts sowie beim Exportieren des Postfachüberwachungsprotokolls keine Ergebnisse für das Postfach.

Führen Sie den folgenden Befehl in der Shell aus, um die Postfachüberwachungsprotokollierung für ein einzelnes Postfach zu aktivieren.

Set-Mailbox <Identity> -AuditEnabled $true

Führen Sie folgende Befehle aus, um die Postfachüberwachung für alle Benutzerpostfächer in Ihrer Organisation zu aktivieren.

$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Weitere Informationen zum Konfigurieren der protokollierten Aktionen finden Sie unter Aktivieren oder Deaktivieren der Postfachüberwachungsprotokollierung für ein Postfach.

Gewähren des Benutzerzugriffs auf Überwachungsberichte

Standardmäßig können Administratoren in der Exchange-Verwaltungskonsole auf alle Berichte der Seite Überwachung zugreifen und diese ausführen. Anderen Benutzern (beispielsweise aus der Datensatzverwaltung oder aus der Rechtsabteilung) müssen die notwendigen Berechtigungen jedoch erst zugewiesen werden.

Die einfachste Art, den Benutzern Zugriff zu gewähren, ist das Hinzufügen der Benutzer zur Rollengruppe "Datensatzverwaltung". Sie können einem Benutzer auch mithilfe der Shell Zugriff auf die Seite Überwachung in der Exchange-Verwaltungskonsole gewähren, indem Sie ihm die Rolle für Überwachungsprotokolle zuweisen.

Hinzufügen eines Benutzers zur Rollengruppe "Datensatzverwaltung"

1. Wechseln Sie zu Berechtigungen>Admin Rollen.

2. Klicken Sie in der Liste der Rollengruppen auf Datensatzverwaltung, und klicken Sie dann auf .

3. Klicken Sie unter Mitglieder auf Symbol

4. Wählen Sie im Dialogfeld Mitglieder auswählen den Benutzer aus. Sie können nach einem Benutzer suchen, indem Sie einen Anzeigenamen oder einen Teil des Anzeigenamens eingeben und dann auf suchen klicken. Sie können die Liste auch sortieren, indem Sie auf die Spaltenüberschriften Name oder Anzeigename klicken.

5. Klicken Sie auf Klicken Sie dann auf OK, um zur Seite der Rollengruppe zurückzukehren.

6. Klicken Sie auf Speichern, um die Änderungen an der Rollengruppe zu speichern.

In the details pane, the user is listed under Members and can access the Auditing page in the EAC, run auditing reports, and export audit logs.

Zuweisen der Rolle für Überwachungsprotokolle zu einem Benutzer

Führen Sie den folgenden Befehl aus, um einem Benutzer die Rolle für Überwachungsprotokolle zuzuweisen.

New-ManagementRoleAssignment -Role "Audit Logs" -User <Identity>

Dadurch kann derBenutzer im EAC Die Überwachung der Complianceverwaltung> auswählen, um einen der Berichte auszuführen. Zudem kann der Benutzer auch das Postfachüberwachungsprotokoll exportieren und das Administratorüberwachungsprotokoll exportieren und anzeigen.

Hinweis

Wenn Sie einem Benutzer zwar das Ausführen von Überwachungsberichten, aber nicht das Exportieren von Überwachungsprotokollen ermöglichen möchten, weisen Sie mithilfe des vorherigen Befehls die Rolle mit Leserechten für Überwachungsprotokolle zu.

Konfigurieren von Outlook Web App, um XML-Anlagen zuzulassen

Wenn Sie das Postfachüberwachungsprotokoll oder das Administratorüberwachungsprotokoll exportieren, wird das Überwachungsprotokoll (XML-Datei) an eine E-Mail angefügt. Jedoch blockiert Outlook Web App standardmäßig XML-Anlagen. Wenn Sie mit Outlook Web App auf exportierte Überwachungsprotokolle zugreifen möchten, muss Outlook Web App für das Zulassen von XML-Anlagen konfiguriert werden.

Führen Sie den folgenden Befehl aus, um XML-Anlagen in Outlook Web App zuzulassen.

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'