Exportieren von Postfachüberwachungsprotokollen in Exchange 2013
Gilt für: Exchange Server 2013
Bei aktivierter Postfachüberwachung für ein Postfach werden im Postfachüberwachungsprotokoll Informationen protokolliert, wenn ein Benutzer, bei dem es sich nicht um den Besitzer des Postfachs handelt, auf das Postfach zugreift. Jeder Protokolleintrag enthält Angaben zur zugreifenden Person und zur Zugriffszeit, zu den Aktionen, die der Nicht-Besitzer ausgeführt hat, sowie zum Status der Aktion. Einträge im Postfachüberwachungsprotokoll werden standardmäßig für 90 Tage beibehalten. Mithilfe des Postfachüberwachungsprotokolls können Sie feststellen, ob auf ein Postfach von einer Person zugegriffen wurde, bei der es sich nicht um den Besitzer des Postfachs handelt.
Wenn Sie Einträge aus Postfachüberwachungsprotokollen exportieren, speichert Microsoft Exchange die Einträge in einer XML-Datei und fügt diese einer E-Mail an die angegebenen Empfänger an.
Bevor Sie beginnen
Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: Die Zeiten sind unterschiedlich.
Für die Verfahren in diesem Thema sind bestimmte Berechtigungen erforderlich. Informationen zu den Berechtigungen finden Sie in den einzelnen Verfahren.
Informationen zu Tastenkombinationen, die für die Verfahren in diesem Thema gelten können, finden Sie unter Tastenkombinationen für das Exchange Admin Center in Exchange 2013.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf Exchange Server.
Konfigurieren der Postfachüberwachungsprotokollierung
Zum Exportieren und Anzeigen von Postfachüberwachungsprotokollen muss zunächst die Postfachüberwachungsprotokollierung für jedes Postfach aktiviert werden, das Sie überwachen möchten. Außerdem müssen Sie Microsoft Outlook Web App konfigurieren, damit XML-Anlagen Outlook Web App für den Zugriff auf das Überwachungsprotokoll verwenden können.
Schritt 1: Aktivieren der Postfachüberwachungsprotokollierung
Die Postfachüberwachungsprotokollierung muss für jedes Postfach aktiviert werden, für das ein Bericht zum Postfachzugriff durch Nicht-Besitzer ausgeführt werden soll. Ist die Postfachüberwachungsprotokollierung für ein Postfach nicht aktiviert, erhalten Sie keine Ergebnisse für dieses Postfach, wenn Sie das Postfachüberwachungsprotokoll exportieren.
Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Postfachüberwachungsprotokollierung" im Thema Berechtigungen für Messagingrichtlinien und -kompatibilität.
Führen Sie den folgenden Befehl in der Shell aus, um die Postfachüberwachungsprotokollierung für ein einzelnes Postfach zu aktivieren.
Set-Mailbox <Identity> -AuditEnabled $true
Führen Sie folgende Befehle aus, um die Postfachüberwachungsprotokollierung für alle Benutzerpostfächer in Ihrer Organisation zu aktivieren.
$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Schritt 2: Konfigurieren von Outlook Web App, um XML-Anlagen zuzulassen
Beim Exportieren des Postfachüberwachungsprotokolls wird das Überwachungsprotokoll, das eine XML-Datei ist, an eine E-Mail angefügt. XML-Anlagen werden von Outlook Web App jedoch standardmäßig blockiert. Damit Sie auf das exportierte Überwachungsprotokoll zugreifen können, müssen Sie Microsoft Outlook verwenden oder Outlook Web App so konfigurieren, dass XML-Anlagen akzeptiert werden.
Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Outlook Web App-Postfachrichtlinien" im Thema Berechtigungen für Clients und mobile Geräte.
Führen Sie die folgenden Prozeduren aus, um XML-Anlagen in Outlook Web App zuzulassen. Verwenden Sie in Exchange Server 2013 den Wert Default für den Identity-Parameter.
Führen Sie den folgenden Befehl aus, um XML zur Liste der zulässigen Dateitypen in Outlook Web App hinzuzufügen.
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add='.xml'}Führen Sie den folgenden Befehl aus, um XML aus der Liste der blockierten Dateitypen in Outlook Web App zu entfernen.
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove='.xml'}
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Gehen Sie wie folgt vor, um zu überprüfen, ob die Postfachüberwachungsprotokollierung erfolgreich konfiguriert wurde:
Führen Sie den folgenden Befehl aus, um sich zu vergewissern, dass die Überwachungsprotokollierung für Postfächer aktiviert ist.
Get-Mailbox | Format-List Name,AuditEnabledDer Wert für
Truedie AuditEnabled-Eigenschaft überprüft, ob die Überwachungsprotokollierung aktiviert ist.Führen Sie den folgenden Befehl aus, um sicherzustellen, dass XML-Anlagen in Outlook Web App zulässig sind.
Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypesÜberprüfen Sie, ob
.xmlin der Liste der zulässigen Dateitypen enthalten ist.Führen Sie den folgenden Befehl aus, um sicherzustellen, dass XML-Anlagen aus der Liste für blockierte Dateien in Outlook Web App entfernt werden.
Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypesStellen Sie sicher, dass
.xmlnicht in der Liste der blockierten Dateitypen enthalten ist.
Exportieren des Postfachüberwachungsprotokolls
Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Überwachungsprotokollierung durch Administratoren mit Leserechten" im Thema Exchange- und Shellinfrastrukturberechtigungen.
Wechseln Sie im Exchange Admin Center (EAC) zuÜberwachung der Complianceverwaltung>.
Klicken Sie auf Postfachüberwachungsprotokolle exportieren.
Konfigurieren Sie die folgenden Suchkriterien zum Exportieren der Einträge aus dem Postfachüberwachungsprotokoll:
Start- und Enddatum: Wählen Sie den Datumsbereich für die Einträge aus, die in die exportierte Datei eingeschlossen werden sollen.
Postfächer zum Durchsuchen des Überwachungsprotokolls: Wählen Sie die Postfächer aus, für die Überwachungsprotokolleinträge abgerufen werden sollen.
Typ des Zugriffs ohne Besitzer: Wählen Sie eine der folgenden Optionen aus, um den Typ des Zugriffs ohne Besitzer zu definieren, für den Einträge abgerufen werden sollen:
Alle Nicht-Besitzer: Suchen Sie nach Zugriff durch Administratoren und delegierte Benutzer innerhalb Ihrer Organisation.
Externe Benutzer: Suchen Sie nach Zugriff durch Microsoft-Rechenzentrumsadministratoren.
Administratoren und delegierte Benutzer: Suchen Sie nach Zugriff durch Administratoren und delegierte Benutzer innerhalb Ihrer Organisation.
Administratoren: Suchen Sie nach Zugriff durch Administratoren in Ihrer Organisation.
Empfänger: Wählen Sie die Benutzer aus, an die das Postfachüberwachungsprotokoll gesendet werden soll.
Klicken Sie auf Exportieren.
Exchange ruft Einträge im Postfachüberwachungsprotokoll ab, die Ihren Suchkriterien entsprechen, speichert sie in einer Datei namens SearchResult.xml und fügt die XML-Datei dann an eine E-Mail-Nachricht an, die an die von Ihnen angegebenen Empfänger gesendet wird.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Melden Sie sich an dem Postfach an, an das das Postfachüberwachungsprotokoll gesendet wurde. Wenn das Überwachungsprotokoll erfolgreich exportiert wurde, erhalten Sie eine von Exchange gesendete Nachricht. Das Postfachüberwachungsprotokoll "SearchResult.xml" wird an diese Nachricht angefügt. Wenn Sie Outlook Web App ordnungsgemäß konfiguriert haben, um XML-Anlagen zuzulassen, können Sie die angefügte XML-Datei herunterladen.
Anzeigen des Postfachüberwachungsprotokolls
Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Überwachungsprotokollierung durch Administratoren mit Leserechten" im Thema Exchange- und Shellinfrastrukturberechtigungen.
So speichern Sie die Datei "SearchResult.xml" und zeigen sie an
Melden Sie sich an dem Postfach an, an das das Postfachüberwachungsprotokoll gesendet wurde.
Öffnen Sie im Posteingang die von Microsoft Exchange gesendete Nachricht mit der XML-Dateianlage. Der Text der E-Mail enthält die Suchkriterien.
Klicken Sie auf die Anlage, und laden Sie die XML-Datei herunter.
Öffnen Sie die Datei "SearchResult.xml" in Microsoft Excel.
Weitere Informationen
Einträge im Postfachüberwachungsprotokoll: Das folgende Beispiel zeigt einen Eintrag aus dem Postfachüberwachungsprotokoll, das in der SearchResult.xml-Datei enthalten ist. Jedem Eintrag wird das <Ereignis-XML-Tag> vorangestellt und endet mit dem <XML-Tag /Event> . Dieser Eintrag zeigt, dass der Administrator die Nachricht am 30. April 2010 mit dem Betreff "Benachrichtigung über Beweissicherung" aus dem Ordner "Wiederherstellbare Elemente" in Davids Postfach gelöscht hat.
<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" Owner="PPLNSL-dom\david50001-1363917750" LastAccessed="2010-04-30T11:01:55.140625-07:00" Operation="HardDelete" OperationResult="Succeeded" LogonType="Admin" FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000" FolderPathName="\Recoverable Items\Deletions" ClientInfoString="Client=OWA;Action=ViaProxy" ClientIPAddress="10.196.241.168" InternalLogonType="Owner" MailboxOwnerUPN="david@contoso.com" MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" CrossMailboxOperation="false" LogonUserDN="Administrator" LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149"> <SourceItems> <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540" Subject="Notification of litigation hold" FolderPathName="\Recoverable Items\Deletions" /> </SourceItems> </Event>Nützliche Felder im Postfachüberwachungsprotokoll: Hier finden Sie eine Beschreibung der nützlichen Felder im Postfachüberwachungsprotokoll. Diese Felder enthalten spezifische Informationen zu den einzelnen Instanzen von Nicht-Besitzer-Zugriffen eines Postfachs.
Feld Beschreibung Besitzer Der Besitzer des Postfachs, auf das von einem Nicht-Besitzer zugegriffen wurde. LastAccessed Das Datum und die Uhrzeit des Postfachzugriffs. Operation Die vom Nicht-Besitzer ausgeführte Aktion. Weitere Informationen finden Sie im Abschnitt "Was wird im Postfachüberwachungsprotokoll protokolliert?" unter Ausführen eines Postfachzugriffsberichts ohne Besitzer in Exchange 2013. OperationResult Gibt an, ob die vom Nicht-Besitzer ausgeführte Aktion erfolgreich war. LogonType Der Typ des Nicht-Besitzer-Zugriffs. Hierzu zählen Zugriffe durch Administratoren, durch delegierte Benutzer und durch externe Benutzer. FolderPathName Der Name des Ordners mit der Nachricht, die von der Aktion des Nicht-Besitzers betroffen war. ClientInfoString Informationen zum E-Mail-Client, mit dem der Nicht-Besitzer auf das Postfach zugegriffen hat. ClientIPAddress Die IP-Adresse des Computers, mit dem der Nicht-Besitzer auf das Postfach zugegriffen hat. InternalLogonType Der Anmeldetyp des Kontos, mit dem der Nicht-Besitzer auf das Postfach zugegriffen hat. MailboxOwnerUPN Die E-Mail-Adresse des Postfachbesitzers. LogonUserDN Der Anzeigename des Nicht-Besitzers. Subject Die Betreffzeile der E-Mail, die von der Aktion des Nicht-Besitzers betroffen war.