Exchange Überwachungsberichte in Exchange 2013

Gilt für: Exchange Server 2013

Verwenden Sie die Überwachungsprotokollierung zum Beheben von Konfigurationsproblemen, indem Sie bestimmte Änderungen von Administratoren nachverfolgen, sowie zum Einhalten gesetzlicher Bestimmungen und zum Aufbewahren von Daten, die für Rechtsstreitigkeiten erforderlich sind. Von Microsoft Exchange werden zwei Arten der Überwachungsprotokollierung bereitgestellt:

  • Die Administratorüberwachungsprotokollierung zeichnet alle Aktionen auf, die auf einem Exchange Verwaltungsshell-Cmdlet basieren, das von einem Administrator ausgeführt wird. Dies kann Ihnen helfen, Konfigurationsprobleme zu beheben oder die Ursache für sicherheitsrelevante oder Compliance-bezogene Probleme zu identifizieren.

  • Bei der Postfachüberwachungsprotokollierung werden alle Postfachzugriffe durch Administratoren, delegierte Benutzer oder den Postfachbesitzer aufgezeichnet. Dadurch können Sie feststellen, wer auf ein Postfach zugegriffen hat und welche Aktionen ausgeführt wurden.

Exportieren von Überwachungsprotokollen

In der Exchange-Verwaltungskonsole (EAC) können Sie auf der Seite Verwaltung der Richtlinientreue > Überwachung nach Einträgen aus dem Administratorüberwachungsprotokoll und aus dem Postfachüberwachungsprotokoll suchen und diese exportieren.

  • Exportieren Sie das Administratorüberwachungsprotokoll: Alle Aktionen, die von einem Administrator ausgeführt werden, der auf einem Shell-Cmdlet basiert und nicht mit den Verben "Abrufen", "Suchen" oder "Testen" beginnt, werden im Administratorüberwachungsprotokoll protokolliert. Überwachungsprotokolleinträge enthalten das ausgeführte Cmdlet, den Parameter und die Werte, die zusammen mit dem Cmdlet verwendet wurden, sowie den Status des Vorgangs. Sie können nach den Einträgen aus dem Administratorüberwachungsprotokoll suchen und diese exportieren. Wenn Sie die Suchergebnisse exportieren, werden diese in einer XML-Datei gespeichert, und die Datei wird an eine E-Mail angefügt. Weitere Informationen finden Sie unter Search the role group changes or administrator audit logs.

    Hinweis

    Standardmäßig werden die Einträge im Administrator-Überwachungsprotokoll 90 Tage lang aufbewahrt. Einträge, die älter als 90 Tage sind, werden gelöscht. In cloudbasierten Organisationen lässt sich diese Einstellung nicht ändern. In lokalen Exchange-Organisationen jedoch kann sie mithilfe des Cmdlets Set-AdminAuditLog geändert werden.

  • Exportieren von Postfachüberwachungsprotokollen: Wenn die Postfachüberwachungsprotokollierung für ein Postfach aktiviert ist, speichert Microsoft Exchange einen Datensatz von Aktionen, die von Nichtbesitzern für Postfachdaten ausgeführt werden, im Postfachüberwachungsprotokoll, das in einem ausgeblendeten Ordner in dem Postfach gespeichert ist, das überwacht wird. Die Postfachüberwachungsprotokollierung kann auch so konfiguriert werden, dass Besitzeraktionen protokolliert werden. Einträge in diesem Protokoll geben an, wer auf das Postfach zugegriffen hat und wann, welche Aktionen ausgeführt wurden und ob die Aktion erfolgreich war. Wenn Sie im Postfachüberwachungsprotokoll nach Einträgen suchen und diese exportieren, speichert Microsoft Exchange die Suchergebnisse in einer XML-Datei und fügt sie an eine E-Mail-Nachricht an. Weitere Informationen finden Sie unter Exportieren von Postfachüberwachungsprotokollen.

Ausführen von Überwachungsberichten

Wenn Sie in der Exchange-Verwaltungskonsole auf der Seite Überwachung einen der folgenden Berichte ausführen, werden die Ergebnisse im Detailbereich des Berichts angezeigt.

Konfigurieren der Überwachungsprotokollierung

Sie müssen zunächst die Überwachungsprotokollierung für die Organisation konfigurieren, um Überwachungsberichte ausführen und Überwachungsprotokolle exportieren zu können.

Aktivieren der Postfachüberwachungsprotokollierung

Die Postfachüberwachungsprotokollierung muss für jedes Postfach aktiviert werden, für das ein Bericht zum Postfachzugriff durch Nicht-Besitzer ausgeführt werden soll. Wenn die Postfachüberwachungsprotokollierung für ein Postfach nicht aktiviert ist, erhalten Sie beim Ausführen eines Berichts sowie beim Exportieren des Postfachüberwachungsprotokolls keine Ergebnisse für das Postfach.

Führen Sie den folgenden Befehl in der Shell aus, um die Postfachüberwachungsprotokollierung für ein einzelnes Postfach zu aktivieren.

Set-Mailbox <Identity> -AuditEnabled $true

Führen Sie folgende Befehle aus, um die Postfachüberwachung für alle Benutzerpostfächer in Ihrer Organisation zu aktivieren.

$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Weitere Informationen zum Konfigurieren der protokollierten Aktionen finden Sie unter Aktivieren oder Deaktivieren der Postfachüberwachungsprotokollierung für ein Postfach.

Gewähren des Benutzerzugriffs auf Überwachungsberichte

Standardmäßig können Administratoren in der Exchange-Verwaltungskonsole auf alle Berichte der Seite Überwachung zugreifen und diese ausführen. Anderen Benutzern (beispielsweise aus der Datensatzverwaltung oder aus der Rechtsabteilung) müssen die notwendigen Berechtigungen jedoch erst zugewiesen werden.

Die einfachste Art, den Benutzern Zugriff zu gewähren, ist das Hinzufügen der Benutzer zur Rollengruppe "Datensatzverwaltung". Sie können einem Benutzer auch mithilfe der Shell Zugriff auf die Seite Überwachung in der Exchange-Verwaltungskonsole gewähren, indem Sie ihm die Rolle für Überwachungsprotokolle zuweisen.

Hinzufügen eines Benutzers zur Rollengruppe "Datensatzverwaltung"

  1. Navigieren Sie zu Berechtigungen > Administratorrollen.

  2. Klicken Sie in der Liste der Rollengruppen auf "Datensatzverwaltung" und dann auf das Symbol  "Bearbeiten".

  3. Klicken Sie unter "Elemente" auf "Symbol  hinzufügen".

  4. Wählen Sie im Dialogfeld Mitglieder auswählen den Benutzer aus. Sie können nach einem Benutzer suchen, indem Sie einen Anzeigenamen ganz oder teilweise eingeben und dann auf das  Suchsymbol klicken. Sie können die Liste auch sortieren, indem Sie auf die Spaltenüberschriften Name oder Anzeigename klicken.

  5. Klicken Sie auf  "Hinzufügen"-Symbol. und klicken Sie dann auf "OK", um zur Rollengruppenseite zurückzukehren.

  6. Klicken Sie auf Speichern, um die Änderungen an der Rollengruppe zu speichern.

In the details pane, the user is listed under Members and can access the Auditing page in the EAC, run auditing reports, and export audit logs.

Zuweisen der Rolle für Überwachungsprotokolle zu einem Benutzer

Führen Sie den folgenden Befehl aus, um einem Benutzer die Rolle für Überwachungsprotokolle zuzuweisen.

New-ManagementRoleAssignment -Role "Audit Logs" -User <Identity>

Auf diese Weise kann der Benutzer in der Exchange-Verwaltungskonsole die Optionen Verwaltung der Richtlinientreue > Überwachung auswählen, um einen Bericht auszuführen. Zudem kann der Benutzer auch das Postfachüberwachungsprotokoll exportieren und das Administratorüberwachungsprotokoll exportieren und anzeigen.

Hinweis

Wenn Sie einem Benutzer zwar das Ausführen von Überwachungsberichten, aber nicht das Exportieren von Überwachungsprotokollen ermöglichen möchten, weisen Sie mithilfe des vorherigen Befehls die Rolle mit Leserechten für Überwachungsprotokolle zu.

Konfigurieren von Outlook Web App, um XML-Anlagen zuzulassen

Wenn Sie das Postfachüberwachungsprotokoll oder das Administratorüberwachungsprotokoll exportieren, wird das Überwachungsprotokoll (XML-Datei) an eine E-Mail angefügt. Jedoch blockiert Outlook Web App standardmäßig XML-Anlagen. Wenn Sie mit Outlook Web App auf exportierte Überwachungsprotokolle zugreifen möchten, muss Outlook Web App für das Zulassen von XML-Anlagen konfiguriert werden.

Führen Sie den folgenden Befehl aus, um XML-Anlagen in Outlook Web App zuzulassen.

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'