Exporter les journaux d’audit de boîte aux lettres dans Exchange 2013
S’applique à : Exchange Server 2013
Lorsque l'audit de boîte aux lettres est activé pour une boîte aux lettres, Microsoft Exchange entre les informations dans le journal d'audit de la boîte aux lettres chaque fois qu'un utilisateur autre que le propriétaire accède à la boîte aux lettres. Chaque entrée du journal inclut des informations sur qui a accédé à la boîte aux lettres et quand, les actions effectuées par le non-propriétaire, et si l'action a réussi. Par défaut, les entrées dans le journal d'audit de boîtes aux lettres sont conservées pendant 90 jours. Vous pouvez utiliser le journal d'audit de la boîte aux lettres pour déterminer si un utilisateur autre que le propriétaire a accédé à une boîte aux lettres.
Lorsque vous exportez des entrées des journaux d’audit de boîte aux lettres, Microsoft Exchange enregistre les entrées dans un fichier XML et l’inclut en pièce jointe dans un message électronique envoyé aux destinataires spécifiés.
Avant de commencer
Durée d’exécution estimée de chaque procédure : Les durées sont variables.
Les procédures décrites dans cette rubrique requièrent des autorisations spécifiques. Consultez chaque procédure pour savoir quelles autorisations sont nécessaires.
Pour plus d’informations sur les raccourcis clavier qui peuvent s’appliquer aux procédures décrites dans cette rubrique, voir Raccourcis clavier pour le Centre d’administration Exchange dans Exchange 2013.
Conseil
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums de Exchange Server.
Configurer l’enregistrement d’audit de boîte aux lettres
Vous devez activer l’enregistrement d’audit de boîte aux lettres sur chaque boîte aux lettres que vous souhaitez auditer avant de pouvoir exporter et consulter des journaux d’audit de boîte aux lettres. Vous devez aussi configurer Microsoft Outlook Web App pour autoriser les pièces jointes XML afin de pouvoir utiliser Outlook Web App pour accéder au journal d'audit.
Étape 1 : Activer l’enregistrement d’audit de boîte aux lettres
Vous devez activer l’enregistrement d’audit de boîte aux lettres pour chaque boîte aux lettres pour laquelle vous souhaitez exécuter un rapport d’accès aux boîtes aux lettres par un non-propriétaire. Si l'enregistrement d'audit de boîte aux lettres n'est pas activé pour une boîte aux lettres, vous n'obtiendrez pas de résultats concernant cette boîte aux lettres lorsque vous exporterez le journal d'audit de boîte aux lettres.
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Journaux d'audit des boîtes aux lettres » dans la rubrique Stratégie de messagerie et autorisations de conformité.
Pour activer l'enregistrement d'audit de boîte aux lettres pour une boîte aux lettres unique, exécutez la commande dans l'environnement de ligne de commande Exchange Management Shell.
Set-Mailbox <Identity> -AuditEnabled $true
Pour activer l’enregistrement d’audit de boîte aux lettres pour toutes les boîtes aux lettres des utilisateurs de votre organisation, exécutez les commandes suivantes.
$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Étape 2 : Configurer Outlook Web App pour autoriser les pièces jointes XML
Lorsque vous exportez le journal d’audit de boîte aux lettres, Microsoft Exchange joint le journal d’audit, qui est un fichier XML, à un message électronique. Toutefois, Outlook Web App bloque les pièces jointes XML par défaut. Pour accéder au journal d'audit exporté, vous devez utiliser Microsoft Outlook ou configurer Outlook Web App pour que les pièces jointes XML soient autorisées.
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Stratégies de boîte aux lettres de messagerie unifiée Outlook Web App » dans la rubrique Autorisations des clients et des périphériques mobiles.
Exécutez les procédures suivantes pour autoriser les pièces jointes XML dans Outlook Web App. Dans Exchange Server 2013, utilisez la valeur Default du paramètre Identity.
Exécutez la commande suivante pour ajouter XML à la liste des types de fichiers autorisés dans Outlook Web App.
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add='.xml'}Exécutez la commande suivante pour supprimer XML de la liste des types de fichiers bloqués dans Outlook Web App.
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove='.xml'}
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez bien configuré l'enregistrement d'audit de boîte aux lettres, procédez comme suit :
Exécutez la commande suivante pour vérifier que l'enregistrement d'audit est configuré pour les boîtes aux lettres.
Get-Mailbox | Format-List Name,AuditEnabledLa valeur de
Truepour la propriété AuditEnabled vérifie que la journalisation d’audit est activée.Exécutez la commande suivante pour vérifier que les pièces jointes XML sont autorisées dans Outlook Web App.
Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypesVérifiez que
.xmlest inclus dans la liste des types de fichiers autorisés.Exécutez la commande suivante pour vérifier que les pièces jointes XML sont supprimées de la liste de fichiers bloqués dans Outlook Web App.
Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypesVérifiez que
.xmln’est pas inclus dans la liste des types de fichiers bloqués.
Exporter le journal d’audit de boîte aux lettres
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Enregistrement d'audit d'administrateur en affichage seul » dans la rubrique Autorisations d'infrastructure Exchange et Shell.
Dans le Centre d’administration Exchange (EAC), accédez àAuditde gestion de la> conformité.
Cliquez sur Exporter les journaux d’audit de boîte aux lettres.
Configurez les critères de recherche suivants pour l’exportation des entrées du journal d’audit de boîte aux lettres :
Dates de début et de fin : sélectionnez la plage de dates pour les entrées à inclure dans le fichier exporté.
Boîtes aux lettres pour lesquelles rechercher le journal d’audit : sélectionnez les boîtes aux lettres pour lesquelles récupérer les entrées du journal d’audit.
Type d’accès non-propriétaire : sélectionnez l’une des options suivantes pour définir le type d’accès non-propriétaire pour lequel récupérer les entrées :
Tous les non-propriétaires : recherchez l’accès par les administrateurs et les utilisateurs délégués au sein de votre organisation.
Utilisateurs externes : recherchez l’accès par les administrateurs du centre de données Microsoft.
Administrateurs et utilisateurs délégués : recherchez l’accès par les administrateurs et les utilisateurs délégués au sein de votre organisation.
Administrateurs : recherchez l’accès par les administrateurs de votre organisation.
Destinataires : sélectionnez les utilisateurs auxquels envoyer le journal d’audit de boîte aux lettres.
Cliquez sur Exporter.
Exchange récupère les entrées du journal d’audit de la boîte aux lettres qui répondent à vos critères de recherche, les enregistre dans un fichier nommé SearchResult.xml, puis joint le fichier XML à un e-mail envoyé aux destinataires que vous avez spécifiés.
Comment savoir si cela a fonctionné ?
Connectez-vous à la boîte aux lettres à laquelle le journal d’audit de la boîte aux lettres a été envoyé. Si vous avez bien exporté le journal d'audit, vous recevrez un message envoyé depuis Exchange. Le journal d'audit de la boîte aux lettres (nommé SearchResult.xml) sera joint à ce message. Si vous avez correctement configuré Outlook Web App afin que les pièces jointes XML soient autorisées, vous pouvez télécharger le fichier XML joint.
Consulter le journal d’audit de boîte aux lettres
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Enregistrement d'audit d'administrateur en affichage seul » dans la rubrique Autorisations d'infrastructure Exchange et Shell.
Pour enregistrer et afficher le fichier SearchResult.xml, procédez comme suit :
Connectez-vous à la boîte aux lettres à laquelle le journal d’audit de la boîte aux lettres a été envoyé.
Dans la boîte de réception, ouvrez le message contenant la pièce jointe de fichier XML envoyée par Microsoft Exchange. Remarquez que le corps du message électronique contient les critères de recherche.
Cliquez sur la pièce jointe et sélectionnez-la pour télécharger le fichier XML.
Ouvrez SearchResult.xml dans Microsoft Excel.
Plus d’informations
Entrées dans le journal d’audit de boîte aux lettres : l’exemple suivant montre une entrée du journal d’audit de boîte aux lettres contenue dans le fichier SearchResult.xml. Chaque entrée est précédée par la balise XML <Event> et se termine par la balise XML </Event>. Cette entrée indique que l'administrateur a supprimé le message avec l'objet « Notification of litigation hold » du dossier Éléments récupérables dans la boîte aux lettres de David le 30 avril 2010.
<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" Owner="PPLNSL-dom\david50001-1363917750" LastAccessed="2010-04-30T11:01:55.140625-07:00" Operation="HardDelete" OperationResult="Succeeded" LogonType="Admin" FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000" FolderPathName="\Recoverable Items\Deletions" ClientInfoString="Client=OWA;Action=ViaProxy" ClientIPAddress="10.196.241.168" InternalLogonType="Owner" MailboxOwnerUPN="david@contoso.com" MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" CrossMailboxOperation="false" LogonUserDN="Administrator" LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149"> <SourceItems> <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540" Subject="Notification of litigation hold" FolderPathName="\Recoverable Items\Deletions" /> </SourceItems> </Event>Champs utiles dans le journal d’audit de boîte aux lettres : voici une description des champs utiles dans le journal d’audit de la boîte aux lettres. Ils peuvent vous aider à identifier les informations spécifiques à propos de chaque instance d’accès non-propriétaire à une boîte aux lettres.
Champ Description Propriétaire Propriétaire de la boîte aux lettres à laquelle un non-propriétaire a accédé. LastAccessed Date et heure de l’accès à la boîte aux lettres. Operation Action effectuée par le non-propriétaire. Pour plus d’informations, consultez la section « Qu’est-ce qui est enregistré dans le journal d’audit de boîte aux lettres ? » dans Exécuter un rapport d’accès aux boîtes aux lettres non propriétaire dans Exchange 2013. OperationResult Si l’action effectuée par le non-propriétaire a réussi ou échoué. LogonType Type d’accès non-propriétaire. Ceux-ci incluent administrateur, délégué et externe. FolderPathName Nom du dossier qui a contenu le message qui a été affecté par le non-propriétaire. ClientInfoString Informations sur le client de messagerie utilisé par le non-propriétaire pour accéder à la boîte aux lettres. ClientIPAddress Adresse IP de l’ordinateur utilisée par le non-propriétaire pour accéder à la boîte aux lettres. InternalLogonType Type d’ouverture de session du compte utilisé par le non-propriétaire pour accéder à cette boîte aux lettres. MailboxOwnerUPN Adresse de messagerie du propriétaire de boîte aux lettres. LogonUserDN Nom d’affichage du non-propriétaire. Subject Ligne d'objet du message électronique qui a été affecté par le non-propriétaire.