Présentation de la journalisation
S'applique à : Exchange Server 2010
Dernière rubrique modifiée : 2009-10-26
La journalisation peut aider votre organisation à répondre aux exigences réglementaires, légales et de conformité organisationnelle en enregistrant les communications électroniques échangées. Lors de la planification de la rétention et de la conformité de la messagerie, il est important de comprendre la journalisation, son intégration dans les stratégies de conformité de votre organisation et la sécurisation des messages journalisés à l’aide de Microsoft Exchange Server 2010.
Contenu de cette rubrique
Pourquoi la journalisation est-elle importante ?
Agent de journalisation
Règles de journal
Réplication de règle de journal
États de journal
Interopérabilité avec Exchange 2003 et Exchange 2007
Utilisation des services Exchange hébergés
Pourquoi la journalisation est-elle importante ?
Premièrement, vous devez comprendre ce qui différencie la journalisation de l’archivage.
- La journalisation est la capacité d’enregistrer toutes les communications, y compris les messages électroniques, au sein d’une organisation afin de les utiliser en relation avec la stratégie de rétention ou d’archivage du courrier électronique de l’organisation. Pour répondre à un nombre croissant d’exigences de conformité réglementaire, de nombreuses organisations doivent conserver les enregistrements des communications échangées au cours des tâches de travail quotidiennes des employés.
- L’archivage fait référence à la sauvegarde des données, en les supprimant de leur environnement natif et en les stockant ailleurs, ce qui permet de réduire la contrainte de stockage de données. Vous pouvez utiliser la journalisation Exchange comme outil dans le cadre de votre stratégie de rétention ou d’archivage du courrier électronique.
Bien que la journalisation puisse ne pas être exigée par une réglementation spécification, la conformité peut être obtenue par le biais de la journalisation dans le cadre de certaines réglementations. Par exemple, les responsables d’entreprise dans certains secteurs financiers peuvent être tenus responsables des déclarations de leurs employés auprès de leurs clients. Pour vérifier l’exactitude des déclarations, un responsable peut configurer un système où les directeurs examinent régulièrement une partie des communications entre les employés et les clients. Chaque trimestre, les directeurs vérifient la conformité et approuvent la conduite de leurs employés. Après que tous les directeurs ont notifié leur approbation au responsable, celui-ci notifie la conformité, au nom de la société, à l’organe régulateur. Dans cet exemple, les messages électroniques peuvent être l’un des types de communication entre employés et clients que les directeurs doivent examiner ; la journalisation permet donc de collecter tous les messages électroniques envoyés par des employés en relation avec les clients. D’autres méthodes de communication avec les clients, telles que les télécopies et les conversations téléphoniques, peuvent aussi être soumises à réglementation. La capacité de journalisation de toutes les classes de données dans une entreprise est une fonctionnalité précieuse de l’architecture informatique.
La liste suivante répertorie quelques-unes des réglementations américaines et internationales les plus connues où la journalisation peut vous aider à constituer la plupart de vos stratégies :
- Loi Sarbanes-Oxley de 2002 (SOX)
- Règle 17 A-4 de la SEC (Securities Exchange Commission)
- National Association of Securities Dealers 3010 & 3110 (NASD 3010 & 3110)
- Loi Gramm-Leach-Bliley (loi de modernisation financière)
- Financial Institution Privacy Protection Act de 2001
- Financial Institution Privacy Protection Act de 2003
- Healthcare Insurance Portability and Accountability Act de 1996 (HIPAA)
- Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act de 2001 (Patriot Act)
- Directive relative à la protection des données de l’Union européenne (EUDPD)
- Loi japonaise sur la protection des informations personnelles
Retour au début
Agent de journalisation
Dans une organisation Exchange 2010, le serveur de transport Hub achemine la totalité du trafic de messagerie. Tous les messages parcourent au moins un serveur de Hub Transport pendant leur durée de vie. L’agent de journalisation est un agent de transport axé sur la conformité qui traite les messages sur les serveurs de transport Hub. Il se déclenche à partir des événements de transport OnSubmittedMessage et OnRoutedMessage.
Remarque : |
---|
Dans Exchange 2010, l’agent de journalisation est un agent intégré. Les agents intégrés ne sont pas inclus dans la liste des agents renvoyés par la cmdlet Get-TransportAgent. Pour plus de détails, consultez la rubrique Présentation des agents de transport. |
Exchange 2010 fournit les options de journalisation suivantes :
- La journalisation standard est configurée sur une base de données de boîtes aux lettres. Elle permet à l’agent de journalisation de journaliser tous les messages échangés depuis des boîtes aux lettres situées dans une base de données de boîtes aux lettres spécifique. Pour journaliser l’ensemble des messages des expéditeurs et des destinataires, vous devez configurer la journalisation sur toutes les bases de données de boîtes aux lettres de tous les serveurs de boîtes aux lettres au sein de l’organisation.
- Journalisation étendue La journalisation étendue permet à l’agent de journalisation de réaliser une journalisation plus détaillée en utilisant les règles de journal. Au lieu de journaliser toutes les boîtes aux lettres résidant dans une base de données de boîtes aux lettres, il est possible de configurer des règles de journal correspondant aux besoins de votre organisation en journalisant des destinataires individuels ou des membres de groupes de distribution. Pour utiliser la journalisation étendue, vous devez disposer d’une licence d’accès client entreprise Exchange.
Lorsque vous activez la journalisation standard sur une base de donnée de boîtes aux lettres, ces informations sont enregistrées dans Active Directory et lues par l’agent de journalisation. De même, les règles de journal configurées avec la journalisation étendue sont également enregistrées dans Active Directory et appliquées par l’agent de journalisation. Pour plus d’informations sur la configuration de la journalisation étendue ou standard, consultez la rubrique Journalisation.
Retour au début
Règles de journal
Voici les principaux aspects d’une règle de journal que vous devez comprendre :
- Étendue d’une règle de journal Elle définit quels messages sont journalisés par l’agent de journalisation.
- Destinataires du journal Elle spécifie l’adresse SMTP du destinataire que vous souhaitez journaliser.
- Boîte aux lettres de journalisation Elle spécifie une ou plusieurs boîtes aux lettres servant à la collecte des états de journal.
Étendue d’une règle de journal
Vous pouvez régler l’étendue d’une règle de journal afin d’englober les destinataires internes, externes ou globaux. La liste suivante décrit ces étendues :
- Interne Règles de journal dont l’étendue est définie Interne et qui s’appliquent aux messages internes envoyés et reçus par les destinataires au sein de votre organisation Exchange.
- Externe Règles de journal dont l’étendue est définie sur Externe et qui s’appliquent aux messages envoyés à des destinataires ou provenant d’expéditeurs extérieurs à votre organisation Exchange.
- Global Règles de journal dont l’étendue est définie sur Global et qui s’appliquent à tous les messages transitant par les serveurs de transport Hub. Ces entrées incluent les messages qui ont déjà été traités par des règles de journal de portées interne et externe.
Destinataires du journal
Vous pouvez mettre en place des règles de journal ciblées en spécifiant l’adresse SMTP du destinataire que vous voulez journaliser. Le destinataire peut être une boîte aux lettres Exchange, un groupe de distribution ou un contact. Ces destinataires peuvent être soumis à des exigences réglementaires ou être impliqués dans des actions judiciaires dans le cadre desquels les messages électroniques ou d’autres communications sont collectés à des fins de preuve. En ciblant des destinataires ou des groupes de destinataires spécifiques, vous pouvez aisément configurer un environnement de journalisation conforme aux processus ainsi qu’aux exigences légales et réglementaires de votre organisation, et réduire les coûts de stockage et autres frais associés à la conservation de quantités volumineuses de données.
Tous les messages échangés avec des destinataires de journalisation spécifiés dans une règle de journal sont journalisés. Si vous spécifiez un groupe de distribution comme destinataires de la journalisation, tous les messages échangés avec les membres du groupe de distribution sont journalisés. Si vous ne spécifiez pas de destinataire de journalisation, tous les messages échangés avec les destinataires correspondant à l’étendue de la règle de journal sont journalisés.
Destinataires du journal à extension messagerie unifiée
Plusieurs organisations qui mettent en œuvre la journalisation peuvent aussi utiliser la messagerie unifiée pour consolider leur infrastructure de courrier électronique, messagerie vocale et télécopie. Cependant, vous pouvez ne pas vouloir que le traitement de la journalisation génère des états de journal pour les messages générés par la messagerie unifiée. Dans ces cas, vous pouvez décider de journaliser les messages vocaux et les messages de notification d’appel en absence qui sont traités par un serveur de messagerie unifiée Exchange 2010 ou bien d’ignorer de tels messages. Si votre organisation n’exige pas la journalisation de tels messages, vous pouvez réduire la quantité d’espace disque requise pour stocker les états de journal en ignorant ces messages. Lorsque vous activez ou désactivez la journalisation des messages vocaux et des messages de notification d’appel en absence, votre changement s’applique à tous les serveurs de transport Hub dans votre organisation.
Remarque : |
---|
Les messages contenant des télécopies qui sont générés par un serveur de messagerie unifiée sont toujours journalisés, même si vous configurez une règle de journal qui spécifie de ne pas journaliser les messages vocaux de messagerie unifiée et les messages de notification d’appel en absence. |
Pour plus d’informations sur l’activation ou la désactivation des messages vocaux et de notification d’appel en absence, consultez la rubrique Gestion de la journalisation.
Retour au début
Boîte aux lettres de journalisation
La boîte aux lettres de la journalisation sert à collecter les états de journal. La manière dont la boîte aux lettres de journalisation est configurée dépend des stratégies de l’organisation ainsi que des exigences légales et réglementaires. Vous pouvez spécifier une boîte aux lettres de journalisation que vous pouvez utiliser pour collecter les messages correspondant à toutes les règles de journal configurées dans l’organisation ou utiliser différentes boîtes aux lettres de journalisation pour différentes règles ou groupes de règles de journal.
Les boîtes aux lettres de journalisation contiennent des informations très sensibles. Vous devez sécuriser les boîtes aux lettres de journalisation parce qu'elles collectent des messages échangés avec des destinataires au sein de votre organisation. Ces messages peuvent être visés par des actes de procédure ou faire l'objet d'exigences réglementaires Diverses lois exigent que les messages soient conservés à l'abri de toute falsification avant leur présentation à une autorité de vérification. Il est souhaitable que votre organisation élabore des stratégies définissant qui peut accéder aux boîtes aux lettres de journalisation en son sein, en limitant cet accès aux personnes ayant un besoin direct d'y accéder. Consultez vos représentants légaux pour vous assurer que votre solution de journalisation est conforme à l'ensemble des lois et réglementations applicables à votre organisation.
Pour plus d’informations sur la configuration de la boîte aux lettres de journalisation, consultez la rubrique Gestion de la journalisation.
Pour plus d’informations sur la protection des boîtes aux lettres de journalisation, consultez la rubrique Protection des états de journal.
Retour au début
Réplication de règle de journal
Les règles de journal sont stockées dans Active Directory et appliquées par tous les serveurs de transport Hub dans l’organisation Exchange 2010. Lorsque vous créez, modifiez ou supprimez une règle de journal sur un serveur de transport Hub, la modification est répliquée sur tous les serveurs Active Directory au sein de l’organisation. Tous les serveurs de transport Hub au sein de l’organisation récupèrent alors la configuration de la règle de journal actualisée à partir des serveurs Active Directory et appliquent les règles de journal nouvelles ou modifiées.
En répliquant toutes les règles de journal dans l’ensemble de l’organisation, Exchange 2010 permet de déployer un ensemble cohérent de règles de journal au sein de l’organisation. Tous les messages qui circulent dans votre organisation Exchange 2010 sont soumis aux mêmes règles de journal.
Important : |
---|
La réplication des règles de journal au sein de l’organisation dépend de la réplication Active Directory. Le temps de réplication entre des contrôleurs de domaine Active Directory varie en fonction du nombre de sites dont dispose l’organisation, de la vitesse des liens et d’autres facteurs échappant au contrôle d’Microsoft Exchange. Tenez compte des délais de réplication lorsque vous implémentez des règles de journal au sein de votre organisation. Pour plus d’informations sur la réplication Active Directory, consultez la page relative aux technologies de réplication Active Directory. |
Important : |
---|
Chaque serveur de transport Hub met en cache l’appartenance au groupe de distribution pour éviter des allers-retours répétés vers Active Directory. La mise en cache des groupes développés réduit le nombre de requêtes que chaque serveur de transport Hub doit faire à un contrôleur de domaine Active Directory. Par défaut, les entrées dans le cache de groupes développés expirent dans quatre heures. Par conséquent, si vous spécifiez un groupe de distribution comme destinataire du journal, les modifications apportées à l’appartenance au groupe de distribution peuvent ne pas être appliquées aux règles de journal jusqu’à la mise à jour du cache des groupes développés. Pour forcer une mise à jour immédiate du cache de destinataires, vous devez arrêter et démarrer le service de transport Microsoft Exchange. Vous devez exécuter cette opération pour les serveurs de transport Hub pour lesquels vous souhaitez forcer la mise à jour du cache de destinataires. |
Retour au début
États de journal
Un état de journal est le message que génère l’agent de journalisation quand un message correspond à une règle de journal et doit être envoyé à la boîte aux lettres de journalisation. Le message d’origine correspondant à la règle de journal est inclus, sans modification, en pièce jointe à l’état de journal. Le corps d’un état de journal contient des informations figurant dans le message d’origine, telles que l’adresse de messagerie de l’expéditeur, l’objet, l’ID de message et les adresses de messagerie des destinataires. Ce processus est également appelé journalisation des enveloppes, et c’est la seule méthode de journalisation prise en charge par Exchange 2010 et Exchange 2007.
Pour plus d’informations sur les états de journal, leur gestion et leur protection, consultez les rubriques suivantes :
- Présentation des rapports de journal
- Protection des états de journal
- Présentation de la gestion des états de journal
États de journal et messages protégés par IRM
Les états de journal et les messages protégés par IRM (gestion des droits relatifs à l’information) doivent être pris en compte lors de la mise en œuvre de la journalisation dans un environnement Exchange 2010. Les messages protégés par IRM auront une incidence sur les capacités de recherche et de détection de systèmes d’archivage tiers qui n’intègrent pas le service RMS. Dans Exchange 2010, vous pouvez configurer le déchiffrement des états de journal pour enregistrer une copie du message en texte clair dans un état de journal. Pour plus d’informations, consultez la rubrique Présentation du déchiffrement des rapports de journal.
Retour au début
Interopérabilité avec Exchange 2003 et Exchange 2007
Exchange 2010 prend en charge la journalisation dans une organisation mixte Exchange 2010 et Exchange 2003. Exchange 2010 peut lire la configuration de journalisation Exchange 2003 existante dans les bases de données de boîtes aux lettres Exchange 2010 et journalise les messages dans une boîte aux lettres de journalisation Exchange 2003 ou Exchange 2010.
Exchange 2003 ne peut lire la configuration de journalisation utilisée par Exchange 2010. Toutefois, Exchange 2010 marque les messages journalisés et les états de journal avec des propriétés que Exchange 2003 peut lire et comprendre. Si un message a déjà été journalisé par Exchange 2010 et les états de journal sont envoyés à la même boîte aux lettres de journalisation, Exchange 2003 ne procède pas à une autre journalisation. Si un message est un état de journal, Exchange 2003 traite l’état de journal Exchange 2010 comme un état de journal Exchange 2003.
Pour plus d’informations sur la journalisation dans un environnement de coexistence, consultez la rubrique Présentation de la journalisation dans un environnement Exchange 2003-Exchange 2010 mixte.
La fonctionnalité de journalisation n’est pas très différente dans Exchange 2010 et Exchange 2007. Cependant, Exchange 2010 utilise un format de règle de journal différent de celui d’Exchange 2007. Le programme d’installation d’Exchange 2010 crée un conteneur séparé dans Active Directory pour y stocker les règles de journal d’Exchange 2010. Lorsque vous installez le premier serveur d’Exchange 2010 dans une organisation Exchange 2007, le programme d’installation crée une copie des règles de journal d’Exchange 2007 et les stocke dans le nouveau conteneur. Une fois l’installation terminée, les règles de journal utilisées par les deux versions sont cohérentes. Une fois l’installation terminée, si vous modifiez la configuration des règles de journal dans un serveur Exchange 2007, vous devez opérer la même modification sur un serveur Exchange 2010 pour garantir leur cohérence. Vous pouvez également exporter les règles de journal depuis Exchange 2007 et les importer dans un serveur Exchange 2010. Pour plus d’informations, voir Exporter et importer des règles de journal Exchange 2007.
Retour au début
Utilisation des services Exchange hébergés
La journalisation est améliorée par Microsoft Exchange Hosted Services ou disponible sous forme de service EHS.
Les services Exchange hébergés comprennent quatre services hébergés distincts :
- Filtrage hébergé, qui aide les organisations à se protéger des logiciels malveillants circulant par courrier électronique ;
- Archive hébergée, qui les aide à répondre aux exigences de rétention à des fins de conformité ;
- Chiffrement hébergé, qui les aide à chiffrer des données afin de préserver la confidentialité ;
- Continuité hébergée, qui les aide à conserver l’accès à la messagerie pendant et après des situations d’urgence.
Ces services s’intègrent avec tout serveur Exchange sur site géré en interne ou tout service de messagerie Exchange hébergé offert via des fournisseurs de service. Pour plus d’informations sur les services Exchange hébergés, voir Services Microsoft Exchange hébergés.
Retour au début