Exchange 2013 でメールボックス監査ログをエクスポートする
製品: Exchange Server 2013
メールボックスでメールボックス監査が有効になっている場合、所有者以外のユーザーがそのメールボックスにアクセスするたびに、メールボックス監査ログに情報が記録されます。 各ログ エントリには、メールボックスにアクセスしたユーザーとアクセスの日時、所有者以外のユーザーが実行した操作、およびその操作が成功したかどうかの情報が含まれています。 既定では、メールボックス監査ログのエントリは 90 日間保持されます。 メールボックス監査ログを使用すると、所有者以外のユーザーがメールボックスにアクセスしたかどうかを確認できます。
メールボックス監査ログのエントリをエクスポートすると、エントリが XML ファイルに保存されて、指定した受信者に電子メール メッセージの添付ファイルとして送信されます。
はじめに
各手順の推定完了時間:時間は変数です。
このトピックの手順には、特定のアクセス許可が必要です。 アクセス許可情報については、各手順を参照してください。
このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 2013 の Exchange 管理センターのキーボード ショートカット」を参照してください。
ヒント
問題がある場合は、 Exchange のフォーラムで質問してください。 Exchange Serverのフォーラムにアクセスしてください。
メールボックス監査ログの構成
メールボックス監査ログをエクスポートおよび表示する前に、監査する各メールボックスでメールボックス監査ログを有効にしておく必要があります。 また、監査ログにアクセスするため、XML 添付ファイルがOutlook Web App を使用できるようMicrosoft Outlook Web App を構成する必要があります。
手順 1:メールボックス監査ログを有効にする
所有者以外のメールボックス アクセスのレポートを実行する各メールボックスでメールボックス監査ログを有効にする必要があります。 メールボックスでメールボックス監査ログが有効になっていないと、メールボックス監査ログをエクスポートしても、何の結果も得られません。
この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「 メッセージング ポリシーとコンプライアンスのアクセス許可 」トピックの「メールボックス監査ログ」エントリを参照してください。
1 つのメールボックスでメールボックス監査ログを有効にするには、Shell でコマンドを実行します。
Set-Mailbox <Identity> -AuditEnabled $true
組織のすべてのユーザー メールボックスでメールボックス監査を有効にするには、次のコマンドを実行します。
$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
手順 2:XML 添付ファイルを許可するように Outlook Web App を構成する
メールボックス監査ログをエクスポートすると、Microsoft Exchange は監査ログ (XML ファイル) を電子メール メッセージに添付します。 Outlook Web App では、XML 添付ファイルは既定でブロックされます。 エクスポートされた監査ログにアクセスするには、Microsoft Outlook を使用するか、XML 添付ファイルを許可するようにOutlook Web Appを構成する必要があります。
この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「クライアントとモバイル デバイスのアクセス許可」トピックの「Outlook Web App メールボックス ポリシー」エントリを参照してください。
Outlook Web App で XML 添付ファイルを許可するには、以下の手順を実行します。 Exchange Server 2013 では、Identity パラメーターの値Default
を使用します。
次のコマンドを実行して、Outlook Web App で許可されるファイルの種類の一覧に XML を追加します。
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add='.xml'}
次のコマンドを実行して、Outlook Web App でブロックされるファイルの種類の一覧から XML を削除します。
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove='.xml'}
正常な動作を確認する方法
メールボックス監査ログが正常に構成されていることを確認するには、次の操作を行います。
次のコマンドを実行してメールボックスに監査ログが構成されたことを確認します。
Get-Mailbox | Format-List Name,AuditEnabled
AuditEnabled プロパティの
True
値は、監査ログが有効になっていることを確認します。次のコマンドを実行して、Outlook Web App で XML 添付ファイルが許可されていることを確認します。
Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes
許可される
.xml
ファイルの種類の一覧に含まれていることを確認します。次のコマンドを実行して、Outlook Web App でブロックされるファイルの一覧から XML 添付ファイルが削除されていることを確認します。
Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypes
ブロックされているファイルの種類の一覧に含まれていないことを
.xml
確認します。
メールボックス監査ログのエクスポート
この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、 Exchange とシェルのインフラストラクチャのアクセス許可 に関するトピックの「表示のみの管理者監査ログ」エントリを参照してください。
Exchange 管理センター (EAC) で、[コンプライアンス管理>監査] に移動します。
[メールボックス監査ログのエクスポート] をクリックします。
メールボックス監査ログのエントリをエクスポートするための検索条件を構成します。次の条件を指定できます。
開始日と終了日: エクスポートされたファイルに含めるエントリの日付範囲を選択します。
監査ログを検索するメールボックス: 監査ログ エントリを取得するメールボックスを選択します。
所有者以外のアクセスの種類: 次のいずれかのオプションを選択して、エントリを取得する所有者以外のアクセスの種類を定義します。
すべての所有者以外: 組織内の管理者と委任されたユーザーによるアクセスを検索します。
外部ユーザー: Microsoft データセンター管理者によるアクセスを検索します。
管理者と委任されたユーザー: 組織内の管理者と委任されたユーザーによるアクセスを検索します。
管理者: 組織内の管理者によるアクセスを検索します。
受信者: メールボックス監査ログを送信するユーザーを選択します。
[エクスポート] をクリックします。
Exchange は、検索条件を満たすメールボックス監査ログ内のエントリを取得し、SearchResult.xmlという名前のファイルに保存した後、指定した受信者に送信された電子メール メッセージに XML ファイルを添付します。
正常な動作を確認する方法
メールボックス監査ログの送信先のメールボックスにサインインします。 監査ログを正常にエクスポートできていれば、Exchange からメッセージが送信されます。 メールボックス監査ログ (SearchResult.xml という名前) は、このメッセージに添付されます。 XML 添付ファイルが許可されるように Outlook Web App を正しく構成した場合は、添付の XML ファイルをダウンロードできます。
メールボックス監査ログの表示
この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、 Exchange とシェルのインフラストラクチャのアクセス許可 に関するトピックの「表示のみの管理者監査ログ」エントリを参照してください。
SearchResult.xml ファイルを保存して表示するには、以下のようにします。
メールボックス監査ログの送信先のメールボックスにサインインします。
[受信トレイ] で、Microsoft Exchange から送信された、XML 添付ファイルを含むメッセージを開きます。 この電子メール メッセージの本文には検索条件が含まれています。
添付ファイルをクリックして、XML ファイルのダウンロードを選択します。
Microsoft Excel で SearchResult.xml を開きます。
詳細情報
メールボックス監査ログ内のエントリ: 次の例は、SearchResult.xml ファイルに含まれるメールボックス監査ログからのエントリを示しています。 各エントリは <Event> XML タグで始まり、 </Event> XML タグで終了します。 このエントリは、2010 年 4 月 30 日に管理者が David のメールボックスの [回復可能なアイテム] フォルダーから " Notification of litigation hold" という件名のメッセージを削除したことを示しています。
<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" Owner="PPLNSL-dom\david50001-1363917750" LastAccessed="2010-04-30T11:01:55.140625-07:00" Operation="HardDelete" OperationResult="Succeeded" LogonType="Admin" FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000" FolderPathName="\Recoverable Items\Deletions" ClientInfoString="Client=OWA;Action=ViaProxy" ClientIPAddress="10.196.241.168" InternalLogonType="Owner" MailboxOwnerUPN="david@contoso.com" MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" CrossMailboxOperation="false" LogonUserDN="Administrator" LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149"> <SourceItems> <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540" Subject="Notification of litigation hold" FolderPathName="\Recoverable Items\Deletions" /> </SourceItems> </Event>
メールボックス監査ログの便利なフィールド: メールボックス監査ログの有用なフィールドの説明を次に示します。 これらのフィールドは、メールボックスの所有者以外のアクセスの各インスタンスに関する特定の情報を確認するのに役立ちます。
フィールド 説明 Owner 所有者以外のユーザーがアクセスしたメールボックスの所有者。 LastAccessed メールボックスへのアクセス日時。 Operation 所有者以外のユーザーが実行したアクション。 詳細については、「 Exchange 2013 で所有者以外のメールボックス アクセス レポートを実行する」の「メールボックス監査ログに記録される内容」セクションを参照してください。 OperationResult 所有者以外のユーザーが実行した操作が成功したか失敗したか。 LogonType 所有者以外のアクセスの種類。 これには、管理者、代理人、および外部があります。 FolderPathName 所有者以外のユーザーによる影響を受けたメッセージを格納しているフォルダーの名前。 ClientInfoString 所有者以外のユーザーがメールボックスにアクセスするために使用したメール クライアントに関する情報。 ClientIPAddress 所有者以外のユーザーがメールボックスにアクセスするために使用したコンピューターの IP アドレス。 InternalLogonType 所有者以外のユーザーがこのメールボックスにアクセスするために使用したアカウントのログオンの種類。 MailboxOwnerUPN メールボックスの所有者の電子メール アドレス。 LogonUserDN 所有者以外のユーザーの表示名。 Subject 所有者以外のユーザーによる影響を受けた電子メール メッセージの件名。