メールボックスの監査ログの出力
製品: Exchange Server 2013
メールボックスには機密情報、ビジネスへの影響が大きい (HBI) 情報、および個人情報 (PII) が含まれていることがあるため、組織内のメールボックスに誰がログオンしたか、およびどんな操作を行ったかを追跡することが重要です。 メールボックスの所有者以外のユーザーによるメールボックスへのアクセスを追跡することが特に重要です。 これらのユーザーは、代理ユーザーと呼ばれます。
メールボックス監査ログ を使用すると、メールボックスの所有者、代理人 (メールボックスへのフル アクセス許可を持つ管理者を含む)、および管理者によるメールボックスへのアクセスをログに記録できます。
メールボックスの監査ログを有効にする場合は、ログオンの種類 (管理者、代理ユーザー、または所有者) に応じてログに記録するユーザー操作 (メッセージへのアクセス、移動、削除など) を指定できます。 監査ログ エントリには、メールボックスへのアクセスに使用されたクライアント IP アドレス、ホスト名、プロセスやクライアントなどの重要な情報も含まれています。 移動されるアイテムの場合、エントリには移動先フォルダーの名前が含まれます。
メールボックス監査ログ
メールボックス監査ログが有効になっているメールボックスごとに、メールボックス監査ログが生成されます。 ログ エントリは、監査されたメールボックスの [回復可能なアイテム] フォルダーの [監査] サブフォルダーに格納されます。 これにより、メールボックスへのアクセスに使用されたクライアント アクセス方法、またはメールボックス監査ログへのアクセスに管理者が使用したサーバーまたはワークステーションに関係なく、すべての監査ログ エントリを 1 つの場所から使用できるようになります。 メールボックスを別のメールボックス サーバーに移動した場合、メールボックスのメールボックス監査ログも移動されます。
既定では、メールボックス監査ログ エントリはメールボックスに 90 日間保存されてから、削除されます。 この保持期間は、Set-Mailbox コマンドレットで AuditLogAgeLimit パラメーターを使用して変更できます。 メールボックスがインプレース保持または訴訟ホールドになっている場合、メールボックスの監査ログの保存期間が終わる時点までに限って、監査ログ エントリは保持されます。 監査ログ エントリを長く保持するには、 AuditLogAgeLimit パラメーターの値を変更して保持期間を長くする必要があります。 また、保存期限に達する前に監査ログのエントリをエクスポートすることもできます。 詳細については、次のトピックを参照してください。
メールボックス監査ログの有効化
メールボックス監査ログは、メールボックスごとに有効にします。 メールボックス監査ログを有効または無効にするには、 Set-Mailbox コマンドレットを使用します。 詳細については、「 メールボックスのメールボックス監査ログを有効または無効にする」を参照してください。
メールボックスのメールボックス監査ログを有効にすると、メールボックスへのアクセス、および特定の管理者と代理人の操作が既定で記録されます。 メールボックスの所有者が実行した操作をログに記録するには、監査対象にする所有者の操作を指定する必要があります。
メールボックス監査ログによって記録されるメールボックスの操作
次の表に、操作を記録できるログオンの種類を含め、メールボックス監査ログによって記録された操作を示します。
| アクション | 説明 | 管理者 | 代理人 | Owner |
|---|---|---|---|---|
| コピー | アイテムが別のフォルダーにコピーされます。 | はい | いいえ | いいえ |
| 作成する | アイテムは、メールボックス内の予定表、連絡先、メモ、またはタスク フォルダーに作成されます。たとえば、新しい会議出席依頼が作成されます。 メッセージまたはフォルダーの作成は監査されません。 | はい* | はい* | はい |
| FolderBind | メールボックス フォルダーにアクセスされます。 | はい* | はい** | いいえ |
| HardDelete | アイテムが [回復可能なアイテム] フォルダーから完全に削除されます。 | はい* | はい* | はい |
| MessageBind | アイテムが閲覧ウィンドウでアクセスされるか、開かれます。 | はい | いいえ | いいえ |
| 移動する | アイテムが別のフォルダーに移動されます。 | はい* | はい | はい |
| MoveToDeletedItems | アイテムが [削除済みアイテム] フォルダーに移動されます。 | はい* | はい | はい |
| SendAs | メッセージが "送信者" アクセス許可を使用して送信されます。 | はい* | はい* | 該当なし |
| SendOnBehalf | メッセージが "代理送信" アクセス許可を使用して送信されます。 | はい* | はい | 該当なし |
| SoftDelete | アイテムが [削除済みアイテム] フォルダーから削除されます。 | はい* | はい* | はい |
| 更新する | アイテムのプロパティが更新されます。 | はい* | はい* | はい |
* メールボックスの監査が有効になっている場合、既定で監査されます。
** 代理人により実行されたフォルダー バインド操作のエントリは統合されます。 24 時間の時間内の個々のフォルダー アクセスに対して 1 つのログ エントリが生成されます。
特定の種類のメールボックス操作を監査する必要がなくなった場合、これらの操作を無効にするように、メールボックスの監査ログ構成を変更する必要があります。 既存のログ エントリは、監査ログ エントリの有効期限に達するまで削除されません。
メールボックス監査ログ エントリの検索
次の方法を使用すると、メールボックス監査ログ エントリを検索できます。
1 つのメールボックスを同期的に検索する: Search-MailboxAuditLog コマンドレットを使用して、1 つのメールボックスのメールボックス監査ログ エントリを同期的に検索できます。 検索結果は、コマンドレットによって Exchange 管理シェル ウィンドウに表示されます。 詳細については、「 メールボックスのメールボックス監査ログを検索する」を参照してください。
1 つ以上のメールボックスを非同期的に検索する: メールボックス監査ログ検索を作成して、1 つ以上のメールボックスのメールボックス監査ログを非同期的に検索し、検索結果を指定したメール アドレスに送信できます。 検索結果は、XML 添付ファイルとして送信されます。 検索を作成するには、 New-MailboxAuditLogSearch コマンドレットを使用します。 詳細については、「 メールボックス監査ログの検索を作成する」を参照してください。
Exchange 管理センター (EAC) で監査レポートを使用する: EAC の [監査] タブ を 使用して、所有者以外のメールボックス アクセス レポートを実行したり、メールボックス監査ログからエントリをエクスポートしたりできます。 詳細については、以下を参照してください。
メールボックス監査ログ エントリ
次の表に、メールボックス監査ログ エントリに記録されるフィールドを示します。
| フィールド | 入力内容 |
|---|---|
| 操作名 | 次のいずれかの操作。
|
| OperationResult | 次のいずれかの結果。
|
| LogonType | 操作を実行したユーザーのログオンの種類。 ログオンの種類には次のものが含まれます。
|
| DestFolderId | 移動操作の宛先フォルダーの GUID。 |
| DestFolderPathName | 移動操作の宛先フォルダーのパス。 |
| FolderId | フォルダーの GUID。 |
| FolderPathName | フォルダーのパス。 |
| ClientInfoString | 操作を実行したクライアントまたは Exchange コンポーネントを識別する詳細情報。 |
| ClientIPAddress | クライアント コンピューターの IP アドレス。 |
| ClientMachineName | クライアント コンピューター名。 |
| ClientProcessName | クライアント アプリケーションのプロセス名。 |
| ClientVersion | クライアント アプリケーションのバージョン。 |
| InternalLogonType | 操作を実行したユーザーのログオンの種類。 ログオンの種類には次のものが含まれます。
|
| MailboxOwnerUPN | メールボックス所有者のユーザー プリンシパル名 (UPN)。 |
| MailboxOwnerSid | メールボックス所有者のセキュリティ識別子 (SID)。 |
| DestMailboxOwnerUPN | メールボックス間操作用に記録された宛先メールボックス所有者の UPN。 |
| DestMailboxOwnerSid | メールボックス間操作用に記録された宛先メールボックス所有者の SID。 |
| DestMailboxOwnerGuid | 宛先メールボックス所有者の GUID。 |
| CrossMailboxOperation | 記録される操作がメールボックス間操作 (メールボックス間でのメッセージのコピーや移動など) であるかどうかに関する情報。 |
| LogonUserDisplayName | ログオンしたユーザーの表示名。 |
| DelegateUserDisplayName | 代理ユーザーの表示名。 |
| LogonUserSid | ログオンしたユーザーの SID。 |
| SourceItems | 記録対象操作 (移動や削除など) が実行されるメールボックス アイテムの ItemID。 多数のアイテム上で実行される操作の場合、このフィールドはアイテムの集合として返されます。 |
| SourceFolders | ソース フォルダーの GUID。 |
| ItemId | アイテム ID。 |
| ItemSubject | アイテムの件名。 |
| MailboxGuid | メールボックスの GUID。 |
| MailboxResolvedOwnerName | メールボックス ユーザーが DOMAIN_SamAccountName_という形式で名前を解決しました。 |
| LastAccessed | 操作が実行された時刻。 |
| Identity | 監査ログ エントリの ID。 |
詳細
メールボックスへの管理者アクセス: メールボックスは、次のシナリオでのみ管理者がアクセスすると見なされます。
- インプレース電子情報開示 は、メールボックスを検索するために使用されます。
- New-MailboxExportRequest コマンドレットを使用してメールボックスをエクスポートする。
- MAPI クライアントとコラボレーション データ オブジェクトMicrosoft Exchange Serverメールボックスにアクセスするために使用されます。
メールボックス監査ログのバイパス: サードパーティのツールで使用されるアカウントや、適法な監視に使用されるアカウントなど、承認された自動プロセスによるメールボックス アクセスは、多数のメールボックス監査ログ エントリを作成する可能性があり、organizationにとって関心がない可能性があります。 このようなアカウントを構成して、メールボックス監査ログをバイパスするようにできます。 詳細については、「 メールボックス監査ログからユーザー アカウントをバイパスする」を参照してください。
メールボックス所有者のアクションのログ記録: 機密情報を含む可能性がある探索検索メールボックスなどのメールボックスの場合は、メッセージの削除などのメールボックス所有者アクションに対してメールボックス監査ログを有効にすることを検討してください。