Exchange Serverでのメールボックス監査ログ記録

メールボックスには機密情報、ビジネスへの影響が大きい (HBI) 情報、および個人情報 (PII) が含まれていることがあるため、組織内のメールボックスに誰がログオンしたか、およびどんな操作を行ったかを追跡することが重要です。 メールボックスの所有者以外のユーザーによるメールボックスへのアクセスを追跡することが特に重要です。 これらのユーザーは、代理ユーザーと呼ばれます。

メールボックス監査ログ を使用すると、メールボックスの所有者、代理人 (メールボックスへのフル アクセス許可を持つ管理者を含む)、および管理者によるメールボックスへのアクセスをログに記録できます。

メールボックスの監査ログを有効にする場合は、ログオンの種類 (管理者、代理ユーザー、または所有者) に応じてログに記録するユーザー操作 (メッセージへのアクセス、移動、削除など) を指定できます。 監査ログ エントリには、メールボックスへのアクセスに使用されたクライアント IP アドレス、ホスト名、プロセスやクライアントなどの重要な情報も含まれています。 移動されるアイテムの場合、エントリには移動先フォルダーの名前が含まれます。

メールボックス監査ログ

メールボックス監査ログが有効になっているメールボックスごとに、メールボックス監査ログが生成されます。 ログ エントリは、監査されたメールボックスの [回復可能なアイテム] フォルダーの [監査] サブフォルダーに格納されます。 これにより、メールボックスへのアクセスに使用されたクライアント アクセス方法や、管理者がメールボックス監査ログへのアクセスに使用するサーバーまたはコンピューターに関係なく、すべての監査ログ エントリを 1 つの場所から使用できるようになります。 メールボックスを別のメールボックス サーバーに移動した場合、メールボックスのメールボックス監査ログも移動されます。

既定では、メールボックス監査ログ エントリはメールボックスに 90 日間保存されてから、削除されます。 この保持期間は、Set-Mailbox コマンドレットで AuditLogAgeLimit パラメーターを使用して変更できます。 メールボックスがインプレース保持または訴訟ホールドになっている場合、メールボックスの監査ログの保存期間が終わる時点までに限って、監査ログ エントリは保持されます。 監査ログ エントリを長く保持するには、 AuditLogAgeLimit パラメーターの値を変更して保持期間を長くする必要があります。 また、保存期限に達する前に監査ログのエントリをエクスポートすることもできます。 詳細については、以下を参照してください:

メールボックス監査ログの有効化

メールボックス監査ログは、メールボックスごとに有効にします。 メールボックス監査ログを有効または無効にするには、 Set-Mailbox コマンドレットを使用します。 詳細については、「 メールボックスのメールボックス監査ログを有効または無効にする」を参照してください。

メールボックスのメールボックス監査ログを有効にすると、メールボックスへのアクセス、および特定の管理者と代理人の操作が既定で記録されます。 メールボックスの所有者が実行した操作をログに記録するには、監査対象にする所有者の操作を指定する必要があります。

メールボックス監査ログによって記録されるメールボックスの操作

次の表に、操作を記録できるログオンの種類を含め、メールボックス監査ログによって記録された操作を示します。 ユーザーのメールボックスに対するフル アクセスのアクセス許可を割り当てられた管理者が代理人ユーザーと見なされることに注目してください。

特定の種類のメールボックス操作を監査する必要がなくなった場合、これらの操作を無効にするように、メールボックスの監査ログ構成を変更する必要があります。 既存のログ エントリは、監査ログ エントリの有効期限に達するまで削除されません。

アクション 説明 管理者 代理人 Owner
コピー アイテムが別のフォルダーにコピーされます。 はい いいえ いいえ
作成する アイテムは、メールボックス内の予定表、連絡先、メモ、またはタスク フォルダーに作成されます。たとえば、新しい会議出席依頼が作成されます。 メッセージまたはフォルダーの作成は監査されません。 はい1 はい1 はい
FolderBind メールボックス フォルダーにアクセスされます。 はい1 はい2 いいえ
HardDelete アイテムが [回復可能なアイテム] フォルダーから完全に削除されます。 はい1 はい1 はい
MailboxLogin ユーザーが自分のメールボックスにサインインしました。 X いいえ はい3
MessageBind アイテムが閲覧ウィンドウでアクセスされるか、開かれます。 はい いいえ いいえ
移動する アイテムが別のフォルダーに移動されます。 はい1 はい はい
MoveToDeletedItems アイテムが [削除済みアイテム] フォルダーに移動されます。 はい1 はい はい
SendAs メッセージが "送信者" アクセス許可を使用して送信されます。 はい1 はい1 いいえ
SendOnBehalf メッセージが "代理送信" アクセス許可を使用して送信されます。 はい1 はい いいえ
SoftDelete アイテムが [削除済みアイテム] フォルダーから削除されます。 はい1 はい1 はい
更新する アイテムのプロパティが更新されます。 はい1 はい1 はい

1 メールボックスの監査が有効になっている場合、既定で監査されます。

2 デリゲートによって実行されるフォルダー バインド アクションのエントリが統合されます。 24 時間の時間内の個々のフォルダー アクセスに対して 1 つのログ エントリが生成されます。

3 メールボックスへの所有者ログインの監査は、POP3、IMAP4、または OAuth ログインに対してのみ機能します。 メールボックスへの NTLM ログインや Kerberos ログインには機能しません。

メールボックス監査ログの検索

次の方法を使用すると、メールボックス監査ログ エントリを検索できます。

  • 1 つのメールボックスを同期的に検索する: Search-MailboxAuditLog コマンドレットを使用して、1 つのメールボックスのメールボックス監査ログ エントリを同期的に検索できます。 検索結果は、コマンドレットによって Exchange 管理シェル ウィンドウに表示されます。 詳細については、「Search Mailbox Audit Log for a Mailbox」を参照してください。

  • 1 つ以上のメールボックスを非同期的に検索する: メールボックス監査ログ検索を作成して、1 つ以上のメールボックスのメールボックス監査ログを非同期的に検索し、検索結果を指定したメール アドレスに送信できます。 検索結果は、XML 添付ファイルとして送信されます。 検索を作成するには、 New-MailboxAuditLogSearch コマンドレットを使用します。 詳細については、「 メールボックス監査ログ検索の作成」を参照してください。

  • Exchange 管理センター (EAC) で監査レポートを使用する: EAC の [監査 ] タブを使用して、所有者以外のメールボックス アクセス レポート (管理者および削除アクションのエントリを含む) を実行したり、メールボックス監査ログから所有者以外のエントリをエクスポートしたりできます。 詳細については、以下を参照してください。

メールボックス監査ログ エントリ

次の表に、メールボックス監査ログ エントリに記録されるフィールドを示します。

フィールド 入力内容
操作名 次のいずれかの操作。
Copy
Create
FolderBind
HardDelete
MailboxLogin
MessageBind
Move
MoveToDeletedItems
SendAs
SendOnBehalf
SoftDelete
Update
OperationResult 次のいずれかの結果。
Failed
PartiallySucceeded
Succeeded
LogonType 操作を実行したユーザーのログオンの種類。 ログオンの種類には次のものが含まれます。
所有者
代理人
管理者
DestFolderId 移動操作の宛先フォルダーの GUID。
DestFolderPathName 移動操作の宛先フォルダーのパス。
FolderId フォルダーの GUID。
FolderPathName フォルダーのパス。
ClientInfoString 操作を実行したクライアントまたは Exchange コンポーネントを識別する詳細情報。
ClientIPAddress クライアント コンピューターの IP アドレス。
ClientMachineName クライアント コンピューター名。
ClientProcessName クライアント アプリケーションのプロセス名。
ClientVersion クライアント アプリケーションのバージョン。
InternalLogonType 操作を実行した内部ユーザー (組織内のユーザー) の種類。 このフィールドが取り得る値は、 LogonType フィールドと同じ値です。
MailboxOwnerUPN メールボックス所有者のユーザー プリンシパル名 (UPN)。
MailboxOwnerSid メールボックス所有者のセキュリティ識別子 (SID)。
DestMailboxOwnerUPN メールボックス間操作用に記録された宛先メールボックス所有者の UPN。
DestMailboxOwnerSid メールボックス間操作用に記録された宛先メールボックス所有者の SID。
DestMailboxOwnerGuid 宛先メールボックス所有者の GUID。
CrossMailboxOperation 記録される操作がメールボックス間操作 (メールボックス間でのメッセージのコピーや移動など) であるかどうかに関する情報。
LogonUserDisplayName ログオンしたユーザーの表示名。
DelegateUserDisplayName 代理ユーザーの表示名。
LogonUserSid ログオンしたユーザーの SID。
SourceItems 記録対象操作 (移動や削除など) が実行されるメールボックス アイテムの ItemID。 多数のアイテム上で実行される操作の場合、このフィールドはアイテムの集合として返されます。
SourceFolders ソース フォルダーの GUID。
ItemId アイテム ID。
ItemSubject アイテムの件名。
MailboxGuid メールボックスの GUID。
MailboxResolvedOwnerName メールボックス ユーザーは DOMAIN\ SamAccountName という形式で名前を解決しました。
LastAccessed 操作が実行された時刻。
Identity 監査ログ エントリの ID。

詳細情報

  • メールボックスへの管理者アクセス: メールボックスは、次のシナリオでのみ管理者がアクセスすると見なされます。

  • メールボックス監査ログのバイパス: サードパーティのツールで使用されるアカウントや、適法な監視に使用されるアカウントなど、承認された自動プロセスによるメールボックス アクセスは、多数のメールボックス監査ログ エントリを作成する可能性があり、組織にとって関心がない可能性があります。 このようなアカウントを構成して、メールボックス監査ログをバイパスするようにできます。 詳細については、「 メールボックス監査ログからユーザー アカウントをバイパスする」を参照してください。

  • メールボックス所有者のアクションのログ記録: 機密情報を含む可能性がある探索検索メールボックスなどのメールボックスの場合は、メッセージの削除などのメールボックス所有者アクションに対してメールボックス監査ログを有効にすることを検討してください。