사서함 감사 로깅
적용 대상: Exchange Server 2013
사서함에는 중요한 HBI(높은 업무상의 영향) 정보 및 PII(개인 식별이 가능한 정보)가 포함될 수 있으므로 조직의 사서함에 로그온하는 사람과 수행되는 작업을 추적해야 합니다. 사서함 소유자가 아닌 사용자의 사서함 액세스를 추적하는 것이 특히 중요합니다. 이러한 사용자를 위임 사용자라고 합니다.
사서함 감사 로깅을 사용하면 사서함 소유자, 대리인(모든 사서함에 대한 액세스 권한이 있는 관리자 포함) 및 관리자의 사서함 액세스를 로깅할 수 있습니다.
사서함에 감사 로깅을 사용하도록 설정할 때 로그온 유형(관리자, 위임 사용자 또는 소유자)에 따라 로깅할 사용자 작업(예: 메시지 액세스, 이동 또는 삭제)을 지정할 수 있습니다. 감사 로그 항목에는 클라이언트 IP 주소, 호스트 이름, 사서함 액세스에 사용된 프로세스 또는 클라이언트 등의 중요한 정보도 포함됩니다. 이동한 항목의 경우 대상 폴더의 이름도 항목에 포함됩니다.
사서함 감사 로그
사서함 감사 로그는 사서함 감사 로깅을 사용하도록 설정된 각 사서함에 대해 생성됩니다. 로그 항목은 감사된 사서함의 Audits 하위 폴더에 있는 복구 가능한 항목 폴더에 저장됩니다. 이렇게 하면 사서함에 액세스하는 데 사용된 클라이언트 액세스 방법 또는 관리자가 사서함 감사 로그에 액세스하는 데 사용한 서버 또는 워크스테이션에 관계없이 모든 감사 로그 항목을 단일 위치에서 사용할 수 있습니다. 사서함을 다른 사서함 서버로 이동하는 경우 사서함에 있는 사서함에 대한 사서함 감사 로그도 이동됩니다.
기본적으로 사서함 감사 로그 항목은 사서함에 90일 동안 보존된 다음 삭제됩니다. Set-Mailbox cmdlet과 함께 AuditLogAgeLimit 매개 변수를 사용하여 이 보존 기간을 수정할 수 있습니다. 사서함이 원본 위치 유지 또는 소송 보존 상태인 경우 감사 로그 항목은 사서함의 감사 로그 보존 기간에 도달할 때까지만 보존됩니다. 감사 로그 항목을 더 오래 유지하려면 AuditLogAgeLimit 매개 변수의 값을 변경하여 보존 기간을 늘려야 합니다. 보존 기간에 도달하기 전에 감사 로그 항목을 내보낼 수도 있습니다. 자세한 내용은 다음 항목을 참조하세요.
사서함 감사 로깅 사용
사서함 감사 로깅은 사서함별로 사용하도록 설정됩니다. Set-Mailbox cmdlet을 사용하여 사서함 감사 로깅을 사용하거나 사용하지 않도록 설정할 수 있습니다. 자세한 내용은 사서함 감사 사서함에 대해 로깅을 사용 하지 않도록 설정 하거나 사용 항목을 참조하십시오.
사서함에 대해 사서함 감사 로깅을 사용하도록 설정하면 기본적으로 사서함 액세스와 특정 관리자 및 대리인 작업이 로깅됩니다. 사서함 소유자가 수행한 작업을 로깅하려면 감사할 소유자 작업을 지정해야 합니다.
사서함 감사 로깅으로 로깅되는 사서함 작업
다음 표에는 작업이 로깅될 수 있는 로그온 유형을 비롯하여 사서함 감사 로깅으로 로깅되는 작업이 나와 있습니다.
| 작업 | 설명 | 관리자 | 대리인 | 소유자 |
|---|---|---|---|---|
| 복사 | 항목이 다른 폴더에 복사되었습니다. | 예 | 아니요 | 아니요 |
| 만들기 | 항목은 사서함의 일정, 연락처, 메모 또는 작업 폴더에 만들어집니다. 예를 들어 새 모임 요청이 만들어집니다. 메시지 또는 폴더 만들기는 감사되지 않습니다. | 예* | 예* | 예 |
| FolderBind | 사서함 폴더가 액세스되었습니다. | 예* | 예** | 아니오 |
| HardDelete | 항목이 복구 가능한 항목 폴더에서 영구적으로 삭제되었습니다. | 예* | 예* | 예 |
| MessageBind | 항목이 읽기 창에서 액세스되었거나 열렸습니다. | 예 | 아니요 | 아니요 |
| Move | 항목이 다른 폴더로 이동되었습니다. | 예* | 예 | 예 |
| MoveToDeletedItems | 항목이 지운 편지함 폴더로 이동되었습니다. | 예* | 예 | 예 |
| SendAs | 메시지가 다른 사람 이름으로 보내기 권한을 사용하여 전송되었습니다. | 예* | 예* | 해당 없음 |
| SendOnBehalf | 메시지가 대신 보내기 권한을 사용하여 전송되었습니다. | 예* | 예 | 해당 없음 |
| SoftDelete | 항목이 지운 편지함 폴더에서 삭제되었습니다. | 예* | 예* | 예 |
| 업데이트 | 항목의 속성이 업데이트되었습니다. | 예* | 예* | 예 |
* 사서함에 대해 감사가 사용되는 경우 기본적으로 감사됩니다.
** 대리인이 수행한 폴더 바인딩 작업에 대한 항목이 통합됩니다. 24시간 내에 개별 폴더 액세스에 대한 하나의 로그 항목이 생성됩니다.
특정 유형의 사서함 작업을 더 이상 감사할 필요가 없는 경우 사서함의 감사 로깅 구성을 수정하여 해당 작업을 사용하지 않도록 설정해야 합니다. 기존 로그 항목은 감사 로그 항목의 기간 제한에 도달할 때까지 제거되지 않습니다.
사서함 감사 로그 항목 검색
다음 방법을 사용하여 사서함 감사 로그 항목을 검색할 수 있습니다.
단일 사서함을 동기적으로 검색: Search-MailboxAuditLog cmdlet을 사용하여 단일 사서함에 대한 사서함 감사 로그 항목을 동기적으로 검색할 수 있습니다. cmdlet은 Exchange 관리 셸 창에 검색 결과를 표시합니다. 자세한 내용은 사서함 감사 로그에서 사서함 검색을 참조하세요.
하나 이상의 사서함을 비동기적으로 검색: 사서함 감사 로그 검색을 만들어 하나 이상의 사서함에 대한 사서함 감사 로그를 비동기적으로 검색한 다음, 검색 결과를 지정된 전자 메일 주소로 보낼 수 있습니다. 검색 결과는 XML 첨부 파일로 전송됩니다. 검색을 만들려면 New-MailboxAuditLogSearch cmdlet을 사용합니다. 자세한 내용은 사서함 감사 로그 검색 만들기 항목을 참조하십시오.
EAC(Exchange 관리 센터)에서 감사 보고서 사용: EAC의 감사 탭을 사용하여 소유자가 아닌 사서함 액세스 보고서를 실행하거나 사서함 감사 로그에서 항목을 내보낼 수 있습니다. 자세한 내용은 다음을 참조하세요.
사서함 감사 로그 항목
다음 표에서는 사서함 감사 로그 항목에 로깅되는 필드에 대해 설명합니다.
| 필드 | 채워지는 값 |
|---|---|
| 작업 | 다음 작업 중 하나
|
| OperationResult | 다음 결과 중 하나
|
| LogonType | 작업을 수행한 사용자의 로그온 유형. 로그온 유형에는 다음이 포함됩니다.
|
| DestFolderId | 이동 작업의 대상 폴더 GUID |
| DestFolderPathName | 이동 작업의 대상 폴더 경로 |
| FolderId | 폴더 GUID |
| FolderPathName | 폴더 경로 |
| ClientInfoString | 작업을 수행한 클라이언트 또는 Exchange 구성 요소를 식별하는 세부 정보 |
| ClientIPAddress | 클라이언트 컴퓨터 IP 주소 |
| ClientMachineName | 클라이언트 컴퓨터 이름 |
| ClientProcessName | 클라이언트 응용 프로그램 프로세스의 이름 |
| ClientVersion | 클라이언트 응용 프로그램 버전 |
| InternalLogonType | 작업을 수행한 사용자의 로그온 유형. 로그온 유형에는 다음이 포함됩니다.
|
| MailboxOwnerUPN | 사서함 소유자 UPN(사용자 계정 이름) |
| MailboxOwnerSid | 사서함 소유자 SID(보안 식별자) |
| DestMailboxOwnerUPN | 사서함 간 작업에 대해 로깅된 대상 사서함 소유자 UPN |
| DestMailboxOwnerSid | 사서함 간 작업에 대해 로깅된 대상 사서함 소유자 SID |
| DestMailboxOwnerGuid | 대상 사서함 소유자 GUID |
| CrossMailboxOperation | 로깅된 작업이 사서함 간 작업(예: 사서함 간 메시지 복사 또는 이동)인지 여부에 대한 정보 |
| LogonUserDisplayName | 로그온한 사용자의 표시 이름 |
| DelegateUserDisplayName | 위임 사용자 표시 이름 |
| LogonUserSid | 로그온한 사용자의 SID |
| SourceItems | 로깅된 작업(예: 이동 또는 삭제)이 수행된 사서함 항목의 ItemID. 많은 항목에 대해 수행된 작업의 경우 이 필드가 항목 모음으로 반환됩니다. |
| SourceFolders | 원본 폴더 GUID |
| Itemid | 항목 ID |
| ItemSubject | 항목 제목 |
| MailboxGuid | 사서함 GUID |
| MailboxResolvedOwnerName | 사서함 사용자가 DOMAIN_SamAccountName_형식으로 이름을 확인했습니다. |
| LastAccessed | 작업이 수행된 시간 |
| Identity | 감사 로그 항목 ID |
추가 정보
사서함에 대한 관리자 액세스: 사서함은 다음 시나리오에서만 관리자가 액세스하는 것으로 간주됩니다.
- 원본 위치 eDiscovery 를 사용하여 사서함을 검색합니다.
- New-MailboxExportRequest cmdlet을 사용하여 사서함을 내보냅니다.
- Microsoft Exchange Server MAPI 클라이언트 및 공동 작업 데이터 개체는 사서함에 액세스하는 데 사용됩니다.
사서함 감사 로깅 무시: 타사 도구 또는 합법적인 모니터링에 사용되는 계정과 같은 권한 있는 자동화된 프로세스에 의한 사서함 액세스는 많은 수의 사서함 감사 로그 항목을 만들 수 있으며 organization 관심이 없을 수 있습니다. 사서함 감사 로깅을 무시하도록 해당 계정을 구성할 수 있습니다. 자세한 내용은 프로그램에서 사용자 계정을 사서함 감사 로깅 바이패스 항목을 참조하십시오.
사서함 소유자 작업 로깅: 더 중요한 정보를 포함할 수 있는 검색 검색 사서함과 같은 사서함의 경우 메시지 삭제와 같은 사서함 소유자 작업에 사서함 감사 로깅을 사용하도록 설정하는 것이 좋습니다.