Exchange 2013에서 사서함 감사 로그 내보내기
적용 대상: Exchange Server 2013
사서함에 대해 사서함 감사를 사용하도록 설정하면 소유자 이외의 사용자가 해당 사서함에 액세스할 때마다 사서함 감사 로그에 정보가 기록됩니다. 각각의 로그 항목에는 사서함에 액세스한 사람 소유자가 아닌 사람이 수행한 작업과 작업 시기 및 작업이 성공했는지 여부에 대한 정보가 포함됩니다. 사서함 감사 로그의 항목은 기본적으로 90일 동안 유지됩니다. 사서함 감사 로그를 사용하여 소유자 이외의 사용자가 사서함에 액세스했는지 여부를 확인할 수 있습니다.
사서함 감사 로그의 항목을 내보내면 항목이 XML 파일로 저장되고 해당 파일이 지정된 받는 사람에게 보내는 전자 메일 메시지에 첨부됩니다.
시작하기 전에
각 절차의 예상 완료 시간: 시간은 가변적입니다.
이 항목의 절차는 특정 사용 권한이 필요합니다. 사용 권한 정보에 대한 각 절차를 참조하세요.
이 항목의 절차에 적용될 수 있는 바로 가기 키에 대한 자세한 내용은 Exchange 2013의 Exchange 관리 센터에 대한 바로 가기 키를 참조하세요.
팁
문제가 있습니까? Exchange 포럼에서 도움을 요청하세요. Exchange Server 포럼을 방문하세요.
사서함 감사 로깅 구성
사서함 감사 로그를 내보내고 보려면 감사할 각 사서함에 대해 사서함 감사 로깅을 사용하도록 설정해야 합니다. 또한 Microsoft Outlook Web App를 사용하여 감사 로그에 액세스하려면 Outlook Web App가 XML 첨부 파일을 허용하도록 구성해야 합니다.
1단계: 사서함 감사 로깅 사용
비소유자 사서함 액세스 보고서를 실행할 각 사서함에 대해 사서함 감사 로깅을 사용하도록 설정해야 합니다. 사서함에서 사서함 감사 로깅을 사용하지 않으면 사서함 감사 로그를 내보낼 때 해당 사서함에 대한 결과를 얻을 수 없습니다.
이러한 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다. 필요한 권한을 보려면 메시징 정책 및 규정 준수 권한 항목의 "사서함 감사 로깅" 항목을 참조하세요.
단일 사서함에서 사서함 감사 로깅을 사용하도록 설정하려면 셸에서 명령을 실행합니다.
Set-Mailbox <Identity> -AuditEnabled $true
조직의 모든 사용자 사서함에서 사서함 감사 로깅을 사용하도록 설정하려면 다음 명령을 실행합니다.
$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
2단계: XML 첨부 파일을 허용하도록 Outlook Web App 구성
사서함 감사 로그를 내보내면 XML 파일인 감사 로그가 전자 메일 메시지에 첨부됩니다. 그러나 Outlook Web App는 XML 첨부 파일을 기본적으로 차단합니다. 내보낸 감사 로그에 액세스하려면 Microsoft Outlook을 사용하거나 Outlook Web App가 XML 첨부 파일을 허용하도록 구성해야 합니다.
이러한 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다. 필요한 권한을 보려면 클라이언트 및 모바일 디바이스 권한 항목의 "Outlook Web App 사서함 정책" 항목을 참조하세요.
Outlook Web App XML 첨부 파일을 허용하려면 다음 절차를 수행합니다. 2013년 Exchange Server Identity 매개 변수 값을 사용합니다Default
.
다음 명령을 실행하여 Outlook Web App 허용되는 파일 형식 목록에 XML을 추가합니다.
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add='.xml'}
다음 명령을 실행하여 Outlook Web App 차단된 파일 형식 목록에서 XML을 제거합니다.
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove='.xml'}
작동 여부는 어떻게 확인하나요?
사서함 감사 로깅이 성공적으로 구성되었는지 확인하려면 다음을 수행하십시오.
다음 명령을 실행하여 사서함에 대해 감사 로깅이 구성되어 있는지 확인합니다.
Get-Mailbox | Format-List Name,AuditEnabled
AuditEnabled 속성의 값
True
은 감사 로깅이 사용하도록 설정되어 있는지 확인합니다.다음 명령을 실행하여 XML 첨부 파일이 Outlook Web App 허용되는지 확인합니다.
Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes
가
.xml
허용된 파일 형식 목록에 포함되어 있는지 확인합니다.다음 명령을 실행하여 XML 첨부 파일이 Outlook Web App 차단된 파일 목록에서 제거되었는지 확인합니다.
Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypes
.xml
차단된 파일 형식 목록에 포함되지 않은지 확인합니다.
사서함 감사 로그 내보내기
이러한 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다. 필요한 권한을 보려면 Exchange 및 Shell 인프라 권한 항목의 "보기 전용 관리자 감사 로깅" 항목을 참조하세요.
EAC(Exchange 관리 센터)에서 준수 관리>감사로 이동합니다.
사서함 감사 로그 내보내기를 클릭합니다.
사서함 감사 로그에서 항목을 내보내기 위한 다음 검색 조건을 구성합니다.
시작 및 종료 날짜: 내보낸 파일에 포함할 항목의 날짜 범위를 선택합니다.
감사 로그를 검색할 사서함: 감사 로그 항목을 검색할 사서함을 선택합니다.
비 소유자 액세스 유형: 다음 옵션 중 하나를 선택하여 비 소유자 액세스 유형을 정의하여 항목을 검색합니다.
모든 비 소유자: 조직 내에서 관리자 및 위임된 사용자가 액세스를 검색합니다.
외부 사용자: Microsoft 데이터 센터 관리자가 액세스를 검색합니다.
관리자 및 위임된 사용자: 조직 내에서 관리자 및 위임된 사용자의 액세스를 검색합니다.
관리자: 조직의 관리자가 액세스를 검색합니다.
받는 사람: 사서함 감사 로그를 보낼 사용자를 선택합니다.
내보내기를 클릭합니다.
Exchange는 검색 조건을 충족하는 사서함 감사 로그에서 항목을 검색하고, SearchResult.xml 파일에 저장한 다음, 지정한 받는 사람에게 보낸 전자 메일 메시지에 XML 파일을 첨부합니다.
작동 여부는 어떻게 확인하나요?
사서함 감사 로그를 보낸 사서함에 로그인합니다. 감사 로그를 성공적으로 내보낸 경우 Exchange에서 메시지가 수신됩니다. 사서함 감사 로그(SearchResult.xml)가 이 메시지에 연결됩니다. XML 첨부 파일을 허용하도록 Outlook Web App 올바르게 구성한 경우 첨부된 XML 파일을 다운로드할 수 있습니다.
사서함 감사 로그 보기
이러한 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다. 필요한 권한을 보려면 Exchange 및 Shell 인프라 권한 항목의 "보기 전용 관리자 감사 로깅" 항목을 참조하세요.
SearchResult.xml 파일을 저장하고 보려면 다음을 수행합니다.
사서함 감사 로그를 보낸 사서함에 로그인합니다.
받은 편지함에서 Microsoft Exchange에서 보낸 XML 첨부 파일이 포함된 메시지를 엽니다. 전자 메일 메시지의 본문에 검색 조건이 포함되어 있습니다.
첨부 파일을 클릭하고 를 선택하여 XML 파일을 다운로드합니다.
Microsoft Excel에서 SearchResult.xml 엽니다.
추가 정보
사서함 감사 로그의 항목: 다음 예제에서는 SearchResult.xml 파일에 포함된 사서함 감사 로그의 항목을 보여줍니다. 각 항목은 <Event> XML 태그가 앞에 오고 </Event> XML 태그로 끝납니다. 이 항목은 2010년 4월 30일에 David의 사서함에 있는 휴지통 폴더에서 " Notification of litigation hold"라는 제목의 메시지를 관리자가 제거했음을 보여 줍니다.
<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" Owner="PPLNSL-dom\david50001-1363917750" LastAccessed="2010-04-30T11:01:55.140625-07:00" Operation="HardDelete" OperationResult="Succeeded" LogonType="Admin" FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000" FolderPathName="\Recoverable Items\Deletions" ClientInfoString="Client=OWA;Action=ViaProxy" ClientIPAddress="10.196.241.168" InternalLogonType="Owner" MailboxOwnerUPN="david@contoso.com" MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" CrossMailboxOperation="false" LogonUserDN="Administrator" LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149"> <SourceItems> <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540" Subject="Notification of litigation hold" FolderPathName="\Recoverable Items\Deletions" /> </SourceItems> </Event>
사서함 감사 로그의 유용한 필드: 사서함 감사 로그의 유용한 필드에 대한 설명은 다음과 같습니다. 이러한 필드는 사서함의 비소유자 액세스 각각에 대한 특정 정보를 식별하는 데 도움이 될 수 있습니다.
필드 설명 소유자 비소유자가 액세스한 사서함의 소유자입니다. LastAccessed 사서함에 액세스한 날짜와 시간입니다. 작업 비소유자가 수행한 작업입니다. 자세한 내용은 Exchange 2013에서 비소유자 사서함 액세스 보고서 실행의 "사서함 감사 로그에 기록되는 항목" 섹션을 참조하세요. OperationResult 비소유자가 수행한 작업이 성공했는지 여부입니다. LogonType 비소유자 액세스의 유형입니다. 여기에는 administrator, delegate 및 external이 포함됩니다. FolderPathName 비소유자의 영향을 받는 메시지가 포함된 폴더의 이름입니다. ClientInfoString 비소유자가 사서함에 액세스하기 위해 사용하는 메일 클라이언트에 대한 정보입니다. ClientIPAddress 비소유자가 사서함에 액세스하기 위해 사용하는 컴퓨터의 IP 주소입니다. InternalLogonType 비소유자가 이 사서함에 액세스하기 위해 사용하는 계정의 로그온 유형입니다. MailboxOwnerUPN 사서함 소유자의 전자 메일 주소입니다. LogonUserDN 비소유자의 표시 이름입니다. 제목 비소유자의 영향을 받는 전자 메일 메시지의 제목 줄입니다.