Отчеты аудита Exchange в Exchange 2013

Область применения: Exchange Server 2013 г.

Используйте журнал аудита для устранения проблем с конфигурацией и обеспечения соблюдения нормативных и законодательных требований путем отслеживания отдельных изменений, вносимых администраторами. В Microsoft Exchange доступно два вида журналов аудита:

  • В журнал аудита администраторов записываются все действия, выполняемые администратором, на основе командлета консоли управления Exchange. Это позволяет устранять неполадки конфигурации или выявлять причины проблем безопасности или соответствия требованиям.

  • В журнале аудита почтового ящика регистрируются случаи доступа к почтовому ящику со стороны его владельца, администратора или делегированного пользователя. Это позволяет определить, кто обращался к почтовому ящику, а также какие действия были выполнены.

Экспорт журналов аудита

На странице Аудит управления соответствием> в Центре администрирования Exchange (EAC) можно искать и экспортировать записи из журнала аудита администратора и журнала аудита почтового ящика.

  • Экспорт журнала аудита администратора. Любое действие, выполняемое администратором на основе командлета оболочки и не начинающееся с команд Get, Search или Test , регистрируется в журнале аудита администратора. В записях журнала аудита указывается запущенный командлет, его параметры и их значения, а также успешность выполнения. Записи в журнале аудита администратора можно искать и экспортировать. При экспорте результатов поиска Microsoft Exchange сохраняет их в XML-файл и прикрепляет их к сообщению электронной почты. Подробнее см. в разделе Search the role group changes or administrator audit logs.

    Примечание.

    По умолчанию записи журнала аудита действий администратора хранятся в течение 90 дней. Когда срок хранения записи превышает 90 дней, она удаляется. Этот параметр невозможно изменить в облачной организации. Но его можно изменить в локальной организации Exchange с помощью командлета Set-AdminAuditLog.

  • Экспорт журналов аудита почтовых ящиков. Если ведение журнала аудита почтовых ящиков включено для почтового ящика, Microsoft Exchange сохраняет запись действий, выполненных с данными почтового ящика, не являющихся владельцами, в журнале аудита почтового ящика, который хранится в скрытой папке в проверяемом почтовом ящике. Ведение журнала аудита почтового ящика также можно настроить для регистрации действий владельца. Записи в этом журнале указывают, кто и когда получил доступ к почтовому ящику, выполненные действия и успешно ли выполнено действие. При поиске записей в журнале аудита почтовых ящиков и их экспорте Microsoft Exchange сохраняет результаты поиска в XML-файле и присоединяет их к сообщению электронной почты. Дополнительные сведения см. в статье Экспорт журналов аудита почтовых ящиков.

Запуск отчетов аудита

При запуске следующих отчетов на странице Аудит в Центре администрирования Exchange результаты отображаются в области сведений отчета.

Настройка ведения журнала аудита

Для запуска отчетов аудита и экспорта журналов аудита необходимо настроить ведение журналов аудита для вашей организации.

Включение ведения журнала аудита почтовых ящиков

Ведение журнала аудита почтовых ящиков включается для всех почтовых ящиков, по которым следует составлять отчет о доступе пользователей, не являющихся владельцами. Если ведения журнала аудита почтовых ящиков не включено для почтового ящика, вы не получите результаты при запуске отчета для него или экспорте журнала аудита почтового ящика.

Чтобы включить ведения журнала аудита для одного почтового ящика, выполните следующую команду в командной консоли.

Set-Mailbox <Identity> -AuditEnabled $true

Чтобы включить аудит для всех почтовых ящиков пользователей в организации, выполните следующие команды:

$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Дополнительные сведения о настройке действий, которые регистрируются в журнале, см. в разделе Включение или отключение ведения журнала аудита почтовых ящиков для почтового ящика.

Предоставление пользователям доступ к отчетам аудита

По умолчанию администраторы могут получить доступ к любым отчетам и запустить их на странице "Аудит" в EAC. При этом другим пользователям, например юристам или делопроизводителям, также можно назначить нужные разрешения.

Самым простым способом предоставить пользователям доступ является добавление в группу ролей "Управление записями". Вы также можете использовать командную консоль, чтобы предоставить пользователям доступ к странице Аудит в Центре администрирования Exchange, назначив им роль "Журналы аудита".

Добавление пользователя в группу ролей "Управление записями"

  1. Перейдите в раздел Разрешения>Администратор Роли.

  2. В списке групп ролей щелкните Управление записями, а затем щелкните Изменитьзначок редактирования.

  3. В разделе Участники щелкните Добавитьзначок добавления.

  4. Укажите пользователя в диалоговом окне Выбрать членов группы. Вы можете выполнить поиск пользователя, введя все или часть отображаемого имени, а затем щелкнув значок поиска. Можно также отсортировать список, щелкнув заголовок столбца Имя или Отображаемое имя.

  5. Щелкните Добавитьзначок добавления, а затем нажмите кнопку ОК , чтобы вернуться на страницу группы ролей.

  6. Нажмите кнопку Сохранить, чтобы сохранить изменения в группе ролей.

В области сведений пользователь будет указан в разделе Члены и сможет получить доступ к странице аудита в EAC, запустить отчеты аудита и экспортировать журналы аудита.

Назначение пользователю роли "Журналы аудита"

Чтобы назначить роль "Журналы аудита" пользователю, выполните следующую команду.

New-ManagementRoleAssignment -Role "Audit Logs" -User <Identity>

Это позволяет пользователю выбратьаудит управления >соответствиемв EAC, чтобы запустить любой из отчетов. Пользователь также может экспортировать журнал аудита почтовых ящиков и просматривать журнал аудита администратора.

Примечание.

Чтобы позволить пользователю запускать отчеты аудита, но не разрешать экспортировать журналы аудита, используйте предыдущую команду для назначения роли только для просмотра журналов аудита.

Включение XML-вложений в Outlook Web App

При экспорте журнала аудита почтовых ящиков или журнала аудита администратора Microsoft Exchange прикрепляет XML-файл журнала аудита к сообщению электронной почты. Однако по умолчанию Outlook Web App блокирует XML-вложения. Если вы хотите использовать Outlook Web App для доступа к журналам аудита, необходимо разрешить XML-вложения в Outlook Web App.

Чтобы разрешить XML-вложения в Outlook Web App, выполните следующую команду:

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'