Поделиться через


Экспорт журналов аудита почтовых ящиков в Exchange 2013

Область применения: Exchange Server 2013 г.

Если аудит почтовых ящиков включен для почтового ящика, Microsoft Exchange записывает сведения в журнал аудита почтового ящика каждый раз, когда пользователь, отличный от владельца, обращается к почтовому ящику. Каждая запись журнала содержит сведения о том, кто и когда получил доступ к почтовому ящику, о действиях, выполненных невладевшим, а также об успешном выполнении действия. По умолчанию записи в журнале аудита почтового ящика хранятся в течение 90 дней. Журнал аудита почтового ящика можно использовать, чтобы определить, обращается ли к почтовому ящику пользователь, отличный от владельца.

При экспорте записей из журналов аудита почтовых ящиков Microsoft Exchange сохраняет их в XML-файле и вкладывает его в сообщение электронной почты, отправляемое указанным получателям.

Перед началом работы

  • Предполагаемое время для завершения каждой процедуры: Время — это переменная.

  • Для процедур, описанных в этом разделе, требуются определенные разрешения. Сведения о разрешениях см. в каждой процедуре.

  • Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этом разделе, см. в статье Сочетания клавиш для Центра администрирования Exchange в Exchange 2013.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.

Настройка ведения журнала аудита почтовых ящиков

Для экспорта и просмотра журналов аудита почтовых ящиков ведение журнала аудита почтовых ящиков следует включить для всех почтовых ящиков, по которым следует вести аудит. Также необходимо настроить Microsoft Outlook Web App, чтобы разрешить вложениям XML доступ к журналу аудита через приложение Outlook Web App.

Действие 1. Включение ведения журнала аудита почтовых ящиков

Ведение журнала аудита почтовых ящиков включается для всех почтовых ящиков, по которым следует составлять отчет о доступе пользователей, не являющихся владельцами. Если ведение журнала аудита почтовых ящиков не включено для почтового ящика, экспорт журнала аудита почтовых ящиков не даст результатов для этого ящика.

Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Ведение журнала аудита почтовых ящиков" в разделе Политика обмена сообщениями и разрешения на соответствие требованиям .

Чтобы включить ведение журнала аудита почтовых ящиков для отдельного почтового ящика, выполните команду в командной строке.

Set-Mailbox <Identity> -AuditEnabled $true

Чтобы включить ведение журнала аудита для всех почтовых ящиков пользователей в организации, выполните следующие команды:

$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Действие 2. Включение XML-вложений в Outlook Web App

При экспорте журнала аудита почтовых ящиков Microsoft Exchange вкладывает журнал аудита в XML-файле в сообщение электронной почты. Тем не менее по умолчанию XML-вложения блокируются в Outlook Web App. Для доступа к экспортированному журналу аудита необходимо приложение Microsoft Outlook, или же необходимо разрешить XML-вложения в приложении Outlook Web App.

Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "политики почтовых ящиков Outlook Web App" в разделе Разрешения клиентов и мобильных устройств.

Выполните следующие процедуры, чтобы разрешить XML-вложения в Outlook Web App. В Exchange Server 2013 используйте значение Default параметра Identity.

  1. Выполните следующую команду, чтобы добавить XML-файлы в список разрешенных типов файлов в Outlook Web App.

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add='.xml'}
    
  2. Выполните следующую команду, чтобы удалить XML-файлы из списка заблокированных типов файлов в Outlook Web App.

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove='.xml'}
    

Как проверить, все ли получилось?

Чтобы убедиться, что ведение журнала аудита почтового ящика настроено успешно, выполните следующие действия.

  1. Чтобы убедиться, что ведение аудита настроено для почтовых ящиков, выполните следующую команду.

    Get-Mailbox | Format-List Name,AuditEnabled
    

    Значение True свойства AuditEnabled проверяет, включено ли ведение журнала аудита.

  2. Выполните следующую команду, чтобы убедиться, что XML-вложения разрешены в Outlook Web App.

    Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes
    

    Убедитесь, что .xml он включен в список разрешенных типов файлов.

  3. Выполните следующую команду, чтобы убедиться, что XML-вложения удалены из списка заблокированных файлов в Outlook Web App.

    Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypes
    

    Убедитесь, что .xml он не включен в список заблокированных типов файлов.

Экспорт журнала аудита почтовых ящиков

Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Просмотр журнала аудита только администратора" в разделе Разрешения инфраструктуры Exchange и оболочки .

  1. В Центре администрирования Exchange перейдите к разделуАудитуправления соответствием> требованиям.

  2. Щелкните элемент Экспорт журналов аудита почтовых ящиков.

  3. Настройте следующие условия поиска для экспорта записей из журнала аудита почтовых ящиков:

    • Даты начала и окончания. Выберите диапазон дат для записей, которые нужно включить в экспортируемый файл.

    • Почтовые ящики для поиска журнала аудита. Выберите почтовые ящики для получения записей журнала аудита.

    • Тип доступа, не являющегося владельцем. Выберите один из следующих параметров, чтобы определить тип доступа, не являющегося владельцем, для получения записей:

    • Все пользователи, не являющиеся владельцами. Найдите доступ администраторов и делегированных пользователей в организации.

    • Внешние пользователи: найдите доступ администраторов центров обработки данных Майкрософт.

    • Администраторы и делегированные пользователи. Найдите доступ администраторов и делегированных пользователей в организации.

    • Администраторы. Найдите доступ администраторов в вашей организации.

    • Получатели. Выберите пользователей для отправки журнала аудита почтового ящика.

  4. Нажмите кнопку Экспорт.

    Exchange извлекает в журнале аудита почтовых ящиков записи, соответствующие условиям поиска, сохраняет их в файл с именем SearchResult.xml, а затем вложит XML-файл в сообщение электронной почты, отправленное указанным получателям.

Как проверить, все ли получилось?

Войдите в почтовый ящик, куда был отправлен журнал аудита почтовых ящиков. В случае успешного выполнения экспорта журнала аудита, Exchange отправит вам сообщение. В это сообщение будет вложен журнал аудита почтовых ящиков (с именем SearchResult.xml). Если вы правильно настроили Outlook Web App, чтобы разрешить XML-вложения, вы сможете скачать вложенный XML-файл.

Просмотр журнала аудита почтовых ящиков

Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Просмотр журнала аудита только администратора" в разделе Разрешения инфраструктуры Exchange и оболочки .

Чтобы сохранить и просмотреть файл SearchResult.xml, выполните следующие действия.

  1. Войдите в почтовый ящик, куда был отправлен журнал аудита почтовых ящиков.

  2. В папке "Входящие" откройте сообщение с вложенным XML-файлом, отправленное Microsoft Exchange. Обратите внимание, что в тексте сообщения указаны условия поиска.

  3. Щелкните вложение и выберите загрузку XML-файла.

  4. Откройте файл SearchResult.xml в Microsoft Excel.

Дополнительные сведения

  • Записи в журнале аудита почтовых ящиков. В следующем примере показана запись из журнала аудита почтового ящика, содержащаяся в файле SearchResult.xml. Каждая запись предшествует XML-тегу <event> и заканчивается тегом </Event> XML. Эта запись показывает, что 30 апреля 2010 г. администратор очистил сообщение с темой "Уведомление о удержании судебного разбирательства" из папки "Элементы с возможностью восстановления" в почтовом ящике Дэвида.

    <Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939"
      Owner="PPLNSL-dom\david50001-1363917750"
      LastAccessed="2010-04-30T11:01:55.140625-07:00"
      Operation="HardDelete"
      OperationResult="Succeeded"
      LogonType="Admin"
    FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
      FolderPathName="\Recoverable Items\Deletions"
      ClientInfoString="Client=OWA;Action=ViaProxy"
      ClientIPAddress="10.196.241.168"
      InternalLogonType="Owner"
      MailboxOwnerUPN="david@contoso.com"
      MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151"
      CrossMailboxOperation="false"
      LogonUserDN="Administrator"
      LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
      <SourceItems>
       <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
        Subject="Notification of litigation hold"
        FolderPathName="\Recoverable Items\Deletions" />
      </SourceItems>
    </Event>
    
  • Полезные поля в журнале аудита почтовых ящиков. Ниже приведено описание полезных полей в журнале аудита почтовых ящиков. Они помогают получить нужные сведения о всех видах обращений к почтовому ящику от пользователей, не являющихся владельцами.

    Поле Описание
    Владелец Это владелец почтового ящика, к которому обратился пользователь, не являющийся владельцем.
    LastAccessed Дата и время обращения к почтовому ящику.
    Operation Выполненное пользователем действие. Дополнительные сведения см. в разделе "Что регистрируется в журнале аудита почтовых ящиков?" статьи Запуск отчета о доступе к почтовому ящику, не являющегося владельцем, в Exchange 2013.
    OperationResult Успешность выполненного пользователем действия.
    LogonType Тип обращения пользователя. Это может быть администратор, делегат или внешний пользователь.
    FolderPathName Имя папки, в которой находилось сообщение, затронутое пользователем.
    ClientInfoString Сведения о почтовом клиенте, который пользователь использует для обращения к почтовому ящику.
    ClientIPAddress IP-адрес компьютера, который пользователь использует для обращения к почтовому ящику.
    InternalLogonType Тип учетной записи, которую пользователь использует для обращения к почтовому ящику.
    MailboxOwnerUPN Адрес электронной почты владельца почтового ящика.
    LogonUserDN Отображаемое имя пользователя.
    Subject Строка темы сообщения электронной почты, затронутого пользователем, не являющимся владельцем.