Ведение журнала аудита почтового ящика
Область применения: Exchange Server 2013 г.
Так как почтовые ящики могут содержать конфиденциальную информацию с высоким влиянием на бизнес (HBI) и личную информацию (PII), важно отслеживать, кто входит в почтовые ящики в вашей организации и какие действия выполняются. Особенно важно отслеживать доступ к почтовым ящикам пользователей, отличных от владельца почтового ящика. Эти пользователи называются пользователями делегатов.
С помощью функции ведения журнала аудита почтового ящика можно регистрировать доступ владельцев, делегатов (в том числе администраторов с полными разрешениями на доступ к почтовому ящику) и администраторов к почтовым ящикам.
При включении функции ведения журнала аудита для почтового ящика можно указать, какие именно действия (например, доступ к почтовому ящику, перемещение или удаление сообщений) должны регистрироваться для соответствующих типов учетных записей для входа (администратор, делегированный пользователь или владелец). В записях журнала аудита также содержатся другие важные сведения, такие как IP-адрес клиента, имя узла, процесс или клиент, использованные для получения доступа к почтовому ящику. Для перемещенных сообщений также указывается имя папки назначения.
Ведение журнала аудита почтовых ящиков
Для всех почтовых ящиков, для которых включено ведение журнала аудита, создаются журналы аудита. Записи журнала хранятся во вложенной папке "Аудиты" папки "Элементы с возможностью восстановления" в отслеживаемом почтовом ящике. Это гарантирует, что все записи журнала аудита будут доступны из одного расположения, независимо от того, какой метод клиентского доступа использовался для доступа к почтовому ящику или на каком сервере или рабочей станции администратор использовал для доступа к журналу аудита почтовых ящиков. При перемещении почтового ящика на другой сервер также перемещаются хранящиеся в нем журналы аудита.
По умолчанию записи журнала аудита хранятся в почтовом ящике 90 дней, после чего удаляются. Время хранения можно изменить, используя параметр AuditLogAgeLimit в командлете Set-Mailbox. Если почтовый ящик хранится на месте или хранится для судебного разбирательства, записи журнала аудита сохраняются до истечения периода хранения журналов аудита для этого почтового ящика. Чтобы сохранить журналы аудита на более длительный срок, следует увеличить период хранения, изменив значение параметра AuditLogAgeLimit. Вы также можете экспортировать записи журнала аудита до истечения периода хранения. Дополнительные сведения см. в разделе:
Включение ведения журнала аудита почтовых ящиков
Ведение журнала аудита включено для каждого почтового ящика. С помощью командлета Set-Mailbox можно включить или отключить ведение журнала аудита почтовых ящиков. Дополнительные сведения см. в статье Включение или отключение ведения журнала аудита почтовых ящиков для почтового ящика.
При включении ведения журнала аудита почтового ящика операции доступа к почтовому ящику, а также некоторые действия администраторов и делегатов записываются по умолчанию. Для записи действий владельца почтового ящика необходимо указать, какие именно действия должны записываться.
Действия, которые регистрируются в журналах аудита почтовых ящиков
В приведенной ниже таблице перечислены действия, записываемые в журнале аудита почтового ящика, а также типы учетных записей вошедших пользователей, для которых эти действия можно зарегистрировать.
| Действие | Описание | Администратор | Делегат | Владелец |
|---|---|---|---|---|
| Копировать | Сообщение скопировано в другую папку. | Да | Нет | Нет |
| Создание | В папке "Календарь", "Контакты", "Заметки" или "Задачи" почтового ящика создан элемент, например новое приглашение на собрание. Учтите, что создание сообщений и папок при этом не регистрируется. | Да* | Да* | Да |
| FolderBind | Папка почтового ящика была открыта. | Да* | Да** | Нет |
| HardDelete | Элемент удален из папки "Элементы для восстановления" без возможности восстановления. | Да* | Да* | Да |
| MessageBind | Сообщение открыто или просматривается в области просмотра. | Да | Нет | Нет |
| Move | Сообщение перемещено в другую папку. | Да* | Да | Да |
| MoveToDeletedItems | Сообщение перемещено в папку "Удаленные". | Да* | Да | Да |
| SendAs | Сообщение отправлено с использованием разрешений "Отправить как". | Да* | Да* | Неприменимо |
| SendOnBehalf | Сообщение отправлено с использованием разрешений "Отправить от имени". | Да* | Да | Неприменимо |
| SoftDelete | Сообщение удалено из папки "Удаленные". | Да* | Да* | Да |
| Update | Параметры элемента обновлены. | Да* | Да* | Да |
*Записывается по умолчанию, если для почтового ящика включена функция ведения журнала аудита.
**Записи о действиях делегатов по привязке папок консолидируются. За 24 часа в журнале создается одна запись для доступа к отдельной папке.
Для отключения записи определенных действий, выполняемых в почтовом ящике, необходимо изменить параметры ведения журнала аудита почтового ящика. Существующие записи в журнале аудита удаляются после истечения заданного срока хранения.
Поиск записей журнала аудита почтового ящика
Для поиска записей в журнале аудита можно использовать следующие способы.
Синхронный поиск в одном почтовом ящике. Вы можете использовать командлет Search-MailboxAuditLog для синхронного поиска записей журнала аудита почтовых ящиков для одного почтового ящика. Командлет отображает результаты поиска в окне командной консоли Exchange. Дополнительные сведения см. в разделе Поиск в журнале аудита почтового ящика для почтового ящика.
Асинхронный поиск в одном или нескольких почтовых ящиках. Вы можете создать поиск по журналам аудита почтовых ящиков для асинхронного поиска по одному или нескольким почтовым ящикам, а затем отправить результаты поиска на указанный адрес электронной почты. Результаты поиска отправляются в виде вложения XML. Для выполнения поиска используйте командлет New-MailboxAuditLogSearch. Дополнительные сведения см. в разделе Создание поиска в журнале аудита почтового ящика.
Использование отчетов аудита в Центре администрирования Exchange (EAC). Вы можете использовать вкладку Аудит в Центре администрирования Exchange для запуска отчета о доступе к почтовому ящику, не являющегося владельцем, или экспорта записей из журнала аудита почтовых ящиков. Дополнительные сведения см. в следующих статьях:
Записи журнала аудита почтовых ящиков
В следующей таблице описываются поля, заполняемые в журнале аудита почтовых ящиков.
| Поле | Заполняется |
|---|---|
| Операция | Одно из следующих действий:
|
| OperationResult | Один из следующих результатов:
|
| LogonType | Тип учетной записи для входа пользователя, выполняющего действие. Типы учетных записей для входа:
|
| DestFolderId | Идентификатор GUID папки назначения для операций перемещения. |
| DestFolderPathName | Путь к папке назначения для операций перемещения. |
| FolderId | Идентификатор GUID папки. |
| FolderPathName | Путь к папке. |
| ClientInfoString | Сведения для идентификации клиента или компонента Exchange, выполняющего эту операцию. |
| ClientIPAddress | IP-адрес клиентского компьютера. |
| ClientMachineName | Имя клиентского компьютера. |
| ClientProcessName | Имя процесса клиентского приложения. |
| ClientVersion | Версия клиентского приложения. |
| InternalLogonType | Тип учетной записи для входа пользователя, выполняющего действие. Типы учетных записей для входа:
|
| MailboxOwnerUPN | Имя участника-пользователя (UPN) владельца почтового ящика. |
| MailboxOwnerSid | Идентификатор безопасности владельца почтового ящика (SID). |
| DestMailboxOwnerUPN | Имя участника-пользователя владельца почтового ящика назначения, выполняющего действия в нескольких почтовых ящиках. |
| DestMailboxOwnerSid | Идентификатор безопасности владельца почтового ящика назначения, выполняющего действия в нескольких почтовых ящиках. |
| DestMailboxOwnerGuid | Идентификатор GUID владельца почтового ящика назначения. |
| CrossMailboxOperation | Запись сведений об операции, выполненной в нескольких почтовых ящиках (например, копирование или перемещение сообщений в другие почтовые ящики). |
| LogonUserDisplayName | Отображаемое имя пользователя, выполнившего вход. |
| DelegateUserDisplayName | Отображаемое имя пользователя-делегата. |
| LogonUserSid | Идентификатор безопасности пользователя, выполнившего вход. |
| SourceItems | Идентификатор ItemID элементов почтового ящика, в котором выполнено записанное действие (например, перемещение или удаление). Для действий, выполненных для нескольких элементов, данное поле отображается как совокупность элементов. |
| SourceFolders | Идентификатор GUID исходной папки. |
| ItemId | Идентификатор элемента. |
| ItemSubject | Тема элемента. |
| MailboxGuid | Идентификатор GUID почтового ящика |
| MailboxResolvedOwnerName | Имя пользователя почтового ящика разрешено в формате DOMAIN_SamAccountName_. |
| LastAccessed | Время выполнения действия. |
| Identity | Идентификатор записи журнала аудита. |
Дополнительная информация
Доступ администратора к почтовым ящикам. Считается, что доступ к почтовым ящикам будет осуществляться администратором только в следующих сценариях:
- Обнаружение электронных данных на месте используется для поиска в почтовом ящике.
- Использование командлета New-MailboxExportRequest для экспорта почтового ящика.
- Microsoft Exchange Server для доступа к почтовому ящику используются объекты данных клиента MAPI и объектов данных совместной работы.
Обход журнала аудита почтовых ящиков. Доступ к почтовым ящикам авторизованными автоматизированными процессами, такими как учетные записи, используемые сторонними средствами или учетными записями, используемыми для законного мониторинга, может создать большое количество записей журнала аудита почтовых ящиков и не представляет интереса для вашей организации. Регистрацию сведений о таких учетных записях в журнале аудита можно отключить. Дополнительные сведения см. в разделе Обход учетной записи пользователя из ведения журнала аудита почтового ящика.
Ведение журнала действий владельца почтового ящика. Для почтовых ящиков, таких как почтовый ящик поиска обнаружения, который может содержать более конфиденциальные сведения, рассмотрите возможность включения ведения журнала аудита почтового ящика для действий владельца почтового ящика, таких как удаление сообщений.