Ведение журнала в Exchange Server

  • Статья

Ведение журнала в Exchange Server может помочь вашей организации реагировать на юридические, нормативные и организационные требования к соответствию, записывая все или целевые сообщения электронной почты. Ведение журнала в Exchange Server практически не изменилось с Exchange Server 2010 года.

Exchange предоставляет следующие варианты параметров я.ов..

  • Стандартное ведение журнала. Занесение в журнал всех сообщений, отправляемых и полученных почтовыми ящиками в определенной базе данных почтовых ящиков. Чтобы регистрировать все сообщения в организации, необходимо настроить ведение журнала во всех базах данных почтовых ящиков на всех серверах Exchange.

  • Ведение журнала уровня "Премиум". Используйте правила журнала для записи сообщений на основе получателей (все получатели или указанные получатели) и область (внутренние сообщения, внешние сообщения или все сообщения). Для лицензирования уровня "Премиум" требуются клиентские лицензии (CAL) Exchange Enterprise. Дополнительные сведения о клиентских лицензиях см. в разделе Часто задаваемые вопросы о лицензировании Exchange.

Чтобы настроить ведение журнала, см. статью Процедуры журналирования в Exchange Server.

Для хранения сообщений и обеспечения соответствия требованиям необходимо иметь представление о функции ведения журнала и о том, как она соотносится с корпоративными политиками соответствия.

Важность ведения журнала

Во-первых, важно понимать разницу между ведением журнала и архивированием, когда дело доходит до сообщений электронной почты:

  • Ведение журнала — это запись сообщений электронной почты в рамках стратегии хранения электронной почты в организации.

  • Архивация — это удаление сообщений электронной почты из исходного расположения (например, почтового ящика пользователя) и их сохранение в другом месте.

Многие организации должны хранить сообщения электронной почты своих сотрудников. Ведение журнала Exchange можно применять как средство стратегии архивирования или хранения электронной почты.

Хотя нормативные требования могут не требовать ведения журнала, ведение журналов Exchange может помочь вашей организации обеспечить соответствие нормативным требованиям. Например, в некоторых финансовых сферах должностные лица несут ответственность за то, что их сотрудники заявляют клиентам. Менеджеры по управлению соответствием могут пользоваться ведением журнала для сбора и регулярной проверки сообщений электронной почты, отправленных клиентам сотрудниками, в рамках проверки коммуникации между сотрудниками и клиентами. Далее менеджеры по управлению соответствием могут сообщить о положительном результате проверки уполномоченному сотруднику, который затем подаст регулятивному органу отчет о соответствии требованиям.

В следующем списке приведены некоторые из более известных американских и международных правил, в которых ведение журнала Exchange может помочь в рамках ваших стратегий соответствия требованиям:

  • Акт Сарбейнс-Оксли от 2002 г. (SOX)

  • Правило комиссии по бирже ценных бумаг 17a-4 (правило SEC 17 A-4)

  • Национальная ассоциация дилеров по ценным бумагам 3010 и 3110 (NASD 3010 и 3110)

  • Акт Грэмма-Лича-Блайли (Gramm-Leach-Bliley) (Акт финансовой модернизации)

  • Акт 2001 года о защите конфиденциальности данных в финансовых учреждениях

  • Акт 2003 года о защите конфиденциальности данных в финансовых учреждениях

  • Акт 1996 года о передаче и защите данных учреждений здравоохранения (HIPAA)

  • Акт 2001 года об объединении и усилении Америки за счет предоставления надлежащих средств, необходимых для предотвращения терроризма (Патриотический акт)

  • Директива по защите данных Европейского союза

  • Акт о защите личной информации в Японии

Агент ведения журнала

Агент общения — это встроенный транспортный агент Exchange, который обрабатывает сообщения по мере их передачи через транспортную службу на серверах почтовых ящиков. Параметры конфигурации журнала хранятся в Active Directory и считываются агентом журналов. Агент ведения журнала зарегистрирован в событиях классификатора OnSubmittedMessage и OnRoutedMessage на транспортном конвейере. Дополнительные сведения о транспортном конвейере см. в статье Mail flow and the transport pipeline.

Командлеты управления агентами транспорта (*-TransportAgent) не видят большую часть встроенных агентов транспорта и не могут ими управлять.

Отчеты журнала

Отчет журнала — это сообщение, записанное в журнале. Отчет журнала содержит исходное сообщение в виде неотправленного вложения файла. Текст отчета журнала содержит сводную информацию из исходного сообщения (например, адрес электронной почты отправителя, тема сообщения, идентификатор сообщения и адреса электронной почты получателя). Этот тип журнала называется журналированием конвертов и является единственным методом, поддерживаемым Exchange.

Отчеты журнала и сообщения, защищенные службой управления правами на доступ к данным

Необходимо учитывать влияние сообщений, защищенных IRM, на отчеты журнала. Сторонние системы архивации без встроенной поддержки RMS не могут расшифровывать защищенные IRM сообщения в отчетах журнала, что негативно влияет на поиск и обнаружение содержимого в журналах. В Exchange можно настроить расшифровку отчета журнала, чтобы сохранить в отчете журнала копию сообщения с открытым текстом. Дополнительные сведения см. в разделе Включение расшифровки отчетов журнала.

Правила журнала

Ниже перечислены базовые компоненты правила журнала.

  • Получатель журнала. Укажите, чьи сообщения нужно записывать в журнал.

  • Область действия правила журнала. Укажите, какие сообщения нужно записывать в журнал.

  • Почтовый ящик журналов. Укажите, где нужно хранить записанные в журнал сообщения.

Получатель журнала

Компонент Получатель журнала указывает, чьи сообщения нужно записывать в журнал. Сообщения, отправленные или полученные получателем журнала записываются в журнал (направление не имеет значения). Вы можете настроить правило журнала для регистрации сообщений для всех отправителей и получателей в организации Exchange или ограничить правило журнала почтовым ящиком, группой, пользователем почты или почтовым контактом Exchange. Если вы укажете группу рассылки, ведение журнала будет включено для участников группы рассылки, а не для самой группы.

Указывая определенных получателей или группы получателей, вы сможете настроить среду ведения журнала в соответствии с юридическими и нормативными требованиями организации. Это также позволит снизить расходы на хранение больших объемов данных.

Получатели журнала, для которых включена единая система обмена сообщениями в Exchange 2016

По умолчанию, если ваша организация Exchange 2016 использует единую систему обмена сообщениями (UM) для консолидации инфраструктуры электронной почты, голосовой почты и факса, Exchange настраивается для записи уведомлений голосовой почты и сообщений уведомления о пропущенных звонках. Можно отключить ведение журнала для этих типов сообщений, но сообщения, которые содержат факсы, сгенерированные единой системой обмена сообщениями, будут всегда записываться в журнал.

Сведения о том, как отключить ведение журнала для уведомлений о пропущенных звонках и поступлении голосовой почты, см. в разделе Включение или отключение ведения журнала голосовой почты и уведомлений о пропущенных звонках.

Примечание.

Единая система обмена сообщениями не доступна в Exchange 2019.

Область действия правил журнала

Когда вы укажете, чьи сообщения нужно записывать, необходимо указать, какие именно сообщения нужно записывать. Допустимы следующие варианты:

  • Только внутренние сообщения. Источник или назначение сообщения находится в организации Exchange.

  • Только внешние сообщения. Источник или назначение сообщения находится за пределами организации Exchange.

  • Все сообщения: источник или назначение сообщения не имеет значения. Обратите внимание, что применение правила журнала с такой областью действий может привести к записи в журнал сообщений, которые уже были записаны на основании других правил журнала.

Почтовый ящик журналов

Сообщения, записанные в журнал, будут доставлены в почтовый ящик журналов. Настройка почтового ящика журналов зависит от требований политик, юридических и нормативных требований, применяемых в организации. Например, может быть достаточно настройки только одного почтового ящика журналов для всех правил журнала в организации, а может потребоваться использование различных почтовых ящиков журналов для разных правил журнала.

Примечания.

  • Почтовые ящики журналов содержат конфиденциальную информацию, поэтому их необходимо защитить. Сообщения в почтовом ящике журналов могут касаться судопроизводства или подпадать под нормативные требования. Мы рекомендуем создать и применить четко определенные политики, указывающие, кто именно должен иметь доступ к почтовому ящику журналов. Проконсультируйтесь с юристами, чтобы убедиться, что система ведения журнала соответствует всем законам и нормативам, действующим для организации.

  • Почтовый ящик Microsoft 365 или Office 365 нельзя использовать в качестве почтового ящика журнала. Если вы выполняете гибридное развертывание между локальной средой Exchange и Microsoft 365 или Office 365, вы можете назначить локальные почтовые ящики журналов для microsoft 365 или Office 365 и локальных организаций. Вы также можете отправлять сообщения, записанные в журнал, в локальную систему архивации электронной почты или стороннюю службу архивации.

  • Почтовые ящики журналов должны принимать сообщения максимального размера, допустимого в вашей организации. Учитывайте максимальные размеры сообщений, настроенные для отдельных почтовых ящиков. Дополнительные сведения см. в разделе Настройка ограничений на размер сообщений для почтового ящика.

  • Рекомендуется настроить почтовый ящик журнала так, чтобы он принимал только сообщения от получателя Microsoft Exchange (единственного отправителя отчетов журнала). Обратите внимание, что это можно сделать только в командной консоли Exchange. Дополнительные сведения см. в статье Настройка ограничений доставки сообщений для почтового ящика.

  • Мы рекомендуем отключить ограничения квоты хранилища для почтового ящика журналов. Дополнительные сведения см. в разделе Настройка квот хранилища для почтового ящика.

Альтернативный почтовый ящик журналов

Как и другие сообщения, отчеты о недоставленных журналах помещаются в очередь, а доставка периодически повторяется до истечения срока действия сообщения (значение по умолчанию — два дня и настраивается параметром MessageExpirationTimeout в командлете Set-TransportService ). В отличие от других сообщений, отчеты журнала с истекшим сроком действия не могут быть возвращены отправителю в отчете о недоставке (также известном как сообщение о недоставке или отказе), так как отправитель является получателем Microsoft Exchange. Отчеты журнала с истекшим сроком действия не могут быть восстановлены.

Если вы хотите избежать постановки в очередь и истечения срока действия недоставленных отчетов журнала, можете указать альтернативный почтовый ящик журналов, который будет принимать отчеты о недоставке для всех недоставленных отчетов журнала в случае, если эти отчеты не удается доставить ни на один почтовый ящик журналов (достаточно одного альтернативного почтового ящика журналов на все почтовые ящики журналов в организации). Исходный отчет журнала будет отправляться вместе с отчетом о недоставке в качестве вложения. Когда почтовый ящик журнала снова станет доступен, вы можете использовать функцию повторной отправки этого сообщения в Outlook для отчетов о недоставке в альтернативном почтовом ящике журнала для отправки неотмененных отчетов о доставке в почтовый ящик журнала.

Перед настройкой альтернативного почтового ящика журналов обратитесь к уполномоченным юристам. Законами или нормами, применимыми к вашей организации, может быть запрещено хранить все сообщения журнала в одном почтовом ящике.

При настройке альтернативного почтового ящика журналов необходимо использовать те же критерии, что и при создании почтового ящика журналов.

Примечания.

  • Если альтернативный почтовый ящик журналов становится недоступен и отклоняет отчеты о недоставке отчетов журнала, исходные отчеты журналов удаляются без возможности восстановления.

  • Альтернативный почтовый ящик журналов необходимо рассматривать как специальный почтовый ящик. Правила журнала, правила для папки "Входящие" и правила потока обработки почты (также известные как правила транспорта), включающие альтернативный почтовый ящик журналов, будут игнорироваться.

Репликация правил журнала

Поскольку правила журнала хранятся в Active Directory, они считываются и применяются службой транспорта на всех серверах почтовых ящиков в организации. При создании, изменении или удалении правила журнала это действие реплицируется между всеми контроллерами домена в организации. Это позволяет Exchange предоставлять согласованный набор правил журнала в организации.

Примечания.

  • Репликация между контроллерами домена зависит от факторов, которые не контролируются Exchange (например, количество сайтов Active Directory и скорость сетевых каналов). Соответственно, при реализации правил журнала в организации следует учесть задержки репликации. Дополнительные сведения о репликации Active Directory см. в статье Общие сведения о репликации Active Directory и управлении топологией с помощью Windows PowerShell.

  • Каждый сервер почтовых ящиков кэширует расширенные группы рассылки, чтобы избежать повторных запросов Active Directory на определение членства в группах. По умолчанию записи в кэше расширенных групп действительны в течение четырех часов. Таким образом, изменения в составе участников группы не будут применяться к правилам журнала до обновления кэша развернутых групп. Чтобы принудительно обновить кэш на сервере почтовых ящиков, перезапустите службу транспорта Microsoft Exchange. Эту службу необходимо перезапустить на каждом сервере почтовых ящиков, где требуется принудительно обновить кэш.

Устранение неполадок

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу: Exchange Server. Если у вас возникли проблемы с альтернативным почтовым ящиком журнала, см. раздел KB2829319.