Общие сведения о ведении журнала аудита почтовых ящиков

  • Статья

 

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2016-11-28

Почтовые ящики могут содержать конфиденциальные сведения, важные для работы организации, а также персональные данные. Поэтому необходимо отслеживать вход в почтовые ящики организации и выполняемые в них действия. Особенно это касается доступа к почтовым ящикам пользователей, не являющихся их владельцами. Такие пользователи называются делегированными.

С помощью функции ведения журнала аудита почтового ящика можно регистрировать доступ владельцев, администраторов и делегатов (в том числе администраторов с полными разрешениями на доступ к почтовому ящику) к почтовым ящикам. Считается, что администраторы получают доступ к почтовым ящикам только в следующих случаях.

  • Использование поиска на обнаружение для поиска в почтовом ящике

  • Использование командлета New-MailboxExportRequest для экспорта почтового ящика

  • Использование редактора Microsoft Exchange Server MAPI Editor для доступа к почтовому ящику

При включении функции ведения журнала аудита для почтового ящика можно указать, какие именно действия (например, доступ к почтовому ящику, перемещение или удаление сообщений) должны регистрироваться для соответствующих типов учетных записей для входа (администратор, делегированный пользователь или владелец). В записях журнала аудита также содержатся другие важные сведения, такие как IP-адрес клиента, имя узла, процесс или клиент, использованные для получения доступа к почтовому ящику. Для перемещенных сообщений также указывается имя папки назначения.

ПримечаниеПримечание.
В почтовых ящиках, используемых для поиска на обнаружение, в которых могут содержаться более конфиденциальные сведения, можно включить запись действий (например, удаление сообщений) их владельцев в журнале аудита.

Содержание

Журналы аудита почтовых ящиков

Включение функции ведения журнала аудита почтовых ящиков

Поиск записей в журнале аудита почтовых ящиков

Записи журнала аудита почтовых ящиков

Журналы аудита почтовых ящиков

Для всех почтовых ящиков с включенной функцией ведения журнала аудита создаются журналы аудита почтовых ящиков. Записи журнала хранятся в подпапке "Аудиты" папки "Элементы для восстановления" отслеживаемого почтового ящика. Это обеспечивает доступ ко всем журналам аудита из одного места, независимо от использованного метода клиентского доступа к почтовому ящику или сервера (либо рабочей станции), использованного администратором для получения доступа к журналу аудита почтовых ящиков. При перемещении ящика на другой сервер почтовых ящиков соответственно перемещаются хранящиеся в нем журналы аудита.

По умолчанию записи журнала аудита хранятся в почтовом ящике 90 дней, после чего удаляются. Время хранения можно изменить, используя параметр AuditLogAgeLimit в командлете Set-Mailbox. Если почтовый ящик хранится для судебного разбирательства, записи журнала аудита сохраняются только в течение периода хранения журнала аудита для почтового ящика. Чтобы хранить записи журнала аудита дольше, необходимо увеличить срок хранения, изменив значение параметра AuditLogAgeLimit, или экспортировав записи журнала аудита перед окончанием периода хранения. Дополнительные сведения см. в разделе Поиск в журнале аудита почтовых ящиков.

Журналы аудита почтовых ящиков

Включение функции ведения журнала аудита почтовых ящиков

Ведение журнала аудита включено для каждого почтового ящика. С помощью командлета Set-Mailbox можно включить или отключить ведение журнала аудита почтовых ящиков. Дополнительные сведения см. в разделе Включение и отключение ведения журнала аудита для почтового ящика.

При включении ведения журнала аудита почтового ящика операции доступа к почтовому ящику, а также некоторые действия администраторов и делегатов записываются по умолчанию. Для записи действий владельца почтового ящика необходимо указать, какие именно действия должны записываться. В следующей таблице перечислены действия, записываемые в журнале аудита почтового ящика, включая соответствующие типы учетных записей для входа.

Действия, записываемые в журнале аудита почтовых ящиков

Действие Описание Администратор Делегат Владелец

Copy

Сообщение скопировано в другую папку.

Да

Нет

Нет

Create

В почтовом ящике создан элемент (например, получено или отправлено сообщение).

ПримечаниеПримечание.
Создание папок при этом не записывается.

Да*

Да*

Да

FolderBind

Папка почтового ящика открыта.***

Да*

Да**

Нет

HardDelete

Элемент удален из папки "Элементы для восстановления" без возможности восстановления.

Да*

Да*

Да

MessageBind

Сообщение открыто или просматривается в области просмотра.***

Да

Нет

Нет

Перемещение

Сообщение перемещено в другую папку.

Да*

Да

Да

MoveToDeletedItems

Сообщение перемещено в папку "Удаленные".

Да*

Да

Да

SendAs

Сообщение отправлено с использованием разрешений "Отправить как".

Да*

Да*

Неприменимо

SendOnBehalf

Сообщение отправлено с использованием разрешений "Отправить от имени".

Да*

Да

Не применимо

SoftDelete

Сообщение удалено из папки "Удаленные".

Да*

Да*

Да

Обновление

Параметры элемента обновлены.

Да*

Да*

Да

Copy

Сообщение скопировано в другую папку.

Да

Нет

Нет

Create

В почтовом ящике создан элемент (например, получено или отправлено сообщение).

ПримечаниеПримечание.
Создание папок при этом не записывается.

Да*

Да*

Да

FolderBind

Папка почтового ящика открыта.***

Да*

Да**

Нет

HardDelete

Элемент удален из папки "Элементы для восстановления" без возможности восстановления.

Да*

Да*

Да

MessageBind

Сообщение открыто или просматривается в области просмотра.***

Да

Нет

Нет

Перемещение

Сообщение перемещено в другую папку.

Да*

Да

Да

MoveToDeletedItems

Сообщение перемещено в папку "Удаленные".

Да*

Да

Да

SendAs

Сообщение отправлено с использованием разрешений "Отправить как".

Да*

Да*

Неприменимо

SendOnBehalf

Сообщение отправлено с использованием разрешений "Отправить от имени".

Да*

Да

Не применимо

SoftDelete

Сообщение удалено из папки "Удаленные".

Да*

Да*

Да

Обновление

Параметры элемента обновлены.

Да*

Да*

Да

* Записывается по умолчанию, если для почтового ящика включен аудит. ** Выполняется консолидация записей действий, связанных с папкой, которые выполняются делегатами. Одна запись журнала создается для отдельного действия доступа к папке в течение двадцати четырех часов. *** Действия FolderBind и MessageBind не записываются для календаря по умолчанию.

Доступ к почтовым ящикам с помощью авторизованных автоматических процессов, например учетных записей, используемых инструментами сторонних производителей или учетных записей для отслеживания исполнения законодательства, может привести к образованию большого количества записей в журнале аудита почтовых ящиков. Возможно, вашей организации это неинтересно. Регистрацию сведений о таких учетных записях в журнале аудита можно отключить. Дополнительные сведения см. в разделе Исключение учетной записи пользователя из журнала аудита почтовых ящиков.

Для отключения записи определенных действий, выполняемых в почтовом ящике, необходимо изменить параметры ведения журнала аудита почтового ящика. Существующие записи в журнале аудита удаляются по прошествии определенного периода времени.

Журналы аудита почтовых ящиков

Поиск записей в журнале аудита почтовых ящиков

Для поиска записей в журнале аудита можно использовать следующие способы.

  • Синхронный поиск в отдельном почтовом ящике. С помощью командлета Search-MailboxAuditLog можно выполнять синхронный поиск записей в журнале аудита для отдельного почтового ящика. Результаты поиска командлета отображаются в окне командной консоли Exchange. Дополнительные сведения см. в разделах Search-MailboxAuditLog и Поиск почтового ящика в журнале аудита почтовых ящиков.

  • Асинхронный поиск в одном или нескольких почтовых ящиках. Можно выполнять асинхронный поиск в журналах аудита одного или нескольких почтовых ящиков с последующей отправкой результатов на указанные адреса электронной почты. Результаты поиска отправляются в виде вложения XML. Для выполнения поиска используйте командлет New-MailboxAuditLogSearch. Дополнительные сведения см. в разделе Поиск в журнале аудита почтовых ящиков.

  • Использование отчетов об аудите в панели управления Exchange.   Для создания отчетов об аудите или выполнения экспорта записей из журнала аудита почтовых ящиков или журнала аудита администратора можно использовать вкладку Аудит на панели управления Exchange. Дополнительные сведения см. в разделе Вкладка "Аудит".

Записи журнала аудита почтовых ящиков

В следующей таблице описываются поля, заполняемые в журнале аудита почтовых ящиков.

Поля журнала аудита почтовых ящиков

Поле Заполняется

Operation

Одно из следующих действий:

  • Copy

  • Create

  • FolderBind

  • HardDelete

  • MessageBind

  • Move

  • MoveToDeletedItems

  • SendAs

  • SendOnBehalf

  • SoftDelete

  • Update

OperationResult

Один из следующих результатов:

  • Failed

  • PartiallySucceeded

  • Succeeded

LogonType

Тип учетной записи для входа пользователя, выполняющего действие. Типы учетных записей для входа:

  • Владелец

  • Делегат

  • Admin

DestFolderId

Идентификатор GUID папки назначения для операций перемещения.

DestFolderPathName

Путь к папке назначения для операций перемещения.

FolderId

Идентификатор GUID папки.

FolderPathName

Путь к папке.

ClientInfoString

Сведения для идентификации клиента или компонента Exchange, выполняющего данную операцию.

ClientIPAddress

IP-адрес клиентского компьютера.

ClientMachineName

Имя клиентского компьютера.

ClientProcessName

Имя процесса клиентского приложения.

ClientVersion

Версия клиентского приложения.

InternalLogonType

Тип учетной записи для входа пользователя, выполняющего действие. Типы учетных записей для входа:

  • Владелец

  • Делегат

  • Администратор

MailboxOwnerUPN

Имя участника-пользователя (UPN) владельца почтового ящика.

MailboxOwnerSid

Идентификатор безопасности владельца почтового ящика (SID).

DestMailboxOwnerUPN

Имя участника-пользователя владельца почтового ящика назначения, выполняющего действия в нескольких почтовых ящиках.

DestMailboxOwnerSid

Идентификатор безопасности владельца почтового ящика назначения, выполняющего действия в нескольких почтовых ящиках.

DestMailboxOwnerGuid

Идентификатор GUID владельца почтового ящика назначения.

CrossMailboxOperation

Запись сведений об операции, выполненной в нескольких почтовых ящиках (например, копирование или перемещение сообщений в другие почтовые ящики).

LogonUserDisplayName

Отображаемое имя пользователя, выполнившего вход.

DelegateUserDisplayName

Отображаемое имя пользователя-делегата.

LogonUserSid

Идентификатор безопасности пользователя, выполнившего вход.

SourceItems

Идентификатор ItemID элементов почтового ящика, в котором выполнено записанное действие (например, перемещение или удаление). Для действий, выполненных для нескольких элементов, данное поле отображается как совокупность элементов.

SourceFolders

Идентификатор GUID исходной папки.

ItemId

Идентификатор элемента.

ItemSubject

Тема элемента.

MailboxGuid

Идентификатор GUID почтового ящика

MailboxResolvedOwnerName

Формат разрешенного имени пользователя почтового ящика выглядит следующим образом: ДОМЕН\SamAccountName.

LastAccessed

Время выполнения действия.

Identity

Идентификатор записи журнала аудита.

Operation

Одно из следующих действий:

  • Copy

  • Create

  • FolderBind

  • HardDelete

  • MessageBind

  • Move

  • MoveToDeletedItems

  • SendAs

  • SendOnBehalf

  • SoftDelete

  • Update

OperationResult

Один из следующих результатов:

  • Failed

  • PartiallySucceeded

  • Succeeded

LogonType

Тип учетной записи для входа пользователя, выполняющего действие. Типы учетных записей для входа:

  • Владелец

  • Делегат

  • Admin

DestFolderId

Идентификатор GUID папки назначения для операций перемещения.

DestFolderPathName

Путь к папке назначения для операций перемещения.

FolderId

Идентификатор GUID папки.

FolderPathName

Путь к папке.

ClientInfoString

Сведения для идентификации клиента или компонента Exchange, выполняющего данную операцию.

ClientIPAddress

IP-адрес клиентского компьютера.

ClientMachineName

Имя клиентского компьютера.

ClientProcessName

Имя процесса клиентского приложения.

ClientVersion

Версия клиентского приложения.

InternalLogonType

Тип учетной записи для входа пользователя, выполняющего действие. Типы учетных записей для входа:

  • Владелец

  • Делегат

  • Администратор

MailboxOwnerUPN

Имя участника-пользователя (UPN) владельца почтового ящика.

MailboxOwnerSid

Идентификатор безопасности владельца почтового ящика (SID).

DestMailboxOwnerUPN

Имя участника-пользователя владельца почтового ящика назначения, выполняющего действия в нескольких почтовых ящиках.

DestMailboxOwnerSid

Идентификатор безопасности владельца почтового ящика назначения, выполняющего действия в нескольких почтовых ящиках.

DestMailboxOwnerGuid

Идентификатор GUID владельца почтового ящика назначения.

CrossMailboxOperation

Запись сведений об операции, выполненной в нескольких почтовых ящиках (например, копирование или перемещение сообщений в другие почтовые ящики).

LogonUserDisplayName

Отображаемое имя пользователя, выполнившего вход.

DelegateUserDisplayName

Отображаемое имя пользователя-делегата.

LogonUserSid

Идентификатор безопасности пользователя, выполнившего вход.

SourceItems

Идентификатор ItemID элементов почтового ящика, в котором выполнено записанное действие (например, перемещение или удаление). Для действий, выполненных для нескольких элементов, данное поле отображается как совокупность элементов.

SourceFolders

Идентификатор GUID исходной папки.

ItemId

Идентификатор элемента.

ItemSubject

Тема элемента.

MailboxGuid

Идентификатор GUID почтового ящика

MailboxResolvedOwnerName

Формат разрешенного имени пользователя почтового ящика выглядит следующим образом: ДОМЕН\SamAccountName.

LastAccessed

Время выполнения действия.

Identity

Идентификатор записи журнала аудита.

Журналы аудита почтовых ящиков

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.