为 Exchange Server 中的邮箱启用或禁用邮箱审核日志记录

  • 项目

使用 Exchange Server 中的邮箱审核日志记录,可以跟踪对邮箱的登录以及用户登录时执行的操作。 当启用邮箱的邮箱审核日志记录时,将默认记录管理员和代理人执行的某些操作。 默认将不记录邮箱所有者执行的任何操作。 若要详细了解邮箱审核日志记录以及可以记录哪些操作,请参阅 Exchange Server 中的邮箱审核日志记录

谨慎

邮箱所有者操作的审核可以生成大量邮箱审核日志条目,因此默认情况下是禁用的。 建议您仅启用符合业务或合规性要求所需的特定所有者操作的审核。

开始前,有必要了解什么?

  • 你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅邮件策略和符合性权限主题中的“邮箱审核日志记录”条目Exchange Server。

  • 默认情况下,邮箱审核日志中的条目将保留 90 天。 请参阅详细信息部分更改条目的保留时间。

  • 不能使用 Exchange 管理中心 (EAC) 来启用或禁用邮箱审核日志记录。 必须使用 Exchange 命令行管理程序。 若要了解如何在本地 Exchange 组织中打开 Exchange 命令行管理程序,请参阅 Open the Exchange Management Shell

  • 分配了用户邮箱"完全访问"权限的管理员被视为委派用户。

  • 只有在以下情况下,才视为由管理员访问邮箱:

    • 使用就地电子数据展示搜索邮箱。

    • 使用 New-MailboxExportRequest cmdlet 导出邮箱。

    • 使用 Microsoft Exchange Server MAPI 编辑器访问邮箱。

启用或禁用邮箱审核日志记录

可使用 Exchange 命令行管理程序 启用或禁用邮箱的邮箱审核日志记录。 这可启用或禁用为管理员、代理人和邮箱所有者指定的所有操作的日志记录。

本示例启用 Ben Smith 的邮箱的邮箱审核日志记录。

Set-Mailbox -Identity "Ben Smith" -AuditEnabled $true

本示例为您组织中的所有用户邮箱启用邮箱审核日志记录。

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Select PrimarySmtpAddress | ForEach {Set-Mailbox -Identity $_.PrimarySmtpAddress -AuditEnabled $true}

本示例禁用 Ben Smith 的邮箱的邮箱审核日志记录。

Set-Mailbox -Identity "Ben Smith" -AuditEnabled $false

有关详细的语法和参数信息,请参阅 Set-Mailbox

配置管理员、代理人以及所有者访问的邮箱审核日志记录设置

如果为邮箱启用了邮箱审核日志记录,则只会记录在邮箱的审核日志记录配置中指定的管理员、代理人和所有者操作。

此示例指定 MessageBind 将为 Ben Smith 的邮箱记录管理员执行的 和 FolderBind 操作。

Set-Mailbox -Identity "Ben Smith" -AuditAdmin MessageBind,FolderBind -AuditEnabled $true

此示例指定 SendAs 将针对 Ben Smith 的邮箱记录委托用户执行的 或 SendOnBehalf 操作。

Set-Mailbox -Identity "Ben Smith" -AuditDelegate SendAs,SendOnBehalf -AuditEnabled $true

此示例指定 HardDelete 将为 Ben Smith 的邮箱记录邮箱所有者执行的操作。

Set-Mailbox -Identity "Ben Smith" -AuditOwner HardDelete -AuditEnabled $true

有关语法和参数的详细信息,请参阅 Set-Mailbox

如何知道操作成功?

要验证是否已成功启用了邮箱的邮箱审核日志记录并为管理员、代理或所有者访问指定了正确的日志记录设置,可使用 Get-Mailbox cmdlet 来检索该邮箱的邮箱审核日志记录设置。

该示例会检索 Ben Smith 的邮箱设置并传送指定的审核设置(包括审核日志时间限制)到 Format-List cmdlet。

Get-Mailbox "Ben Smith" | Format-List Audit*

AuditEnabled 属性的 值True验证是否启用了审核日志记录。

本示例为您组织中的所有用户邮箱检索审核设置。

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Format-List Name,Audit*

更多信息

当您运行 Get-Mailbox cmdlet 时,不显示任何要审核的每种用户类型的操作。 但您可以运行以下命令显示特定用户登录类型的所有审核操作。

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner

默认情况下,邮箱审核日志中的条目将保留 90 天。 当某个条目超过 90 天时,会删除该条目。 您可以使用 Set-Mailbox cmdlet 来更改此设置,以便将项目保留更长(或更短)的时间。

本示例将把 Pilar Pinilla 邮箱中邮箱审核日志条目的期限增加到 180 天。

Set-Mailbox -Identity "Pilar Pinilla" -AuditLogAgeLimit 180

本示例将把组织中所有用户邮箱的邮箱审核日志条目的期限减小到 60 天。

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Set-Mailbox -AuditLogAgeLimit 60