为 Exchange Server 中的邮箱启用或禁用邮箱审核日志记录
使用 Exchange Server 中的邮箱审核日志记录,可以跟踪对邮箱的登录以及用户登录时执行的操作。 当启用邮箱的邮箱审核日志记录时,将默认记录管理员和代理人执行的某些操作。 默认将不记录邮箱所有者执行的任何操作。 若要详细了解邮箱审核日志记录以及可以记录哪些操作,请参阅 Exchange Server 中的邮箱审核日志记录。
谨慎
邮箱所有者操作的审核可以生成大量邮箱审核日志条目,因此默认情况下是禁用的。 建议您仅启用符合业务或合规性要求所需的特定所有者操作的审核。
开始前,有必要了解什么?
你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅邮件策略和符合性权限主题中的“邮箱审核日志记录”条目Exchange Server。
默认情况下,邮箱审核日志中的条目将保留 90 天。 请参阅详细信息部分更改条目的保留时间。
不能使用 Exchange 管理中心 (EAC) 来启用或禁用邮箱审核日志记录。 必须使用 Exchange 命令行管理程序。 若要了解如何在本地 Exchange 组织中打开 Exchange 命令行管理程序,请参阅 Open the Exchange Management Shell。
分配了用户邮箱"完全访问"权限的管理员被视为委派用户。
只有在以下情况下,才视为由管理员访问邮箱:
使用就地电子数据展示搜索邮箱。
使用 New-MailboxExportRequest cmdlet 导出邮箱。
使用 Microsoft Exchange Server MAPI 编辑器访问邮箱。
启用或禁用邮箱审核日志记录
可使用 Exchange 命令行管理程序 启用或禁用邮箱的邮箱审核日志记录。 这可启用或禁用为管理员、代理人和邮箱所有者指定的所有操作的日志记录。
本示例启用 Ben Smith 的邮箱的邮箱审核日志记录。
Set-Mailbox -Identity "Ben Smith" -AuditEnabled $true
本示例为您组织中的所有用户邮箱启用邮箱审核日志记录。
Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Select PrimarySmtpAddress | ForEach {Set-Mailbox -Identity $_.PrimarySmtpAddress -AuditEnabled $true}
本示例禁用 Ben Smith 的邮箱的邮箱审核日志记录。
Set-Mailbox -Identity "Ben Smith" -AuditEnabled $false
有关详细的语法和参数信息,请参阅 Set-Mailbox。
配置管理员、代理人以及所有者访问的邮箱审核日志记录设置
如果为邮箱启用了邮箱审核日志记录,则只会记录在邮箱的审核日志记录配置中指定的管理员、代理人和所有者操作。
此示例指定 MessageBind
将为 Ben Smith 的邮箱记录管理员执行的 和 FolderBind
操作。
Set-Mailbox -Identity "Ben Smith" -AuditAdmin MessageBind,FolderBind -AuditEnabled $true
此示例指定 SendAs
将针对 Ben Smith 的邮箱记录委托用户执行的 或 SendOnBehalf
操作。
Set-Mailbox -Identity "Ben Smith" -AuditDelegate SendAs,SendOnBehalf -AuditEnabled $true
此示例指定 HardDelete
将为 Ben Smith 的邮箱记录邮箱所有者执行的操作。
Set-Mailbox -Identity "Ben Smith" -AuditOwner HardDelete -AuditEnabled $true
有关语法和参数的详细信息,请参阅 Set-Mailbox。
如何知道操作成功?
要验证是否已成功启用了邮箱的邮箱审核日志记录并为管理员、代理或所有者访问指定了正确的日志记录设置,可使用 Get-Mailbox cmdlet 来检索该邮箱的邮箱审核日志记录设置。
该示例会检索 Ben Smith 的邮箱设置并传送指定的审核设置(包括审核日志时间限制)到 Format-List cmdlet。
Get-Mailbox "Ben Smith" | Format-List Audit*
AuditEnabled 属性的 值True
验证是否启用了审核日志记录。
本示例为您组织中的所有用户邮箱检索审核设置。
Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Format-List Name,Audit*
更多信息
当您运行 Get-Mailbox cmdlet 时,不显示任何要审核的每种用户类型的操作。 但您可以运行以下命令显示特定用户登录类型的所有审核操作。
Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
默认情况下,邮箱审核日志中的条目将保留 90 天。 当某个条目超过 90 天时,会删除该条目。 您可以使用 Set-Mailbox cmdlet 来更改此设置,以便将项目保留更长(或更短)的时间。
本示例将把 Pilar Pinilla 邮箱中邮箱审核日志条目的期限增加到 180 天。
Set-Mailbox -Identity "Pilar Pinilla" -AuditLogAgeLimit 180
本示例将把组织中所有用户邮箱的邮箱审核日志条目的期限减小到 60 天。
Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Set-Mailbox -AuditLogAgeLimit 60