Exchange Server中的邮箱审核日志记录
由于邮箱可能包含一些敏感、对业务影响很大 (HBI) 的信息和个人的可识别信息 (PII),因此,跟踪登录组织内邮箱的人员及其所执行的操作非常重要。 跟踪邮箱所有者之外的其他用户对邮箱的访问情况尤其重要。 这些用户称为“委派用户”。
使用邮箱审核日志记录可以记录邮箱所有者、委派用户(包含具有完全邮箱访问权限的管理员)和管理员对邮箱的访问。
为邮箱启用审核日志记录时,可以指定将记录一种登录类型(管理员、委派用户或所有者)的哪些用户操作。 审核日志条目还包含客户端 IP 地址、主机名以及用于访问邮箱的进程或客户端等重要信息。 对于移动的项目,条目中包含目标文件夹的名称。
邮箱审核日志
邮箱审核日志针对每个启用了邮箱审核日志记录功能的邮箱而生成。 日志条目存储在已审核邮箱"可恢复邮件"文件夹的"审核"子文件夹中。 这样能够保证可以从一个位置获得全部审核日志条目,而无论使用哪种客户端访问方法来访问邮箱,或者管理员使用哪个服务器或计算机来访问邮箱审核日志。 如果将邮箱移至其他邮箱服务器,则由于邮箱中包含该邮箱的审核日志,因此这些审核日志也会移动到其他邮箱服务器。
默认情况下,邮箱审核日志条目在邮箱中保留 90 天,然后被删除。 可以通过将 AuditLogAgeLimit 参数与 Set-Mailbox cmdlet 结合使用来修改此保留期。 如果邮箱为就地保留或诉讼保留,审核日志条目仅保留到邮箱的审核日志保留期限为止。 若要将审核日志条目保留更长时间,必须通过更改 AuditLogAgeLimit 参数的值来延长保留期。 您也可以在保留期到期之前导出审核日志条目。 有关更多信息,请参阅:
启用邮箱审核日志记录
审核日志记录是按邮箱启用的。 使用 Set-Mailbox cmdlet 启用或禁用邮箱审核日志记录。 有关详细信息,请参阅 启用或禁用邮箱的邮箱审核日志记录。
当启用邮箱的邮箱审核日志记录功能时,默认情况下会记录对邮箱的访问以及管理员和委派用户执行的某些操作。 若要记录邮箱所有者执行的操作,必须指定应审核哪些所有者操作。
邮箱审核日志记录所记录的邮箱操作
下表列出了邮箱审核日志功能记录的操作,其中包括可以记录操作的登录类型。 请注意,分配有对用户邮箱的"完全访问"权限的管理员被视为委派用户。
如果不再需要审核某些类型的邮箱操作,应修改邮箱的审核日志记录配置,以禁用这些操作。 在达到审核日志条目期限之前,不会清除现有日志条目。
| 操作 | 说明 | 管理员 | 委派用户 | 所有者 |
|---|---|---|---|---|
| 复制 | 将项目复制到另一个文件夹。 | 是 | 否 | 否 |
| Create | 在邮箱的日历、联系人、备注或任务文件夹中创建项目;例如,创建新的会议请求。 请注意,不审核邮件或文件夹创建。 | 是1 | 是1 | 是 |
| FolderBind | 访问邮箱文件夹。 | 是1 | 是2 | 否 |
| HardDelete | 从"可恢复的项目"文件夹中永久删除项目。 | 是1 | 是1 | 是 |
| MailboxLogin | 用户登录其邮箱。 | 否 | 否 | 是3 |
| MessageBind | 在读取窗格中访问或打开项目。 | 是 | 否 | 否 |
| 移动 | 将项目移动到另一个文件夹。 | 是1 | 是 | 是 |
| MoveToDeletedItems | 将项目移动到"已删除邮件"文件夹中。 | 是1 | 是 | 是 |
| SendAs | 使用 Send As 权限发送邮件。 | 是1 | 是1 | 否 |
| SendOnBehalf | 使用 Send on Behalf 权限发送邮件。 | 是1 | 是 | 否 |
| SoftDelete | 从"已删除邮件"文件夹中删除项目。 | 是1 | 是1 | 是 |
| 更新 | 更新项目的属性。 | 是1 | 是1 | 是 |
1 如果为邮箱启用了审核,则默认审核。
2 合并委托执行的文件夹绑定操作的条目。 在 24 小时的时间跨度内为每个文件夹访问生成一个日志条目。
3 审核邮箱的所有者登录名仅适用于 POP3、IMAP4 或 OAuth 登录名。 不适用于邮箱的 NTLM 或 Kerberos 登录。
搜索邮箱审核日志
可以使用下列方法搜索邮箱审核日志条目:
同步搜索单个邮箱:可以使用 Search-MailboxAuditLog cmdlet 同步搜索单个邮箱的邮箱审核日志条目。 此 cmdlet 在 Exchange 命令行管理程序窗口中显示搜索结果。 有关详细信息,请参阅Search Mailbox Audit Log for a Mailbox。
异步搜索一个或多个邮箱:可以创建邮箱审核日志搜索,以异步搜索一个或多个邮箱的邮箱审核日志,然后将搜索结果发送到指定的电子邮件地址。 搜索结果以 XML 附件的形式发送。 要创建搜索,请使用 New-MailboxAuditLogSearch cmdlet。 有关详细信息,请参阅 创建邮箱审核日志搜索。
使用 Exchange 管理中心的审核报告 (EAC) :可以使用 EAC 中的“ 审核 ”选项卡运行非所有者邮箱访问报告, (包含用于管理员和删除操作的条目,) 或从邮箱审核日志导出非所有者条目。 有关详细信息,请参阅:
邮箱审核日志条目
下表说明在邮箱审核日志记录条目中记录的字段。
| 字段 | 填入内容 |
|---|---|
| 操作 | 下列操作之一: Copy Create FolderBind HardDelete MailboxLogin MessageBind Move MoveToDeletedItems SendAs SendOnBehalf SoftDelete Update |
| OperationResult | 下列结果之一: Failed PartiallySucceeded Succeeded |
| LogonType | 执行操作的用户的登录类型。 登录类型包括: 所有者 委派用户 管理员 |
| DestFolderId | 移动操作的目标文件夹 GUID。 |
| DestFolderPathName | 移动操作的目标文件夹路径。 |
| FolderId | 文件夹 GUID。 |
| FolderPathName | 文件夹路径。 |
| ClientInfoString | 可确定是哪个客户端或 Exchange 组件执行了此操作的详细信息。 |
| ClientIPAddress | 客户端计算机 IP 地址。 |
| ClientMachineName | 客户端计算机名称。 |
| ClientProcessName | 客户端应用程序进程的名称。 |
| ClientVersion | 客户端应用程序版本。 |
| InternalLogonType | 执行该操作的内部用户(组织内部人员)的类型。 此字段的可能值与 LogonType 字段的相同: |
| MailboxOwnerUPN | 邮箱所有者用户主体名称 (UPN)。 |
| MailboxOwnerSid | 邮箱所有者安全标识符 (SID)。 |
| DestMailboxOwnerUPN | 目标邮箱所有者 UPN(为跨邮箱操作而记录)。 |
| DestMailboxOwnerSid | 目标邮箱所有者 SID(为跨邮箱操作而记录)。 |
| DestMailboxOwnerGuid | 目标邮箱所有者 GUID。 |
| CrossMailboxOperation | 关于记录的操作是否是跨邮箱操作(例如,在多个邮箱间复制或移动邮件)的信息。 |
| LogonUserDisplayName | 显示登录用户的名称。 |
| DelegateUserDisplayName | 委派用户显示名称。 |
| LogonUserSid | 登录用户的 SID。 |
| SourceItems | 对其执行了所记录的操作(例如移动或删除)的邮箱项目的 ItemID。 对于在许多项目上执行的操作,该字段会返回一个项目集合。 |
| SourceFolders | 源文件夹 GUID。 |
| ItemId | 项目 ID。 |
| ItemSubject | 项目主题。 |
| MailboxGuid | 邮箱 GUID。 |
| MailboxResolvedOwnerName | 邮箱用户解析名称的格式为 DOMAIN\ SamAccountName。 |
| LastAccessed | 执行操作的时间。 |
| Identity | 审核日志条目 ID。 |
更多信息
管理员对邮箱的访问权限:只有在以下情况下,管理员才认为邮箱可供管理员访问:
使用就地电子数据展示搜索邮箱。
使用 New-MailboxExportRequest cmdlet 导出邮箱。
绕过邮箱审核日志记录:通过授权的自动化过程(例如第三方工具使用的帐户或用于合法监视的帐户)访问邮箱可能会创建大量邮箱审核日志条目,并且可能不对组织感兴趣。 可以将这些帐户配置为绕过邮件审核日志功能。 有关详细信息,请参阅 从邮箱审核日志记录中绕过用户帐户。
记录邮箱所有者操作:对于“发现搜索邮箱”等可能包含更多敏感信息的邮箱,请考虑为邮箱所有者操作(如邮件删除)启用邮箱审核日志记录。