信箱稽核記錄
適用於:Exchange Server 2013
由於信箱會包含敏感、高度業務影響 (HBI) 資訊和個人識別資訊 (PII),因此追蹤哪些人登入組織中的信箱以及執行哪些動作是相當重要的。 追蹤信箱擁有者以外的使用者存取信箱則更為重要。 這些使用者稱為代理使用者。
使用信箱稽核記錄,您就可以依信箱擁有者、代理人 (包括具有完整信箱存取權限的系統管理員) 和系統管理員記錄信箱存取。
啟用信箱的稽核記錄時,可指定針對哪種登入類型 (系統管理員、代理使用者或擁有者) 將記錄哪些使用者動作 (例如存取、移動或刪除郵件)。 稽核記錄項目還包含一些重要資訊,例如用戶端 IP 位址、主機名稱,以及用來存取信箱的程序或用戶端。 針對移動的項目,記錄中還包含目的資料夾的名稱。
信箱稽核記錄
每個啟用信箱稽核記錄功能的信箱都會產生信箱稽核記錄。 記錄項目會儲存在稽核信箱 [可復原的項目] 資料夾的 [稽核] 子資料夾中。 因此,無論是使用哪種用戶端存取方法來存取信箱,或系統管理員使用哪個伺服器或工作站來存取信箱稽核記錄,這都可確保所有的稽核記錄項目都能從單一位置取得。 如果您將信箱移至其他信箱伺服器,該信箱的信箱稽核記錄也會隨之移動,因為這些記錄皆位於信箱中。
依預設,信箱稽核記錄項目會先保留在信箱中 90 天再刪除。 您可以使用 AuditLogAgeLimit 參數搭配 Set-Mailbox Cmdlet 來修改此保留期間。 如果信箱處於就地保留或訴訟暫止狀態,則稽核記錄項目只會保存到信箱的稽核記錄保留期間期滿為止。 若要保留較長的稽核記錄專案,您必須變更 AuditLogAgeLimit 參數的值,以增加保留期間。 您也可以在保留期間期滿前匯出稽核記錄項目。 如需詳細資訊,請參閱:
啟用信箱稽核記錄
啟用每個信箱的信箱稽核記錄。 使用 Set-Mailbox 指令程式來啟用或停用信箱稽核記錄。 如需詳細資料,請參閱 啟用或停用信箱稽核記錄功能信箱。
啟用信箱的信箱稽核記錄時,預設會記錄信箱的存取和某些系統管理員與代理人動作。 若要記錄信箱擁有者執行的動作,您必須指定要稽核的擁有者動作。
信箱稽核記錄所記錄的信箱動作
下表列出信箱稽核記錄所記錄的動作,包括可記錄動作的登入類型。
| 動作 | 描述 | 系統管理員 | 委託 | 擁有者 |
|---|---|---|---|---|
| Copy | 將項目複製到其他資料夾。 | 是 | 否 | 否 |
| 建立 | 專案會在信箱的 [行事歷]、[聯繫人]、[附注] 或 [工作] 資料夾中建立;例如,會建立新的會議邀請。 請注意,不會稽核訊息或資料夾的建立。 | 是的* | 是* | 是 |
| FolderBind | 存取信箱資料夾。 | 是的* | 是** | 否 |
| HardDelete | 永久刪除 [可復原的項目] 資料夾中的項目。 | 是的* | 是* | 是 |
| MessageBind | 在讀取窗格存取或開啟項目。 | 是 | 否 | 否 |
| Move | 將項目移至其他資料夾。 | 是* | 是 | 是 |
| MoveToDeletedItems | 將項目移至 [刪除的郵件] 資料夾。 | 是* | 是 | 是 |
| SendAs | 使用「以下列傳送」權限傳送郵件。 | 是的* | 是的* | 不適用 |
| SendOnBehalf | 使用「代理傳送者」權限傳送郵件。 | 是* | 是 | 不適用 |
| SoftDelete | 將項目從 [刪除的郵件] 資料夾刪除。 | 是的* | 是* | 是 |
| 更新 | 更新項目的屬性。 | 是的* | 是* | 是 |
* 在啟用信箱的稽核時依預設稽核。
** 合併代理人執行的資料夾繫結動作項目。 針對 24 小時時間範圍內的個別資料夾存取產生一個記錄項目。
如果您不再需要稽核某些信箱動作類型,您應修改信箱的稽核記錄組態以停用這些動作。 在達到稽核記錄項目的保留天數之前,不會清除現有的記錄項目。
搜尋信箱稽核記錄項目
您可以使用下列方法來搜尋稽核記錄項目:
同步搜尋單一信箱:您可以使用 Search-MailboxAuditLog Cmdlet 同步搜尋單一信箱的信箱稽核記錄專案。 指令程式會在 Exchange 管理命令介面視窗顯示搜尋結果。 如需詳細資料,請參閱 搜尋信箱的信箱稽核記錄。
以異步方式搜尋一或多個信箱:您可以建立信箱稽核記錄搜尋,以異步方式搜尋一或多個信箱的信箱稽核記錄,然後將搜尋結果傳送至指定的電子郵件位址。 搜尋結果會以 XML 附件的形式傳送。 若要建立搜尋,請使用 New-MailboxAuditLogSearch 指令程式。 如需相關資訊,請參閱 建立信箱稽核記錄搜尋。
使用 Exchange 系統管理中心的稽核報告 (EAC) :您可以使用 EAC 中的 [ 稽 核] 索引卷標來執行非擁有者信箱存取報告,或從信箱稽核記錄導出專案。 如需詳細資訊,請參閱:
信箱稽核記錄項目
下表說明在信箱稽核記錄項目中記錄的欄位。
| 欄位 | 填入 |
|---|---|
| 作業 | 下列其中一個動作:
|
| OperationResult | 下列其中一個結果:
|
| LogonType | 執行作業的使用者登入類型。 登入類型包括:
|
| DestFolderId | 移動作業的目的資料夾 GUID。 |
| DestFolderPathName | 移動作業的目的資料夾路徑。 |
| FolderId | 資料夾 GUID。 |
| FolderPathName | 資料夾路徑。 |
| ClientInfoString | 識別哪個用戶端或 Exchange 元件執行作業的詳細數據。 |
| ClientIPAddress | 用戶端電腦 IP 位址。 |
| ClientMachineName | 用戶端電腦名稱。 |
| ClientProcessName | 應用程式處理程序的名稱。 |
| ClientVersion | 用戶端應用程式版本。 |
| InternalLogonType | 執行作業的使用者登入類型。 登入類型包括:
|
| MailboxOwnerUPN | 信箱擁有者使用者主要名稱 (UPN)。 |
| MailboxOwnerSid | 信箱擁有者安全性識別碼 (SID)。 |
| DestMailboxOwnerUPN | 針對跨信箱作業記錄的目的信箱擁有者 UPN。 |
| DestMailboxOwnerSid | 針對跨信箱作業記錄的目的信箱擁有者 SID。 |
| DestMailboxOwnerGuid | 目的信箱擁有者 GUID。 |
| CrossMailboxOperation | 關於記錄的作業是否為跨信箱作業的資訊 (例如,在信箱之間複製或移動郵件)。 |
| LogonUserDisplayName | 顯示登入的使用者名稱。 |
| DelegateUserDisplayName | 代理使用者顯示名稱。 |
| LogonUserSid | 登入的使用者 SID。 |
| SourceItems | 執行記錄動作 (例如移動或刪除) 的信箱項目 ItemID。 針對在數個項目上執行的作業,此欄位會傳回項目組合。 |
| SourceFolders | 來源資料夾 GUID。 |
| ItemId | 項目 ID。 |
| ItemSubject | 項目主旨。 |
| MailboxGuid | 信箱 GUID。 |
| MailboxResolvedOwnerName | 信箱使用者解析的名稱格式為 DOMAIN_SamAccountName_。 |
| LastAccessed | 作業的執行時間。 |
| Identity | 稽核記錄項目 ID。 |
其他相關資訊
信箱的系統管理員存取權:只有在下列案例中,系統管理員才會將信箱視為可存取:
- 使用 就地 eDiscovery 來搜尋信箱。
- 使用 New-MailboxExportRequest 指令程式來匯出信箱。
- Microsoft Exchange Server MAPI 用戶端和共同作業資料物件用來存取信箱。
略過信箱稽核記錄:透過授權的自動化程式存取信箱,例如第三方工具所使用的帳戶,或用於監視監視的帳戶,可能會建立大量的信箱稽核記錄專案,而且對您的組織可能不感興趣。 您可以設定這些帳戶略過信箱稽核記錄。 如需詳細資料,請參閱 使用者帳戶從信箱稽核記錄略過。
記錄信箱擁有者動作:對於探索搜尋信箱之類的信箱,如果信箱可能包含更敏感的資訊,請考慮為信箱擁有者動作啟用信箱稽核記錄,例如郵件刪除。