共用方式為


信箱稽核記錄

適用於:Exchange Server 2013

由於信箱會包含敏感、高度業務影響 (HBI) 資訊和個人識別資訊 (PII),因此追蹤哪些人登入組織中的信箱以及執行哪些動作是相當重要的。 追蹤信箱擁有者以外的使用者存取信箱則更為重要。 這些使用者稱為代理使用者

使用信箱稽核記錄,您就可以依信箱擁有者、代理人 (包括具有完整信箱存取權限的系統管理員) 和系統管理員記錄信箱存取。

啟用信箱的稽核記錄時,可指定針對哪種登入類型 (系統管理員、代理使用者或擁有者) 將記錄哪些使用者動作 (例如存取、移動或刪除郵件)。 稽核記錄項目還包含一些重要資訊,例如用戶端 IP 位址、主機名稱,以及用來存取信箱的程序或用戶端。 針對移動的項目,記錄中還包含目的資料夾的名稱。

信箱稽核記錄

每個啟用信箱稽核記錄功能的信箱都會產生信箱稽核記錄。 記錄項目會儲存在稽核信箱 [可復原的項目] 資料夾的 [稽核] 子資料夾中。 因此,無論是使用哪種用戶端存取方法來存取信箱,或系統管理員使用哪個伺服器或工作站來存取信箱稽核記錄,這都可確保所有的稽核記錄項目都能從單一位置取得。 如果您將信箱移至其他信箱伺服器,該信箱的信箱稽核記錄也會隨之移動,因為這些記錄皆位於信箱中。

依預設,信箱稽核記錄項目會先保留在信箱中 90 天再刪除。 您可以使用 AuditLogAgeLimit 參數搭配 Set-Mailbox Cmdlet 來修改此保留期間。 如果信箱處於就地保留或訴訟暫止狀態,則稽核記錄項目只會保存到信箱的稽核記錄保留期間期滿為止。 若要保留較長的稽核記錄專案,您必須變更 AuditLogAgeLimit 參數的值,以增加保留期間。 您也可以在保留期間期滿前匯出稽核記錄項目。 如需詳細資訊,請參閱:

啟用信箱稽核記錄

啟用每個信箱的信箱稽核記錄。 使用 Set-Mailbox 指令程式來啟用或停用信箱稽核記錄。 如需詳細資料,請參閱 啟用或停用信箱稽核記錄功能信箱

啟用信箱的信箱稽核記錄時,預設會記錄信箱的存取和某些系統管理員與代理人動作。 若要記錄信箱擁有者執行的動作,您必須指定要稽核的擁有者動作。

信箱稽核記錄所記錄的信箱動作

下表列出信箱稽核記錄所記錄的動作,包括可記錄動作的登入類型。

動作 描述 系統管理員 委託 擁有者
Copy 將項目複製到其他資料夾。
建立 專案會在信箱的 [行事歷]、[聯繫人]、[附注] 或 [工作] 資料夾中建立;例如,會建立新的會議邀請。 請注意,不會稽核訊息或資料夾的建立。 是的* *
FolderBind 存取信箱資料夾。 是的* **
HardDelete 永久刪除 [可復原的項目] 資料夾中的項目。 是的* *
MessageBind 在讀取窗格存取或開啟項目。
Move 將項目移至其他資料夾。 *
MoveToDeletedItems 將項目移至 [刪除的郵件] 資料夾。 *
SendAs 使用「以下列傳送」權限傳送郵件。 是的* 是的* 不適用
SendOnBehalf 使用「代理傳送者」權限傳送郵件。 * 不適用
SoftDelete 將項目從 [刪除的郵件] 資料夾刪除。 是的* *
更新 更新項目的屬性。 是的* *

* 在啟用信箱的稽核時依預設稽核。

** 合併代理人執行的資料夾繫結動作項目。 針對 24 小時時間範圍內的個別資料夾存取產生一個記錄項目。

如果您不再需要稽核某些信箱動作類型,您應修改信箱的稽核記錄組態以停用這些動作。 在達到稽核記錄項目的保留天數之前,不會清除現有的記錄項目。

搜尋信箱稽核記錄項目

您可以使用下列方法來搜尋稽核記錄項目:

  • 同步搜尋單一信箱:您可以使用 Search-MailboxAuditLog Cmdlet 同步搜尋單一信箱的信箱稽核記錄專案。 指令程式會在 Exchange 管理命令介面視窗顯示搜尋結果。 如需詳細資料,請參閱 搜尋信箱的信箱稽核記錄

  • 以異步方式搜尋一或多個信箱:您可以建立信箱稽核記錄搜尋,以異步方式搜尋一或多個信箱的信箱稽核記錄,然後將搜尋結果傳送至指定的電子郵件位址。 搜尋結果會以 XML 附件的形式傳送。 若要建立搜尋,請使用 New-MailboxAuditLogSearch 指令程式。 如需相關資訊,請參閱 建立信箱稽核記錄搜尋

  • 使用 Exchange 系統管理中心的稽核報告 (EAC) :您可以使用 EAC 中的 [ 核] 索引卷標來執行非擁有者信箱存取報告,或從信箱稽核記錄導出專案。 如需詳細資訊,請參閱:

信箱稽核記錄項目

下表說明在信箱稽核記錄項目中記錄的欄位。

欄位 填入
作業 下列其中一個動作:
  • Copy
  • 建立
  • FolderBind
  • HardDelete
  • MessageBind
  • Move
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • 更新
OperationResult 下列其中一個結果:
  • 失敗
  • PartiallySucceeded
  • 成功
LogonType 執行作業的使用者登入類型。 登入類型包括:
  • 擁有者
  • 委託
  • 系統管理員
DestFolderId 移動作業的目的資料夾 GUID。
DestFolderPathName 移動作業的目的資料夾路徑。
FolderId 資料夾 GUID。
FolderPathName 資料夾路徑。
ClientInfoString 識別哪個用戶端或 Exchange 元件執行作業的詳細數據。
ClientIPAddress 用戶端電腦 IP 位址。
ClientMachineName 用戶端電腦名稱。
ClientProcessName 應用程式處理程序的名稱。
ClientVersion 用戶端應用程式版本。
InternalLogonType 執行作業的使用者登入類型。 登入類型包括:
  • 擁有者
  • 委託
  • 系統管理員
MailboxOwnerUPN 信箱擁有者使用者主要名稱 (UPN)。
MailboxOwnerSid 信箱擁有者安全性識別碼 (SID)。
DestMailboxOwnerUPN 針對跨信箱作業記錄的目的信箱擁有者 UPN。
DestMailboxOwnerSid 針對跨信箱作業記錄的目的信箱擁有者 SID。
DestMailboxOwnerGuid 目的信箱擁有者 GUID。
CrossMailboxOperation 關於記錄的作業是否為跨信箱作業的資訊 (例如,在信箱之間複製或移動郵件)。
LogonUserDisplayName 顯示登入的使用者名稱。
DelegateUserDisplayName 代理使用者顯示名稱。
LogonUserSid 登入的使用者 SID。
SourceItems 執行記錄動作 (例如移動或刪除) 的信箱項目 ItemID。 針對在數個項目上執行的作業,此欄位會傳回項目組合。
SourceFolders 來源資料夾 GUID。
ItemId 項目 ID。
ItemSubject 項目主旨。
MailboxGuid 信箱 GUID。
MailboxResolvedOwnerName 信箱使用者解析的名稱格式為 DOMAIN_SamAccountName_。
LastAccessed 作業的執行時間。
Identity 稽核記錄項目 ID。

其他相關資訊

  • 信箱的系統管理員存取權:只有在下列案例中,系統管理員才會將信箱視為可存取:

  • 略過信箱稽核記錄:透過授權的自動化程式存取信箱,例如第三方工具所使用的帳戶,或用於監視監視的帳戶,可能會建立大量的信箱稽核記錄專案,而且對您的組織可能不感興趣。 您可以設定這些帳戶略過信箱稽核記錄。 如需詳細資料,請參閱 使用者帳戶從信箱稽核記錄略過

  • 記錄信箱擁有者動作:對於探索搜尋信箱之類的信箱,如果信箱可能包含更敏感的資訊,請考慮為信箱擁有者動作啟用信箱稽核記錄,例如郵件刪除。