共用方式為


瞭解日誌記錄

 

適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間: 2016-11-28

日誌記錄可藉由錄製輸入和輸出電子郵件通訊,協助您的組織回應法律、法規和組織符合性需求。規劃郵件保留和符合性時,務必了解日誌記錄的內容、其如何適用於組織符合性原則,以及 Microsoft Exchange Server 2010 如何協助您保護日誌記錄的郵件。

目錄

為什麼日誌記錄很重要?

日誌代理程式

日誌規則

日誌規則複寫

日誌報告

與 Exchange 2003 及 Exchange 2007 的交互操作性

使用 Exchange Hosted Services

為什麼日誌記錄很重要?

首先,您必須了解日誌記錄及封存的不同:

  • 日誌是記錄組織中所有通訊 (包含電子郵件通訊) 的能力,用於組織的電子郵件保留或封存策略。為滿足愈來愈多的法規及符合性的需求,有許多組織必須維護員工每天工作所產生的通訊記錄。

  • 封存是指備份資料,將資料從原生環境中移除,並儲存在其他位置,以減少資料儲存的負擔。您可以使用 Exchange 日誌記錄作為電子郵件保留或封存策略的工具。

雖然特定的法規不一定要求使用日誌記錄,但是在某些法規下透過日誌記錄可達到符合法規的目的。例如,某些金融單位的公司主管可能需要負責其員工對客戶的索賠。為了確認請求權正確無誤,公司主管可能會架設一個系統,讓經理們可定期檢閱員工跟客戶之間的通訊。每一季經理們都會確認遵循規範,並核准員工的活動。當所有經理都向公司主管通報核准後,公司主管就會代表公司向法規單位報告遵循規範。在此範例中,電子郵件可能是經理們必須檢閱的其中一種員工跟客戶的通訊,因此可使用日誌記錄來收集員工寄給客戶的所有電子郵件。其他客戶通訊機制可能還包含傳真及電話交談,這也可以依法規管制。IT 架構中很重要的一項功能,是將企業中所有類別的資料都記錄在日誌中。

下列清單顯示一些較著名的美國及國際法規,其中的日誌記錄可構成您合規策略的一部分:

  • 2002 年沙賓法案 (SOX)

  • 美國證管會規則條例 17a-4 (SEC Rule 17 A-4)

  • 美國證券業協會 3010 及 3110 (NASD 3010 & 3110)

  • 美國金融服務現代化法案

  • 2001 年金融機構隱私權保護法案

  • 2003 年金融機構隱私權保護法案

  • 1996 年美國醫療保險轉移與責任法案 (HIPAA)

  • 2001 年提供攔截和阻絕恐怖主義所需適當手段以鞏固並強化美國法案 (愛國法案)

  • 歐盟資料保護指導方針 (EUDPD)

  • 日本個人資訊保護法案

回到頁首

日誌代理程式

在 Exchange 2010 組織中,所有電子郵件流量都是由 Hub Transport Server 傳送。所有郵件在其存留時間內至少都會通過一個 Hub Transport Server。日誌代理程式是著重於符合性的傳輸代理程式,負責處理 Hub Transport Server 上的郵件。它觸發於 OnSubmittedMessageOnRoutedMessage 傳輸事件上。

注意事項附註:
在 Exchange 2010 中,日誌代理程式是內建代理程式。內建代理程式不包含在 Get-TransportAgent 指令程式所傳回的代理程式清單中。如需詳細資訊,請參閱瞭解傳輸代理程式

Exchange 2010 提供下列日誌記錄選項:

  • 標準日誌記錄   標準日誌記錄設定於信箱資料庫。它會使日誌代理程式記錄進出特定信箱資料庫中信箱的所有郵件。若要記錄在所有收件者和寄件者之間收發的所有郵件,您必須設定組織中所有信箱伺服器上所有信箱資料庫的日誌記錄。

  • 高階日誌記錄   高階日誌記錄讓日誌代理程式利用日誌規則執行更細微的日誌記錄。有別於記錄信箱資料庫上所有的信箱,您可以藉由記錄個別收件者或通訊群組成員,設定符合組織需求的日誌規則。您必須具備 Exchange 企業用戶端存取使用權 (CAL),才能使用高階日誌記錄。

當您在信箱資料庫上啟用標準日誌記錄時,此資訊會儲存在 Active Directory 中,供日誌代理程式讀取。同樣地,使用高階日誌記錄設定的日誌規則也會儲存在 Active Directory 中,供日誌代理程式套用。如需如何設定標準及高階日誌記錄的詳細資訊,請參閱日誌

回到頁首

日誌規則

以下是您應該了解的日誌規則重點:

  • 日誌規則範圍   定義日誌代理程式記錄哪些郵件。

  • 日誌收件者   指定您要記錄的收件者 SMTP 位址。

  • 日誌記錄信箱   指定用於收集日誌報告的一個或多個信箱。

日誌規則範圍

您可將日誌規則目標鎖定在內部、外部或全域收件者。下列清單說明了這些範圍:

  • 內部   此範圍的日誌規則設定為 Exchange 組織內收件者所傳送及接收的內部目標郵件。

  • 外部   此範圍的日誌規則設定為傳送給 Exchange 組織外之收件者或接收來自組織外之寄件者的外部目標郵件。

  • 全域   此範圍的日誌規則設定為通過 Hub Transport Server 的所有全域目標郵件。這些郵件包含可能已由內部及外部範圍中之日誌規則所處理過的郵件。

日誌收件者

您可以藉由指定要記錄之收件者的 SMTP 位址,來執行目標日誌規則。收件者可以是 Exchange 信箱、通訊群組或連絡人。這些收件者可能受法規要求所管制,或是牽涉到需收集電子郵件或其他通訊以作為證據的法律訴訟。鎖定特定的收件者或收件者群組,您就可輕易地設定符合組織處理程序與法規及法律要求的日誌記錄環境,並將保留大量資料所需的儲存及其他成本降至最少。

會記錄在日誌規則中指定的日誌收件者所接收及傳送的所有郵件。如果您將通訊群組指定為日誌收件者,則會記錄該通訊群組成員所接收及傳送的所有郵件。如果沒有指定日誌收件者,則會記錄符合日誌規則範圍之收件者所接收或傳送的所有郵件。

擁有整合通訊功能的日誌收件者

許多實施日誌記錄的組織也可以利用整合通訊 (UM) 來合併其電子郵件、語音信箱及傳真基礎結構。不過,您可能不想要日誌記錄程序針對整合通訊所產生的郵件,產生日誌報告。在這些情況下,您可以決定是否要記錄 Exchange 2010 Unified Messaging Server 所處理的語音信箱郵件和未接來電通知郵件,或略過這類郵件。如果您的組織不需要記錄這類郵件,您可略過這類郵件,以減少儲存日誌報告所需的硬碟空間量。當您啟用或停用語音信箱郵件和未接來電通知郵件的日誌記錄時,所做的變更會套用到組織中的所有 Hub Transport Server。

注意事項附註:
即使您設定的日誌規則指定不要在日誌中記錄整合通訊語音信箱和未接來電通知訊息,還是會記錄含有 Unified Messaging Server 所產生傳真的郵件。

如需如何啟用或停用語音信箱和未接來電通知訊息的詳細資訊,請參閱管理日誌

回到頁首

日誌記錄信箱

日誌記錄信箱用於收集日誌報告。根據組織的原則、法規要求及法律要求的不同,設定日誌記錄信箱的方式也不相同。您可指定一個日誌記錄信箱收集組織內設定之所有日誌規則適用的郵件,也可以針對不同日誌規則或日誌規則集,使用不同的日誌記錄信箱。

重要事項重要事項:
日誌記錄信箱包含非常敏感的資訊。您必須保護日誌記錄信箱的安全,因為日誌記錄信箱會收集組織的收件者所寄出或收到的郵件,且這些郵件可能會是法律訴訟的一部分,或受到法規要求所管制。多種法律都要求這些郵件在送到調查單位前,需未經過竄改。建議您建立原則來管理可存取組織內日誌記錄信箱的人員,限制只有具有直接存取需求的個人才能存取日誌記錄信箱。與您的法律代表諮詢,確定您的日誌解決方案遵守所有您組織應當遵守的法律及法規。

如需如何設定日誌記錄信箱的詳細資訊,請參閱管理日誌

如需如何保護日誌記錄信箱的詳細資訊,請參閱保護日誌報告

回到頁首

日誌規則複寫

日誌規則會儲存在 Active Directory 中,並且 Exchange 2010 組織中的所有 Hub Transport Server 都會套用。當您在 Hub Transport Server 上建立、修改或移除日誌規則時,所做的變更會複寫到組織中的所有 Active Directory 伺服器。組織中的所有 Hub Transport Server 接著會從 Active Directory 伺服器擷取更新的日誌規則組態,並套用新的或修改過的日誌規則。

透過將所有日誌規則複寫至整個組織,Exchange 2010 可讓您提供全組織都一致的日誌規則集。所有傳入或通過 Exchange 2010 組織的郵件都受同樣的日誌規則管理。

重要事項重要事項:
組織內日誌規則的複寫,需依賴 Active Directory 複寫。根據組織內站台的數目及連結速度,加上 Microsoft Exchange 控制外的其他因素,Active Directory 網域控制站之間的複寫時間也會不同。當您在組織中執行日誌規則時,請將複寫延遲納入考量。如需 Active Directory 複寫的詳細資訊,請參閱 Active Directory 複寫技術
重要事項重要事項:
每一個 Hub Transport Server 都會快取通訊群組成員資格,以避免重複往返於 Active Directory。展開的群組快取可降低各個 Hub Transport Server 必須對 Active Directory 網域控制站發出的要求數量。根據預設,展開的群組快取中的項目會在四小時後到期。因此,如果將通訊群組指定為日誌收件者,可能不會將通訊群組成員資格的變更套用到日誌規則,直到展開的群組快取更新為止。若要強制立即更新收件者快取,則必須停止及啟動 Microsoft Exchange 傳輸服務。每部想要強制更新收件者快取的 Hub Transport Server 都需要做這樣的處理。

回到頁首

日誌報告

日誌報告是日誌代理程式在郵件符合日誌規則,且要提交到日誌記錄信箱時所產生的訊息。符合日誌規則的原始郵件會原封不動的作為附件,附加到日誌報告中。日誌報告內文包含原始郵件資訊,包括寄件者電子郵件地址、郵件主旨、郵件識別碼以及收件者電子郵件地址。這也稱為信封日誌,是 Exchange 2010 及 Exchange 2007 所支援的唯一日誌記錄方法。

如需日誌報告及如何管理和保護日誌報告的相關資訊,請參閱下列主題:

日誌報告和受 IRM 保護的郵件

在 Exchange 2010 環境執行日誌記錄時,您必須考量日誌報告和受 IRM 保護的郵件。受 IRM 保護的郵件會影響不具內建 RMS 支援之協力廠商封存系統的搜尋及探索能力。在 Exchange 2010 中,您可以設定「日誌報告解密」,以便將郵件純文字副本儲存在日誌報告中。如需詳細資訊,請參閱瞭解日誌報告解密

回到頁首

與 Exchange 2003 及 Exchange 2007 的交互操作性

Exchange 2010 支援混合 Exchange 2010 與 Exchange 2003 組織的日誌記錄。Exchange 2010 信箱可以讀取 Exchange 2010 信箱資料庫上的 Exchange 2003 日誌記錄組態,然後再記錄到 Exchange 2003 或 Exchange 2010 日誌記錄信箱。

Exchange 2003 無法讀取 Exchange 2010 使用的日誌記錄組態。不過,Exchange 2010 會使用 Exchange 2003 可讀取之內容,為日誌記錄郵件及日誌報告加上戳記。如果 Exchange 2010 已為郵件產生日誌,而且日誌報告已傳送到相同日誌記錄信箱,則 Exchange 2003 不會再為郵件產生日誌。如果郵件是日誌報告,則 Exchange 2003 會將 Exchange 2010 日誌報告視為 Exchange 2003 日誌報告。

如需共存環境中日誌記錄的詳細資訊,請參閱了解 Exchange 2003 與 Exchange 2010 混合環境中的日誌記錄

Exchange 2010 與 Exchange 2007 之間的日誌記錄功能有些許差異。不過,Exchange 2010 日誌規則使用的格式與 Exchange 2007 日誌規則不同。Exchange 2010 安裝程式會在 Active Directory 中建立單獨的容器來儲存 Exchange 2010 日誌規則。當您在 Exchange 2007 組織中安裝第一個 Exchange 2010 伺服器時,安裝程式會建立一份 Exchange 2007 日誌規則,並將其儲存在新容器中。完成安裝時,這兩個版本所使用的日誌規則是一致的。完成安裝後,如果您變更 Exchange 2007 伺服器上的日誌規則組態,就必須在 Exchange 2010 伺服器上做相同的變更,以確保一致性。您也可以從 Exchange 2007 匯出日誌規則,再匯入 Exchange 2010 伺服器。如需詳細資訊,請參閱匯出及匯入 Exchange 2007 日誌規則

回到頁首

使用 Exchange Hosted Services

日誌記錄可由 Microsoft Exchange Hosted Services 加強,也可以作為其服務之一。

Exchange Hosted Services 是一組四個不同的託管服務:

  • Hosted Filtering 可協助組織保護自己,不受來自電子郵件的惡意程式碼攻擊

  • Hosted Archive 可協助組織達到保留需求,以遵循相關規定

  • Hosted Encryption 可協助組織加密資料以維護機密性

  • Hosted Continuity 可協助組織在緊急情況發生時及之後仍能持續存取電子郵件

這些服務會整合任何內部管理的內部部署 Exchange 伺服器,或透過服務提供者提供的託管 Exchange 電子郵件服務。如需 Exchange Hosted Services 的詳細資訊,請參閱 Microsoft Exchange Hosted Services

回到頁首

 © 2010 Microsoft Corporation. 著作權所有,並保留一切權利。