日誌概觀
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2009-08-31
本主題說明日誌記錄是什麼、日誌記錄如何協助您遵循組織中的法律及法規要求,以及 Microsoft Exchange Server 2007 如何協助您保護日誌資訊的安全,避免有意或無意的洩漏。
為什麼要使用日誌?
首先,您必須了解日誌記錄及封存的不同。「日誌記錄」是記錄組織中所有通訊 (包含電子郵件通訊) 的能力,用於組織的電子郵件保留或封存策略。「封存」則是指藉由備份資料、將資料從原生環境中移除並儲存在其他位置,來減少儲存資料的壓力。有一種說法是,您可以使用 Exchange 日誌記錄作為電子郵件保留或封存策略的工具。因為新的法規要求,使得許多財務服務、保險及保健機構必須維護當員工進行日常商務工作時所發生的通訊記錄。
雖然特定的法規不一定要求使用日誌記錄,但是法規中的條款可能會讓日誌記錄成為遵守法規的其中一種方法。例如,某些財務部門的公司主管負責員工對客戶提出的請求權事項。為了確認請求權正確無誤,公司主管可能會架設一個系統,讓經理們可定期檢閱員工跟客戶之間的通訊。每一季經理們都會確認遵循規範,並核准員工的活動。當所有經理都向公司主管通報核准後,公司主管就會代表公司向法規單位報告遵循規範。在此例中,電子郵件可能是經理們必須檢閱的其中一種員工跟客戶的通訊;因此會將員工送給客戶的所有電子郵件放到日誌記錄中。其他客戶通訊機制可能還包含傳真及電話交談,這也必須於予以記錄。將能企業中所有類別的資料都放入日誌的能力,是 IT 架構中很重要的一塊。下列清單顯示一些更著名的美國法規,其指定需仰賴日誌記錄技術的需求:
- 2002 年沙賓法案 (SOX) 美國聯邦法,要求某些交易所會員、經紀人及外匯交易商保留記錄。
- 美國證管會規則條例 17a-4 (SEC Rule 17 A-4) 美國證券及交易法規,提供保留電子連繫及記錄的相關法規。
- 美國證券業協會 3010 及 3110 (NASD 3010 & 3110) NASD 要求會員機構建立並維護一個系統,以監督每位註冊代表的活動,包含公開的交易及連繫。並且,NASD 3110 要求成員機構為牽涉到註冊代表的所有連繫,執行一套保留計畫。這些法規主要是影響經紀自營商、註冊代表,以及在法規管制下進行證券交易或作為交易者之經紀人的個人。
- 美國金融服務現代化法案 美國聯邦法,保護金融機構所持有之消費者個人金融資訊的安全。
- 2001 年金融機構隱私權保護法案 此法律修訂了美國金融服務法案以提供對於非公開之個人資訊的增強保護。
- 2003 年金融機構隱私權保護法案 此法律修訂了美國金融服務法案以提供對於非公開之個人資訊的增強保護。
- 1996 年健康保險流通與責任法案 (HIPAA) 美國聯邦法,提供團體健康計畫中參加者及受益人的權利及保護。
- 2001 年提供適當工具打擊與防制恐怖主義以團結並強化美國法案 (愛國者法案) 美國聯邦法,擴大美國執法當局在美國境內及境外宣示打擊恐怖份子活動的權限。
除了這些美國法律和規定之外,下列法規也指定需仰賴日誌記錄技術的需求:
- 歐盟資料保護令 (EUDPD) 此行政命令提供所有會員國透過國家實施法律必須達到的基準需求,使全歐盟 (EU) 公民的資料隱私權的保護標準化。EUDPD 會影響其他國家或地區的隱私權保護,因為它對於在歐盟以外傳送個人資訊施加了限制。一般而言,EUDPD 只有在被視為對不同項目具備足夠標準的區域才接受這類傳輸,包括資料安全在內。
- 日本個人資訊保護法案 由日本政府發佈的法律,用於規範個人資訊的收集、使用和傳送。「個人資訊保護法案」適用於政府或收集、處理或使用 5,000 人以上之個人資訊的私人機構。
日誌代理程式
「日誌代理程式」是一項著重於相符性的代理程式,您可設定為記載由 Exchange 2007 組織中部門或個人所傳送或接收、往來組織外部收件者的電子郵件 (或兩者),以用於組織的電子郵件保留或封存策略。與 Exchange Server 的舊版本不同,Exchange 2007 提供下列兩個日誌記錄選項,以滿足您組織的需求:
- 標準日誌記錄 標準日誌記錄會在 Exchange 2007 中啟用日誌代理程式,以日誌記錄在收件者和寄件者之間傳送的所有郵件,他們是位於執行 Mailbox server role 的電腦上的特定信箱資料庫中。如果您想要以日誌記錄所有收件者和寄件者之間的所有郵件,您必須在組織內的每一個信箱資料庫上個別設定日誌記錄功能。標準日誌記錄無法使用下列高階日誌記錄功能:
- 每位收件者或通訊群組清單日誌記錄 在標準日誌記錄中,您只能在每一個信箱資料庫上啟用日誌記錄。擁有日誌記錄功能的信箱資料庫上的所有收件者和寄件者將會以日誌記錄下來。
- 日誌規則範圍 擁有日誌記錄功能的信箱資料庫上的收件者和寄件者之間的所有郵件會以日誌記錄下來。
- 日誌規則複寫 因為會對每一個信箱資料庫套用標準日誌記錄,所以無法在整個組織內複寫此組態。
- 高階日誌記錄 高階日誌記錄會在 Exchange 2007 中啟用日誌代理程式,以使用您設定來符合組織特定需求的規則。您可以為組織中的單一信箱收件者或整個群組建立日誌規則。若要使用高階日誌記錄,您必須有 Exchange 企業用戶端存取使用權 (CAL)。下列各節討論您可設定來滿足組織需求的各種屬性。
標準和高階日誌記錄皆使用 Hub Transport Server 上的日誌代理程式。當您在信箱儲存區上啟用標準日誌記錄時,此資訊會儲存在 Active Directory 目錄服務中並供日誌代理程式讀取。以高階日誌記錄設定的日誌規則會以類似方式儲存。
如需如何設定標準和高階日誌記錄的相關資訊,請參閱管理日誌規則。
日誌規則的範圍 - 僅限高階日誌記錄
日誌規則的範圍會定義日誌規則尋找郵件以放入日誌的範圍廣度。您可將日誌規則的範圍鎖定在內部、外部或全域收件者。下列清單說明這三種範圍:
- 內部 內部範圍的日誌項目會處理 Exchange 2007 組織內之收件者所傳送及接收的郵件。
- 外部 外部範圍的日誌項目會處理 Exchange 2007 組織外部之寄件者所傳送或收件者所接收的郵件。
- 全域 全域範圍的日誌項目會處理安裝了 Hub Transport server role 之電腦上通過的所有郵件。這些郵件包含可能已由內部及外部範圍中之日誌規則所處理過的郵件。
日誌收件者 - 僅限高階日誌記錄
除了執行上述三種日誌記錄範圍外,日誌代理程式還能讓您執行其他目標日誌規則,方法是指定屬於您要放入組織日誌之信箱、連絡人或通訊群組清單的簡易郵件傳輸通訊協定 (SMTP) 位址。在日誌規則中指定目標收件者,您就可鎖定特定的收件者以用於日誌記錄。這些收件者可能是受到本主題稍早描述之法規要求所管制,或是牽涉到需收集電子郵件或其他通訊以作為證據的法律訴訟。鎖定特定的收件者或收件者群組,您就可輕易地設定符合組織處理程序與法規及法律要求的日誌記錄環境。
當您使用通訊群組設定要記錄的收件者或收件者群組時,所有傳送給收件者或接收的郵件都會以加以記錄。如果在建立日誌規則時沒有指定收件者,所有符合日誌規則範圍之傳送給收件者或接收的郵件都會加以記錄。
擁有整合通訊功能的日誌收件者
許多實施日誌記錄的組織也可以利用整合通訊來合併其電子郵件、語音信箱及傳真基礎結構。不過,您可能不想要日誌記錄程序產生因整合通訊所產生之郵件的日誌報告。在這些情況下,您可以決定是否要以日誌記錄 Exchange 2007 Unified Messaging (UM) Server 所處理的語音信箱郵件和未接來電通知郵件,或略過這類郵件。如果您的組織不需要記載這些訊息,您可略過這些訊息,以減少儲存日誌報告所需的硬碟空間數。當您啟用或停用語音信箱郵件和未接來電通知郵件的日誌記錄時,所做的變更會套用到組織中的所有 Hub Transport Server。
附註: |
---|
即使您設定的日誌規則指定不要將 UM 語音信箱和未接來電通知郵件放入日誌中,具有 UM Server 所產生傳真的訊息還是加以記載。 |
如需如何啟用或停用語音信箱和未接來電通知郵件的相關資訊,請參閱管理日誌規則。
日誌記錄信箱
日誌記錄信箱是只用來收集日誌報告的信箱。根據組織的原則與法規及法律要求的不同,設定日誌記錄信箱的方式也不同。使用 Microsoft Exchange,您可建立一個日誌記錄信箱用來收集組織內設定之所有日誌規則的郵件,您也可以為每個日誌規則各建立一個日誌記錄信箱。此外,您還能設定多個日誌規則使用同一個日誌記錄信箱,同時讓其他規則傳送日誌報告到自己的日誌記錄信箱。日誌代理程式能讓您決定設定日誌環境的方式。
重要事項: |
---|
日誌記錄信箱包含非常敏感的資訊。您必須保護日誌記錄信箱的安全,因為日誌記錄信箱會收集組織的收件者所寄出或收到的郵件,且這些郵件可能會是法律訴訟的一部分,或受到法規要求所管制。多種法律都要求這些郵件在送到調查單位前,需未經過竄改。建議您的組織建立原則來管理可存取組織內日誌記錄信箱的人員,限制只有具有直接存取需求的個人才能存取日誌記錄信箱。與您的法律代表諮詢,確定您的日誌解決方案遵守所有您組織應當遵守的法律及法規。 |
如需如何設定日誌記錄信箱的相關資訊,請參閱管理日誌規則。
如需 Microsoft Exchange 如何協助您保護日誌記錄信箱的相關資訊,請參閱本主題稍後的<保護 Exchange Server 2007 組織內部傳送的日誌報告>一節。
日誌規則複寫 - 僅限高階日誌記錄
在 Hub Transport Server 上設定的日誌規則會套用到整個 Exchange 2007 組織。當您在 Hub Transport Server 上建立新的日誌規則,或是修改或刪除現有的日誌規則時,該變更會複寫到組織內的所有 Active Directory 伺服器。組織內所有 Hub Transport Server 會接著從 Active Directory 伺服器讀取新組態,並將新的或修改的日誌規則套用到通過 Hub Transport Server 的郵件上。透過將所有日誌規則複寫至整個組織,Exchange 2007 可讓您提供全組織都一致的日誌規則集。所有傳入或通過 Exchange 2007 組織的郵件都受同樣的日誌規則管理。
重要事項: |
---|
組織內日誌規則的複寫,需依賴 Active Directory 複寫。根據組織內站台的數目及連結速度,加上 Microsoft Exchange 控制外的其他因素,Active Directory 網域控制站之間的複寫時間也會不同。當您在組織中執行日誌規則時,請將複寫延遲納入考量。如需 Active Directory 複寫的相關資訊,請參閱 Active Directory 複寫技術 (英文)。 |
重要事項: |
---|
各個 Hub Transport Server 都保有用來查閱收件者和通訊群組清單資訊的收件者快取。收件者快取可降低各個 Hub Transport Server 所必須對 Active Directory 網域控制站發出的要求總數。收件者快取會每 4 個小時更新一次。您不可以修改收件者快取更新間隔。因此在更新收件者快取之前,可能不會將日誌規則收件者的變更 (例如新增或移除通訊群組清單成員) 套用到日誌規則。若要強制立即更新收件者快取,則必須停止及啟動 Microsoft Exchange 傳輸服務。每部想要強制更新收件者快取的 Hub Transport Server 都需要做這樣的處理。 |
附註: |
---|
每次 Hub Transport Server 擷取新的日誌規則組態時,就會在事件檢視器的安全性記錄中記錄一筆事件。 |
日誌報告
「日誌報告」是 Microsoft Exchange 在郵件符合日誌規則,且要提交到日誌記錄信箱時所產生的訊息。Exchange 2007 只支援信封日誌記錄。使用信封日誌記錄,符合日誌規則的原始郵件會原封不動的作為附件,附加到日誌報告中。日誌報告內文包含原始郵件內所含的寄件者電子郵件地址、主旨、郵件識別碼及收件者電子郵件地址。
日誌報告可以傳送到通訊群組清單中。不過,我們不建議將日誌報告傳送到通訊群組清單中,因為它有可能會成為安全性風險。將收件者加入通訊群組清單時,會將所有日誌報告的副本傳遞到該收件者。如果您真的將日誌報告傳送到通訊群組清單中,我們建議您經常監視這個清單,以免將日誌報告傳送到不應該收到報告的收件者。
重要事項: |
---|
將日誌報告傳送到通訊群組清單會有安全性風險。建議您不要將日誌報告傳送到通訊群組清單。 |
如需日誌報告及如何管理和保護日誌報告的相關資訊,請參閱下列主題:
與 Microsoft Exchange Server 2003 的交互操作性
Exchange 2007 支援混合 Exchange 2007 與 Exchange 2003 組織的日誌記錄。Exchange 2007 可以將存在於 Exchange 2003 信箱資料庫及日誌郵件中的 Exchange 2003 日誌記錄組態,讀取到 Exchange 2003 或 Exchange 2007 日誌記錄信箱。
Exchange 2003 無法讀取 Exchange 2007 使用的日誌記錄組態。然而,Exchange 2007 會將產生日誌的郵件及日誌報告加上 Exchange 2003 可以讀取及了解的內容戳記。如果 Exchange 2007 已為郵件產生日誌,而且日誌報告已傳送到相同日誌記錄信箱,則 Exchange 2003 不會再為郵件產生日誌。如果郵件是日誌報告,則 Exchange 2003 會將 Exchange 2007 日誌報告視為 Exchange 2003 日誌報告。
如需混合組織中之日誌記錄的相關資訊,請參閱了解 Exchange 2003 與 Exchange 2007 混合環境中的日誌記錄。
使用 Exchange Hosted Services
日誌記錄可由 Microsoft Exchange Hosted Services 加強,也可以作為其服務之一。Exchange Hosted Services 是一組四個不同的託管服務:
- 託管篩選,可協助組織自保,避免遭到電子郵件帶來的惡意程式碼破壞
- 託管封存,可協助組織滿足相容性的保留需求
- 託管加密,可協助組織加密資料以保留機密性
- 託管持續性,可協助組織在緊急情況期間及之後保留電子郵件的存取
這些服務會整合任何內部管理的內部部署 (on-premise) Exchange 伺服器,或透過服務提供者提供的託管 Exchange 電子郵件服務。如需 Exchange Hosted Services 的相關資訊,請參閱 Microsoft Exchange Hosted Services。
相關資訊
如需日誌規則的相關資訊,請參閱下列主題:
若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.