当非用户访问Exchange服务器上的邮箱时,服务器将在邮箱审计日志中记录此活动(如果启用了“邮箱审计日志记录”功能)。此日志作为电子邮件保存在邮箱本身的隐藏文件夹中。在此日志中,您可以找到与非所有者执行的操作相关的信息,以及操作是否成功。默认情况下,这些详细信息在日志中保存90天。不过,可以使用Exchange Management Shell (EMS)手动更改此持续时间。
如何审计Exchange中的非所有者访问?
首先,需要检查要审计的邮箱是否启用或禁用了邮箱审计日志记录功能。在EMS中执行如下命令:
Get-Mailbox [user name] | FL
将显示邮箱的审计相关详细信息,包括AuditEnabled参数。如果该参数的值为假,表示该邮箱已禁用邮箱审计日志功能。在EMS中执行如下命令启用该特性:
Set-Mailbox [user name] -AuditEnabled $True
现在,按照给定的步骤运行一个非所有者邮箱访问报告:
- 开放Exchange Admin Center。然后去合规管理>审计>运行非用户邮箱访问报告.
- 在打开的窗口中,选择开始日期而且结束日期审计期间的。
- 选择要审计的邮箱,单击搜索.这将获取并显示的日志条目非所有者邮箱访问.
注意:如果要审计所有邮箱,请将输入框保留为空。
- 导出非用户邮箱访问报表.为此,您需要更改电子邮件附件设置。这是因为,邮箱访问报告通常以XML格式生成,默认情况下,它是阻塞的。
查看附件的屏蔽文件类型。使用实例
| Select-Object -ExpandProperty BlockedFileTypes | export-csv C:\ blockedexextensions .txt
你可以打开BlockedExtensions.txt存档,看看是否. xml在列表中。
如果. xml在列表中,表示文件格式被阻止。你可以通过以下步骤解锁它:
- 添加. xml在允许的文件类型列表中运行以下命令:
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add='.xml'}
- 删除. xml从阻止的文件类型列表中,运行以下命令:
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove='.xml'}
的非所有者邮箱访问报告将作为.xml附件通过电子邮件发送。您可以在Outlook或OWA中访问该报告。
使用EMS审核非所有者访问的挑战
生成非所有者邮箱登录报告手动通过EMS有一些局限性,例如:
- 运行复杂的命令来生成所需的非所有者邮箱登录报告每一次都是耗时和乏味的。
- 您需要深入了解生成报告所需的cmdlet和参数。
- 由于报告是基于文本的,在其中查找所需的细节将是非常耗时的。
- 您需要具有生成报告的适当权限。
为了克服这些限制,可以使用高级Exchange审计器软件,例如Exchange服务器的Stellar报告和审计员.
使用软件审计非所有者邮箱访问
与Stellar报告和审计Exchange服务器,生成非所有者邮箱登录报告更容易、更安全、更快。该软件有一个用户友好的图形用户界面,允许您生成详细的报告,只需点击几下。您还可以安排报告、设置警报,甚至在节省时间的同时做更多的事情。
来查看非用户邮箱访问报表使用该软件时,请遵循以下步骤:
- 在您的系统上下载并安装该软件。
- 使用默认用户名和密码登录,然后提供一个新密码。
- 添加服务器并执行扫描。这将帮助软件收集服务器数据以创建报表。
注意:该软件支持多服务器。如果要更改服务器,请单击选择服务器在右上角,从下拉列表中选择服务器。
- 去导航面板并点击审计师.
- 下邮箱登录报告中,选择非所有者邮箱登录.
为Exchange服务器提供Stellar报告和审计员的好处
- 生成非所有者邮箱登录报告为多个用户只需几次点击。
- 没有技术专家需要的软件功能易于导航界面。
- 生成142个不同的报告,例如基于服务器的登录报告,用户登录活动报告等。
- 审计任何设备(包括移动设备)上的Exchange邮箱。
- 支持HTML、CSV、PDF、XLSX等多种格式的报表导出。
- 报告有直观的图形和图表,可以提供快速的见解。
- 根据您的要求安排报告和扫描,并接收通知。
结论
Exchange的“邮箱审计日志记录”功能允许审计非所有者对用户邮箱和共享邮箱的操作。你可以生成非所有者邮箱访问报告通过使用本帖中提到的Exchange实用程序.但是,使用Exchange实用程序有一些限制,例如所需的角色和权限、精通EAC和EMS的技术等。为了避免麻烦和容易的审计,使用第三方软件,如Stellar Reporter & Auditor For Exchange Server。该软件具有用户友好的界面,允许您在几次点击中查看广泛的报告。它可以免费试用60天。
