由于邮箱包含敏感和机密信息,因此对组织来说,跟踪登录到存储在服务器上的邮箱的用户以及他们所采取的操作(例如删除邮箱项、更改邮箱权限等)变得至关重要。跟踪委托用户(即邮箱所有者以外的用户)对邮箱的访问变得更加重要。
Microsoft在Exchange Server中提供邮箱审计日志记录功能,以帮助管理员跟踪登录到邮箱的情况以及用户登录时所采取的操作。此功能可用于Exchange Server 2010、2013和2016。缺省情况下,该特性是关闭的,需要管理员手动开启。
如何查看邮箱审计日志记录是否已启用或禁用?
管理员可以通过运行Get-Mailbox命令轻松检查是否为特定邮箱启用了邮箱审计日志记录。
Get-Mailbox史蒂夫。Jackson | fl *audit*
这个命令是为一个名为Steve Jackson的用户运行的,它给了我们下面的输出:
AuditEnabled: False
AuditLogAgeLimit: 90.00:00:00
AuditAdmin: {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create}
AuditDelegate: {Update, SoftDelete, HardDelete, SendAs, Create}
AuditOwner: {}
由于AuditEnabled值为False,这意味着禁用用户steve Jackson的审计日志记录。AuditLogAgeLimit属性对应的时间值确认邮箱的日志年龄限制为90天。
如何在Microsoft Exchange中启用邮箱审计日志?
可以通过在Exchange管理Shell中使用PowerShell cmdlet来启用或禁用邮箱的Exchange邮箱审计日志记录。然而,在开始之前,你需要知道一些事情:
- 你需要消息传递和遵从性许可更改邮箱审计日志记录设置。
- Exchange管理中心(EAC)不能用于启用邮箱审计日志记录。您需要使用Exchange Management Shell。
- 缺省情况下,审计日志最长保存90天。但是,可以通过使用Set-Mailbox命令来增加或减少持续时间。
在PowerShell中运行以下命令,为Steve Jackson的邮箱启用邮箱审计日志记录(此处以示例为例):
| 设置邮箱-身份“Steve Jackson”-AuditEnabled $true |
如果要禁用邮箱审计日志记录,请将AuditEnabled的值设置为$false:
| 设置邮箱-身份“Steve Jackson”-AuditEnabled $false |
如果要为所有邮箱启用Exchange邮箱审计日志记录,请运行以下命令:
| Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Select PrimarySmtpAddress | ForEach {Set-Mailbox -Identity $_。PrimarySmtpAddress -AuditEnabled $true} |
验证审计日志状态
在Exchange中为所需邮箱启用审计日志记录后,可以通过运行以下命令来验证设置:
Get-Mailbox邮箱。业主| fl *审计*
如果AuditEnabled的值显示为True,则表示已成功地为特定邮箱(mailbox . owner)启用了审计日志记录。
修改邮箱审计日志保留时间
邮箱审计日志默认保存90天。但是,您可以通过使用Set-Mailbox cmdlet来更改此限制。
| Set-Mailbox史蒂夫。Jackson -AuditLogAgeLimit |
这将使审计日志的保留期从90天(默认)增加到150天。您可以根据需要更改AuditLogAgeLimit值,以更改保留期持续时间。
如何查找Exchange邮箱日志条目?
启用邮箱审计日志记录后,可以使用以下命令搜索审计日志:
- PowerShell命令:可以在Exchange Management Shell中通过Search-MailboxAuditLog命令查询邮箱审计日志。
- 交换控制面板Exchange还提供了一个基于gui的选项,用于搜索邮箱审计日志。在Exchange 2010中,您可以使用Exchange控制面板,在Exchange 2013和2016中,您可以使用Exchange管理中心(EAC)搜索邮箱审计日志。
Exchange控制面板邮箱审计日志查询(Exchange 2010)
一个先进的选项-恒星的报告和审计的交换服务器
手动跟踪Exchange Server邮箱既耗时又困难。如果服务器上有数百个邮箱,那么为每个邮箱手动创建和运行定制的cmdlet并不容易。您可以使用脚本和任务调度器来自动化该过程,但即使这样,单个脚本也不能作为通用的解决方案使用。
为了使邮箱审计更简单、更容易和更准确,您可以使用第三方审计工具,例如用于Exchange Server的Stellar Reporter & Auditor。
关于交易所审计和报告软件由恒星
Stellar Reporter & Auditor for Exchange Server是一款针对管理员的全面MS Exchange监控软件,可简化邮箱监控和审计。它允许管理员在Exchange服务器上执行广泛的自定义扫描,并生成多达140个报告,以进行准确和深入的监控。
- 以下是用于Exchange Server软件的Stellar Reporter & Auditor的一些关键亮点:
- 提供直观的图形用户界面,便于监视和审计Exchange邮箱
- 通过自定义警报、邮箱统计、动态图形等简化Exchange监控。
- 允许Exchange管理员安排Exchange服务器扫描和报告
- 提供远程Exchange服务器监控与基于web和移动友好的程序访问
- 兼容Exchange Server 2016、2013、2010和2007
邮箱登录报告在恒星报告和审计
Stellar Reporter & Auditor for Exchange Server提供三种邮箱登录报告:
- 用户登录活动:用户登录活动报告共享服务器上特定邮箱的所有成功用户登录的详细信息。
- 非所有者邮箱登录:此报告提供所有非所有者登录的详细信息。其中包括访问服务器上其他用户邮箱的委托和管理员。
- 服务器登录报表:此报告在一个地方收集和编译邮箱所有者和非所有者的登录记录。它包含带有时间戳的深入登录活动详细信息。
如何使用软件生成邮箱登录报表?
要使用Exchange Server的Stellar Reporter和Auditor生成邮箱登录报告,请遵循以下步骤:
- 启动软件。单击右上角的Select Server,并从下拉菜单中选择所需的服务器。
用户界面的恒星报告和审计的交换服务器
- 在导航窗格中单击“审计员”。
- 在“邮箱登录报表”部分下,选择要生成的报表。
- 报告将实时生成,并显示基于上次服务器扫描的结果。这种报表生成简单、容易,并且节省了大量时间。您还可以根据自己的需求定制报告。
结论
您可以在Exchange Server中启用邮箱审计记录,以跟踪对邮箱的访问。但是,这种手动方法非常耗时,并且由于涉及执行多个命令,会增加人为错误的风险。在员工数量较多的组织中,这也使得邮箱监控变得困难。
为了使邮箱审计和报告更加高效和无缝,您可以使用全面的第三方解决方案,例如恒星的报告和审计的交换服务器。该工具提供了广泛的报告生成和监视选项。目前可以免费试用60天(免费试用!)
