(0) exportieren Drucken
Alle erweitern

Postfachüberwachungsprotokollierung

 

Gilt für: Exchange Server 2013

Letztes Änderungsdatum des Themas: 2013-12-12

Da Postfächer vertrauliche und für das Unternehmen zentrale Informationen sowie Informationen zur persönlichen Identifizierung enthalten können, ist es wichtig zu verfolgen, wer sich an den Postfächern in Ihrer Organisation anmeldet und welche Aktionen ausgeführt werden. Eine besondere Rolle spielt hierbei die Verfolgung des Postfachzugriffs durch Benutzer, die nicht mit dem Postfachbesitzer identisch sind. Diese Benutzer werden als Stellvertretungsbenutzer bezeichnet.

Mithilfe der Postfachüberwachungsprotokollierung können Sie den durch Postfachbesitzer, Stellvertretungen (einschließlich Administratoren mit vollständigen Postfachzugriffsberechtigungen) und Administratoren erfolgten Postfachzugriff protokollieren.

Wenn Sie die Überwachungsprotokollierung für ein Postfach aktivieren, können Sie angeben, welche Benutzeraktionen (beispielsweise Zugriff auf eine Nachricht, Verschieben oder Löschen einer Nachricht) für einen Anmeldetyp (Administrator, Stellvertretungsbenutzer oder Besitzer) protokolliert werden. Die Einträge im Überwachungsprotokoll umfassen auch Informationen wie die Client-IP-Adresse, den Hostnamen und den Prozess oder Client, der für den Zugriff auf das Postfach verwendet wurde. Bei verschobenen Elementen umfasst der Eintrag den Namen des Zielordners.

Postfachüberwachungsprotokolle werden für jedes Postfach generiert, für das die Postfachüberwachungsprotokollierung aktiviert ist. Protokolleinträge werden im Unterordner "Überwachungen" des Ordners "Wiederherstellbare Elemente" des überwachten Postfachs gespeichert. Hierdurch ist sichergestellt, dass alle Überwachungsprotokolleinträge zentral verfügbar sind, und zwar unabhängig davon, welche Clientzugriffsmethode für den Zugriff auf das Postfach verwendet wurde oder welchen Server oder welche Arbeitsstation ein Administrator für den Zugriff auf das Postfachüberwachungsprotokoll verwendet hat. Wenn Sie ein Postfach zu einem anderen Postfachserver verschieben, werden die Postfachüberwachungsprotokolle ebenfalls verschoben, da sie sich im Postfach befinden.

Standardmäßig werden Postfach-Überwachungsprotokolleinträge 90 Tage lang aufbewahrt und dann gelöscht. Sie können diese Aufbewahrungsfrist ändern, indem Sie den Parameter AuditLogAgeLimit mit dem CmdletSet-Mailbox verwenden. Wenn für ein Postfach das Compliance-Archiv oder die Beweissicherung aktiviert wurde, werden Überwachungsprotokolleinträge nur so lange beibehalten, bis die Beibehaltungsdauer von Überwachungsprotokollen für das Postfach erreicht wurde. Wenn Sie Überwachungsprotokolleinträge länger beibehalten möchten, müssen Sie die Aufbewahrungsdauer verlängern, indem Sie den Wert des Parameters AuditLogAgeLimit ändern. Sie können auch die Überwachungsprotokolleinträge exportieren, bevor die Aufbewahrungsdauer erreicht ist. Weitere Informationen finden Sie unter:

Die Postfachüberwachungsprotokollierung wird auf Postfachebene aktiviert. Verwenden Sie das Cmdlet Set-Mailbox zum Aktivieren oder Deaktivieren der Postfachüberwachungsprotokollierung. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachungsprotokollierung für ein Postfach.

Wenn die Postfachüberwachungsprotokollierung für ein Postfach aktiviert wird, werden der Zugriff auf das Postfach sowie bestimmte von Administratoren und Stellvertretungen ausgeführte Aktionen standardmäßig protokolliert. Damit vom Postfachbesitzer ausgeführte Aktionen protokolliert werden, müssen Sie angeben, welche Besitzeraktionen überwacht werden sollen.

In der folgenden Tabelle sind die Aktionen, die von der Postfachüberwachungsprotokollierung erfasst werden, sowie die Anmeldetypen aufgeführt, für die die Aktion protokolliert werden kann.

 

Aktion Beschreibung Administrator Stellvertretung Besitzer

Copy

Ein Element wird in einen anderen Ordner kopiert.

Ja

Ja

Nein

Create

In dem Postfach wird ein Element erstellt. (Beispiel: Eine Nachricht wird gesendet oder empfangen.) Die Ordnererstellung wird nicht überwacht.

Ja*

Ja*

Ja

FolderBind

Auf einen Postfachordner wird zugegriffen.

Ja*

Ja**

Nein

HardDelete

Ein Element wird dauerhaft aus dem Ordner "Wiederherstellbare Elemente" gelöscht.

Ja*

Ja*

Ja

MessageBind

Auf ein Element wird im Lesebereich zugegriffen oder es wird im Lesebereich geöffnet.

Ja

Nein

Nein

Move

Ein Element wird in einen anderen Ordner verschoben.

Ja*

Ja

Ja

MoveToDeletedItems

Ein Element wird in den Ordner "Gelöschte Elemente" verschoben.

Ja*

Ja

Ja

SendAs

Eine Nachricht wird mithilfe der Berechtigung "Senden als" gesendet.

Ja*

Ja*

Nicht zutreffend

SendOnBehalf

Eine Nachricht wird mithilfe der Berechtigung "Senden im Auftrag von" gesendet.

Ja*

Ja

Nicht zutreffend

SoftDelete

Ein Element wird aus dem Ordner "Gelöschte Elemente" gelöscht.

Ja*

Ja*

Ja

Update

Die Eigenschaften eines Elements werden aktualisiert.

Ja*

Ja*

Ja

* Wird standardmäßig überwacht, wenn die Überwachung für ein Postfach aktiviert wurde.

** Einträge für Ordnerbindungsaktionen, die von Stellvertretungen ausgeführt werden, werden zusammengefasst. Für einzelne Ordnerzugriffe innerhalb eines Zeitraums von drei Stunden wird ein eigener Protokolleintrag generiert.

Wenn die Überwachung bestimmte Postfachaktionen nicht mehr notwendig ist, sollten Sie die Überwachungsprotokollkonfiguration für das Postfach ändern, um die Überwachung dieser Aktionen zu deaktivieren. Vorhandene Protokolleinträge werden erst dann gelöscht, wenn für Überwachungsprotokolleinträge die Altersgrenze erreicht ist.

Mithilfe der folgenden Methoden können Sie Postfachüberwachungsprotokolleinträge durchsuchen:

  • Synchrone Suche in einem einzelnen Postfach   Mit dem Cmdlet Search-MailboxAuditLog können Sie die Postfachüberwachungsprotokolleinträge für ein einzelnes Postfach synchron durchsuchen. Die Suchergebnisse werden im Fenster der Exchange-Verwaltungsshell angezeigt. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls für ein Postfach.

  • Ansynchrone Suche in einem oder mehreren Postfächern   Sie können eine Postfachüberwachungsprotokoll-Suche erstellen, um die Postfachüberwachungsprotokolle für ein oder mehrere Postfächer asynchron zu durchsuchen. Anschließend können die Suchergebnisse an eine bestimmte E-Mail-Adresse gesendet werden. Die Suchergebnisse werden als XML-Anlage gesendet. Verwenden Sie zum Erstellen der Suche das Cmdlet New-MailboxAuditLogSearch. Weitere Informationen finden Sie unter Erstellen einer Postfachüberwachungsprotokoll-Suche.

  • Verwenden von Überwachungsberichten in der Exchange-Verwaltungskonsole   Mithilfe der Registerkarte Überwachung in der Exchange-Verwaltungskonsole können Sie einen Bericht zum Postfachzugriff durch Nicht-Besitzer ausführen oder Einträge aus dem Postfachüberwachungsprotokoll exportieren. Weitere Informationen finden Sie unter:

In der folgenden Tabelle werden die Felder beschrieben, die in einem Überwachungsprotokolleintrag für ein Postfach protokolliert werden.

 

Feld Enthaltene Angaben

Operation

Eine der folgenden Aktionen:

  • Kopieren

  • Create

  • FolderBind

  • HardDelete

  • MessageBind

  • Verschieben

  • MoveToDeletedItems

  • SendAs

  • SendOnBehalf

  • SoftDelete

  • Aktualisieren

OperationResult

Eines der folgenden Ergebnisse:

  • Failed

  • PartiallySucceeded

  • Succeeded

LogonType

Anmeldetyp des Benutzers, der den Vorgang ausgeführt hat. Folgende Anmeldetypen sind verfügbar:

  • Besitzer

  • Stellvertretung

  • Administrator

DestFolderId

Zielordner-GUID für Verschiebungsvorgänge.

DestFolderPathName

Zielordnerpfad für Verschiebungsvorgänge.

FolderId

Ordner-GUID.

FolderPathName

Ordnerpfad.

ClientInfoString

Details, die angeben, welcher Client oder welche Exchange-Komponente den Vorgang ausgeführt hat.

ClientIPAddress

IP-Adresse des Clientcomputers.

ClientMachineName

Name des Clientcomputers.

ClientProcessName

Name des Clientanwendungsprozesses.

ClientVersion

Version der Clientanwendung.

InternalLogonType

Anmeldetyp des Benutzers, der den Vorgang ausgeführt hat. Folgende Anmeldetypen sind verfügbar:

  • Besitzer

  • Stellvertretung

  • Administrator

MailboxOwnerUPN

Benutzerprinzipalname des Postfachbesitzers.

MailboxOwnerSid

Sicherheits-ID (SID) des Postfachbesitzers.

DestMailboxOwnerUPN

Benutzerprinzipalname des Besitzers des Zielpostfachs; wird bei postfachübergreifenden Vorgängen protokolliert.

DestMailboxOwnerSid

SID des Besitzers des Zielpostfachs; wird bei postfachübergreifenden Vorgängen protokolliert.

DestMailboxOwnerGuid

GUID des Besitzers des Zielpostfachs.

CrossMailboxOperation

Informationen, die angeben, ob es sich bei dem protokollierten Vorgang um einen postfachübergreifenden Vorgang handelt (beispielsweise Kopieren oder Verschieben von Nachrichten zwischen Postfächern).

LogonUserDisplayName

Anzeigename des angemeldeten Benutzers.

DelegateUserDisplayName

Anzeigename des Stellvertretungsbenutzers.

LogonUserSid

SID des angemeldeten Benutzers.

SourceItems

Element-ID von Postfachelementen, für die die protokollierte Aktion ausgeführt wird (beispielsweise Verschieben oder Löschen). bei Vorgängen, die für mehrere Elemente ausgeführt werden, wird dieses Feld als Auflistung von Elementen zurückgegeben.

SourceFolders

GUID des Quellordners.

ItemId

Element-ID.

ItemSubject

Betreff des Elements.

MailboxGuid

Postfach-GUID.

MailboxResolvedOwnerName

Aufgelöster Name des Postfachbenutzers im Format DOMÄNE\SamKontoname.

LastAccessed

Zeitpunkt der Ausführung des Vorgangs.

Identity

ID des Überwachungsprotokolleintrags.

  • Administratorzugriff auf Postfächer   Nur in den folgenden Szenarien wird ein Postfachzugriff als Administratorzugriff erachtet:

  • Umgehen der Protokollierung der Postfachüberwachung   Der Postfachzugriff durch autorisierte automatisierte Prozesse wie Konten, die von Drittanbietertools oder für die gesetzliche Überwachung verwendet werden, kann zu einer hohen Anzahl an Einträgen im Postfachüberwachungsprotokoll führen, und dies ist für Ihre Organisation möglicherweise nicht erforderlich. Sie können derartige Konten so konfigurieren, dass die Postfachüberwachungsprotokollierung umgangen wird. Weitere Informationen finden Sie unter Umgehen der Postfachüberwachungsprotokollierung für ein Benutzerkonto.

  • Protokollieren der Aktionen von Postfachbesitzern   Bei Postfächern wie dem Discoverysuchpostfach, die vertraulichere Informationen enthalten können, sollten Sie die Aktivierung der Postfachüberwachungsprotokollierung für Aktionen von Postfachbesitzern, etwa für das Löschen von Nachrichten, in Erwägung ziehen.

Postfachüberwachungsprotokolle

 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft