(0) exportieren Drucken
Alle erweitern
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

Überwachungsberichte

Exchange Online
 

Gilt für: Exchange Server 2013, Exchange Online

Letztes Änderungsdatum des Themas: 2013-11-07

Verwenden Sie die Überwachungsprotokollierung zum Beheben von Konfigurationsproblemen, indem Sie bestimmte Änderungen von Administratoren nachverfolgen, sowie zum Einhalten gesetzlicher Bestimmungen und zum Aufbewahren von Daten, die für Rechtsstreitigkeiten erforderlich sind. Von Microsoft Exchange werden zwei Arten der Überwachungsprotokollierung bereitgestellt:

  • Bei der Administratorüberwachungsprotokollierung werden (auf der Grundlage eines Exchange Verwaltungsshell-Cmdlets) alle Aktionen aufgezeichnet, die von einem Administrator ausgeführt wurden. Diese Informationen können Sie zur Behandlung von Konfigurationsproblemen bzw. zum Ermitteln der Ursache von Sicherheits- oder Kompatibilitätsproblemen heranziehen.

  • Bei der Postfachüberwachungsprotokollierung werden alle Postfachzugriffe erfasst, die von Personen vorgenommen werden, bei denen es sich nicht um den Besitzer des Postfachs handelt. Dadurch können Sie feststellen, wer auf ein Postfach zugegriffen hat und welche Aktionen ausgeführt wurden.

In diesem Thema werden die folgenden Punkte erläutert:

In der Exchange-Verwaltungskonsole können Sie auf der Seite Verwaltung der Richtlinientreue > Überwachung nach Einträgen aus dem Administratorüberwachungsprotokoll und aus dem Postfachüberwachungsprotokoll suchen und diese exportieren.

  • Administratorüberwachungsprotokoll exportieren   Jede von einem Administrator ausgeführte Aktion, die auf einem Shell-Cmdlet basiert und nicht mit den Verben Get, Search oder Test beginnt, wird im Administratorüberwachungsprotokoll protokolliert. Überwachungsprotokolleinträge enthalten das ausgeführte Cmdlet, den Parameter und die Werte, die zusammen mit dem Cmdlet verwendet wurden, sowie den Status des Vorgangs. Sie können nach den Einträgen aus dem Administratorüberwachungsprotokoll suchen und diese exportieren. Wenn Sie die Suchergebnisse exportieren, werden diese in einer XML-Datei gespeichert, und die Datei wird an eine E-Mail angefügt. Weitere Informationen finden Sie unter Durchsuchen der Rollengruppenänderungen oder Administratorüberwachungsprotokolle.

  • Postfachüberwachungsprotokolle exportieren   Ist die Postfachüberwachungsprotokollierung für ein Postfach aktiviert, wird von Microsoft Exchange ein Datensatz mit den Aktionen, die von Nicht-Besitzern für die Postfachdaten ausgeführt wurden, im Postfachüberwachungsprotokoll gespeichert. Dieser Datensatz wird dann in einem ausgeblendeten Ordner des überwachten Postfachs gespeichert. Die Einträge in diesem Protokoll geben Aufschluss darüber, ob auf das Postfach von einer Person zugegriffen wurde, bei der es sich nicht um den Besitzer des Postfachs handelt. Zudem enthalten die Einträge Angaben zur zugreifenden Person und zur Zugriffszeit, zu den Aktionen, die der Nicht-Besitzer ausgeführt hat, sowie zum Status der Aktion. Wenn Sie nach Einträgen aus dem Postfachüberwachungsprotokoll suchen und diese exportieren, werden die Suchergebnisse in einer XML-Datei gespeichert, und die Datei wird an eine E-Mail angefügt. Weitere Informationen finden Sie unter Exportieren von Postfachüberwachungsprotokollen.

HinweisAnmerkung:
Standardmäßig werden die Überwachungsprotokolleinträge 90 Tage lang aufbewahrt. Wenn ein Eintrag älter als 90 Tage ist, wird er gelöscht. Diese Einstellung kann in einer cloudbasierten Organisation nicht geändert werden. In einer lokalen Exchange-Organisation kann sie jedoch mithilfe des Cmdlets Set-AdminAuditLog geändert werden.

Anstatt das Administratorüberwachungsprotokoll zu exportieren, dessen Empfang in einer E-Mail-Nachricht bis zu 24 Stunden dauern kann, können Sie Einträge im Administratorüberwachungsprotokoll in der Exchange-Verwaltungskonsole anzeigen. Wählen Sie Verwaltung der Richtlinientreue > Überwachung aus, und klicken Sie anschließend auf Administratorüberwachungsprotokoll anzeigen. Es können bis zu 1.000 Einträge auf mehreren Seiten angezeigt werden. Um die Suche einzuschränken, können Sie einen Datumsbereich angeben. Weitere Informationen finden Sie unter Anzeigen des Administratorüberwachungsprotokolls.

Wenn Sie in der Exchange-Verwaltungskonsole auf der Seite Überwachung einen der folgenden Berichte ausführen, werden die Ergebnisse im Detailbereich angezeigt.

  • Bericht für Nicht-Besitzer-Postfachzugriff ausführen   Verwenden Sie diesen Bericht, um nach Postfächern zu suchen, auf die von einer Person zugegriffen wurde, bei der es sich nicht um den Besitzer des Postfachs handelt. Wenn Sie über eine cloudbasierte Exchange-Organisation verfügen, können Sie mit diesem Bericht auch ermitteln, ob Mitarbeiter von Microsoft-Datencentern auf Postfachdaten in Ihrer cloudbasierten Organisation zugreifen. Weitere Informationen finden Sie unter Ausführen eines Berichts zum Postfachzugriff durch Nicht-Besitzer.

  • Administrator-Rollengruppenbericht ausführen   Verwenden Sie diesen Bericht, um nach Änderungen an Administratorrollengruppen zu suchen. Weitere Informationen finden Sie unter Durchsuchen der Rollengruppenänderungen oder Administratorüberwachungsprotokolle.

  • Compliance-Discovery- und -Archivbericht ausführen   Mit diesem Bericht können Sie Postfächer finden, die im Compliance-Archiv gespeichert oder daraus entfernt wurden. Weitere Informationen finden Sie unter:

  • Bericht zu Beweissicherungsverfahren pro Postfach ausführen   Mit diesem Bericht können Sie Postfächer finden, für die das Beweissicherungsverfahren aktiviert oder deaktiviert wurde. Weitere Informationen finden Sie unter Ausführen eines Berichts zu Beweissicherungsverfahren pro Postfach.

Sie müssen zunächst die Überwachungsprotokollierung für die Organisation konfigurieren, um Überwachungsberichte ausführen und Überwachungsprotokolle exportieren zu können.

Die Postfachüberwachungsprotokollierung muss für jedes Postfach aktiviert werden, für das ein Bericht zum Postfachzugriff durch Nicht-Besitzer ausgeführt werden soll. Wenn die Postfachüberwachungsprotokollierung für ein Postfach nicht aktiviert ist, erhalten Sie beim Ausführen eines Berichts sowie beim Exportieren des Postfachüberwachungsprotokolls keine Ergebnisse für das Postfach.

Führen Sie den folgenden Befehl in der Shell aus, um die Postfachüberwachungsprotokollierung für ein einzelnes Postfach zu aktivieren.

Set-Mailbox <Identity> -AuditEnabled $true

Führen Sie folgende Befehle aus, um die Postfachüberwachung für alle Benutzerpostfächer in Ihrer Organisation zu aktivieren.

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Standardmäßig können Administratoren in der Exchange-Verwaltungskonsole auf alle Berichte der Seite Überwachung zugreifen und diese ausführen. Anderen Benutzern (beispielsweise aus der Datensatzverwaltung oder aus der Rechtsabteilung) müssen die notwendigen Berechtigungen jedoch erst zugewiesen werden.

Die einfachste Art, den Benutzern Zugriff zu gewähren, ist das Hinzufügen der Benutzer zur Rollengruppe "Datensatzverwaltung". Sie können einem Benutzer auch mithilfe der Shell Zugriff auf die Seite Überwachung gewähren, indem Sie ihm die Rolle für Überwachungsprotokolle zuweisen.

  1. Navigieren Sie zu Berechtigungen > Administratorrollen.

  2. Klicken Sie in der Liste mit den Rollengruppen auf Datensatzverwaltung und dann auf Bearbeiten Bearbeiten (Symbol).

  3. Klicken Sie unter Mitglieder auf Hinzufügen Hinzufügen (Symbol).

  4. Wählen Sie im Dialogfeld Mitglieder auswählen den Benutzer aus. Sie können auch nach einem Benutzer suchen, indem Sie seinen Anzeigenamen ganz oder teilweise eingeben und dann auf Suchen Suchen (Symbol) klicken. Sie können die Liste auch sortieren, indem Sie auf die Spaltenüberschriften Name oder Anzeigename klicken.

  5. Klicken Sie auf Hinzufügen Hinzufügen (Symbol) und dann auf OK, um zur Rollengruppenseite zurückzukehren.

  6. Klicken Sie auf Speichern, um die Änderungen an der Rollengruppe zu speichern.

Im Detailbereich wird der Benutzer unter Mitglieder aufgeführt, und er kann in der Exchange-Verwaltungskonsole auf die Seite Überwachung zugreifen, Überwachungsberichte ausführen und Überwachungsprotokolle exportieren.

Führen Sie den folgenden Befehl aus, um einem Benutzer die Rolle für Überwachungsprotokolle zuzuweisen.

New-ManagementRoleAssignment -Role "Audit Logs" -User <Identity>

Auf diese Weise kann der Benutzer in der Exchange-Verwaltungskonsole die Optionen Verwaltung der Richtlinientreue > Überwachung auswählen, um einen Bericht auszuführen. Zudem kann der Benutzer auch das Postfachüberwachungsprotokoll exportieren und das Administratorüberwachungsprotokoll exportieren und anzeigen.

HinweisAnmerkung:
Wenn Sie einem Benutzer zwar das Ausführen von Überwachungsberichten, aber nicht das Exportieren von Überwachungsprotokollen ermöglichen möchten, weisen Sie mithilfe des vorherigen Befehls die Rolle mit Leserechten für Überwachungsprotokolle zu.

Wenn Sie das Postfachüberwachungsprotokoll oder das Administratorüberwachungsprotokoll exportieren, wird das Überwachungsprotokoll (XML-Datei) an eine E-Mail angefügt. Jedoch blockiert Outlook Web App standardmäßig XML-Anlagen. Wenn Sie mit Outlook Web App auf exportierte Überwachungsprotokolle zugreifen möchten, muss Outlook Web App für das Zulassen von XML-Anlagen konfiguriert werden.

Führen Sie den folgenden Befehl aus, um XML-Anlagen in Outlook Web App zuzulassen.

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.