Présentation de l’enregistrement d’audit des boîtes aux lettres
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2016-11-28
Les boîtes aux lettres étant susceptibles de renfermer des informations confidentielles, des informations ayant un impact significatif sur l’activité et des informations d’identification personnelle, il est important de connaître le nom des personnes qui se connectent aux boîtes aux lettres de votre organisation et les actions qui sont effectuées. Ceci est particulièrement important si les utilisateurs qui se connectent ne sont pas les propriétaires des boîtes aux lettres. Ces utilisateurs sont appelés utilisateurs délégués.
Grâce à l’enregistrement d’audit des boîtes aux lettres, vous pouvez enregistrer l’accès aux boîtes aux lettres par les propriétaires, les administrateurs et les délégués (notamment les administrateurs disposant d’autorisations d’accès complet pour les boîtes aux lettres). On considère qu’un administrateur accède aux boîtes aux lettres uniquement dans les cas suivants :
La détection est utilisée pour effectuer une recherche dans une boîte aux lettres
La cmdlet New-MailboxExportRequest est utilisée pour exporter une boîte aux lettres
L’éditeur MAPI pour Microsoft Exchange Server est utilisé pour accéder à la boîte aux lettres
Lorsque vous activez l’enregistrement d’audit pour une boîte aux lettres, vous pouvez indiquer quelles actions de l’utilisateur (par exemple l’accès, le déplacement ou la suppression d’un message) doivent être enregistrées pour un type de connexion (administrateur, utilisateur délégué ou propriétaire). Les entrées du journal d’audit comprennent également des informations importantes, telles que l’adresse IP du client, le nom d’hôte et le processus ou client utilisé pour accéder à la boîte aux lettres. En ce qui concerne les éléments déplacés, l’entrée inclut le nom du dossier de destination.
.gif "Remarque") Remarque : |
|---|
| Pour les boîtes aux lettres, telles que la boîte aux lettres de détection, qui peuvent contenir des informations dont le niveau de confidentialité est plus élevé, il est conseillé d’activer l’enregistrement d’audit pour les actions réalisées par les propriétaires des boîtes aux lettres, telles que la suppression des messages. |
Contenu de cette rubrique
Journaux d’audit des boîtes aux lettres
Activation de l’enregistrement d’audit des boîtes aux lettres
Recherche dans les entrées de journal d’audit des boîtes aux lettres
Entrées de journal d’audit des boîtes aux lettres
Journaux d’audit des boîtes aux lettres
Les journaux d’audit des boîtes aux lettres sont générés pour chaque boîte aux lettres pour laquelle l’enregistrement d’audit est activé. Les entrées des journaux sont stockées dans le sous-dossier Audits du dossier Éléments récupérables de la boîte aux lettres concernée. Cela permet de s’assurer que tous les journaux d’audit sont disponibles dans un emplacement unique, quelle que soit la méthode d’accès au client utilisée pour accéder à la boîte aux lettres et quels que soient le serveur ou la station de travail utilisés par un administrateur pour accéder au journal d’audit de la boîte aux lettres. Si vous déplacez une boîte aux lettres vers un autre serveur, les journaux d’audit de cette boîte aux lettres sont également déplacés, car ils se trouvent dans la boîte aux lettres.
Par défaut, les entrées du journal d’audit des boîtes aux lettres sont conservées pendant 90 jours dans la boîte aux lettres, puis supprimées. Vous pouvez modifier cette période de rétention à l’aide du paramètre AuditLogAgeLimit avec la cmdlet Set-Mailbox. Si une boîte aux lettres est mise en attente pour litige, les entrées du journal d’audit sont conservées uniquement jusqu’à la fin de la période de rétention des journaux d’audit pour la boîte aux lettres. Pour conserver les entrées du journal d’audit plus longtemps, vous devez augmenter la durée de la période de rétention en modifiant la valeur du paramètre AuditLogAgeLimit ou exporter les entrées du journal d’audit avant la fin de la période de rétention. Pour plus d’informations, consultez la rubrique Créer une recherche dans le journal d’audit de la boîte aux lettres.
Journaux d’audit des boîtes aux lettres
Activation de l’enregistrement d’audit des boîtes aux lettres
L’enregistrement d’audit des boîtes aux lettres est activé pour chaque boîte aux lettres. Utilisez la cmdlet Set-Mailbox pour activer ou désactiver l’enregistrement d’audit des boîtes aux lettres. Pour plus d’informations, voir Activer ou désactiver l’enregistrement d’audit pour une boîte aux lettres.
Lorsque vous activez l’enregistrement d’audit pour une boîte aux lettres, l’accès à la boîte aux lettres, ainsi que certaines actions réalisées par les administrateurs et les délégués, sont enregistrées par défaut. Pour enregistrer les actions effectuées par le propriétaire de la boîte aux lettres, vous devez indiquer quelles actions doivent être enregistrées. Le tableau suivant répertorie les actions consignées par l’enregistrement d’audit des boîtes aux lettres et précise les types de connexion pour lesquels l’action est enregistrée.
Actions consignées par l’enregistrement d’audit des boîtes aux lettres
| Action | Description | Administrateur | Délégué | Propriétaire | ||
|---|---|---|---|---|---|---|
Copier |
Un élément est copié dans un autre dossier. |
Oui |
Non |
Non |
||
Create |
Un élément est créé dans la boîte aux lettres. (Par exemple, un message est envoyé ou reçu.)
|
Oui* |
Oui* |
Oui |
||
FolderBind |
Un utilisateur accède à un dossier de boîte aux lettres.*** |
Oui* |
Oui** |
Non |
||
HardDelete |
Un élément est définitivement supprimé du dossier Éléments récupérables. |
Oui* |
Oui* |
Oui |
||
MessageBind |
Un utilisateur accède à un élément dans le volet de lecture ou l’ouvre.*** |
Oui |
Non |
Non |
||
Déplacer |
Un élément est déplacé vers un autre dossier. |
Oui* |
Oui |
Oui |
||
MoveToDeletedItems |
Un élément est déplacé vers le dossier Éléments supprimés. |
Oui* |
Oui |
Oui |
||
SendAs |
Un message est envoyé à l’aide des autorisations Envoyer en tant que. |
Oui* |
Oui* |
Non applicable |
||
SendOnBehalf |
Un message est envoyé à l’aide des autorisations Envoyer de la part de. |
Oui* |
Oui |
Non applicable |
||
SoftDelete |
Un élément est supprimé du dossier Éléments supprimés. |
Oui* |
Oui* |
Oui |
||
Mettre à jour |
Les propriétés d’un élément sont mises à jour. |
Oui* |
Oui* |
Oui |
||
Copier |
Un élément est copié dans un autre dossier. |
Oui |
Non |
Non |
||
Create |
Un élément est créé dans la boîte aux lettres. (Par exemple, un message est envoyé ou reçu.)
|
Oui* |
Oui* |
Oui |
||
FolderBind |
Un utilisateur accède à un dossier de boîte aux lettres.*** |
Oui* |
Oui** |
Non |
||
HardDelete |
Un élément est définitivement supprimé du dossier Éléments récupérables. |
Oui* |
Oui* |
Oui |
||
MessageBind |
Un utilisateur accède à un élément dans le volet de lecture ou l’ouvre.*** |
Oui |
Non |
Non |
||
Déplacer |
Un élément est déplacé vers un autre dossier. |
Oui* |
Oui |
Oui |
||
MoveToDeletedItems |
Un élément est déplacé vers le dossier Éléments supprimés. |
Oui* |
Oui |
Oui |
||
SendAs |
Un message est envoyé à l’aide des autorisations Envoyer en tant que. |
Oui* |
Oui* |
Non applicable |
||
SendOnBehalf |
Un message est envoyé à l’aide des autorisations Envoyer de la part de. |
Oui* |
Oui |
Non applicable |
||
SoftDelete |
Un élément est supprimé du dossier Éléments supprimés. |
Oui* |
Oui* |
Oui |
||
Mettre à jour |
Les propriétés d’un élément sont mises à jour. |
Oui* |
Oui* |
Oui |
* Audité par défaut si l’audit est activé pour une boîte aux lettres. ** Les entrées correspondant aux actions de liaison de dossiers réalisées par des délégués sont consolidées. Une entrée de journal est générée pour l’accès aux dossiers individuels avec une période de vingt-quatre heures. *** FolderBind et MessageBind ne sont pas consignés pour le calendrier par défaut.
L’accès aux boîtes aux lettres par des processus automatisés autorisés, tels que les comptes utilisés par des outils tiers ou à des fins de surveillance licite, peut entraîner la création d’un grand nombre d’entrées de journal d’audit des boîtes aux lettres. Ce comportement peut se révéler sans intérêt pour votre organisation. Vous pouvez faire en sorte que l’enregistrement d’audit ne s’effectue pas dans les boîtes aux lettres de ces comptes. Pour plus d’informations, voir Ignorer un compte d’utilisateur lors de l’enregistrement d’audit des boîtes aux lettres.
Si vous ne souhaitez plus que certains types d’actions liées aux boîtes aux lettres soient enregistrés, vous devez modifier la configuration d’enregistrement d’audit de la boîte aux lettres pour désactiver ces actions. Les entrées existantes ne sont pas supprimées tant que l’âge du journal d’audit configuré pour la boîte aux lettres n’est pas atteint.
Journaux d’audit des boîtes aux lettres
Recherche dans les entrées de journal d’audit des boîtes aux lettres
Vous pouvez faire appel aux méthodes suivantes pour effectuer une recherche dans les entrées du journal d’audit des boîtes aux lettres :
Effectuer une recherche synchrone dans une seule boîte aux lettres Vous pouvez utiliser la cmdlet Search-MailboxAuditLog pour effectuer une recherche synchrone dans les entrées du journal d’audit d’une seule boîte aux lettres. La cmdlet affiche les résultats de la recherche dans la fenêtre Exchange Management Shell. Pour plus d’informations, consultez les rubriques Search-MailboxAuditLog et Rechercher une boîte aux lettres dans le journal d’audit de boîte aux lettres.
Effectuer une recherche asynchrone dans une ou plusieurs boîtes aux lettres Vous pouvez créer une recherche de journaux d’audit des boîtes aux lettres pour effectuer une recherche asynchrone dans les journaux d’audit d’une ou de plusieurs boîtes aux lettres, puis faire en sorte que les résultats de la recherche soient envoyés à une adresse de messagerie spécifique. Les résultats de la recherche sont envoyés sous forme de pièce jointe au format XML. Pour créer la recherche, utilisez la cmdlet New-MailboxAuditLogSearch. Pour plus d’informations, voir Créer une recherche dans le journal d’audit de la boîte aux lettres.
Créer des rapports d’audit dans le Panneau de configuration Exchange Vous pouvez utiliser l’onglet Audit du Panneau de configuration Exchange pour exécuter des rapports d’audit ou exporter des entrées du journal d’audit de la boîte aux lettres et du journal d’audit de l’administrateur. Pour plus d’informations, consultez la rubrique Onglet Audit.
Entrées de journal d’audit des boîtes aux lettres
Le tableau suivant décrit les champs enregistrés dans une entrée de journal d’audit de boîte aux lettres.
Champs d’un journal d’audit de boîte aux lettres
| Champ | Renseigné avec |
|---|---|
Operation |
Une des actions suivantes :
|
OperationResult |
Un des résultats suivants :
|
LogonType |
Type de connexion de l’utilisateur qui a réalisé l’opération. Les types de connexion sont les suivants :
|
DestFolderId |
GUID du dossier de destination pour les opérations de déplacement. |
DestFolderPathName |
Chemin d’accès au dossier de destination pour les opérations de déplacement. |
FolderId |
GUID du dossier. |
FolderPathName |
Chemin d’accès au dossier. |
ClientInfoString |
Détails permettant d’identifier le client ou le composant Exchange qui a effectué l’opération. |
ClientIPAddress |
Adresse IP de l’ordinateur client. |
ClientMachineName |
Nom de l’ordinateur client. |
ClientProcessName |
Nom du processus de l’application cliente. |
ClientVersion |
Version de l’application cliente. |
InternalLogonType |
Type de connexion de l’utilisateur qui a réalisé l’opération. Les types de connexion sont les suivants :
|
MailboxOwnerUPN |
Nom d’utilisateur principal (UPN) du propriétaire de la boîte aux lettres. |
MailboxOwnerSid |
Identificateur de sécurité (SID) du propriétaire de la boîte aux lettres. |
DestMailboxOwnerUPN |
UPN du propriétaire de la boîte aux lettres de destination, connecté pour des opérations sur plusieurs boîtes aux lettres. |
DestMailboxOwnerSid |
SID du propriétaire de la boîte aux lettres de destination, connecté pour des opérations sur plusieurs boîtes aux lettres. |
DestMailboxOwnerGuid |
GUID du propriétaire de la boîte aux lettres de destination. |
CrossMailboxOperation |
Informations permettant de savoir si l’opération enregistrée porte sur plusieurs boîtes aux lettres (par exemple, la copie ou le déplacement de messages entre plusieurs boîtes aux lettres). |
LogonUserDisplayName |
Nom complet de l’utilisateur qui est connecté. |
DelegateUserDisplayName |
Nom complet de l’utilisateur délégué. |
LogonUserSid |
SID de l’utilisateur qui est connecté. |
SourceItems |
Identificateur des éléments de boîtes aux lettres sur lesquels l’action enregistrée est réalisée (par exemple, un déplacement ou une suppression). Pour les opérations effectuées sur plusieurs éléments, ce champ est retourné sous forme d’une série d’éléments. |
SourceFolders |
GUID du dossier source. |
ItemId |
Identificateur de l’élément. |
ItemSubject |
Objet de l’élément. |
MailboxGuid |
GUID de la boîte aux lettres. |
MailboxResolvedOwnerName |
Nom résolu de l’utilisateur de la boîte aux lettres, au format DOMAINE\SamAccountName. |
LastAccessed |
Heure à laquelle l’opération a été effectuée. |
Identity |
ID d’entrée du journal d’audit. |
Operation |
Une des actions suivantes :
|
OperationResult |
Un des résultats suivants :
|
LogonType |
Type de connexion de l’utilisateur qui a réalisé l’opération. Les types de connexion sont les suivants :
|
DestFolderId |
GUID du dossier de destination pour les opérations de déplacement. |
DestFolderPathName |
Chemin d’accès au dossier de destination pour les opérations de déplacement. |
FolderId |
GUID du dossier. |
FolderPathName |
Chemin d’accès au dossier. |
ClientInfoString |
Détails permettant d’identifier le client ou le composant Exchange qui a effectué l’opération. |
ClientIPAddress |
Adresse IP de l’ordinateur client. |
ClientMachineName |
Nom de l’ordinateur client. |
ClientProcessName |
Nom du processus de l’application cliente. |
ClientVersion |
Version de l’application cliente. |
InternalLogonType |
Type de connexion de l’utilisateur qui a réalisé l’opération. Les types de connexion sont les suivants :
|
MailboxOwnerUPN |
Nom d’utilisateur principal (UPN) du propriétaire de la boîte aux lettres. |
MailboxOwnerSid |
Identificateur de sécurité (SID) du propriétaire de la boîte aux lettres. |
DestMailboxOwnerUPN |
UPN du propriétaire de la boîte aux lettres de destination, connecté pour des opérations sur plusieurs boîtes aux lettres. |
DestMailboxOwnerSid |
SID du propriétaire de la boîte aux lettres de destination, connecté pour des opérations sur plusieurs boîtes aux lettres. |
DestMailboxOwnerGuid |
GUID du propriétaire de la boîte aux lettres de destination. |
CrossMailboxOperation |
Informations permettant de savoir si l’opération enregistrée porte sur plusieurs boîtes aux lettres (par exemple, la copie ou le déplacement de messages entre plusieurs boîtes aux lettres). |
LogonUserDisplayName |
Nom complet de l’utilisateur qui est connecté. |
DelegateUserDisplayName |
Nom complet de l’utilisateur délégué. |
LogonUserSid |
SID de l’utilisateur qui est connecté. |
SourceItems |
Identificateur des éléments de boîtes aux lettres sur lesquels l’action enregistrée est réalisée (par exemple, un déplacement ou une suppression). Pour les opérations effectuées sur plusieurs éléments, ce champ est retourné sous forme d’une série d’éléments. |
SourceFolders |
GUID du dossier source. |
ItemId |
Identificateur de l’élément. |
ItemSubject |
Objet de l’élément. |
MailboxGuid |
GUID de la boîte aux lettres. |
MailboxResolvedOwnerName |
Nom résolu de l’utilisateur de la boîte aux lettres, au format DOMAINE\SamAccountName. |
LastAccessed |
Heure à laquelle l’opération a été effectuée. |
Identity |
ID d’entrée du journal d’audit. |
Journaux d’audit des boîtes aux lettres
© 2010 Microsoft Corporation. Tous droits réservés.