Exporter (0) Imprimer
Développer tout

Enregistrement d’audit des boîtes aux lettres

 

S’applique à : Exchange Server 2013

Dernière rubrique modifiée : 2013-12-12

Les boîtes aux lettres étant susceptibles de renfermer des informations confidentielles, des informations ayant un impact significatif sur l’activité et des informations d’identification personnelle, il est important de connaître le nom des personnes qui se connectent aux boîtes aux lettres de votre organisation et les actions qui sont effectuées. Ceci est particulièrement important si les utilisateurs qui se connectent ne sont pas les propriétaires des boîtes aux lettres. Ces utilisateurs sont appelés utilisateurs délégués.

Grâce à l’enregistrement d’audit des boîtes aux lettres, vous pouvez enregistrer l’accès aux boîtes aux lettres par les propriétaires des boîtes aux lettres, les délégués (notamment les administrateurs disposant d’autorisations Accès total pour les boîtes aux lettres) et les administrateurs.

Lorsque vous activez l’enregistrement d’audit pour une boîte aux lettres, vous pouvez indiquer quelles actions de l’utilisateur (par exemple l’accès, le déplacement ou la suppression d’un message) doivent être enregistrées pour un type de connexion (administrateur, utilisateur délégué ou propriétaire). Les entrées du journal d’audit comprennent également des informations importantes, telles que l’adresse IP du client, le nom d’hôte et le processus ou client utilisé pour accéder à la boîte aux lettres. En ce qui concerne les éléments déplacés, l’entrée inclut le nom du dossier de destination.

Les journaux d’audit des boîtes aux lettres sont générés pour chaque boîte aux lettres pour laquelle l’enregistrement d’audit est activé. Les entrées de journal sont stockées dans le dossier Éléments récupérables dans la boîte aux lettres concernée, dans le sous-dossier Audits. Cela permet de s’assurer que toutes les entrées de journal d’audit sont disponibles dans un emplacement unique, quelle que soit la méthode d’accès au client utilisée pour accéder à la boîte aux lettres et quel que soit le serveur ou la station de travail utilisé par un administrateur pour accéder au journal d’audit de la boîte aux lettres. Si vous déplacez une boîte aux lettres vers un autre serveur, les journaux d’audit de cette boîte aux lettres sont également déplacés, car ils se trouvent dans la boîte aux lettres.

Par défaut, les entrées du journal d’audit d’une boîte aux lettres sont conservées pendant 90 jours dans la boîte aux lettres, puis elles sont supprimées. Vous pouvez modifier cette période de rétention à l’aide du paramètre AuditLogAgeLimit avec la cmdlet Set-Mailbox. Si une boîte aux lettres est mise en archive permanente ou mise en attente pour litige, les entrées du journal d’audit sont seulement conservées jusqu’à la fin de la période de rétention de journal d’audit de la boîte aux lettres. Pour conserver les entrées du journal d’audit plus longtemps, vous devez augmenter la période de rétention en modifiant la valeur du paramètre AuditLogAgeLimit. Vous pouvez également exporter les entrées du journal d’audit avant la fin de la période de rétention. Pour plus d’informations, consultez la rubrique suivante :

L’enregistrement d’audit des boîtes aux lettres est activé pour chaque boîte aux lettres. Utilisez la cmdlet Set-Mailbox pour activer ou désactiver l’enregistrement d’audit des boîtes aux lettres. Pour plus d’informations, voir Activer ou désactiver l’enregistrement d’audit pour une boîte aux lettres.

Lorsque vous activez l’enregistrement d’audit pour une boîte aux lettres, l’accès à la boîte aux lettres, ainsi que certaines actions réalisées par les administrateurs et les délégués, sont enregistrées par défaut. Pour enregistrer les actions effectuées par le propriétaire de la boîte aux lettres, vous devez indiquer quelles actions doivent être enregistrées.

Le tableau suivant répertorie les actions consignées par l’enregistrement d’audit des boîtes aux lettres et précise les types de connexion pour lesquels l’action est enregistrée.

 

Action Description Administrateur Délégué Propriétaire

Copy

Un élément est copié dans un autre dossier.

Oui

Oui

Non

Create

Un élément est créé dans la boîte aux lettres. (Par exemple, un message est envoyé ou reçu.) La création des dossiers ne fait pas l’objet d’un audit.

Oui*

Oui*

Oui

FolderBind

Un utilisateur accède à un dossier de boîte aux lettres.

Oui*

Oui**

Non

HardDelete

Un élément est définitivement supprimé du dossier Éléments récupérables.

Oui*

Oui*

Oui

MessageBind

Un utilisateur accède à un élément dans le volet de lecture ou l’ouvre.

Oui

Non

Non

Move

Un élément est déplacé vers un autre dossier.

Oui*

Oui

Oui

MoveToDeletedItems

Un élément est déplacé vers le dossier Éléments supprimés.

Oui*

Oui

Oui

SendAs

Un message est envoyé à l’aide des autorisations Envoyer en tant que.

Oui*

Oui*

Non applicable

SendOnBehalf

Un message est envoyé à l’aide des autorisations Envoyer de la part de.

Oui*

Oui

Non applicable

SoftDelete

Un élément est supprimé du dossier Éléments supprimés.

Oui*

Oui*

Oui

Update

Les propriétés d’un élément sont mises à jour.

Oui*

Oui*

Oui

* Enregistré par défaut si l’enregistrement d’audit est activé pour une boîte aux lettres.

** Les entrées correspondant aux actions de liaison des dossiers effectuées par des délégués sont consolidées. Une entrée de journal est générée pour chaque accès aux dossiers sur une période de trois heures.

Si vous ne souhaitez plus que certains types d’actions liées aux boîtes aux lettres soient enregistrés, vous devez modifier la configuration d’enregistrement d’audit de la boîte aux lettres pour désactiver ces actions. Les entrées de journal existantes ne sont pas supprimées tant que l’âge limite des entrées du journal d’audit n’est pas atteint.

Vous pouvez faire appel aux méthodes suivantes pour effectuer une recherche dans les entrées du journal d’audit des boîtes aux lettres :

Le tableau suivant décrit les champs enregistrés dans une entrée de journal d’audit de boîte aux lettres.

 

Champ Renseigné avec

Operation

Une des actions suivantes :

  • Copy

  • Create

  • FolderBind

  • HardDelete

  • MessageBind

  • Move

  • MoveToDeletedItems

  • SendAs

  • SendOnBehalf

  • SoftDelete

  • Update

OperationResult

Un des résultats suivants :

  • Échec

  • Réussite partielle

  • Réussite

LogonType

Type de connexion de l’utilisateur qui a réalisé l’opération. Les types de connexion sont les suivants :

  • Propriétaire

  • Délégué

  • Admin

DestFolderId

GUID du dossier de destination pour les opérations de déplacement.

DestFolderPathName

Chemin d’accès au dossier de destination pour les opérations de déplacement.

FolderId

GUID du dossier.

FolderPathName

Chemin d’accès au dossier.

ClientInfoString

Détails permettant d’identifier le client ou le composant Exchange qui a effectué l’opération.

ClientIPAddress

Adresse IP de l’ordinateur client.

ClientMachineName

Nom de l’ordinateur client.

ClientProcessName

Nom du processus de l’application cliente.

ClientVersion

Version de l’application cliente.

InternalLogonType

Type de connexion de l’utilisateur qui a réalisé l’opération. Les types de connexion sont les suivants :

  • Propriétaire

  • Délégué

  • Admin

MailboxOwnerUPN

Nom d’utilisateur principal (UPN) du propriétaire de la boîte aux lettres.

MailboxOwnerSid

Identificateur de sécurité (SID) du propriétaire de la boîte aux lettres.

DestMailboxOwnerUPN

UPN du propriétaire de la boîte aux lettres de destination, connecté pour des opérations sur plusieurs boîtes aux lettres.

DestMailboxOwnerSid

SID du propriétaire de la boîte aux lettres de destination, connecté pour des opérations sur plusieurs boîtes aux lettres.

DestMailboxOwnerGuid

GUID du propriétaire de la boîte aux lettres de destination.

CrossMailboxOperation

Informations permettant de savoir si l’opération enregistrée porte sur plusieurs boîtes aux lettres (par exemple, la copie ou le déplacement de messages entre plusieurs boîtes aux lettres).

LogonUserDisplayName

Nom complet de l’utilisateur qui est connecté.

DelegateUserDisplayName

Nom complet de l’utilisateur délégué.

LogonUserSid

SID de l’utilisateur qui est connecté.

SourceItems

Identificateur des éléments de boîtes aux lettres sur lesquels l’action enregistrée est réalisée (par exemple, un déplacement ou une suppression). Pour les opérations effectuées sur plusieurs éléments, ce champ est retourné sous forme d’une série d’éléments.

SourceFolders

GUID du dossier source.

ItemId

Identificateur de l’élément.

ItemSubject

Objet de l’élément.

MailboxGuid

GUID de la boîte aux lettres.

MailboxResolvedOwnerName

Nom résolu de l’utilisateur de la boîte aux lettres, au format DOMAINE\SamAccountName.

LastAccessed

Heure à laquelle l’opération a été effectuée.

Identity

ID d’entrée du journal d’audit.

  • Accès administrateur aux boîtes aux lettres   On considère qu’un administrateur peut accéder à une boîte aux lettres uniquement dans les situations suivantes :

  • Contournement de l’enregistrement d’audit des boîtes aux lettres   L’accès aux boîtes aux lettres par des processus automatisés autorisés, tels que les comptes utilisés par des outils tiers ou aux fins de surveillance licite, peut entraîner la création d’un grand nombre d’entrées de journal d’audit de boîte aux lettres et s’avérer sans intérêt pour votre organisation. Vous pouvez faire en sorte que l’enregistrement d’audit ne s’effectue pas dans les boîtes aux lettres de ces comptes. Pour plus d’informations, voir Contournement d'un compte d'utilisateur lors de la journalisation d'audit des boîtes aux lettres.

  • Enregistrement des actions des propriétaires de boîte aux lettres   Pour les boîtes aux lettres, telles que la boîte aux lettres de détection, qui peuvent contenir des informations dont le niveau de confidentialité est plus élevé, il est conseillé d’activer l’enregistrement d’audit pour les actions réalisées par les propriétaires des boîtes aux lettres, telles que la suppression des messages.

Journaux d’audit des boîtes aux lettres

 
Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft