Exchange Server 2007 Service Pack 2 でのメールボックス アクセス監査について
適用先: Exchange Server 2007 SP2
トピックの最終更新日: 2012-03-26
アクセス監査は、メールボックス データベース内のメールに対するアクセス ポイントである Microsoft Exchange Store.exe プロセスで実装されています。アクセス監査は、ユーザーによって開かれたメールボックス リソースに関する情報を管理者に提供するために設計された一連のイベント ログ イベントを表します。これらのイベントは新たに追加されたものです。これらのイベントによって、他の目的に使用される可能性がある既存のイベントが変更されることはありません。
アクセス監査は Microsoft Exchange IS リソースの一連の [診断ログ] カテゴリによって有効化され、各カテゴリは異なる種類のリソース アクセスに対応しています。各カテゴリは、個別に有効化できます。これにより、管理者は、特定の組織に適した情報のレベル (およびそのレベルの記録に対応した負荷) を選択できます。
診断ログのカテゴリには、次のものがあります。
- Folder Access : 受信トレイ、送信トレイ、送信済みアイテム フォルダなどの、開いているフォルダに対応するイベントを記録できます。
- Message Access : 明示的に開かれているメッセージに対応するイベントを記録できます。
- Extended Send As : メールボックスが有効なユーザーとしてのメッセージの送信に対応するイベントを記録できます。
- Extended Send On Behalf Of : メールボックスが有効なユーザーの代理としてのメッセージの送信に対応するイベントを記録できます。
各カテゴリでは、ゼロ (無効) から 5 (最高のログ出力) までのログ出力レベルがサポートされています。ログ出力レベルが高いほど、より多く、より詳しいデータが記録されます。
アクセス監査と Windows 監査の比較
Microsoft Exchange Information Store サービスでは、システム ポリシーに基づいた Windows NT 監査イベントがサポートされています。これらのイベントは、開かれたオブジェクトの各インスタンスを反映し、セキュリティ イベント ログに記録されます。これらの種類のログ出力は、使用可能な最も高度な監査レベルであり、オブジェクトへのアクセスを広範囲にわたって記録できます。アクセス監査の目的は、Windows 監査の代わりになることではありません。Windows 監査は、オブジェクトを開くイベントとオブジェクトを閉じるイベントに焦点を当てています。アクセス監査では、アクセスされる実際のユーザー データを表すイベントが優先され、特定のオブジェクト イベントが暗黙的に無視されます。
次の例について考えます。
Windows 監査で最も重視されるのは、"メールボックスへのログオン" です。Exchange では、ログオン イベントはデータへのバインド操作であり、それによりクライアントはフォルダを開けるようになります。ログオン オブジェクト自体は、特定のデータへのアクセスを許可しません。つまり、それは、監査のためには適切な焦点とはいえません。
アクセス監査では、実際のメッセージング データにアクセスするクライアント、またはメッセージング データに影響を与えるような権利を行使するクライアントによるイベントが重視されます。以下に例を示します。
- フォルダを開くことにより、クライアントは実際のデータへのアクセスを取得します。
- メッセージを開くことにより、クライアントは実際のデータへのアクセスを取得します。
メールボックスへのログオンは、フォルダへのアクセスを取得するための暗黙的な操作です。アクセス監査では、空き時間情報キャッシュの検索操作など、IPM サブツリーの下で実行される操作を無視できます。また、アクセス監査では、Exchange システム プロセスによるアクセスも無視されます。アクセス監査では、1 つ以上の特定のクラスのアクセスのみを記録することもできます。Windows 監査とアクセス監査との違いは、構成プロセスにあります。Windows 監査は、ポリシーを使用して設定できます。アクセス監査は、Microsoft Exchange Information Store の診断カテゴリによって制御されます。
重要 : |
---|
アクセス監査によって監査されるのは、メッセージ アクセスのみであり、メッセージの削除は監査されません。 |
Exchange 監査イベント ログ
記録される監査イベントの量は、監査対象の種類のユーザー操作 (実行された時間は問わない) の数と共に、サーバー上の負荷に直接影響します。アプリケーション ログは、診断データおよびトラブルシューティング データの情報源としても使用されるため、アクセス監査では、アプリケーション ログにイベントを記録しません。Exchange 2007 Service Pack 2 (SP2) では、サーバーにメールボックス サーバーの役割をインストールすると、新しいイベント ログが作成されます。これが、Exchange 監査イベント ログです。既定では、Exchange 監査イベント ログは、\Exchange Server\Logs\AuditLogs の下に配置されます。Windows Server 2008 ベースのコンピュータでは、このイベント ログは Applications and Services Logs\Exchange Auditing の下に配置されます。このログ ファイルの既定のファイルの場所は、%PROGRAMFILES%\Exchange Server\Logging\Auditlogs です。Exchange 監査ログの既定のアクセス制御リスト (ACL) では、次のアクセス許可が付与されます。
- Exchange 受信者管理者 : 読み取りおよび消去アクセス
- Exchange 組織管理者 : 読み取りおよび消去アクセス
- Exchange サーバー : 読み取りおよび書き込みアクセス
- ローカル サービス : すべてのアクセス
既定の ACL リストを変更するには、レジストリの CustomSD 値を更新する必要があります。CustomSD 値を更新して、Exchange 監査イベント ログにアクセスするグループまたはユーザーを含めるようにします。CustomSD 値は、次のレジストリ キーの下にあります。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Exchange Auditing
注 : |
---|
CustomSD 値に格納する ACL は、SDDL 形式で格納します。Windows イベント ログのアクセス許可の変更方法、および SDDL 形式の詳細については、「Event Log」を参照してください (このサイトは英語の場合があります)。 |
ユーザーまたはグループの SID 値を取得するには、Windows Sysinternals の PsGetSid ツールを使用します。このツールの詳細については、「PsGetSid」を参照してください。
PowerShell を使用して SID を取得することもできます。たとえば、ユーザーの SID を取得するには、次のコマンドを実行します。
$objUser = New-Object System.Security.Principal.NTAccount("Exchange Organization Administrators")
$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])
$strSID.Value
イベント ログ レベル別のアクセス監査
あるユーザーから別のユーザーのメール ボックスへのアクセスを表すイベントについては、診断ログ出力レベルごとに次の一般的なガイドラインに従って、記録するイベントが決定されます。
- ログ出力レベル ゼロ (0) では、何も記録されません。
- ログ出力レベル 1 では、実行するために管理者権限を呼び出した操作のみが記録されます。
- ログ出力レベル 2 および 4 では、メールボックスが有効なユーザーからの、別のメールボックスへのアクセスのみが記録されます。
- ログ出力レベル 3 および 5 では、すべてのユーザーからすべてのメールボックスへのアクセスが記録されます。
一般的な監査イベント情報
ユーザーのログオンに基づく操作を反映する監査イベントは、一連の一般的な情報を表します。詳細なクライアント データは、プログラムが詳細なクライアント データの送信をサポートしている場合にのみ使用可能です。Outlook 2003 および以降のバージョンの Outlook では、詳細なクライアント データが送信されます。
Folder Access 監査
Folder Access イベントは、メールボックス内のフォルダを正常に開いたことを示します。Folder Access 監査では、対象となるイベントは監査レベルに応じて異なります。これにより、管理者は、監査要件に応じたログ出力レベルを選択できます。以下に、記録されるイベントをログ出力レベル別に示します。
- レベル ゼロ (0) : 何も記録されません。このログ出力レベルでは、フォルダ アクセスに応じて記録されるイベントはありません。
- レベル 1 では、管理者権限を使用したアクセスのみが記録されます。
- ログ出力レベル 2 および 4 では、メールボックスが有効なユーザーによる、メールボックスが有効な別のユーザーへのアクセスのみが記録されます。
- ログ出力レベル 3 および 5 では、すべてのユーザーによるフォルダへのアクセスが記録されます。
基本イベント ログとすべてのイベント ログ
メールボックス フォルダ階層は、受信トレイ フォルダや送信済みアイテム フォルダなどユーザーが表示および使用するフォルダを含む IPM サブツリー、および検索フォルダなどアプリケーションが使用するフォルダを含む非 IPM サブツリーで構成されています。基本イベントは、ユーザーに表示されるフォルダへの一般的なアクセスを表します。これらのフォルダは、通常は "メール フォルダ" として定義されます。フォルダへのアクセスは、そのフォルダが IPM サブツリーの子フォルダである場合は、基本レベルで記録されます。すべてのイベント ログには、メールボックス ルート フォルダや非 IPM サブツリー フォルダなどユーザーに表示されないフォルダも含まれます。受信トレイ フォルダ、送信済みアイテム フォルダ、下書きフォルダなど、"メール フォルダ" へのアクセスを監査する管理者は、より高いレベルのイベント ログを有効にする必要はありません。次の表に、Folder Access カテゴリについて、記録されるイベントをログ出力レベル別に示します。
カテゴリ : Folder Access
ログ出力レベル | 管理者権限が必要かどうか | 操作を実行するユーザー | メールボックス | 結果 |
---|---|---|---|---|
0 |
該当なし |
該当なし |
該当なし |
なし |
1 |
不要 |
該当なし |
該当なし |
なし |
1 |
必要 |
該当なし |
該当なし |
基本イベント |
2 |
該当なし |
UserA |
UserA |
なし |
2 |
該当なし |
UserA |
UserB |
基本イベント |
3 |
該当なし |
UserA |
UserA |
基本イベント |
3 |
該当なし |
UserA |
UserB |
基本イベント |
4 |
該当なし |
UserA |
UserA |
なし |
4 |
該当なし |
UserA |
UserB |
すべてのイベント |
5 |
該当なし |
UserA |
UserA |
すべてのイベント |
5 |
該当なし |
UserA |
UserB |
すべてのイベント |
Folder Access 監査を有効にした場合、次のようなイベントが記録されます。
イベント ID : 10100 重要度 : 情報 機能 : AccessAuditing メールボックス '%3' 内のフォルダ %1 がユーザー %4 によって開かれました 表示名 : %2 アクセスしたユーザー : %5 メールボックス : %6 管理者権限 : %7 識別子 : %8 クライアント情報 (利用できる場合): コンピュータ名 : %9 アドレス : %10 プロセス名 : %11 プロセス ID : %12 アプリケーション ID : %13 |
このイベント メッセージのパラメータが表している項目は次のとおりです。
- %1 は、フォルダの URL 名を表します。フォルダの完全パスが表示されます。
- %2 は、フォルダの表示名を表します。表示名をフォルダ パスと共に使用すると、同じ名前を持つ複数のフォルダを識別できます。
一般的な監査イベント情報 :
- %3 は、開いたメールボックスの legacyDN を表します。
- %4 は、インフォメーション ストアに対して認証されているユーザーのユーザー名を表します。
- %5 は、オブジェクトを開いたユーザーの legacyDN を表します。
- %6 は、メールボックスの legacyDN を表します。
- %7 は、フォルダを開くために管理者権限が使用されたかどうかを示すフラグです。
- %8 は、相対的に一意の識別子です。このパラメータを使用して、短期間における一連の操作を関連付けることができます。
クライアント情報 :
- %9 は、コンピュータ名を表します。
- %10 は、クライアントによって作成されるアドレスを表します。この値は、サーバーへの接続に使用されたプロトコルに依存します。ローカル接続 (同じコンピュータからの接続) ではコンピュータ名が使用されます。Exchange バイナリ ファイルによって、可能であれば IPV6 アドレスが送信され、IPV6 アドレスを送信できない場合は IPV4 アドレスが送信されます。IP アドレスが送信される場合、それは、クライアントによって識別される IP アドレスを表します。クライアントが NAT ゲートウェイの背後にある場合は、IP アドレスに識別アドレスが含まれないことがあります。
- %11 は、プロセス名を表します。これは、オブジェクトにアクセスするための呼び出しを行ったアプリケーション バイナリ ファイルです。
- %12 は、プロセス ID (PID) を表します。これは、特定のプロセスの数値識別子です。
- %13 はアプリケーション ID を表します。これは、Powershell.exe のインスタンス間の区別を可能にするためにクライアントによって設定される値です。または、サーバーにアクセスするための操作中に、プロセス内のアドインをアドインとしてラベル付けすることを可能にするイベントです。
Folder Access イベント ログ エントリの例
ログ名 : Exchange Auditing ソース : MSExchangeIS Auditing イベント ID : 10100 タスク カテゴリ : メールボックス アクセス監査 レベル : 情報 キーワード : クラシック 説明 : メールボックス 'UserA' 内のフォルダ /Inbox がユーザー CONTOSO\UserB によって開かれました 表示名: 受信トレイ アクセスしたユーザー : /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB 管理者権限 : false 識別子 : 00000000318A00E0 クライアント情報 (利用できる場合) コンピュータ名 : <クライアント名> アドレス : <IP アドレス> プロセス名 : OUTLOOK.EXE プロセス ID : 0 アプリケーション ID : 該当なし |
Message Access 監査
Message Access イベントは、Exchange インフォメーション ストア内のメッセージを正常に開いたことを示します。メッセージでは、基本イベントはサポートされません。すべてのメッセージ アクセスは、管理者が設定するログ出力レベルに基づいて監査されます。次の表に、Message Access カテゴリについて、記録されるイベントをログ出力レベル別に示します。
カテゴリ : Message Access
ログ出力レベル | 管理者権限が必要かどうか | 操作を実行するユーザー | メールボックス | 結果 |
---|---|---|---|---|
0 |
該当なし |
該当なし |
該当なし |
なし |
1 |
不要 |
該当なし |
該当なし |
なし |
1 |
必要 |
該当なし |
該当なし |
基本イベント |
2 |
該当なし |
該当なし |
該当なし |
該当なし |
2 |
該当なし |
該当なし |
該当なし |
該当なし |
3 |
該当なし |
該当なし |
該当なし |
該当なし |
3 |
該当なし |
該当なし |
該当なし |
該当なし |
4 |
該当なし |
UserA |
UserA |
なし |
4 |
該当なし |
UserA |
UserB |
すべてのイベント |
5 |
該当なし |
UserA |
UserA |
すべてのイベント |
5 |
該当なし |
UserA |
UserB |
すべてのイベント |
Message Access 監査を有効にした場合、次のようなイベントが記録されます。
イベント ID : 10102 重要度 : 情報 機能 : AccessAuditing メールボックス %3 内のメッセージ %1 がユーザー %4 によって開かれました フォルダ : %2 アクセスしたユーザー : %5 メールボックス : %6 管理者権限 : %7 識別子 : %8 クライアント情報 (利用できる場合): コンピュータ名 : %9 アドレス : %10 プロセス名 : %11 プロセス ID : %12 アプリケーション ID : %13 |
このイベント メッセージのパラメータが表している項目は次のとおりです。
- %1 は、開いているメッセージのインターネット メッセージ ID を表します。
- %3 は、メッセージが保存されているメールボックスを表します。
- %4 は、インフォメーション ストアに対して認証されているユーザーを表します。
- %5 は、メッセージを開いたユーザーの legacyDN を表します。
- %6 は、メールボックスの legacyDN を表します。
- %7 は、メッセージを開くために管理者権限が使用されたかどうかを示すフラグです。
- %8 は、相対的に一意の識別子であり、このパラメータを使用して、短期間における一連の操作を関連付けることができます。
クライアント情報
- %9 は、コンピュータ名を表します。
- %10 は、クライアントによって作成されるアドレスを表します。この値は、サーバーへの接続に使用されたプロトコルに依存します。ローカル接続 (同じコンピュータからの接続) ではコンピュータ名が使用されます。Exchange バイナリ ファイルによって、可能であれば IPV6 アドレスが送信され、IPV6 アドレスを送信できない場合は IPV4 アドレスが送信されます。IP アドレスが送信される場合、それは、クライアントによって識別される IP アドレスを表します。クライアントが NAT ゲートウェイの背後にある場合は、IP アドレスに識別アドレスが含まれないことがあります。
- %11 は、プロセス名を表します。これは、オブジェクトにアクセスするための呼び出しを行ったアプリケーション バイナリ ファイルです。
- %12 は、プロセス ID (PID) を表します。これは、特定のプロセスの数値識別子です。
- %13 はアプリケーション ID を表します。これは、Powershell.exe のインスタンス間の区別を可能にするためにクライアントによって設定される値です。または、サーバーにアクセスするための操作中に、プロセス内のアドインをアドインとしてラベル付けすることを可能にするイベントです。
Message Access イベント ログ エントリの例
ログ名 : Exchange Auditing ソース : MSExchangeIS Auditing 日付 : <日付> イベント ID : 10102 タスク カテゴリ : メールボックス アクセス監査 レベル : 情報 キーワード : クラシック 説明 : メールボックス UserA 内のメッセージ <BA15978123F9C848B820A8C5C1DC29B5F06B6F@Server.Contoso.com> がユーザー CONTOSO\UserB によって開かれました フォルダ : /Inbox アクセスしたユーザー : /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB 管理者権限 : false 識別子 : 00000000318A00E0 クライアント情報 (利用できる場合) コンピュータ名 : <クライアント名> アドレス : <IP アドレス> プロセス名 : OUTLOOK.EXE プロセス ID : 0 アプリケーション ID : 該当なし |
Extended Send As 監査
Extended Send As イベントは、あるユーザーが別のユーザーとしてメッセージを送信したことを示します。Extended Send As イベントは、基本イベントをサポートせず、あるユーザーが別のユーザーとしてメッセージを送信した場合のみに該当します。ログ出力レベル 1 では、ユーザーが管理者権限を使用してメールボックスを開き、別のユーザーとしてメッセージを送信した場合にのみイベントが記録されます。ログ出力レベル 5 では、あるユーザーが別のユーザーとしてメッセージを送信した場合にイベントが記録されます。次の表に、Extended Send As カテゴリについて、記録されるイベントをログ出力レベル別に示します。
カテゴリ : Extended Send As
ログ出力レベル | 管理者権限が必要かどうか | 操作を実行するユーザー | メールボックス | 結果 |
---|---|---|---|---|
0 |
該当なし |
該当なし |
該当なし |
なし |
1 |
不要 |
UserA |
UserA |
該当なし |
1 |
必要 |
UserA |
UserB |
すべてのイベント |
2 |
該当なし |
該当なし |
該当なし |
該当なし |
2 |
該当なし |
該当なし |
該当なし |
該当なし |
3 |
該当なし |
該当なし |
該当なし |
該当なし |
3 |
該当なし |
該当なし |
該当なし |
該当なし |
4 |
該当なし |
該当なし |
該当なし |
該当なし |
4 |
該当なし |
該当なし |
該当なし |
該当なし |
5 |
該当なし |
UserA |
UserA |
該当なし |
5 |
該当なし |
UserA |
UserB |
すべてのイベント |
Extended Send As 監査を有効にした場合、次のようなイベントが記録されます。
イベント ID : 10106 重要度 : 情報 機能 : SendAs %1 は、%2 としてメッセージを送信しました メッセージ ID : %3 アカウント名 : %4 アクセスしたユーザー : %5 メールボックス : %6 管理者権限 : %7 識別子 : %8 クライアント情報 (利用できる場合): コンピュータ名 : %9 アドレス : %10 プロセス名 : %11 プロセス ID : %12 アプリケーション ID : %13 |
このイベント メッセージのパラメータが表している項目は次のとおりです。
- %1 は、実際に送信したユーザーの legacyDN を表します。
- %2 は、送信者として使用されたユーザーの legacyDN を表します。
- %3 は、メッセージのインターネット メッセージ ID を表します。
- %4 は、インフォメーション ストアに対して認証されているユーザーを表します。
- %5 は、アクセスしたユーザーの legacyDN を表します。
- %6 は、メールボックスの legacyDN を表します。
- %7 は、メッセージを送信するために管理者権限が使用されたかどうかを示すフラグです。
- %8 は、相対的に一意の識別子であり、このパラメータを使用して、短期間におけるイベントを関連付けることができます。
クライアント情報
- %9 は、コンピュータ名を表します。
- %10 は、クライアントによって作成されるアドレスを表します。この値は、サーバーへの接続に使用されたプロトコルに依存します。ローカル接続 (同じコンピュータからの接続) ではコンピュータ名が使用されます。Exchange バイナリ ファイルによって、可能であれば IPV6 アドレスが送信され、IPV6 アドレスを送信できない場合は IPV4 アドレスが送信されます。IP アドレスが送信される場合、それは、クライアントによって識別される IP アドレスを表します。クライアントが NAT ゲートウェイの背後にある場合は、IP アドレスに識別アドレスが含まれないことがあります。
- %11 は、プロセス名を表します。これは、オブジェクトにアクセスするための呼び出しを行ったアプリケーション バイナリ ファイルです。
- %12 は、プロセス ID (PID) を表します。これは、特定のプロセスの数値識別子です。
- %13 はアプリケーション ID を表します。これは、Powershell.exe のインスタンス間の区別を可能にするためにクライアントによって設定される値です。または、サーバーにアクセスするための操作中に、プロセス内のアドインをアドインとしてラベル付けすることを可能にするイベントです。
Send As アクセス許可を付与する方法の詳細については、「メールボックスに対する送信者アクセス許可を与える方法」を参照してください。
Send As イベント ログ エントリの例
ログ名 : Exchange Auditing ソース : MSExchangeIS Auditing 日付 : <日付> イベント ID : 10106 タスク カテゴリ : 送信者 レベル : 情報 キーワード : クラシック 説明 : /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB は、/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserA としてメッセージを送信しました メッセージ ID : <BA15978123F9C848B820A8C5C1DC29B5038E9D50@Server.Contoso.com> メールボックス : UserB アカウント名 : CONTOSO\UserB アクセスしたユーザー : /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB メールボックス : <NULL> 管理者権限 : false 識別子 : 00000000317A7130 クライアント情報 (利用できる場合) コンピュータ名 : <クライアント名> アドレス : <IP アドレス> プロセス名 : OUTLOOK.EXE プロセス ID : 0 アプリケーション ID : 該当なし |
Extended Send On Behalf Of 監査
Extended Send On Behalf Of イベントは、あるユーザーが別のユーザーの代わりにメッセージを送信したことを示します。Extended Send On Behalf Of イベントは、基本イベントをサポートせず、あるユーザーが別のユーザーの代わりにメッセージを送信した場合のみに該当します。ログ出力レベル 1 では、ユーザーが管理者権限を使用してメールボックスを開き、別のユーザーの代わりにメッセージを送信した場合にのみイベントが記録されます。ログ出力レベル 5 では、あるユーザーが別のユーザーの代わりにメッセージを送信した場合にイベントが記録されます。次の表に、Extended Send On Behalf Of カテゴリについて、記録されるイベントをログ出力レベル別に示します。
カテゴリ : Extended Send On Behalf Of
ログ出力レベル | 管理者権限が必要かどうか | 操作を実行するユーザー | メールボックス | 結果 |
---|---|---|---|---|
0 |
該当なし |
該当なし |
該当なし |
なし |
1 |
不要 |
UserA |
UserA |
該当なし |
1 |
必要 |
UserA |
UserB |
すべてのイベント |
2 |
該当なし |
該当なし |
該当なし |
該当なし |
2 |
該当なし |
該当なし |
該当なし |
該当なし |
3 |
該当なし |
該当なし |
該当なし |
該当なし |
3 |
該当なし |
該当なし |
該当なし |
該当なし |
4 |
該当なし |
該当なし |
該当なし |
該当なし |
4 |
該当なし |
該当なし |
該当なし |
該当なし |
5 |
該当なし |
UserA |
UserA |
該当なし |
5 |
該当なし |
UserA |
UserB |
すべてのイベント |
Extended Send On Behalf Of 監査を有効にした場合、次のようなイベントが記録されます。
イベント ID : 10104 重要度 : 情報 機能 : SendOnBehalfOf %1 は、%2 の代わりにメッセージを送信しました メッセージ ID : %3 アカウント名 : %4 アクセスしたユーザー : %5 メールボックス : %6 管理者権限 : %7 識別子 : %8 クライアント情報 (利用できる場合): コンピュータ名 : %9 アドレス : %10 プロセス名 : %11 プロセス ID : %12 アプリケーション ID : %13 |
このイベント メッセージのパラメータが表している項目は次のとおりです。
- %1 は、実際に送信したユーザーの legacyDN を表します。
- %2 は、だれの代わりに送信したのか、そのユーザーの legacyDN を表します。
- %3 は、メッセージのインターネット メッセージ ID を表します。
- %4 は、インフォメーション ストアに対して認証されているユーザーを表します。
- %5 は、アクセスしたユーザーの legacyDN を表します。
- %6 は、メールボックスの legacyDN を表します。
- %7 は、メッセージを送信するために管理者権限が使用されたかどうかを示すフラグです。
- %8 は、相対的に一意の識別子であり、このパラメータを使用して、短期間におけるイベントを関連付けることができます。
クライアント情報
- %9 は、コンピュータ名を表します。
- %10 は、クライアントによって作成されるアドレスを表します。この値は、サーバーへの接続に使用されたプロトコルに依存します。ローカル接続 (同じコンピュータからの接続) ではコンピュータ名が使用されます。Exchange バイナリ ファイルによって、可能であれば IPV6 アドレスが送信され、IPV6 アドレスを送信できない場合は IPV4 アドレスが送信されます。IP アドレスが送信される場合、それは、クライアントによって識別される IP アドレスを表します。クライアントが NAT ゲートウェイの背後にある場合は、IP アドレスに識別アドレスが含まれないことがあります。
- %11 は、プロセス名を表します。これは、オブジェクトにアクセスするための呼び出しを行ったアプリケーション バイナリ ファイルです。
- %12 は、プロセス ID (PID) を表します。これは、特定のプロセスの数値識別子です。
- %13 はアプリケーション ID を表します。これは、Powershell.exe のインスタンス間の区別を可能にするためにクライアントによって設定される値です。または、サーバーにアクセスするための操作中に、プロセス内のアドインをアドインとしてラベル付けすることを可能にするイベントです。
Send on Behalf Of イベント ログ エントリの例
ログ名 : Exchange Auditing ソース : MSExchangeIS Auditing 日付 : <日付> イベント ID : 10104 タスク カテゴリ : Send On Behalf Of レベル : 情報 キーワード : クラシック 説明 : /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB は、/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserA の代わりにメッセージを送信しました メッセージ ID : <BA15978123F9C848B820A8C5C1DC29B50406C46E@Server.Contoso.com> メールボックス : UserB アカウント名 : CONTOSO\UserB アクセスしたユーザー : /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB メールボックス : <NULL> 管理者権限 : false 識別子 : 0000000031718B30 クライアント情報 (利用できる場合) コンピュータ名 : <クライアント名> アドレス : <IP アドレス> プロセス名 : OUTLOOK.EXE プロセス ID : 0 アプリケーション ID : 該当なし |
監査のバイパス権限
複数のユーザー メールボックスに信頼サービス アカウントとしてログオンするアプリケーションの場合、監査のために高い負荷が生じます。これは、サービス アカウントによる各メールボックスへのアクセス操作が記録されるためです。
Exchange 2007 SP2 では、新しい拡張権限がスキーマに追加されました。これが、監査のバイパス権限です。監査のバイパス権限によって、その権限が付与されたユーザー アカウントによる操作は記録されなくなります。したがって、監査のバイパス権限は、監査対象のユーザーには付与しないでください。
注 : |
---|
Windows では、既定で、Domain Administrators グループにはすべての拡張された権限が付与されます。すべてのメールボックス アクセスを監査する必要がある場合、ドメイン管理者を "メールが有効" にしないでください。ドメイン管理者の監査を可能にするには、Exchange 組織レベルで監査のバイパス権限を拒否するという方法があります。これにより、メールが有効な Domain Administrator アカウントの監査が可能になります。たとえば、Domain Admins グループの監査のバイパス権限を拒否するには、Exchange 管理シェルで次のコマンドを実行します。 Add-ADPermission -Identity "CN=Contoso,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "Domain\Domain Admins" -AccessRights ExtendedRight -ExtendedRights Ms-Exch-Store-Bypass-Access-Auditing -Deny:$true |
Add-ADPermission コマンドレットを使用して、各メールボックス データベースに適切な権限を付与し、特定のサービス アカウントに対する監査をバイパスできます。たとえば、Example\ServiceAccount に Bypass Access Auditing 権限を付与するには、次のコマンドを Exchange 管理シェルから実行します。
get-mailboxdatabase -Identity "Server01\StorageGroup01\MailboxDatabase01" | Add-ADPermission -User example\ServiceAccount -ExtendedRights ms-Exch-Store-Bypass-Access-Auditing -InheritanceType All
監査戦略の選択
Exchange におけるメールボックス アクセスの監査は、複雑なプロセスであり、情報の使用目的、組織の特定の監査要件、使用中のアプリケーション、および管理者の信頼レベルによって異なります。
最高レベルの監査要件を持つ組織の場合は、Windows NT のセキュリティ監査が最適なソリューションです。この形式の監査では、すべてのユーザーによるすべてのオブジェクトへのアクセスが記録され、記録された情報はセキュリティ ログに格納されます。
Exchange アクセス監査は、Windows の監査セキュリティを必要としない組織に適しています。Exchange アクセス監査は、以下を監査の対象とする組織に適しています。
- メールボックスを開くために管理者権限を使用する管理者のみ。
- ユーザーが別のユーザーのメールボックスを開く場合のみ。
- アクセス先のリソースが IPM サブツリーにある場合のみ。
管理者権限を使用した管理者アクセスの監査
診断ログ出力レベル 1 では、すべてのカテゴリで、メールボックスにアクセスするために管理者権限が使用されたイベントのみが記録されます。Exchange のアクセス監査を使用する組織は、既定では、Exchange 管理者が診断ログ出力レベルを変更したり、Exchange アクセス監査イベント ログを消去したりできることに注意してください。また、Exchange 管理者は監査のバイパス権限を付与することもできます。Exchange 管理者のみを監査する組織は、Exchange 管理者がログ出力レベルやセキュリティ記述子を変更したり、イベント ログを消去したりするのを防止するために、分割アクセス許可モデルを実装する必要があります。
あるメールボックスから別のメールボックスへのアクセスのみの監査
ログ出力レベル 2 および 4 では、メールが有効なユーザーが、メールボックスが有効な別のユーザーのフォルダまたはメッセージを開くと、フォルダおよびメッセージ アクセス監査によってイベントが記録されます。このログ出力レベルでは、すべての種類の共有メールボックス アクセスが検出されるわけではありません。共有メールボックスまたはリソース メールボックスは、無効化されたユーザー アカウントと関連付けられており、追加のユーザーがそのメールボックスへのアクセスを許可されます。追加のユーザーが、メールボックスが有効なユーザーではない場合、共有メールボックスまたはリソース メールボックスへのアクセスは、診断レベル 2 または 4 では記録されません。
基本イベントの監査とすべてのイベントの監査
診断レベル 2 および 3 では、Folder Access 監査で基本イベントまたはすべてのイベントが記録されます。基本イベントには、IPM サブツリーのサブフォルダであるフォルダのみが含まれます。または、非 IPM サブツリーの 2 番目のランクのフォルダまたは高位のサブフォルダが含まれます (これらの場所にデータをキャッシュするアプリケーションの場合)。より高い診断レベルを有効化すると、より多くのイベントが記録されます。この追加のログにより、サーバー上の負荷が増加します。また、ログ出力レベルが上がると、空き時間情報キャッシュの検索操作など、記録する必要がないイベントが誤って記録されることがあります。空き時間情報キャッシュの検索操作は、メールボックスのルートにアクセスします。これらは、悪意のない検索操作です。
組織において、基本イベントまたは拡張イベントの監査が必要かどうかを決定するには、組織に展開されているアプリケーションと、機密ユーザー データの格納場所を把握する必要があります。アプリケーションによって機密ユーザー データが非 IPM サブツリーの直下の子フォルダに格納されている場合、特定のフォルダへのアクセスが記録されるのは、すべてのイベントのログ (診断レベル 4 または 5) のみです。
アクセス監査の制限事項
詳細なクライアント情報
詳細なクライアント情報ブロックを送信しないクライアント プログラムでは、クライアント情報が含まれない監査イベントが生成されます。これらは、Outlook 2003 より前のバージョンの Outlook です。
フォルダ コンテンツ テーブル
Message Access 監査では、メールボックスから取得される情報の一部は検出できません。これは、よく使用されるメッセージ プロパティの概要テーブルであるフォルダ コンテンツ テーブルにアクセスする場合、ユーザーはメッセージを開く必要がないためです。メッセージ フォルダ テーブルの一部としては、メッセージの件名、受信者情報、および多数の基本的なメッセージ プロパティがあります。この情報は、メッセージを開くことなく読み取ることができ、メッセージ アクセス イベントは生成されません。
セキュリティ上の考慮事項
組織で、その監査要件に対してアクセス監査を選択した場合、いくつかのセキュリティ シナリオを検討して、監査ログへのアクセスを完全にセキュリティで保護し、ログの内容を保護するための最終コストを評価する必要があります。
監査のバイパス
ユーザーに監査のバイパス拡張権限が付与されている場合、そのユーザーは監査されません。Active Directory ACL を監視して、書き込みセキュリティ記述子アクセスを持つユーザーが、自身に監査のバイパス権限を付与していないことを確認することをお勧めします。
ドメイン管理者
Windows では、ドメイン管理者にすべての拡張された権限が付与されます。すべてのメールボックス アクセスを監査する必要がある場合、ドメイン管理者を "メールが有効" にしないでください。
診断ログの変更
診断ログ出力レベルによって、Exchange 監査イベント ログに記録されるイベントが制御されるため、特定のカテゴリに対する診断ログ出力レベルを変更すると、予期しない結果になることがあります。たとえば、予期したイベントが記録されなくなることがあります。また、Store.exe プロセスは、どのユーザーがログ出力レベルを変更したのか、また、ログ出力レベルが前のセッションから変更されたのかどうかも識別できないため、Store.exe プロセスでは監査構成に対する変更を識別できません。
ローカルの Administrator
Exchange 監査ログには、監査されたイベントのレコードが含まれており、イベント ビューアには、一般ユーザーによるイベント ログの消去を防止する ACL があります。ローカル管理者が適切なレジストリ キーを所有している場合、[CustomSD] 値をリセットしてから、サーバーを再起動すると、管理者は Exchange 監査ログを消去できます。
パフォーマンス上の考慮事項
Exchange 監査イベント ログは、サーバー構成およびユーザーの操作によっては、トラフィックの多いイベント ログになる場合もあります。したがって、Exchange 監査イベント ログは十分な空き領域があり、高速な書き込み操作をサポートできる専用ハード ディスク ドライブに配置することをお勧めします。
Exchange 監査イベント ログを構成する方法の詳細については、以下のトピックを参照してください。
- Exchange 監査イベント ログの自動アーカイブを構成する方法
- Exchange 監査イベント ログのサイズと場所を構成する方法
- Exchange 監査の現在のログ出力レベルの表示方法
- Exchange 監査のログ出力レベルの変更方法
詳細情報
Exchange で診断ログ出力レベルを変更する方法の詳細については、「Exchange プロセスのログ出力レベルを変更する方法」を参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。