사서함 감사 로깅 이해

 

적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3

마지막으로 수정된 항목: 2016-11-28

사서함에 HBI(높은 업무상의 영향) 정보 및 PII(개인 식별이 가능한 정보)가 포함될 수 있으므로 조직의 사서함에 로그온하는 사람과 수행되는 작업을 추적하는 것이 중요합니다. 사서함 소유자가 아닌 사용자의 사서함 액세스를 추적하는 것이 특히 중요합니다. 이러한 사용자를 위임 사용자라고 합니다.

사서함 감사 로깅을 사용하면 사서함 소유자, 관리자 및 대리인(전체 사서함 액세스 권한이 있는 관리자 포함)의 사서함 액세스를 로깅할 수 있습니다. 다음 시나리오에서 관리자만 사서함에 액세스한다고 간주됩니다.

사서함에 대해 감사 로깅을 사용하도록 설정할 때 로그온 유형(관리자, 위임 사용자 또는 소유자)에 대해 로깅할 사용자 작업(예: 메시지 액세스, 이동 또는 삭제)를 지정할 수 있습니다. 감사 로그 항목에는 클라이언트 IP 주소, 호스트 이름, 사서함 액세스에 사용된 프로세스 또는 클라이언트 등의 중요한 정보도 포함됩니다. 이동한 항목의 경우 대상 폴더의 이름도 항목에 포함됩니다.

참고

검색 사서함과 같이 보다 중요한 정보가 포함될 수 있는 사서함의 경우 메시지 삭제 등의 사서함 소유자 작업에 대해 사서함 감사 로깅을 사용하도록 설정하는 것이 좋습니다.

목차

사서함 감사 로그

사서함 감사 로깅 사용

사서함 감사 로그 항목 검색

사서함 감사 로그 항목

사서함 감사 로그

사서함 감사 로그는 사서함 감사 로깅을 사용할 수 있는 각 사서함에 대해 생성됩니다. 로그 항목은 감사된 사서함에 대한 복구 가능한 항목 폴더의 감사 하위 폴더에 저장됩니다. 이렇게 하면 사서함 액세스에 사용된 클라이언트 액세스 방법이나 관리자가 사서함 감사 로그에 액세스하는 데 사용한 서버 또는 워크스테이션에 관계없이 단일 위치에서 모든 감사 로그를 사용할 수 있습니다. 사서함을 다른 사서함 서버로 이동하면 해당 사서함의 사서함 감사 로그도 이동됩니다. 사서함 감사 로그는 사서함에 있기 때문입니다.

기본적으로 사서함 감사 로그 항목은 사서함에 90일 동안 보존된 다음 삭제됩니다. Set-Mailbox cmdlet과 함께 AuditLogAgeLimit 매개 변수를 사용하여 이 보존 기간을 수정할 수 있습니다. 사서함이 소송 보존 중인 경우 사서함에 대한 감사 로그 보존 기간에 도달할 때까지만 감사 로그 항목이 보존됩니다. 감사 로그 항목을 더 오래 보존하려면 AuditLogAgeLimit 매개 변수 값을 변경하여 보존 기간을 늘리거나 보존 기간에 도달하기 전에 감사 로그 항목을 내보내야 합니다. 자세한 내용은 사서함 감사 로그 검색 만들기를 참조하십시오.

사서함 감사 로그

사서함 감사 로깅 사용

사서함 감사 로깅은 사서함별로 사용하도록 설정됩니다. Set-Mailbox cmdlet을 사용하여 사서함 감사 로깅을 사용하거나 사용하지 않도록 설정할 수 있습니다. 자세한 내용은 사서함에 대한 사서함 감사 로깅을 사용하거나 또는 사용하지 않도록 설정 항목을 참조하십시오.

사서함에 대해 사서함 감사 로깅을 사용하도록 설정하면 기본적으로 사서함 액세스와 특정 관리자 및 대리인 작업이 로깅됩니다. 사서함 소유자가 수행한 작업을 로깅하려면 감사할 소유자 작업을 지정해야 합니다. 다음 표에는 작업이 로깅되는 로그온 유형을 비롯하여 사서함 감사 로깅으로 로깅되는 작업이 나와 있습니다.

사서함 감사 로깅으로 로깅되는 사서함 작업

작업 설명 관리자 대리인 소유자

Copy

항목이 다른 폴더에 복사되었습니다.

아니요

아니요

Create

사서함에 항목이 생성되었습니다. 예를 들어 메시지를 보내거나 받았습니다.

참고

폴더 생성은 감사되지 않습니다.

예*

예*

FolderBind

사서함 폴더가 액세스되었습니다.***

예*

예**

아니요

HardDelete

항목이 복구 가능한 항목 폴더에서 영구적으로 삭제되었습니다.

예*

예*

MessageBind

항목이 읽기 창에서 액세스되었거나 열렸습니다.***

아니요

아니요

Move

항목이 다른 폴더로 이동되었습니다.

예*

MoveToDeletedItems

항목이 지운 편지함 폴더로 이동되었습니다.

예*

SendAs

메시지가 다른 사람 이름으로 보내기 권한을 사용하여 전송되었습니다.

예*

예*

해당 없음

SendOnBehalf

메시지가 대신 보내기 권한을 사용하여 전송되었습니다.

예*

해당 없음

SoftDelete

항목이 지운 편지함 폴더에서 삭제되었습니다.

예*

예*

Update

항목의 속성이 업데이트되었습니다.

예*

예*

Copy

항목이 다른 폴더에 복사되었습니다.

아니요

아니요

Create

사서함에 항목이 생성되었습니다. 예를 들어 메시지를 보내거나 받았습니다.

참고

폴더 생성은 감사되지 않습니다.

예*

예*

FolderBind

사서함 폴더가 액세스되었습니다.***

예*

예**

아니요

HardDelete

항목이 복구 가능한 항목 폴더에서 영구적으로 삭제되었습니다.

예*

예*

MessageBind

항목이 읽기 창에서 액세스되었거나 열렸습니다.***

아니요

아니요

Move

항목이 다른 폴더로 이동되었습니다.

예*

MoveToDeletedItems

항목이 지운 편지함 폴더로 이동되었습니다.

예*

SendAs

메시지가 다른 사람 이름으로 보내기 권한을 사용하여 전송되었습니다.

예*

예*

해당 없음

SendOnBehalf

메시지가 대신 보내기 권한을 사용하여 전송되었습니다.

예*

해당 없음

SoftDelete

항목이 지운 편지함 폴더에서 삭제되었습니다.

예*

예*

Update

항목의 속성이 업데이트되었습니다.

예*

예*

* 사서함에 대해 감사를 사용하는 경우 기본적으로 감사됩니다. ** 대리인이 수행하는 폴더 바인드 작업의 항목이 통합됩니다. 24시간 이내에 개별 폴더 액세스에 대해 로그 항목 하나가 생성됩니다. *** FolderBind 및 MessageBind는 기본 일정에 대해 로깅되지 않습니다.

타사 도구에 사용되는 계정이나 합법적인 모니터링에 사용되는 계정 등 권한 있는 자동화된 프로세스에 의한 사서함 액세스는 사서함 감사 로그 항목을 너무 많이 생성할 수 있으며 조직에 중요하지 않을 수도 있습니다. 사서함 감사 로깅을 무시하도록 해당 계정을 구성할 수 있습니다. 자세한 내용은 사서함 감사 로깅에서 사용자 계정 바이패스 항목을 참조하십시오.

특정 유형의 사서함 작업을 더 이상 감사할 필요가 없는 경우 사서함의 감사 로깅 구성을 수정하여 해당 작업을 사용하지 않도록 설정해야 합니다. 기존 로그 항목은 사서함에 대해 구성된 감사 로그 보존 기간에 도달할 때까지 제거되지 않습니다.

사서함 감사 로그

사서함 감사 로그 항목 검색

다음 방법을 사용하여 사서함 감사 로그 항목을 검색할 수 있습니다.

  • 동기적으로 단일 사서함 검색** Search-MailboxAuditLog** cmdlet을 사용하여 단일 사서함에 대한 사서함 감사 로그 항목을 동기적으로 검색할 수 있습니다. 이 cmdlet은 Exchange 관리 셸 창에 검색 결과를 표시합니다. 자세한 내용은 Search-MailboxAuditLog사서함에 대한 사서함 감사 로그 검색을 참조하십시오.

  • 비동기적으로 하나 이상의 사서함 검색   사서함 감사 로그 검색을 만들어 하나 이상의 사서함에 대한 사서함 감사 로그를 비동기적으로 검색한 다음 검색 결과를 특정 전자 메일 주소로 보낼 수 있습니다. 검색 결과는 XML 첨부 파일로 전송됩니다. 검색을 만들려면 New-MailboxAuditLogSearch cmdlet을 사용합니다. 자세한 내용은 사서함 감사 로그 검색 만들기 항목을 참조하십시오.

  • Exchange 제어판에서 감사 보고서 사용   ECP(Exchange 제어판)의 감사 탭을 사용하여 감사 보고서를 실행하거나 사서함 감사 로그 및 관리자 감사 로그에서 항목을 내보낼 수 있습니다. 자세한 내용은 감사 탭을 참조하십시오.

사서함 감사 로그 항목

다음 표에서는 사서함 감사 로깅 항목에 로깅되는 필드에 대해 설명합니다.

사서함 감사 로그 필드

필드 채워지는 값

Operation

다음 작업 중 하나

  • Copy

  • Create

  • FolderBind

  • HardDelete

  • MessageBind

  • Move

  • MoveToDeletedItems

  • SendAs

  • SendOnBehalf

  • SoftDelete

  • Update

OperationResult

다음 결과 중 하나

  • Failed

  • PartiallySucceeded

  • Succeeded

LogonType

작업을 수행한 사용자의 로그온 유형. 로그온 유형에는 다음이 포함됩니다.

  • 소유자

  • 대리인

  • 관리

DestFolderId

이동 작업의 대상 폴더 GUID

DestFolderPathName

이동 작업의 대상 폴더 경로

FolderId

폴더 GUID

FolderPathName

폴더 경로

ClientInfoString

작업을 수행한 클라이언트 또는 Exchange 구성 요소를 식별하는 세부 정보

ClientIPAddress

클라이언트 컴퓨터 IP 주소

ClientMachineName

클라이언트 컴퓨터 이름

ClientProcessName

클라이언트 응용 프로그램 프로세스의 이름

ClientVersion

클라이언트 응용 프로그램 버전

InternalLogonType

작업을 수행한 사용자의 로그온 유형 로그온 유형에는 다음이 포함됩니다.

  • 소유자

  • 대리인

  • 관리자

MailboxOwnerUPN

사서함 소유자 UPN(사용자 계정 이름)

MailboxOwnerSid

사서함 소유자 SID(보안 식별자)

DestMailboxOwnerUPN

사서함 간 작업에 대해 로깅된 대상 사서함 소유자 UPN

DestMailboxOwnerSid

사서함 간 작업에 대해 로깅된 대상 사서함 소유자 SID

DestMailboxOwnerGuid

대상 사서함 소유자 GUID

CrossMailboxOperation

로깅된 작업이 사서함 간 작업(예: 사서함 간 메시지 복사 또는 이동)인지 여부에 대한 정보

LogonUserDisplayName

로그온한 사용자의 표시 이름

DelegateUserDisplayName

위임 사용자 표시 이름

LogonUserSid

로그온한 사용자의 SID

SourceItems

로깅된 작업(예: 이동 또는 삭제)이 수행된 사서함 항목의 ItemID. 많은 항목에 대해 수행된 작업의 경우 이 필드가 항목 모음으로 반환됩니다.

SourceFolders

원본 폴더 GUID

ItemId

항목 ID

ItemSubject

항목 제목

MailboxGuid

사서함 GUID

MailboxResolvedOwnerName

DOMAIN\SamAccountName 형식의 사서함 사용자 확인 이름

LastAccessed

작업이 수행된 시간

Identity

감사 로그 항목 ID

Operation

다음 작업 중 하나

  • Copy

  • Create

  • FolderBind

  • HardDelete

  • MessageBind

  • Move

  • MoveToDeletedItems

  • SendAs

  • SendOnBehalf

  • SoftDelete

  • Update

OperationResult

다음 결과 중 하나

  • Failed

  • PartiallySucceeded

  • Succeeded

LogonType

작업을 수행한 사용자의 로그온 유형. 로그온 유형에는 다음이 포함됩니다.

  • 소유자

  • 대리인

  • 관리

DestFolderId

이동 작업의 대상 폴더 GUID

DestFolderPathName

이동 작업의 대상 폴더 경로

FolderId

폴더 GUID

FolderPathName

폴더 경로

ClientInfoString

작업을 수행한 클라이언트 또는 Exchange 구성 요소를 식별하는 세부 정보

ClientIPAddress

클라이언트 컴퓨터 IP 주소

ClientMachineName

클라이언트 컴퓨터 이름

ClientProcessName

클라이언트 응용 프로그램 프로세스의 이름

ClientVersion

클라이언트 응용 프로그램 버전

InternalLogonType

작업을 수행한 사용자의 로그온 유형 로그온 유형에는 다음이 포함됩니다.

  • 소유자

  • 대리인

  • 관리자

MailboxOwnerUPN

사서함 소유자 UPN(사용자 계정 이름)

MailboxOwnerSid

사서함 소유자 SID(보안 식별자)

DestMailboxOwnerUPN

사서함 간 작업에 대해 로깅된 대상 사서함 소유자 UPN

DestMailboxOwnerSid

사서함 간 작업에 대해 로깅된 대상 사서함 소유자 SID

DestMailboxOwnerGuid

대상 사서함 소유자 GUID

CrossMailboxOperation

로깅된 작업이 사서함 간 작업(예: 사서함 간 메시지 복사 또는 이동)인지 여부에 대한 정보

LogonUserDisplayName

로그온한 사용자의 표시 이름

DelegateUserDisplayName

위임 사용자 표시 이름

LogonUserSid

로그온한 사용자의 SID

SourceItems

로깅된 작업(예: 이동 또는 삭제)이 수행된 사서함 항목의 ItemID. 많은 항목에 대해 수행된 작업의 경우 이 필드가 항목 모음으로 반환됩니다.

SourceFolders

원본 폴더 GUID

ItemId

항목 ID

ItemSubject

항목 제목

MailboxGuid

사서함 GUID

MailboxResolvedOwnerName

DOMAIN\SamAccountName 형식의 사서함 사용자 확인 이름

LastAccessed

작업이 수행된 시간

Identity

감사 로그 항목 ID

사서함 감사 로그

 © 2010 Microsoft Corporation. 모든 권리 보유.