Exchange Server 中的日誌

  • 發行項

Exchange Server 中的日誌記錄可藉由記錄所有或目標電子郵件訊息,協助貴組織回應法律、法規和組織合規性需求。 與 2010 年 Exchange Server 相比,Exchange Server 中的日誌記錄基本上保持不變。

Exchange 提供下列日誌選項:

  • 標準日誌:記錄特定信箱資料庫上信箱傳送及接收的所有訊息。 若要記錄組織中的所有郵件日誌,您必須在所有 Exchange 伺服器上的所有信箱資料庫上設定紀錄記錄。

  • 進階日誌:使用 日誌規則 ,根據收件者 (所有收件者或指定的收件者) 來記錄郵件,並將範圍 (內部訊息、外部訊息或所有訊息) 。 進階日誌需要 Exchange Enterprise 用戶端存取授權 (CAL) 。 如需 CAL 的詳細資訊,請參閱 Exchange 授權常見問題

若要設定日誌記錄,請參閱 Exchange Server 中的日誌記錄程式

當您規劃傳訊保留和合規性時,請務必瞭解日誌記錄,以及日誌如何符合組織的合規性原則。

為什麼日誌記錄很重要?

首先,請務必瞭解關於電子郵件訊息的日誌記錄和封存之間的差異:

  • 日誌記錄」指的是記錄電子郵件通訊,作為組織電子郵件保留策略的一部分。

  • 封存」指的是從原生位置 (例如,使用者的信箱) 中移除電子郵件訊息,並將其儲存到其他位置。

許多組織需要維護的電子郵件通訊記錄,是員工在執行日常商務工作時所發生的。 您可以使用 Exchange 紀錄作為電子郵件保留或封存策略中的工具。

雖然法規可能不特別需要郵件日誌,但 Exchange 日誌可協助您的組織達成法規合規性。 例如,某些金融單位的公司主管可能需要負責其員工對客戶的索賠。 指定的合規性管理員可以使用日誌來收集並定期檢閱員工傳送給客戶的電子郵件訊息,作為其更進一步員工與客戶通訊檢閱的一部分。 合規性管理員可以向公司主管回報其核准,然後公司主管可以向治理主體報告合規性。

下列清單顯示一些較知名的美國和國際法規,其中 Exchange 日誌可能有助於構成合規性策略的一部分:

  • 2002 年沙賓法案 (SOX)

  • 美國證管會規則條例 17a-4 (SEC Rule 17 A-4)

  • 美國證券業協會 3010 及 3110 (NASD 3010 & 3110)

  • 美國金融服務現代化法案

  • 2001 年金融機構隱私權保護法案

  • 2003 年金融機構隱私權保護法案

  • 1996 年美國醫療保險轉移與責任法案 (HIPAA)

  • 2001 年提供攔截和阻絕恐怖主義所需適當手段以鞏固並強化美國法案 (愛國法案)

  • 歐盟資料保護指導方針 (EUDPD)

  • 日本的個人 資訊保護 法

日誌代理程式

日誌代理程式是內建的 Exchange 傳輸代理程式,可在郵件通過信箱伺服器上的傳輸服務時處理訊息。 日誌組態設定會儲存在 Active Directory 中,並由日誌代理程式讀取。 日誌代理程式會在傳輸管線中的 OnSubmittedMessageOnRoutedMessage 分類器事件上註冊。 如需傳輸管線的詳細資訊,請參閱 郵件流程和傳輸管線

請注意,傳輸代理程式管理 Cmdlet (*-TransportAgent) ,不可見且無法管理日誌代理程式之類的內建傳輸代理程式。

日誌報告

日誌報表是日誌記錄的訊息。 日誌報表包含原始訊息做為未變更的檔案附件。 日誌報表的本文包含原始郵件 (的摘要資訊,例如發件者的電子郵件地址、郵件主旨、 郵件標識符,以及) 的收件者電子郵件位址。 這種類型的日誌記錄稱為 信封日誌,也是 Exchange 唯一支援的日誌方法。

日誌報告和受 IRM 保護的郵件

您需要考慮受 IRM 保護的訊息對日誌報告的影響。 沒有內建 RMS 支援的第三方封存系統無法解密日誌報表中受 IRM 保護的訊息,這會對日誌郵件中內容的搜尋和探索造成負面影響。 在 Exchange 中,您可以設定記錄報表解密,以將郵件的純文字複本儲存在日誌報表中。 如需詳細資訊,請參閱 啟用日誌報表解密

日誌規則

記錄規則的基本元件包括:

  • 日誌收件者:您需要進行日誌記錄的對象。

  • 日誌規則範圍:您需要進行日誌記錄的內容。

  • 日誌信箱:您需要儲存日誌郵件的位置。

日誌收件者

誌收件者 會指定您要記錄的物件。 日誌收件者所傳送或接收的郵件會以日誌記錄 (方向並不重要)。 您可以為您 Exchange 組織中所有的寄件者和收件者設定日誌訊息的日誌規則,您也可以將日誌規則限制為僅適用一個Exchange 信箱、群組、郵件使用者或郵件連絡人。 如果您指定通訊群組,則會啟用通訊群組 成員 的日誌記錄, (不針對群組本身) 。

藉由以特定收件者或收件者群組為目標,您可以設定日誌環境,以協助您符合組織的法規和法律需求,同時將記憶體和其他與保留大量數據相關聯的成本降至最低。

在 Exchange 2016 中啟用整合通訊的日誌收件者

根據預設,如果您的 Exchange 2016 組織使用整合通訊 (UM) 來合併電子郵件、語音信箱和傳真基礎結構,Exchange 會設定為日誌語音信箱通知和未接來電通知訊息。 您可以停用這些訊息類型的日誌記錄,但包含 UM 產生傳真的訊息一律會記錄紀錄。

若要停用語音信箱和未接來電通知的日誌記錄,請參閱 啟用或停用語音信箱和未接來電通知的日誌記錄。

注意事項

Exchange 2019 中沒有整合通訊。

日誌規則範圍

定義想要進行日誌記錄的對象後,您需要定義對其郵件進行日誌記錄的範圍。 可用的範圍包括:

  • 僅限內部訊息:訊息的來源或目的地位於您的 Exchange 組織內。

  • 僅限外部訊息:訊息的來源或目的地位於您的 Exchange 組織外部。

  • 所有訊息:訊息的來源或目的地並不重要。 請注意,具有此範圍的日誌規則可能會有日誌訊息,這些訊息已由其他僅限內部或外部範圍的規則記錄。

日誌記錄信箱

日誌信箱是傳遞日誌郵件的位置。 您設定日誌信箱的方式取決於組織的原則、法規要求及法律要求。 例如,您可以為組織中的所有日誌規則設定一個日誌信箱,或者您可能需要針對不同的日誌規則使用不同的日誌信箱。

附註

  • 日誌信箱包含敏感性資訊,因此您需要保護其存取權。 日誌信箱中的郵件可能是法律訴訟的一部分,或受限於法規需求。 建議您建立並強制執行清楚定義的原則,以指出誰可以存取日誌信箱。 與您的法律代表交談,以確認您的日誌解決方案符合適用於貴組織的所有法律和法規。

  • Microsoft 365 或 Office 365 信箱無法當做日誌信箱使用。 如果您在內部部署 Exchange 與 Microsoft 365 或 Office 365 之間執行混合式部署,您可以為 Microsoft 365 或 Office 365 和內部部署組織指定內部部署日誌信箱。 您也可以將日誌郵件傳送至內部部署的電子郵件封存系統或協力廠商的電子郵件封存服務。

  • 日誌信箱必須接受至少與組織中可用郵件大小上限一樣大的郵件。 請務必考慮任何您在個別信箱上所設定的自訂最大郵件大小。 如需詳細資訊, 請參閱設定信箱的郵件大小限制

  • 建議您將日誌信箱設定為只接受來自 Microsoft Exchange 收件者的郵件, (日誌報告) 的唯一發件者。 請注意,您只能在 Exchange 管理命令介面中執行此動作。 如需詳細資訊, 請參閱設定信箱的郵件傳遞限制

  • 建議您停用日誌信箱的儲存配額限制。 如需詳細資訊, 請參閱設定信箱的記憶體配額

替代日誌記錄信箱

如同其他訊息,無法傳遞的日誌報表會排入佇列,並定期重試傳遞,直到訊息過期 (默認值為兩天,並且由 Set-TransportService Cmdlet 上的 MessageExpirationTimeout 參數設定) 。 不同於其他郵件,過期的日誌報表無法傳回給非傳遞報表中的寄件者, (也稱為 NDR 或退回的郵件) ,因為發件者是 Microsoft Exchange 收件者。 無法復原過期的日誌報告。

如果您不想讓無法傳遞的日誌報表排入佇列並最終到期,您可以指定替代日誌信箱,以在任何日誌信箱無法使用時接受所有無法傳遞日誌報告的 NDR, (組織中所有日誌信箱的一個替代日誌信箱) 。 原始的日誌報告是 NDR 的附件。 當日志信箱再次變成可用時,您可以在其他日誌信箱的 NDR 上使用 Outlook 中的 [重新傳送此郵件 ] 功能,將未變更的傳遞報告傳送至日誌信箱。

設定替代日誌信箱之前,請連絡您的法律代表。 適用於貴組織的法律或法規可能會禁止將所有日誌郵件儲存在相同的信箱中。

當您設定替代日誌信箱時,應該使用設定日誌信箱時所使用的相同準則。

附註

  • 如果替代日誌信箱也變得無法使用,並拒絕無法傳遞之日誌報表的 NDR,則原始日誌報告會遺失,無法復原。

  • 您應該將替代日誌信箱視為特殊的專用信箱。 日誌規則、收件匣規則和郵件流程規則 (也稱為涉及替代日誌信箱的傳輸規則) 會被忽略。

日誌規則複寫

由於日誌規則會儲存在 Active Directory 中,因此傳輸服務會在組織中的所有信箱伺服器上讀取和套用這些規則。 當建立、修改或移除日誌規則時,所做變更會在組織中的網域控制站之間加以複寫。 這可讓 Exchange 在整個組織中提供一組一致的日誌規則。

附註

  • 域控制器之間的復寫取決於 Exchange (未控制的因素,例如 Active Directory 月臺數目,以及網路連結) 的速度。 因此,當您在組織中實作日誌規則時,您必須考慮復寫延遲。 如需 Active Directory 複寫的詳細資訊,請參閱使用 Windows PowerShell 進行 Active Directory 複寫和拓撲管理簡介

  • 每個信箱伺服器都會快取擴充的通訊群組,以避免重複的 Active Directory 查詢來判斷群組的成員資格。 根據預設,展開群組快取中的專案每四小時會到期一次。 因此,在擴充的群組快取更新之前,無法將群組成員資格的變更套用至日誌規則。 若要強制立即更新信箱伺服器上的快取,請重新啟動 Microsoft Exchange Transport 服務。 您需要在要強制更新快取的每部信箱伺服器上重新啟動服務。

疑難排解

有問題嗎? 在 Exchange 論壇中尋求協助。 請造訪論壇,網 Exchange Server。 如果您在替代日誌信箱上遇到問題,請參閱 KB2829319