了解信箱稽核記錄
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2016-11-28
由於信箱可能會包含敏感、高度業務影響 (HBI) 資訊和個人識別資訊 (PII),因此追蹤哪些人登入組織中的信箱以及執行哪些動作是相當重要的。追蹤信箱擁有者以外的使用者存取信箱則更為重要。這些使用者稱為代理使用者。
使用信箱稽核記錄,您就可以依信箱擁有者、系統管理員和代理人 (包括具有完整信箱存取權限的系統管理員) 記錄信箱存取。在下列案例中,信箱會被視為只能由系統管理員存取:
使用探索搜尋來搜尋信箱
使用 New-MailboxExportRequest 指令程式來匯出信箱
啟用信箱的稽核記錄時,可指定針對哪種登入類型 (系統管理員、代理使用者或擁有者) 記錄哪些使用者動作 (例如存取、移動或刪除郵件)。稽核記錄項目還包含一些重要資訊,例如用戶端 IP 位址、主機名稱,以及用來存取信箱的程序或用戶端。針對移動的項目,記錄中還包含目的資料夾的名稱。
.gif "注意事項") 附註: |
|---|
| 對於探索搜尋信箱等可能包含敏感資訊的信箱來說,則應考慮針對郵件刪除等信箱擁有者動作啟用信箱稽核記錄。 |
目錄
信箱稽核記錄
啟用信箱稽核記錄
搜尋信箱稽核記錄項目
信箱稽核記錄項目
信箱稽核記錄
每個啟用信箱稽核記錄功能的信箱都會產生信箱稽核記錄。記錄項目會儲存在稽核信箱 [可復原的項目] 資料夾的 [稽核] 子資料夾中。因此,無論是使用哪種用戶端存取方法來存取信箱,或系統管理員使用哪個伺服器或工作站來存取信箱稽核記錄,這都可確保所有的稽核記錄都能從單一位置取得。如果您將信箱移至其他信箱伺服器,該信箱的信箱稽核記錄也會隨之移動,因為這些記錄皆位於信箱中。
依預設,信箱稽核記錄項目會保留在信箱中 90 天再刪除。您可以使用 AuditLogAgeLimit 參數與 Set-Mailbox 指令程式來修改保留期間。如果信箱是處於訴訟暫止狀態,稽核記錄項目只會保留直到達到信箱的稽核記錄保留期間為止。如果想要保留稽核記錄項目更長一段時間,您必須更改AuditLogAgeLimit 參數值,或是在到達保留期間之前匯出稽核記錄項目以增加保留期間。如需詳細資訊,請參閱建立信箱稽核記錄檔搜尋。
信箱稽核記錄
啟用信箱稽核記錄
啟用每個信箱的信箱稽核記錄。使用 Set-Mailbox 指令程式來啟用或停用信箱稽核記錄。如需詳細資料,請參閱啟用或停用用於信箱的信箱稽核記錄。
啟用信箱的信箱稽核記錄時,預設會記錄信箱的存取和某些系統管理員與代理人動作。若要記錄信箱擁有者執行的動作,您必須指定要稽核的擁有者動作。下表列出信箱稽核記錄所記錄的動作,包括記錄動作的登入類型。
信箱稽核記錄所記錄的信箱動作
| 動作 | 描述 | 系統管理員 | 代理人 | 擁有者 | ||
|---|---|---|---|---|---|---|
複製 |
將項目複製到其他資料夾。 |
是 |
否 |
否 |
||
建立 |
在信箱中建立項目。(例如,傳送或接收郵件。)
|
是* |
是* |
是 |
||
FolderBind |
存取信箱資料夾。*** |
是* |
是** |
否 |
||
HardDelete |
永久刪除 [可復原的項目] 資料夾中的項目。 |
是* |
是* |
是 |
||
MessageBind |
在讀取窗格存取或開啟項目。*** |
是 |
否 |
否 |
||
移動 |
將項目移至其他資料夾。 |
是* |
是 |
是 |
||
MoveToDeletedItems |
將項目移至 [刪除的郵件] 資料夾。 |
是* |
是 |
是 |
||
SendAs |
使用「以下列傳送」權限傳送郵件。 |
是* |
是* |
不適用 |
||
SendOnBehalf |
使用「代理傳送者」權限傳送郵件。 |
是* |
是 |
不適用 |
||
SoftDelete |
將項目從 [刪除的郵件] 資料夾刪除。 |
是* |
是* |
是 |
||
更新 |
更新項目的屬性。 |
是* |
是* |
是 |
||
複製 |
將項目複製到其他資料夾。 |
是 |
否 |
否 |
||
建立 |
在信箱中建立項目。(例如,傳送或接收郵件。)
|
是* |
是* |
是 |
||
FolderBind |
存取信箱資料夾。*** |
是* |
是** |
否 |
||
HardDelete |
永久刪除 [可復原的項目] 資料夾中的項目。 |
是* |
是* |
是 |
||
MessageBind |
在讀取窗格存取或開啟項目。*** |
是 |
否 |
否 |
||
移動 |
將項目移至其他資料夾。 |
是* |
是 |
是 |
||
MoveToDeletedItems |
將項目移至 [刪除的郵件] 資料夾。 |
是* |
是 |
是 |
||
SendAs |
使用「以下列傳送」權限傳送郵件。 |
是* |
是* |
不適用 |
||
SendOnBehalf |
使用「代理傳送者」權限傳送郵件。 |
是* |
是 |
不適用 |
||
SoftDelete |
將項目從 [刪除的郵件] 資料夾刪除。 |
是* |
是* |
是 |
||
更新 |
更新項目的屬性。 |
是* |
是* |
是 |
* 如果已為信箱啟用稽核,預設會進行稽核。 ** 會合併代理人執行的資料夾繫結動作項目。會針對個別資料夾存取產生 24 小時時間範圍內的記錄項目。 *** 不會記錄預設行事曆的 FolderBind 和 MessageBind。
某些已授權自動化處理程序 (例如協力廠商工具所用的帳戶或用於法律監視的帳戶) 進行的信箱存取會建立大量的信箱稽核記錄項目。組織對這些項目可能並無興趣。您可以設定這些帳戶略過信箱稽核記錄。如需詳細資料,請參閱從信箱稽核記錄略過使用者帳戶。
如果您不再需要稽核某些信箱動作類型,您應修改信箱的稽核記錄組態以停用這些動作。在達到設定的信箱稽核記錄保留天數之前,不會清除現有的記錄項目。
信箱稽核記錄
搜尋信箱稽核記錄項目
您可以使用下列方法來搜尋稽核記錄項目:
同步搜尋單一信箱 您可以使用 Search-MailboxAuditLog 指令程式同步搜尋單一信箱的信箱稽核記錄項目。指令程式會在 Exchange 管理命令介面視窗顯示搜尋結果。如需詳細資訊,請參閱Search-MailboxAuditLog及搜尋信箱的信箱稽核記錄檔。
同步搜尋一個或多個信箱 您可以建立信箱稽核記錄搜尋以同步搜尋一個或多個信箱的搜尋信箱稽核記錄,然後將搜尋結果傳送到指定的電子郵件地址。搜尋結果會以 XML 附件的形式傳送。若要建立搜尋,請使用 New-MailboxAuditLogSearch 指令程式。如需相關資訊,請參閱建立信箱稽核記錄檔搜尋。
使用 Exchange 控制台中的稽核報告 您可以使用 Exchange 控制台 (ECP) 中的 [稽核] 索引標籤來執行稽核報告,或將項目從信箱稽核記錄和系統管理員稽核記錄中匯出。如需相關資訊,請參閱稽核索引標籤。
信箱稽核記錄項目
下表說明在信箱稽核記錄項目中記錄的欄位。
信箱稽核記錄欄位
| 欄位 | 填入 |
|---|---|
Operation |
下列其中一個動作:
|
OperationResult |
下列其中一個結果:
|
LogonType |
執行作業的使用者登入類型。登入類型包括:
|
DestFolderId |
移動作業的目的資料夾 GUID。 |
DestFolderPathName |
移動作業的目的資料夾路徑。 |
FolderId |
資料夾 GUID。 |
FolderPathName |
資料夾路徑。 |
ClientInfoString |
用於識別哪個用戶端或 Exchange 元件執行作業的相關資訊。 |
ClientIPAddress |
用戶端電腦 IP 位址。 |
ClientMachineName |
用戶端電腦名稱。 |
ClientProcessName |
應用程式處理程序的名稱。 |
ClientVersion |
用戶端應用程式版本。 |
InternalLogonType |
執行作業的使用者登入類型。登入類型包括:
|
MailboxOwnerUPN |
信箱擁有者使用者主要名稱 (UPN)。 |
MailboxOwnerSid |
信箱擁有者安全性識別碼 (SID)。 |
DestMailboxOwnerUPN |
針對跨信箱作業記錄的目的信箱擁有者 UPN。 |
DestMailboxOwnerSid |
針對跨信箱作業記錄的目的信箱擁有者 SID。 |
DestMailboxOwnerGuid |
目的信箱擁有者 GUID。 |
CrossMailboxOperation |
關於記錄的作業是否為跨信箱作業的資訊 (例如,在信箱之間複製或移動郵件)。 |
LogonUserDisplayName |
顯示登入的使用者名稱。 |
DelegateUserDisplayName |
代理使用者顯示名稱。 |
LogonUserSid |
登入的使用者 SID。 |
SourceItems |
執行記錄動作 (例如移動或刪除) 的信箱項目 ItemID。針對在數個項目上執行的作業,此欄位會傳回項目組合。 |
SourceFolders |
來源資料夾 GUID。 |
ItemId |
項目 ID。 |
ItemSubject |
項目主旨。 |
MailboxGuid |
信箱 GUID。 |
MailboxResolvedOwnerName |
DOMAIN\SamAccountName 格式的信箱使用者解析名稱。 |
LastAccessed |
作業的執行時間。 |
Identity |
稽核記錄項目 ID。 |
Operation |
下列其中一個動作:
|
OperationResult |
下列其中一個結果:
|
LogonType |
執行作業的使用者登入類型。登入類型包括:
|
DestFolderId |
移動作業的目的資料夾 GUID。 |
DestFolderPathName |
移動作業的目的資料夾路徑。 |
FolderId |
資料夾 GUID。 |
FolderPathName |
資料夾路徑。 |
ClientInfoString |
用於識別哪個用戶端或 Exchange 元件執行作業的相關資訊。 |
ClientIPAddress |
用戶端電腦 IP 位址。 |
ClientMachineName |
用戶端電腦名稱。 |
ClientProcessName |
應用程式處理程序的名稱。 |
ClientVersion |
用戶端應用程式版本。 |
InternalLogonType |
執行作業的使用者登入類型。登入類型包括:
|
MailboxOwnerUPN |
信箱擁有者使用者主要名稱 (UPN)。 |
MailboxOwnerSid |
信箱擁有者安全性識別碼 (SID)。 |
DestMailboxOwnerUPN |
針對跨信箱作業記錄的目的信箱擁有者 UPN。 |
DestMailboxOwnerSid |
針對跨信箱作業記錄的目的信箱擁有者 SID。 |
DestMailboxOwnerGuid |
目的信箱擁有者 GUID。 |
CrossMailboxOperation |
關於記錄的作業是否為跨信箱作業的資訊 (例如,在信箱之間複製或移動郵件)。 |
LogonUserDisplayName |
顯示登入的使用者名稱。 |
DelegateUserDisplayName |
代理使用者顯示名稱。 |
LogonUserSid |
登入的使用者 SID。 |
SourceItems |
執行記錄動作 (例如移動或刪除) 的信箱項目 ItemID。針對在數個項目上執行的作業,此欄位會傳回項目組合。 |
SourceFolders |
來源資料夾 GUID。 |
ItemId |
項目 ID。 |
ItemSubject |
項目主旨。 |
MailboxGuid |
信箱 GUID。 |
MailboxResolvedOwnerName |
DOMAIN\SamAccountName 格式的信箱使用者解析名稱。 |
LastAccessed |
作業的執行時間。 |
Identity |
稽核記錄項目 ID。 |
信箱稽核記錄
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。