Postfachüberwachungsprotokollierung in Exchange Server
Da Postfächer vertrauliche und für das Unternehmen zentrale Informationen sowie Informationen zur persönlichen Identifizierung enthalten können, ist es wichtig zu verfolgen, wer sich an den Postfächern in Ihrer Organisation anmeldet und welche Aktionen ausgeführt werden. Eine besondere Rolle spielt hierbei die Verfolgung des Postfachzugriffs durch Benutzer, die nicht mit dem Postfachbesitzer identisch sind. Diese Benutzer werden als Stellvertretungsbenutzer bezeichnet.
Mithilfe der Postfachüberwachungsprotokollierung können Sie den durch Postfachbesitzer, Stellvertretungen (einschließlich Administratoren mit vollständigen Postfachzugriffsberechtigungen) und Administratoren erfolgten Postfachzugriff protokollieren.
Wenn Sie die Überwachungsprotokollierung für ein Postfach aktivieren, können Sie angeben, welche Benutzeraktionen (beispielsweise Zugriff auf eine Nachricht, Verschieben oder Löschen einer Nachricht) für einen Anmeldetyp (Administrator, Stellvertretungsbenutzer oder Besitzer) protokolliert werden. Die Einträge im Überwachungsprotokoll umfassen auch Informationen wie die Client-IP-Adresse, den Hostnamen und den Prozess oder Client, der für den Zugriff auf das Postfach verwendet wurde. Bei verschobenen Elementen umfasst der Eintrag den Namen des Zielordners.
Postfachüberwachungsprotokolle
Postfachüberwachungsprotokolle werden für jedes Postfach generiert, für das die Postfachüberwachungsprotokollierung aktiviert ist. Protokolleinträge werden im Unterordner "Überwachungen" des Ordners "Wiederherstellbare Elemente" des überwachten Postfachs gespeichert. Hierdurch ist sichergestellt, dass alle Überwachungsprotokolleinträge zentral verfügbar sind, und zwar unabhängig davon, welche Clientzugriffsmethode für den Zugriff auf das Postfach verwendet wurde oder welchen Server oder Computer ein Administrator für den Zugriff auf das Postfachüberwachungsprotokoll verwendet hat. Wenn Sie ein Postfach zu einem anderen Postfachserver verschieben, werden die Postfachüberwachungsprotokolle ebenfalls verschoben, da sie sich im Postfach befinden.
Standardmäßig werden Postfachüberwachungsprotokolleinträge 90 Tage lang aufbewahrt und dann gelöscht. Sie können diesen Aufbewahrungszeitraum mithilfe des Parameters AuditLogAgeLimit mit dem Cmdlet Set-Mailbox ändern. Wenn für ein Postfach das Compliance-Archiv oder die Beweissicherung aktiviert wurde, werden Überwachungsprotokolleinträge nur so lange beibehalten, bis die Beibehaltungsdauer von Überwachungsprotokollen für das Postfach erreicht wurde. Um Überwachungsprotokolleinträge länger aufzubewahren, müssen Sie den Aufbewahrungszeitraum erhöhen, indem Sie den Wert für den Parameter AuditLogAgeLimit ändern. Sie können auch die Überwachungsprotokolleinträge exportieren, bevor die Aufbewahrungsdauer erreicht ist. Weitere Informationen finden Sie unter:
Aktivieren der Postfachüberwachungsprotokollierung
Die Postfachüberwachungsprotokollierung wird auf Postfachebene aktiviert. Verwenden Sie das Cmdlet Set-Mailbox zum Aktivieren oder Deaktivieren der Postfachüberwachungsprotokollierung. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachungsprotokollierung für ein Postfach.
Wenn die Postfachüberwachungsprotokollierung für ein Postfach aktiviert wird, werden der Zugriff auf das Postfach sowie bestimmte von Administratoren und Stellvertretungen ausgeführte Aktionen standardmäßig protokolliert. Damit vom Postfachbesitzer ausgeführte Aktionen protokolliert werden, müssen Sie angeben, welche Besitzeraktionen überwacht werden sollen.
Durch die Postfachüberwachungsprotokollierung erfasste Postfachaktionen
In der folgenden Tabelle sind die Aktionen, die von der Postfachüberwachungsprotokollierung erfasst werden, sowie die Anmeldetypen aufgeführt, für die die Aktion protokolliert werden kann. Beachten Sie, dass ein Administrator, dem Vollzugriff für ein Benutzerpostfach gewährt wurde, als Stellvertreter gilt.
Wenn die Überwachung bestimmte Postfachaktionen nicht mehr notwendig ist, sollten Sie die Überwachungsprotokollkonfiguration für das Postfach ändern, um die Überwachung dieser Aktionen zu deaktivieren. Vorhandene Protokolleinträge werden erst dann gelöscht, wenn für Überwachungsprotokolleinträge die Altersgrenze erreicht ist.
| Aktion | Beschreibung | Administrator | Stellvertretung | Besitzer |
|---|---|---|---|---|
| Kopieren | Ein Element wird in einen anderen Ordner kopiert. | Ja | Nein | Nein |
| Erstellen | Ein Element wird im Ordner Kalender, Kontakte, Notizen oder Aufgaben im Postfach erstellt. Beispielsweise wird eine neue Besprechungsanfrage erstellt. Beachten Sie, dass die Erstellung von Nachrichten oder Ordnern nicht überwacht wird. | Ja1 | Ja1 | Ja |
| FolderBind | Auf einen Postfachordner wird zugegriffen. | Ja1 | Ja2 | Nein |
| HardDelete | Ein Element wird dauerhaft aus dem Ordner "Wiederherstellbare Elemente" gelöscht. | Ja1 | Ja1 | Ja |
| MailboxLogin | Der Benutzer hat sich bei seinem Postfach angemeldet. | Nein | Nein | Ja3 |
| MessageBind | Auf ein Element wird im Lesebereich zugegriffen oder es wird im Lesebereich geöffnet. | Ja | Nein | Nein |
| Verschieben | Ein Element wird in einen anderen Ordner verschoben. | Ja1 | Ja | Ja |
| MoveToDeletedItems | Ein Element wird in den Ordner "Gelöschte Elemente" verschoben. | Ja1 | Ja | Ja |
| SendAs | Eine Nachricht wird mithilfe der Berechtigung "Senden als" gesendet. | Ja1 | Ja1 | Nein |
| SendOnBehalf | Eine Nachricht wird mithilfe der Berechtigung "Senden im Auftrag von" gesendet. | Ja1 | Ja | Nein |
| SoftDelete | Ein Element wird aus dem Ordner "Gelöschte Elemente" gelöscht. | Ja1 | Ja1 | Ja |
| Aktualisieren | Die Eigenschaften eines Elements werden aktualisiert. | Ja1 | Ja1 | Ja |
1 Wird standardmäßig überwacht, wenn die Überwachung für ein Postfach aktiviert ist.
2 Einträge für Ordnerbindungsaktionen, die von Delegaten ausgeführt werden, werden konsolidiert. Für einzelne Ordnerzugriffe innerhalb eines Zeitraums von 24 Stunden wird ein eigener Protokolleintrag generiert.
3 Die Überwachung von Besitzeranmeldungen bei einem Postfach funktioniert nur für POP3-, IMAP4- oder OAuth-Anmeldungen. Sie funktioniert nicht bei NTLM- oder Kerberos-Anmeldungen beim Postfach.
Durchsuchen des Postfachüberwachungsprotokolls
Mithilfe der folgenden Methoden können Sie Postfachüberwachungsprotokolleinträge durchsuchen:
Synchrones Durchsuchen eines einzelnen Postfachs: Sie können das Cmdlet Search-MailboxAuditLog verwenden, um Postfachüberwachungsprotokolleinträge für ein einzelnes Postfach synchron zu durchsuchen. Die Suchergebnisse werden im Fenster der Exchange-Verwaltungsshell angezeigt. Weitere Informationen finden Sie unter Search Mailbox Audit Log for a Mailbox.
Asynchrones Durchsuchen eines oder mehrerer Postfächer: Sie können eine Postfachüberwachungsprotokollsuche erstellen, um Postfachüberwachungsprotokolle asynchron nach einem oder mehreren Postfächern zu durchsuchen und die Suchergebnisse dann an eine angegebene E-Mail-Adresse zu senden. Die Suchergebnisse werden als XML-Anlage gesendet. Verwenden Sie zum Erstellen der Suche das Cmdlet New-MailboxAuditLogSearch . Weitere Informationen finden Sie unter Erstellen einer Postfachüberwachungsprotokollsuche.
Verwenden von Überwachungsberichten im Exchange Admin Center (EAC): Sie können die Registerkarte Überwachung im EAC verwenden, um einen Postfachzugriffsbericht ohne Besitzer (enthält Einträge für Administrator- und Löschaktionen) auszuführen oder Nicht-Besitzereinträge aus dem Postfachüberwachungsprotokoll zu exportieren. Weitere Informationen finden Sie unter:
Einträge im Postfachüberwachungsprotokoll
In der folgenden Tabelle werden die Felder beschrieben, die in einem Überwachungsprotokolleintrag für ein Postfach protokolliert werden.
| Feld | Enthaltene Angaben |
|---|---|
| Vorgang | Eine der folgenden Aktionen: Kopieren Erstellen FolderBind HardDelete MailboxLogin MessageBind Verschieben MoveToDeletedItems SendAs SendOnBehalf SoftDelete Aktualisieren |
| OperationResult | Eines der folgenden Ergebnisse: Failed PartiallySucceed Succeeded |
| LogonType | Anmeldetyp des Benutzers, der den Vorgang ausgeführt hat. Folgende Anmeldetypen sind verfügbar: Besitzer Stellvertretung Administrator |
| DestFolderId | Zielordner-GUID für Verschiebungsvorgänge. |
| DestFolderPathName | Zielordnerpfad für Verschiebungsvorgänge. |
| FolderId | Ordner-GUID. |
| FolderPathName | Ordnerpfad. |
| ClientInfoString | Details, die angeben, welcher Client oder welche Exchange-Komponente den Vorgang ausgeführt hat. |
| ClientIPAddress | IP-Adresse des Clientcomputers. |
| ClientMachineName | Name des Clientcomputers. |
| ClientProcessName | Name des Clientanwendungsprozesses. |
| ClientVersion | Version der Clientanwendung. |
| InternalLogonType | Der Typ des internen Benutzers (eine Person in Ihrer Organisation), die den Vorgang ausgeführt hat. Die möglichen Werte für dieses Feld sind die gleichen wie für das Feld LogonType. |
| MailboxOwnerUPN | Benutzerprinzipalname des Postfachbesitzers. |
| MailboxOwnerSid | Sicherheits-ID (SID) des Postfachbesitzers. |
| DestMailboxOwnerUPN | Benutzerprinzipalname des Besitzers des Zielpostfachs; wird bei postfachübergreifenden Vorgängen protokolliert. |
| DestMailboxOwnerSid | SID des Besitzers des Zielpostfachs; wird bei postfachübergreifenden Vorgängen protokolliert. |
| DestMailboxOwnerGuid | GUID des Besitzers des Zielpostfachs. |
| CrossMailboxOperation | Informationen, die angeben, ob es sich bei dem protokollierten Vorgang um einen postfachübergreifenden Vorgang handelt (beispielsweise Kopieren oder Verschieben von Nachrichten zwischen Postfächern). |
| LogonUserDisplayName | Anzeigename des angemeldeten Benutzers. |
| DelegateUserDisplayName | Anzeigename des Stellvertretungsbenutzers. |
| LogonUserSid | SID des angemeldeten Benutzers. |
| SourceItems | Element-ID von Postfachelementen, für die die protokollierte Aktion ausgeführt wird (beispielsweise Verschieben oder Löschen). bei Vorgängen, die für mehrere Elemente ausgeführt werden, wird dieses Feld als Auflistung von Elementen zurückgegeben. |
| SourceFolders | GUID des Quellordners. |
| ItemId | Element-ID. |
| ItemSubject | Betreff des Elements. |
| MailboxGuid | Postfach-GUID. |
| MailboxResolvedOwnerName | Der Name des Postfachbenutzers wurde im Format DOMAIN\ SamAccountName aufgelöst. |
| LastAccessed | Zeitpunkt der Ausführung des Vorgangs. |
| Identity | ID des Überwachungsprotokolleintrags. |
Weitere Informationen
Administratorzugriff auf Postfächer: Auf Postfächer wird nur in den folgenden Szenarien von einem Administrator zugegriffen:
In-Situ-eDiscovery wird zum Durchsuchen eines Postfachs verwendet.
Das Cmdlet New-MailboxExportRequest wird zum Exportieren eines Postfachs verwendet.
Microsoft Exchange Server MAPI-Client- und Collaboration-Datenobjekte werden für den Zugriff auf das Postfach verwendet.
Umgehen der Postfachüberwachungsprotokollierung: Der Postfachzugriff durch autorisierte automatisierte Prozesse wie Konten, die von Drittanbietertools oder Konten für die rechtmäßige Überwachung verwendet werden, kann zu einer großen Anzahl von Postfachüberwachungsprotokolleinträgen führen und ist für Ihre organization möglicherweise nicht von Interesse. Sie können derartige Konten so konfigurieren, dass die Postfachüberwachungsprotokollierung umgangen wird. Weitere Informationen finden Sie unter Umgehen eines Benutzerkontos aus der Postfachüberwachungsprotokollierung.
Protokollieren von Postfachbesitzeraktionen: Für Postfächer wie das Suchpostfach, die möglicherweise vertraulichere Informationen enthalten, sollten Sie die Postfachüberwachungsprotokollierung für Postfachbesitzeraktionen wie das Löschen von Nachrichten aktivieren.