Informazioni sulla registrazione di controllo delle cassette postali
Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Ultima modifica dell'argomento: 2016-11-28
Dal momento che le cassette postali possono contenere informazioni riservate sia a livello aziendale che di singolo utente, è fondamentale tenere traccia di chi accede alle cassette postali nell'organizzazione e che attività esegue su di esse. È soprattutto importante controllare gli accessi alle cassette postali eseguiti da utenti che non ne sono i legittimi proprietari. Questi utenti sono definiti delegati.
Utilizzando la registrazione di controllo delle cassette postali, è possibile registrare gli accessi effettuati dai proprietari delle cassette postali, dagli amministratori e dai delegati (inclusi gli amministratori con autorizzazioni di accesso completo). Si presume che alla cassetta postale acceda un amministratore esclusivamente nei seguenti scenari:
La ricerca di individuazione viene utilizzata per effettuare una ricerca in una cassetta postale
Il cmdlet New-MailboxExportRequest viene utilizzato per esportare una cassetta postale
L'editor MAPI di Microsoft Exchange Server viene utilizzato per accedere alla cassetta postale
Quando si abilita la registrazione di controllo delle cassette postali, è possibile specificare quali azioni (ad esempio, accesso oppure spostamento o eliminazione di un messaggio) devono essere registrate per ciascun tipo di utente (amministratore, utente delegato o proprietario). Nella registrazione vengono incluse anche informazioni importanti quali indirizzo IP del client, nome host e processo o client utilizzato per accedere alla cassetta postale. Per gli elementi spostati, nella registrazione viene riportato il nome della cartella di destinazione.
Nota
Nelle cassette postali che, come quella per la ricerca Discovery, possono contenere informazioni molto riservate, può essere opportuno abilitare la registrazione di controllo anche per il proprietario così da poter tenere traccia anche delle azioni, come l'eliminazione dei messaggi, da lui eseguite.
Sommario
Registri di controllo delle cassette postali
Abilitazione della registrazione di controllo delle cassette postali
Ricerche nelle voci del registro di controllo delle cassette postali
Voci del registro di controllo delle cassette postali
Registri di controllo delle cassette postali
I registri di controllo vengono generati per tutte le cassette postali per cui è abilitata la registrazione di controllo. Le voci registrate vengono archiviate nella sottocartella Controlli della cartella Elementi ripristinabili per la cassetta postale sottoposta a controllo. In questo modo, tutte le voci registrate sono disponibili in un unico percorso, indipendentemente dal metodo scelto per accedere alla cassetta postale o dal server o workstation che l'amministratore ha utilizzato per accedere al registro di controllo. Se si sposta una cassetta postale su un altro server Cassette postali, anche i registri di controllo della cassetta postale vengono spostati perché si trovano al suo interno.
Per impostazione predefinita, le voci del registro di controllo vengono conservate nella cassetta postale per 90 giorni al termine dei quali vengono eliminate. È possibile modificare questo periodo di conservazione utilizzando il parametro AuditLogAgeLimit con il cmdlet Set-Mailbox. In caso di controversie per una cassetta postale, le voci del registro di controllo vengono conservate fino alla scadenza del periodo di mantenimento del registro di controllo. Per conservare ulteriormente le voci del registro di controllo, è necessario aumentare il periodo di mantenimento modificando il valore per il parametro AuditLogAgeLimit oppure esportare le voci del registro di sistema prima della scadenza del periodo di mantenimento. Per ulteriori informazioni, vedere Creazione di una ricerca nei log di controllo delle cassette postali.
Registri di controllo delle cassette postali
Abilitazione della registrazione di controllo delle cassette postali
La registrazione di controllo delle cassette postali è abilitata per ogni cassetta postale. Utilizzare il cmdlet Set-Mailbox per abilitare o disabilitare la registrazione di controllo delle cassette postali. Per ulteriori informazioni, vedere Abilitazione o diabilitazione della registrazione di controllo delle cassette postali per una cassetta postale.
Quando si abilita la registrazione di controllo per una cassetta postale, gli accessi alla cassetta e alcune azioni eseguite dagli amministratori e dai delegati vengono registrate per impostazione predefinita. Per registrare anche le azioni eseguite dal proprietario della cassetta postale, è necessario specificare le azioni da sottoporre a controllo. Nella tabella seguente vengono indicate le azioni inserite nel registro di controllo delle cassette postali, incluso il tipo di accesso che genera la registrazione di ciascuna tipologia di azione.
Azioni inserite nella registrazione di controllo delle cassette postali
| Azione | Descrizione | Amministratore | Delegato | Proprietario |
|---|---|---|---|---|
Copy |
Un elemento viene copiato in un'altra cartella. |
Sì |
No |
No |
Create |
Un elemento viene creato nella cassetta postale. (Ad esempio, un messaggio viene inviato o ricevuto.) Nota La creazione della cartella non viene sottoposta a controllo. |
Sì* |
Sì* |
Sì |
FolderBind |
Accesso effettuato a una cartella della cassetta postale.*** |
Sì* |
Sì** |
No |
HardDelete |
Un elemento viene eliminato definitivamente dalla cartella Elementi ripristinabili. |
Sì* |
Sì* |
Sì |
MessageBind |
Un elemento viene aperto o vi si accede nel riquadro di lettura.*** |
Sì |
No |
No |
Move |
Un elemento viene spostato in un'altra cartella. |
Sì* |
Sì |
Sì |
MoveToDeletedItems |
Un elemento viene spostato nella cartella Posta eliminata. |
Sì* |
Sì |
Sì |
SendAs |
Un messaggio viene inviato con l'autorizzazione Invia come. |
Sì* |
Sì* |
Non applicabile |
Invia per conto di |
Un messaggio viene inviato con l'autorizzazione Invia per conto di. |
Sì* |
Sì |
Non applicabile |
SoftDelete |
Un elemento viene eliminato dalla cartella Posta eliminata. |
Sì* |
Sì* |
Sì |
Update |
Le proprietà di un elemento vengono aggiornate. |
Sì* |
Sì* |
Sì |
Copy |
Un elemento viene copiato in un'altra cartella. |
Sì |
No |
No |
Create |
Un elemento viene creato nella cassetta postale. (Ad esempio, un messaggio viene inviato o ricevuto.) Nota La creazione della cartella non viene sottoposta a controllo. |
Sì* |
Sì* |
Sì |
FolderBind |
Accesso effettuato a una cartella della cassetta postale.*** |
Sì* |
Sì** |
No |
HardDelete |
Un elemento viene eliminato definitivamente dalla cartella Elementi ripristinabili. |
Sì* |
Sì* |
Sì |
MessageBind |
Un elemento viene aperto o vi si accede nel riquadro di lettura.*** |
Sì |
No |
No |
Move |
Un elemento viene spostato in un'altra cartella. |
Sì* |
Sì |
Sì |
MoveToDeletedItems |
Un elemento viene spostato nella cartella Posta eliminata. |
Sì* |
Sì |
Sì |
SendAs |
Un messaggio viene inviato con l'autorizzazione Invia come. |
Sì* |
Sì* |
Non applicabile |
Invia per conto di |
Un messaggio viene inviato con l'autorizzazione Invia per conto di. |
Sì* |
Sì |
Non applicabile |
SoftDelete |
Un elemento viene eliminato dalla cartella Posta eliminata. |
Sì* |
Sì* |
Sì |
Update |
Le proprietà di un elemento vengono aggiornate. |
Sì* |
Sì* |
Sì |
* Sottoposto a controllo per impostazione predefinita, se per una cassetta postale è abilitato il controllo. ** Le voci per le azioni di binding della cartella eseguite da delegati sono consolidate. Per l'accesso a ciascuna cartella nell'intervallo temporale di ventiquattro ore viene generata una voce. *** Le operazioni di FolderBind e MessageBind non vengono registrate per il calendario predefinito.
Gli accessi eseguiti da alcuni processi automatizzati autorizzati (ad esempio, gli account utilizzati da strumenti di terzi o per il monitoraggio a fini legali) possono creare un numero notevole di voci nel registro di controllo. Ciò potrebbe non essere di alcun interesse per l'organizzazione. È possibile configurare questi account in modo che vengano ignorati dalle registrazioni di controllo delle cassette postali. Per ulteriori informazioni, vedere Ignorare un account utente dalla registrazione di controllo delle cassette postali.
Se non è più necessario registrare determinati tipi di azioni, modificare la configurazione di registrazione per disabilitarle. Le voci presenti nel registro non vengono eliminate fino a quando non raggiungono la loro scadenza naturale configurata nel registro.
Registri di controllo delle cassette postali
Ricerche nelle voci del registro di controllo delle cassette postali
È possibile utilizzare i seguenti metodi per effettuare una ricerca nelle voci nel registro di controllo:
Ricerca sincrona in una singola cassetta postale È possibile utilizzare il cmdlet Search-MailboxAuditLog per eseguire una ricerca sincrona nelle voci del registro di controllo per una singola cassetta postale. Il cmdlet visualizza i risultati della ricerca nella finestra di Exchange Management Shell. Per ulteriori informazioni, vedere Search-MailboxAuditLog e Ricerca nei log di controllo delle cassette postali per una cassetta postale.
Ricerca asincrona in una o più cassette postali È possibile eseguire una ricerca asincrona nelle voci del registro di controllo per una o più cassette postali e quindi inviare i risultati della ricerca all'indirizzo di posta elettronica specificato. I risultati della ricerca vengono inviati come allegato XML. Per creare la ricerca, utilizzare il cmdlet New-MailboxAuditLogSearch. Per ulteriori informazioni, vedere Creazione di una ricerca nei log di controllo delle cassette postali.
Utilizzo dei report di controllo nel Pannello di controllo di Exchange È possibile utilizzare la scheda Controllo sul Pannello di controllo di Exchange per creare i report di controllo o esportare le voci dal registro di controllo delle cassette postali e dal registro di controllo dell'amministratore. Per ulteriori informazioni, vedere Scheda Controllo.
Voci del registro di controllo delle cassette postali
Nella tabella seguente vengono illustrati i campi inseriti nel registro di controllo delle cassette postali.
Campi del registro di controllo delle cassette postali
| Campo | Compilato con |
|---|---|
Operation |
Una delle seguenti azioni:
|
OperationResult |
Una dei seguenti risultati:
|
LogonType |
Il tipo di accesso dell'utente che ha eseguito l'operazione. I tipi di accesso sono:
|
DestFolderId |
GUID della cartella di destinazione per le operazioni di spostamento. |
DestFolderPathName |
Percorso della cartella di destinazione per le operazioni di spostamento. |
FolderId |
GUID della cartella. |
FolderPathName |
Percorso della cartella. |
ClientInfoString |
Dettagli per l'identificazione del client o del componente di Exchange che ha eseguito l'operazione. |
ClientIPAddress |
Indirizzo IP del computer client. |
ClientMachineName |
Nome del computer client. |
ClientProcessName |
Nome del processo dell'applicazione client. |
ClientVersion |
Versione dell'applicazione client. |
InternalLogonType |
Il tipo di accesso dell'utente che ha eseguito l'operazione. I tipi di accesso sono:
|
MailboxOwnerUPN |
Nome dell'entità utente (UPN) del proprietario della cassetta postale. |
MailboxOwnerSid |
ID di sicurezza (SID) del proprietario della cassetta postale. |
DestMailboxOwnerUPN |
Nome dell'entità utente (UPN) del proprietario della cassetta postale di destinazione, registrato per le operazioni che coinvolgono più cassette postali. |
DestMailboxOwnerSid |
ID di sicurezza (SID) del proprietario della cassetta postale di destinazione, registrato per le operazioni che coinvolgono più cassette postali. |
DestMailboxOwnerGuid |
GUID del proprietario della cassetta postale di destinazione. |
CrossMailboxOperation |
Indica se l'operazione registrata viene eseguita tra più cassette postali (ad esempio, la copia o lo spostamento dei messaggi tra cassette postali). |
LogonUserDisplayName |
Nome visualizzato dell'utente che ha eseguito l'accesso. |
DelegateUserDisplayName |
Nome visualizzato dell'utente delegato. |
LogonUserSid |
ID di sicurezza (SID) dell'utente che ha eseguito l'accesso. |
SourceItems |
ID degli elementi della cassetta postale su cui viene eseguita l'azione registrata (ad esempio, lo spostamento o l'eliminazione). Se l'operazione viene eseguita su diversi elementi, in questo campo viene riportata la raccolta di elementi. |
SourceFolders |
GUID della cartella di origine. |
ItemId |
ID dell'elemento. |
ItemSubject |
Oggetto dell'elemento. |
MailboxGuid |
GUID della cassetta postale. |
MailboxResolvedOwnerName |
Nome risolto del proprietario della cassetta postale nel formato DOMINIO\Nome account SAM. |
LastAccessed |
Ora di esecuzione dell'operazione. |
Identity |
ID della voce del registro di controllo. |
Operation |
Una delle seguenti azioni:
|
OperationResult |
Una dei seguenti risultati:
|
LogonType |
Il tipo di accesso dell'utente che ha eseguito l'operazione. I tipi di accesso sono:
|
DestFolderId |
GUID della cartella di destinazione per le operazioni di spostamento. |
DestFolderPathName |
Percorso della cartella di destinazione per le operazioni di spostamento. |
FolderId |
GUID della cartella. |
FolderPathName |
Percorso della cartella. |
ClientInfoString |
Dettagli per l'identificazione del client o del componente di Exchange che ha eseguito l'operazione. |
ClientIPAddress |
Indirizzo IP del computer client. |
ClientMachineName |
Nome del computer client. |
ClientProcessName |
Nome del processo dell'applicazione client. |
ClientVersion |
Versione dell'applicazione client. |
InternalLogonType |
Il tipo di accesso dell'utente che ha eseguito l'operazione. I tipi di accesso sono:
|
MailboxOwnerUPN |
Nome dell'entità utente (UPN) del proprietario della cassetta postale. |
MailboxOwnerSid |
ID di sicurezza (SID) del proprietario della cassetta postale. |
DestMailboxOwnerUPN |
Nome dell'entità utente (UPN) del proprietario della cassetta postale di destinazione, registrato per le operazioni che coinvolgono più cassette postali. |
DestMailboxOwnerSid |
ID di sicurezza (SID) del proprietario della cassetta postale di destinazione, registrato per le operazioni che coinvolgono più cassette postali. |
DestMailboxOwnerGuid |
GUID del proprietario della cassetta postale di destinazione. |
CrossMailboxOperation |
Indica se l'operazione registrata viene eseguita tra più cassette postali (ad esempio, la copia o lo spostamento dei messaggi tra cassette postali). |
LogonUserDisplayName |
Nome visualizzato dell'utente che ha eseguito l'accesso. |
DelegateUserDisplayName |
Nome visualizzato dell'utente delegato. |
LogonUserSid |
ID di sicurezza (SID) dell'utente che ha eseguito l'accesso. |
SourceItems |
ID degli elementi della cassetta postale su cui viene eseguita l'azione registrata (ad esempio, lo spostamento o l'eliminazione). Se l'operazione viene eseguita su diversi elementi, in questo campo viene riportata la raccolta di elementi. |
SourceFolders |
GUID della cartella di origine. |
ItemId |
ID dell'elemento. |
ItemSubject |
Oggetto dell'elemento. |
MailboxGuid |
GUID della cassetta postale. |
MailboxResolvedOwnerName |
Nome risolto del proprietario della cassetta postale nel formato DOMINIO\Nome account SAM. |
LastAccessed |
Ora di esecuzione dell'operazione. |
Identity |
ID della voce del registro di controllo. |
Registri di controllo delle cassette postali
©2010 Microsoft Corporation. Tutti i diritti riservati.