Ведение журнала аудита почтового ящика в Exchange Server
Так как почтовые ящики могут содержать конфиденциальную информацию с высоким влиянием на бизнес (HBI) и личную информацию (PII), важно отслеживать, кто входит в почтовые ящики в вашей организации и какие действия выполняются. Особенно важно отслеживать доступ к почтовым ящикам пользователей, отличных от владельца почтового ящика. Эти пользователи называются пользователями делегатов.
С помощью функции ведения журнала аудита почтового ящика можно регистрировать доступ владельцев, делегатов (в том числе администраторов с полными разрешениями на доступ к почтовому ящику) и администраторов к почтовым ящикам.
При включении функции ведения журнала аудита для почтового ящика можно указать, какие именно действия (например, доступ к почтовому ящику, перемещение или удаление сообщений) должны регистрироваться для соответствующих типов учетных записей для входа (администратор, делегированный пользователь или владелец). В записях журнала аудита также содержатся другие важные сведения, такие как IP-адрес клиента, имя узла, процесс или клиент, использованные для получения доступа к почтовому ящику. Для перемещенных сообщений также указывается имя папки назначения.
Ведение журнала аудита почтовых ящиков
Для всех почтовых ящиков, для которых включено ведение журнала аудита, создаются журналы аудита. Записи журнала хранятся во вложенной папке "Аудиты" папки "Элементы с возможностью восстановления" в отслеживаемом почтовом ящике. Это обеспечивает централизованный доступ ко всем записям журнала аудита независимо от того, каков способ клиентского доступа к почтовому ящику или какой сервер (либо компьютер) администратор использует для доступа к журналу аудита почтовых ящиков. При перемещении почтового ящика на другой сервер также перемещаются хранящиеся в нем журналы аудита.
По умолчанию записи журнала аудита хранятся в почтовом ящике 90 дней, после чего удаляются. Время хранения можно изменить, используя параметр AuditLogAgeLimit в командлете Set-Mailbox. Если почтовый ящик хранится на месте или хранится для судебного разбирательства, записи журнала аудита сохраняются до истечения периода хранения журналов аудита для этого почтового ящика. Чтобы сохранить журналы аудита на более длительный срок, следует увеличить период хранения, изменив значение параметра AuditLogAgeLimit. Вы также можете экспортировать записи журнала аудита до истечения периода хранения. Дополнительные сведения см. в разделе:
Включение ведения журнала аудита почтовых ящиков
Ведение журнала аудита включено для каждого почтового ящика. С помощью командлета Set-Mailbox можно включить или отключить ведение журнала аудита почтовых ящиков. Дополнительные сведения см. в статье Включение или отключение ведения журнала аудита почтовых ящиков для почтового ящика.
При включении ведения журнала аудита почтового ящика операции доступа к почтовому ящику, а также некоторые действия администраторов и делегатов записываются по умолчанию. Для записи действий владельца почтового ящика необходимо указать, какие именно действия должны записываться.
Действия, которые регистрируются в журналах аудита почтовых ящиков
В приведенной ниже таблице перечислены действия, записываемые в журнале аудита почтового ящика, а также типы учетных записей вошедших пользователей, для которых эти действия можно зарегистрировать. Обратите внимание на то, что администратор, которому предоставлены разрешения на полный доступ к почтовому ящику пользователя, считается делегированным пользователем.
Для отключения записи определенных действий, выполняемых в почтовом ящике, необходимо изменить параметры ведения журнала аудита почтового ящика. Существующие записи в журнале аудита удаляются после истечения заданного срока хранения.
| Действие | Описание | Администратор | Делегат | Владелец |
|---|---|---|---|---|
| Копировать | Сообщение скопировано в другую папку. | Да | Нет | Нет |
| Создание | В папке "Календарь", "Контакты", "Заметки" или "Задачи" почтового ящика создан элемент, например новое приглашение на собрание. Учтите, что создание сообщений и папок при этом не регистрируется. | Да1 | Да1 | Да |
| FolderBind | Папка почтового ящика была открыта. | Да1 | Да2 | Нет |
| HardDelete | Элемент удален из папки "Элементы для восстановления" без возможности восстановления. | Да1 | Да1 | Да |
| MailboxLogin | Пользователь выполнил вход в свой почтовый ящик. | Нет | Нет | Да3 |
| MessageBind | Сообщение открыто или просматривается в области просмотра. | Да | Нет | Нет |
| Move | Сообщение перемещено в другую папку. | Да1 | Да | Да |
| MoveToDeletedItems | Сообщение перемещено в папку "Удаленные". | Да1 | Да | Да |
| SendAs | Сообщение отправлено с использованием разрешений "Отправить как". | Да1 | Да1 | Нет |
| SendOnBehalf | Сообщение отправлено с использованием разрешений "Отправить от имени". | Да1 | Да | Нет |
| SoftDelete | Сообщение удалено из папки "Удаленные". | Да1 | Да1 | Да |
| Update | Параметры элемента обновлены. | Да1 | Да1 | Да |
1 Аудит по умолчанию, если аудит включен для почтового ящика.
2 Записи для действий привязки папок, выполняемых делегатами, объединяются. За 24 часа в журнале создается одна запись для доступа к отдельной папке.
3 Аудит для входа владельца в почтовый ящик работает только для имен входа POP3, IMAP4 или OAuth. Он не поддерживается для входа в почтовый ящик с использованием NTLM или Kerberos.
Поиск в журнале аудита почтового ящика
Для поиска записей в журнале аудита можно использовать следующие способы.
Синхронный поиск в одном почтовом ящике. Вы можете использовать командлет Search-MailboxAuditLog для синхронного поиска записей журнала аудита почтовых ящиков для одного почтового ящика. Командлет отображает результаты поиска в окне командной консоли Exchange. Дополнительные сведения см. в разделе Search Mailbox Audit Log for a Mailbox.
Асинхронный поиск в одном или нескольких почтовых ящиках. Вы можете создать поиск по журналам аудита почтовых ящиков для асинхронного поиска по одному или нескольким почтовым ящикам, а затем отправить результаты поиска на указанный адрес электронной почты. Результаты поиска отправляются в виде вложения XML. Для выполнения поиска используйте командлет New-MailboxAuditLogSearch. Дополнительные сведения см. в разделе Create a Mailbox Audit Log Search.
Использование отчетов аудита в Центре администрирования Exchange (EAC). Вы можете использовать вкладку Аудит в Центре администрирования Exchange для запуска отчета о доступе к почтовому ящику, не являющегося владельцем (содержит записи для действий администратора и удаления) или экспорта записей, не являющихся владельцами, из журнала аудита почтовых ящиков. Дополнительные сведения см. в следующих статьях:
Записи журнала аудита почтовых ящиков
В следующей таблице описываются поля, заполняемые в журнале аудита почтовых ящиков.
| Поле | Заполняется |
|---|---|
| Операция | Одно из следующих действий: Copy Create FolderBind HardDelete MailboxLogin MessageBind Move MoveToDeletedItems SendAs SendOnBehalf SoftDelete Update |
| OperationResult | Один из следующих результатов: Failed Частичносоздало Succeeded |
| LogonType | Тип учетной записи для входа пользователя, выполняющего действие. Типы учетных записей для входа: Владелец Делегат Администратор |
| DestFolderId | Идентификатор GUID папки назначения для операций перемещения. |
| DestFolderPathName | Путь к папке назначения для операций перемещения. |
| FolderId | Идентификатор GUID папки. |
| FolderPathName | Путь к папке. |
| ClientInfoString | Сведения для идентификации клиента или компонента Exchange, выполняющего эту операцию. |
| ClientIPAddress | IP-адрес клиентского компьютера. |
| ClientMachineName | Имя клиентского компьютера. |
| ClientProcessName | Имя процесса клиентского приложения. |
| ClientVersion | Версия клиентского приложения. |
| InternalLogonType | Тип внутреннего пользователя (сотрудника организации), выполнившего операцию. Для этого поля допускаются те же значения, что и для поля LogonType. |
| MailboxOwnerUPN | Имя участника-пользователя (UPN) владельца почтового ящика. |
| MailboxOwnerSid | Идентификатор безопасности владельца почтового ящика (SID). |
| DestMailboxOwnerUPN | Имя участника-пользователя владельца почтового ящика назначения, выполняющего действия в нескольких почтовых ящиках. |
| DestMailboxOwnerSid | Идентификатор безопасности владельца почтового ящика назначения, выполняющего действия в нескольких почтовых ящиках. |
| DestMailboxOwnerGuid | Идентификатор GUID владельца почтового ящика назначения. |
| CrossMailboxOperation | Запись сведений об операции, выполненной в нескольких почтовых ящиках (например, копирование или перемещение сообщений в другие почтовые ящики). |
| LogonUserDisplayName | Отображаемое имя пользователя, выполнившего вход. |
| DelegateUserDisplayName | Отображаемое имя пользователя-делегата. |
| LogonUserSid | Идентификатор безопасности пользователя, выполнившего вход. |
| SourceItems | Идентификатор ItemID элементов почтового ящика, в котором выполнено записанное действие (например, перемещение или удаление). Для действий, выполненных для нескольких элементов, данное поле отображается как совокупность элементов. |
| SourceFolders | Идентификатор GUID исходной папки. |
| ItemId | Идентификатор элемента. |
| ItemSubject | Тема элемента. |
| MailboxGuid | Идентификатор GUID почтового ящика |
| MailboxResolvedOwnerName | Имя пользователя почтового ящика разрешено в формате DOMAIN\ SamAccountName. |
| LastAccessed | Время выполнения действия. |
| Identity | Идентификатор записи журнала аудита. |
Дополнительная информация
Доступ администратора к почтовым ящикам. Считается, что доступ к почтовым ящикам будет осуществляться администратором только в следующих сценариях:
Для поиска в почтовом ящике используется обнаружение электронных данных на месте.
Использование командлета New-MailboxExportRequest для экспорта почтового ящика.
Microsoft Exchange Server для доступа к почтовому ящику используются объекты данных клиента MAPI и объектов данных совместной работы.
Обход журнала аудита почтовых ящиков. Доступ к почтовым ящикам авторизованными автоматизированными процессами, такими как учетные записи, используемые сторонними средствами или учетными записями, используемыми для законного мониторинга, может создать большое количество записей журнала аудита почтовых ящиков и не представляет интереса для вашей организации. Регистрацию сведений о таких учетных записях в журнале аудита можно отключить. Дополнительные сведения см. в разделе Bypass a User Account From Mailbox Audit Logging.
Ведение журнала действий владельца почтового ящика. Для почтовых ящиков, таких как почтовый ящик поиска обнаружения, который может содержать более конфиденциальные сведения, рассмотрите возможность включения ведения журнала аудита почтового ящика для действий владельца почтового ящика, таких как удаление сообщений.