Экспорт журналов аудита почтовых ящиков

Exchange 2013
 

Применимо к:Exchange Online, Exchange Server 2013

Последнее изменение раздела:2015-04-07

Если для почтового ящика включен аудит почтовых ящиков, Microsoft Exchange ведет запись действий над данными в почтовом ящике со стороны пользователей, не являющихся владельцами. Записи заносятся в журнал аудита почтового ящика. В каждой записи указывается, кто, когда и как обращался к почтовому ящику, был ли это пользователь, отличный от владельца, какие действия он выполнял и были ли они успешными. По умолчанию записи в журнале аудита почтового ящика хранятся в течение 90 дней. По журналу аудита почтовых ящиков можно определить, обращался ли к почтовому ящику пользователь, не являющийся его владельцем.

При экспорте записей из журналов аудита почтовых ящиков Microsoft Exchange сохраняет их в XML-файле и вкладывает его в сообщение электронной почты, отправляемое указанным получателям.

Содержание

Приступая к работе

Настройка ведения журнала аудита почтовых ящиков

Экспорт журнала аудита почтовых ящиков

Просмотр журнала аудита почтовых ящиков

Дополнительные сведения

  • Предполагаемое время для завершения каждой процедуры: Время — это переменная. В службе Exchange Online журнал аудита почтового ящика отправляется в течение нескольких дней после его экспорта.

  • В Exchange Online для выполнения многих процедур, описанных в этой статье, необходимо использовать удаленную оболочку Windows PowerShell. Дополнительные сведения см. в статье Подключение к Exchange Online с помощью удаленной оболочки PowerShell.

  • Для процедур в этом разделе требуются особые разрешения. См. информацию о разрешениях по каждой процедуре.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

СоветСовет.
Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection..

Для экспорта и просмотра журналов аудита почтовых ящиков ведение журнала аудита почтовых ящиков следует включить для всех почтовых ящиков, по которым следует вести аудит. Также необходимо настроить Microsoft Outlook Web App, чтобы разрешить вложениям XML доступ к журналу аудита через приложение Outlook Web App.

Ведение журнала аудита почтовых ящиков включается для всех почтовых ящиков, по которым следует составлять отчет о доступе пользователей, не являющихся владельцами. Если ведение журнала аудита почтовых ящиков не включено для почтового ящика, экспорт журнала аудита почтовых ящиков не даст результатов для этого ящика.

Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Ведение журнала аудита почтовых ящиков" в разделе Политика обмена сообщениями и разрешения для соответствия требованиям.

Чтобы включить ведение журнала аудита почтовых ящиков для отдельного почтового ящика, выполните команду в командной строке.

Set-Mailbox <Identity> -AuditEnabled $true

Чтобы включить ведение журнала аудита для всех почтовых ящиков пользователей в организации, выполните следующие команды:

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

При экспорте журнала аудита почтовых ящиков Microsoft Exchange вкладывает журнал аудита в XML-файле в сообщение электронной почты. Тем не менее по умолчанию XML-вложения блокируются в Outlook Web App. Для доступа к экспортированному журналу аудита необходимо приложение Microsoft Outlook, или же необходимо разрешить XML-вложения в приложении Outlook Web App.

Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Политики почтовых ящиков Outlook Web App" в разделе Разрешения клиентов и мобильных устройств.

Чтобы разрешить XML-вложения в Outlook Web App, выполните следующие действия. В Exchange Server 2013 установите для параметра Identity значение Default.

  1. Выполните следующую команду, чтобы добавить XML-файлы в список разрешенных типов файлов в Outlook Web App.

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add='.xml'}
    
  2. Выполните следующую команду, чтобы удалить XML-файлы из списка заблокированных типов файлов в Outlook Web App.

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove='.xml'}
    

Чтобы убедиться, что ведение журнала аудита почтового ящика настроено успешно, выполните следующие действия.

  1. Чтобы убедиться, что ведение аудита настроено для почтовых ящиков, выполните следующую команду.

    Get-Mailbox | FL Name,AuditEnabled
    

    Значение True для атрибута AuditEnabled указывает, что аудит журналов включен.

  2. Выполните следующую команду, чтобы убедиться, что XML-вложения разрешены в Outlook Web App.

    Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes
    

    Убедитесь, что расширение .xml включено в список разрешенных типов файлов.

  3. Выполните следующую команду, чтобы убедиться, что XML-вложения удалены из списка заблокированных файлов в Outlook Web App.

    Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypes
    

    Убедитесь, что расширение .xml не включено в список заблокированных типов файлов.

В начало

Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Ведение журнала аудита действий администратора только для просмотра" в разделе Разрешения инфраструктуры Exchange и командной консоли.

  1. В Центре администрирования Exchange перейдите в раздел Управление соответствием > Аудит.

  2. Щелкните элемент Экспорт журналов аудита почтовых ящиков.

  3. Настройте следующие условия поиска для экспорта записей из журнала аудита почтовых ящиков:

    • Начальная и конечная даты   Задайте диапазон дат для записей в экспортируемом файле.

    • Почтовые ящики для поиска в журнале аудита   Выберите ящики, для которых следует извлечь записи журнала аудита.

    • Тип доступа, отличный от владения   Выберите один из следующих вариантов, чтобы определить тип доступа, для которого извлекаются записи:

      • Все пользователи, не являющиеся владельцами   поиск обращений администраторов и делегированных пользователей внутри вашей организации, а также администраторов центров данных корпорации Майкрософт в службе Exchange Online.

      • Внешние пользователи   Поиск обращений только от администраторов центров данных корпорации Майкрософт.

      • Администраторы и пользователи-делегаты   Поиск обращений администраторов и делегатов из организации.

      • Администраторы   Поиск обращений от администраторов организации.

    • Получатели   Выберите пользователей, которым следует отправить журнал аудита почтовых ящиков.

  4. Нажмите кнопку Экспорт.

    Microsoft Exchange извлекает записи из журнала аудита почтовых ящиков, соответствующие заданным условиям поиска, сохраняет их в файле SearchResult.xml и вкладывает его в сообщение электронной почты, отправляемое указанным получателям.

Войдите в почтовый ящик, куда был отправлен журнал аудита почтовых ящиков. В случае успешного выполнения экспорта журнала аудита, Exchange отправит вам сообщение. В Exchange Online доставка этого сообщения может занять несколько дней. В это сообщение будет вложен журнал аудита почтовых ящиков (с именем SearchResult.xml). Если вы правильно настроили Outlook Web App, чтобы разрешить XML-вложения, вы сможете скачать вложенный XML-файл.

В начало

Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Ведение журнала аудита действий администратора только для просмотра" в разделе Разрешения инфраструктуры Exchange и командной консоли.

Чтобы сохранить и просмотреть файл SearchResult.xml, выполните следующие действия.

  1. Войдите в почтовый ящик, куда был отправлен журнал аудита почтовых ящиков.

  2. В папке "Входящие" откройте сообщение с вложенным XML-файлом, отправленное Microsoft Exchange. Обратите внимание, что в тексте сообщения указаны условия поиска.

  3. Щелкните вложение и выберите загрузку XML-файла.

  4. Откройте файл SearchResult.xml в Microsoft Excel.

В начало

  • Записи в журнале аудита почтовых ящиков. В следующем примере показана запись из журнала аудита почтовых ящиков, содержащегося в файле SearchResult.xml. Каждую запись предваряет XML-тег <Event>, а завершает XML-тег </Event>. В этой записи указывается, что администратор удалил сообщение с темой "Notification of litigation hold" из папки элементов для восстановления в почтовом ящике Владимира 30 апреля 2010 г.

    <Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" 
      Owner="PPLNSL-dom\david50001-1363917750" 
      LastAccessed="2010-04-30T11:01:55.140625-07:00" 
      Operation="HardDelete" 
      OperationResult="Succeeded" 
      LogonType="Admin"
     FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
      FolderPathName="\Recoverable Items\Deletions"
      ClientInfoString="Client=OWA;Action=ViaProxy" 
      ClientIPAddress="10.196.241.168" 
      InternalLogonType="Owner"
      MailboxOwnerUPN="david@contoso.com"
      MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" 
      CrossMailboxOperation="false" 
      LogonUserDN="Administrator"
      LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
      <SourceItems>
       <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
        Subject="Notification of litigation hold"
        FolderPathName="\Recoverable Items\Deletions" /> 
      </SourceItems>
    </Event>
    
  • Полезные поля в журнале аудита почтовых ящиков. Здесь приводится описание полезных полей в журнале аудита почтовых ящиков. Они помогают получить нужные сведения о всех видах обращений к почтовому ящику от пользователей, не являющихся владельцами.

     

    Поле Описание

    Owner

    Это владелец почтового ящика, к которому обратился пользователь, не являющийся владельцем.

    LastAccessed

    Дата и время обращения к почтовому ящику.

    Operation

    Выполненное пользователем действие. Дополнительные сведения см. в разделе "Что заносится в журнал аудита почтовых ящиков?" статьи Дополнительные сведения о запуске отчета о доступе к чужим почтовым ящикам.

    OperationResult

    Успешность выполненного пользователем действия.

    LogonType

    Тип обращения пользователя. Это может быть администратор, делегат или внешний пользователь.

    FolderPathName

    Имя папки, в которой находилось сообщение, затронутое пользователем.

    ClientInfoString

    Сведения о почтовом клиенте, который пользователь использует для обращения к почтовому ящику.

    ClientIPAddress

    IP-адрес компьютера, который пользователь использует для обращения к почтовому ящику.

    InternalLogonType

    Тип учетной записи, которую пользователь использует для обращения к почтовому ящику.

    MailboxOwnerUPN

    Адрес электронной почты владельца почтового ящика.

    LogonUserDN

    Отображаемое имя пользователя.

    Subject

    Строка темы сообщения электронной почты, затронутого пользователем, не являющимся владельцем.

    В начало

 
Показ: