Freigeben über

Grundlegendes zur Postfachüberwachungsprotokollierung

  • Artikel

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2016-11-28

Da Postfächer vertrauliche und für das Unternehmen zentrale Informationen sowie Informationen zur persönlichen Identifizierung enthalten können, ist es wichtig, zu verfolgen, wer sich an den Postfächern in Ihrer Organisation anmeldet und welche Aktionen ausgeführt werden. Eine besondere Rolle spielt hierbei die Verfolgung des Postfachzugriffs durch Benutzer, die nicht mit dem Postfachbesitzer identisch sind. Diese Benutzer werden als Stellvertretungsbenutzer bezeichnet.

Mithilfe der Postfachüberwachungsprotokollierung können Sie den durch Postfachbesitzer, Administratoren und Stellvertretungen (einschließlich Administratoren mit vollständigen Postfachzugriffsberechtigungen) erfolgten Postfachzugriff protokollieren. Nur in den folgenden Szenarien wird ein Postfachzugriff als Administratorzugriff erachtet:

Wenn Sie die Überwachungsprotokollierung für ein Postfach aktivieren, können Sie angeben, welche Benutzeraktionen (beispielsweise Zugriff auf eine Nachricht, Verschieben oder Löschen einer Nachricht) für einen Anmeldetyp (Administrator, Stellvertretungsbenutzer oder Besitzer) protokolliert werden sollen. Die Einträge im Überwachungsprotokoll umfassen auch Informationen wie die Client-IP-Adresse, den Hostnamen und den Prozess oder Client, der für den Zugriff auf das Postfach verwendet wurde. Bei verschobenen Elementen umfasst der Eintrag den Namen des Zielordners.

Hinweis

Bei Postfächern wie dem Discoverysuchpostfach, die vertraulichere Informationen enthalten können, sollten Sie die Aktivierung der Postfachüberwachungsprotokollierung für Aktionen von Postfachbesitzern, etwa für das Löschen von Nachrichten, in Erwägung ziehen.

Inhalt

Postfachüberwachungsprotokolle

Aktivieren der Postfachüberwachungsprotokollierung

Durchsuchen von Postfachüberwachungsprotokolleinträgen

Postfachüberwachungsprotokolleinträge

Postfachüberwachungsprotokolle

Postfachüberwachungsprotokolle werden für jedes Postfach generiert, für das die Postfachüberwachungsprotokollierung aktiviert ist. Protokolleinträge werden im Unterordner "Überwachungen" des Ordners "Wiederherstellbare Elemente" des überwachten Postfachs gespeichert. Hierdurch ist sichergestellt, dass alle Überwachungsprotokolle zentral verfügbar sind, und zwar unabhängig davon, welche Clientzugriffsmethode für den Zugriff auf das Postfach verwendet wurde oder welchen Server oder welche Arbeitsstation ein Administrator für den Zugriff auf das Postfachüberwachungsprotokoll verwendet hat. Wenn Sie ein Postfach zu einem anderen Postfachserver verschieben, werden die Postfachüberwachungsprotokolle ebenfalls verschoben, da sie sich im Postfach befinden.

Standardmäßig werden Postfachüberwachungsprotokolleinträge 90 Tage lang aufbewahrt und dann gelöscht. Sie können dieseb Aufbewahrungszeitraum ändern, indem Sie den Parameter AuditLogAgeLimit mit dem Cmdlet Set-Mailbox verwenden. Wenn sich ein Postfach in einem Beweissicherungsverfahren befindet, werden Überwachungsprotokolle nur so lange aufbewahrt, bis die Aufbewahrungszeit für das Überwachungsprotokoll abgelaufen ist. Wenn Sie Überwachungsprotokolle länger aufbewahren möchten, müssen Sie die Aufbewahrungszeit verlängern, indem Sie den Wert für den AuditLogAgeLimit-Parameter ändern oder Überwachungsprotokolleinträge exportieren, bevor die Aufbewahrungszeit abläuft. Weitere Informationen finden Sie unter Erstellen einer Postfachüberwachungsprotokoll-Suche.

Postfachüberwachungsprotokolle

Aktivieren der Postfachüberwachungsprotokollierung

Die Postfachüberwachungsprotokollierung wird auf Postfachebene aktiviert. Verwenden Sie das Cmdlet Set-Mailbox zum Aktivieren oder Deaktivieren der Postfachüberwachungsprotokollierung. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachungsprotokollierung für ein Postfach.

Wenn die Postfachüberwachungsprotokollierung für ein Postfach aktiviert wird, werden der Zugriff auf das Postfach sowie bestimmte von Administratoren und Stellvertretungen ausgeführte Aktionen standardmäßig protokolliert. Damit vom Postfachbesitzer ausgeführte Aktionen protokolliert werden, müssen Sie angeben, welche Besitzeraktionen überwacht werden sollen. In der folgenden Tabelle sind die Aktionen, die von der Postfachüberwachungsprotokollierung erfasst werden, sowie die Anmeldetypen, für die die Aktion protokolliert wird, aufgeführt.

Durch die Postfachüberwachungsprotokollierung erfasste Postfachaktionen

Aktion Beschreibung Administrator Stellvertretung Besitzer

Kopieren

Ein Element wird in einen anderen Ordner kopiert.

Ja

Nr.

Nr.

Create

In dem Postfach wird ein Element erstellt. (Beispiel: Eine Nachricht wird gesendet oder empfangen.)

Hinweis

Die Ordnererstellung wird nicht überwacht.

Ja*

Ja*

Ja

FolderBind

Auf einen Postfachordner wird zugegriffen.***

Ja*

Ja**

Nr.

HardDelete

Ein Element wird dauerhaft aus dem Ordner "Wiederherstellbare Elemente" gelöscht.

Ja*

Ja*

Ja

MessageBind

Auf ein Element wird im Lesebereich zugegriffen oder es wird im Lesebereich geöffnet.***

Ja

Nr.

Nr.

Verschieben

Ein Element wird in einen anderen Ordner verschoben.

Ja*

Ja

Ja

MoveToDeletedItems

Ein Element wird in den Ordner "Gelöschte Elemente" verschoben.

Ja*

Ja

Ja

SendAs

Eine Nachricht wird mithilfe der Berechtigung "Senden als" gesendet.

Ja*

Ja*

Nicht zutreffend

SendOnBehalf

Eine Nachricht wird mithilfe der Berechtigung "Senden im Auftrag von" gesendet.

Ja*

Ja

Nicht zutreffend

SoftDelete

Ein Element wird aus dem Ordner "Gelöschte Elemente" gelöscht.

Ja*

Ja*

Ja

Aktualisieren

Die Eigenschaften eines Elements werden aktualisiert.

Ja*

Ja*

Ja

Kopieren

Ein Element wird in einen anderen Ordner kopiert.

Ja

Nr.

Nr.

Create

In dem Postfach wird ein Element erstellt. (Beispiel: Eine Nachricht wird gesendet oder empfangen.)

Hinweis

Die Ordnererstellung wird nicht überwacht.

Ja*

Ja*

Ja

FolderBind

Auf einen Postfachordner wird zugegriffen.***

Ja*

Ja**

Nr.

HardDelete

Ein Element wird dauerhaft aus dem Ordner "Wiederherstellbare Elemente" gelöscht.

Ja*

Ja*

Ja

MessageBind

Auf ein Element wird im Lesebereich zugegriffen oder es wird im Lesebereich geöffnet.***

Ja

Nr.

Nr.

Verschieben

Ein Element wird in einen anderen Ordner verschoben.

Ja*

Ja

Ja

MoveToDeletedItems

Ein Element wird in den Ordner "Gelöschte Elemente" verschoben.

Ja*

Ja

Ja

SendAs

Eine Nachricht wird mithilfe der Berechtigung "Senden als" gesendet.

Ja*

Ja*

Nicht zutreffend

SendOnBehalf

Eine Nachricht wird mithilfe der Berechtigung "Senden im Auftrag von" gesendet.

Ja*

Ja

Nicht zutreffend

SoftDelete

Ein Element wird aus dem Ordner "Gelöschte Elemente" gelöscht.

Ja*

Ja*

Ja

Aktualisieren

Die Eigenschaften eines Elements werden aktualisiert.

Ja*

Ja*

Ja

* Wird standardmäßig überprüft, wenn die Überprüfung für ein Postfach aktiviert ist. ** Einträge für Ordnerbindungsaktionen, die von Stellvertretungen ausgeführt werden, werden zusammengefasst. Für einen einzelnen Ordnerzugriff innerhalb von 24 Stunden wird ein Protokolleintrag generiert. *** "FolderBind" und "MessageBind" werden für den Standardkalender nicht protokolliert.

Der Postfachzugriff durch autorisierte, automatisierte Prozesse wie Konten, die von Drittanbietertools oder für die gesetzliche Überwachung verwendet werden, kann zu einer hohen Anzahl von Einträgen im Postfachüberwachungsprotokoll führen. Dies ist für Ihre Organisation möglicherweise nicht erforderlich. Sie können derartige Konten so konfigurieren, dass die Postfachüberwachungsprotokollierung umgangen wird. Weitere Informationen finden Sie unter Umgehen der Postfachüberwachungsprotokollierung für ein Benutzerkonto.

Wenn die Überwachung bestimmte Postfachaktionen nicht mehr notwendig ist, sollten Sie die Überwachungsprotokollkonfiguration für das Postfach ändern, um die Überwachung dieser Aktionen zu deaktivieren. Vorhandene Protokolleinträge werden erst dann gelöscht, wenn das konfigurierte Überwachungsprotokollalter für das Postfach erreicht ist.

Postfachüberwachungsprotokolle

Durchsuchen von Postfachüberwachungsprotokolleinträgen

Mithilfe der folgenden Methoden können Sie Postfachüberwachungsprotokolleinträge durchsuchen:

  • Synchrone Suche in einem einzelnen Postfach   Mit dem Cmdlet Search-MailboxAuditLog können Sie die Postfachüberwachungsprotokolleinträge für ein einzelnes Postfach synchron durchsuchen. Die Suchergebnisse werden im Fenster der Exchange-Verwaltungsshell angezeigt. Weitere Informationen finden Sie unter Search-MailboxAuditLog und Durchsuchen des Überwachungsprotokolls für ein Postfach.

  • Ansynchrone Suche in einem oder mehreren Postfächern   Sie können eine Postfachüberwachungsprotokollsuche erstellen, um die Postfachüberwachungsprotokolle für ein oder mehrere Postfächer asynchron zu durchsuchen. Anschließend können die Suchergebnisse an eine bestimmte E-Mail-Adresse gesendet werden. Die Suchergebnisse werden als XML-Anlage gesendet. Verwenden Sie zum Erstellen der Suche das Cmdlet New-MailboxAuditLogSearch. Weitere Informationen finden Sie unter Erstellen einer Postfachüberwachungsprotokoll-Suche.

  • Verwenden von Überwachungsberichten in der Exchange-Systemsteuerung   Mithilfe der Registerkarte Überwachung in der Exchange-Systemsteuerung können Sie Überwachungsberichte ausführen oder Einträge aus dem Postfachüberwachungsprotokoll und dem Administratorüberwachungsprotokoll exportieren. Ausführliche Informationen finden Sie unter Registerkarte "Überwachung".

Postfachüberwachungsprotokolleinträge

In der folgenden Tabelle werden die Felder beschrieben, die in einem Postfachüberwachungsprotokolleintrag protokolliert werden.

Postfachüberwachungsprotokollfelder

Feld Enthaltene Angaben

Operation

Eine der folgenden Aktionen:

  • Copy

  • Erstellen

  • FolderBind

  • HardDelete

  • MessageBind

  • Move

  • MoveToDeletedItems

  • SendAs

  • SendOnBehalf

  • SoftDelete

  • Update

OperationResult

Eines der folgenden Ergebnisse:

  • Failed

  • PartiallySucceeded

  • Succeeded

LogonType

Anmeldetyp des Benutzers, der den Vorgang ausgeführt hat. Folgende Anmeldetypen sind verfügbar:

  • Besitzer

  • Stellvertretung

  • Administrator

DestFolderId

Zielordner-GUID für Verschiebungsvorgänge.

DestFolderPathName

Zielordnerpfad für Verschiebungsvorgänge.

FolderId

Ordner-GUID.

FolderPathName

Ordnerpfad.

ClientInfoString

Details, die angeben, welcher Client oder welche Exchange-Komponente den Vorgang ausgeführt hat.

ClientIPAddress

IP-Adresse des Clientcomputers.

ClientMachineName

Name des Clientcomputers.

ClientProcessName

Name des Clientanwendungsprozesses.

ClientVersion

Version der Clientanwendung.

InternalLogonType

Anmeldetyp des Benutzers, der den Vorgang ausgeführt hat. Folgende Anmeldetypen sind verfügbar:

  • Besitzer

  • Stellvertretung

  • Administrator

MailboxOwnerUPN

Benutzerprinzipalname des Postfachbesitzers.

MailboxOwnerSid

Sicherheits-ID (SID) des Postfachbesitzers.

DestMailboxOwnerUPN

Benutzerprinzipalname des Besitzers des Zielpostfachs; wird bei postfachübergreifenden Vorgängen protokolliert.

DestMailboxOwnerSid

SID des Besitzers des Zielpostfachs; wird bei postfachübergreifenden Vorgängen protokolliert.

DestMailboxOwnerGuid

GUID des Besitzers des Zielpostfachs.

CrossMailboxOperation

Informationen die angeben, ob es sich bei dem protokollierten Vorgang um einen postfachübergreifenden Vorgang handelt (beispielsweise Kopieren oder Verschieben von Nachrichten zwischen Postfächern).

LogonUserDisplayName

Anzeigename des angemeldeten Benutzers.

DelegateUserDisplayName

Anzeigename des Stellvertretungsbenutzers.

LogonUserSid

SID des angemeldeten Benutzers.

SourceItems

Element-ID von Postfachelementen, für die die protokollierte Aktion ausgeführt wird (beispielsweise Verschieben oder Löschen). bei Vorgängen, die für mehrere Elemente ausgeführt werden, wird dieses Feld als Auflistung von Elementen zurückgegeben.

SourceFolders

GUID des Quellordners.

ItemId

Element-ID.

ItemSubject

Betreff des Elements.

MailboxGuid

Postfach-GUID.

MailboxResolvedOwnerName

Aufgelöster Name des Postfachbenutzers im Format DOMÄNE\SamKontoname.

LastAccessed

Zeitpunkt der Ausführung des Vorgangs.

Identity

ID des Überwachungsprotokolleintrags.

Operation

Eine der folgenden Aktionen:

  • Copy

  • Erstellen

  • FolderBind

  • HardDelete

  • MessageBind

  • Move

  • MoveToDeletedItems

  • SendAs

  • SendOnBehalf

  • SoftDelete

  • Update

OperationResult

Eines der folgenden Ergebnisse:

  • Failed

  • PartiallySucceeded

  • Succeeded

LogonType

Anmeldetyp des Benutzers, der den Vorgang ausgeführt hat. Folgende Anmeldetypen sind verfügbar:

  • Besitzer

  • Stellvertretung

  • Administrator

DestFolderId

Zielordner-GUID für Verschiebungsvorgänge.

DestFolderPathName

Zielordnerpfad für Verschiebungsvorgänge.

FolderId

Ordner-GUID.

FolderPathName

Ordnerpfad.

ClientInfoString

Details, die angeben, welcher Client oder welche Exchange-Komponente den Vorgang ausgeführt hat.

ClientIPAddress

IP-Adresse des Clientcomputers.

ClientMachineName

Name des Clientcomputers.

ClientProcessName

Name des Clientanwendungsprozesses.

ClientVersion

Version der Clientanwendung.

InternalLogonType

Anmeldetyp des Benutzers, der den Vorgang ausgeführt hat. Folgende Anmeldetypen sind verfügbar:

  • Besitzer

  • Stellvertretung

  • Administrator

MailboxOwnerUPN

Benutzerprinzipalname des Postfachbesitzers.

MailboxOwnerSid

Sicherheits-ID (SID) des Postfachbesitzers.

DestMailboxOwnerUPN

Benutzerprinzipalname des Besitzers des Zielpostfachs; wird bei postfachübergreifenden Vorgängen protokolliert.

DestMailboxOwnerSid

SID des Besitzers des Zielpostfachs; wird bei postfachübergreifenden Vorgängen protokolliert.

DestMailboxOwnerGuid

GUID des Besitzers des Zielpostfachs.

CrossMailboxOperation

Informationen die angeben, ob es sich bei dem protokollierten Vorgang um einen postfachübergreifenden Vorgang handelt (beispielsweise Kopieren oder Verschieben von Nachrichten zwischen Postfächern).

LogonUserDisplayName

Anzeigename des angemeldeten Benutzers.

DelegateUserDisplayName

Anzeigename des Stellvertretungsbenutzers.

LogonUserSid

SID des angemeldeten Benutzers.

SourceItems

Element-ID von Postfachelementen, für die die protokollierte Aktion ausgeführt wird (beispielsweise Verschieben oder Löschen). bei Vorgängen, die für mehrere Elemente ausgeführt werden, wird dieses Feld als Auflistung von Elementen zurückgegeben.

SourceFolders

GUID des Quellordners.

ItemId

Element-ID.

ItemSubject

Betreff des Elements.

MailboxGuid

Postfach-GUID.

MailboxResolvedOwnerName

Aufgelöster Name des Postfachbenutzers im Format DOMÄNE\SamKontoname.

LastAccessed

Zeitpunkt der Ausführung des Vorgangs.

Identity

ID des Überwachungsprotokolleintrags.

Postfachüberwachungsprotokolle

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.