了解邮箱审核日志记录
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2016-11-28
由于邮箱可能包含一些敏感、对业务影响很大 (HBI) 的信息和个人的可识别信息 (PII),因此,跟踪登录组织内邮箱的人员及其所执行的操作非常重要。跟踪邮箱所有者之外的其他用户对邮箱的访问情况尤其重要。这些用户称为“委派用户”。
使用邮箱审核日志记录可以记录邮箱所有者、管理员和委派用户(包含具有完全邮箱访问权限的管理员)对邮箱的访问。只有在以下情况下,才视为由管理员访问邮箱:
使用发现搜索来搜索邮箱
使用 New-MailboxExportRequest cmdlet 导出邮箱
为邮箱启用审核日志记录时,可以指定应记录一种登录类型(管理员、委派用户或所有者)的哪些用户操作。审核日志条目还包含客户端 IP 地址、主机名以及用于访问邮箱的进程或客户端等重要信息。对于移动的项目,条目中包含目标文件夹的名称。
.gif "注释") 注意: |
|---|
| 对于像发现搜索邮箱这样可能包含更多敏感信息的邮箱,可以考虑为诸如邮件删除等邮箱所有者操作启用邮箱审核日志记录。 |
目录
邮箱审核日志
启用邮箱审核日志记录
搜索邮箱审核日志条目
邮箱审核日志条目
邮箱审核日志
邮箱审核日志针对每个启用了邮箱审核日志记录功能的邮箱而生成。日志条目存储在已审核邮箱“可恢复的项目”文件夹的“审核”子文件夹中。这样能够保证可以从一个位置获得全部审核日志,而无论使用哪种客户端访问方法来访问邮箱,或者管理员使用哪个服务器或工作站来访问邮箱审核日志。如果将邮箱移至其他邮箱服务器,则由于邮箱中包含该邮箱的审核日志,因此这些审核日志也会移动到其他邮箱服务器。
默认情况下,邮箱审核日志条目在邮箱中保留 90 天,然后被删除。可以使用 AuditLogAgeLimit 参数和 Set-Mailbox cmdlet 来修改此保留期限。如果邮箱处于诉讼保留期内,则仅会将审核日志条目保留到邮箱的审核日志保留期期满。若要将审核日志条目保留更长时间,您必须通过更改 AuditLogAgeLimit 参数的值延长保留期,或者在保留期期满之前导出审核日志条目。有关详细信息,请参阅创建邮箱审核日志搜索。
邮箱审核日志
启用邮箱审核日志记录
审核日志记录是按邮箱启用的。使用 Set-Mailbox cmdlet 启用或禁用邮箱审核日志记录。有关详细信息,请参阅启用或禁用邮箱的邮箱审核日志记录。
当启用邮箱的邮箱审核日志记录功能时,默认情况下会记录对邮箱的访问以及管理员和委派用户执行的某些操作。若要记录邮箱所有者执行的操作,必须指定应审核哪些所有者操作。下表列出了邮箱审核日志记录功能所记录的操作,其中包括所记录的操作的登录类型。
邮箱审核日志记录所记录的邮箱操作
| 操作 | 描述 | 管理员 | 委派用户 | 所有者 | ||
|---|---|---|---|---|---|---|
复制 |
将项目复制到另一个文件夹。 |
是 |
否 |
否 |
||
Create |
在邮箱中创建项目。(例如,发送或接收邮件。)
|
是* |
是* |
是 |
||
FolderBind |
访问邮箱文件夹。*** |
是* |
是** |
否 |
||
HardDelete |
从“可恢复的项目”文件夹中永久删除项目。 |
是* |
是* |
是 |
||
MessageBind |
在读取窗格中访问或打开项目。*** |
是 |
否 |
否 |
||
移动 |
将项目移动到另一个文件夹。 |
是* |
是 |
是 |
||
MoveToDeletedItems |
将项目移动到“已删除邮件”文件夹中。 |
是* |
是 |
是 |
||
SendAs |
使用 Send As 权限发送邮件。 |
是* |
是* |
不适用 |
||
SendOnBehalf |
使用 Send on Behalf 权限发送邮件。 |
是* |
是 |
不适用 |
||
SoftDelete |
从“已删除邮件”文件夹中删除项目。 |
是* |
是* |
是 |
||
更新 |
更新项目的属性。 |
是* |
是* |
是 |
||
复制 |
将项目复制到另一个文件夹。 |
是 |
否 |
否 |
||
Create |
在邮箱中创建项目。(例如,发送或接收邮件。)
|
是* |
是* |
是 |
||
FolderBind |
访问邮箱文件夹。*** |
是* |
是** |
否 |
||
HardDelete |
从“可恢复的项目”文件夹中永久删除项目。 |
是* |
是* |
是 |
||
MessageBind |
在读取窗格中访问或打开项目。*** |
是 |
否 |
否 |
||
移动 |
将项目移动到另一个文件夹。 |
是* |
是 |
是 |
||
MoveToDeletedItems |
将项目移动到“已删除邮件”文件夹中。 |
是* |
是 |
是 |
||
SendAs |
使用 Send As 权限发送邮件。 |
是* |
是* |
不适用 |
||
SendOnBehalf |
使用 Send on Behalf 权限发送邮件。 |
是* |
是 |
不适用 |
||
SoftDelete |
从“已删除邮件”文件夹中删除项目。 |
是* |
是* |
是 |
||
更新 |
更新项目的属性。 |
是* |
是* |
是 |
* 如果为邮箱启用了审核则会默认进行审核。 ** 将由委派用户执行的文件夹绑定操作的条目合并。在二十四小时的时间跨度内生成单独文件夹访问的日志条目。 *** 不会为默认日历记录 FolderBind 和 MessageBind。
由授权自动进程(如第三方工具使用的帐户或用于合法监视的帐户)执行的邮箱访问可以创建大量邮箱审核日志条目。而您的组织可能不感兴趣。可以将这些帐户配置为绕过邮件审核日志功能。有关详细信息,请参阅绕过邮箱审核日志记录中的用户帐户。
如果不再需要审核某些类型的邮箱操作,应修改邮箱的审核日志记录配置,以禁用这些操作。在达到邮箱配置的审核日志期限之前,不会清除现有日志条目。
邮箱审核日志
搜索邮箱审核日志条目
可以使用下列方法搜索邮箱审核日志条目:
同步搜索单个邮箱 可以使用 Search-MailboxAuditLog cmdlet 同步搜索单个邮箱的邮箱审核日志条目。此 cmdlet 在 Exchange 命令行管理程序窗口中显示搜索结果。有关详细信息,请参阅 Search-MailboxAuditLog 和搜索邮箱的邮箱审核日志。
异步搜索一个或多个邮箱 可以创建邮箱审核日志搜索来异步搜索一个或多个邮箱的邮箱审核日志,然后将搜索结果发送到指定的电子邮件地址。搜索结果以 XML 附件的形式发送。要创建搜索,请使用 New-MailboxAuditLogSearch cmdlet。有关详细信息,请参阅创建邮箱审核日志搜索。
在 Exchange 控制面板中使用审核报告 可以在 Exchange 控制面板 (ECP) 中使用“审核”选项卡运行审核报告,或者从邮箱审核日志和管理员审核日志中导出条目。有关详细信息,请参阅“审核”选项卡。
邮箱审核日志条目
下表说明在邮箱审核日志记录条目中记录的字段。
邮箱审核日志字段
| 字段 | 填入内容 |
|---|---|
Operation |
下列操作之一:
|
OperationResult |
下列结果之一:
|
LogonType |
执行操作的用户的登录类型。登录类型包括:
|
DestFolderId |
移动操作的目标文件夹 GUID。 |
DestFolderPathName |
移动操作的目标文件夹路径。 |
FolderId |
文件夹 GUID。 |
FolderPathName |
文件夹路径。 |
ClientInfoString |
确定哪个客户端或 Exchange 组件执行了操作的详细信息。 |
ClientIPAddress |
客户端计算机 IP 地址。 |
ClientMachineName |
客户端计算机名称。 |
ClientProcessName |
客户端应用程序进程的名称。 |
ClientVersion |
客户端应用程序版本。 |
InternalLogonType |
执行操作的用户的登录类型。登录类型包括:
|
MailboxOwnerUPN |
邮箱所有者用户主体名称 (UPN)。 |
MailboxOwnerSid |
邮箱所有者安全标识符 (SID)。 |
DestMailboxOwnerUPN |
目标邮箱所有者 UPN(为跨邮箱操作而记录)。 |
DestMailboxOwnerSid |
目标邮箱所有者 SID(为跨邮箱操作而记录)。 |
DestMailboxOwnerGuid |
目标邮箱所有者 GUID。 |
CrossMailboxOperation |
关于记录的操作是否是跨邮箱操作(例如,在多个邮箱间复制或移动邮件)的信息。 |
LogonUserDisplayName |
显示登录用户的名称。 |
DelegateUserDisplayName |
委派用户显示名称。 |
LogonUserSid |
登录用户的 SID。 |
SourceItems |
对其执行了所记录的操作(例如移动或删除)的邮箱项目的 ItemID。对于在许多项目上执行的操作,该字段会返回一个项目集合。 |
SourceFolders |
源文件夹 GUID。 |
ItemId |
项目 ID。 |
ItemSubject |
项目主题。 |
MailboxGuid |
邮箱 GUID。 |
MailboxResolvedOwnerName |
采用 DOMAIN\SamAccountName 格式的邮箱用户解析名称。 |
LastAccessed |
执行操作的时间。 |
Identity |
审核日志条目 ID。 |
Operation |
下列操作之一:
|
OperationResult |
下列结果之一:
|
LogonType |
执行操作的用户的登录类型。登录类型包括:
|
DestFolderId |
移动操作的目标文件夹 GUID。 |
DestFolderPathName |
移动操作的目标文件夹路径。 |
FolderId |
文件夹 GUID。 |
FolderPathName |
文件夹路径。 |
ClientInfoString |
确定哪个客户端或 Exchange 组件执行了操作的详细信息。 |
ClientIPAddress |
客户端计算机 IP 地址。 |
ClientMachineName |
客户端计算机名称。 |
ClientProcessName |
客户端应用程序进程的名称。 |
ClientVersion |
客户端应用程序版本。 |
InternalLogonType |
执行操作的用户的登录类型。登录类型包括:
|
MailboxOwnerUPN |
邮箱所有者用户主体名称 (UPN)。 |
MailboxOwnerSid |
邮箱所有者安全标识符 (SID)。 |
DestMailboxOwnerUPN |
目标邮箱所有者 UPN(为跨邮箱操作而记录)。 |
DestMailboxOwnerSid |
目标邮箱所有者 SID(为跨邮箱操作而记录)。 |
DestMailboxOwnerGuid |
目标邮箱所有者 GUID。 |
CrossMailboxOperation |
关于记录的操作是否是跨邮箱操作(例如,在多个邮箱间复制或移动邮件)的信息。 |
LogonUserDisplayName |
显示登录用户的名称。 |
DelegateUserDisplayName |
委派用户显示名称。 |
LogonUserSid |
登录用户的 SID。 |
SourceItems |
对其执行了所记录的操作(例如移动或删除)的邮箱项目的 ItemID。对于在许多项目上执行的操作,该字段会返回一个项目集合。 |
SourceFolders |
源文件夹 GUID。 |
ItemId |
项目 ID。 |
ItemSubject |
项目主题。 |
MailboxGuid |
邮箱 GUID。 |
MailboxResolvedOwnerName |
采用 DOMAIN\SamAccountName 格式的邮箱用户解析名称。 |
LastAccessed |
执行操作的时间。 |
Identity |
审核日志条目 ID。 |
邮箱审核日志
© 2010 Microsoft Corporation。保留所有权利。