日誌
適用於:Exchange Server 2013
日誌記錄可藉由錄製輸入和輸出電子郵件通訊,協助您的組織回應法律、法規和組織符合性需求。 規劃傳訊保留和合規性時,請務必瞭解日誌記錄、它如何符合組織的合規性原則,以及 Microsoft Exchange Server 2013 如何協助您保護日誌訊息。
為什麼日誌記錄很重要?
首先,請務必瞭解日誌和數據封存策略之間的差異:
日誌 記錄可記錄組織中的所有通訊,包括電子郵件通訊,以用於組織的電子郵件保留或封存策略。 為滿足愈來愈多的法規及符合性的需求,有許多組織必須維護員工每天工作所產生的通訊記錄。
數據封存 是指備份數據、從其原生環境中移除數據,並將它儲存在其他地方,因而降低數據儲存的壓力。 您可以使用 Exchange 紀錄作為電子郵件保留或封存策略中的工具。
雖然特定法規可能不需要日誌記錄,但根據特定法規,可以透過日誌記錄來達成合規性。 例如,某些金融部門的公司主管可能會對其員工對其客戶提出的宣告負責。 為了確認宣告正確無誤,公司主管可以設定系統,讓經理定期檢閱員工與客戶端通訊的某些部分。 每季,經理會確認合規性,並核准其員工的行為。 在所有經理向公司主管回報核准之後,公司主管會代表公司向監管主體報告合規性。 在此範例中,電子郵件訊息可能是經理必須檢閱的一種員工對用戶端通訊類型;因此,日誌記錄可用來收集客戶端對應員工所傳送的所有電子郵件訊息。 其他用戶端通訊機制可能包含傳真和電話交談,也可能受限於法規。 能夠記錄企業中的所有數據類別,是IT架構的重要功能。
下列清單顯示一些較著名的美國及國際法規,其中的日誌記錄可構成您合規策略的一部分:
2002 年沙賓法案 (SOX)
美國證管會規則條例 17a-4 (SEC Rule 17 A-4)
美國證券業協會 3010 及 3110 (NASD 3010 & 3110)
美國金融服務現代化法案
2001 年金融機構隱私權保護法案
2003 年金融機構隱私權保護法案
1996 年美國醫療保險轉移與責任法案 (HIPAA)
2001 年提供攔截和阻絕恐怖主義所需適當手段以鞏固並強化美國法案 (愛國法案)
歐盟資料保護指導方針 (EUDPD)
日本的個人 資訊保護 法
日誌代理程式
在 Exchange 2013 組織中,所有電子郵件流量都會由信箱伺服器路由傳送。 所有郵件在其存留時間內至少都會通過一個執行傳輸服務的伺服器。 日誌代理程式 (Journaling Agent) 是著重於符合性的傳輸代理程式,負責處理 Mailbox Server 上的郵件。 它觸發於 OnSubmittedMessage 和 OnRoutedMessage 傳輸事件上。
注意事項
在 Exchange 2013 中,日誌代理程式是內建的代理程式。 內建代理程式不包含在 Get-TransportAgent 指令程式傳回的代理程式清單中。 如需詳細資訊,請參閱 傳輸代理程式。
Exchange 2013 提供下列日誌選項:
標準日誌:標準日誌設定於信箱資料庫上。 它會使日誌代理程式記錄進出特定信箱資料庫中信箱的所有郵件。 若要記錄在所有收件者和寄件者之間收發的所有郵件,您必須設定組織中所有信箱伺服器上所有信箱資料庫的日誌記錄。
進階日誌:進階日誌可讓日誌代理程式使用日誌規則來執行更細微的日誌記錄。 有別於記錄信箱資料庫上所有的信箱,您可以藉由記錄個別收件者或通訊群組成員,設定符合組織需求的日誌規則。 您必須具備 Exchange 企業用戶端存取使用權 (CAL),才能使用高階日誌記錄。
當您在信箱資料庫上啟用標準日誌時,這項資訊會儲存在 Active Directory 中,並由日誌代理程式讀取。 同樣地,使用進階日誌設定的日誌規則也會儲存在 Active Directory 中,並由日誌代理程式套用。 如需如何設定標準和進階日誌的詳細資訊,請參閱 管理日誌。
日誌規則
以下是日誌規則的關鍵要素:
日誌規則範圍:定義哪些訊息是由日誌代理程序記錄。
日誌收件者:指定您要日誌記錄之收件者的 SMTP 位址。
日誌信箱:指定用來收集日誌報表的一或多個信箱。
日誌規則範圍
您可以使用日誌規則只記錄內部訊息、僅限外部訊息或兩者。 下列清單描述這些範圍:
僅限內部訊息:將範圍設定為日誌內部訊息的日誌規則,這些訊息會在 Exchange 組織內的收件者之間傳送。
僅限外部郵件:將範圍設定為日誌外部郵件的日誌規則,這些外部郵件會傳送給收件者或從 Exchange 組織外部的寄件者接收。
所有訊息:日誌規則,範圍設定為日誌所有通過貴組織的訊息,不論來源或目的地為何。 其中包括內部和外部範圍中的日誌規則可能已經處理過的訊息。
日誌收件者
您可以藉由指定要日誌記錄之收件者的 SMTP 位址來實作目標日誌規則。 收件者可以是 Exchange 信箱、通訊群組、郵件使用者或連絡人。 這些收件者可能受限於法規需求,或是參與收集電子郵件訊息或其他通訊做為辨識項的法律訴訟。 藉由以特定收件者或收件者群組為目標,您可以輕鬆地設定符合貴組織程式且符合法規和法律需求的日誌環境。 僅以需要日誌記錄的特定收件者為目標,也會將記憶體和其他與保留大量數據相關聯的成本降到最低。
您在紀錄規則中指定的紀錄收件者所傳送或傳送的所有訊息都會以記錄紀錄記錄。 如果您將通訊群組指定為日誌收件者,則所有傳送至通訊群組成員或來自通訊群組成員的郵件都會記錄日誌。 如果您未指定日誌收件者,則會記錄所有與日誌規則範圍相符收件者來回傳送的郵件。
已啟用整合通訊功能的日誌收件者
許多實作日誌記錄的組織也可以使用整合通訊 (UM) 來合併其電子郵件、語音信箱和傳真基礎結構。 不過,您可能不想讓日誌處理程式針對整合通訊所產生的訊息產生日誌報告。 在這些情況下,您可以決定是否要記錄由執行整合通訊服務的 Exchange 伺服器所處理的語音信箱訊息和未接來電通知訊息,或略過這類訊息。 如果您的組織不需要記錄這類訊息的日誌,您可以略過這些訊息,以減少儲存日誌報告所需的硬碟儲存空間量。
注意事項
包含整合通訊服務所產生傳真的訊息一律會記錄日誌,即使您停用整合通訊語音信箱和未接來電通知訊息的日誌也一樣。
如需如何啟用或停用語音信箱和未接來電通知訊息的詳細資訊,請參閱 停用或啟用語音信箱和未接來電通知的日誌記錄。
日誌記錄信箱
日誌信箱用於收集日誌報告。 您設定日誌信箱的方式取決於組織的原則、法規要求及法律要求。 您可指定一個日誌信箱收集組織內設定之所有日誌規則適用的郵件,也可以針對不同日誌規則或日誌規則集,使用不同的日誌信箱。
重要事項
您無法將 Microsoft 365 或 Office 365 信箱指定為日誌信箱。 您可以將日誌報告傳遞至內部部署封存系統或協力廠商封存服務。 如果您正在執行混合式部署,且信箱在內部部署伺服器與 Microsoft 365 或 Office 365 之間分割,您可以將內部部署信箱指定為 Microsoft 365 或 Office 365 和內部部署信箱的日誌信箱。
重要事項
日誌信箱包含非常敏感的資訊。 您必須保護日誌信箱的安全,因為日誌信箱會收集組織中收件者寄出或收到的郵件。 這些郵件可能會是法律訴訟的一部分,或受到法規要求所管制。 多種法律都要求這些郵件在送到調查單位前,需未經過竄改。 建議您建立原則來管理可存取組織內日誌信箱的人員,限制僅有直接存取需求的個人才能存取日誌信箱。 與您的法律代表諮詢,確定您的日誌解決方案遵守所有您組織應當遵守的法律及法規。
重要事項
日誌記錄信箱應接受訊息的大小等於或大於您在組織中設定的郵件大小上限。 如果您已設定個別使用者信箱中 MaxSendSize 和 MaxReceiveSize 的例外狀況大於 TransportConfig 中的一般設定,您應依此設定日誌記錄信箱的 MaxSendSize 和 MaxReceiveSize,以確保傳送到日誌記錄的郵件已接受而未排入佇列或拒絕。 日誌記錄信箱拒絕的郵件將會定期重試,因而造成不必要的資料庫增長與資源浪費。 此外,我們建議您設定替代日誌記錄信箱,以防止發生其他無法傳遞的情況。
替代日誌記錄信箱
當日志信箱無法使用時,您可能不希望無法傳遞的日誌報表在信箱伺服器的郵件佇列中收集。 您可以改設定替代日誌信箱來存儲這些日誌報告。 當日誌信箱或日誌信箱所在的伺服器拒絕傳遞日誌報告,或是變成無法使用時,替代日誌信箱便會以產生的未傳遞報告 (NDR) 的附件形式來接收日誌報告。
當日志信箱再次可用時,您可以使用 OfficeOutlook 的 [ 再次傳送 ] 功能,提交日誌報告以傳遞至日誌信箱。
當您設定替代日誌信箱時,所有被拒絕或無法在整個 Exchange 組織中傳遞的日誌報告都會傳遞至替代日誌信箱。 因此,請務必確定替代日誌信箱及其所在的信箱伺服器可以支援許多日誌報表。
警告
如果您設定替代日誌信箱,則必須監視信箱,以確保信箱不會與日誌信箱同時變成無法使用。 如果替代日誌信箱也變得無法使用,或同時拒絕日誌報告,則會遺失拒絕的日誌報告,而且無法擷取。
因為替代日誌信箱會收集整個 Exchange 組織所有遭拒絕的日誌報告,所以您必須確定這不會違反任何適用於貴組織的法律或法規。 如果法律或法規禁止貴組織允許傳送至不同日誌信箱的日誌報表儲存在相同的替代日誌信箱中,您可能無法設定替代日誌信箱。 請與您的法律代表討論,以判斷您是否可以使用替代日誌信箱。
當您設定替代日誌信箱時,應該使用設定日誌信箱時所使用的相同準則。
重要事項
替代的日誌信箱應被視為一個特殊的專用信箱。 任何直接定址到替代日誌信箱的郵件都不會受到記錄。
日誌規則複寫
日誌規則會儲存在Active Directory中,並由Exchange 2013組織中的所有信箱伺服器套用。 當您建立、修改或移除日誌規則時,變更會復寫到組織中的所有 Active Directory 伺服器。 組織中的所有信箱伺服器接著會從 Active Directory 伺服器擷取更新的日誌規則設定,並套用新的或修改過的日誌規則。
透過復寫整個組織的所有日誌規則,Exchange 2013 可讓您在整個組織中提供一組一致的日誌規則。 通過 Exchange 2013 組織的所有訊息都受限於相同的日誌規則。
重要事項
跨組織的日誌規則複寫取決於 Active Directory 複寫。 Active Directory 域控制器之間的複寫時間會根據組織中的網站數目,以及連結的速度以及 Microsoft Exchange 控制範圍以外的其他因素而有所不同。 當您在組織中執行日誌規則時,請將複寫延遲納入考量。 如需 Active Directory 複寫的詳細資訊,請參閱使用 Windows PowerShell 進行 Active Directory 複寫和拓撲管理簡介。
每個信箱伺服器都會快取通訊群組成員資格,以避免重複往返 Active Directory。 展開的群組快取可減少每個信箱伺服器必須對 Active Directory 域控制器提出的要求數目。 根據預設,展開的群組快取中的項目會在四小時後到期。 因此,如果將通訊群組指定為日誌收件者,可能不會將通訊群組成員資格的變更套用到日誌規則,直到展開的群組快取更新為止。 若要強制立即更新收件者快取,則必須停止及啟動 Microsoft Exchange 傳輸服務。 每部想要強制更新收件者快取的信箱伺服器都需要做這樣的處理。
日誌報告
日誌報告是日誌代理程式在郵件符合日誌規則,且要提交到日誌記錄信箱時所產生的訊息。 符合日誌規則的原始郵件會原封不動的作為附件,附加到日誌報告中。 日誌報告的內文包含原始郵件的資訊,包括寄件者電子郵件地址、郵件主旨、郵件識別碼以及收件者電子郵件地址。 這也稱為信封日誌記錄,也是 Exchange 2013 唯一支援的日誌方法。
日誌報告和受 IRM 保護的郵件
在 Exchange 2013 環境中實作日誌時,您必須考慮日誌報告和受 IRM 保護的訊息。 受 IRM 保護的郵件會影響不具內建 RMS 支援之協力廠商封存系統的搜尋及探索能力。 在 Exchange 2013 中,您可以設定日誌報表解密,將郵件的純文字複本儲存在日誌報表中。
與 Exchange 2007 的交互操作性
Exchange 2013、Exchange 2010 和 Exchange 2007 中的日誌功能沒有太大差異。 不過,在 Exchange 2010 和更新版本中,安裝程式會在 Active Directory 中建立個別的容器來儲存日誌規則。 當您在 Exchange 2007 組織中設定第一部 Exchange 2010 或更新版本伺服器時,安裝程式會在 Exchange 2007 中建立現有日誌規則的複本,並將它們儲存在新的容器中。 安裝完成後,在這兩個 Exchange 版本中的日誌規則會達到一致。
安裝之後,如果您變更 Exchange 2010 (或更新版本的日誌規則設定) ,您必須在 Exchange 2007 伺服器上進行相同的變更,以確保它們一致。 同樣地,對 Exchange 2007 上的日誌規則所做的變更也必須在 Exchange 2010 或更新版本中進行。 您也可以從 Exchange 2007 匯出日誌規則,並將其匯入至 Exchange 2013。
疑難排解
有問題嗎? 在 Exchange 論壇中尋求協助。 瀏覽 Exchange Server 的論壇。 如果您無法使用 JournalingReportDNRTo 信箱,請參閱 Exchange Online 中的傳輸和信箱規則未按照預期的方式運作。