由于邮箱包含敏感和机密信息,因此对于组织来说,跟踪登录到存储在服务器上的邮箱的用户以及他们所采取的操作(如删除邮箱项、更改邮箱权限等)就变得至关重要。通过委托用户(即邮箱所有者以外的用户)跟踪对邮箱的访问变得更加重要。
Microsoft在Exchange Server中提供邮箱审计日志功能,以帮助管理员跟踪登录到邮箱的情况以及用户登录时所采取的操作。此功能可用于Exchange Server 2010、2013和2016。但是,该特性在默认情况下是禁用的,需要管理员手动启用。
如何查看邮箱审计日志功能是否开启?
通过运行Get-Mailbox命令,管理员可以轻松检查是否为特定邮箱启用了邮箱审计日志记录。
Get-Mailbox史蒂夫。杰克逊| fl *审计*
这个命令是为一个名为Steve Jackson的用户运行的,它给我们提供了以下输出:
AuditEnabled: False
AuditLogAgeLimit: 900:00:00
AuditAdmin:{更新,移动,MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, sendon代表,创建}
AuditDelegate: {Update, SoftDelete, HardDelete, SendAs, Create}
AuditOwner: {}
由于AuditEnabled值为False,这意味着禁用了用户steve Jackson的审计日志记录。针对AuditLogAgeLimit属性的时间值确认邮箱的日志年龄限制为90天。
如何在Microsoft Exchange中启用邮箱审计登录?
可以使用Exchange Management Shell中的PowerShell cmdlet为邮箱启用或禁用Exchange邮箱审计日志记录。然而,在你继续之前,有几件事你需要知道:
- 你需要消息传递和遵从性权限更改邮箱审计日志设置。
- Exchange Admin Center (EAC)不能用于启用邮箱审计日志记录。您需要使用Exchange Management Shell。
- 缺省情况下,审计日志最长保存时间为90天。但是,您可以使用Set-Mailbox cmdlet来增加或减少持续时间。
在PowerShell中运行以下cmdlet为Steve Jackson的邮箱启用邮箱审计日志记录(这里以示例为例):
| Set-Mailbox -Identity "Steve Jackson" -AuditEnabled $true |
如果您想禁用邮箱审计日志记录,请将AuditEnabled值设置为$false:
| Set-Mailbox -Identity "Steve Jackson" -AuditEnabled $false |
如果要为所有邮箱启用Exchange邮箱审计日志记录,请运行以下cmdlet:
| Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" |选择PrimarySmtpAddress | ForEach {Set-Mailbox -Identity $_。PrimarySmtpAddress -AuditEnabled $true} |
验证审计日志状态
在Exchange中为所需邮箱启用审计日志记录后,可以通过运行以下cmdlet来验证设置:
Get-Mailbox邮箱。所有者| fl *audit*
如果AuditEnabled的值显示为True,则意味着已成功为特定邮箱(mailbox . owner)启用了审计日志记录。
修改邮箱审计日志保留时间
邮箱审计日志默认在邮箱中保存90天。但是,您可以使用Set-Mailbox cmdlet来更改此限制。
| Set-Mailbox史蒂夫。Jackson -AuditLogAgeLimit 150 |
这将使审计日志的保留期从90天(默认)增加到150天。您可以根据您的需求更改AuditLogAgeLimit值,以更改保留期持续时间。
如何查找Exchange邮箱日志条目?
启用邮箱审计日志记录后,您可以通过以下方式搜索审计日志:
- PowerShell命令:您可以在Exchange Management Shell中通过Search-MailboxAuditLog命令获取邮箱审计日志项。
- 外汇控制面板: Exchange还提供了基于gui的邮箱审计日志搜索选项。在Exchange 2010中,您可以使用Exchange控制面板,在Exchange 2013和2016中,您可以使用Exchange Admin Center (EAC)搜索邮箱审计日志。
在Exchange控制面板中搜索邮箱审计日志(Exchange 2010)
一个高级选项- Stellar报告和审计Exchange服务器
手动跟踪Exchange Server邮箱既耗时又困难。如果服务器上有数百个邮箱,那么为每个邮箱手动创建和运行定制的cmdlet就不容易了。您可以使用脚本和任务调度程序来自动化该过程,但即使这样,单个脚本也不能作为一刀切的解决方案使用。
要使邮箱审计更简单、更容易和更准确,您可以使用第三方审计工具,例如Exchange Server的Stellar Reporter & Auditor。
关于Stellar的交易所审计和报告软件
Stellar Reporter & Auditor for Exchange Server是一款全面的MS Exchange监控软件,为管理员简化邮箱监控和审计。它允许管理员在Exchange服务器上执行广泛的自定义扫描,并生成多达140个报告以进行精确和深入的监视。
- 以下是用于Exchange Server软件的Stellar Reporter & Auditor的一些关键亮点:
- 提供直观的图形用户界面,便于监视和审计Exchange邮箱
- 使用自定义警报、邮箱统计信息、动态图等简化Exchange监视。
- 允许Exchange管理员安排Exchange服务器扫描和报告
- 通过基于web和移动友好的程序访问,提供远程Exchange Server监视
- 兼容Exchange Server 2016、2013、2010和2007
Stellar报告器和审计器中的邮箱登录报告
Stellar Reporter & Auditor for Exchange Server提供三种邮箱登录报告:
- 用户登录活动:用户登录活动报告共享服务器上特定邮箱的所有成功用户登录的详细信息。
- 非所有者邮箱登录:该报告提供所有非所有者登录的详细信息。这包括访问过服务器上其他用户邮箱的代表和管理员。
- 基于服务器的登录报告:该报告在一个地方收集和编译邮箱所有者和非所有者的登录记录。它包含带有时间戳的深入登录活动细节。
如何使用软件生成邮箱登录报告?
要使用Exchange Server的Stellar Reporter & Auditor生成邮箱登录报告,请执行以下步骤:
- 启动软件。单击右上角的“选择服务器”,在下拉菜单中选择所需的服务器。
用户界面的恒星报告和审计Exchange服务器
- 在导航窗格中,单击“审计器”。
- 在邮箱登录报告部分下,选择要生成的报告。
- 该报告将实时生成,并根据最后一次服务器扫描显示结果。这种报表生成简单、容易,并且节省了大量时间。您还可以根据自己的需求定制报表。
结论
可以在Exchange Server中启用邮箱审计登录,以跟踪对邮箱的访问。然而,这种手动方法非常耗时,并且增加了人为错误的风险,因为它涉及到执行多个命令。它还使得在员工数量高的组织中难以监视邮箱。
要使邮箱审计和报告更加高效和无缝,可以使用全面的第三方解决方案,例如Exchange服务器的Stellar报告和审计员.该工具提供了广泛的报告生成和监视选项。目前可免费试用60天(免费试用!)
