Saate kasutada auditi logimist kohapealses Exchange Serveris ja pilvepõhises Exchange Online'is (Microsoft 365), et jälgida kõiki kasutaja toiminguid postkasti mis tahes üksustega. Postkasti tegevuse auditeerimise abil saab Exchange'i administraator hõlpsasti vastata populaarsele küsimusele "Kuidas teada saada kasutajat, kes kustutas meili jagatud postkastist?”
Selles artiklis näitame teile, kuidas lubada ja konfigureerida auditi logimist Exchange Serveris ja Microsoft 365 postkastis ning auditilogide ülevaatamist.
Sisu:
- Lubage Office 365 (Microsoft 365) postkastides auditi logimine
- Kuidas lubada Exchange'i serveris postkasti auditi logimine?
- Uurige, kes kustutas jagatud Exchange'i postkastist meili
Lubage Office 365 (Microsoft 365) postkastides auditi logimine
Kõigepealt vaatame auditi funktsioone Microsoft 365 rentnike postkastides. Need on saadaval ainult E3- ja E5-taseme abonentidele.
Avage PowerShell ja looge oma Exchange'iga võrguühendus, kasutades EXOv2 moodul:
Connect-ExchangeOnline -UserPrincipalName [email protected] -ShowProgress $true
Auditi logimine on alates 2018. aasta lõpust kõigi rentnike jaoks Exchange Online'is (Office 365) vaikimisi lubatud.
Get-OrganizationConfig | Format-List AuditDisabled
Auditi saab lubada/keelata iga postkasti seadetes. Kuvame kõigi postkastide praegused auditi sätted:
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Select UserPrincipalName, AuditEnabled
Nagu näete, on audit lubatud. Saate konkreetse postkasti auditeerimise keelata.
Set-Mailbox maxbak -AuditEnabled $false
Exchange võimaldab kasutada järgmisi postkasti tegevuse auditeerimise tasemeid
- Auditi omanik – auditeerida omaniku tegevust;
- AuditAdmin –auditi administraatori toimingud;
- AuditDelegate -auditeerida teiste kasutajate toiminguid, kes on olnud anti juurdepääs postkastile.
Auditilogis saab registreerida järgmised sündmused:
- Kopeeri
- Loo
- FolderBind
- HardDelete
- Postkasti sisselogimine
- MessageBind
- Liiguta
- MoveToDeletedItems
- SendAs
- SendOnBehalf
- SoftDelete
- Värskenda
- Uuenda CalendarDelegation
- Värskenda kaustalube
Iga audititaseme jaoks saate konfigureerida sündmused, mis tuleks logida. Praegused auditiseaded saate hankida järgmiste käskude abil:
Get-Mailbox maxbak| Select-Object -ExpandProperty AuditOwner
Get-Mailbox maxbak| Select-Object -ExpandProperty AuditDelegate
Get-Mailbox maxbak| Select-Object -ExpandProperty AuditAdmin
Saate logis registreerida ainult teatud tüüpi sündmusi. Näiteks üksuste eemaldamise sündmuste auditeerimiseks tehke järgmist.
Set-Mailbox maxbak -AuditOwner HardDelete, SoftDelete
Kui soovite olemasolevatele auditisündmustele lisada ainult muid auditisündmusi:
Set-Mailbox maxbak -AuditOwner @{Add=”MailboxLogin”,”HardDelete”}
Auditilogid salvestatakse otse Auditid iga postkasti kausta. Kaust pole Outlookis ega OWA-s saadaval.
Praeguse auditilogi suuruse saate postkasti, kasutades allolevat käsku:
Get-MailboxFolderStatistics -Identity [email protected] | where {$_.FolderType -eq 'Audits'} | ft Identity, ItemsInFolder, FolderSize –auto
Kuidas lubada Exchange'i serveris postkasti auditi logimine?
Kohapealses Exchange Serveris on postkasti audit saadaval versioonis 2010 SP1+. Vaikimisi on postkasti audit keelatud.
Ühendage oma kohapealse seadmega Exchange Server PowerShelli abil:
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://mun-mbx01.woshub.com/PowerShell/ -Authentication Kerberos -Credential $UserCredential
Import-PSSession $Session
Saate lubada ühe postkasti auditi logimise:
Set-Mailbox maxbak -AuditEnabled $true
Või kõigi Exchange'i organisatsiooni postkastide jaoks:
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true
Exchange Serveri postkastides auditeeritakse administraatori ja delegaadi toiminguid (vaikesätted erinevad Exchange Online'i omadest). Omaniku tegevuse auditeerimine on keelatud. Kui lubate postkasti omaniku kõigi sündmuste auditi, kasvab logi suurus palju kiiremini. Parem on lubada teatud toimingute valikuline auditeerimine (näiteks kustutamine või teisaldamine):
Set-Mailbox maxbak -AuditOwner SoftDelete, HardDelete, MoveToDeletedItems, Move
Auditisündmusi säilitatakse 90 päeva ja seejärel kustutatakse. Saate hallata auditi logi sügavust (ja suurust). Näiteks saate postkastis olevate sündmuste säilitusperioodi lühendada 90 päevalt 30 päevale.
Get-Mailbox maxbak |select AuditLogAgeLimit
Set-Mailbox maxbak -AuditLogAgeLimit 30 -Force
Uurige, kes kustutas jagatud Exchange'i postkastist meili
Oletame, et on jagatud postkasti teie Exchange'i rentnikus/organisatsioonis, millele pääsevad juurde teised kasutajad. Üks kasutajatest kustutas olulise meili ja peate välja selgitama, kes seda tegi.
Postkasti auditilogidest otsimiseks kasutage Search-MailboxAuditLog kasutatakse cmdlet. cmdlet on saadaval nii kohapealses Exchange Serveris kui ka Exchange Online'i pilves (mõned valikud võivad erineda).
Järgmine käsk kuvab kõik üksuste tegevused (auditilogi) konkreetses jagatud postkastis alates 1. veebruarist:
Search-MailboxAuditLog -Identity [email protected] -StartDate 2/1/2022 -ShowDetails| ft MailboxOwnerUPN, LogonType, LogonUserDisplayName, Operation, OperationResult, SourceItemSubjectsList, FolderPathName, DestFolderPathName, LastAccessed|ft
Otsing võib sõltuvalt auditisündmuste arvust võtta üsna kaua aega. Pildil on näha, kes on kustutanud määratud teemaga meili (kasutajatoiming MoveToDeleteItems).
Saate oma auditilogidele rakendada üksikasjalikke filtreid. Näiteks soovite valida ainult sündmuste kustutamise (HardDelete, SoftDelete, MoveToDeletedItems) seotud mitteomanike kasutajatega:
Search-MailboxAuditLog -Identity support [email protected] -StartDate 2/2/2022 -EndDate 2/8/2022 –LogonTypes Delegate, Admin -ShowDetails| Where-Object {$_.Operation -like "*Delete*"}|ft MailboxOwnerUPN, LogonType, LogonUserDisplayName, Operation, OperationResult, SourceItemSubjectsList, FolderPathName, DestFolderPathName, LastAccessed|ft
Auditisündmuste asünkroonse otsingu tegemiseks kasutage New-MailboxAuditLogSearch kasutatakse cmdlet. See koormab vähem postkastiserverit, töötab taustal, võimaldab tõhusalt leida tuhandete sündmuste hulgast soovitud informatsiooni ja saadab tulemused määratud postkasti.
Saate otsida ka auditi sisselogimisi Vastavuse juhtimine -> Auditeerimine Exchange'i halduskeskusest (EAC). Võite kasutada "Käivitage mitteomaniku postkasti juurdepääsu aruanne" või "Postkasti auditi logide eksport valikuid.
Exchange Online'is saate kasutada kas EAC-i (pärandviis) või Microsoft 365 vastavuskeskust (https://compliance.microsoft.com/homepage), et otsida auditilogidest. Sündmuse otsimiseks minge aadressile Lahendused -> Audit -> Otsing. Valige ajavahemik, valige "Teisaldatud kirjad kustutatud üksuste kausta", "Kustutatud kirjad kaustast Kustutatud üksused".
Saate otsida vastavuskeskuse auditilogidest, kasutades Search-UnifiedAuditLog cmdlet.
Samuti saate kasutada Exchange'i auditisündmusi kontrollige, kas adressaat on meili läbi lugenud.
