启用Exchange邮箱审核后使用命令Search-MailboxAuditLog返回结果为空

========================================================================

一、关于Exchange邮箱审核简述

========================================================================

       由于邮箱可能包含一些敏感、对业务影响很大 (HBI) 的信息和个人的可识别信息 (PII),因此,跟踪登录组织内邮箱的人员及其所执行的操作非常重要。跟踪邮箱所有者之外的其他用户对邮箱的访问情况尤其重要。这些用户称为“委派用户”。

使用邮箱审核日志记录可以记录邮箱所有者、委派用户(包含具有完全邮箱访问权限的管理员)和管理员对邮箱的访问。

   为邮箱启用审核日志记录时,可以指定将记录一种登录类型(管理员、委派用户或所有者)的哪些用户操作。审核日志条目还包含客户端 IP 地址、主机名以及用于访问邮箱的进程或客户端等重要信息。对于移动的项目,条目中包含目标文件夹的名称。

邮箱审核日志

邮箱审核日志针对每个启用了邮箱审核日志记录功能的邮箱而生成。日志条目存储在已审核邮箱“可恢复邮件”文件夹的“审核”子文件夹中。这样能够保证可以从一个位置获得全部审核日志条目,而无论使用哪种客户端访问方法来访问邮箱,或者管理员使用哪个服务器或工作站来访问邮箱审核日志。如果将邮箱移至其他邮箱服务器,则由于邮箱中包含该邮箱的审核日志,因此这些审核日志也会移动到其他邮箱服务器。

默认情况下,邮箱审核日志条目在邮箱中保留 90 天后将被删除。可以使用 AuditLogAgeLimit 参数和 Set-Mailbox cmdlet 来修改此保留期限。如果邮箱为就地保留或诉讼保留,审核日志条目仅保留到邮箱的审核日志保留期限为止。要将审核日志条目保留更长时间,您必须通过更改 AuditLogAgeLimit 参数的值来增加保留期。您也可以在保留期到期之前导出审核日志条目。

Exchange邮箱审核能够记录的内容如下:

操作

描述

Copy

将项目复制到另一个文件夹。

Create

在邮箱中创建项目。(例如,发送或接收邮件。)请注意,不审核文件夹创建。

FolderBind

访问邮箱文件夹。

HardDelete

从“可恢复的项目”文件夹中永久删除项目。

MessageBind

在读取窗格中访问或打开项目。

Move

将项目移动到另一个文件夹。

MoveToDeletedItems

将项目移动到“已删除邮件”文件夹中。

SendAs

使用 Send As 权限发送邮件。

SendOnBehalf

使用 Send on Behalf 权限发送邮件。

SoftDelete

从“已删除邮件”文件夹中删除项目。

Update

更新项目的属性。

=======================================================================

二、问题描述

=======================================================================

     使用命令Set-mailbox test –AuditEnable $true命令给邮箱用户启用审核后。

启用Exchange邮箱审核后使用命令Search-MailboxAuditLog返回结果为空

再次使用命令:Search-MailboxAuditLog -Identity caiwu03 -StartDate "07/27/2016" -EndDate "07/29/2016" -LogonTypes owner –ShowDetails   进行邮箱审核日志查询的时候返回的结果为空。(前提是我在对邮箱启用审核后,在用户邮箱中进行了删除邮件、发送新邮件操作)

启用Exchange邮箱审核后使用命令Search-MailboxAuditLog返回结果为空

   使用命令:Get-MailboxFolderStatistics –identity test | Where{$_.name –like “Audit*”}  查看该邮箱中有关审核相关的记录,显示的结果为审核记录已经成功记录了,在/Audits文件夹下面的ItemsInfolder值为2,说明已经记录了邮箱的操作。

启用Exchange邮箱审核后使用命令Search-MailboxAuditLog返回结果为空

 

========================================================================

三、问题原因分析

========================================================================

   通过查看微软的相关KB,微软给出的解释说此功能确实存在问题,导出结果为空时由于本地Exchange 2013所有服务器的语言设置不是为英文导致。随便说明一下,我的测试环境中的Exchange 2013版本为 CU13,系统版本为Windows Server  2012 R2。关于微软的KB具体可以参考:

https://support.microsoft.com/en-us/kb/3054391

https://blogs.technet.microsoft.com/criscrif/2015/02/26/no-results-using-the-search-mailboxauditlog-cmdlet-with-exchange-2013-cu4/

========================================================================

四、解决方法

========================================================================

      下面的所有操作需要在环境中的所有Exchange服务器上进行操作,如果有多台单独角色的Exchange服务器的话,需要每台服务器上进行同样操作。

1、打开Exchange服务器的“控制面板”,选择“Clock,Language,and Region”,如图。

启用Exchange邮箱审核后使用命令Search-MailboxAuditLog返回结果为空

2、选择“change Date,time,or number formats”,如图。

启用Exchange邮箱审核后使用命令Search-MailboxAuditLog返回结果为空

3、将当前系统的”替代Widows显示语言“和”替代默认输入法“设置为”English(United States)。(如果安装的是中文系统,在进行才操作之前需要安装英文语音包)

启用Exchange邮箱审核后使用命令Search-MailboxAuditLog返回结果为空

4、选择“区域”,选择“Change Location”,如图。

启用Exchange邮箱审核后使用命令Search-MailboxAuditLog返回结果为空

5、选择”管理“,设置”Change System Locale“,设置为”English(United States)“。

启用Exchange邮箱审核后使用命令Search-MailboxAuditLog返回结果为空

6、选择”Copy Settings“,将”欢迎屏幕“和”新用户帐号”的显示语言设置为“English(united States)”,如图。(第5步操作完成后,之间勾选“Welcome Screen and System Accounts”即可,操作后需要重启)。

启用Exchange邮箱审核后使用命令Search-MailboxAuditLog返回结果为空

7、结果验证,使用命令:Search-MailboxAuditLog -Identity caiwu03 -StartDate "07/27/2016" -EndDate "07/29/2016" -LogonTypes owner –ShowDetails    查询审核日志,结果显示能够正常获取。如图。

启用Exchange邮箱审核后使用命令Search-MailboxAuditLog返回结果为空

==============================================================

五、总结

==============================================================

    个人觉得Exchange的邮箱审核策略还是比较有用的,可以作为一个操作依据。但是审核对语言支持不好,只能支持English。


本文转自 jialt 51CTO博客,原文链接:http://blog.51cto.com/jialt/1831551

上一篇:docker容器启动MySQL


下一篇:数据库基础语言——DDL DML DCL DQL