========================================================================
一、关于Exchange邮箱审核简述
========================================================================
由于邮箱可能包含一些敏感、对业务影响很大 (HBI) 的信息和个人的可识别信息 (PII),因此,跟踪登录组织内邮箱的人员及其所执行的操作非常重要。跟踪邮箱所有者之外的其他用户对邮箱的访问情况尤其重要。这些用户称为“委派用户”。
使用邮箱审核日志记录可以记录邮箱所有者、委派用户(包含具有完全邮箱访问权限的管理员)和管理员对邮箱的访问。
为邮箱启用审核日志记录时,可以指定将记录一种登录类型(管理员、委派用户或所有者)的哪些用户操作。审核日志条目还包含客户端 IP 地址、主机名以及用于访问邮箱的进程或客户端等重要信息。对于移动的项目,条目中包含目标文件夹的名称。
邮箱审核日志
邮箱审核日志针对每个启用了邮箱审核日志记录功能的邮箱而生成。日志条目存储在已审核邮箱“可恢复邮件”文件夹的“审核”子文件夹中。这样能够保证可以从一个位置获得全部审核日志条目,而无论使用哪种客户端访问方法来访问邮箱,或者管理员使用哪个服务器或工作站来访问邮箱审核日志。如果将邮箱移至其他邮箱服务器,则由于邮箱中包含该邮箱的审核日志,因此这些审核日志也会移动到其他邮箱服务器。
默认情况下,邮箱审核日志条目在邮箱中保留 90 天后将被删除。可以使用 AuditLogAgeLimit 参数和 Set-Mailbox cmdlet 来修改此保留期限。如果邮箱为就地保留或诉讼保留,审核日志条目仅保留到邮箱的审核日志保留期限为止。要将审核日志条目保留更长时间,您必须通过更改 AuditLogAgeLimit 参数的值来增加保留期。您也可以在保留期到期之前导出审核日志条目。
Exchange邮箱审核能够记录的内容如下:
|
操作 |
描述 |
|
Copy |
将项目复制到另一个文件夹。 |
|
Create |
在邮箱中创建项目。(例如,发送或接收邮件。)请注意,不审核文件夹创建。 |
|
FolderBind |
访问邮箱文件夹。 |
|
HardDelete |
从“可恢复的项目”文件夹中永久删除项目。 |
|
MessageBind |
在读取窗格中访问或打开项目。 |
|
Move |
将项目移动到另一个文件夹。 |
|
MoveToDeletedItems |
将项目移动到“已删除邮件”文件夹中。 |
|
SendAs |
使用 Send As 权限发送邮件。 |
|
SendOnBehalf |
使用 Send on Behalf 权限发送邮件。 |
|
SoftDelete |
从“已删除邮件”文件夹中删除项目。 |
|
Update |
更新项目的属性。 |
=======================================================================
二、问题描述
=======================================================================
使用命令Set-mailbox test –AuditEnable $true命令给邮箱用户启用审核后。
再次使用命令:Search-MailboxAuditLog -Identity caiwu03 -StartDate "07/27/2016" -EndDate "07/29/2016" -LogonTypes owner –ShowDetails 进行邮箱审核日志查询的时候返回的结果为空。(前提是我在对邮箱启用审核后,在用户邮箱中进行了删除邮件、发送新邮件操作)
使用命令:Get-MailboxFolderStatistics –identity test | Where{$_.name –like “Audit*”} 查看该邮箱中有关审核相关的记录,显示的结果为审核记录已经成功记录了,在/Audits文件夹下面的ItemsInfolder值为2,说明已经记录了邮箱的操作。
========================================================================
三、问题原因分析
========================================================================
通过查看微软的相关KB,微软给出的解释说此功能确实存在问题,导出结果为空时由于本地Exchange 2013所有服务器的语言设置不是为英文导致。随便说明一下,我的测试环境中的Exchange 2013版本为 CU13,系统版本为Windows Server 2012 R2。关于微软的KB具体可以参考:
https://support.microsoft.com/en-us/kb/3054391
========================================================================
四、解决方法
========================================================================
下面的所有操作需要在环境中的所有Exchange服务器上进行操作,如果有多台单独角色的Exchange服务器的话,需要每台服务器上进行同样操作。
1、打开Exchange服务器的“控制面板”,选择“Clock,Language,and Region”,如图。
2、选择“change Date,time,or number formats”,如图。
3、将当前系统的”替代Widows显示语言“和”替代默认输入法“设置为”English(United States)。(如果安装的是中文系统,在进行才操作之前需要安装英文语音包)
4、选择“区域”,选择“Change Location”,如图。
5、选择”管理“,设置”Change System Locale“,设置为”English(United States)“。
6、选择”Copy Settings“,将”欢迎屏幕“和”新用户帐号”的显示语言设置为“English(united States)”,如图。(第5步操作完成后,之间勾选“Welcome Screen and System Accounts”即可,操作后需要重启)。
7、结果验证,使用命令:Search-MailboxAuditLog -Identity caiwu03 -StartDate "07/27/2016" -EndDate "07/29/2016" -LogonTypes owner –ShowDetails 查询审核日志,结果显示能够正常获取。如图。
==============================================================
五、总结
==============================================================
个人觉得Exchange的邮箱审核策略还是比较有用的,可以作为一个操作依据。但是审核对语言支持不好,只能支持English。
本文转自 jialt 51CTO博客,原文链接:http://blog.51cto.com/jialt/1831551