Aktivieren oder Deaktivieren der Postfachüberwachungsprotokollierung für ein Postfach in Exchange Server

  • Artikel

Mit der Postfachüberwachungsprotokollierung in Exchange Server können Sie Anmeldungen bei einem Postfach sowie die Aktionen nachverfolgen, die ausgeführt werden, während der Benutzer angemeldet ist. Wenn die Überwachungsprotokollierung für ein Postfach aktiviert wird, werden einige von Administratoren und Stellvertretern ausgeführte Aktionen standardmäßig protokolliert. Keine der vom Postfachbesitzer ausgeführten Aktionen werden standardmäßig protokolliert. Weitere Informationen zur Postfachüberwachungsprotokollierung und zu den Aktionen, die protokolliert werden können, finden Sie unter Postfachüberwachungsprotokollierung in Exchange Server.

Vorsicht

Die Überwachung der Aktionen von Postfachbesitzern kann zu einer großen Anzahl von Überwachungsprotokolleinträgen für ein Postfach führen und ist daher standardmäßig deaktiviert. Es wird empfohlen, die Überwachung nur für bestimmte Besitzeraktionen zu aktivieren, bei denen dies zum Erfüllen der Unternehmens- oder Complianceanforderungen erforderlich ist.

Was sollten Sie wissen, bevor Sie beginnen?

  • Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen dazu, welche Berechtigungen Sie benötigen, finden Sie unter dem Eintrag "Postfachüberwachungsprotokollierung" im Thema Messagingrichtlinie und Konformitätsberechtigungen in Exchange Server.

  • Einträge im Postfachüberwachungsprotokoll werden standardmäßig für 90 Tage beibehalten. Informationen zur Aufbewahrungsdauer der Protokolleinträge finden Sie im Abschnitt Weitere Informationen.

  • Die Überwachungsprotokollierung von Postfächern kann nicht über das EAC aktiviert oder deaktiviert werden. Sie müssen die Exchange-Verwaltungsshell verwenden. Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.

  • Ein Administrator, dem Vollzugriff für ein Benutzerpostfach gewährt wurde, gilt als Stellvertreter.

  • Nur in den folgenden Szenarien wird ein Postfachzugriff als Administratorzugriff erachtet:

    • In-Situ-eDiscovery wird zum Durchsuchen eines Postfachs verwendet.

    • Das Cmdlet New-MailboxExportRequest wird zum Exportieren eines Postfachs verwendet.

    • Der MAPI-Editor von Microsoft Exchange Server wird für den Zugriff auf ein Postfach verwendet.

Aktivieren oder Deaktivieren der Überwachungsprotokollierung

Mithilfe der Exchange-Verwaltungsshell können Sie die Postfachüberwachungsprotokollierung für ein Postfach aktivieren oder deaktivieren. Damit wird die Protokollierung aller Vorgänge aktiviert oder deaktiviert, die für Administratoren, Stellvertretungen und den Postfachbesitzer festgelegt wurden.

In diesem Beispiel wird die Überwachungsprotokollierung für das Postfach von "Ben Smith" aktiviert.

Set-Mailbox -Identity "Ben Smith" -AuditEnabled $true

Dieses Beispiel aktiviert die Überwachungsprotokollierung für alle Postfächer in Ihrer Organisation.

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Select PrimarySmtpAddress | ForEach {Set-Mailbox -Identity $_.PrimarySmtpAddress -AuditEnabled $true}

In diesem Beispiel wird die Überwachungsprotokollierung für das Postfach von "Ben Smith" deaktiviert.

Set-Mailbox -Identity "Ben Smith" -AuditEnabled $false

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-Mailbox.

Konfigurieren von Postfachüberwachungseinstellungen für den Zugriff durch Administratoren, Stellvertreter und Besitzer

Wenn die Postfachüberwachungsprotokollierung für ein Postfach aktiviert ist, werden nur die Aktionen der Administratoren, Stellvertreter und Besitzer protokolliert, die in der Überwachungsprotokollierungskonfiguration des Postfachs angegeben wurden.

In diesem Beispiel wird angegeben, dass die MessageBind von Administratoren ausgeführten Aktionen und FolderBind für das Postfach von Ben Smith protokolliert werden.

Set-Mailbox -Identity "Ben Smith" -AuditAdmin MessageBind,FolderBind -AuditEnabled $true

In diesem Beispiel wird angegeben, dass die SendAs von Stellvertretungsbenutzern ausgeführten Aktionen oder SendOnBehalf für das Postfach von Ben Smith protokolliert werden.

Set-Mailbox -Identity "Ben Smith" -AuditDelegate SendAs,SendOnBehalf -AuditEnabled $true

In diesem Beispiel wird angegeben, dass die HardDelete vom Postfachbesitzer ausgeführte Aktion für das Postfach von Ben Smith protokolliert wird.

Set-Mailbox -Identity "Ben Smith" -AuditOwner HardDelete -AuditEnabled $true

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-Mailbox.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Zur Sicherstellung, dass Sie die Postfachüberwachungsprotokollierung für ein Postfach erfolgreich aktiviert und die richtigen Protokollierungseinstellungen für den Zugriff von Administratoren, Stellvertretern und Besitzern festgelegt haben, verwenden Sie das Cmdlet Get-Mailbox, um die Einstellungen für die Postfachüberwachungsprotokollierung für dieses Postfach abzurufen.

In diesem Beispiel werden die Postfacheinstellungen von Ben Smith abgerufen, und die angegebenen Überwachungseinstellungen einschließlich des Höchstalters werden an das Cmdlet Format-List übergeben.

Get-Mailbox "Ben Smith" | Format-List Audit*

Der Wert für True die AuditEnabled-Eigenschaft überprüft, ob die Überwachungsprotokollierung aktiviert ist.

Dieses Beispiel ruft die Überwachungseinstellungen für alle Benutzerpostfächer in Ihrer Organisation ab.

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Format-List Name,Audit*

Weitere Informationen

Wenn Sie das Cmdlet Get-Mailbox ausführen, werden die für jeden Benutzertyp überwachten Aktionen möglicherweise nicht angezeigt. Sie können jedoch die folgenden Befehle ausführen, um die überwachten Aktionen für einen bestimmten Anmeldetyp anzuzeigen.

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner

Einträge im Postfachüberwachungsprotokoll werden standardmäßig für 90 Tage aufbewahrt. Wenn ein Eintrag älter als 90 Tage ist, wird er gelöscht. Soll ein Element länger oder kürzer aufbewahrt werden, ändern Sie diese Einstellung mithilfe des Cmdlets Set-Mailbox.

In diesem Beispiel wird die Verfallszeit für Einträge im Überwachungsprotokoll des Postfachs von Pilar Pinilla auf 180 Tage erhöht.

Set-Mailbox -Identity "Pilar Pinilla" -AuditLogAgeLimit 180

In diesem Beispiel wird die Verfallszeit für Einträge im Überwachungsprotokoll aller Postfächer in Ihrer Organisation auf 60 Tage reduziert.

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Set-Mailbox -AuditLogAgeLimit 60