Postfachüberwachungsprotokollierung in Exchange ServerMailbox audit logging in Exchange Server

Da Postfächer vertrauliche und für das Unternehmen zentrale Informationen sowie Informationen zur persönlichen Identifizierung enthalten können, ist es wichtig zu verfolgen, wer sich an den Postfächern in Ihrer Organisation anmeldet und welche Aktionen ausgeführt werden. Eine besondere Rolle spielt hierbei die Verfolgung des Postfachzugriffs durch Benutzer, die nicht mit dem Postfachbesitzer identisch sind. Diese Benutzer werden als Stellvertretungsbenutzer bezeichnet.Because mailboxes can contain sensitive, high business impact (HBI) information and personally identifiable information (PII), it's important that you track who logs on to the mailboxes in your organization and what actions are taken. It's especially important to track access to mailboxes by users other than the mailbox owner. These users are referred to as delegate users.

Mithilfe der Postfachüberwachungsprotokollierung können Sie den durch Postfachbesitzer, Stellvertretungen (einschließlich Administratoren mit vollständigen Postfachzugriffsberechtigungen) und Administratoren erfolgten Postfachzugriff protokollieren.By using mailbox audit logging, you can log mailbox access by mailbox owners, delegates (including administrators with full access permissions to mailboxes), and administrators.

Wenn Sie die Überwachungsprotokollierung für ein Postfach aktivieren, können Sie angeben, welche Benutzeraktionen (beispielsweise Zugriff auf eine Nachricht, Verschieben oder Löschen einer Nachricht) für einen Anmeldetyp (Administrator, Stellvertretungsbenutzer oder Besitzer) protokolliert werden. Die Einträge im Überwachungsprotokoll umfassen auch Informationen wie die Client-IP-Adresse, den Hostnamen und den Prozess oder Client, der für den Zugriff auf das Postfach verwendet wurde. Bei verschobenen Elementen umfasst der Eintrag den Namen des Zielordners.When you enable audit logging for a mailbox, you can specify which user actions (for example, accessing, moving, or deleting a message) will be logged for a logon type (administrator, delegate user, or owner). Audit log entries also include important information such as the client IP address, host name, and process or client used to access the mailbox. For items that are moved, the entry includes the name of the destination folder.

PostfachüberwachungsprotokolleMailbox audit logs

Postfachüberwachungsprotokolle werden für jedes Postfach generiert, für das die Postfachüberwachungsprotokollierung aktiviert ist. Protokolleinträge werden im Unterordner "Überwachungen" des Ordners "Wiederherstellbare Elemente" des überwachten Postfachs gespeichert. Hierdurch ist sichergestellt, dass alle Überwachungsprotokolleinträge zentral verfügbar sind, und zwar unabhängig davon, welche Clientzugriffsmethode für den Zugriff auf das Postfach verwendet wurde oder welchen Server oder Computer ein Administrator für den Zugriff auf das Postfachüberwachungsprotokoll verwendet hat. Wenn Sie ein Postfach zu einem anderen Postfachserver verschieben, werden die Postfachüberwachungsprotokolle ebenfalls verschoben, da sie sich im Postfach befinden.Mailbox audit logs are generated for each mailbox that has mailbox audit logging enabled. Log entries are stored in the Recoverable Items folder in the audited mailbox, in the Audits subfolder. This ensures that all audit log entries are available from a single location, regardless of which client access method was used to access the mailbox or which server or computer an administrator uses to access the mailbox audit log. If you move a mailbox to another Mailbox server, the mailbox audit logs for that mailbox are also moved because they're located in the mailbox.

Standardmäßig werden Postfachüberwachungsprotokolleinträge 90 Tage lang aufbewahrt und dann gelöscht.By default, mailbox audit log entries are retained in the mailbox for 90 days and then deleted. Sie können diesen Aufbewahrungszeitraum ändern, indem Sie den Parameter AuditLogAgeLimit mit dem Cmdlet Set-Mailbox verwenden.You can modify this retention period by using the AuditLogAgeLimit parameter with the Set-Mailbox cmdlet. Wenn für ein Postfach das Compliance-Archiv oder die Beweissicherung aktiviert wurde, werden Überwachungsprotokolleinträge nur so lange beibehalten, bis die Beibehaltungsdauer von Überwachungsprotokollen für das Postfach erreicht wurde.If a mailbox is on In-Place Hold or Litigation Hold, audit log entries are only retained until the audit log retention period for the mailbox is reached. Um Überwachungsprotokolleinträge länger aufzubewahren, müssen Sie den Aufbewahrungszeitraum verlängern, indem Sie den Wert für den Parameter AuditLogAgeLimit ändern.To retain audit log entries longer, you have to increase the retention period by changing the value for the AuditLogAgeLimit parameter. Sie können auch die Überwachungsprotokolleinträge exportieren, bevor die Aufbewahrungsdauer erreicht ist.You can also export audit log entries before the retention period is reached. Weitere Informationen finden Sie unter:For more information, see:

Aktivieren der PostfachüberwachungsprotokollierungEnabling mailbox audit logging

Die Postfachüberwachungsprotokollierung wird auf Postfachebene aktiviert. Verwenden Sie das Cmdlet Set-Mailbox zum Aktivieren oder Deaktivieren der Postfachüberwachungsprotokollierung. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachungsprotokollierung für ein Postfach.Mailbox audit logging is enabled per mailbox. Use the Set-Mailbox cmdlet to enable or disable mailbox audit logging. For details, see Enable or disable mailbox audit logging for a mailbox.

Wenn die Postfachüberwachungsprotokollierung für ein Postfach aktiviert wird, werden der Zugriff auf das Postfach sowie bestimmte von Administratoren und Stellvertretungen ausgeführte Aktionen standardmäßig protokolliert. Damit vom Postfachbesitzer ausgeführte Aktionen protokolliert werden, müssen Sie angeben, welche Besitzeraktionen überwacht werden sollen.When you enable mailbox audit logging for a mailbox, access to the mailbox and certain administrator and delegate actions are logged by default. To log actions taken by the mailbox owner, you must specify which owner actions should be audited.

Durch die Postfachüberwachungsprotokollierung erfasste PostfachaktionenMailbox actions logged by mailbox audit logging

In der folgenden Tabelle sind die Aktionen, die von der Postfachüberwachungsprotokollierung erfasst werden, sowie die Anmeldetypen aufgeführt, für die die Aktion protokolliert werden kann. Beachten Sie, dass ein Administrator, dem Vollzugriff für ein Benutzerpostfach gewährt wurde, als Stellvertreter gilt.The following table lists the actions logged by mailbox audit logging, including the logon types for which the action can be logged. Note that an administrator who has been assigned the Full Access permission to a user's mailbox is considered a delegate user.

Wenn die Überwachung bestimmte Postfachaktionen nicht mehr notwendig ist, sollten Sie die Überwachungsprotokollkonfiguration für das Postfach ändern, um die Überwachung dieser Aktionen zu deaktivieren. Vorhandene Protokolleinträge werden erst dann gelöscht, wenn für Überwachungsprotokolleinträge die Altersgrenze erreicht ist.If you no longer require certain types of mailbox actions to be audited, you should modify the mailbox's audit logging configuration to disable those actions. Existing log entries aren't purged until the age limit for audit log entries is reached.

AktionAction BeschreibungDescription AdministratorAdmin StellvertretungDelegate BesitzerOwner
KopierenCopy Ein Element wird in einen anderen Ordner kopiert.An item is copied to another folder. JaYes NeinNo NeinNo
ErstellenCreate Ein Element wird im Postfachordner „Kalender", „Kontakte", „Aufgaben" oder „Notizen" erstellt. Beispielsweise wird eine neue Besprechungsanfrage erstellt. Die Erstellung von Nachrichten oder Ordnern wird nicht überwacht.An item is created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox; for example, a new meeting request is created. Note that message or folder creation isn't audited. Ja1Yes1 Ja1Yes1 JaYes
FolderBindFolderBind Auf einen Postfachordner wird zugegriffen.A mailbox folder is accessed. Ja1Yes1 Ja2Yes2 NeinNo
HardDeleteHardDelete Ein Element wird dauerhaft aus dem Ordner "Wiederherstellbare Elemente" gelöscht.An item is deleted permanently from the Recoverable Items folder. Ja1Yes1 Ja1Yes1 JaYes
Mailbox Login:MailboxLogin Der Benutzer hat sich bei seinem Postfach angemeldet.The user signed in to their mailbox. NeinNo NeinNo Ja3Yes3
MessageBindMessageBind Auf ein Element wird im Lesebereich zugegriffen oder es wird im Lesebereich geöffnet.An item is accessed in the reading pane or opened. JaYes NeinNo NeinNo
MoveMove Ein Element wird in einen anderen Ordner verschoben.An item is moved to another folder. Ja1Yes1 JaYes JaYes
MoveToDeletedItemsMoveToDeletedItems Ein Element wird in den Ordner "Gelöschte Elemente" verschoben.An item is moved to the Deleted Items folder. Ja1Yes1 JaYes JaYes
SendAsSendAs Eine Nachricht wird mithilfe der Berechtigung "Senden als" gesendet.A message is sent using Send As permissions. Ja1Yes1 Ja1Yes1 NeinNo
SendOnBehalfSendOnBehalf Eine Nachricht wird mithilfe der Berechtigung "Senden im Auftrag von" gesendet.A message is sent using Send on Behalf permissions. Ja1Yes1 JaYes NeinNo
SoftDeleteSoftDelete Ein Element wird aus dem Ordner "Gelöschte Elemente" gelöscht.An item is deleted from the Deleted Items folder. Ja1Yes1 Ja1Yes1 JaYes
AktualisierenUpdate Die Eigenschaften eines Elements werden aktualisiert.An item's properties are updated. Ja1Yes1 Ja1Yes1 JaYes

1 wird standardmäßig überwacht, wenn die Überwachung für ein Postfach aktiviert ist.1 Audited by default if auditing is enabled for a mailbox.

2 Einträge für Ordner Bindungs Aktionen, die von Stellvertretern ausgeführt werden, werden konsolidiert.2 Entries for folder bind actions performed by delegates are consolidated. Für einzelne Ordnerzugriffe innerhalb eines Zeitraums von 24 Stunden wird ein eigener Protokolleintrag generiert.One log entry is generated for individual folder access within a time span of 24 hours.

3 die Überwachung von Besitzer Anmeldungen für ein Postfach funktioniert nur für POP3-, IMAP4-oder OAuth-Anmeldungen.3 Auditing for owner logins to a mailbox works only for POP3, IMAP4, or OAuth logins. Sie funktioniert nicht bei NTLM- oder Kerberos-Anmeldungen beim Postfach.It doesn't work for NTLM or Kerberos logins to the mailbox.

Durchsuchen des PostfachüberwachungsprotokollsSearching the mailbox audit log

Mithilfe der folgenden Methoden können Sie Postfachüberwachungsprotokolleinträge durchsuchen:You can use the following methods to search mailbox audit log entries:

  • Synchrones Durchsuchen eines einzelnen Postfachs: Sie können das Cmdlet Search-Mailbox auditlog verwenden, um postfachüberwachungsprotokoll Einträge für ein einzelnes Postfach synchron zu durchsuchen.Synchronously search a single mailbox: You can use the Search-MailboxAuditLog cmdlet to synchronously search mailbox audit log entries for a single mailbox. Die Suchergebnisse werden im Fenster der Exchange-Verwaltungsshell angezeigt.The cmdlet displays search results in the Exchange Management Shell window. Weitere Informationen finden Sie unter Search Mailbox Audit Log for a Mailbox.For details, see Search Mailbox Audit Log for a Mailbox.

  • Ein oder mehrere Postfächer asynchron durchsuchen: Sie können eine postfachüberwachungsprotokoll-Suche erstellen, um postfachüberwachungsprotokolle für ein oder mehrere Postfächer asynchron zu durchsuchen, und die Suchergebnisse dann an eine angegebene e-Mail-Adresse gesendet werden.Asynchronously search one or more mailboxes: You can create a mailbox audit log search to asynchronously search mailbox audit logs for one or more mailboxes, and then have the search results sent to a specified email address. Die Suchergebnisse werden als XML-Anlage gesendet.The search results are sent as an XML attachment. Verwenden Sie das Cmdlet New-MailboxAuditLogSearch , um die Suche zu erstellen.To create the search, use the New-MailboxAuditLogSearch cmdlet. Weitere Informationen finden Sie unter Erstellen einer postfachüberwachungsprotokoll-Suche.For details, see Create a Mailbox Audit Log Search.

  • Verwenden von Überwachungsberichten im Exchange Admin Center (EAC): Sie können die Registerkarte " Überwachung " im EAC verwenden, um einen Bericht über den Postfachzugriff durch nicht-Besitzer (enthält Einträge für Administrator-und Löschaktionen) auszuführen oder nicht-Besitzer Einträge aus dem postfachüberwachungsprotokoll zu exportieren.Use auditing reports in the Exchange admin center (EAC): You can use the Auditing tab in the EAC to run a non-owner mailbox access report (contains entries for admin and delete actions) or export non-owner entries from the mailbox audit log. Weitere Informationen finden Sie unter:For details, see:

Einträge im PostfachüberwachungsprotokollMailbox audit log entries

In der folgenden Tabelle werden die Felder beschrieben, die in einem Überwachungsprotokolleintrag für ein Postfach protokolliert werden.The following table describes the fields logged in a mailbox audit log entry.

FeldField Enthaltene AngabenPopulated with
OperationOperation Eine der folgenden Aktionen:One of the following actions:
KopierenCopy
ErstellenCreate
FolderBindFolderBind
HardDeleteHardDelete
Mailbox Login:MailboxLogin
MessageBindMessageBind
VerschiebenMove
MoveToDeletedItemsMoveToDeletedItems
SendAsSendAs
SendOnBehalfSendOnBehalf
SoftDeleteSoftDelete
AktualisierenUpdate
OperationResultOperationResult Eines der folgenden Ergebnisse:One of the following results:
FailedFailed
PartiallySucceededPartiallySucceeded
SucceededSucceeded
LOGONLogonType Anmeldetyp des Benutzers, der den Vorgang ausgeführt hat. Folgende Anmeldetypen sind verfügbar:Logon type of the user who performed the operation. Logon types include:
BesitzerOwner
StellvertretungDelegate
AdministratorAdmin
DestFolderIdDestFolderId Zielordner-GUID für Verschiebungsvorgänge.Destination folder GUID for move operations.
DestFolderPathNameDestFolderPathName Zielordnerpfad für Verschiebungsvorgänge.Destination folder path for move operations.
FolderIdFolderId Ordner-GUID.Folder GUID.
FolderPathNameFolderPathName Ordnerpfad.Folder path.
ClientInfoStringClientInfoString Details, die angeben, welcher Client oder welche Exchange-Komponente den Vorgang ausgeführt hat.Details that identify which client or Exchange component performed the operation.
ClientIPAddressClientIPAddress IP-Adresse des Clientcomputers.Client computer IP address.
ClientMachineNameClientMachineName Name des Clientcomputers.Client computer name.
ClientProcessNameClientProcessName Name des Clientanwendungsprozesses.Name of the client application process.
ClientVersionClientVersion Version der Clientanwendung.Client application version.
InternalLogonTypeInternalLogonType Der Typ des internen Benutzers (eine Person in Ihrer Organisation), die den Vorgang ausgeführt hat. Die möglichen Werte für dieses Feld sind die gleichen wie für das Feld LogonType. The type of internal user (a person in your organization) who performed the operation. The possible values for this field are the same ones as the LogonType field.
MailboxOwnerUPNMailboxOwnerUPN Benutzerprinzipalname des Postfachbesitzers.Mailbox owner user principal name (UPN).
MailboxOwnerSidMailboxOwnerSid Sicherheits-ID (SID) des Postfachbesitzers.Mailbox owner security identifier (SID).
DestMailboxOwnerUPNDestMailboxOwnerUPN Benutzerprinzipalname des Besitzers des Zielpostfachs; wird bei postfachübergreifenden Vorgängen protokolliert.Destination mailbox owner UPN, logged for cross-mailbox operations.
DestMailboxOwnerSidDestMailboxOwnerSid SID des Besitzers des Zielpostfachs; wird bei postfachübergreifenden Vorgängen protokolliert.Destination mailbox owner SID, logged for cross-mailbox operations.
DestMailboxOwnerGuidDestMailboxOwnerGuid GUID des Besitzers des Zielpostfachs.Destination mailbox owner GUID.
CrossMailboxOperationCrossMailboxOperation Informationen, die angeben, ob es sich bei dem protokollierten Vorgang um einen postfachübergreifenden Vorgang handelt (beispielsweise Kopieren oder Verschieben von Nachrichten zwischen Postfächern).Information about whether the operation logged is a cross-mailbox operation (for example, copying or moving messages between mailboxes).
LogonUserDisplayNameLogonUserDisplayName Anzeigename des angemeldeten Benutzers.Display name of user who is logged on.
DelegateUserDisplayNameDelegateUserDisplayName Anzeigename des Stellvertretungsbenutzers.Delegate user display name.
LogonUserSidLogonUserSid SID des angemeldeten Benutzers.SID of user who is logged on.
SourceItemsSourceItems Element-ID von Postfachelementen, für die die protokollierte Aktion ausgeführt wird (beispielsweise Verschieben oder Löschen). bei Vorgängen, die für mehrere Elemente ausgeführt werden, wird dieses Feld als Auflistung von Elementen zurückgegeben.ItemID of mailbox items on which the logged action is performed (for example, move or delete). For operations performed on a number of items, this field is returned as a collection of items.
SourceFoldersSourceFolders GUID des Quellordners.Source folder GUID.
ItemIdItemId Element-ID.Item ID.
ItemSubjectItemSubject Betreff des Elements.Item subject.
MailboxGuidMailboxGuid Postfach-GUID.Mailbox GUID.
MailboxResolvedOwnerNameMailboxResolvedOwnerName Name des Postfachbenutzers aufgelöst in der Domäne\ sAMAccountName.Mailbox user resolved name in the format DOMAIN\ SamAccountName.
LastAccessedLastAccessed Zeitpunkt der Ausführung des Vorgangs.Time when the operation was performed.
IdentityIdentity ID des Überwachungsprotokolleintrags.Audit log entry ID.

Weitere InformationenMore information

  • Administratorzugriff auf Postfächer: auf Postfächer wird von einem Administrator nur in den folgenden Szenarien zugegriffen:Administrator access to mailboxes: Mailboxes are considered to be accessed by an administrator only in the following scenarios:

  • Umgehen der postfachüberwachungsprotokollierung: der Postfachzugriff durch autorisierte automatisierte Prozesse wie Konten, die von Drittanbietertools oder Konten verwendet werden, die für eine rechtmäßige Überwachung verwendet werden, kann eine Vielzahl von postfachüberwachungsprotokoll Einträgen verursachen und ist möglicherweise nicht von Interesse für Ihre Organisation.Bypassing mailbox auditing logging: Mailbox access by authorized automated processes such as accounts used by third-party tools or accounts used for lawful monitoring can create a large number of mailbox audit log entries and may not be of interest to your organization. Sie können derartige Konten so konfigurieren, dass die Postfachüberwachungsprotokollierung umgangen wird.You can configure such accounts to bypass mailbox audit logging. Weitere Informationen finden Sie unter umgehen eines Benutzerkontos aus der postfachüberwachungsprotokollierung.For details, see Bypass a User Account From Mailbox Audit Logging.

  • Protokollieren von Aktionen des Postfachbesitzers: bei Postfächern wie dem Discovery-Such Postfach, die mehr vertrauliche Informationen enthalten können, empfiehlt es sich, die postfachüberwachungsprotokollierung für Aktionen des Postfachbesitzers wie Nachrichtenlöschung zu aktivieren.Logging mailbox owner actions: For mailboxes such as the Discovery Search Mailbox, which may contain more sensitive information, consider enabling mailbox audit logging for mailbox owner actions such as message deletion.