Postfachüberwachungsprotokollierung

Ist diese Seite hilfreich?

Haben Sie weiteres Feedback für uns?

Feedback wird an Microsoft gesendet: Wenn Sie auf die Sendeschaltfläche klicken, wird Ihr Feedback verwendet, um Microsoft-Produkte und -Dienste zu verbessern. Datenschutzrichtlinie

Gilt für: Exchange Server 2013

Da Postfächer vertrauliche und für das Unternehmen zentrale Informationen sowie Informationen zur persönlichen Identifizierung enthalten können, ist es wichtig zu verfolgen, wer sich an den Postfächern in Ihrer Organisation anmeldet und welche Aktionen ausgeführt werden. Eine besondere Rolle spielt hierbei die Verfolgung des Postfachzugriffs durch Benutzer, die nicht mit dem Postfachbesitzer identisch sind. Diese Benutzer werden als Stellvertretungsbenutzer bezeichnet.

Mithilfe der Postfachüberwachungsprotokollierung können Sie den durch Postfachbesitzer, Stellvertretungen (einschließlich Administratoren mit vollständigen Postfachzugriffsberechtigungen) und Administratoren erfolgten Postfachzugriff protokollieren.

Wenn Sie die Überwachungsprotokollierung für ein Postfach aktivieren, können Sie angeben, welche Benutzeraktionen (beispielsweise Zugriff auf eine Nachricht, Verschieben oder Löschen einer Nachricht) für einen Anmeldetyp (Administrator, Stellvertretungsbenutzer oder Besitzer) protokolliert werden. Die Einträge im Überwachungsprotokoll umfassen auch Informationen wie die Client-IP-Adresse, den Hostnamen und den Prozess oder Client, der für den Zugriff auf das Postfach verwendet wurde. Bei verschobenen Elementen umfasst der Eintrag den Namen des Zielordners.

Postfachüberwachungsprotokolle

Postfachüberwachungsprotokolle werden für jedes Postfach generiert, für das die Postfachüberwachungsprotokollierung aktiviert ist. Protokolleinträge werden im Unterordner "Überwachungen" des Ordners "Wiederherstellbare Elemente" des überwachten Postfachs gespeichert. Dadurch wird sichergestellt, dass alle Überwachungsprotokolleinträge von einem einzigen Speicherort aus verfügbar sind, unabhängig davon, welche Clientzugriffsmethode für den Zugriff auf das Postfach oder welcher Server oder Arbeitsstation ein Administrator für den Zugriff auf das Postfachüberwachungsprotokoll verwendet hat. Wenn Sie ein Postfach zu einem anderen Postfachserver verschieben, werden die Postfachüberwachungsprotokolle ebenfalls verschoben, da sie sich im Postfach befinden.

Standardmäßig werden Postfachüberwachungsprotokolleinträge 90 Tage lang aufbewahrt und dann gelöscht. Sie können diesen Aufbewahrungszeitraum mithilfe des Parameters "AuditLogAgeLimit" mit dem Cmdlet "Set-Mailbox" ändern. Wenn für ein Postfach das Compliance-Archiv oder die Beweissicherung aktiviert wurde, werden Überwachungsprotokolleinträge nur so lange beibehalten, bis die Beibehaltungsdauer von Überwachungsprotokollen für das Postfach erreicht wurde. Um Überwachungsprotokolleinträge länger aufzubewahren, müssen Sie den Aufbewahrungszeitraum erhöhen, indem Sie den Wert für den Parameter AuditLogAgeLimit ändern. Sie können auch die Überwachungsprotokolleinträge exportieren, bevor die Aufbewahrungsdauer erreicht ist. Weitere Informationen finden Sie unter:

• Exportieren von Postfachüberwachungsprotokollen

• Erstellen einer Postfachüberwachungsprotokoll-Suche

Aktivieren der Postfachüberwachungsprotokollierung

Die Postfachüberwachungsprotokollierung wird auf Postfachebene aktiviert. Verwenden Sie das Cmdlet Set-Mailbox zum Aktivieren oder Deaktivieren der Postfachüberwachungsprotokollierung. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachungsprotokollierung für ein Postfach.

Wenn die Postfachüberwachungsprotokollierung für ein Postfach aktiviert wird, werden der Zugriff auf das Postfach sowie bestimmte von Administratoren und Stellvertretungen ausgeführte Aktionen standardmäßig protokolliert. Damit vom Postfachbesitzer ausgeführte Aktionen protokolliert werden, müssen Sie angeben, welche Besitzeraktionen überwacht werden sollen.

Durch die Postfachüberwachungsprotokollierung erfasste Postfachaktionen

In der folgenden Tabelle sind die Aktionen, die von der Postfachüberwachungsprotokollierung erfasst werden, sowie die Anmeldetypen aufgeführt, für die die Aktion protokolliert werden kann.

Aktion	Beschreibung	Administrator	Stellvertretung	Besitzer
Kopieren	Ein Element wird in einen anderen Ordner kopiert.	Ja	Nein	Nein
Erstellen	Ein Element wird im Postfachordner „Kalender“, „Kontakte“, „Aufgaben“ oder „Notizen“ erstellt. Beispielsweise wird eine neue Besprechungsanfrage erstellt. Die Erstellung von Nachrichten oder Ordnern wird nicht überwacht.	Ja*	Ja*	Ja
FolderBind	Auf einen Postfachordner wird zugegriffen.	Ja*	Ja**	Nr.
HardDelete	Ein Element wird dauerhaft aus dem Ordner "Wiederherstellbare Elemente" gelöscht.	Ja*	Ja*	Ja
MessageBind	Auf ein Element wird im Lesebereich zugegriffen oder es wird im Lesebereich geöffnet.	Ja	Nein	Nein
Verschieben	Ein Element wird in einen anderen Ordner verschoben.	Ja*	Ja	Ja
MoveToDeletedItems	Ein Element wird in den Ordner "Gelöschte Elemente" verschoben.	Ja*	Ja	Ja
SendAs	Eine Nachricht wird mithilfe der Berechtigung "Senden als" gesendet.	Ja*	Ja*	–
SendOnBehalf	Eine Nachricht wird mithilfe der Berechtigung "Senden im Auftrag von" gesendet.	Ja*	Ja	–
SoftDelete	Ein Element wird aus dem Ordner "Gelöschte Elemente" gelöscht.	Ja*	Ja*	Ja
Aktualisieren	Die Eigenschaften eines Elements werden aktualisiert.	Ja*	Ja*	Ja

* Wird standardmäßig überwacht, wenn die Überwachung für ein Postfach aktiviert wurde.

** Einträge für Ordnerbindungsaktionen, die von Stellvertretungen ausgeführt werden, werden zusammengefasst. Für einzelne Ordnerzugriffe innerhalb eines Zeitraums von 24 Stunden wird ein eigener Protokolleintrag generiert.

Wenn die Überwachung bestimmte Postfachaktionen nicht mehr notwendig ist, sollten Sie die Überwachungsprotokollkonfiguration für das Postfach ändern, um die Überwachung dieser Aktionen zu deaktivieren. Vorhandene Protokolleinträge werden erst dann gelöscht, wenn für Überwachungsprotokolleinträge die Altersgrenze erreicht ist.

Durchsuchen von Postfachüberwachungsprotokolleinträgen

Mithilfe der folgenden Methoden können Sie Postfachüberwachungsprotokolleinträge durchsuchen:

• Synchrones Durchsuchen eines einzelnen Postfachs: Sie können das Cmdlet "Search-MailboxAuditLog" verwenden, um die Postfachüberwachungsprotokolleinträge für ein einzelnes Postfach synchron zu durchsuchen. Die Suchergebnisse werden im Fenster der Exchange-Verwaltungsshell angezeigt. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls für ein Postfach.

• Asynchrones Durchsuchen eines oder mehrerer Postfächer: Sie können eine Postfachüberwachungsprotokollsuche erstellen, um postfachüberwachungsprotokolle asynchron nach einem oder mehreren Postfächern zu durchsuchen, und dann die Suchergebnisse an eine angegebene E-Mail-Adresse senden lassen. Die Suchergebnisse werden als XML-Anlage gesendet. Verwenden Sie zum Erstellen der Suche das Cmdlet "New-MailboxAuditLogSearch". Weitere Informationen finden Sie unter Erstellen einer Postfachüberwachungsprotokoll-Suche.

• Verwenden Sie Überwachungsberichte im Exchange Admin Center (EAC): Sie können die Registerkarte "Überwachung" im EAC verwenden, um einen Postfachzugriffsbericht ohne Besitzer auszuführen oder Einträge aus dem Postfachüberwachungsprotokoll zu exportieren. Weitere Informationen finden Sie unter:

  • Ausführen eines Berichts zum Postfachzugriff durch Nicht-Besitzer

  • Exportieren von Postfachüberwachungsprotokollen

Einträge im Postfachüberwachungsprotokoll

In der folgenden Tabelle werden die Felder beschrieben, die in einem Überwachungsprotokolleintrag für ein Postfach protokolliert werden.

Feld	Enthaltene Angaben
Operation	Eine der folgenden Aktionen: Kopieren Erstellen FolderBind HardDelete MessageBind Verschieben MoveToDeletedItems SendAs SendOnBehalf SoftDelete Aktualisieren
OperationResult	Eines der folgenden Ergebnisse: Failed PartiallySucceeded Succeeded
LogonType	Anmeldetyp des Benutzers, der den Vorgang ausgeführt hat. Folgende Anmeldetypen sind verfügbar: Besitzer Stellvertretung Administrator
DestFolderId	Zielordner-GUID für Verschiebungsvorgänge.
DestFolderPathName	Zielordnerpfad für Verschiebungsvorgänge.
FolderId	Ordner-GUID.
FolderPathName	Ordnerpfad.
ClientInfoString	Details, die angeben, welcher Client oder welche Exchange-Komponente den Vorgang ausgeführt hat.
ClientIPAddress	IP-Adresse des Clientcomputers.
ClientMachineName	Name des Clientcomputers.
ClientProcessName	Name des Clientanwendungsprozesses.
ClientVersion	Version der Clientanwendung.
InternalLogonType	Anmeldetyp des Benutzers, der den Vorgang ausgeführt hat. Folgende Anmeldetypen sind verfügbar: Besitzer Stellvertretung Administrator
MailboxOwnerUPN	Benutzerprinzipalname des Postfachbesitzers.
MailboxOwnerSid	Sicherheits-ID (SID) des Postfachbesitzers.
DestMailboxOwnerUPN	Benutzerprinzipalname des Besitzers des Zielpostfachs; wird bei postfachübergreifenden Vorgängen protokolliert.
DestMailboxOwnerSid	SID des Besitzers des Zielpostfachs; wird bei postfachübergreifenden Vorgängen protokolliert.
DestMailboxOwnerGuid	GUID des Besitzers des Zielpostfachs.
CrossMailboxOperation	Informationen, die angeben, ob es sich bei dem protokollierten Vorgang um einen postfachübergreifenden Vorgang handelt (beispielsweise Kopieren oder Verschieben von Nachrichten zwischen Postfächern).
LogonUserDisplayName	Anzeigename des angemeldeten Benutzers.
DelegateUserDisplayName	Anzeigename des Stellvertretungsbenutzers.
LogonUserSid	SID des angemeldeten Benutzers.
SourceItems	Element-ID von Postfachelementen, für die die protokollierte Aktion ausgeführt wird (beispielsweise Verschieben oder Löschen). bei Vorgängen, die für mehrere Elemente ausgeführt werden, wird dieses Feld als Auflistung von Elementen zurückgegeben.
SourceFolders	GUID des Quellordners.
ItemId	Element-ID.
ItemSubject	Betreff des Elements.
MailboxGuid	Postfach-GUID.
MailboxResolvedOwnerName	Name des Postfachbenutzers im Format DOMAIN \ SamAccountNameaufgelöst.
LastAccessed	Zeitpunkt der Ausführung des Vorgangs.
Identity	ID des Überwachungsprotokolleintrags.

Weitere Informationen

• Administratorzugriff auf Postfächer: Der Zugriff auf Postfächer wird von einem Administrator nur in den folgenden Szenarien als möglich betrachtet:

  • In-Situ-eDiscovery wird verwendet, um ein Postfach zu durchsuchen.

  • Das Cmdlet New-MailboxExportRequest wird zum Exportieren eines Postfachs verwendet.

  • Microsoft Exchange Server MAPI Client and Collaboration Data Objects wird für den Zugriff auf das Postfach verwendet.

• Umgehen der Postfachüberwachungsprotokollierung: Der Postfachzugriff durch autorisierte automatisierte Prozesse, z. B. Konten, die von Drittanbietertools verwendet werden, oder Konten, die für die rechtmäßige Überwachung verwendet werden, kann eine große Anzahl von Postfachüberwachungsprotokolleinträgen erstellen und ist möglicherweise für Ihre Organisation nicht von Interesse. Sie können derartige Konten so konfigurieren, dass die Postfachüberwachungsprotokollierung umgangen wird. Weitere Informationen finden Sie unter Umgehen der Postfachüberwachungsprotokollierung für ein Benutzerkonto.

• Protokollieren von Postfachbesitzeraktionen: Für Postfächer wie das Discoverysuchpostfach, das möglicherweise vertrauliche informationen enthält, sollten Sie die Postfachüberwachungsprotokollierung für Postfachbesitzeraktionen wie das Löschen von Nachrichten aktivieren.