PostfachüberwachungsprotokollierungMailbox audit logging

Gilt für: Exchange Server 2013Applies to: Exchange Server 2013

Da Postfächer vertrauliche und für das Unternehmen zentrale Informationen sowie Informationen zur persönlichen Identifizierung enthalten können, ist es wichtig zu verfolgen, wer sich an den Postfächern in Ihrer Organisation anmeldet und welche Aktionen ausgeführt werden. Eine besondere Rolle spielt hierbei die Verfolgung des Postfachzugriffs durch Benutzer, die nicht mit dem Postfachbesitzer identisch sind. Diese Benutzer werden als Stellvertretungsbenutzer bezeichnet.Because mailboxes can contain sensitive, high business impact (HBI) information and personally identifiable information (PII), it's important that you track who logs on to the mailboxes in your organization and what actions are taken. It's especially important to track access to mailboxes by users other than the mailbox owner. These users are referred to as delegate users.

Mithilfe der Postfachüberwachungsprotokollierung können Sie den durch Postfachbesitzer, Stellvertretungen (einschließlich Administratoren mit vollständigen Postfachzugriffsberechtigungen) und Administratoren erfolgten Postfachzugriff protokollieren.By using mailbox audit logging, you can log mailbox access by mailbox owners, delegates (including administrators with full access permissions to mailboxes), and administrators.

Wenn Sie die Überwachungsprotokollierung für ein Postfach aktivieren, können Sie angeben, welche Benutzeraktionen (beispielsweise Zugriff auf eine Nachricht, Verschieben oder Löschen einer Nachricht) für einen Anmeldetyp (Administrator, Stellvertretungsbenutzer oder Besitzer) protokolliert werden. Die Einträge im Überwachungsprotokoll umfassen auch Informationen wie die Client-IP-Adresse, den Hostnamen und den Prozess oder Client, der für den Zugriff auf das Postfach verwendet wurde. Bei verschobenen Elementen umfasst der Eintrag den Namen des Zielordners.When you enable audit logging for a mailbox, you can specify which user actions (for example, accessing, moving, or deleting a message) will be logged for a logon type (administrator, delegate user, or owner). Audit log entries also include important information such as the client IP address, host name, and process or client used to access the mailbox. For items that are moved, the entry includes the name of the destination folder.

PostfachüberwachungsprotokolleMailbox audit logs

Postfachüberwachungsprotokolle werden für jedes Postfach generiert, für das die Postfachüberwachungsprotokollierung aktiviert ist.Mailbox audit logs are generated for each mailbox that has mailbox audit logging enabled. Protokolleinträge werden im Unterordner "Überwachungen" des Ordners "Wiederherstellbare Elemente" des überwachten Postfachs gespeichert.Log entries are stored in the Recoverable Items folder in the audited mailbox, in the Audits subfolder. Dadurch wird sichergestellt, dass alle Überwachungsprotokolleinträge an einem einzelnen Speicherort verfügbar sind, unabhängig davon, welche Clientzugriffsmethode für den Zugriff auf das Postfach verwendet wurde oder welcher Server oder Arbeitsstation ein Administrator für den Zugriff auf das postfachüberwachungsprotokoll verwendet hat.This ensures that all audit log entries are available from a single location, regardless of which client access method was used to access the mailbox or which server or workstation an administrator used to access the mailbox audit log. Wenn Sie ein Postfach zu einem anderen Postfachserver verschieben, werden die Postfachüberwachungsprotokolle ebenfalls verschoben, da sie sich im Postfach befinden.If you move a mailbox to another Mailbox server, the mailbox audit logs for that mailbox are also moved because they're located in the mailbox.

Standardmäßig werden Postfachüberwachungsprotokolleinträge 90 Tage lang aufbewahrt und dann gelöscht.By default, mailbox audit log entries are retained in the mailbox for 90 days and then deleted. Sie können diesen Beibehaltungszeitraum ändern, indem Sie den Parameter AuditLogAgeLimit mit dem Cmdlet "Cmdlet festlegen " verwenden.You can modify this retention period by using the AuditLogAgeLimit parameter with the Set-Mailbox cmdlet. Wenn für ein Postfach das Compliance-Archiv oder die Beweissicherung aktiviert wurde, werden Überwachungsprotokolleinträge nur so lange beibehalten, bis die Beibehaltungsdauer von Überwachungsprotokollen für das Postfach erreicht wurde.If a mailbox is on In-Place Hold or Litigation Hold, audit log entries are only retained until the audit log retention period for the mailbox is reached. Wenn Sie Überwachungsprotokolleinträge länger aufbewahren möchten, müssen Sie den Aufbewahrungszeitraum verlängern, indem Sie den Wert für den Parameter AuditLogAgeLimit ändern.To retain audit log entries longer, you have to increase the retention period by changing the value for the AuditLogAgeLimit parameter. Sie können auch die Überwachungsprotokolleinträge exportieren, bevor die Aufbewahrungsdauer erreicht ist.You can also export audit log entries before the retention period is reached. Weitere Informationen finden Sie unter:For more information, see:

Aktivieren der PostfachüberwachungsprotokollierungEnabling mailbox audit logging

Die Postfachüberwachungsprotokollierung wird auf Postfachebene aktiviert. Verwenden Sie das Cmdlet Set-Mailbox zum Aktivieren oder Deaktivieren der Postfachüberwachungsprotokollierung. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachungsprotokollierung für ein Postfach.Mailbox audit logging is enabled per mailbox. Use the Set-Mailbox cmdlet to enable or disable mailbox audit logging. For details, see Enable or disable mailbox audit logging for a mailbox.

Wenn die Postfachüberwachungsprotokollierung für ein Postfach aktiviert wird, werden der Zugriff auf das Postfach sowie bestimmte von Administratoren und Stellvertretungen ausgeführte Aktionen standardmäßig protokolliert. Damit vom Postfachbesitzer ausgeführte Aktionen protokolliert werden, müssen Sie angeben, welche Besitzeraktionen überwacht werden sollen.When you enable mailbox audit logging for a mailbox, access to the mailbox and certain administrator and delegate actions are logged by default. To log actions taken by the mailbox owner, you must specify which owner actions should be audited.

Durch die Postfachüberwachungsprotokollierung erfasste PostfachaktionenMailbox actions logged by mailbox audit logging

In der folgenden Tabelle sind die Aktionen, die von der Postfachüberwachungsprotokollierung erfasst werden, sowie die Anmeldetypen aufgeführt, für die die Aktion protokolliert werden kann.The following table lists the actions logged by mailbox audit logging, including the logon types for which the action can be logged.

AktionAction BeschreibungDescription AdministratorAdministrator StellvertretungDelegate BesitzerOwner

KopierenCopy

Ein Element wird in einen anderen Ordner kopiert.An item is copied to another folder.

JaYes

NeinNo

NeinNo

ErstellenCreate

Ein Element wird im Postfachordner „Kalender“, „Kontakte“, „Aufgaben“ oder „Notizen“ erstellt. Beispielsweise wird eine neue Besprechungsanfrage erstellt. Die Erstellung von Nachrichten oder Ordnern wird nicht überwacht. An item is created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox; for example, a new meeting request is created. Note that message or folder creation isn't audited.

Ja\*Yes\*

Ja\*Yes\*

JaYes

FolderBindFolderBind

Auf einen Postfachordner wird zugegriffen.A mailbox folder is accessed.

Ja\*Yes\*

Ja \* \*Yes\*\*

Nr.No

HardDeleteHardDelete

Ein Element wird dauerhaft aus dem Ordner "Wiederherstellbare Elemente" gelöscht.An item is deleted permanently from the Recoverable Items folder.

Ja\*Yes\*

Ja\*Yes\*

JaYes

MessageBindMessageBind

Auf ein Element wird im Lesebereich zugegriffen oder es wird im Lesebereich geöffnet.An item is accessed in the reading pane or opened.

JaYes

NeinNo

NeinNo

MoveMove

Ein Element wird in einen anderen Ordner verschoben.An item is moved to another folder.

Ja\*Yes\*

JaYes

JaYes

MoveToDeletedItemsMoveToDeletedItems

Ein Element wird in den Ordner "Gelöschte Elemente" verschoben.An item is moved to the Deleted Items folder.

Ja\*Yes\*

JaYes

JaYes

SendAsSendAs

Eine Nachricht wird mithilfe der Berechtigung "Senden als" gesendet.A message is sent using Send As permissions.

Ja\*Yes\*

Ja\*Yes\*

Nicht zutreffendNot applicable

SendOnBehalfSendOnBehalf

Eine Nachricht wird mithilfe der Berechtigung "Senden im Auftrag von" gesendet.A message is sent using Send on Behalf permissions.

Ja\*Yes\*

JaYes

Not applicable

SoftDeleteSoftDelete

Ein Element wird aus dem Ordner "Gelöschte Elemente" gelöscht.An item is deleted from the Deleted Items folder.

Ja\*Yes\*

Ja\*Yes\*

JaYes

AktualisierenUpdate

Die Eigenschaften eines Elements werden aktualisiert.An item's properties are updated.

Ja\*Yes\*

Ja\*Yes\*

JaYes

* Wird standardmäßig überwacht, wenn die Überwachung für ein Postfach aktiviert wurde.* Audited by default if auditing is enabled for a mailbox.

** Einträge für Ordnerbindungsaktionen, die von Stellvertretungen ausgeführt werden, werden zusammengefasst.** Entries for folder bind actions performed by delegates are consolidated. Für einzelne Ordnerzugriffe innerhalb eines Zeitraums von 24 Stunden wird ein eigener Protokolleintrag generiert.One log entry is generated for individual folder access within a time span of 24 hours.

Wenn die Überwachung bestimmte Postfachaktionen nicht mehr notwendig ist, sollten Sie die Überwachungsprotokollkonfiguration für das Postfach ändern, um die Überwachung dieser Aktionen zu deaktivieren. Vorhandene Protokolleinträge werden erst dann gelöscht, wenn für Überwachungsprotokolleinträge die Altersgrenze erreicht ist.If you no longer require certain types of mailbox actions to be audited, you should modify the mailbox's audit logging configuration to disable those actions. Existing log entries aren't purged until the age limit for audit log entries is reached.

Durchsuchen von postfachüberwachungsprotokoll EinträgenSearching mailbox audit log entries

Mithilfe der folgenden Methoden können Sie Postfachüberwachungsprotokolleinträge durchsuchen:You can use the following methods to search mailbox audit log entries:

Einträge im PostfachüberwachungsprotokollMailbox audit log entries

In der folgenden Tabelle werden die Felder beschrieben, die in einem Überwachungsprotokolleintrag für ein Postfach protokolliert werden.The following table describes the fields logged in a mailbox audit log entry.

FeldField Enthaltene AngabenPopulated with

OperationOperation

Eine der folgenden Aktionen:One of the following actions:

  • KopierenCopy

  • ErstellenCreate

  • FolderBindFolderBind

  • HardDeleteHardDelete

  • MessageBindMessageBind

  • VerschiebenMove

  • MoveToDeletedItemsMoveToDeletedItems

  • SendAsSendAs

  • SendOnBehalfSendOnBehalf

  • SoftDeleteSoftDelete

  • AktualisierenUpdate

OperationResultOperationResult

Eines der folgenden Ergebnisse:One of the following results:

  • FailedFailed

  • PartiallySucceededPartiallySucceeded

  • SucceededSucceeded

LogotypeLogonType

Anmeldetyp des Benutzers, der den Vorgang ausgeführt hat. Folgende Anmeldetypen sind verfügbar:Logon type of the user who performed the operation. Logon types include:

  • BesitzerOwner

  • StellvertretungDelegate

  • AdministratorAdmin

DestFolderIdDestFolderId

Zielordner-GUID für Verschiebungsvorgänge.Destination folder GUID for move operations.

DestFolderPathNameDestFolderPathName

Zielordnerpfad für Verschiebungsvorgänge.Destination folder path for move operations.

FolderIdFolderId

Ordner-GUID.Folder GUID.

FolderPathNameFolderPathName

Ordnerpfad.Folder path.

ClientInfoStringClientInfoString

Details, die angeben, welcher Client oder welche Exchange-Komponente den Vorgang ausgeführt hat.Details that identify which client or Exchange component performed the operation.

ClientIPAddressClientIPAddress

IP-Adresse des Clientcomputers.Client computer IP address.

ClientMachineNameClientMachineName

Name des Clientcomputers.Client computer name.

ClientProcessNameClientProcessName

Name des Clientanwendungsprozesses.Name of the client application process.

ClientVersionClientVersion

Version der Clientanwendung.Client application version.

InternalLogonTypeInternalLogonType

Anmeldetyp des Benutzers, der den Vorgang ausgeführt hat. Folgende Anmeldetypen sind verfügbar:Logon type of the user who performed the operation. Logon types include:

  • BesitzerOwner

  • StellvertretungDelegate

  • AdministratorAdmin

MailboxOwnerUPNMailboxOwnerUPN

Benutzerprinzipalname des Postfachbesitzers.Mailbox owner user principal name (UPN).

MailboxOwnerSidMailboxOwnerSid

Sicherheits-ID (SID) des Postfachbesitzers.Mailbox owner security identifier (SID).

DestMailboxOwnerUPNDestMailboxOwnerUPN

Benutzerprinzipalname des Besitzers des Zielpostfachs; wird bei postfachübergreifenden Vorgängen protokolliert.Destination mailbox owner UPN, logged for cross-mailbox operations.

DestMailboxOwnerSidDestMailboxOwnerSid

SID des Besitzers des Zielpostfachs; wird bei postfachübergreifenden Vorgängen protokolliert.Destination mailbox owner SID, logged for cross-mailbox operations.

DestMailboxOwnerGuidDestMailboxOwnerGuid

GUID des Besitzers des Zielpostfachs.Destination mailbox owner GUID.

CrossMailboxOperationCrossMailboxOperation

Informationen, die angeben, ob es sich bei dem protokollierten Vorgang um einen postfachübergreifenden Vorgang handelt (beispielsweise Kopieren oder Verschieben von Nachrichten zwischen Postfächern).Information about whether the operation logged is a cross-mailbox operation (for example, copying or moving messages between mailboxes).

LogonUserDisplayNameLogonUserDisplayName

Anzeigename des angemeldeten Benutzers.Display name of user who is logged on.

DelegateUserDisplayNameDelegateUserDisplayName

Anzeigename des Stellvertretungsbenutzers.Delegate user display name.

LogonUserSidLogonUserSid

SID des angemeldeten Benutzers.SID of user who is logged on.

SourceItemsSourceItems

Element-ID von Postfachelementen, für die die protokollierte Aktion ausgeführt wird (beispielsweise Verschieben oder Löschen). bei Vorgängen, die für mehrere Elemente ausgeführt werden, wird dieses Feld als Auflistung von Elementen zurückgegeben.ItemID of mailbox items on which the logged action is performed (for example, move or delete). For operations performed on a number of items, this field is returned as a collection of items.

SourceFoldersSourceFolders

GUID des Quellordners.Source folder GUID.

ItemIdItemId

Element-ID.Item ID.

ItemSubjectItemSubject

Betreff des Elements.Item subject.

MailboxGuidMailboxGuid

Postfach-GUID.Mailbox GUID.

MailboxResolvedOwnerNameMailboxResolvedOwnerName

Name des Postfachbenutzers aufgelöst im Format Domäne\sAMAccountName.Mailbox user resolved name in the format DOMAIN\SamAccountName.

LastAccessedLastAccessed

Zeitpunkt der Ausführung des Vorgangs.Time when the operation was performed.

IdentityIdentity

ID des Überwachungsprotokolleintrags.Audit log entry ID.

Weitere InformationenMore information

  • Administratorzugriff auf Postfächer: auf Postfächer wird von einem Administrator nur in den folgenden Szenarien zugegriffen:Administrator access to mailboxes: Mailboxes are considered to be accessed by an administrator only in the following scenarios:

  • Umgehen der postfachüberwachungsprotokollierung: Postfachzugriff durch autorisierte automatisierte Prozesse wie Konten, die von Tools eines Drittanbieters verwendet werden, oder Konten, die für eine rechtmäßige Überwachung verwendet werden, können eine große Anzahl von postfachüberwachungsprotokoll Einträgen erstellen und sind möglicherweise nicht von Interesse für Ihre Organisation.Bypassing mailbox auditing logging: Mailbox access by authorized automated processes such as accounts used by third-party tools or accounts used for lawful monitoring can create a large number of mailbox audit log entries and may not be of interest to your organization. Sie können derartige Konten so konfigurieren, dass die Postfachüberwachungsprotokollierung umgangen wird.You can configure such accounts to bypass mailbox audit logging. Weitere Informationen finden Sie unter Umgehen der Postfachüberwachungsprotokollierung für ein Benutzerkonto.For details, see Bypass a user account from mailbox audit logging.

  • Protokollieren von Postfachbesitzer Aktionen: für Postfächer wie das Ermittlungs Such Postfach, das möglicherweise weitere vertrauliche Informationen enthält, sollten Sie die postfachüberwachungsprotokollierung für Postfachbesitzer Aktionen wie das Löschen von Nachrichten aktivieren.Logging mailbox owner actions: For mailboxes such as the Discovery Search Mailbox, which may contain more sensitive information, consider enabling mailbox audit logging for mailbox owner actions such as message deletion.