Registrazione di controllo delle cassette postali in Exchange ServerMailbox audit logging in Exchange Server

Dal momento che le cassette postali possono contenere informazioni riservate sia a livello aziendale che di singolo utente, è fondamentale tenere traccia di chi accede alle cassette postali nell'organizzazione e che attività esegue su di esse. È soprattutto importante controllare gli accessi alle cassette postali eseguiti da utenti che non ne sono i legittimi proprietari. Questi utenti sono definiti delegati.Because mailboxes can contain sensitive, high business impact (HBI) information and personally identifiable information (PII), it's important that you track who logs on to the mailboxes in your organization and what actions are taken. It's especially important to track access to mailboxes by users other than the mailbox owner. These users are referred to as delegate users.

Utilizzando la registrazione di controllo delle cassette postali, è possibile registrare gli accessi effettuati dai proprietari delle cassette postali, dai delegati (inclusi gli amministratori con autorizzazioni di accesso completo alle cassette postali) e dagli amministratori.By using mailbox audit logging, you can log mailbox access by mailbox owners, delegates (including administrators with full access permissions to mailboxes), and administrators.

Quando si abilita la registrazione di controllo delle cassette postali, è possibile specificare quali azioni (ad esempio, accesso oppure spostamento o eliminazione di un messaggio) verranno registrate per ciascun tipo di utente (amministratore, utente delegato o proprietario). Le registrazioni includono anche informazioni importanti quali indirizzo IP del client, nome host e processo o client utilizzato per accedere alla cassetta postale. Per gli elementi spostati, nella registrazione viene riportato il nome della cartella di destinazione.When you enable audit logging for a mailbox, you can specify which user actions (for example, accessing, moving, or deleting a message) will be logged for a logon type (administrator, delegate user, or owner). Audit log entries also include important information such as the client IP address, host name, and process or client used to access the mailbox. For items that are moved, the entry includes the name of the destination folder.

Registri di controllo delle cassette postaliMailbox audit logs

I registri di controllo vengono generati per tutte le cassette postali per cui è abilitata la registrazione di controllo.Mailbox audit logs are generated for each mailbox that has mailbox audit logging enabled. Le voci del registro vengono archiviate nella cartella degli elementi ripristinabili nella cassetta postale controllata, nella sottocartella Controlli.Log entries are stored in the Recoverable Items folder in the audited mailbox, in the Audits subfolder. In questo modo si garantisce che tutte le voci del registro di controllo siano disponibili da una singola posizione, indipendentemente dal metodo di accesso client utilizzato per accedere alla cassetta postale o dal server o dal computer utilizzato dall'amministratore per accedere al registro di controllo della cassetta postale.This ensures that all audit log entries are available from a single location, regardless of which client access method was used to access the mailbox or which server or computer an administrator uses to access the mailbox audit log. Se si sposta una cassetta postale su un altro server Cassette postali, anche i registri di controllo della cassetta postale vengono spostati perché si trovano al suo interno.If you move a mailbox to another Mailbox server, the mailbox audit logs for that mailbox are also moved because they're located in the mailbox.

Per impostazione predefinita, le voci del registro di controllo di una cassetta postale vengono conservate nella cassetta postale per 90 giorni e quindi eliminate.By default, mailbox audit log entries are retained in the mailbox for 90 days and then deleted. È possibile modificare questo periodo di conservazione utilizzando il parametro AuditLogAgeLimit con il cmdlet Set-Mailbox .You can modify this retention period by using the AuditLogAgeLimit parameter with the Set-Mailbox cmdlet. Se una cassetta postale è in Archiviazione sul posto o in conservazione per controversia legale., le voci del registro di controllo vengono conservate solo fino alla scadenza del periodo di mantenimento del registro di controllo per la cassetta postale.If a mailbox is on In-Place Hold or Litigation Hold, audit log entries are only retained until the audit log retention period for the mailbox is reached. Per mantenere più a lungo le voci del registro di controllo, è necessario aumentare il periodo di conservazione cambiando il valore del parametro AuditLogAgeLimit .To retain audit log entries longer, you have to increase the retention period by changing the value for the AuditLogAgeLimit parameter. È anche possibile esportare le voci del registro di controllo prima della scadenza del periodo di mantenimento.You can also export audit log entries before the retention period is reached. Per ulteriori informazioni, vedere:For more information, see:

Abilitazione della registrazione di controllo delle cassette postaliEnabling mailbox audit logging

La registrazione di controllo delle cassette postali è abilitata per ogni cassetta postale. Utilizzare il cmdlet Set-Mailbox per abilitare o disabilitare la registrazione di controllo delle cassette postali. Per ulteriori informazioni, vedere Abilitare o disabilitare la registrazione per una cassetta postale di controllo delle cassette postali.Mailbox audit logging is enabled per mailbox. Use the Set-Mailbox cmdlet to enable or disable mailbox audit logging. For details, see Enable or disable mailbox audit logging for a mailbox.

Quando si abilita la registrazione di controllo per una cassetta postale, gli accessi alla cassetta e alcune azioni eseguite dagli amministratori e dai delegati vengono registrate per impostazione predefinita. Per registrare anche le azioni eseguite dal proprietario della cassetta postale, è necessario specificare le azioni da sottoporre a controllo.When you enable mailbox audit logging for a mailbox, access to the mailbox and certain administrator and delegate actions are logged by default. To log actions taken by the mailbox owner, you must specify which owner actions should be audited.

Azioni inserite nella registrazione di controllo delle cassette postaliMailbox actions logged by mailbox audit logging

Nella tabella seguente vengono indicate le azioni inserite nel registro di controllo delle cassette postali, incluso il tipo di accesso che genera la registrazione di ciascuna tipologia di azione.The following table lists the actions logged by mailbox audit logging, including the logon types for which the action can be logged. Si noti che un amministratore a cui è stata assegnata l'autorizzazione di accesso completo per la cassetta postale di un utente viene considerato un utente delegato.Note that an administrator who has been assigned the Full Access permission to a user's mailbox is considered a delegate user.

Se non è più necessario registrare determinati tipi di azioni, modificare la configurazione di registrazione per disabilitarle. Le voci presenti nel registro non vengono eliminate fino a quando non raggiungono la loro scadenza naturale.If you no longer require certain types of mailbox actions to be audited, you should modify the mailbox's audit logging configuration to disable those actions. Existing log entries aren't purged until the age limit for audit log entries is reached.

AzioneAction DescrizioneDescription AdminAdmin DelegatoDelegate ProprietarioOwner
CopiaCopy Un elemento viene copiato in un'altra cartella.An item is copied to another folder. Yes NoNo NoNo
CreazioneCreate Elemento creato nella cartella Calendario, Contatti, Note o Attività nella cassetta postale; ad esempio, viene creata una nuova convocazione di riunione. La creazione della cartella o del messaggio non viene sottoposta a controllo. An item is created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox; for example, a new meeting request is created. Note that message or folder creation isn't audited. 1Yes1 1Yes1 Yes
FolderBindFolderBind Accesso effettuato a una cartella della cassetta postale.A mailbox folder is accessed. 1Yes1 2Yes2 NoNo
HardDeleteHardDelete Un elemento viene eliminato definitivamente dalla cartella Elementi ripristinabili.An item is deleted permanently from the Recoverable Items folder. 1Yes1 1Yes1 Yes
MailboxLoginMailboxLogin Accesso effettuato dall'utente alla propria cassetta postale.The user signed in to their mailbox. NoNo NoNo 3Yes3
MessageBindMessageBind Un elemento viene aperto o vi si accede nel riquadro di lettura.An item is accessed in the reading pane or opened. Yes NoNo NoNo
MoveMove Un elemento viene spostato in un'altra cartella.An item is moved to another folder. 1Yes1 Yes Yes
MoveToDeletedItemsMoveToDeletedItems Un elemento viene spostato nella cartella Posta eliminata.An item is moved to the Deleted Items folder. 1Yes1 Yes Yes
SendAsSendAs Un messaggio viene inviato con l'autorizzazione Invia come.A message is sent using Send As permissions. 1Yes1 1Yes1 NoNo
SendOnBehalfSendOnBehalf Un messaggio viene inviato con l'autorizzazione Invia per conto di.A message is sent using Send on Behalf permissions. 1Yes1 Yes NoNo
SoftDeleteSoftDelete Un elemento viene eliminato dalla cartella Posta eliminata.An item is deleted from the Deleted Items folder. 1Yes1 1Yes1 Yes
AggiornamentoUpdate Le proprietà di un elemento vengono aggiornate.An item's properties are updated. 1Yes1 1Yes1 Yes

1 controllato per impostazione predefinita se il controllo è abilitato per una cassetta postale.1 Audited by default if auditing is enabled for a mailbox.

2 le voci per le operazioni di associazione delle cartelle eseguite dai delegati vengono consolidate2 Entries for folder bind actions performed by delegates are consolidated. Per ogni singolo accesso in un periodo di 24 ore viene generata una voce.One log entry is generated for individual folder access within a time span of 24 hours.

3 il controllo per gli account di accesso dei proprietari in una cassetta postale funziona solo per gli account di accesso POP3, IMAP4 o OAuth.3 Auditing for owner logins to a mailbox works only for POP3, IMAP4, or OAuth logins. Non funziona per gli accessi NTLM o Kerberos alla cassetta postale.It doesn't work for NTLM or Kerberos logins to the mailbox.

Ricerca nel registro di controllo della cassetta postaleSearching the mailbox audit log

È possibile utilizzare i seguenti metodi per effettuare una ricerca nelle voci nel registro di controllo:You can use the following methods to search mailbox audit log entries:

  • Ricerca sincrona in una singola cassetta postale: è possibile utilizzare il cmdlet Search-MailboxAuditLog per ricercare in modo sincrono le voci del registro di controllo delle cassette postali per una singola cassetta postale.Synchronously search a single mailbox: You can use the Search-MailboxAuditLog cmdlet to synchronously search mailbox audit log entries for a single mailbox. Il cmdlet visualizza i risultati della ricerca nella finestra di Exchange Management Shell.The cmdlet displays search results in the Exchange Management Shell window. Per ulteriori informazioni, vedere Search Mailbox Audit Log for a Mailbox.For details, see Search Mailbox Audit Log for a Mailbox.

  • Ricerca in modo asincrono una o più cassette postali: è possibile creare una ricerca nel registro di controllo della cassetta postale per eseguire ricerche asincrone nei registri di controllo delle cassette postali per una o più cassette postali, quindi inviare i risultati di ricerca a un indirizzo di posta elettronica specificato.Asynchronously search one or more mailboxes: You can create a mailbox audit log search to asynchronously search mailbox audit logs for one or more mailboxes, and then have the search results sent to a specified email address. I risultati della ricerca vengono inviati come allegato XML.The search results are sent as an XML attachment. Per creare la ricerca, utilizzare il cmdlet New-MailboxAuditLogSearch.To create the search, use the New-MailboxAuditLogSearch cmdlet. Per informazioni dettagliate, vedere Create a Mailbox audit log Search.For details, see Create a Mailbox Audit Log Search.

  • Utilizzo dei rapporti di controllo nell'interfaccia di amministrazione di Exchange (EAC): è possibile utilizzare la scheda controllo in EAC per eseguire un rapporto di accesso non proprietario alla cassetta postale (contiene voci per le azioni di amministrazione ed eliminazione) oppure esportare voci non proprietarie dal registro di controllo della cassetta postale.Use auditing reports in the Exchange admin center (EAC): You can use the Auditing tab in the EAC to run a non-owner mailbox access report (contains entries for admin and delete actions) or export non-owner entries from the mailbox audit log. Per dettagli, vedere:For details, see:

Voci del registro di controllo delle cassette postaliMailbox audit log entries

Nella tabella seguente vengono illustrati i campi inseriti nel registro di controllo delle cassette postali.The following table describes the fields logged in a mailbox audit log entry.

CampoField Compilato conPopulated with
OperazioneOperation Una delle seguenti azioni:One of the following actions:
CopiaCopy
CreazioneCreate
FolderBindFolderBind
HardDeleteHardDelete
MailboxLoginMailboxLogin
MessageBindMessageBind
MoveMove
MoveToDeletedItemsMoveToDeletedItems
SendAsSendAs
SendOnBehalfSendOnBehalf
SoftDeleteSoftDelete
AggiornamentoUpdate
OperationResultOperationResult Una dei seguenti risultati:One of the following results:
FailedFailed
PartiallySucceededPartiallySucceeded
RiuscitoSucceeded
LogonTypeLogonType Il tipo di accesso dell'utente che ha eseguito l'operazione. I tipi di accesso sono:Logon type of the user who performed the operation. Logon types include:
ProprietarioOwner
DelegatoDelegate
AmministratoreAdmin
DestFolderIdDestFolderId GUID della cartella di destinazione per le operazioni di spostamento.Destination folder GUID for move operations.
DestFolderPathNameDestFolderPathName Percorso della cartella di destinazione per le operazioni di spostamento.Destination folder path for move operations.
FolderIdFolderId GUID della cartella.Folder GUID.
FolderPathNameFolderPathName Percorso della cartella.Folder path.
ClientInfoStringClientInfoString Dettagli che identificano il client o il componente di Exchange che ha eseguito l'operazione.Details that identify which client or Exchange component performed the operation.
ClientIPAddressClientIPAddress Indirizzo IP del computer client.Client computer IP address.
ClientMachineNameClientMachineName Nome del computer client.Client computer name.
ClientProcessNameClientProcessName Nome del processo dell'applicazione client.Name of the client application process.
ClientVersionClientVersion Versione dell'applicazione client.Client application version.
InternalLogonTypeInternalLogonType Tipo di utente interno (una persona all'interno dell'organizzazione) che ha eseguito l'operazione.The type of internal user (a person in your organization) who performed the operation. I valori possibili per questo campo sono gli stessi del campo LogonType .The possible values for this field are the same ones as the LogonType field.
MailboxOwnerUPNMailboxOwnerUPN Nome dell'entità utente (UPN) del proprietario della cassetta postale.Mailbox owner user principal name (UPN).
MailboxOwnerSidMailboxOwnerSid ID di sicurezza (SID) del proprietario della cassetta postale.Mailbox owner security identifier (SID).
DestMailboxOwnerUPNDestMailboxOwnerUPN Nome dell'entità utente (UPN) del proprietario della cassetta postale di destinazione, registrato per le operazioni che coinvolgono più cassette postali.Destination mailbox owner UPN, logged for cross-mailbox operations.
DestMailboxOwnerSidDestMailboxOwnerSid ID di sicurezza (SID) del proprietario della cassetta postale di destinazione, registrato per le operazioni che coinvolgono più cassette postali.Destination mailbox owner SID, logged for cross-mailbox operations.
DestMailboxOwnerGuidDestMailboxOwnerGuid GUID del proprietario della cassetta postale di destinazione.Destination mailbox owner GUID.
CrossMailboxOperationCrossMailboxOperation Indica se l'operazione registrata viene eseguita tra più cassette postali (ad esempio, la copia o lo spostamento dei messaggi tra cassette postali).Information about whether the operation logged is a cross-mailbox operation (for example, copying or moving messages between mailboxes).
LogonUserDisplayNameLogonUserDisplayName Nome visualizzato dell'utente che ha eseguito l'accesso.Display name of user who is logged on.
DelegateUserDisplayNameDelegateUserDisplayName Nome visualizzato dell'utente delegato.Delegate user display name.
LogonUserSidLogonUserSid ID di sicurezza (SID) dell'utente che ha eseguito l'accesso.SID of user who is logged on.
SourceItemsSourceItems ID degli elementi della cassetta postale su cui viene eseguita l'azione registrata (ad esempio, lo spostamento o l'eliminazione). Se l'operazione viene eseguita su diversi elementi, in questo campo viene riportata la raccolta di elementi.ItemID of mailbox items on which the logged action is performed (for example, move or delete). For operations performed on a number of items, this field is returned as a collection of items.
SourceFoldersSourceFolders GUID della cartella di origine.Source folder GUID.
ItemIdItemId ID dell'elemento.Item ID.
ItemSubjectItemSubject Oggetto dell'elemento.Item subject.
MailboxGuidMailboxGuid GUID della cassetta postale.Mailbox GUID.
MailboxResolvedOwnerNameMailboxResolvedOwnerName Nome utente della cassetta postale risolto nel formato di dominio\ sAMAccountName.Mailbox user resolved name in the format DOMAIN\ SamAccountName.
LastAccessedLastAccessed Ora di esecuzione dell'operazione.Time when the operation was performed.
IdentitàIdentity ID della voce del registro di controllo.Audit log entry ID.

Ulteriori informazioniMore information

  • Accesso dell'amministratore alle cassette postali: le cassette postali sono considerate accessibili da un amministratore solo negli scenari seguenti:Administrator access to mailboxes: Mailboxes are considered to be accessed by an administrator only in the following scenarios:

  • Ignorare la registrazione di controllo delle cassette postali: l'accesso alle cassette postali da processi automatici autorizzati come gli account utilizzati dagli strumenti di terze parti o gli account utilizzati per il monitoraggio legale può creare un numero elevato di voci del registro di controllo delle cassette postali e potrebbe non essere di interesse per la propria organizzazione.Bypassing mailbox auditing logging: Mailbox access by authorized automated processes such as accounts used by third-party tools or accounts used for lawful monitoring can create a large number of mailbox audit log entries and may not be of interest to your organization. È possibile configurare questi account in modo che vengano ignorati dalle registrazioni di controllo delle cassette postali.You can configure such accounts to bypass mailbox audit logging. Per ulteriori informazioni, vedere ignorare un account utente dalla registrazione di controllo delle cassette postali.For details, see Bypass a User Account From Mailbox Audit Logging.

  • Registrazione delle azioni del proprietario della cassetta postale: per le cassette postali come la cassetta postale di individuazione, che può contenere informazioni più riservate, è consigliabile abilitare la registrazione di controllo delle cassette postali per le azioni del proprietario della cassetta postaleLogging mailbox owner actions: For mailboxes such as the Discovery Search Mailbox, which may contain more sensitive information, consider enabling mailbox audit logging for mailbox owner actions such as message deletion.