メールボックス監査ログ イン Exchange Server
メールボックスには機密情報、ビジネスへの影響が大きい (HBI) 情報、および個人情報 (PII) が含まれていることがあるため、組織内のメールボックスに誰がログオンしたか、およびどんな操作を行ったかを追跡することが重要です。メールボックスの所有者以外のユーザーによるメールボックスへのアクセスを追跡することが特に重要です。これらのユーザーは、代理ユーザー と呼ばれます。
メールボックス監査ログ を使用すると、メールボックスの所有者、代理人 (メールボックスへのフル アクセス許可を持つ管理者を含む)、および管理者によるメールボックスへのアクセスをログに記録できます。
メールボックスの監査ログを有効にする場合は、ログオンの種類 (管理者、代理ユーザー、または所有者) に応じてログに記録するユーザー操作 (メッセージへのアクセス、移動、削除など) を指定できます。監査ログ エントリには、メールボックスへのアクセスに使用されたクライアント IP アドレス、ホスト名、プロセスやクライアントなどの重要な情報も含まれています。移動されるアイテムの場合、エントリには移動先フォルダーの名前が含まれます。
メールボックス監査ログ
メールボックス監査ログは、メールボックス監査ログが有効になっているメールボックスごとに生成されます。ログ エントリは、監査対象メールボックスの [回復可能なアイテム] フォルダーの [監査] サブフォルダーに保存されます。これにより、メールボックスへのアクセスに使用されたクライアント アクセス方法、あるいは管理者がメールボックス監査ログへのアクセスに使用したサーバーまたはコンピューターとは関係なく、すべての監査ログ エントリが 1 つの場所から利用可能になります。メールボックスを別のメールボックス サーバーに移動した場合、そのメールボックスのメールボックス監査ログも移動されます。これは、メールボックス監査ログがメールボックス内に配置されているためです。
既定では、メールボックス監査ログ エントリはメールボックスに 90 日間保存されてから、削除されます。 この保持期間は、Set-Mailbox コマンドレットで AuditLogAgeLimit パラメーターを使用して変更できます。 メールボックスがインプレース保持または訴訟ホールドになっている場合、メールボックスの監査ログの保存期間が終わる時点までに限って、監査ログ エントリは保持されます。 監査ログ エントリを長く保持するには、 AuditLogAgeLimit パラメーターの値を変更して保持期間を長くする必要があります。 また、保存期限に達する前に監査ログのエントリをエクスポートすることもできます。 詳細については、次のトピックを参照してください。
メールボックス監査ログの有効化
メールボックス監査ログは、メールボックスごとに有効にします。メールボックス監査ログを有効または無効にするには、 Set-Mailbox コマンドレットを使用します。詳細については、「 メールボックスのメールボックス監査ログを有効または無効にする」を参照してください。
メールボックスのメールボックス監査ログを有効にすると、メールボックスへのアクセス、および特定の管理者と代理人の操作が既定で記録されます。メールボックスの所有者が実行した操作をログに記録するには、監査対象にする所有者の操作を指定する必要があります。
メールボックス監査ログによって記録されるメールボックスの操作
次の表に、操作を記録できるログオンの種類を含め、メールボックス監査ログによって記録された操作を示します。ユーザーのメールボックスに対するフル アクセスのアクセス許可を割り当てられた管理者が代理人ユーザーと見なされることに注目してください。
特定の種類のメールボックス操作を監査する必要がなくなった場合、これらの操作を無効にするように、メールボックスの監査ログ構成を変更する必要があります。既存のログ エントリは、監査ログ エントリの有効期限に達するまで削除されません。
| アクション | 説明 | 管理者 | 代理人 | 所有者 |
|---|---|---|---|---|
| コピーする | アイテムが別のフォルダーにコピーされます。 | はい | 不要 | 不要 |
| 作成する | アイテムが、メールボックスの予定表、連絡先、メモ、またはタスク フォルダーに作成されます。たとえば、新しい会議出席依頼が作成されます。なお、メッセージまたはフォルダーの作成は監査されません。 | はい1 | はい1 | はい |
| FolderBind | メールボックス フォルダーにアクセスされます。 | はい1 | はい2 | いいえ |
| HardDelete | アイテムが [回復可能なアイテム] フォルダーから完全に削除されます。 | はい1 | はい1 | はい |
| MailboxLogin | ユーザーが自分のメールボックスにサインインしました。 | 不要 | 不要 | はい3 |
| MessageBind | アイテムが閲覧ウィンドウでアクセスされるか、開かれます。 | はい | 不要 | 不要 |
| 移動する | アイテムが別のフォルダーに移動されます。 | はい1 | はい | はい |
| MoveToDeletedItems | アイテムが [削除済みアイテム] フォルダーに移動されます。 | はい1 | はい | はい |
| SendAs | メッセージが "送信者" アクセス許可を使用して送信されます。 | はい1 | はい1 | いいえ |
| SendOnBehalf | メッセージが "代理送信" アクセス許可を使用して送信されます。 | はい1 | はい | 不要 |
| SoftDelete | アイテムが [削除済みアイテム] フォルダーから削除されます。 | はい1 | はい1 | はい |
| 更新する | アイテムのプロパティが更新されます。 | はい1 | はい1 | はい |
1 メールボックスに対して監査が有効になっている場合、既定で監査されます。
2 代理人によって実行されるフォルダー バインド アクションのエントリが統合されます。 24 時間の時間内の個々のフォルダー アクセスに対して 1 つのログ エントリが生成されます。
3 メールボックスへの所有者ログインの監査は、POP3、IMAP4、または OAuth ログインでのみ機能します。 メールボックスへの NTLM ログインや Kerberos ログインには機能しません。
メールボックス監査ログの検索
次の方法を使用すると、メールボックス監査ログ エントリを検索できます。
1 つのメールボックスを 同期的に検索する: Search-MailboxAuditLog コマンドレットを使用して、1 つのメールボックスのメールボックス監査ログ エントリを同期的に検索できます。 検索結果は、コマンドレットによって Exchange 管理シェル ウィンドウに表示されます。 詳細については、「Search Mailbox Audit Log for a Mailbox」を参照してください。
1 つ以上のメールボックスを非同期的に 検索する: メールボックス監査ログ検索を作成して、1 つ以上のメールボックスのメールボックス監査ログを非同期的に検索し、指定した電子メール アドレスに検索結果を送信できます。 検索結果は、XML 添付ファイルとして送信されます。 検索を作成するには、 New-MailboxAuditLogSearch コマンドレットを使用します。 詳細については、「Create a Mailbox Audit Log Search」を参照してください。
Exchange 管理センター (EAC) の監査レポートを使用する: EAC の [監査] タブを使用して、所有者以外のメールボックス アクセス レポート (管理者および削除アクションのエントリが含まれます) を実行したり、メールボックス監査ログから所有者以外のエントリをエクスポートすることができます。 詳細については、以下を参照してください。
メールボックス監査ログ エントリ
次の表に、メールボックス監査ログ エントリに記録されるフィールドを示します。
| フィールド | 入力内容 |
|---|---|
| Operation | 次のいずれかの操作。 Copy Create FolderBind HardDelete MailboxLogin MessageBind Move MoveToDeletedItems SendAs SendOnBehalf SoftDelete Update |
| OperationResult | 次のいずれかの結果。 Failed PartiallySucceeded Succeeded |
| LogonType | 操作を実行したユーザーのログオンの種類。ログオンの種類には次のものが含まれます。 所有者 代理人 管理者 |
| DestFolderId | 移動操作の宛先フォルダーの GUID。 |
| DestFolderPathName | 移動操作の宛先フォルダーのパス。 |
| FolderId | フォルダーの GUID。 |
| FolderPathName | フォルダーのパス。 |
| ClientInfoString | 操作を実行したクライアントまたは Exchange コンポーネントを識別する詳細情報。 |
| ClientIPAddress | クライアント コンピューターの IP アドレス。 |
| ClientMachineName | クライアント コンピューター名。 |
| ClientProcessName | クライアント アプリケーションのプロセス名。 |
| ClientVersion | クライアント アプリケーションのバージョン。 |
| InternalLogonType | 操作を実行した内部ユーザー (組織内のユーザー) の種類。このフィールドが取り得る値は、 LogonType フィールドと同じ値です。 |
| MailboxOwnerUPN | メールボックス所有者のユーザー プリンシパル名 (UPN)。 |
| MailboxOwnerSid | メールボックス所有者のセキュリティ識別子 (SID)。 |
| DestMailboxOwnerUPN | メールボックス間操作用に記録された宛先メールボックス所有者の UPN。 |
| DestMailboxOwnerSid | メールボックス間操作用に記録された宛先メールボックス所有者の SID。 |
| DestMailboxOwnerGuid | 宛先メールボックス所有者の GUID。 |
| CrossMailboxOperation | 記録される操作がメールボックス間操作 (メールボックス間でのメッセージのコピーや移動など) であるかどうかに関する情報。 |
| LogonUserDisplayName | ログオンしたユーザーの表示名。 |
| DelegateUserDisplayName | 代理ユーザーの表示名。 |
| LogonUserSid | ログオンしたユーザーの SID。 |
| SourceItems | 記録対象操作 (移動や削除など) が実行されるメールボックス アイテムの ItemID。多数のアイテム上で実行される操作の場合、このフィールドはアイテムの集合として返されます。 |
| SourceFolders | ソース フォルダーの GUID。 |
| ItemId | アイテム ID。 |
| ItemSubject | アイテムの件名。 |
| MailboxGuid | メールボックスの GUID。 |
| MailboxResolvedOwnerName | DOMAINSamAccountName 形式の メールボックス\ ユーザー解決名。 |
| LastAccessed | 操作が実行された時刻。 |
| Identity | 監査ログ エントリの ID。 |
詳細情報
メールボックスへの管理者アクセス: メールボックスは、次のシナリオでのみ管理者がアクセスすると見なされます。
インプレース電子情報開示をメールボックスの検索に使用する。
New-MailboxExportRequest コマンドレットを使用してメールボックスをエクスポートする。
Microsoft Exchange Server MAPI クライアントとコラボレーション データ オブジェクトを使用してメールボックスにアクセスします。
メールボックス 監査ログのバイパス: サード パーティ製のツールで使用されるアカウントや合法な監視に使用されるアカウントなどの承認された自動プロセスによるメールボックス アクセスは、多数のメールボックス監査ログ エントリを作成する可能性があります。また、組織の関心を引く可能性はありません。 このようなアカウントを構成して、メールボックス監査ログをバイパスするようにできます。 詳細については、「 メールボックス監査ログからユーザー アカウントをバイパスする」を参照してください。
メールボックス所有者の操作 のログ記録: 検出検索メールボックスなどの機密情報が含まれる可能性があるメールボックスの場合は、メッセージの削除などのメールボックス所有者の操作に対してメールボックス監査ログを有効にしてください。